Securitatea Retelelor VPN [PDF]

Zitiervorschau

Structura temei: I. Prezentarea reţelelor VPN II. Avantajele şi scopul reţelelor VPN III. Strategii de implementare a reţelelor VPN IV. Traficul divizat prin tunel V. Autentificarea şi integritatea datelor VI. Transmiterea datelor prin tunel VII. Moduri de criptare

I.

Prezentarea reţelelor VPN

O reţea privată virtuală (VPN) este o conexiune criptată de reţea care foloseşte un tunel sigur între capete, prin Internet sau prin altă reţea, cum ar fi o reţea WAN. într-o reţea VPN, conexiunile pe linii telefonice către utilizatorii de la distanţă şi liniile închiriate sau conexiunile Frame Relay către locaţii aflate la distanţă sunt înlocuite prin conexiuni locale la un furnizor de servicii Internet (ISP) sau la un punct de prezenţă a unui furnizor de servicii (POP). Răspândirea din ce în ce mai mare a conexiunilor Internet de bandă largă către sediile mai mici de la distanţă şi către domicilii face atractivă această utilizare a unui acces ieftin la reţeaua Internet. După cum am explicat, după o investiţie iniţială în reţele VPN, costul pentru adăugarea mai multor locaţii sau utilizatori este minim. Reţelele VPN permit fiecărui utilizator al reţelei dumneavoastră să comunice într-un mod sigur şi fiabil folosind Internetul ca mediu de conectare la reţeaua dumneavoastră privată de tip LAN. O reţea VPN se poate dezvolta astfel încât să se adapteze la mai mulţi utilizatori şi la locaţii diferite, mai uşor decât prin linii închiriate. De fapt, scalabilitatea este un avantaj major al reţelelor VPN faţă de liniile închiriate tipice. Spre deosebire de liniile închiriate, în care costul creşte proporţional cu distanţele implicate, localizarea geografică a fiecărui sediu are puţină importanţă în crearea unei reţele VPN. Este posibil să existe reţele VPN necriptate, care se bazează pe un alt tip de criptare sau direcţionare pentru asigurarea securităţii; de exemplu, reţelele VPN de tip MPLS (Multiprotocol Labei Switching — comutarea etichetelor între mai multe protocoale). Aceste reţele VPN sunt o soluţie adecvată numai în condiţii foarte specifice. Experienţa spune că trebuie să criptaţi întotdeauna traficul printr-o reţea VPN. Dacă nu faceţi acest lucru, ar putea fi un dezastru, iar responsabilitatea va cădea pe umerii dumneavoastră. O reţea VPN permite unei reţele intranet private să fie extinsă în siguranţă prin criptare IPSec în Internet sau în alte servicii de reţea, facilitând un comerţ electronic sigur şi conexiuni extranet cu angajaţi mobili, parteneri de afaceri, furnizori şi clienţi. Există trei tipuri principale de reţele VPN: 

Reţele VPN pentru accesul de la distanţă (Remote Access VPN) — Permit fiecărui utilizator dialup să se conecteze în mod protejat la un sediu central prin Internet sau prin alt serviciu public de reţea. Acest tip de reţea VPN este o conexiune utilizator-LAN care permite angajaţilor o conectare din afară la reţeaua LAN a companiei. Sistemele angajaţilor folosesc o aplicaţie software client VPN specială, care permite o legătură sigură între ei şi reţeaua LAN a companiei. De obicei, o companie care doreşte să 1

