Vol.

3, Issue 3, Year 2010

SECURITATEA COMUICAIILOR I REELELE VIRTUALE
PRIVATE


Dan ADREESCU
Ministerul Internelor i Reformei Administrative


Abstract
The changes produced in our society through daily using of informatic resources have been promoted the
explosive development of calculation technique and computers network. So, we can observe an intense
development regarding communications systems, of proceedings, of networks via cable or not (wireless). These
improvements produce remarkable enlargement of data transfer with small prices, accesible not only for the
institutions, but for all users, individuals or judicial persons. Spectacular development of networks is due to
explosive evolution of the technology and, concomitantly, to the infrastructure development which serve them.

Key words: networks, security, communications, computers.

1. Introducere

Securitatea reelei a devenit o problem important a societii contemporane, n care
componenta informatic este prioritar i se bazeaz pe reele de echipamente de calcul tot
mai extinse i mai diversificate.
Schimbrile produse n societatea noastr prin utilizarea zilnic a resurselor
informatice au impulsionat dezvoltarea exploziv a tehnicii de calcul i a reelelor de
calculatoare. Astfel, o dezvoltare intens se poate observa n privina sistemelor de
comunicaii, a protocoalelor, a reelelor prin cablu i fr cablu (wireless). Aceste
mbuntiri produc mrirea considerabil a vitezelor de transfer al datelor, la preuri foarte
mici, accesibile nu numai instituiilor, ci tuturor utilizatorilor, persoane fizice sau juridice.
Dezvoltarea spectaculoas a reelelor se datoreaz evoluiei explozive a tehnologiei i,
totodat, dezvoltrii infrastructurii care le deservete.
Au aprut noi faciliti sub forma unor servicii oferite de ctre instituii specializate,
cu plaj de acoperire de la telefonia prin cablu i pn la plata facturilor sau accesarea unui
cont ataat cardului personal, prin intermediul telefonului sau chiar prin Internet Bancking. n
aceste condiii, este evident c atacurile informatice din timpul transmiterii i procesrii de
date electronice pot produce pagube importante care vor fi direct proporionale cu valoarea
informaiilor vehiculate prin reeaua atacat, ajungnd s fie comparabile, din punct de vedere
economic, cu dezastrele naturale.
Toate aceste atacuri bazate n mare parte pe vulnerabilitile sistemelor de operare au
dus la amplificarea luptei pentru creearea unor reele de calculatoare sigure. Practic
securitatea unei reele poate fi realizat atunci cnd se reunesc urmtoarele dou componente
principale ale sale: securitatea calculatoarelor din reea i securitatea comunicaiilor.

2. De ce VP?

O reea privat este alctuit din calculatoarele i echipamentele din reeaua unei
singure instituii sau, de ce nu, ale unui grup de persoane, atunci cnd este vorba de un
utilizator casnic, care pun la comun datele ce le dein. De obicei aceste date sunt protejate de
reeaua Internet printr-un router sau router-firewall, prin alte echipamente i tehnologii
Vol. 3, Issue 3, Year 2010

dedicate de protecie
1
. Aceast tip de reea este delimitat de reeaua public printr-un gateway-
router i un firewall care au rolul principal de a pstra intruii i atacurile acestora n afara
reelei private.
Pn acum ceva timp companiile cu sedii multiple, separate din punct de vedere
geografic, aveau mari probleme de interconectare a reelelor locale, care erau de forma unor
insule ntr-un ocean informatic, aa cum este Internetul. Comunicaiile dintre aceste reele i
chiar ntre reelele locale ale unor firme partenere se fceau ntr-un mod greoi i foarte
costisitor, prin intermediul modemurilor i al unor linii de comunicaie nchiriate.
Reelele virtuale private (VP) reprezint o rezolvare a acestei probleme, oferind linii
de comunicaii securizate peste o infrastructura bazat pe o reea public, adic prin Internet.
Acestea au avantajul c sunt mai ieftine, n primul rnd datorit extinderii infrastructurii pe
care se bazeaz Internetul i pentru c pot oferi linii de comunicare sigure, cu bani puini,
nemaifiind nevoie de linii de date separate de reeaua Internet prin care s se fac transportul
datelor. Totodat ele pot oferi viteze de transfer net superioare fa de liniile bazate pe
modemuri, este vorba de viteze avnd mrimea de ordinul GB/secund.
Aceste reele virtuale private au avantajul unor tehnologii noi, care se bazeaz n
mare parte pe criptare. Ele folosesc criptare date, autentificare utilizatori, tunelarea
pachetelor i firewall.

