metode de securizare a protocolului tcp

7/21/2019 Metode de Securizare a Protocolului TCP

1/27

Metode de securizare a protocolului

TCP/IP Internet Protocol Security (IPSec)

Student: Pleca Cristian
http://www.freesoft.org/CIE/Topics/141.htm


2/27


3/27

Cuprins

1. Introducere 3

2. Modelul TCP/IP 4

1.1. Nivelul Aplicatie (Application) 5

1.2. Nivelul Transport (Transport) 5

1.3. Nivelul Retea (Internet) 6

1.4. Nivelul Acces la retea (Network access) 6

3. Internet Protocol Security (IPSec) 6

2.1. Modul de transport (transport mode) 9

2.2. Modul de tunelare (IP tunneling) 9

4. Concluzii 14

5. Bibliografie 16


4/27

1. Introducere

Securizarea comunicatiilor reprezinta un aspect esential al calitatii serviciilor oferite,

avand un rol critic in domeniul financiar-bancar, militar sau guvernamental.

In ultimii ani, incidentele de securitate au crescut la o cota alarmanta. Dat fiind faptul

ca aceste atacuri sunt tot mai dese, suntem obligati sa aplicam metode de securitate din ce in

ce mai complexe la nivel de retea.

Astfel , profesionistii din domeniul IT, precum administratorii de retea sau operatorii

centrelor mari de date, trebuie sa cunoasca si sa inteleaga elementele de baza ale securitatii, in

scopul gestionarii unei retele cat mai sigure.

Scopul serviciilor de securitate este pe de o parte acela de a asigura functionalitatea in

paramaterii normali a retelei si a device-urilor care fac parte din aceasta, iar pe de alta parte

de a asigura securitatea si integritatea datelor si a aplicatiilor stocate sau transmise prin retea.

Problemele de asigurare a securitatii unei retele pot fi grupate in urmatoarele domenii

interdependente:

- Confidentialitate doua parti doresc sa comunice confidential astfel incat nici un

adversar sa nu intelega nimic din ceea ce a fost comunicat.

- Autentificare cel ce receptioneaza mesajul sa se poata convinge ca mesajul este

original.

- Integritatea datelor previne alterarea neautorizata a datelor.

- Non-repudiere Se refera la un serviciu care previne negarea unei actiuni

sau comenzi anterioare de catre o entitate.

Pentru a putea comunica prin retea si prin internet, fiecare calculator foloseste stiva de

protocoale TCP/IP.

Mai departe, voi descrie stiva TCP/IP si IPSec, una dintre modalitatile prin care

aceasta poate fi securizata.


5/27

2. Modelul TCP/IP

Modelul TCP/IP (Transmission Control Protocol/Internet Protocol) a fost creat de

US DoD (US Department of Defence) din necesitatea unei retele care ar putea supravietui in

orice conditii. Suita de protocolae TCP/IP gestioneaza toate datele care circula prin Internet.

Modelul TCP/IP are patru nivele, fiind diferit de modelul OSI (Open System

Interconnection), insa se pot face asocieri intre nivelele fiecarui model.

Fig 1. TCP/IP OSI Model

Suita de protocoale TCP/IP gestioneaza toate transferurile de date din Internet, care se

realizeaza fie ca flux de octeti (byte stream), fie prin unitati de date independente denumite

datagrame (datagram).

Numele acestei stive este dat de protocolul de retea (IP) si de cel de transport (TCP).

Stiva de protocoale TCP/IP include mai multe protocoale deosebit de utile pentru furnizarea

serviciilor Internet. Protocoalele de aplicatie colaboreaza cu protocoalele de pe nivelele

inferioare ale stivei TCP/IP pentru a transmite date prin Internet, mai precis pentru a oferi

servicii utilizatorului (posta electronica, transfer de fisiere, acces in retea de la distanta,
http://www.freesoft.org/CIE/Topics/141.htmhttp://ro.wikipedia.org/w/index.php?title=Defence&action=edit&redlink=1http://ro.wikipedia.org/w/index.php?title=US_Department&action=edit&redlink=1


6/27

informatii despre utilizatori etc).