configureze o reţea VPN mare de la distanţă, oferă o formă de cont dialup la Internet pentru utilizatorii săi, folosind pentru acces un furnizor ISP. În acest caz, utilizatorii situaţi la distanţă pot forma un număr gratuit pentru a ajunge în Internet şi pot folosi acel software client VPN pentru accesul la reţeaua companiei. Un exemplu bun de companie care are nevoie de o reţea VPN pentru acces de la distanţă poate fi o firmă cu sute de agenţi care lucrează în vânzări aflaţi în teritoriu. Reţelele VPN pentru acces de la distanţă sunt denumite uneori VPN soft (adică bazate pe software), reţele dialup private virtuale (VPDN) sau reţele dial VPN. Utilizatorii plătesc o taxă fixă mică unui furnizor local ISP folosind un apel local şi, în consecinţă, nu mai suportă cheltuielile pentru legăturile interurbane şi nu trebuie să stabilească un apel la distanţă direct cu sediul companiei. Utilizatorul poate apoi să folosească o conexiune ISP locală pentru a stabili un tunel VPN prin Internet. Managerii departamentelor financiare preferă cheltuielile mici, fixe, celor mereu în creştere, pentru distanţe mari. 

Reţele VPN locaţie-la-locaţie — Sunt folosite pentru a extinde reţeaua LAN existentă a companiei în alte clădiri şi locaţii, prin utilizarea unui echipament dedicat, astfel încât angajaţii din aceste locaţii aflate la distanţă să poată utiliza aceleaşi servicii de reţea. Aceste tipuri de reţele VPN sunt considerate conectate activ în permanenţă. Reţelele VPN locaţie-lalocaţie sunt uneori denumite reţele VPN nard (bazate pe hardware), intranet sau reţele VPN LAN-to-LAN.



Reţele VPN extranet — Permit conexiuni sigure cu partenerii de afaceri, furnizorii şi clienţii, în scopul comerţului electronic. Reţelele VPN extranet sunt o extindere a reţelelor VPN intranet prin adăugarea unor sisteme firewall de protejare a reţelei interne. Un exemplu bun sunt companiile care lucrează mult cu furnizori şi parteneri, având scopuri comune, cum ar fi relaţiile de tip aprovizionare-comenzi; una dintre companii are o comandă de aprovizionare, iar furnizorul satisface această comandă pe baza nevoilor companiei. Lucrând prin extranet, aceste două companii pot partaja informaţii mult mai rapid. Toate aceste reţele VPN au ca scop să ofere fiabilitate, performanţă, calitatea serviciilor şi securitatea mediilor WAN tradiţionale, folosind furnizori ISP sau alte servicii care asigură conexiuni mai ieftine şi mai flexibile. Figura 1 ilustrează cele trei tipuri de reţele VPN. Figura 1. Tipuri de reţele VPN

2

În figura 1, toate reţelele VPN folosesc Internetul. Tehnologia VPN poate, de asemenea, să fie folosită în cadrul reţelei dumneavoastră pentru a oferi un nivel suplimentar de securitate şi a controla accesul la informaţii secrete, la sisteme sau la resurse. De exemplu, tehnologia VPN poate fi folosită pentru a limita accesul la sisteme financiare ale anumitor utilizatori sau pentru a asigura transmiterea protejată a informaţiilor secrete sau confidenţiale. În acest context, reţelele VPN pot cripta traficul către sistemele importante, ridicând astfel nivelul de protecţie al acestuia. Secţiunea următoare prezintă amplasarea reţelelor VPN şi avantajele ce rezultă pentru fiecare.

II.

Avantajele şi scopul reţelelor VPN

O reţea VPN bine proiectată poate aduce multe avantaje companiei. Câteva dintre beneficiile implementării unei reţele VPN în reţeaua dumneavoastră sunt următoarele: 

Înainte de apariţia tehnologiilor VPN, angajaţii localizaţi la distanţă trebuiau să apeleze numere de telefon interurbane pentru a ajunge la reţeaua companiei. Veţi reduce cheltuielile cu telecomunicaţiile pe măsură ce conexiunile dedicate şi de tip dialup de la distanţe mari sunt înlocuite cu conexiuni locale la Internet, prin care utilizatorii folosesc un client VPN. În funcţie de numărul de angajaţi din teritoriu, această metodă singură poate aduce economii imense. Pentru multe companii mici, cu resurse financiare limitate, soluţia furnizorilor VPN poate fi utilă.



Creşteţi productivitatea utilizatorilor permiţându-le un acces sigur la resursele reţelei, indiferent de localizarea lor geografică.



