Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Protocoale de Tunelare Folosite În Reţele Virtuale Private
Cargado por
Mihai Ionut MihaitaTítulo original
Derechos de autor
Formatos disponibles
Compartir este documento
Compartir o incrustar documentos
¿Le pareció útil este documento?
¿Este contenido es inapropiado?
Denunciar este documentoCopyright:
Formatos disponibles
Protocoale de Tunelare Folosite În Reţele Virtuale Private
Cargado por
Mihai Ionut MihaitaCopyright:
Formatos disponibles
Protocoale de tunelare folosite n reele virtuale private
Protocoale de tunelare folosite n reele virtuale private
Ing. Simona Livia CONSTANTIN*
Rezumat. Pentru a implementa o reea VPN este necesar crearea unui tunel printr-o reea public pentru transferul datelor. Aceast lucrare prezint protocolalele uzuale realizrii unei reele VPN. Tunelarea necesit trei tipuri diferite de protocoale i anume: protocoale de transport, protocoale de ncapsulare i protocoale pasager. n general, protocolul IP este folosit ca protocol de transport deoarece cel mai des reeaua public de transport este internetul. Protocolul de ncapsulare mpacheteaz i cripteaz datele originale cu un antet distinct (de ex. GRE, IPSec, L2F, PPTP, L2TP) iar protocolul pasager este folosit de ctre reeaua surs, transmite date n pachete prin tunel (de ex. IPX, NetBeui, IP etc.) Cuvinte cheie: VPN, IPSec, GRE, L2F, PPTP, L2TP, IPX, NetBeui.
Abstract. In order to implement a VPN network is necessary to create a tunnel through a public network for transferring data. This paper highlights the most common protocols used to create a VPN. Tunnelling requires three types of protocols: transport protocols, encapsulation protocols and passenger protocols. Usually, IP is used as transport protocol because the internet is the most used as public network for the transport. The encapsulation protocol is responsible for packaging and encrypting the original data with a heading (for example: GRE, IPSec, L2F, PPTP, L2TP) and the passenger protocol that is used by the source network, transmits packet data through the tunnel (for ex. IPX, NetBeui, IP etc.). Keywords: VPN, IPSec, GRE, L2F, PPTP, L2TP, IPX, NetBeui dul surs, protocolul de tunelare ncapsuleaz cadrul ntr-un antet adiional. Acesta conine informaii de rutare astfel nct ncrctura ncapsulat poate traversa inter-reeaua intermediar. Pachetele ncapsulate sunt apoi rutate ntre capetele tunelului prin inter-reea.
1. Protocoale de tunelare
Implementareaunui VPN presupune crearea unui tunel printr-o reea public prin intermediul cruia s fie transferate datele. Ca o definiie, tunelarea (tunneling) este o metod de folosire a infrastructurii unei inter-reele pentru transferul datelor dintr-o reea peste o alt reea. n figura 1 este prezentat protocolul de tunelare ce ncapsuleaz cadrul de date iniial ntr-un antet adiional care poate traversa reeaua intermediar. Datele de transferat (ncrctura - payload) pot fi cadrele (sau pachetele) altui protocol. n loc de a transmite cadrul n forma n care a fost produs de no Institutul Naional de Studii i Cercetri pentru Comunicaii.
Fig. 1. Protocolul de tunelare ncapsuleaz cadrul de date iniial ntr-un antet adiional care poate traversa reeaua intermediar.
TELECOMUNICAII Anul LII, nr. 2/2009
21
Simona Livia CONSTANTIN
Calea logic pe care pachetele ncapsulate o urmeaz n inter-reea se numete tunel. Odat ce cadrele ncapsulate ajung la destinaie prin interreea, cadrul este decapsulat i trimis la destinaia sa final. De notat c tunelarea include ntregul proces: ncapsulare, transmitere i decapsulare a pachetelor. Pentru realizarea unui tunel, clientul i serverul de tunel trebuie s foloseasc acelai protocol de tunelare. Tehnologia de tunelare poate fi bazat pe un protocol de tunelare pe nivel 2 sau 3. Aceste nivele corespund modelului de referin OSI. Protocoalele de nivel 2 corespund nivelului legtur de date, i folosesc cadre ca unitate de schimb. PPTP, L2TP i L2F (expediere pe nivel 2) sunt protocoale de tunelare pe nivel 2; ele ncapsuleaz ncrctura ntr-un cadru PPP pentru a fi transmis peste inter-reea. Protocoalele de nivel 3 corespund nivelului reea, i folosesc pachete. IP peste IP i Tunel IPSec sunt exemple de protocoale care ncapsuleaz pachete IP ntr-un antet IP adiional nainte de a le transmite peste o inter-reea IP[4]. Pentru tehnologiile de nivel 2, cum ar fi PPTP sau L2TP, un tunel este asemntor cu o sesiune;
ambele capete ale tunelului trebuie s cad de acord asupra tunelului i s negocieze variabilele de configurare, cum ar fi atribuirea adreselor, criptarea, comprimarea. n cele mai multe cazuri, datele transferate prin tunel sunt trimise folosind un protocol bazat pe datagrame. Pentru gestionarea tunelului se folosete un protocol de meninere a tunelului. Tehnologiile de tunelarea pe nivel 3 pleac de la premiza c toate chestiunile de configurare au fost efectuate, de multe ori manual. Pentru aceste protocoale, poate s nu existe faza de meninere a tunelului. Pentru protocoalele de nivel 2, un tunel trebuie creat, meninut i distrus. Implementarea unui VPN presupune crearea unui tunel printr-o reea public prin intermediul cruia s fie transferate datele (fig. 2). n esen, tunelarea este procesul prin care se introduce ntreg pachetul IP n interiorul unui alt pachet, cu antete distincte, acesta fiind trimis ulterior prin reea. Protocolul pachetului rezultat n urma tunelrii este recunocut de ctre reea i de ctre ambele noduri surs i destinaie, la nivelul interfeelor de tunelare, prin care pachetele intr i ies din reea.
