lab6 protectia informatie

7/29/2019 Lab6 Protectia Informatie

http://slidepdf.com/reader/full/lab6-protectia-informatie 1/21

MINISTERUL EDUCAŢEI ŞI TINERETULUI AL REPUBLICII MOLDOVA

UNIVERSITATEA TEHNICA A MOLDOVEI

FACULTATEA DE INGINERIE SI MANAGMENT IN ELECTRONICĂ ŞITELECOMUNICAŢII

CATEDRA TELECOMUNICATII

LUCRAREA DE LABORATOR NR 6

REFERAT

Tema : VPN

La disciplina: Protecţia informaţiei

A efectuat:

st.gr.TLC-094 Beleuţa Alina

A verificat:conf. univ., dr. Ciobanu Mihai

CHIŞINĂU 2012



O reţea privată virtuală (virtual private network , prescurtat VPN ) este o

tehnologie de comunicaţii computerizate sigure, folosite de obicei în cadrul unei

companii, organizaţii sau al mai multor companii, dar bazate pe o reţea publică şi

de aceea nu foarte sigură. Tehnologia VPN este concepută tocmai pentru a crea

într-o reţea publică o subreţea de confidenţialitate la fel de înaltă ca într-o reţea

privată adevărată, la care sunt legaţi numai utilizatori autorizaţi. În mod intenţionat

această subreţea, denumită totuşi "reţea VPN", nu poate comunica cu celelalte

sisteme sau utilizatori ai reţelei publice de bază. Utilizatorii unei reţele VPN pot

căpăta astfel impresia că sunt conectaţi la o reţea privată dedicată, independentă, cu

toate avantajele pentru securitate, reţea care în realitate este doar virtuală, ea de

fapt fiind o subreţea înglobată fizic în reţeaua de bază.

O reţea privată virtuală (VPN) este o reţea care utilizează o infrastructură de

telecomunicaţii publice, cum ar fi internetul, pentru a oferi birourilor de la distanţă

sau utilizatorilor individuali, acces securizat la reţeaua organizaţiei lor. O reţea

virtuală privată poate fi o alternativa pentru un sistem de linii inchiriate închiriate

la costuri foarte mari si care pot fi utilizate numai de o singură organizaţie. Scopul

unui VPN este de a oferi organizaţiei aceleaşi funcţii, ca un sistem de linii

inchiriate intre birouri dar la un cost mult mai mic.

Un VPN lucreaza prin utilizarea în comun a infrastructurii publice, menţinând în

acelaşi timp viaţa privată prin intermediul procedurilor de securitate şi protocoale

de tunelare, cum ar fi Layer Two Tunneling Protocol (L2TP).

http://ro.wikipedia.org/wiki/Computer

http://ro.wikipedia.org/wiki/Computer



Figura 1 Internet VPN

Intr-o retea virtuala privata datele sun criptate in momentul in care pleaca

din punctul A si decriptate cand ajung in punctul B in acest fel VPN-ul este

imposibil de accesat atat timp cat nu ai acces la sistemul de criptare care a fost

configurat intre aceste puncte. Chiar daca pachetele sunt interceptate datele

transmise sunt in siguranta avand in vedere ca, tot traficul realizat intre filiale este

criptat. VPN-ul poate fi folosit de firme cu un singur birou , care pot oferii access

securizat de acasa pentru angajati la reteaua firmei sau multinationale cu n

birouri/filiale. Firma noastra va ofera solutii VPN la preturi fara concurenta in

functie de siguranta si bugetul pe care il aveti la dispozitie. Prezentare retelelor

VPN

O retea private virtuala (VPN) este o conexiune criptata de retea care

foloseste un tunnel sigur intre capete, prin Internet sau prin alta retea, cum ar fi o

retea WAN. Intr-o retea VPN, conexiunile pe liniile telefonice catre utilizatorii de

la distanta si liniile inchiriate sau conexiunile Frame Relay catre locatii aflate la

dintanta sunt inlocuite prin conexiuni locale la un furnizor de servicii Internet (ISP)

sau la un punct de prezenta a unui furnizor de servicii (POP). Raspandirea din ce in

ce mai mare a conexiunilor de banda larga, face atractiva aceasta utilizare a unui



acces ieftin la eeteaua Internet. Dupa cum am explicat, dupa o investitie initiala in

retele VPN, costul pentru adaugarea altor locatii sau utilizatori este minm.