Reduceţi cheltuielile operaţionale alocate conexiunilor WAN dedicate, înlocuindu-le cu conexiuni Internet directe, cum sunt cele de bandă largă pentru afaceri, prin care locaţiile aflate la distanţă se vor conecta printr-o reţea VPN locaţie-la-locaţie.



Simplificaţi topologia reţelei dumneavoastră adăugându-i strategic reţele VPN peste tot.



Cerinţele dumneavoastră pentru lărgimea de bandă sunt modeste, în cazul în care locaţiile au nevoie de conectivitate la reţeaua dumneavoastră. Folosind reţele VPN, veţi avea o recuperare mai rapidă a investiţiilor decât atunci când aplicaţi soluţia WAN.



Doriţi o mai mare flexibilitate în instalarea echipamentelor mobile de calcul, de 3

telecomunicaţii şi pentru lucrul în reţea cu filialele, un comerţ electronic mai uşor şi conexiuni extranet cu partenerii de afaceri, cu furnizorii şi pentru accesul la Internet al clienţilor externi, un intranet intern şi acces extranet — toate acestea pot fi asigurate folosind o singură conexiune sigură. 

Doriţi să reduceţi cheltuielile aferente sediilor, cerând utilizatorilor să lucreze acasă trei zile pe săptămână. Lucrând acasă, utilizatorii casnici au, de obicei, o productivitate mai mare şi sunt mai puţin stresaţi. Înainte de a implementa o reţea VPN, ar trebui să alocaţi suficient timp pentru a gândi ce doriţi să realizaţi cu aceasta. în acest timp, înainte de a alege un furnizor de soluţii ori hardware şi software, ar trebui să luaţi în considerare ce caracteristici sunt mai importante. Securitatea, menţionată mai târziu, este una dintre cele mai importante proprietăţi ale reţelelor VPN.

III.

Strategii de implementare a reţelelor VPN

Strategiile de implementare a reţelelor VPN sunt extrem de variate deoarece toţi furnizorii de azi au „o soluţie VPN" pentru dumneavoastră! Unele dintre soluţii sunt ceea ce se pretinde că sunt, iar altele ridică probleme mari în rândul comunităţii preocupate de securitate. Deoarece nu există un standard larg acceptat de implementare a unei reţele VPN, multe companii au dezvoltat soluţii proprii, la cheie. Această secţiune analizează câteva dintre diferitele componente posibile, disponible la firma Cisco, precum şi modul în care fiecare dispozitiv, de exemplu sistemele firewall, pot fi folosite pentru a juca rolul unei reţele VPN: 

Sistemele firewall — În prezent, toate sistemele firewall Cisco acceptă combinarea reţelelor VPN cu inspectarea pachetelor în funcţie de stare (SPI). Soluţiile variază începând cu reţelele VPN de tip locaţie-la-locaţie bazate pe standarde care realizează un echilibru între standardele Internet Key Exchange (IKE) şi IPSec pentru VPN. Sistemele firewall Cisco PIX criptează datele folosind standardul DES (Data Encryption Standard) pe 56 de biţi, Triple DES (3DES) pe 168 de biţi sau chiar criptarea AES (Advanced Encryption Standard) pe 256 de biţi. Fiind un exemplu minunat de tehnologie, Cisco PIX Firewall combină traducerea NAT (Network Address Translation) dinamică, filtrarea pachetelor de server proxy, un sistem firewall şi funcţii terminale VPN într-un singur echipament hardware. În loc să folosească Cisco IOS Software, acest dispozitiv are un sistem de operare de mare viteză, care preia rolul de a lucra cu diverse protocoale, pentru a oferi robusteţe şi performanţă concentrându-se pe servicii IP.



Routere cu capacităţi VPN — Routerele Cisco pot fi modernizate pentru a avea capacitatea de a folosi reţele VPN. Aceste modernizări vin sub una dintre următoarele forme, în funcţie de modelul de router în discuţie: IOS, memorie sau hardware VPN dedicat. Puteţi obţine câteva funcţii unice care oferă scalabilitate, direcţionare, securitate şi calitatea serviciilor (QoS). Dacă se foloseşte Cisco IOS Software, se obţine un router potrivit pentru orice situaţie, de la accesul de la un sediu mic sau de acasă (SOHO — small office/home office) prin asocierea sediu central-site VPN, până la cerinţele unei întreprinderi de mari proporţii.