7/27

1.1. Nivelul Aplicatie (Application)

Include si nivelurile sesiune si prezentare ale modelului OSI: Acesta reprezinta

software- ul utilizat de o statie de lucru. Nivelul de aplicatii se foloseste pentru a transmite

datele in retea.

Printre protocoalele nivelului Aplicatie puntem enumera:

Domain Name Service Protocol (DNS) - utilizat pentru a rezolva numele adreselor de

Internet in adrese IP.

Hypertext Transfer Protocol (HTTP) - utilizat pentru a transfera fisiere care alcatuiesc

paginile web ale World Wide Web.

Simple Mail Transfer Protocol (SMTP) - folosit pentru transferul mesajelor si

atasamentelor e-mail-urilor.Telnet - utilizat pentru a oferi acces de la distanta la servere si echipamente de retea.

File Transfer Protocol (FTP) - folosit pentru transferul de fisiere intre sisteme

interactive.

1.2. Nivelul Transport (Transport)

Se ocupa cu probleme legate de siguranta, control al fluxului si corectie de erori. El

este proiectat astfel incat sa permita conversatii intre entitatile pereche din gazdele

sursa,

respectiv, destinatie. In acest sens au fost definite doua protocoale end-to-end.

Primul din ele, TCP (Trasmission Control Protocol). El este un protocol sigur

orientat pe conexiune care permite ca un flux de octeti trimisi de pe o masina sa ajunga erori

pe orice alta masina din retea. Acest protocol fragmenteaza fluxul de octeti in mesaje discrete

si paseaza fiecare mesaj nivelului internet. TCP trateaza totodata controlul fluxului pentru a

se asigura ca un emitator rapid nu inunda un receptor lent cu mai multe mesaje decat poate

acesta sa prelucreze.

Al doilea protocol din acest nivel, UDP (User Datagram Protocol), este un protocol

nesigur, fara conexiuni, destinat aplicatiilor care doresc sa utilizeze propria lor secventiere si
http://www.freesoft.org/CIE/Topics/141.htmhttp://ro.wikipedia.org/wiki/UDPhttp://ro.wikipedia.org/wiki/TCPhttp://ro.wikipedia.org/wiki/Internethttp://ro.wikipedia.org/w/index.php?title=Mesaj&action=edit&redlink=1http://ro.wikipedia.org/wiki/Fluxhttp://ro.wikipedia.org/w/index.php?title=Conexiune&action=edit&redlink=1http://ro.wikipedia.org/wiki/TCPhttp://ro.wikipedia.org/w/index.php?title=Surs%C4%83&action=edit&redlink=1


8/27

control al fluxului. Protocolul UDP este de asemenea mult folosit pentru interogari rapide

intrebare-raspuns, client-server si pentru aplicatii in care comunicarea prompta este mai

importanta decat comunicarea cu acuratete, asa cum sunt aplicatiile de transmisie a vorbirii si

a imaginilor video.


9/27

1.3. Nivelul Retea (Internet)

Scopul initial al nivelului rerea (Internet Protocol) era sa asigure rutarea pachetelor in

interiorul unei singure retele. Odata cu aparitia interconexiunii intre retele, acestui nivel i-au

fost adaugate functionalitati de comunicare intre o retea sursa si o retea destinatie.

In stiva TCP/IP, protocolul IP asigura rutarea pachetelor de la o adresa sursa la o

adresa destinatie, folosind si unele protocoale aditionale, precum ICMP sau IGMP.

Determinarea drumului optim intre cele doua retele se face la acest nivel.

Comunicarea la nivelul IP este nesigura, sarcina de corectie a erorilor fiind plasata la

nivelurile superioare (de exemplu prin protocolul TCP). In IPv4 (nu si IPv6), integritatea

pachetelor este asigurata de checksum.

