Professional Documents
Culture Documents
Arhitectura de securitate IP
PUIULEȚ CRISTIAN
Anul
2017-2018
IP Security Protocol (IPSec)
1. Introducere
1.1 Ce este IPsec?
Internet Protocol Security (IPsec) este o suită de protocoale utilizată pentru
securizarea comunicațiilor IP (Internet Protocol) prin criptarea și autentificarea
fiecărui pachet IP al unei sesiuni de comunicare pentru a asigura confidențialitatea,
integritatea și non-repudierea informațiilor. IPsec mai conține și o serie de protocoale
pentru realizarea autentificării mutuale între participanți la începutul sesiunii precum
și pentru negocierea cheii criptografice folosite pe parcursul comunicării.
IPsec este o schemă de securitate de tip end-to-end implementată în nivelul 3 al
stivei TCP/IP precum și în al stivei ISO/OSI. Din acest motiv spre deosebire de
celelalte protocoale precum SSL (Secure Sockets Layer), TLS (Transport Layer
Security) și SSH (Secure Shell) care sunt implementate pe nivelele superioare ale
stivei TCP/IP o aplicație nu trebuie proiectată în mod special pentru a folosi IPsec.
AH și NAT
Deși AH asigură o protecție foarte bună a conținutului pachetului este incompatibi-lă
cu NAT (Network Address Translation).
NAT este folosit pentru a mapa o serie de adrese private (de exemplu 192.168.1.X)
în și din un set mai restrâns de adrese publice reducând astfel nevoia de spațiu IP
routabil, public. În acest proces antetul IP este modificat de dispozitivul NAT pentru a
schimba adresa IP sursa/destinație. Acest lucru determină recalcularea ICV și orice
modificare va duce la imposibilitatea autentificării de către recipient deoarece
calculul ICV presupune folosirea unei chei secrete care nu este cunoscută de
intermediari și deci router-ul NAT nu poate recalcula ICV-ul.
Aceeași problemă apare și în cazul PAT (Port Address Translation), care mapează
mai multe adrese IP private într-o singură adresă externă.
Din acest motiv, AH (fie în tipul tunel, fie în tipul transport) este complet incom-patibil
cu NAT și poate fi folosit doar când rețelele sursă și destinație sunt accesibile fără
interpretare.
Acest lucru nu se aplică și în cazul ESP deoarece autentificarea și criptarea nu in-
corporează și antetul IP modificat de NAT.
4 Algoritmi criptografici
Algoritmii criptografici folosiți de IPsec sunt HMAC-SHA1 pentru integrita-te,protecție
și autenticitate și 3DES – CBC sau AES-CBC pentru confidențialitate.
5 Implementări
5.1 Windows
În Windows7, Windows Server 2008 R2, Windows Vista și Windows Server 2008
este posibilă configurarea compportamentului IPsec utilizând Windows Firewall with
Advanced Security.
În versiunile anterioare, IPsec era o tehnologie separată de Windows Firewall.
Tehnologia IPsec poate fi utilizată pentru a bloca worms, pentru a proteja servere
sau pentru izolarea domeniilor.
Să luăm de exemplu worm-ul „Slammer”. Slammer atacă computere care rulează pe
SQL Server sau MSDE și prin urmare urmărește portul 1434. O metodă de a pre-
veni migrarea acestuia este asignarea unei politici care blochează traficul de oriunde
spre adresa IP proprie a computer-ului cu portul destinație 1434/UDP. În Windows
2000 puteai realiza acest lucru printr-un script folosind ipsecpol.exe astfel:
ipsecpol -w REG -p "Block UDP 1434 Filter" -r "Block In-bound UDP 1434 Rule" -f
*=0:1434:UDP -n BLOCK –x
5.2 Linux
Pentru versiunile Linux 2.2 și 2.4 exista FreeS/WAN (alternativ Openswan care es-te
o implementare open source a IPsec în Linux și este o continuare a FreeS/WAN) iar
incepând cu 2.4.47 Linux are o implementare a IPsec în Kernel.
Configurarea IPsec VPN pentru Kernel 2.6 se xemplu se poate realiza folosind
KAME tools setkey și racoon.
Bibliografie
[1] http://en.wikipedia.org/wiki/IPsec
[2] http://ro.wikipedia.org/wiki/IPsec
[3] http://www.unixwiz.net/techtips/iguide-ipsec.html
[4] http://technet.microsoft.com/en-us/library/cc512574.aspx#ECAA
[5] http://www.ipsec-howto.org/x304.html
[6] http://www.freebsd.org/doc/en/books/handbook/ipsec.html