Retelele VPN permin fiecarui utilizator al retelei sa comunice intr-un mod

sigur si fiabil folosind internetul ca mediu de conectare la reteaua private de tipLAN. O retea VPN se poata dezvolta astfel incat sa se adapteze la mai multi

utilizarori si locatii diferite, mai usor decat prin linii inchiriate. Spre deosebire de

liniile inchiriate, in care costul creste proportional cu distantele implicate,

pocalizarea geagrafica a fiecarui sediu/utilizator are putina importanta in crearea

unei retele VPN.

O retea VPN permite unei retele intranet private sa fie extinsa in siguranta

prin criptare IPSec in Internet, facilitand un comert electronic sigur si conexiuni

extranet cu angajati mobili, parteneri de afaceri, furnizori si clienti. Exista trei

tipuri principale de retele VPN:

Retele VPN pentru accesul de la distanta ( remote access VPN) –

permit fiecarui utilizator dialup sa se conecteze in mod partajat la un sediu

central prin Internet sau alt serviciu public de retea. Acest tip de retea VPN este

o conexiune utilizator LAN care permite angajatilor o conectare din afara la

reteaua LAN a companiei. Sistemele angajatilor folosesc o aplicatie software

client VPN speciala, care permite o legatura sigura intre ei si reteaua LAN a

companiei.

Retele VPN locatie-la-locatie (site-to-site) – sunt folosite pentru a

extinde reteaua LAN a companiei in alte cladiri si locatii, prin utilizarea unui

echipament dedicat, astfel incat angajatii din aceste locatii aflate la distanta sa

poata utilize aceleasi servicii de retea. Aceste tipuri de retele VPN sunt

conectate in permanenta.

Retele VPN extranet – permit conexiuni sigure cu partenerii de afaceri,

furnizorii si clientii, in scopul comertului electronic. Retelele VPN extranet sunt

o extindere a retelelor VPN intranet prin adaugare a unor sisteme firewall deprotejare a retelei interne.



Figura 2 Retele VPN

ACCESUL DE LA DISTANTA

Reteaua virtuala privata (Remote-Access VPN) permite pertenerilor de

afaceri, clientilor sau angajatilor aflati la distanta, accesul securizat la intranet,

utilizand un furnizor local de servicii Internet (comexiune dial-up, radio, DSL, etc).

Figura 3 Accesul la distanta

Există două tipuri de conexini VPN de acest fel:

http://www.arlug.ro/wp-content/uploads/2010/01/011.jpg




Conexiune iniţiată de client – Clienţii care vor să se conecteze la site-ul

firmei trebuie să aibă instalat un client de VPN, acesta asigurându-le criptarea

datelor între computerul lor şi sediul ISP-ului. Mai departe conexiunea cu sediul

firmei se face de asemenea în mod criptat, în concluzie întregul circuit al

informaţiei se face în mod criptat. Trebuie precizat că în cazul acestui tip de VPN

sunt folosiţi o multitudine de clienţi de VPN. Un exemplu este Cisco Secure VPN

dar şi Windows NT sau 2000 au integrat clienţi de VPN. Figur a 1.4.1b

schematizează acest tip de Access VPN :

Figura 4. Acces de la distanţă iniţiat de client

Access VPN iniţiat de serverul de acces – acest tip de conexiune este ceva

mai simplă pentru că nu implică folosirea unui client de VPN.Tunelul criptat se

realizează între server -ul de acces al ISP-ului şi sediul firmei la care se vrea

logarea. Între client şi server -ul de acces securitatea se bazează pe siguranţa liniilor

telefonice (fapt care uneori poate fi un dezavantaj).