Concentrator VPN — Incorporând cele mai avansate tehnici de criptare şi autentificare disponibile, concentratoarele Cisco VPN sunt construite special pentru a 4

crea reţele VPN cu acces de la distanţă, care asigură o disponibilitate ridicată, performanţă ridicată şi scalabilitate, şi includ componente numite module de prelucrare scalabilă a criptării (SEP — scalable encryption processing), prin care se permite inginerilor de reţea să crească, fără probleme, capacitatea şi volumul transferului. Concentratoarele VPN sunt construite pentru a satisface cerinţele reţelelor VPN şi sunt disponibile în modele adecvate pentru orice, începând cu micile firme de până la 100 de utilizatori cu acces de la distanţă, până la organizaţiile mari cu până la 10 000 de utilizatori simultani de la distanţă. 

Software client — Uşor de instalat şi de operat, Cisco VPN Client stabileşte tuneluri sigure, de tip end-to-end, criptate, pentru dispozitivele VPN pomenite mai jos. Acest software de fineţe, compatibil cu IPSec poate fi preconfigurat pentru instalări comasate, iar deschiderile iniţiale de sesiuni necesită o intervenţie redusă a utilizatorului. Aplicaţia software client este disponibilă pentru următoarele sisteme de operare: Windows 95, 98, Me, NT 4.0, 2000, XP, Linux (Intel), Solaris (UltraSparc32bit) şi MAC OS X 10.x. În funcţie de tipul de reţea VPN (cu acces de la distanţă sau locaţie-la-locaţie), trebuie să folosiţi componente hardware specifice pentru a construi reţeaua VPN. Totuşi, luaţi în considerare şi următoarele: 

Capacitatea de gestionare — Capacitatea de gestionare a unei reţele VPN se referă la efortul necesar pentru a întreţine cu succes conectivitatea stabilită a reţelei. Mai exact, PC Magazine defineşte capacitatea de gestionare prin „factorii care facilitează utilizarea opţiunilor de management de la distanţă şi local, inclusiv faptul că dispozitivul furnizează un acces printr-o interfaţă bazată pe un browser sau prin linie de comandă" (PC Magazine, 2002).



Fiabilitatea — Evident, dacă un produs software sau hardware VPN nu este disponibil atunci când aveţi nevoie, pierdeţi din productivitate şi, probabil, din venituri. La alegerea unei soluţii, solicitaţi statisticile cu „durata de funcţionare" pentru a face comparaţie.



Scalabilitatea — Pe măsură ce afacerea unei companii se dezvoltă, adesea, se dezvoltă şi cerinţele acesteia pentru tehnica de calcul. Pentru a extinde infrastructura VPN rapid şi cu costuri reduse, este important să alegeţi o soluţie care ia în considerare scalabilitatea. Ceea ce-şi doreşte mai puţin un manager IT este să fie nevoit să o ia de la început şi să înlocuiască infrastructura VPN din cauza unei limitări în potenţialul de dezvoltare al acesteia. La selectarea dispozitivului potrivit să ofere servicii VPN pentru reţeaua dumneavoastră, trebuie să aveţi în vedere limitările. De exemplu, sistemul IOS al unui router poate fi terminalul reţelelor VPN, dar aceasta este o procedură manuală de configurare şi necesită o înţelegere mai profundă decât în cazul unui sistem firewall PIX, care are disponibil programul VPN Configuration Wizard cu interfaţă GUI. Mai există Cisco VPN Concentrator, care completează sistemul PIX sau IOS cu o interfaţă GUI puternică, facilitând managementul mai multor politici VPN. Cisco VPN Concentrator oferă instrucţiuni intuitive pentru configurarea acestor politici şi grupuri diferite, permiţând astfel existenţa mai multor utilizatori diferiţi într-o reţea cu diferite grupuri de executare asociate acelui grup. De 5

obicei, aduc în discuţie un concentrator atunci când clientul are un personal limitat şi are nevoie de mai multe cerinţe diferite pentru politica VPN. Sistemul IOS cu PIX este mai dificil de configurat şi de controlat pentru această cerinţă particulară. De asemenea, nu uitaţi de scalabilitate.

