Proiectarea unei retele virtuale private (VPN)

1. Obiective si premize

Lucrarea de fata are ca scop declarat descrierea modului in care trebuie realizata implementarea unei retele de calculatoare intr-o societate comerciala care are mai multe sedii raspandite geografic la distanta mare.

Am ales ca fiind necesar un numar de trei locatii initiale si gandirea proiectului in asa fel incat sa poata fi scalabil pana la un numar oricat de mare in functie de viitoarea extindere economica.

In cursul realizarii planului de design trebuie tinut cont in mod obligatoriu de cateva cerinte principiale . In general aceste cerinte sunt valabile pentru toate tipurile de retele .

functionalitatea

scalabilitatea

adaptabilitatea

posibilitatile de management

Functionalitatea - in contextul networkingului inseamna ca reteaua trebuie sa mearga, mai exact utilizatorii sa-si poata indeplini cerintele muncii lor .Reteaua trebuie sa furnizeze atat conectivitatea utilizator-la-utilizator cat si utilizator-la-aplicatie ( in cazul aplicatiilor care opereaza pe un server ) la o viteza si siguranta rezonabila.

Scalabilitatea - Reteaua trebuie sa fie pregatita pentru orice viitoare extindere.Iar acesta crestere in dimensiuni nu trebuie sa afecteze in mare masura designul initial.

Adaptabilitatea - inseamna ca reteaua trebuie implementata cu un ochi atintit spre viitoarele tehnologii. Aceasta inseamna ca nu trebuie sa includa elemente care ar putea sa impiedice implentarea noilor tehnologii odata ce acestea devin disponibile. In acest sens trebuie respectate cat mai in detaliu standardele existente.

In ceea ce priveste crearea posibilitatilor de management exista doua lucruri de mentionat : posibilitatile de monitorizare si posibilitatea de control a traficului , accesului etc.

1

In procesul de design in cazul retelei pe care am ales-o se impune de mentionat ca sunt doua aspecte ale proiectarii si anume LAN-design-ul si WAN-designul.Cele doua aspecte sunt diferite si la fiecare trebuie tinut cont de parametri diferiti .

Pe de o parte cand vorbim despre LAN-uri ( Local Area Network - retea locala) ne referim la acele comunitati de calculatoare care se afla intr-o locatie bine precizata , dimensiunea dintre cele mai departate masini fiind de maxim cateva sute de metri .Uzual aceste retele acopera suprafata unei cladiri sau cel mult un campus. Elementele acestor retele sunt alcatuite din simple calculatoare (PC-uri cel mai adesea ) ,servere, imprimante etc.Viteza la care se face conexiunea este mare iar timpul in care este disponibila conexiunea este virtual nelimitata. 

In cazul LAN-urilor exista cateva cerinte critice care trebuie urmarite in cazul implementarii :

* Plasarea serverelor si definirea functiei lor.

* Detectia coliziunilor.

* Segmentarea retelei.

* Definirea domeniilor de broadcast si a celor de bandwidth.

Un al doilea aspect al implementarii este cel legat de realizarea retelei WAN (Wide Area Network-retea de mare intindere ). Exista deosebiri mare intre cele doua tipuri de retele .

Retelele de mare intindere leaga intre ele masini aflate la mare distanta geografica , punctul maxim constituindu-l Internetul. In general conexiunile de acest gen sunt realizate pentru a permite comunicarea intre retele locale. In general in retelele de mare intindere rareori se intalnesc simple PC-uri, cel mai adesea la “capetele cablurilor “ se afla modemuri, routere sau switchiuri WAN. Transferul datelor se face la viteze mici, existand posibilitatea cresterii de banda dar acesta necesitand cheltuieli mari. Din acest motiv trebuie foarte judicios calculat si ales cel mai bun raport calitate/pret. In genere serviciile WAN sunt cumparate sau inchiriate de la un furnizor sau provider generic numit ISP.

Pentru designul WAN trebuie tinut cont de urmatorii factori :

* Conexiunea trebuie sa faca fata la cerintele de trafic.