Figura 5 Acces de la distanţă iniţiat de server -ul de acces



Arhitectura unei retele VPN

Pentru cei ce doresc să stabilească o conexiune VPN sunt disponibile mai

multe metode (bazate pe nivelele 2 şi 3 din Modelul OSI), împreună cu

tehnologiile respective. Reţeaua VPN poate fi stabilită şi administrată la sediul

clientului, sau şi de către furnizorul de servicii de telecomunicaţii. De asemenea,

pentru a satisface cerinţe speciale, există şi posibilitatea de a combina mai multe

din aceste metode între ele.

Figura 4 Arhitecura unei retele VPN

Tipuri de VPN

VPN-urile sigure folosesc cryptografic tunneling protocols. Acestea sunt

protocoale criptice (codificate) care asigură confidenţialitatea (blocând intruşii),

autenticitatea expeditorului şi integritatea mesajelor. Dacă sunt alese, implementate

şi utilizate în mod corespunzător, astfel de tehnici pot asigura comunicaţii sigure

chiar în cadrul unei reţele nefiabile.

Deoarece o astfel de alegere, implementare şi folosire nu sunt sarcini simple,

există pe piaţă multe scheme VPN nefiabile (nesatisfăcătoare).

http://ro.wikipedia.org/wiki/OSI


http://ro.wikipedia.org/w/index.php?title=Cryptografic&action=edit&redlink=1

http://ro.wikipedia.org/w/index.php?title=Tunneling_protocols&action=edit&redlink=1

http://upload.wikimedia.org/wikipedia/ro/8/83/Arhitectura_vpn.PNG

http://ro.wikipedia.org/w/index.php?title=Tunneling_protocols&action=edit&redlink=1

http://ro.wikipedia.org/w/index.php?title=Cryptografic&action=edit&redlink=1




Tehnologiile VPN sigure pot fi de asemenea utilizate pentru a creşte

securitatea în infrastructura reţelelor.

Tunneling

Tunneling reprezintă transmiterea datelor în cadrul unei reţele publice astfel

încât aceasta să nu "înţeleagă" faptul că transmiterea (transportul de informaţii) e

parte a unei reţele private. Este realizat prin încapsularea datelor apartenente reţelei

private şi crearea unui protocol care să nu permită accesul nimănui la acestea.

Tunneling permite folosirea reţelelor publice (Internet), văzute astfel ca "reţele

private" sau aproape private

Reţele private virtuale (dinamice). Întreprinderile A şi B nu se "văd" şi nu se

deranjează reciproc, deşi ambele folosesc aceeaşi reţea fizică publică

Figura 6 Reţele private virtuale (dinamice).

Trafic divizat prin tunel

Multi utilizatori VPN se afla deja in spatele sistemelor firewall si trebuie sa

aiba acces la resurse doar printr-o retea VPN. Retelele traditionale VPN nu permit

utilizatorilor sa aibe acces si la resursele de retea din segmentul lor local, in timp

http://ro.wikipedia.org/w/index.php?title=Tunneling_protocol&action=edit&redlink=1

http://ro.wikipedia.org/wiki/Internet


http://upload.wikimedia.org/wikipedia/ro/7/79/Dynamic_VPN.PNG


http://ro.wikipedia.org/w/index.php?title=Tunneling_protocol&action=edit&redlink=1



ce sunt conectati la reteaua VPN a companiei. Acest lucru devine o problema cind,

de exemplu acesti utilizatori trebuie sa acceseze un sistem printr-o retea VPN si sa

efectueze listari la o imprimanta de retea locala. Pentru a corecta aceasta posibila

problema, a fost introdusa o functie numite split tunneling (trafic divizat prin

tunel)

Traficul divizat prin tunel are loc atunci cind unui utilizator VPN, aflat la

distanta sau o alta locatie indepartate au permisiunea de a accesa o retea publica

(Internet) si in acelasi timp acceseaza si reteaua privata VPN fata a plasa mai intii

traficul retelei publice in interiorul tunelului. Totusi aceasta nu este intotdeauna cea

mai potrivita functie care sa fie activata, deoarece ar putea permite unui atacator sa

compromita un calculator care este conectat la doua retele.