IV.

Traficul divizat prin tunel

Mulţi utilizatori VPN se află deja în spatele sistemelor firewall şi trebuie să aibă acces la resurse doar printr-o reţea VPN. Reţelele tradiţionale VPN nu permit utilizatorilor să aibă acces şi la resursele de reţea din segmentul lor local, în timp ce sunt conectaţi la reţeaua VPN a companiei. Acest lucru devine o problemă când, autentificând pachete IP dintre dispozitivele IPSec care participă („peers"), cum sunt routerele Cisco sau sistemele firewall. IPSec oferă următoarele servicii de securitate a reţelei: 

Confidenţialitatea datelor — Expeditorul IPSec poate cripta pachetele înainte de a le transmite printr-o reţea. Dacă un hacker ar citi datele, acestea nu i-ar fi de nici un folos.



Integritatea datelor — Punctul final receptor IPSec autentifică toate pachetele trimise de expeditorul IPSec, asigurându-se că datele nu au fost modificate în timpul transmisiei.



Autentificarea originii datelor — Receptorul IPSec poate autentifica sursa pachetelor IPSec transmise. Acest serviciu depinde de serviciul de integritate a datelor.



Nu permite reluarea transmiterii pachetelor — Receptorul IPSec poate detecta şi respinge pachetele retransmise. IPSec protejează datele importante care trec prin reţelele neprotejate, iar serviciile de securitate IPSec sunt oferite la nivelul stratului reţea. De aceea, nu trebuie să configuraţi separat staţiile de lucru, PC-urile sau aplicaţiile. Acest avantaj poate aduce mari reduceri de cheltuieli. În loc să oferiţi serviciile de securitate pe care nu aveţi nevoie să le instalaţi şi să coordonaţi securitatea fiecărei aplicaţii şi a fiecărui calculator în parte, puteţi modifica pur şi simplu infrastructura reţelei pentru a oferi servi ciile necesare de securitate. Acest suport permite soluţii IPSec scalate pentru reţele de dimensiuni medii, mari şi în dezvoltare, acolo unde este solicitată o conexiune între mai multe dispozitive. IPSec oferă funcţii performante de securitate, cum sunt algoritmii mai buni de criptare şi o autentificare mai cuprinzătoare. Reţelele de companii conectate la Internet pot permite un acces VPN flexibil şi sigur cu IPSec. În cazul tehnologiei IPSec, clienţii pot construi reţele VPN prin Internet având o protecţie bazată pe criptare în faţa atacurilor de interceptare, de sustragere sau de alt tip, care pătrund în comunicaţiile private. Doar sistemele compatibile IPSec pot beneficia de avantajul acestui protocol. De asemenea, toate dispozitivele trebuie să folosească o cheie comună şi fiecare sistem firewall al reţelei trebuie să aibă configurate politici similare de securitate. IPSec asigură servicii de autentificare şi criptare pentru protecţia împotriva vizualizării sau modificării neautorizate a datelor din reţeaua dumneavoastră sau în timpul transferului printr-o reţea neprotejată, cum este Internetul public. IPSec poate cripta date între diferite dispozitive, cum sunt: 

router către router;



sistem firewall către router;



sistem firewall către sistem firewall;



utilizator către router;



utilizator către sistem firewall;



utilizator către concentrator VPN; 6



utilizator către server.

IPSec este o structură de standarde deschise, definite de organizaţia IETF. IPSec oferă securitatea transmisiei informaţiilor confidenţiale prin reţelele neprotejate, cum este Internet. Figura 2 arată cele mai uzuale trei tipuri de reţele VPN. Figura 2. Schema conectivităţii VPN

V.