Fig. 2. Arhitectura unei reele VPN cu tunele.
22
TELECOMUNICAII Anul LII, nr. 2/2009
Protocoale de tunelare folosite n reele virtuale private
Tunelarea necesit trei protocoale diferite: protocolul de transport (uzual IP), protocolul utilizat de ctre reeaua prin care se transfer informaia (reeaua public de Internet sau orice reea privat); protocolul de ncapsulare care mpacheteaz i cripteaz datele originale cu un antet distinct (GRE, IPSec, L2F, PPTP, L2TP); protocolul pasager din reeaua surs care transmite date n pachetul trimis prin tunel (IPX, NetBeui, IP etc.).
unic i global. IPv4 a nceput s fie folosit n Internet n anii 1970, iar n 1981 IP a fost standardizat n RFC 791 de ctre Grupul de lucru pentru Internet (IETF - Internet Engineering Task Force). Adresele IPv4 au o lungime de 32 de bii (4 octei). Fiecare adres identific o reea (network) i o staie de lucru (work station) din cadrul reelei. Notaia obinuit este obinut prin scrierea fiecrui octet n form zecimal, separai ntre ei prin puncte. De exemplu, 192.168.0.1 este notaia folosit pentru adresa 11000000.10101000.00000000.00000001. IP versiunea 6 IPv6. IPv6 este un protocol dezvoltat pentru a nlocui IPv4 n Internet. Adresele au o lungime de 128 bii (16 octei), ceea ce este considerat suficient pentru o perioad ndelungat. Teoretic exist 2128, sau aproximativ 3,403 1038 adrese unice. Lungimea mare a adresei permite mprirea n blocuri de dimensiuni mari i implicit devine posibil introducerea unor informaii suplimentare de rutare n adres[5]. Windows Vista, Mac OS X, toate distribuiile moderne de Linux, precum i foarte multe alte sisteme de operare includ suport "nativ" pentru acest protocol. Cu toate acestea, IPv6 nu este nc folosit pe scar larg de ctre furnizorii de acces i servicii Internet, numii Internet Service Providers sau ISP. Adresele IPv6 sunt scrise de obicei sub forma a 8 grupuri de cte 4 cifre hexazecimale, fiecare grup fiind separat de dou puncte (:). De exemplu, 2001:0db8:85a3:08d3:1319:8a2e:0370:7334 este o adres IPv6 corect. Dac unul sau mai multe din grupurile de 4 cifre este 0000, zerourile pot fi omise i nlocuite cu dou semne dou puncte(::). De exemplu, 2001:0db8:0000:0000:0000:0000:1428:57ab se prescurteaz 2001:0db8::1428:57ab. Aceast prescurtare poate fi fcut o singur dat, altfel ar putea aprea confuzii cu privire la numrul de cmpuri omise.
2. Protocoale de transport
IP. Internet Protocol (IP) este o metod sau un protocol prin care datele sunt trimise de la un calculator la altul prin intermediul Internetului. Fiecare calculator (cunoscut ca HOST), are cel puin o adres IP unic pe Internet, care l identific ntre toate computerele de pe Internet. Cnd datele sunt trimise sau primite (de ex.: e-mail, pagini web) mesajul este mprit n pri mai mici numite pachete. Fiecare pachet cuprinde adresa celui care trimite datele, dar i a celui cruia i sunt destinate. Fiecare pachet este trimis, prima oara la un "Gateway Computer" care interpreteaz o mic parte din adres[1]. Computerul "Gateway" citete destinaia pachetelor i trimite pachetele la un alt "Gateway" i tot aa pn ce pachetul ajunge la "Gateway"-ul la care are acces computerul destinatar. Adresa IP este utilizat la nivelul programelor de prelucrare n reea. n schimb, la nivelul utilizatorilor cu acces la Internet, identificarea calculatoarelor se face printr-un nume de calculator (host), gestionat de sistemul DNS. Pn n prezent au fost dezvoltate dou versiuni ale protocolului Internet i anume IPv4 i IPv6. IP versiunea 4 IPv4. Versiunea 4 a protocolului Internet are ca scop o arhitectura de adresare
TELECOMUNICAII Anul LII, nr. 2/2009
23
Simona Livia CONSTANTIN