* Asigurarea securitatii specifice .

2

* Costul detinerii conexiunii.

Imaginea alturata reprezinta o schematizare a proiectului .

3

4

Cele trei locatii ale firmei proceseaza date vitale pentru activitatea economica a societatii si din aceasta cauza este deosebit de importanta mentinerea comunicarii pe de o parte la un nivel securizat cat si pe parcursul desfasurarii activitatilor specifice.Sediul principal este la Cluj iar filialele sunt in Bucuresti si Timisoara.

2. Consideratii teoretice relative la networking si internetworking

Pentru o buna exemplificare a modelului de functionare unei retele fie ea simpla (LAN) sau complexa (WAN) vom recurge la o scurta descriere a modelul OSI de transmise a datelor.

modelul OSI

In literatura este adesea intalnita denumirea " OSI Reference Model "( modelul de referinta OSI). OSI a fost emis in 1984 este un model in sapte straturi dezvoltat de ISO( International Standardization Organization ) pentru descrierea modului in care se pot combina diverse dispozitive pentru a comunica intre ele. Acest model este conceput ca avand sapte straturi iar fiecaruia i se asociaza un anumit set de functii. Aceste sapte straturi formeaza o  ierarhie plecand de la stratul cel mai de sus 7 – application si pana la ultimul din partea de jos a stivei startul 1 physical.

         OSI a fost elaborat pentru a furniza producatorilor de echipamente de comunicatie un set de standarde , respectarea carora asigurand compatibilitatea si interoperabilitatea intre diverse tehnologii furnizate de firme diferite.Inainte de a trece mai departe cu descrierea modelului OSI este necesar sa lamurim cateva aspecte legat de ceea ce numim in general in networking protocol-ul.

Ca si intre oameni, pentru a putea sa comunice intre ele, calculatoarele trebuie sa vorbeasca aceeasi limba sau altfel spus sa folosesca acelasi protocol. Asadar un protocol este un set de reguli pe care fiecare calculator trebuie sa-l respecte pentru a comunica cu un altul.              

Pe langa modul de impartire pe verticala in modelul OSI se mai poate intelege unul pe orizontala adica fiecare start este subdivizat pe orizontala , in aceste locuri aflandu-se protocoalele. .Ca si principiu un protocol M dintr-un strat 4 al calculatorului source va comunica in calculatorul destination cu protocolul M din stratul 4 al masini respective. Spre exemplu TCP de strat 4 comunica cu TCP de strat 4 din calculatorul cu care a stabilit o conexiune.Imaginea de mai jos cred eu ca evidentiaza cel mai bine modul de comunicare intre protocoale.

5

Care sunt scopurile pentru care a fost propus acest sistem ? Desi astazi sunt si alte sisteme in functiune cei mai multi distribuitori de echipamente de comunicatie folosesc OSI pentru a educa utilizatorii in folosirea echipamentelor. Se considera ca OSI este cel mai bun mijloc prin care se poate face inteles modul in care informatia este trimisa si primita. In modelul OSI sunt sapte straturi care fiecare au functii diferite in retea , aceasta repartitie purtand numele de stratificare.

6

              Stratul 7 (layer 7- application) este cel mai aproape de utilizator si are rolul de a face legatura dintre aplicatie si serviciile oferite de retea pentru acea aplicatie .El este mai aparte decat celelalte straturi in aceea ca nu furnizeza servicii altor straturi .Spre exemplu : o aplicatie ca editorul de text pe care tocmai scriu acest text foloseste stratul 7 cand ii comand sa salvez pe un disc care este in retea Daca este sa asociem acest strat cu un cuvant cel mai potrivit ar fi : browser.

Stratul 6 (layer 6- presentation) are ca scop traducerea informatiilor in formate pe caremasinile care comunica le pot intelege.Poate fi asociat principial cu sintagma : formatul informatiei.

Stratul 5 (layer 5 – session ) porneste , administreaza si termina sesiunile de comunicare intre calculatoare.Este asociat cu termenul de dialog .