3. Ce este VP?

Reeaua virtual privat (VP) este o reea ce permite accesul utilizatorilor care se
afl ntr-o alt locaie geografic s se conecteze folosind ca mijloc o conexiune public.
VPN-urile menin aceleai politici de securitate i management ca i o reea privat. Din
punct de vedere financiar, acest mod de conectare ntre utilizatori la distan i reeaua
companiei este cel mai eficient.
O reea virtual privat poate oferi cteva moduri de protecie a informaiei i anume:
confidenialitatea, integritatea, autenticitatea datelor i controlul accesului. Prin toate
acestea, o reea virtual privat poate s reduc riscurile de atac dar nu poate s le elimine n
totalitate.
Exist trei tipuri de VPN-uri:
access VP asigur accesul de la distan pentru intranet-ul sau extranet-ul
unui client printr-o infrastructur comun. Pentru aceasta se folosesc linii analogice,
dial, ISDN, DSL, mobile IP i tehnologii prin cablu pentru a conecta n mod securizat
utilizatorii mobili i sucursalele.
intranet VP conecteaz sediile centrale ale companiei, reprezentanele la
distan i sucursalele la o reea intern printr-o infrastructur comun, folosind
conexiuni dedicate. Specificul acestui tip de VPN este accesul permis doar angajailor
companiei.
extranet VP conecteaz clienii, furnizorii, partenerii la reeaua companiei
printr-o infrastructur comun; folosind conexiuni dedicate.
Access VP-urile permit conectarea unei varieti de utilizatori, de la un singur
utilizator mobil la o ntreag sucursal.

1
Exemplu de echipamente i tehnologii dedicate de protecie a unei reele locale server cu management de
Antivirus, accesare resurse reea printr-un server de Port Knocking, Honeypot, servere de Actualizare Sistem
Operare, IDS-uri, servere de Backup i mai nou preprocesoare de e-mail pentru nlturarea e-mail-urilor de tip
SPAM.
Vol. 3, Issue 3, Year 2010


Figura 1 Conectare VPN

Pentru conectare se folosete un tunelul L2F (layer 2 forwarding), mediul ISP
devenind transparent pentru utilizator. Tunelul creaz o legtur securizat peste mediul
nesigur al Internetului.
n Figura 1 am prezentat modaliti diverse de conectare prin intermediul unui VPN a
unui sediu de firm cu un angajat care se afl acas, cu un alt sediu al aceleiai firme sau cu
un echipament mobil al unu angajat care se afl ntro cltorie de afaceri.

4. Tipuri de arhitecturi VP

Din punct de vedere al tipului de echipament conectat la captul tunelului exist trei
tipuri principale de arhitectur de reele virtuale private:Gateway-to-Gatewa, Host-to-
Gateway i Host-to-Host
Arhitectura de tip Gateway-to-Gateway asigur transmiterea de date n mod securizat
ntre dou reele prin intermediul a dou servere de tip VP Gateway, instalate cte unul n
fiecare reea. n mod normal aceste echipamente trebuie s ndeplineasc numai funcia de
VPN Gateway sau cel mult i de firewall i router.
VPN Gateway VPN Gateway
Internet