Figura 7 Functionarea traficului divizat prin tunel

Strategii de implementare a retelelor VPN

Strategiile de implementare a retelelor VPN sunt extreme de variate

deoarece toti furnizorii de azi au ,,o solutie VPN―. Unele dintre solutii sunt ceea ce

pretinde ca sunt, iar altele ridica probleme mari in randul comunitatii preocupate de

securitate. Deoarece nu exista un standard larg acceptat de implementare a unei

retele VPN, multe companii au dezvoltat solutii proprii, la cheie.

Aceasta sectiune analizeaza cateva dintre diferitele componente posibile,

disponibile la firma Cisco, precum si modul in care fiecare dispozitiv, precum

sistemele firewall, pot fi folosite pentru a juca rolul unei retele VPN:

Sistemele firewall – Sistemele firewall sunt vitale pentru securitatearetelei. In present, toate sistemele firewall Cisco accepta combinarea retelelor




VPN cu inspectarea pachetelor in functie de stare (SPI). Solutiile variaza

incepand cu retelele VPN de tip locatie-la-locatie bazate pe standarde care

realizeaza un echilibru intre standardele Internet Key Exchange (IKE) si IPSec

pentru VPN. Sistemele firewall Cisco PIX cripteaza datele folosind standardul

DES (Data Encryption Standard) pe 56 de biti, Triple DES (3DES) pe 168 de

biti sau chiar criptarea AES (Advanced Encryption Standard) pe 256 de biti.

Fiind un exemplu minunat de tehnologie, Cisco PIX Firewall combina

traducerea NAT (Network Address Translation) dinamica, filtrarea pachetelor

de server proxy, un sistem firewall si functii terminale VPN intr-un singur

echipament hardware.

Figura 8 Firewall cu VPN integrat

Routere cu capacitati VPN – Routerele Cisco pot fi modernizate pentru

a avea capacitatea de a folosii retele VPN. Aceste modernizari vin sub una din

urmatoarele forme, in functie de modelul de router in discutie: IOS, memorie

sau hardware VPN dedicate. Se poate obtine functii unice care ofere

scalabilitate, directionare, securitate si calitatea serviciilor (QoS). Folosiind

Cisco IOS Software, se obtine un router potrivit pentru orice situatie.



Figura 9 Soluţie VPN bazată pe routere

Router Wireless-G VPN Linksys WRV210-EU

Caracteristici tehnice

Porturi:LAN (RJ-45) ports quantity: x 4DC-in jack: x 1

WAN port: x 1

Viteza de transfer:

Maximum data transfer rate: 0.054 Gbit/s

Supported data transfer rates: 1, 2, 5.5, 11, 6, 9, 11, 12, 18,

24, 36, 48, 54 Mbps

Castig (dBi): Antenna gain level: 2x2 dBi

Caracteristici

speciale:Compatible operating systems: Linux

Altele:

Management protocols: SNMP 1/2c

Supported network protocols: TCP/IP

Certification: FCC B, CE, IC

Sediul central

Filiala

Internet

Biroul de acasa



Intellinet Dual WAN VPN Router

Porturi si conectori: 5 x RJ-45 LAN 2 x RJ-45 WAN

Porturi WAN: 2

Porturi LAN: 5

Memorie SDRAM: 16

Memorie FLASH: 4 MB

Firewall: access control-based on MAC address, URL

filter and DMZ (demilitarized zone)

Standarde: IEEE 802.11b (11 Mbps Wireless LAN) IEEE

802.11g (54 Mbps Wireless LAN) IEEE 802.11n

Draft 2.0 (300 Mbps Wireless LAN) IEEE 802.3(10Base-T Ethernet) IEEE 802.3u (100Base-TX

Fast Ethernet)

Serioux SWR54BGA Router

Cracteristici tehnice

Router wireless: Da, Protocol wireless: 802.11b/802.11g,

Viteza WiFi: 54 Mbps,

Numar de porturi LAN: 4 porturi LAN, LAN: 10/100,

Optiuni de securitate: WPA/WPA2/PSK/VPN/Firewall, Criptare WEP: 64 bit/128

bit



Concentrator VPN – incorporand cele mai avansate tehnici de criptare

si autentificare disponibile, concentratoarele Cisco VPN sunt construite special

pentru acrea retele VPN cu acces de la distanta, care asigura o disponibilatate

ridicata, performanta ridicata si scalabilitate, si include componente numite

module de prelucrare scalabila acriptarii (SEP — scalable encryption

processing), prin care se pernite cresterea capacitatii si volumul transferului.