TCP. Modelul TCP/IP (Transmission Control Protocol/Internet Protocol) a fost creat de US DoD (US Department of Defence - Ministerul Aprrii Naionale al Statelor Unite) din necesitatea unei reele care ar putea supravieui n orice condiii. DoD dorea ca, atta timp ct funcionau maina surs i maina destinaie, conexiunile s rmn intacte, chiar dac o parte din maini sau din liniile de transmisie erau brusc scoase din funciune. Era nevoie de o arhitectur flexibil, deoarece se aveau n vedere aplicaii cu cerine divergente, mergnd de la transferul de fiiere pn la transmiterea vorbirii n timp real. Aceste cerine au condus la alegerea a patru niveluri pentru modelul TCP/IP: Aplicaie, Transport, Reea (sau Internet) i Acces la Reea. Nivelul Aplicaie. Nivelul aplicaie se refer la protocoalele de nivel nalt folosite de majoritatea aplicaiilor, precum terminalul virtual (TELNET), transfer de fiiere (FTP) i pota electronic (SMTP). Alte protocoale de nivel aplicaie sunt DNS (Domain Name Service), NNTP sau HTTP. n majoritate implementrilor, nivelul aplicaie trateaz nivelurile inferioare ca o "cutie neagr" care ofer o infrastructur sigur de comunicaii, dei majoritatea aplicaiilor cunosc adresa IPsau portul folosit. Majoritatea protocoalelor de la nivelul aplicaie sunt asociate cu modelul client-server. Serverele au de obicei asociate porturi fixe, atribuite de IANA: HTTP are portul 80, FTP portul 21, etc. n schimb, clienii folosesc porturi temporare[3]. Nivelul Transport. Este identic cu cel din modelul OSI, ocupndu-se cu probleme legate de siguran, control al fluxului i corecie de erori. El este proiectat astfel nct s permit conversaii ntre entitile pereche din gazdele surs, respectiv, destinaie. n acest sens au fost definite dou protocoale capt-la-capt. Primul din ele, TCP (Trasmission Control Protocol). El este un protocol sigur orientat pe conexi-
une care permite ca un flux de octei trimii de pe o main s ajung fr erori pe orice alt main din inter-reea. Acest protocol fragmenteaz fluxul de octei n mesaje discrete i paseaz fiecare mesaj nivelului internet. TCP trateaz totodat controlul fluxului pentru a se asigura c un emitor rapid nu inund un receptor lent cu mai multe mesaje dect poate acesta s prelucreze. Al doilea protocol din acest nivel, UDP (User Datagram Protocol), este un protocol nesigur, fr conexiuni, destinat aplicaiilor care doresc s utilizeze propria lor secveniere i control al fluxului. Protocolul UDP este de asemenea mult folosit pentru interogri rapide ntrebare-rspuns, client-server i pentru aplicaii n care comunicarea prompt este mai important dect comunicarea cu acuratee, aa cum sunt aplicaiile de transmisie a vorbirii i a imaginilor video. Nivelul Reea (Internet). Scopul iniial al nivelului reea era s asigure rutarea pachetelor n interiorul unei singure reele. Odat cu apariia interconexiunii ntre reele, acestui nivel i-au fost adugate funcionaliti de comunicare ntre o reea surs i o reea destinaie. n stiva TCP/IP, protocolul IP asigur rutarea pachetelor de la o adres surs la o adres destinaie, folosind i unele protocoale adiionale, precum ICMP sau IGMP. Determinarea drumului optim ntre cele dou reele se face la acest nivel. Comunicarea la nivelul IP este nesigur, sarcina de corecie a erorilor fiind plasat la nivelurile superioare (de exemplu prin protocolul TCP). n IPv4 (nu i IPv6), integritatea pachetelor este asigurat de sume de control. Nivelul Acces la reea. Se ocup cu toate problemele legate de transmiterea efectiv a ZU-ului pe o legtur fizic, incluznd i aspectele legate de tehnologii i de medii de transmisie, adic nivelurile OSI Legtur de date i Fizic.
24
TELECOMUNICAII Anul LII, nr. 2/2009
Protocoale de tunelare folosite n reele virtuale private
Modelul de referin TCP/IP nu spune mare lucru despre ce se ntmpl acolo, ns menioneaz c gazda trebuie s se lege la reea, pentru a putea trimite pachete IP, folosind un anumit protocol. Acest protocol nu este definit i variaz de la gazd la gazd i de la reea la reea.