Stratul 4 (layer 4 – transport ) segmenteaza si reasambleaza informatia care circula intre noduri .Granita dintre acest strat si cel de deasupra lui este foarte importanta pentru ca delimiteaza straturile care se ocupa cu procesarea locala a informatiei ( 7 application,6 presentation si 5 session) si pe cele care au ca functie definirea modului in care trebuie sa circule datele intre echipamente ( 4 transport , 3 network , 2 data link si 1 phisycal ) .Functiile principale ale stratului transport ar fi : defineste caracteristicile transportului intre noduri , se asigura ca datele au ajuns la destinatie , stabileste , mentine si termina circuite virtuale ,detecteaza si remediaza erorile care au aparut in procesul de transport , controleaza fluxul de date .Daca trebuie gandit in cateva cuvinte , cele mai bune ar fi : calitatea serviciului si increderea in serviciu.

7

Stratul 3 ( layer 3 – network ) poate fi gandit in doua functii : rezolva adresarea intre hosturi si gaseste cea mai buna cale pe care informatia trebuie sa o parcurga pentru a junge la destinatie.Aici se desfasoara procesul de routing .

Stratul 2 ( layer 2 – data link ) face trecerea informatiei din calculator in mediul prin care este trimisa informatia ( cablu , fibra optica sau unde radio ). Acest strat mai controleaza fluxul de date in mediul de transport ofera adresarea fizica ( adresele MAC) , aici se regasesc tehnologiile care asigura diferite topoligii logice ale retelelor ( Ethernet,IEEE 802.3, IEEE 802.5,FDDI ,Token Ring etc).Ne putem aminti usor de acest strat asociindul cu frame-uri si MAC.

Stratul 1 ( layer 1 – phisycal ) defineste la nivel electric , mecanic , procedural si functional legatura fizica intre calculatoarele care comunica.Spre exemplu are in grija : nivelele de voltaj din cablu , tipurile de cablu sau fibra optica , distanta maxima dintre doua capete ale conductorului etc. Il putem asocia cu termenii semnal si cablu.

Cum circula informatia ? Odata ce a fost creata ( spre exemplu dupa ce am scris un email ) informatia trebuie sa treaca prin toate cele 7 straturi unde va fi procesata pentru trimitere .Aceasta procesare presupune desfacerea si asamblarea ei in niste pachete de date procesul purtand numele de incapsulare .Acest proces consta pe langa crearea pachetelor si intr-un fenomen prin care se adauga la fiecare pachet headere si trailere care definesc un anumit protocol care va procesa la destinatie acel pachet. Pentru o mai simpla intelegere a fenomenului se poate lua exemplul cu emailul.Asadar pasii vor fi urmatorii :

1.Construirea datelor .Utilizatorul scrie emailul al carui text si eventual imagine vor fi procesate in straturile superioare pentru a avea un format care sa poata fi trimis in retea .

2.Segmentare datelor .Se face la stratul 4 in felul acesta se garanteaza ca datele vor ajunge in siguranta de la o masina la alta.

8

3.Adaugarea adreselor de retea .Se face la nivelul stratului 3 si se face prin adaugarea unui header la segmentul stratului 3 rezultand ceea ce numim pachet.Acest header vine cu informatii deosebit de pretioase : adresa logica 3 catre care va fi expediat pachetul , adresa logica sursei .Tot la cest nivel se decide care va fi urmatoarea masina careia i se va livra pachetul ( next hop ).

4.Adugarea headerului de strat - aici se adauga un header care contine informatii cu privire la uramatoarea masina care va primi acea informatie .Rezultatul acestei asamblari fiind ceea ce numim un frame.Trebuie deosebita aceasta adresare de cea de la layer 3 : spre

9

exemplu daca sunt intr-o retea, reteaua A si trimit informatie in aceesai retea IP-ul destinatiei va fi al masinii catre care trimit , MAC-ul deasemeni ; pe cand daca trimit intr-o alta retea IP-ul va fi al destinatiei iar MAC-ul va fi al default gateway-ul din reteaua A in care ma flu eu .