1.4. Nivelul Acces la retea (Network access)

Se ocupa cu toate problemele legate de transmiterea efectiva a unui pachet IP pe o

legatura fizica, incluzand si aspectele legate de tehnologii si de medii de transmisie, adica

nivelurile OSI Data link si Physical.

Modelul de referinta TCP/IP nu spune mare lucru despre ce se intampla acolo, insa

mentioneaza ca gazda trebuie sa se lege la retea, pentru a putea trimite pachete IP, folosind un

anumit protocol. Acest protocol nu este definit si variaza de la gazda la gazda si de la retea la

retea.

3. Internet Protocol Security (IPSec)

Internet Protocol Security (IPSec) este o suita de protocoale pentru securizarea

comunicatiilor peste stiva TCP/IP. Aceasta suita se bazeaza pe folosirea functiilor matematice

si a algoritmilor de criptare si autentificare pentru a asigura confidentialitatea, integritatea si

non- repudierea informatiilor din fiecare pachet IP transmis pe retea. IPSec este la ora actuala


10/27

una dintre cele mai folosite metode de securizare a transmisiei pe Internet, alaturi de SSL

(Secure Sockets Layer) si TLS (Transport Layer Security). Spre deosebire de acestea,

protocoalele IPSec


11/27

se regasesc la nivelul 3 al stivei TCP/IP si la nivelul 3 al stivei ISO-OSI, ceea ce face posibila

securizarea tuturor aplicatiilor care folosesc stiva TCP/IP.

IPsec se bazeaza pe algoritmi existenti pentru a implementa criptarea, autentificarea,

si schimbul de chei. IPsec lucreaza la nivelul Retea, protejand si autentificand pachetele IP

intre dispozitivele IPsec participante (peers).

Toate implementarile de IPsec au un antet (header) al Layer 3 sub forma de plaintext ,

astfel incat nu exista probleme cu rutarea. IPsec are functionalitate in toate protocoalele Layer

2, cum ar fi Ethernet, ATM, Frame Relay, Synchronous Data Link Control (SDLC), and

High-Level Data Link Control (HDLC).

Framework-ul IPsec este format din 5 blocuri:

primul reprezinta protocolul IPsec. Optiunile includ ESP (Encapsulated Security

Payload) sau AH(Authentication Header).

al doilea reprezinta tipul de confidentialitate implementat cu ajutorul unui

algoritm de criptare, cum ar fi DES, 3DES, AES, sau SEAL. Alegerea depinde de

nivelul de securitate necesar.

cel de-al treilea reprezinta integritatea care poate fi implementata folosind fie

MD5 sau SHA.

al patrulea reprezinta modul in care cheia secreta partajata este stabilita. Cele doua

metode sunt pre-partajate sau semnate digital folosind RSA.

blocul al cincilea reprezinta grupul algoritmului DH (Diffie-Hellman). Exista

patru algoritmi DH de schimbare de chei: DH Group 1 (DH1), DH Group 2

(DH2), DH Group 5 (DH5), si DH Group 7 (DH7). Tipul de grup selectat depinde

de nevoile specifice.

IPSec ofera framework-ul, iar administratorul alege algoritmii care sunt utilizati

pentru punerea in aplicare a serviciilor de securitate din acest framework.

IPSec poate asigura o cale intre o perechi de gateway-uri, o pereche de gazde, sau

intre gateway si gazda. Utilizand cadrul IPsec, IPsec ofera urmatoarele functii esentiale de

securitate:


12/27

Confidentialitatea - IPsec asigura confidentialitate prin utilizarea criptarii


13/27

Integritate - IPsec asigura ca datele ajung neschimbate la destinatie, folosind un

algoritm hash, cum ar fi MD5 sau SHA.

Autentificarea - IPsec foloseste Internet Key Exchange (IKE) pentru autentificarea

utilizatorilor si dispozitive care comunica in exterior in mod independent. IKE

utilizeaza mai multe tipuri de autentificare, inclusiv nume de utilizator si parola,

date biometrice, chei pre-shared (PSKs), si certificate digitale.