Cele dou routere comunic prin intermediul unui al treilea router cu adresa 194.225.140.1. Un pachet trimis de la adresa 192.168.3.2 ctre 192.168.4.5 va fi ncapsulat prin procedeul GRE specificndu-se n antetul de transmisie numai adresele IP private ale routerului-surs i respectiv routerului-destinaie fr a se meniona adresa routerului intermediar. Adresa acestuia este inclus doar n tabelele de rutare nefiind vizibil din exterior. Urmeaz ca n LAN-ul B s se extrag datele i s se citeasc adresa IP alocat local destinaiei . Tunelarea are implicaii uimitoare pentru VPN-uri. Se pot astfel transmite pachete care utilizeaz adrese IP private n interiorul unui pachet care utilizeaz adrese IP reale, n acest fel se poate extinde reeaua privat prin Internet. Dar se poate transmite i un pachet care nu este suportat de protocolul Internet (precum NetBeui) n interiorul unui pachet IP iar acesta poate fi apoi transmis cu uurin prin Internet. IPSec. Internet Protocol Security sau IPSec, este o suit de protocoale care asigur securitatea unei reele virtuale private prin Internet. IPSec este o funcie de layer 3 i de aceea nu poate interaciona cu alte protocoale de layer 3, cum ar fi IPX i SNA. ns IPSec este poate cel mai autorizat protocol pentru pstrarea confidenialitii i autenticitii pachetelor trimise prin IP. Protocolul funcioneaz cu o larg varietate de scheme de criptare standard i negocieri ale proceselor, ca i pentru diverse sisteme de securitate, incluznd semnturi digitale, certificate digitale, chei publice sau autorizaii. ncapsulnd pachetul original de date ntr-un pachet de tip IP, protocolul IPSec scrie n header toat informaia cerut de terminalul de destinaie. Deoarece nu exist modaliti de autentificare sau criptare liceniate, IPSec se detaeaz de celelalte protocoale prin interoperabilitate. El va lucra cu majoritatea sistemelor i standardelor, chiar i n
Protocoale de ncapsulare
Mecanismul GRE. Pentru rutarea cu adrese private, se ncapsuleaz pachetele IP transmise n Internet cu antete suplimentare prin aa-numitul mecanism GRE (Generic Routing Encapsulation), descris n RFC 1701. Pachetului iniial (payload packet /original packet) i se adaug un antet GRE (GRE Header) i un antet de expediere privind modul de transfer specificat conform protocolului de reea (delivery header). n antetul GRE se specific ruta pe care se va trimite forat pachetul la destinaie, fr a se lua alte decizii de rutare n routerele intermediare. GRE asigur transparena adreselor intermediare i securitatea transmisiei, prin realizarea unui aanumit "tunel de transmisie" (tunnelling) . Uzual este cazul ncapsulrii pachetelor IP pentru transmisii cu IP (IP over IP) conform RFC 1702, standard definit pentru GRE. Adresele IP private pot fi utilizate n ncapsularea GRE astfel nct cadrul s fie interpretat ca fiind ncapsulat GRE i routerele 'de la distan' s extrag adresa de destinaie privat din pachetul original. Exemplu[3]. S presupunem existena a dou reele locale de calculatoare A i B avnd alocate adresele IP private 192.168.3.0 i 192.168.4.0. Aceste reele sunt conectate n WAN prin intermediul a dou routere cu adresele IP publice alocate interfeelor: 193.162.35.110 i 195.16.23.12.
TELECOMUNICAII Anul LII, nr. 2/2009
25
Simona Livia CONSTANTIN
paralel cu alte protocoale VPN. De exemplu, IPSec poate realiza negocierea i autentificarea criptrii n timp ce o reea virtual de tip L2TP primete un pachet, iniiaz tunelul i trimite pachetul ncapsulat ctre cellalt terminal VPN. IPSec folosete un algoritm pentru schimbarea cheilor ntre pri, numit Internet Key Exchange (IKE), care permite calculatoarelor s negocieze o cheie de sesiune n mod securizat, folosind protocoalele ISAKMP pentru crearea de Security Associations i OAKLEY bazat pe algoritmul Diffie-Hellman pentru schimbarea cheilor ntre cele dou pri. IKE se poate folosi n conjuncie cu Kerberos, certificate X.509v3 sau chei preshared. Authentication Header (AH) este ataat fiecrei datagrame i conine semntura sub form de hash HMAC cu MD5 sau HMAC cu SHA-1. Encapsulated Security Payload (ESP) cripteaz coninutul pachetelor n dou moduri: transport (protejeaz doar coninutul pachetului, nu i header-ul) sau tunel (ntreg pachetul este criptat). ESP folosete de asemenea hash-uri HMAC cu MD5 sau HMAC cu SHA-1 pentru autentificare i DES-CBC pentru criptare [2]. Pentru a securiza comunicaia n reea cu IPSec ntre calculatoarele Windows folosim o colecie de reguli, politici i filtre pentru a permite n mod selectiv doar comunicaia pentru anumite protocoale. Politicile de IPSec pot fi create i aplicate cu Group Policy pentru calculatoarele din domeniu. Pentru calculatoare care nu sunt n domeniu, de exemplu serverele bastion, politicile pot fi aplicate cu script-uri linie de comand. Implementarea unei soluii VPN de comunicaie reliefeaz unele probleme specifice, probleme ce apar din cauza absenei standardelor. Internet Engineering Task Force (IETF) a stabilit un grup de lucru dedicat definirii standardelor i protocoalelor
legate de securitatea Internetului. Unul dintre cele mai importante scopuri ale acestui grup de lucru este finalizarea standardului IPSec, care definete structura pachetelor IP i considerentele legate de securitatea n cazul soluiilor VPN. De-a lungul ultimilor ani, grupul de lucru IPSec din cadrul IETF a nregistrat mari progrese n adugarea de tehnici de securitate criptografice la standardele pentru infrastructura Internet. Arhitectura de securitate specificat pentru IP (fig. 3) furnizeaz servicii de securitate ce suport combinaii de autentificare, integritate, controlul accesului i confidenialitate.
HTTP
FTP
Telnet
SMTP
..
TCP (Transport Control Protocol)
IP security Protocol
Internet Protocol (IP)
Fig. 3. Protcolul de securitate Internet (IP).
