IP Security

1. Introducere

În sens larg, securitatea informatiei presupune asigurarea calitătii datelor. Următoarele

trei cerinte sunt considerate fundamentale:

- Confidentialitatea: siguranta că datele nu sunt cunoscute de entităti neautorizate

- Integritatea: siguranta ca datele sunt în forma originală

- Disponibilitatea: siguranta că datele sunt usor accesibile.

Comunicatia în retele deschise este foarte ieftină, însă prezintă posibilitatea interceptării,

modificării, injectării de date de către un adversar. Datele stocate pe calculatoare legate în

retea sunt supuse acelorasi amenintări.

Atunci când se consideră serviciile de securizare a informatiei asigurate de criptografie,

confidentialitatea si integritatea sunt divizate în cinci servicii:

- Confidentialitatea datelor: certitudinea că datele sunt neinteligibile pentru o

entitate neautorizată

- Autentificarea originii datelor: certitudinea că datele provin de la entitatea

specificată ca origine

- Integritatea datelor: certitudinea că datele nu au fost modificate de o entitate

neautorizată

- Autentificarea entitătilor :certitudinea că o entitate este implicată într-o

comunicare în timp real cu o anume entitate

- Non-repudiabilitatea: certitudinea că o entitate nu poate nega generarea datelor.

Aplicatiile în retea au impus asigurarea autenticitătii mesajelor si identificarea corectă a

utilizatorilor ca cerinte care depăsesc de multe ori ca importantă secretul comunicatiei.

Trebuie remarcată diferenta dintre autentificarea originii datelor si autentificarea entitătilor:

autentificarea entitătilor include certitudinea asupra generării datelor în timp real si exclude

posibilitatea comunicării cu un adversar care repetă date generate de sursa autentificată.

2. IP Security

Cerinte de securitate la nivelul IP

O modalitate curentă de a asigura securitatea aplicatiilor care folosesc stiva de

protocoale TCP/IP o reprezintă dezvoltarea de mecanisme de securitate specifice pentru

diferite domenii de aplicatie: e-mail (S/MIME, PGP), client/server(Kerberos), accesul la Web

(SSL, TSL). Există însă anumite probleme de securitate care pot fi implementate în cadrul

stivei de protocoale TCP/IP: interzicerea legăturilor cu site-urile potential nesigure, criptarea

pachetelor emise si autentificarea pachetelor primite. Prin implementarea politicii de

securitate la nivelul protocolului IP, se poate asigura securitatea comunicatiei si pentru

aplicatii care nu au mecanisme proprii de securitate.

Securitatea la nivelul IP cuprinde trei zone functionale:

- autentificarea

- confidentialitatea

- managementul cheilor criptografice

Mecanismul de autentificare certifică transmiterea efectivă a unui pachet de către

entitatea indicată ca sursă în header-ul pachetului si, în plus, faptul ca pachetul nu a fost

modificat în timpul tranzitului. Facilitătile de criptare/decriptare a mesajelor în nodul

sursă/destinatie asigură confidentialitatea comunicatiei, iar facilitătile privind managementul

cheilor criptografice asigură securitatea schimbului de chei.

Raportul ”Securitatea in arhitectura Internetului” (IAB-Internet Architecture Board -

1994) a stabilit necesitatea implementării unor mecanisme de securitate pentru Internet si a

indicat ca priorităti pentru noile mecanisme de securitate împiedicarea monitorizării si

controlului fără autorizare a traficului în retele si securizarea traficului utilizator-utilizator

prin implementarea de mecanisme de autentificare si criptare. Rapoartele anuale ale CERT

(Computer Emergency Response Team) indică ca principale tipuri de atac ”IP spoofing”, atac

în care intrusul creează pachete IP cu adrese IP false si exploatează utilizarea de către aplicatii

a adreselor IP pentru autentificare, si diferite forme de atacuri (”packet sniffing”) în care

intrusul citeste informatiile transmise. IAB a inclus autentificarea si criptarea ca mecanisme

obligatorii pentru următoarea variantă de protocol IPv6; implementarea facilitătilor de

securitate pentru IP, cunoscută ca IPSecurity s-a făcut astfel încât să fie compatibilă atât cu

varianta actuală IPv4, cât si cu varianta viitoare Ipv6.

Aplicatii al IP Security

IPSec asigură posibilitate unei comunicatii sigure în retele locale (LAN), retele de arie

largă (WAN), private sau publice, si în Internet; exemple:

- VPN retea virtuală privată bazată pe Internet; se evită necesitatea realizării si

gestionarii unei retele private de arie largă.

- Acces la distantă prin Internet; un utilizator final al cărui sistem pe al cărui

sistem este implementat protocolul IPSec poate apela la un furnizor de Internet

(ISP) si obtine accesul securizat la o retea privată

- Îmbunătătirea securitătii aplicatiilor care au mecanisme de securitate incluse.

Principala caracteristică a IPSec care îi permite să asigure aceste aplicatii variate este

faptul că întregul trafic, la nivel IP, poate utiliza mecanismele de criptare si/sau autentificare.

Astfel toate aplicatiile distribuite: client/server, e-mail, transfer de fisiere, acces Web, remote

logon pot fi securizate.

Modul tipic de utilizare a IPSec în cazul unei organizatii cu retele locale aflate în

diferite locatii presupune că traficul intern retelelor locale nu este securizat în timp ce

traficul între retelele locale utilizează IPSec pentru asigurarea securitătii. Acest protocol este

implementat în echipamentele de retea care conectează retele locale la reteaua de arie largă,

de exemplu rutere sau firewall-uri. Operatiile de criptare/decriptare si autentificare executate

de echipamentele cu IPSec sunt transparente pentru statiile de lucru si serverele din retelele

locale. Utilizatorii individuali, conectati direct la WAN, pot utiliza aceleasi facilităti cu

conditia implementării IPSec pe statia de lucru.