Concentratoarele VPn sunt construite pentru a satisface cerintele retelelot VPN

si sunt disponibile in module adecvate pentru orice, incepand cu firme, de 100

utilizatori si pana la organizatii de 10 000 utilizatori simultani de la distanta.

Software client – Usor de instalat si operat, Cisco VPn Client stabileste

tuneluri sigure, de tip end-to-end, criptate, pentru dispozitivele VPN pomenite

mai jos. Acest software de finete, conpatibil cu IPSec poate fi preconfigurat

pentru instalari conasate, iar deschideriile initiale de sesiuni necesita o

interventie redusa a utilizatorului.

In functire de tipul de retea VPN (cu acces de la distanta sau locatie-la-

locatie ), trebuie folosite componente hardware specifice pentru a construe reteaua

VPN. Totusi luati in considerare si urmatoarele:

Capacitatea de gestionare – capacitatea de gestionare a unei retele VPN

se refera la efortul necesar pentru a intretine cu succes conectivitatea stabilita a

retelei. Mai exact, PC Magazine defineste capacitatea de gestionare prin

„factorii care faciliteaza utilizarea optiunilor de management de la distanta si

local, inclusiv faptul ca dispozitivul furnizeaza un acces printr-o interfata bazata

pe un browser sau prin linie de comanda‖ (PC Magazine 2002).

Fiabilitatea – evident, daca un produs software sau hardware VPN nu

este disponibil atunci cind aveti nevoie, pierdeti din productivitate si, probabil

din venituri.

Scalabilitatea – pe masura ce afacerea unei companii se dezvolta,

adesea, se dezvolta si cerintele acesteia pentru tehnica de calcul. Pentru a

extinde infrastructura VPN rapid si cu costuri reduse, este important sa alegeti o

solutie care ia in considerare scalabilitatea. Ceea ce isi doreste mai putin un



manager IT este sa fie nevoit sa o ia de la inceput si sa inlocuiasca

infrastructura VPN din cauza unei limitari in potentialul de dezvoltare al

acesteia.

Functionarea retelelor VPN de tip IPSec

IPSec a devenit standardul de facto pentru crearea retelelor VPN in industria

retelelor. Mai multi furnizori au implementat-o si, pentru ca Internet Engineering

Task Force (IETF) a devenit IPSec intr-un document RFC, interoperabilitatea

dintre furnizori face din IPSec cea mai buna operatiune pentru construirea retelelor

VPN. IPSec ofera un misloc standard de stabilire a autentificarii si a serviciilor decriptare, intre participantii la conexiune (peers). In cadrul acestei prezentari

folosim pentru a ne referii la termenul „peer‖ dispozitivele care formeza capetele

unui tunel VPN. IPSec acctionea in stratul retea din modelul de referinta OSI,

protejind si autentificind pachetele IP dintre dispozitivele IPSec care participa

(peers), cum sunt routerele Cisco sau sistemele firewall. IPSec ofera urmatoarele

servicii de securitate a retelei:

Confidentialitatea datelor – expeditorul IPSec poate cripta pachetele

inainte de a le trimite printr-o retea. Daca un hacker ar citi datele, acestea nu

i-ar fi de nici un folos.

Integritatea datelor – punctul final receptor IPSec autentifica toate

pachetele trimise de expeditorul IPSec, asigurind ca datele nu au fost

modificate in timpul transmisiei. Autentificarea originii datelor – receptorul IPSec poate autentifica sursa

pachetelor IPSec transmise. Acest serviciu depinde de serviciul de integritate

a datelor.

Nu permite reluarea transmiterii pachetelor – receptorul IPSec poate

detecta si respinge pachetele retransmise.