IPSec a aprut n cadrul efortului de standardizare pentru IPv6 i reprezint singura soluie deschis pentru securizarea conexiunilor pe Internet. IPSec poate fi configurat pentru dou moduri distincte: modul tunel i modul transport. n modul tunel, IPSec ncapsuleaz pachetele IPv4 n cadre IP securizate, pentru transferul informaiei ntre dou sisteme firewall, de exemplu. n modul transport, informaia este ncapsulat ntr-un altfel de mod, nct ea poate fi securizat ntre punctele terminale ale conexiunii, deci ambalajul nu ascunde informaia de rutare cap-la-cap. Modul tunel este cea mai sigur metod de securizare, ns crete gradul de ncrcare a sesiunii de comunicaie, prin mrirea dimensiunilor pachetelor.
26
TELECOMUNICAII Anul LII, nr. 2/2009
Protocoale de tunelare folosite n reele virtuale private
Standardul pentru Arhitectura de Securitate IP, descris n RFC 2401, prezint mecanismele de securitate pentru IP versiunea 4 (IPv4) i pentru IP versiunea 6 (IPv6). La ora actual exist dou tipuri de antete (headere) ce pot fi ataate la un pachet IP pentru realizarea securitii. Acestea sunt: Authentification Header (AH) - antetul de autentificare care furnizeaz serviciile de integritate i autentificare. Encapsulated Security Payload (ESP) - nveliul de securitate - care furnizeaz confidenialitate i, n funcie de algoritmii i de modurile folosite, poate furniza, de asemenea, integritate i autentificare. Pe lng autentificarea sursei, AH asigur numai integritatea datelor, n timp ce ESP, care asigura pn acum doar criptarea, acum asigur att criptarea, ct i integritatea datelor. Diferena dintre integritatea datelor prin AH i cea dat de ESP st n scopul datelor care sunt autentificate. AH autetific ntregul pachet, n timp ce ESP nu autentific antetul IP exterior. n autentificarea ESP, sumarul de mesaj se afl n finalul pachetului, n timp ce n AH, sumarul se gsete nuntrul antetului de autentificare. Cele dou antete, respectiv mecanisme de securitate, pot fi folosite independent unul de cellalt, combinate sau ntr-un mod imbricat. Ele sunt definite n mod independent de algoritm astfel nct algoritmii criptografici pot fi nlocuii fr ca alte pri din implementare s fie afectate. n mod implicit sunt specificai algoritmi standard, pentru asigurarea interoperabilitii. Ambele mecanisme de securitate IP pot furniza servicii de securitate ntre: dou calculatoare gazd ce comunic ntre ele; dou gateway-uri de securitate comunicante; un calculator gazd i un gateway. Sunt n curs de dezvoltare protocoale i tehnici criptografice care s asigure gestiunea cheilor la
nivelul de securitate din IP printr-un mecanism standardizat de administrare a cheilor care s permit o negociere, distribuie i stocare a cheilor de criptare i autentificare n condiii de complet corectitudine i siguran. Un exemplu l constituie Protocolul de Gestiune a Cheilor pentru Internet (ISAKMP Internet Security Association and Key Management Protocol) care este un protocol de nivel aplicaie, independent de protocoalele de securitate de la nivelele inferioare. ISAKMP are la baz tehnici derivate din mecanismul Diffie-Hellman pentru schimbarea cheilor. O standardizare n structura de pachete i n mecanismul de administrare a cheilor va duce la completa interoperabilitate a diferitelor soluii VPN. IPSec va avea un succes major n mediile LANLAN, ns n cazul consideraiilor client/server va fi de o utilitate limitat la civa ani. Cauzele acestei disfuncii stau n penetrarea relativ limitat a PKI i n problemele de scalabilitate. Implementarea sa pretinde cunoaterea domeniului de adrese IP pentru a stabili indentitatea utilizatorilor, cerin care face acest protocol impracticabil n mediile cu alocare dinamic a adreselor, cum este cazul ISP. IPSec nu suport alte protocoale de reea n afar de TCP/IP i nu specific o metodologie de control al accesului n afar de filtrarea pachetelor. Din moment ce folosete adresarea IP ca parte a algoritmului de autentificare, se pare c este mai puin sigur de ct alte protocoale de nivel nalt la capitolul identificarea utilizatorilor. Poate cel mai important dezavantaj al IPSec l constituie absena unui sprijin ferm din partea Microsoft. Compania din Redmond nu a pomenit nimic despre suportul IPSec n sistemele sale de operare client. Se poate spune c IPSec se afl n competiie cu PPTP i L2TP n ceea ce privete construirea de conexiuni tunel, de aceea nu este clar dac Microsoft va face schimbri radicale n
TELECOMUNICAII Anul LII, nr. 2/2009
27
Simona Livia CONSTANTIN