Schimb de chei securizat - IPsec foloseste algoritmul DH pentru a furniza o

metoda publica de schimb de chei pentru doua perechi(peer) pentru a stabili o

cheie secreta partajata.

Fig.2 IPSec framework

La ora actuala exista doua tipuri de antete (headere) ce pot fi atasate la un pachet IP

pentru realizarea securitatii. Acestea sunt: AH - Authentication Header si ESP - Encapsulated


14/27

Security Payload


15/27

Cele doua protocoale de securitate (AH sau ESP) pot actiona in doua moduri: modul

de transport (transport mode ) si modul de tunelare (IP tunneling)

2.1. Modul de transport (transport mode)

Protocolul de securitate intervine in pachetul IP si adauga un antet de securitate

imediat dupa antetul IP (cu sau fara optiuni exprimate) dar antetul IP initial (header-ul) nu se

modifica, doar datele transmise sunt securizate (criptate si/sau autentificate). Prin folosirea

protocolului AH, adresele IP ale sursei, respectiv destinatiei, nu pot fi modificate pe parcurs

deoarece acest lucru ar duce la modificarea valorii hash. ESP ofera protectie minima

protocoalelor de nivel superior, in timp ce AH securizeaza total pachetul, inclusiv antetul IP.

Acest mod de operare se utilizeaza pentru schimbul de pachete intre calculatoarele-gazda

(host-to-host).

MODUL TRANSPORT

Datagrama IP initiala

Antet IP Antet I PSec Antet IP

initial

Datele IP

Fig. 3 Modul transport

2.2. Modul de tunelare (IP tunneling)

Intregul pachet (date si antete) este securizat. Se introduc doua antete de securitate in


16/27

fiecare pachet, inainte (outer header) si dupa (inner header) antetul EP. Antetul extern

specifica perechea de entitati intre care se creeaza tunelul IP si se aplica masurile de

securitate pe baza IPsec. Antetul intern precizeaza destinatia finala a pachetului pentru

realizarea rutarii. ESP


17/27

protejeaza numai pachetul transmis prin tunelul IP, in timp ce AH asigura si securitatea

antetului exterior atasat. De regula acest mod de operare se utilizeaza intre porti de securitate

care executa impachetarea si despachetarea mesajelor (gateway-to-gateway).

MODUL TUNEL

Antete noi Criptarea

Antet IP

nouAntet IPSec Antet IP

initial

Datele IP

Protoc

purtat

o

Protocolul pasagerului

Fig. 4 Modul de tunelare

Antetul de autentificare (AH), pe langa rolul de a garanta integritatea datelor transmise,

poate optional proteja pachetele impotriva atacurilor de intoarcere folosind tehnica ferestrelor

glisante (sliding window ) si descarcarea pachetelor vechi.

in IPv4, AH protejeaza incarcatura IP si toate antetele campurilor din datagramele

IP, cu exceptia pentru campurile variabile: DSCP/TOS, ECN, Flags, Fragment

Offset, TTL and Header Checksum

in IPv6, AH isi protejeaza antetul propriu, optiunile destinatiei antetului extins

dupa antetul sau, si apoi incarcatura IP de asemenea protejeaza si antetul IPv6 fix

si toate antetele extinse inainte de AH, exceptie facand uratoarele campuri: DSCP,

ECN, Flow Label, and Hop Limit.


18/27

Fig. 5 - Formatul antetului de autentificare (AH)

Next Header (8 bits)

Tipul antetului urmator indica ce protocol de nivel superior a fost protejat. Valoarea

este luata din lista cu numerele de protocole IP.

Payload Len (8 bits)

Lungimea acestui antet de autentificare in 4 unitati de octeti minus 2. Desi marimea

este masurata in 4 unitati de octeti, lungimea acestui antet are nevoie sa fie multiplicat cu 8

octeti daca este purtat antr-un pachet IPv6. Aceasta restrictie nu este aplicata unui AH purtat

antr-un pachet IPv4.

Reserved (16 bits)

Rezervati pentru utilizari viitoare (toate zerourile pana atunci).