5.Convertirea frame-ului intr-o secventa de biti ( 0 si 1).Asa circula informatia in mediul de propagare .Aici se mai afla si un ceas care permite celor doua masini care comunica sa se poata sincroniza.

despre TCP/IP

Desi modelul OSI este universal recunoscut , din punct de vedere istoric si tehnic vorbind in ceea ce priveste internetul standardul aplicat este TCP/IP adica Transmission Control Protocol / Internet Protocol. Modelul de referinta TCP/IP si stiva sa de protocoale fac comunicarea posibila intre doua calculatoare care se afla in orice colt al lumii la viteze care cresc pe zi ce trece . TCP/IP a luat nastere in laboratoarele armatei americane in speranta de a crea un mod de comunicare posibil in orice conditii de lupta .Datorita fiabilitatii sale a fost mai tarziu preluat de dezvolatatorii de UNIX si adus la un nivel care sa permita comunicarea in Internet astazi fiind cea mai raspandita limba in care « vorbesc computerele » oriunde in lume. TCP/IP este un model in patru straturi : application ,transport ,internet si network access ( sau mai simplu network ).

Intre cele doua modele exista similaritati. Stratul application include si straturile session si presentation ale modelului OSI .Stratul transport al modelului TCP/IP are in grija calitatea serviciului de comunicare , siguranta liniei de transport , controlul fluxului si detectia si corectia erorilor.

La nivelul stratului transport se afla si protocolul TCP care este un protocol orientat pe conexiune. Aceasta inseamna ca doua computere pot comunica asigurandu-se ca aud exact ceea ce interlocutorul spune si anuntand

10

periodic acel interlocutor ca a inteles exact. Aceasta este tehnica   acknowledgement-urilor .Totodata TCP permite si comunicarea rapida, adaptata la posibilitatile retelei prin folosirea window-ingului .

Stratul internet este cel care face adresarea logica in stiva TCP/IP .Pe scurt care sunt cele doua lucruri pe care le face: odata gaseste care este cea mai buna cale pe care trebuie sa o urmeze un packet pentru a ajunge la destinatie iar cea de a doua consta in switvhingul acelui pachet , aceasta fiind posibilitatea de a trimite pachetul printr-o alta interfata decat aceea de primire .Acesta este locul unde actioneaza routerul in internet . 

Stratul network access este acela unde rezida ambele tehnologii LAN si WAN. Asadar aici se gasesc toate lucrurile mentionate la nivelele 1 si 2 ale modelului OSI.

Retelele WAN ( Wide Area Network – retele de mare intindere ) sunt acelea care in genere interconecteaza retele LAN aflate la mare distanta geografica. Retelele WAN opereaza la nivelul straturilor 1 si 2 ale modelului OSI si au urmatoarele caracteristici :   

1. Opereaza pe distante mult mai mari decat LANurile de aceea cel mai adesea folosesc serviciile oferite de un ISP ( internet service provider – furnizor de servicii internet).Aceste servicii fie sunt cumparate fie inchiriate .

2. Folosesc legaturile seriale in general acestea ofera o largime de banda mult mai mica decat cea oferita de retelele LAN , costul acestei bande fiind de asemenea mult mai mare in cazul retelelor de mare intindere.

11

3. Retelele de mare intindere folosesc o gama de echipamente special adaptate pentru cerintele acestora : routere ( interfetele seriale ) , switchuri WAN , modemuri , comm servere.

Routerele sunt aceleasi folosite si in conexiunile LAN cu deosebirea ca in acest caz sunt folosite interfetele seriale care de obicei se conecteaza la un modem care transforma ( moduleaza sau demoduleaza ) tipul de semnal ( electric/cablu de cupru sau optic/fibra optica ) pe care il transporta furnizorul de servicii internet. Switchul WAN este diferit ca si functie de cel LAN si este aflat de asemenea in dotarea furnizorului de servicii internet. In principiu asigura transferul informatiei in interriorul retelei providerului dar are functii mult mai complexe. 