Asocieri de securitate



Asocierile de securitate (SA)stabilesc increderea intre doua dispozitive intr-o

relatie egal-la egal si activeaza punctele de capat VPN pentru a conveni asupra

unui set de reguli de transmitere, folosind politici de negociere cu un

participant potential. O asociere de securitate poate fi vazuta ca un contract prin

care se negociaza si apoi se stabilesc diferiti parametriai conexiunii.

O asociere de securitate este identificata printr-o adresa IP, printr-un identificator

de protovcol de securitate si o valoare unica de index al parametrului de securitate

(SPI-Security Parameter Index). Valoarea SPI este un numar de 32 de biti inglobat

in antetele pachetelor. Cele doua tipuri de asocieri de securitate sunt:

Internet Key Exchange (IKE – schimbul de chei in Internet) – Contine

negocierea, autentificarea unui participant, managementul cheilor si schimbul

de chei. Fiind un protocol bidirectional, IKE ofera canal de comunicarea

protejat intre doua dispozitive care negociaza un algoritm de criptare, un

algorim hash, o metod[ de autentificare si oprice informatie relevanta de grup.

Foloseste schimbul de chei bazat pe algoritmi Diffie-Hellman, iar

adminsitratorii de retea pot lega bine protocolul IKE de sistemele de gestionare

a politicilor. Pentru a impiedica un atac de tipul „intrus‖ (man-in-the-middle) –

cind un atacator sustrage pachete din retea, le modifica si le insereaza inapoi in

retea – un protocol Diffie-Hellman de fortificare, numit Station-to_Station (STS

– statie-la-statie), permite ca doua dispozitive aflate intr-un schimb Diffie-

Hellman sa se autentifice unul pe celalalt folosind semnaturi digitale si

certificate cu chei publice.

IPSEc Security Association (IPSec SA – asociere de securitate IPSec ) –

IPSec SA este o asociere unidirectionala si de aceea este necesar sa se

stabileasca asocieri IPSEc SA pentru fiecare directie. IPSec SA este o

procedura in doua faze si trei moduri. In faza 1, pot fi folosite doua

moduri: main mode (modul principal) si aggressive mode (modul rapid). In faza

2, singurul mod disponibil este numit quick mode (modul rapid). Utilizatorul

final nu are nici un control asupra alegerii modului, selectarea fiind automata si

depinzind parametrii de configurare stabiliti de ambii participanti.



GTS Ethernet VPN este o solutie de comunicatii de date bazata pe

tehnologia Ethernet, ideala pentru creare de retele virtuale private (VPN) cu

topologie Multipunct-la-Multipunct. Viteza mare, flexibilitatea si scalabilitatea

caracterizeaza serviciul care indeplineste cele mai inalte cerinte pentru crearea de

retele private. GTS Ethernet VPN permite solutii de comunicatie cu acoperire

metropolitan, nationala si international

Serviciul poate fi livrat în două variante:

Ethernet Private LAN (EP-LAN) – Serviciu port-based cu un grad inalt de

transparenta, ce permite controlul protocoalelor. Ethernet Virtual Private LAN (EVP-LAN) – Serviciu port plus VLAN based , ce

poate fi configurat sa suporte EVC-uri (Ethernet Virtual Connections) multiple pe

un singur port. Alegeti EVP - LAN daca doriti o interconectare dedicata sau sa

conectati mai multe servicii.

Beneficiile serviciului

Comunicatii Cloud Ethernet ideal pentru Multipunct-la-Multipunct – toate sediilesunt automat conectate intre ele.



Perfect pentru tansmisii mari de date – Ethernet este potrivit pentru utilizarea

latimi mari de banda - de pana la 1Gbps sau chiar mai mult .

Simplitate - tehnologie matura, standardizata, bine cunoscuta, usor implementabila.

Va permite sa controlati performanta aplicatiei (varianta EP-LAN)

Securitate sporita – nu se bazeaza pe protocoale IP

Nivel de calitate al serviciilor garantate contractual – Disponibilitatea serviciului,

Frame Delay, Frame Delay Variation, Frame Loss, timpul de remediere

Serviciul Clienti exceptional – Departamentul nostru este disponibil 24 ore pe zi, 7

zile pe saptamana.