stiva IPv4 pentru a suporta IPSec la niveluri superioare. O parte a standardului IETF IPSec const n definirea unei scheme de administrare automat a cheilor, care include conceptul de PKI (Public Key Infrastructure). Aceasta este o comunitate deschis de CA (Certificate Authorities - Autoriti de certificare) care, n cele mai multe cazuri, utilizezaz un model ierarhic pentru a construi asocieri de ncredere acolo unde nu au existat. Existena PKI este important la stabilirea unei reele VPN ntre o reea de corporaie i o reea a unui partener sau furnizor, deoarece necesit un schimb securizat de chei ntre ele, prin intermediul unei a treia pri (CA), n care ambele noduri VPN au ncredere[3]. n figura 4 este ilustrat mecanismul de criptarea a datelor IPSec utiliznd chei publice i chei private. Schema obligatorie de administare automat a cheilor, definit de IETF IPSec pentru IPv6 este ISAKMP/Oakley (Internet Security Association and Key Management Protocol) cu opiunea SKIP (Simple Key management for IP). Spre deosebire de soluiile VPN care nu ofer nici o form de administrare automat a cheilor, o soluie VPN care suport aceast caracteristic prin utilizarea uneia dintre teh-
nologiile de instalare VPN permite administratorilor de securitate s creeze, s distribuie i s revoce cheile de criptare VPN n mod simplu i sigur, prin intermediul sistemului PICI. ISAKMP/Oakley este rspunsul grupului IPSec la modul de negociere al algoritmilor criptografici i schimbul de chei prin Internet. El este de fapt un protocol hibrid ce integreaz protocolul de administrare a cheilor i asociaii de securitate pentru Internet (Internet Security Association and Key Management Protocol, sau ISAKMP) mpreun cu un subset al schemei Oakley de schimb de chei. ISAKMP/Oakley furnizeaz urmtoarele:
servicii de negociere a protocoalelor, algoritmilor
i cheilor criptografice;
servicii de autentificare primar a entitilor
comunicante;
administrarea cheilor criptografice; schimbul protejat de chei.
Schimbul de chei este un serviciu strns legat de administrare a asocierilor de securitate, AS. Cnd este necesar crearea unei AS, trebuie s se schimbe chei. Prin urmare ISAKMP/Oakley le mpacheteaz mpreun i le trimite ca pachet integrat.
Fig. 4. Mecanismul de criptarea a datelor IPSec utiliznd chei publice i chei private.
28
TELECOMUNICAII Anul LII, nr. 2/2009
Protocoale de tunelare folosite n reele virtuale private
n plus fa de protocolul ISAKMP/Oakley, standardul IPSec specific faptul c sistemele trebuie s suporte i schimbul manual de chei. n majoritatea situaiilor ns, acest lucru este ineficace. Deci ISAKMP/Oakley rmne singurul modul eficient i sigur de negociere a AS-urilor i de schimb al cheilor printr-o reeaua public. ISAKMP/Oakley funcioneaz n dou faze. n prima faz, entitile ISAKMP stabilesc un canal protejat (denumit ISAKMP-SA) pentru desfurarea protocolului ISAKMP. n faza a doua, cele dou entiti negociaz asocieri de securitate (AS-uri) generale. O entitate ISAKMP este un nod compatibil IPSec, capabil s stabileasc canale ISAKMP i s negocieze AS-uri. Poate fi un calculator de birou sau un echipament numit gateway de securitate care negociaz servicii de securitate pentru abonai. Oakley furnizeaz trei moduri de schimb al cheilor i de stabilire a AS-urilor dou pentru schimburile din faza nti ISAKMP i unul pentru schimburile din faza a doua.
modul principal este folosit n prima faz a
Cel mai semnificativ aspect referitor la IPSec nu const n robusteea cu care a fost proiectat, ci n simplul fapt c IPSec este un standard Internet acceptat i c n momentul de fa un numr mare de utilizatori i furnizori de servicii coopereaz pentru a furniza o gam complet de soluii IPSec. Folosind capacitatea de tunelare a IPSec, se pot implementa reele virtuale private (Virtual Private Network - VPN). L2F. Layer 2 forwarding (L2F) este un protocol de tip forwarding, folosit pentru tunelarea protocoalelor de nivel nalt ntr-un protocol de nivel 2 (legtur de date - Data Link). De exemplu, se folosesc ca protocoale L2: HDLC, HDLC asincron sau cadre SLIP. Dei aceast soluie faciliteaz conectivitatea pe linii de acces n reele cu comutaie de circuite, informaia din fluxul L2F nu este criptat. Acest protocol a fost creat de Cisco. Combinat cu PPTP, constituie component a L2TP. PPTP. Point to point tunneling protocol (PPTP), reprezint o extensie a Point-to-Point Protocol (PPP), care ncapsuleaz datele, IPX sau NetBEUT n pachetele IP (fig. 5). Acest protocol este folosit n mod fundamental de echipamentele ISP, deoarece duce la un numitor comun participanii la sesiuni de comunicaii. Este cea mai cunoscut dintre opiunile pentru securitatea transferului de date n reeaua VPN. Dezvoltat de Microsoft i inclus n Windows NT v 4.0 pentru a fi folosit cu serviciul de rutare i acces de la distan (Routing & Remote Access Service). Este plasat la nivelul 2 OSI. Acesta permite traficului IP, IPX i NetBEUI s fie criptat i ncapsulat ntr-un antet IP pentru a fi transmis peste o inter-reea IP de corporaie sau public (Internet). L2TP. Layer 2 Tunneling Protocol, sau L2TP, este o combinaie dintre un protocol al firmei Cisco Systems (L2F) i cel al firmei Microsoft denumit Point-to-Point Tunneling Protocol (PPTP).