Urmatoarele imagini schematizeaza operatiunile care se desfasoara in retelele WAN si tipurile de echipamente folosite. 

12

Exista o multitudine de tehnologii WAN care difera prin largimea benzii pe care o distribuie , mediul folosit la propagarea datelor , pretul sau , gradul de incredere in serviciul folosit .

13

Urmatorele imagini indica cateva dintre protocoalele si standardele folosite in retelele WAN. Am incercat sa precizez si tipurile de echipamente folosite in realizarea proiectului de VPN ulterior intentia fiind sa nu mai revin cu explicatii teoretice ci doar cu specificatiile proiectului in sine .   

. 

14

In ceea ce priveste protocoalele folosite intre routere m-am oprit asupra PPP pentru ca este pe deplin standardizat si in plus ofera posibilitati forte bune de autentificare ( folosind CHAPul ). 

VPNul

In ceea ce urmeaza am sa prezint in general termenul de VPN si cam ce implica acesta si cateva tehnologii de VPN care se pot implementa.

In primul rand trebuie spus ce inseamna o retea privata. Asta am s-o fac printr-un exemplu : daca ar trebui sa-si faca o retea privata firma mea ar trebui sa sa traga cabluri si stalpi intre toate cele trei sedii ale sale , sa cumpere echipamente foarte scumpe , sa angajeze oameni care sa instaleze iar mai apoi sa mentina toata aceasta infrastructura .Asadar cheltuielile ar atinge un prag exorbitant pentru o firma care are ca obiect de activitate vanzarile de textile spre exemplu .Deci situatia ar trebui altfel gandita.  Alternativa ar fi sa inchirieze banda de la un provider de internet si sa-si lege cele trei locatii punandu-le adrese de IP reale .Vorbim aici despre partajarea unei conexiuni .Aici insa apar probleme de securitate .S-ar simti multi provocati fie sa sparga sistemul sau macar sa-l blocheze periodioc (prin flooding spre exemplu) .Asadar ar trebui inasprita foarte mult securitatea , fapt care in primul rand costa iar in al doilea ar impune asemenea restrictii incat ar fi imposibil ca firma sa-si mai desfasoare activitatea economica.  Partea buna este ca mai exista o alternativa si aceasta este de departe cea mai viabila : crearea unei retele care sa fie virtual privata .Asadar este un hibrid : aduce securitatea retelei integral private si se apropie ca si cost de cea obtinuta prin partajarea de banda la internet.  Asadar un VPN este o retea care conecteaza in mod securizat diferite locatii folosind infrastructura deja partajata a retelei internet. VPN mentine aceeasi securitate , prioritate a traficului , posibilitatile de management si incredere ca si o retea privata.  VPN este cea mai eficienta alternativa in ceea ce priveste costurile de implementare si mentinere pentru firmele private.  VPN-ul in plus ofera o multitudine de posibilitati de conectare :   

1.   Realizarea de intranet intre diferite locatii aflate la distanta.2.   Conectarea utilizatorilor mobili .3.   Realizarea unor legaturi extranet cu partenerii de afaceri.

La ora actula exista trei posibilitati de realiza un VPN : 

15

Access VPN – permite conectarea individuala ( utilizatori mobili ) sa a unor birouri la sediul central al unei firme , aceasta realizandu-se in cele mai sigure conditii.

Intranet VPN – permite conectarea diferitelor sedii ale unei firme folosind legaturi dedicate .Diferenta fata de Access VPN consta in faptul ca se folosesc legaturi dedicate cu rata de transfer garantata fapt care permite asigurarea unei foarte bune calitati a transmisiei pe langa securitate si banda mai larga.

Extranet VPN – este folosit pentru a lega diferiti clienti sau parteneri de afaceri la sediul central al unei firme folosind linii dedicate , conexiuni partajate , securitate maxima.