Figura 2 Arhitectura Gateway-to-Gateway

Avantajul acestui tip de arhitectur este c poate transporta n mod protejat una sau
mai multe reele locale pe o infrastructura de reea public interconectnd dou sau mai multe
sedii ale unei instituii, tansportnd tipuri diferite de clase de IP-uri sau de trafic.
Soluia de securitate VPN nu poate proteja dect traficul dintre cele dou servere VPN
Gateway, securitatea din interiorul reelei locale fiind asigurat de alte echipamente i
tehnologii dedicate.
Aceast arhitectura este una dintre cele mai rspndite, poate i datorit faptului c,
prin intermediul a dou echipamente, fr intervenia utilizatorilor din reea ci numai a unei
persoane specializate, se asigur conectarea n mod securizat a unei reele aflat n alt locaie
geografic. Practic aceast tehnologie poate fi folosit fr a mai instala alte aplicaii pe
Vol. 3, Issue 3, Year 2010

calculatorul utilizatorului sau fr ca acesta s fie nevoit s se autentifice de fiecare dat cnd
folosete resursele oferite de ctre aceasta.

Arhitectura de tip Host-to-Gateway asigur transmiterea de date n mod securizat ntre
una sau mai multe echipamente de tip host i un server de tip VP Gateway. Aceast
arhitectur este cea mai des folosit pentru conexiunile de tip remote access securizat.


Figura 3 Arhitectura Host-to-Gateway

Avantajul acestui tip de arhitectur este c poate conecta utilizatori dintr-o reea
nesecurizat la resursele care se afl ntr-o reea securizat. Aceast arhitectur este foarte
util atunci cnd utilizatorul se afl ntr-o alt locaie geografic, la o ntlnire de afaceri i
are nevoie de resursele oferite de reeaua privat a companiei la care este angajat.
Cnd utilizatorul intenioneaz s iniializeze conexiunea cu serverul VPN gateway, n
primul rnd serverul VPN gateway i va cere acestuia s se autentifice i abia dup aceea se
poate stabili conexiunea. Autentificarea se poate face chiar de ctre serverul VP gateway
sau prin intermediul unui server dedicat pentru autentificare.
Dezavantajul major al acestei arhitecturi este necesitatea interveniei utilizatorului
pentru stabilirea conexiunii. Utilizatorul trebuie mcar s autentifice staia host la serverul
VP gateway. O alt problem ar fi existena unei aplicaii n plus pe calculatorul
utilizatorului, prin intermediul creia se poate face conectarea la serverul VP gateway.

Arhitectura de tip Host-to-Host asigur transmiterea de date n mod securizat ntre
dou echipamente de tip host. Acestea pot fi o staie i un server, desprite de o reea
public, la care aceasta se conecteaz.

Figura 4. Arhitectura Host-to-Host
Aceast arhitectur se folosete atunci cnd se dorete o conexiune criptat ntre dou
echipamente distincte ca de exemplu cnd se dorete o conectare remote la un server printr-o
infrastructura nesigur din punct de vedere al securitii.
Vol. 3, Issue 3, Year 2010

n aceast arhitectur cnd utilizatorul intenioneaz s iniializeze conexiunea cu
serverul VPN, serverul VPN i cere acestuia s se autentifice n primul rnd, ca i n cazul
host-to-gateway i abia dup aceea se poate stabili conexiunea.

5. Concluzii

ntr-o lume n plin expansiune din punct de vedere a echipamentelor de calcul,
deservite de o reea Internet tot mai vast i mai complex, securitatea reelei i a
echipamentelor care fac parte din aceasta devine un lucru tot mai important fr de care un
calculator nu poate rezista mai mult de cinci minute fr a fi atacat ntr-o reea public.
Securitatea comunicaiilor se poate obine mai uor prin utilizarea acestor tipuri de
VPN i de arhitecturi de VPN care au fost prezentate anterior n articol. Dac se folosesc
aplicaii open source, atunci se poate realiza securitatea comunicaiilor fr implicaii
financiare costisitoare.