protocolului ISAKMP pentru stabilirea unui canal protejat.
modul agresiv este o alt cale de realizare a
schimburilor din prima faz a protocolului ISAKMP/ Oakley el este ceva mai simplu i mai rapid dect modul principal i nu asigur protecia identitii pentru nodurile care negociaz, pentru c ele trebuie s-i transmit identitile nainte de a fi negociat un canal protejat.
modul rapid este folosit n faza a doua a
protocolului ISAKMP la negocierea unui AS general pentru cumunicaie. De fapt, ISAKMP/Oakley mai are nc un mod de lucru, denumit modul grupului nou (new group mode), care nu se integreaz n nici una din cele dou faze i care este folosit n negocierea parametrilor pentru schema Diffie-Hellman.
TELECOMUNICAII Anul LII, nr. 2/2009
29
Simona Livia CONSTANTIN
o baz de date a firmei i spre intranetul aceleiai firme. Schema bloc principial privind utilizarea protocolului L2TP (Layer 2 Tunneling Protocol) ntr-o reea VPN este ilustrat n figura 6.
Protocoale pasager
IPX. Tunelare IPX (Internetwork Packet Exchange) pentru Novell NetWare peste IP. Cnd un pachet IPX este trimis unui server NetWare sau unui ruter IPX, serverul sau ruterul anvelopeaz pachetul IPX ntr-un UDP cu antet IP, i l trimite apoi peste
Fig. 5. ncapsularea datelor IPX sau NetBEUT n pachetele IP n cazul utilizrii protocolului PPTP (Point to point tunneling protocol) pentru implementarea VPN.
inter-reeaua IP. Ruterul IP-IPX destinaie d la o parte UDP-ul i antetul IP, i trimite pachetul ctre destinaia IPX[3]. Protocolul IPX este un protocol bazat pe datagrame (fr conexiune). Termenul fr conexiune nseamn c atunci cnd o aplicaie folosete IPX pentru a comunica cu alte aplicaii din cadrul reelei, nu este stabilit nici o conexiune sau cale de date ntre cele dou aplicaii. Deci, pachetele IPX sunt trimise ctre destinaiile lor, dar nu se garanteaz i nici nu se verific faptul c acestea ajung sau nu la destinaie. Termenul datagram (datagram) desemneaz faptul c un pachet este tratat ca o entitate individual, care nu are nici o legtur sau relaie secvenial cu alte pachete. IPX execut funcii echivelente nivelului reea din modelul OSI.
Fiind conceput pentru a suporta orice alt protocol de rutare, incluznd IP, IPX i AppleTalk, acest L2TP poate fi rulat pe orice tip de reea WAN, inclusiv ATM, X.25 sau SONET. Cea mai important trstur a L2TP este folosirea protocolului Point-to-Point, inclus de Microsoft ca o component a sistemelor de operare Windows 95, Windows 98 i Windows NT. Astfel c orice client PC care ruleaz Windows este echipat implicit cu o funcie de tunneling, iar Microsoft furnizeaz i o schem de criptare denumit Point-toPoint Encryption. n afara capacitii de creare a unei VPN, protocolul L2TP poate realiza mai multe tunele simultan, pornind de la acelai client, de exemplu spre
Fig. 6. Schem bloc principial privind utilizarea protocolului L2TP (Layer 2 Tunneling Protocol) ntr-o reea VPN.
30
TELECOMUNICAII Anul LII, nr. 2/2009
Protocoale de tunelare folosite n reele virtuale private
Aceste funcii includ adresare, rutare i transfer de pachete pentru schimburi de informaie, funciile IPX fiind dedicate transmisiei de pachete n cadrul reelei NetBeui. Interfaa utilizator extins NetBIOS (NetBEUI) este un protocol de reea utilizat de obicei
n reele locale (LAN) mici care au ntre 1 i 200 de computere. NetBEUI este rapid i de dimensiuni reduse i funcioneaz bine n cadrul unei reele locale (LAN), dar nu este rutabil, aadar computerele care nu sunt n aceeai reea sau subreea local nu pot s l utilizeze pentru a comunica. NetBEUI a fost n mare parte nlocuit cu TCP/IP.
Abrevieri folosite n lucrare AH DNS ETSI GRE IETF IKE IP IPX IPSEC ISAKMP L2F L2TP OSI PPP PPTP TCP UDP VPN WAN Autentication Header Domain Name System European Telecommunications Standards Institute Generic Routing Encapsulation Internet Engineering Task Force Internet Key Exchange Internet Protocol Internetwork Protocol Exchange Internet Protocol SECurity Internet Security Association and Key Management Protocol Layer 2 Forwarding Layer 2 Tunneling Protocol Open Systems Interconnection Point-to-Point Protocol Point-to-Point Tunneling Protocol Transmission Control Protocol User Datagram Protocol Virtual Private Network Wide Area Network Antet de autentificare Sistemul Numelor Domeniilor Institutul european pentru standarde de telecomunicaii Mecanism de ncapsulare Interschimbarea cheilor de internet Protocol Internet Schimb de protocoale ntre reele Securitate IP Protocolul de management al cheilor i asociaia securitii Internetului Transmitere ctre nivelul 2 Protocol de tunelare de nivel 2 Interconectarea sistemelor deschise Protocol punct la punct Protocol de tunelare punct-la-punct Protocol de control al transmisiei Protocolul Datagramelor utilizatorilor Reea Virtuala Privat Reele de zon mare [3] Simona Livia Constantin - Metodologie de evaluare a QoS n reele complexe de tip ALL-IP, 2009. [1] Robert WOOD - Next-Generation Network Services, Cisco Press, 2005 [2] Reea virtual IT-C pentru uniti de nvmnt i cercetare dispersate geografic CERVIT, Proiect coordonat de I.N.S.C.C, 2009. [4] http://www.chip.ro/revista/iunie_2000/46/retele_virtuale _private/8232 [5] Iljitsch van Beijnum - Running IPv6.