Security Parameters Index (32 bits)

Valoarea arbitrara care este folosita (ampreuna cu adresa IP a sursei) pentru a

identifica asocierei de securitate a unei sesiune de trimitere.

Sequence Number (32 bits)

O secveta monotona de crestere a numarului (incrementat cu 1 pentru fiecare pachet

trimis) pentru prevenirea atacurilor de antoarcere (reply attacks).

Integrity Check Value (multiplu de 32 bits)


19/27

Lungime variabila ICV verifica valoarea. Este posibil sa contina paduri de aliniere de

camp in limita de 8 octeti pentru IPv6 sau in limita a 4 octeti pentru IPv4.


20/27

Incarcatura securizata ancapsulata (ESP- Encapsulating Security Payload) este un

membru a protocolului IPSec care suporta numai configuratii de criptare si autentificare dar

folosirea criptarii fara autentificare este puternic descurajata deaorece este nesigura. Spre

deosebire de AH, ESP nu ofera protectie antetului pachetului IP.

Fig. 6 - Formatul ESP

In figura 6 este ilustrat cum este construit si interpretat pachetul datagarama ESP:

Security Parameters Index (32 bits)

Valoarea arbitrara care este folosita (ampreuna cu adresa IP a sursei) pentru a

identifica asocierei de securitate a unei sesiune de trimitere.

Sequence Number (32 bits)

O secveta monotona de crestere a numarului (incrementat cu 1 pentru fiecare pachet

trimis) pentru prevenirea atacurilor de antoarcere (reply attacks). Aici se gaseste un contor

separat tinut pentru fiecare asociere de securitate.

Payload data (variable)

Continutul protejat in pachetul IP original ce include orice date folosite pentru

protectie.

Tipul continutului care a fost protejat este indicat in campul antetului vecin.

Padding (0-255 octets)


21/27

Incarcarea pentru criptare, pentru extinderea datelor de incarcare la dimensiunea unui

chiper de criptare, si aliierea campului urmator.


22/27

Pad Length (8 bits)

Marimea padding-ului in octeti .

Next Header (8 bits)

Tipul antetului urmator indica ce protocol de nivel superior a fost protejat

Valoarea este luata din lista cu numerele de protocole IP.

Integrity Check Value (multiple of 32 bits)

Lungime variabila ICV verifica valoarea. Este posibil sa contina paduri de aliniere de

camp in limita de 8 octeti pentru IPv6 sau in limita a 4 octeti pentru IPv4.

IPSEC defineste un "Security Association" (SA) ca avand rol primar in protejarea

pachetelor IP. Un SA este definit de adresa IP a pachetului destinatie si un parametru

SPI(Security Parameter Index), pe 32 de biti, care functioneaza oarecum ca un port TCP sau

UDP, in masura in care permite sa avem mai multe SA-uri la o singura adresa de destinatie.

SAS poate functiona in modul transport, in cazul in care campul de date IPSEC incepe cu

header-e de layer-e superioare (de obicei TCP, UDP, ICMP sau), sau in modul tunel, in cazul

in care campul de date IPSEC incepe cu un header de pachet IP complet nou. In plus,

SA-urile pot fi incapsulate in cadrul altor SA-uri, formand pachete SA, permitand astfel

protectie IPSEC stratificata (pe nivele). De exemplu, un SA ar putea proteja tot traficul

realizat printr-un gateway, in timp ce un alt SA va proteja tot traficul la o gazda particulara.

Pachetele astfel rutate in intreaga retea vor fi incapsulate intr-un singur pachet SA , care va

contine ambele SA-uri.

Configurarea echipamentelor dintr-o retea in vederea aplicarii IPsec se realizeaza de

catre o persoana cu drepturi depline de stabilire a securitatii retelei (security officer), in trei

etape:

Crearea grupurilor de securitate (SA) si stabilirea drepturilor si atributiilor

acestora

Configurarea legaturilor dintre SA-uri si stabilirea ierarhiilor de prioritati,

folosind ISAKMP/IKE

Stabilirea modalitatilor de clasificare a pachetelor IP si de actiune asupra lor


23/27

(permite sau interzice accesul in retea, aplica procedurile de securitate

conform IPsec).