Autentificarea şi integritatea datelor

Pentru a stabili adevărul, autentificarea verifică identitatea a două puncte de capăt VPN şi a utilizatorilor ce transmit traficul prin reţeaua VPN. Un punct de capăt ar putea fi un client VPN, un concentrator VPN, un sistem firewall sau un router. Autentificarea este un proces ce ţine de securitatea IP şi care are loc după criptarea datelor şi înainte de decriptare, la capătul receptor. Este o funcţie necesară în cadrul securităţii IP, prin care se asigură că ambele părţi, expeditorul şi destinatarul, sunt cine pretind a fi. În cazul IPSec, fiecare participant trebuie configurat manual cu o cheie partajată anterior (de obicei se convine asupra ei în afara unei conexiuni) şi o listă statică de participanţi valabili, creând astfel un tabel mare în cadrul routerului, care necesită resurse de memorie. Integritatea datelor este o altă funcţie din IPSec. Integritate înseamnă că pachetul primit de destinatar nu a fost modificat în timpul transmisiei. Acest lucru se realizează folosind un algoritm hash ireversibil. Un algoritm hash ireversibil este echivalent cu o sumă de control criptată. După ce expeditorul criptează şi autentifică un pachet, algoritmul hash ireversibil este rulat pe valoarea întregului pachet. O valoare hash este interesantă pentru că rezultatul acesteia va avea întotdeauna o dimensiune fixă, indiferent de intrare. Acesta este un alt mecanism de securitate, astfel încât hackerii să nu poată şti dimensiunea câmpului de intrare. Algoritmul hash ireversibil creează un câmp criptat anexat la mesaj. La capătul receptor, valoarea hash ireversibilă este extrasă din pachet, iar receptorul rulează propriul său algoritm hash. Deoarece algoritmul hash este rulat asupra unor variabile din pachet, cum sunt ora transmiterii, numărul de octeţi etc, ambele valori hash trebuie să fie aceleaşi, acest lucru însemnând că 7

pachetul nu a fost viciat. Dacă valorile sunt diferite, pachetul este respins, iar IPSec renegociază parametrii securităţii.

VI.

Transmiterea datelor prin tunel

Reţelele VPN se bazează pe transmiterea prin tunel pentru a crea o reţea privată în Internet. În esenţă, acesta este procesul de preluare a unui pachet întreg de date şi de încapsulare a lui în cadrul altui pachet, înainte de a-l trimite prin reţea. Reţeaua trebuie să înţeleagă protocolul pachetului din exterior, pentru ca acesta să intre şi să iasă din reţea. Crearea unui tunel necesită funcţionarea a trei protocoale diferite: 

Protocolul pasagerului (passenger protocol) — Pachetul datelor iniţiale, de obicei de tip IP, care trebuie criptat în reţeaua VPN. Ar putea fi incluse şi alte protocoale precum IPX sau NetBEUI, dacă doriţi.



Protocolul de încapsulare (encapsulating protocol) — Protocolul (GRE, IPSec, L2F, PPTP, L2TP) care înglobează datele iniţiale. IPSec este standardul de facto folosit ca protocol de încapsulare în această etapă care permite întregului pachet pasager să fie criptat şi protejat. IPSec trebuie să fie acceptat de ambele interfeţe ale tunelului pentru a funcţiona corect.



