Rețele virtuale private - standardul IPSec

7. Protocoale de tunelare

Dupa cum am afirmat, o retea virtuala privata (VPN) este initiata în jurul unui protocol de securizare, cel care cripteaza sau decripteaza datele la sursa si la destinatie pentru transmisia prin IP. Pentru realizarea unui tunel, clientul si serverul de tunel trebuie sa foloseasca acelasi protocol de tunelare.

Tehnologia de tunelare poate fi bazata pe un protocol de tunelare pe nivel 2 sau 3. Aceste nivele corespund modelului de referinta OSI. Protocoalele de nivel 2 corespund nivelului legatura de date, si folosesc cadre ca unitate de schimb. PPTP, L2TP si L2F (expediere pe nivel 2) sunt protocoale de tunelare pe nivel 2; ele încapsuleaza încarcatura într-un cadru PPP pentru a fi transmis peste inter-retea. Protocoalele de nivel 3 corespund nivelului retea, si folosesc pachete. IP peste IP si Tunel IPSec sunt exemple de protocoale care încapsuleaza pachete IP într-un antet IP aditional înainte de a le transmite peste o inter-retea IP.

Pentru tehnologiile de nivel 2, cum ar fi PPTP sau L2TP, un tunel este asemanator cu o sesiune; ambele capete ale tunelului trebuie sa cada de acord asupra tunelului si sa negocieze variabilele de configurare, cum ar fi atribuirea adreselor, criptarea, comprimarea. În cele mai multe cazuri, datele transferate prin tunel sunt trimise folosind un protocol bazat pe datagrame. Pentru gestionarea tunelului se foloseste un protocol de mentinere a tunelului.

Tehnologiile de tunelarea pe nivel 3 pleaca de la premiza ca toate chestiunile de configurare au fost efectuate, de multe ori manual. Pentru aceste protocoale, poate sa nu existe faza de mentinere a tunelului. Pentru protocoalele de nivel 2, un tunel trebuie creat, mentinut si distrus.

În prezent exista o mare varietate de astfel de protocoale - de exemplu PPTP, L2F, L2TP, IPSec, SOCKS5, FPSecure. Unele se suprapun în functionalitate, altele ofera functii similare dar complementare.

În cele ce urmeaza vom identifica pe scurt cele mai importante caracteristici ale acestor protocoale:

- Point to point tunneling protocol (PPTP), reprezinta o extensie a Point-to-Point Protocol (PPP), care încapsuleaza datele, IPX sau NetBEUT în pachetele IP. Acest protocol este folosit în mod fundamental de echipamentele ISP, deoarece duce la un numitor comun participantii la sesiuni de comunicatii. Este cea mai cunoscuta dintre optiunile pentru securitatea transferului de date în reteaua VPN. Dezvoltat de Microsoft si inclus în Windows NT v 4.0 pentru a fi folosit cu serviciul de rutare si acces de la distanta (Routing & Remote Access Service). Este plasat la nivelul 2 OSI.

- Layer 2 forwarding (L2F) este un protocol de tip forwarding, folosit pentru tunelarea protocoalelor de nivel înalt într-un protocol de nivel 2 (legatura de date - Data Link). De exemplu, se folosesc ca protocoale L2: HDLC, HDLC asincron sau cadre SLIP. Desi aceasta solutie faciliteaza conectivitatea pe linii de acces în retele cu comutatie de circuite, informatia din fluxul L2F nu este criptata. Acest protocol a fost creat de Cisco. Combinat cu PPTP, constituie componenta a L2TP.

- Layer 2 Tunneling Protocol, sau L2TP, este o combinatie dintre un protocol al firmei Cisco Systems (L2F) si cel al firmei Microsoft denumit Point-to-Point Tunneling Protocol (PPTP). Fiind conceput pentru a suporta orice alt protocol de rutare, incluzând IP, IPX si AppleTalk, acest L2TP poate fi rulat pe orice tip de retea WAN, inclusiv ATM, X.25 sau SONET. Cea mai importanta trasatura a L2TP este folosirea protocolului Point-to-Point, inclus de Microsoft ca o componenta a sistemelor de operare Windows 95, Windows 98 si Windows NT. Astfel ca orice client PC care ruleaza Windows este echipat implicit cu o functie de tunneling, iar Microsoft furnizeaza si o schema de criptare denumita Point-to-Point Encryption. În afara capacitatii de creare a unei VPN, protocolul L2TP poate realiza mai multe tunele simultan, pornind de la acelasi client, de exemplu spre o baza de date a firmei si spre intranetul aceleiasi firme.

- Internet Protocol Security sau IPSec, este o suita de protocoale care asigura securitatea unei retele virtuale private prin Internet. IPSec este o functie de layer 3 si de aceea nu poate interactiona cu alte protocoale de layer 3, cum ar fi IPX si SNA. Însa IPSec este poate cel mai autorizat protocol pentru pastrarea confidentialitatii si autenticitatii pachetelor trimise prin IP. Protocolul functioneaza cu o larga varietate de scheme de criptare standard si negocieri ale proceselor, ca si pentru diverse sisteme de securitate, incluzând semnaturi digitale, certificate digitale, chei publice sau autorizatii. Încapsulând pachetul original de date într-un pachet de tip IP, protocolul IPSec scrie în header toata informatia ceruta de terminalul de destinatie. Deoarece nu exista modalitati de autentificare sau criptare licentiate, IPSec se detaseaza de celelalte protocoale prin interoperabilitate. El va lucra cu majoritatea sistemelor si standardelor, chiar si în paralel cu alte protocoale VPN. De exemplu, IPSec poate realiza negocierea si autentificarea criptarii în timp ce o retea virtuala de tip L2TP primeste un pachet, initiaza tunelul si trimite pachetul încapsulat catre celalalt terminal VPN.

- SOCKS 5 constituie o alta abordare a retelelor virtuale private. Initial produs de Aventail, SOCKS 5 este putin mai diferit de L2TP sau IPSec: el seamana cu un server proxy si lucreaza la nivelul de socket TCP. Pentru a utiliza SOCKS 5, sistemele trebuie încarcate cu un software client dedicat. În plus, firma trebuie sa ruleze un server de tip SOCKS 5.

Partea pozitiva a lui SOCKS 5 este aceea ca permite administratorilor de retea sa aplice diverse limitari si controale traficului prin proxy. Deoarece lucreaza la nivel TCP, SOCKS 5 va permite sa specificati care aplicatii pot traversa prin firewall catre Internet si care sunt restrictionate.

Principalele dezavantaje rezida în faptul ca Socks 5 adauga un nivel de securitate prin rutarea traficului printr-un sistem proxy, ceea ce duce la performante în general inferioare fata de protocoalele de nivel inferior. În plus el prezinta o dependenta fata de modul de implementare a retelelor VPN. Desi gradul de securitate este mai ridicat în comparatie cu solutiile plasate la nivelul OSI retea sau transport, acest supliment de securitate pretinde o administrare mult mai sofisticata a politicilor. Mai mult, pentru construirea de conexiuni printr-un sistem firewall sunt necesare aplicatii client, astfel încât toate datele TCP/IP sa fie transmise prin serverul proxy.