24/27

Pentru a securiza comunicatia in retea cu IPSec intre calculatoarele Windows folosim

o colectie de reguli, politici si filtre pentru a permite in mod selectiv doar comunicatia pentru

anumite protocoale.

Politicile de IPSec pot fi create si aplicate cu Group Policy pentru calculatoarele

din domeniu. Pentru calculatoare care nu sunt in domeniu, de exemplu serverele bastion,

politicile pot fi aplicate cu script-uri linie de comanda.

4. Concluzii

Internetul ofera oportunitati uimitoare, dar nu fara un anumit risc. Fara

controale corespunzatoare, datele dintr-o retea sunt supuse la mai multe tipuri de atacuri.

Pentru a putea iesi

Unul dintre punctele slabe ale Internet Protocol este ca nu are nici un fel de mecanism

pentru a asigura autenticitatea si confidentialitatea datelor. Deoarece datagramele IP trebuie

sa fie, de obicei, trimise Intre doua dispozitive prin retele necunoscute, orice informatie din

ele este supusa riscului de a fi interceptat si, eventual, chiar schimbata. Datorita utilizarii

sporite a internetului pentru aplicatii critice, Imbunatatiri de securitate au fost necesare. In

acest scop, a fost dezvoltat un set de protocoale numit IPSec.

Aceasta lucrare prezinta pe scurt ce inseamna stiva TCP/IP, impreuna cu modul in

care protocolul IPSesc asigura securitatea si integritatea datelor dintr-o retea, peste aceasta

stiva.

TCP / IP este, practic, peste tot. Acesta este astazi de departe , suita de protocoale cel

mai frecvent utilizata. Ea a castigat importanta in mare parte datorita rolului sau in

functionarea internetului la nivel mondial, care in cativa ani a transformat societatea

noastra atat de mult. Milioane de oameni utilizeaza TCP / IP si Internet fara sa stie cu

adevarat modul in care acestea functioneaza. Pentru cei din domeniul tehnologiei, cu toate

acestea, intelegerea TCP / IP este din ce in ce mai importanta, cu fiecare an ce trece.


25/27


26/27

IPSec trebuie folosit pentru a securiza traficul care parcurge retele sau segmente cu

potential de interceptare a comunicatiei. Nu este in general util a securiza intreg traficul in

interiorul intregii retele a companiei, decat pentru retele cu grad mare de securitate.


27/27

5. Bibliografie

1. http://en.wikipedia.org

2. http://ro.wikipedia.org/wiki/IPSec

3. CCNA Security Implementing Security

4. CCNA Exploration Network Fundamentals

5. Securitatea retelelor de comunicatii I. Bogdan, L. Scripcariu - Casa de editura, Iasi,

2008

6. http://www.securitatea-informatica.ro

7. http://technet.microsoft.com/en-us/network/bb531150.aspx

8. http://www.tcpipguide.com/free/t_IPSecurityIPSecProtocols.htm

9. http://www.freesoft.org/CIE/Topics/141.htm
http://www.freesoft.org/CIE/Topics/141.htmhttp://www.freesoft.org/CIE/Topics/141.htmhttp://www.freesoft.org/CIE/Topics/141.htmhttp://www.tcpipguide.com/free/t_IPSecurityIPSecProtocols.htmhttp://www.tcpipguide.com/free/t_IPSecurityIPSecProtocols.htmhttp://technet.microsoft.com/en-us/network/bb531150.aspxhttp://technet.microsoft.com/en-us/network/bb531150.aspxhttp://www.securitatea-informatica.ro/http://www.securitatea-informatica.ro/http://ro.wikipedia.org/wiki/IPSechttp://ro.wikipedia.org/wiki/IPSechttp://ro.wikipedia.org/wiki/IPSechttp://en.wikipedia.org/http://en.wikipedia.org/

metode de securizare a protocolului tcp

Documents