Protocolul purtătoarei (carrier protocol) — Protocolul folosit de reţea prin care călătoreşte informaţia. Pachetul iniţial (protocolul pasagerului) este încapsulat în cadrul protocolului de încapsulare şi introdus apoi în antetul protocolului purtătoarei (de obicei IP) pentru o transmisiune prin reţeaua publică. Protocolul de încapsulare realizează adeseori criptarea datelor. După cum vedeţi, protocoale ca IPX şi NetBEUI, care nu sunt transferate de obicei prin Internet, pot fi transmise în siguranţă. Sau, se poate pune un pachet care foloseşte o adresă IP privată (adresă IP pe baza căreia nu se poate realiza direcţionarea) în cadrul unui pachet care foloseşte o adresă IP unică globală, pentru a extinde o reţea privată în Internet. Aceste tehnici pot face aceste protocoale să funcţioneze folosind protocoalele GRE şi IPSec. Transmiterea prin tunel funcţionează bine cu reţelele VPN, deoarece se pot folosi protocoale care nu sunt acceptate în Internet în cadrul unui pachet IP şi acesta poate să fie transmis în siguranţă în continuare. La începutul unei transmisiuni VPN prin tunel, un pachet de date de la o sursă LAN este înglobat sau încapsulat cu informaţii noi de antet, care permit reţelelor intermediare să-1 recunoască şi să-l livreze. După această operaţie şi după ce transmisiunea este încheiată, antetul protocolului pentru tunel este îndepărtat, iar pachetul original este transferat în reţeaua LAN de destinaţie, pentru a fi livrat. Deşi transmisia prin tunel permite datelor să fie purtate prin reţele ale unor terţe părţi, acesta nu poate asigura singură protecţia datelor. Pentru a proteja o transmisie prin tunel în faţa oricărui tip de interceptare şi sustragere, întregul trafic prin reţelele VPN este criptat. În plus, reţelele VPN conţin funcţii suplimentare, precum sistemele firewall de la periferie. În reţelele VPN de tip locaţie-la-locaţie, protocolul de încapsulare este de obicei IPSec sau încapsularea cu direcţionare generică (GRE). GRE conţine informaţii despre tipul de pachet încapsulat şi despre conexiunea dintre client şi server. Diferenţa depinde de nivelul de securitate necesar pentru conexiune, securitatea fiind mai mare cu IPSec, iar GRE având o mai mare 8

funcţionalitate. IPSec poate crea tuneluri şi poate cripta pachete IP, pe când GRE poate crea tuneluri pentru pachete IP şi pentru pachete care nu sunt IP. Când trebuie să fie transmise prin tunel, pachetele care nu sunt IP (precum IPX), IPSec şi GRE ar trebui folosite împreună.

VII.

Moduri de criptare

IPSec are două moduri de criptare: tunel şi transport. Fiecare mod diferă prin aplicaţiile sale şi prin cantitatea de informaţii adăugate în antetul pachetului pasager. Aceste moduri diferite de operare sunt rezumate astfel: modul tunel criptează antetul pachetului şi segmentul de date utile al fiecărui pachet, pe când modul transport criptează doar segmentul cu datele utile. Modul tunel Aceasta este metoda normală prin care IPSec este implementat între două sisteme PIX Firewall (sau alte porţi de securitate) care sunt conectate printr-o reţea lipsită de încredere, cum este Internetul public. Întreaga prezentare legată de IPSec implică modul tunel. Modul tunel încapsulează şi protejează un pachet IP complet. Deoarece încapsulează sau ascunde pachetele pentru a fi transmise în continuare cu succes, chiar routerele de criptare posedă adresele IP folosite în aceste antete noi. Modul tunel poate fi folosit cu oricare dintre protocoalele ESP (Encapsulating Security Protocol — protocol de securitate cu încapsulare) şi AH (Authentication Header — antet de autentificare) sau cu amândouă. Folosirea modului tunel duce la o creştere suplimentară a pachetului, cu aproximativ 20 de octeţi asociaţi la antetul IP, căci trebuie să se adauge un antet IP nou la pachet, ca în figura 3. Figura 3. Modul tunel

Modul transport Această metodă de implementare a tehnologiei IPSec este aplicată mai ales cu protocolul L2TP pentru a permite autentificarea clienţilor VPN Windows 2000 aflaţi la distanţă. În modul tunel, IPSec criptează întregul pachet şi scrie un nou antet IP în pachet, ceea ce maschează informaţiile despre sursa iniţială şi destinatar. Modul tunel este evident mai sigur decât modul transport (deoarece întregul pachet iniţial este criptat, nu numai segmentul de date propriu-zise ca în modul transport), cum este arătat în figura 4. Figura 4. Modul transport

9