Bibliografie
TELECOMUNICAII Anul LII, nr. 2/2009
31
También podría gustarte
- Art of War: The Definitive Interpretation of Sun Tzu's Classic Book of StrategyDe EverandArt of War: The Definitive Interpretation of Sun Tzu's Classic Book of StrategyCalificación: 4 de 5 estrellas4/5 (3321)
- The Subtle Art of Not Giving a F*ck: A Counterintuitive Approach to Living a Good LifeDe EverandThe Subtle Art of Not Giving a F*ck: A Counterintuitive Approach to Living a Good LifeCalificación: 4.5 de 5 estrellas4.5/5 (20024)
- Pride and Prejudice: Bestsellers and famous BooksDe EverandPride and Prejudice: Bestsellers and famous BooksCalificación: 4.5 de 5 estrellas4.5/5 (19653)
- The Iliad: A New Translation by Caroline AlexanderDe EverandThe Iliad: A New Translation by Caroline AlexanderCalificación: 4 de 5 estrellas4/5 (5718)
- The Subtle Art of Not Giving a F*ck: A Counterintuitive Approach to Living a Good LifeDe EverandThe Subtle Art of Not Giving a F*ck: A Counterintuitive Approach to Living a Good LifeCalificación: 4 de 5 estrellas4/5 (5794)
- The 7 Habits of Highly Effective People: The Infographics EditionDe EverandThe 7 Habits of Highly Effective People: The Infographics EditionCalificación: 4 de 5 estrellas4/5 (2475)
- American Gods: The Tenth Anniversary EditionDe EverandAmerican Gods: The Tenth Anniversary EditionCalificación: 4 de 5 estrellas4/5 (12947)
- The 7 Habits of Highly Effective PeopleDe EverandThe 7 Habits of Highly Effective PeopleCalificación: 4 de 5 estrellas4/5 (353)
- Habit 1 Be Proactive: The Habit of ChoiceDe EverandHabit 1 Be Proactive: The Habit of ChoiceCalificación: 4 de 5 estrellas4/5 (2556)
- Wuthering Heights (Seasons Edition -- Winter)De EverandWuthering Heights (Seasons Edition -- Winter)Calificación: 4 de 5 estrellas4/5 (9486)
- The 7 Habits of Highly Effective PeopleDe EverandThe 7 Habits of Highly Effective PeopleCalificación: 4 de 5 estrellas4/5 (2567)
- Habit 6 Synergize: The Habit of Creative CooperationDe EverandHabit 6 Synergize: The Habit of Creative CooperationCalificación: 4 de 5 estrellas4/5 (2499)
- Habit 3 Put First Things First: The Habit of Integrity and ExecutionDe EverandHabit 3 Put First Things First: The Habit of Integrity and ExecutionCalificación: 4 de 5 estrellas4/5 (2507)
- How To Win Friends And Influence PeopleDe EverandHow To Win Friends And Influence PeopleCalificación: 4.5 de 5 estrellas4.5/5 (6521)
- The Picture of Dorian Gray: Classic Tales EditionDe EverandThe Picture of Dorian Gray: Classic Tales EditionCalificación: 4 de 5 estrellas4/5 (9756)
- Oscar Wilde: The Unrepentant YearsDe EverandOscar Wilde: The Unrepentant YearsCalificación: 4 de 5 estrellas4/5 (10242)
- The Odyssey: (The Stephen Mitchell Translation)De EverandThe Odyssey: (The Stephen Mitchell Translation)Calificación: 4 de 5 estrellas4/5 (7770)
- The Iliad: The Fitzgerald TranslationDe EverandThe Iliad: The Fitzgerald TranslationCalificación: 4 de 5 estrellas4/5 (5646)
- Never Split the Difference: Negotiating As If Your Life Depended On ItDe EverandNever Split the Difference: Negotiating As If Your Life Depended On ItCalificación: 4.5 de 5 estrellas4.5/5 (3277)
- The Picture of Dorian Gray (The Original 1890 Uncensored Edition + The Expanded and Revised 1891 Edition)De EverandThe Picture of Dorian Gray (The Original 1890 Uncensored Edition + The Expanded and Revised 1891 Edition)Calificación: 4 de 5 estrellas4/5 (9054)
- Wuthering Heights Complete Text with ExtrasDe EverandWuthering Heights Complete Text with ExtrasCalificación: 4 de 5 estrellas4/5 (9929)