Atributele cheie ale unui VPN

Cea mai importantă parte a unei solutii VPN este securitatea. Faptul că prin

natura lor prin VPN-uri se transmit date private prin reţele publice ridică dubii cu

privire la securitatea acestor date si impactul pierderii datelor. Atributele sunt:

1.Autentificare (controlul accesului)

2.Prezentare (criptare - confidenţialitate)

3.Transport (integritatea datelor)

4.Non-repudiere - acest serviciu ar oferi dovezi de nefalsificat precum că o

anumită acţiune a avut loc. Non repudierea originii înseamna că datele au fost

trimise, si non repudierea primirii dovedeste că datele au fost recepţionate.

Cei mai mulţi provideri doresc satisfacerea primului punct, autentificarea.

WIFI Security si VPN-urile

Un alt domeniu inedit în care este folosită tehnologia VPN este securizarea

reţelelor wireless. Deoarece reţelele wireless trimit mesajele folosind radio, sunt

foarte susceptibile la ascultarea traficului. WEP a fost introdus pentru a furniza

aceeasi securitate ca pe reţelele tradiţionale cu fir (WEP = Wired EquivalentPrivacy). Wep foloseste RC4 pentru confidenţialitate si CRC-32 pentru integritate



si foloseşte în mod standard o cheie de 40 de biti, la care se concatenează un vector

de iniţializare (IV =Initialisation Vector) pentru a forma cheia RC4. Dar nu

marimea cheii este marea limitare in WEP.

Spargerea unei chei mai lungi necesită interceptarea mai multor pachete, dar

sunt si atacuri active care pot stimula traficul necesar. Sunt vulnerabilitati în WEP,

incluzând posibilitatea de coliziuni ale IV si pachete alterate, care nu sunt corectate

de o cheie mai lungă.

Serviciul VPN este un serviciu de transmisii de date care, utilizând

infrastructura Romtelecom, pune la dispoziţia clienţilor Reţele Virtuale Private

folosind mecanisme şi protocoale de tunelare şi securizare pentru a asigura

integritatea, confidenţialitatea şi performanţa dorită.

Beneficile serviciilor VPN sunt următoarele:

• Convergenţa serviciilor voce, video, date se realizează cu costuri mici;

• Accesarea securizată de la distanţă a resurselor companiei;

• Costuri predictibile şi uşor de bugetat, independente de trafic;

• Posibilitate transfer any-to-any pentru aplicaţii de date-voce-video; • Suportfiabil pentru integrarea LAN-urilor;

• Securitatea transmisiei datelor;

• Rată de transfer constantă, garantată tehnologic;

• Soluţii inteligente de management.

Reţelele vituale private bazate pe tehnologia IP-MPLS (Multi-Protocol Label

Switching) le permit clienţilor să transfere informaţii în deplină siguranţă între

sediile companiilor lor; aceste VPN-uri sunt considerate de către Romtelecom cu

―nivel maxim de încredere‖ din punct de vedere al securităţii informaţiilor.

Caracteristici tehnice:

1. Conexiune Ethernet;

2. Conexiuni securizate: firewall, criptare, autorizare şi autentificare;

3. Interfeţe disponibile: 10 BaseT Ethernet şi 10/100 BaseT FastEthernet;



4. Tehnologie de acces radio punct-multipunct de bandă largă în 26 GHz;

5. Îmbină cu succes tehnologiile ATM şi IP - tehnologie MPLS;

6. Oferă conexiuni dedicate, capacităţi dedicate, priorităţi în acordarea

accesului adiţional la bandă;

7. Oferă posibilitatea alocării instantanee a capacităţii - un suport important

pentru traficul tip rafală (traficul IP) şi o utilizare maximă a benzii

disponibile.

Ameninţări la adresa reţelelor publice

Cele mai vulnerabile situaţii ale pachetelor securizate şi stabile identificate

în reţele sunt:

pierderea caracterului privat al reţelei ,impostura, pierderea integrităţii datelor ,

refuzul serviciului.

