Cuprins
- 1. Introducere
- 2. IP Security
- Cerinte de securitate la nivelul IP
- Aplicatii ale IP Security
- Caracteristici ale utilizării IP Security
- Servicii IP Security
- Arhitectura IP Security
- Moduri de utilizare a IP Security
- Protocolul AH: Authentication Header
- Protocolul ESP: Encapsulating Security Payload
Extras din referat
1. Introducere
În sens larg, securitatea informatiei presupune asigurarea calitătii datelor. Următoarele
trei cerinte sunt considerate fundamentale:
- Confidentialitatea: siguranta că datele nu sunt cunoscute de entităti neautorizate
- Integritatea: siguranta ca datele sunt în forma originală
- Disponibilitatea: siguranta că datele sunt usor accesibile.
Comunicatia în retele deschise este foarte ieftină, însă prezintă posibilitatea interceptării,
modificării, injectării de date de către un adversar. Datele stocate pe calculatoare legate în
retea sunt supuse acelorasi amenintări.
Atunci când se consideră serviciile de securizare a informatiei asigurate de criptografie,
confidentialitatea si integritatea sunt divizate în cinci servicii:
- Confidentialitatea datelor: certitudinea că datele sunt neinteligibile pentru o
entitate neautorizată
- Autentificarea originii datelor: certitudinea că datele provin de la entitatea
specificată ca origine
- Integritatea datelor: certitudinea că datele nu au fost modificate de o entitate
neautorizată
- Autentificarea entitătilor :certitudinea că o entitate este implicată într-o
comunicare în timp real cu o anume entitate
- Non-repudiabilitatea: certitudinea că o entitate nu poate nega generarea datelor.
Aplicatiile în retea au impus asigurarea autenticitătii mesajelor si identificarea corectă a
utilizatorilor ca cerinte care depăsesc de multe ori ca importantă secretul comunicatiei.
Trebuie remarcată diferenta dintre autentificarea originii datelor si autentificarea entitătilor:
autentificarea entitătilor include certitudinea asupra generării datelor în timp real si exclude
posibilitatea comunicării cu un adversar care repetă date generate de sursa autentificată.
2. IP Security
Cerinte de securitate la nivelul IP
O modalitate curentă de a asigura securitatea aplicatiilor care folosesc stiva de
protocoale TCP/IP o reprezintă dezvoltarea de mecanisme de securitate specifice pentru
diferite domenii de aplicatie: e-mail (S/MIME, PGP), client/server(Kerberos), accesul la Web
(SSL, TSL). Există însă anumite probleme de securitate care pot fi implementate în cadrul
stivei de protocoale TCP/IP: interzicerea legăturilor cu site-urile potential nesigure, criptarea
pachetelor emise si autentificarea pachetelor primite. Prin implementarea politicii de
securitate la nivelul protocolului IP, se poate asigura securitatea comunicatiei si pentru
aplicatii care nu au mecanisme proprii de securitate.
Securitatea la nivelul IP cuprinde trei zone functionale:
- autentificarea
- confidentialitatea
- managementul cheilor criptografice
Mecanismul de autentificare certifică transmiterea efectivă a unui pachet de către
entitatea indicată ca sursă în header-ul pachetului si, în plus, faptul ca pachetul nu a fost
modificat în timpul tranzitului. Facilitătile de criptare/decriptare a mesajelor în nodul
sursă/destinatie asigură confidentialitatea comunicatiei, iar facilitătile privind managementul
cheilor criptografice asigură securitatea schimbului de chei.
Raportul ”Securitatea in arhitectura Internetului” (IAB-Internet Architecture Board -
1994) a stabilit necesitatea implementării unor mecanisme de securitate pentru Internet si a
indicat ca priorităti pentru noile mecanisme de securitate împiedicarea monitorizării si
controlului fără autorizare a traficului în retele si securizarea traficului utilizator-utilizator
prin implementarea de mecanisme de autentificare si criptare. Rapoartele anuale ale CERT
(Computer Emergency Response Team) indică ca principale tipuri de atac ”IP spoofing”, atac
în care intrusul creează pachete IP cu adrese IP false si exploatează utilizarea de către aplicatii
a adreselor IP pentru autentificare, si diferite forme de atacuri (”packet sniffing”) în care
intrusul citeste informatiile transmise. IAB a inclus autentificarea si criptarea ca mecanisme
obligatorii pentru următoarea variantă de protocol IPv6; implementarea facilitătilor de
securitate pentru IP, cunoscută ca IPSecurity s-a făcut astfel încât să fie compatibilă atât cu
varianta actuală IPv4, cât si cu varianta viitoare Ipv6.
Aplicatii al IP Security
IPSec asigură posibilitate unei comunicatii sigure în retele locale (LAN), retele de arie
largă (WAN), private sau publice, si în Internet; exemple:
- VPN retea virtuală privată bazată pe Internet; se evită necesitatea realizării si
gestionarii unei retele private de arie largă.
- Acces la distantă prin Internet; un utilizator final al cărui sistem pe al cărui
sistem este implementat protocolul IPSec poate apela la un furnizor de Internet
(ISP) si obtine accesul securizat la o retea privată
- Îmbunătătirea securitătii aplicatiilor care au mecanisme de securitate incluse.
Principala caracteristică a IPSec care îi permite să asigure aceste aplicatii variate este
faptul că întregul trafic, la nivel IP, poate utiliza mecanismele de criptare si/sau autentificare.
Astfel toate aplicatiile distribuite: client/server, e-mail, transfer de fisiere, acces Web, remote
logon pot fi securizate.
Modul tipic de utilizare a IPSec în cazul unei organizatii cu retele locale aflate în
diferite locatii presupune că traficul intern retelelor locale nu este securizat în timp ce
traficul între retelele locale utilizează IPSec pentru asigurarea securitătii. Acest protocol este
implementat în echipamentele de retea care conectează retele locale la reteaua de arie largă,
de exemplu rutere sau firewall-uri. Operatiile de criptare/decriptare si autentificare executate
de echipamentele cu IPSec sunt transparente pentru statiile de lucru si serverele din retelele
locale. Utilizatorii individuali, conectati direct la WAN, pot utiliza aceleasi facilităti cu
conditia implementării IPSec pe statia de lucru.
Preview document
Conținut arhivă zip
- IP Security.pdf