1.Access VPNul

Sunt doua tipuri pentr acest tip de VPN dupa cum urmeaza : 

Conexiune initiata de client .Clientii care vor sa se conecteze la siteul firmei trebuie sa aiba instalat un client de VPN acesta asigurandu-le incripatare datelor intre computerul lor si sediul ISPului .Mai departe conexiunea cu sediul firmei se face de asemenea in mod criptat , in concluzie intregul circuit al informatiei se face in mod criptat. Trebuie precizat ca in in cazul acestui tip de VPN sunt folositi o multitudine de clienti de VPN .Un exemplu este Cisco Secure VPN dar spre exemplu si Windows NT sau 2000 au integrat clienti de VPN. Un alt fapt este folosirea unui NAS ( Network Access Server ) acesta find un server de access care face logarea si stabilirea tunelului cripatat in ambele directii pentru fluxul de date .Urmatoarea imagine schematizeaza acest tip de Access VPN : 

Access VPN initiat de NAS 1 este ceva mai simpla pentru ca nu implica folosirea unui client de VPN .Tunelul cripatat se realizeaza intre NAS-ul ISPului si sediul firmei la care se vrea logarea .Intre client si NAS securitatea se bazeaza pe siguranta liniilor telefonice (fapt care uneori

16

poate fi un dezavanta ).     

2.Intranet VPN

Permite realizarea unei retele interne complet sigura pentru o firma. Permite realizarea unor medii client-server foarte performante prin utilizarea conexiunilor dedicate care pot sa atinga rate de transfer foarte bune (E1) limita fiind determinata de suma pe care firma respectiva este dispusa sa o investeasca in infrastructura sa informationala . 

Arhitectura aceasta utilizeaza doua routere la cele doua capete ale conexiunii , intre acestea se realizeaza un tunel criptat. In acest caz nu mai este necesara folosirea unui client de VPN ci folosirea IPSec.IPSec ( IP Security Protocol ) este un protocol standardizat de strat 3 care asigura autentificarea, confidentialitatea si integritatea transferului de date intre o pereche de echipamente care comunica .Foloseste ceea ce se numeste Internet Key Exchange ( IKE ) care necesita introducerea la ambele capete ale conexiunii a unor chei de autentificare care mai apoi vor permite logarea reciproca .  Schematic conexiunea arata cam asa : 

17

3.Extranet VPN

Acest tip de VPN seamana cu precedentul cu deosebirea ca extinde limitele intranetului permitand legarea la sediul corporatiei a unor parteneri de afaceri , clienti etc.acest tip permite accesul unor utilizatori care nu fac parte din structura firmei .Pentru a  permite acest lucru se folosesc certificate digitale care permit ulterior realizarea unor tunele criptate .Certificatele digitale sunt furnizate de o autoritate care are ca activitate acest lucru .     

18

 

Detaliile implementarii .

Pentru implementarea unui VPN exista un necesar de echipamente software si hardware . Cisco recomanda urmatoarea gama de routere pentru VPN : 

Seria         transfer maxim date               utilizare Cisco 800 series. Pana la 128 Kbps ISDN SOHO Cisco uBr900 series. Pana la T1 SOHO Cisco 827 DSL SOHO Cisco 1700 Series. Pana la T1/E1 Small Office Cisco 2600 Series. Pana la T1/E1 Branch Office Cisco 3600 Series. n * T1/E1 Large Branch Cisco 7120. n * T1/E1 Large Branch Cisco 7100 Series. Pana la DS3 Central Site Cisco 7200 Series. Pana la DS3 Central Site

19

In al doilea rand avem nevoie de routere care sa suporte IPSec .Acestea ar fi : 

Cisco 1600 series routers Cisco 800 series routers Cisco 1740 series routers Cisco 2500 series routers Cisco 2600 series routers Cisco 3600 series routers Cisco 4000 (Cisco 4000, 4000-M, 4500, 4500-M, 4700, 4700-M) series routers Cisco 7100 series routers Cisco 7200 series routers Cisco 7500 series routers