VPN oferă soluţii pentru înlăturarea ameninţărilor de tipul celor menţionate

mai sus asigurând:

1. Pentru a păstra confidenţialitate - Criptarea sau criptografierea datelor

2. Pentru a înlătura impostura - Autentificarea

3. Integritatea pachetelor

4. Satisfacţia unui serviciu la un preţ accesibil

În general orice intrus în reţea urmează procesul descris mai jos:

1. Supravegherea (din exterior) - Persoana rău intenţionată accesează

informaţii publice sau apare ca utilizator obişnuit. În acest stadiu este

aproape imposibil să îi fie identificate intenţiile. Între timp el poate accesa

tabela DNS (Domain Name System) şi identifică numele staţiilor de lucru,

aflându-se aparent într-o căutare a unor date publice (ex. ştiri, comentarii

despre companie etc).



2. Recunoaşterea sau scanarea - Intrusul caută informaţii, dar încă nu produce

nimic rău. De cele mai multe ori accesează site-urile companiei în căutarea

scripturilor CGI (Common Gateway Interface), acestea fiind cel mai uşor de

atacat.

3. Exploatarea sistemului-Intrusul încearcă să utilizeze posibilele deficiente în

securitatea sistemelor utilizate. Astfel, el are câteva alternative: să transmită

un volum mare de date şi să se folosească de blocajul sistemului sau să

speculeze conturile de autentificare neprotejate de parole sau cu parole uşor

de identificat.

4.

La atac - În acest stadiu, intrusul este deja în reţea fiind deghizat într-unadintre staţiile de lucru utilizate în reţea. Obiectivul principal al intrusului este

de a şterge urmele, astfel ca la auditarea tranzacţiilor în reţea să nu fie

identificat traseul de pătrundere. El trebuie să se asigure totuşi că va putea

reveni oricând va dori. Aşa că intrusul poate instala utilitare proprii care să îi

dea acces, înlocuind serviciile existente după sistemul calului Troian sau

generând un cont de utilizator.

5. Bătălia finală - Intrusul sustrage date, utilizează resursele sistemului pentru

alte atacuri viitoare sau mutilează datele paginii Web. Toate acestea

afectează atât utilizatorii interni, cât şi imaginea externă a companiei.

Pentru a înlătura aceste iminente atacuri, datele tranzitate prin reţelele VPN

trebuie să fie criptate. Astfel nu vor putea fi accesate decât de cei autorizaţi,

păstrându-se astfel confidenţialitatea datelor.

CONCLUZIE

O retea virtuala privata (VPN) este un tip de conexiune care are aspectul si

multe din avantajele unei linii inchiriate/dedicate, dar care de fapt este

implementata peste o retea partajata.

- Reducerea costurilor



Operarea unei retele virtuale private este mai ieftina decat crearea unei retele

private proprii, acesta din urma necesitind costuri suplimentare pentru instalarea

conexiunii fizice, precum si pentru achizitionarea de hardware si software

specifice. Mai exact, pentru relizarea unei retele virtuale private este suficient ca

fiecare sediu al companiei respective sa fie conectat la Internet prin intermediul

unui furnizor local (accesul facandu-se prin linii inchiriate DSL, conexiune radio

sau dial-up), accesul la date facindu-se, in urma autentificarii, prin intermediul

unui tunel criptat realizat in reteaua publica.

- Securitate

Reteaua virtuala privata asigura un nivel ridicat de securitate a informatiilor

transmise prin utilizarea unor protocoale avansate de autentificare si criptare.

- Usor de implementat

Reteaua virtuala privata poate fi imediat realizata peste conexiunea deja

existenta la Internet, nefiind necesara o infrastructura separata.

BIBLOGRAFIE

http://www.securizare.ro/content/view/184/36/

http://www.dell.com/ro/intreprinderi/p/secure-remote-access

http://elfnet.ro/vpn.html

http://www.computerworld.ro/2009/04/06/solutii-pentru-securizarea-

infrastructurii-itvpn-si-ids/







http://www.computerworld.ro/2009/04/06/solutii-pentru-securizarea-infrastructurii-itvpn-si-ids/








lab6 protectia informatie

Documents