Cerintele de sistem se grupeaza in doua categorii : in primul rand ar fi vorba despre cerintele clientului si al doilea rand despre cele pentru server .Cerintele de client sunt software .Un client pentru a puteafi configurat este necesar sa intruneasca urmatoarele cerinte : 

PC cu procesor Pentium sau echivalent  OS : _Microsoft Windows 95 _Microsoft Windows 98 _Microsoft Windows NT 4.0 (Service Pack 3 sau 4 ) _Microsoft Windows 2000 Minimum 32 MB RAM Disponibil pe hard disk 9 MB CD-ROM Protocoale configurate : TCP/IP Conexiune dial-up ( modem intern sau extern ) Conexiune la retea Ethernet.

Severerul trebuie sa respecte cateva cerinte hard si soft :  Trebuie sa fie unul dintre routerele mentionate mai sus sa permita folosirea IPSec si sa aiba ca sistem de operare minimum IOS 12.04 .Este recomandat de asemenea ca routerul sa fie ales in concordanta cu necesitatile de trafic ale companiei .

In continuare am sa prezint schematizat cateva date importante legat de modul in care VPN este incriptat si cum se face stabilirea conexiunii .In primul rand despre modul in care se face autentificarea . In ceea ce urmeaza vom folosi ca protocol de strat 2 in cazul legaturilor seriale intre routere protocolul PPP pentru ca este pe deplin standardizat si ofera o buna modalitate de autentificare .Mai exact aceasta autentificare se produce la stabilirea conexiunii intre cele 

20

doua capete ale circuitului si are ca rezultat accesul sau nu al celui care a cerut conectarea .Protocolul PPP are doua modalitati de autentificare : PAP si CHAP .  PAPul este mai putin folosit in ultima vreme deoarece nu este foarte sigur , trimitand parolele in „ clear text” sistemul putand pierde astfel informatie pretiosa daca se insera un sniffer.CHAPul este cel mai folosit protocol de autentoficare datorita modului sau mai elaborat in care asigura autentificarea folosind „provocari” (chellenge ) ale serverului de autentificare .Este de asemenea important si faptul ca autentificarea se face pa parcursul mentinerii circuitului nu numai la startul acestuia .Procesul de autentificare are loc ca in schita de mai jos. 

1.Cand clientul initializeaza conexiunea PPP cu NAS acesta din urma ii trimite un chellenge catre client. 2.Clientul trimite un raspuns.NASul analizeaza acest raspuns si incepe negocierea cu routerul gateway al firmei .Dupa ce se stabileste un tunel intre acestia NAS trimite mai departe informatiile primite de la client . 3.Urmatorul pas este realizat intre gateway si client , gatewayul autentifica clientul si trimite acestuia insiintarea de acceptare sau nu a conexiunii.

Stabilirea tunelului L2F este tot o chestiune de negociere intre doua noduri dar am considerat ca depaseste spatiul acestei lucrari si nu am introdus date suplimentare.In continuare este indicat modul in care se face autentificarea unui utilizator . 

21

   

Pe schema de mai sus se pot vedea pasii care sunt urmati pentru ca un utilizator dintr-o filiala sa poata stabili o conexiune cu reteau din centrul firmei .Au loc urmatoarele etape : 

1. 1.Utilizatorul de la distanta initiaza o conexiune PPP , are loc autentificarea CHAP , NAS accepta sesiunea.

2. 2.NAS identifica utilizatorul.3. 3.NAS initiaza tunelul criptat L2F intre el si siteul principal al

firmei ( mai exact routerul care are rol de gateway ).4. 4.Routerul firmei autentifica acel utilizator si daca este

acceptat atunci aproba tunelul cu NAS.5. 5.Routerul gateway confirma acceptare sesiunii si a tunelului

L2F.6. 6.NAS face un fisier de log pe care il inregistreaza.

22

7. 7.Gatewayul si utilizatorul incep negocierile PPP ( LCP , NCP , se poate acorda o adresa IP prin DHCP ).

8. 8.Tunelul intre utilizator si firma este realizat pe deplin si se pot schimba in siguranta datele .

23