Securitatea in Internet (Partea I) - horatiuvlad.com fileclient/server (Kerberos), accesul la Web...
36
Securitatea in Internet (Partea I) Protocolul IPsec Retea virtuala privata
Transcript of Securitatea in Internet (Partea I) - horatiuvlad.com fileclient/server (Kerberos), accesul la Web...
Securitatea in Internet(Partea I)
Protocolul IPsec
Retea virtuala privata
Securitatea IP• O modalitate curentă de a asigura securitatea aplicatiilor care folosesc
stiva de protocoale TCP/IP o reprezintă dezvoltarea de mecanisme de securitate specifice pentru diferite domenii de aplicatii: e-mail (PEM, PGP), client/server (Kerberos), accesul la Web (SSL, TSL).
• Există însă anumite probleme de securitate care pot fi implementate încadrul stivei de protocoale TCP/IP: - interzicerea legăturilor cu site-urile potential nesigure;- criptarea pachetelor emise si autentificarea pachetelor primite.
• Prin implementarea politicii de securitate la nivelul protocolului IP, se poate asigura securitatea comunicatiei si pentru aplicatii care nu au mecanisme proprii de securitate.
• Securitatea la nivelul IP cuprinde trei zone functionale:- autentificarea;- confidentialitatea;- managementul cheilor criptografice.
• Moduri de utilizare a IP Security
1. Modul transport:
- asigură protectie numai pentru informatia primita de la protocoalele de nivel imediat superior IP(de ex.TCP, UDP, ICMP); - este folosit pentru comunicatie între două calculatoare gazdă (fig. urm.). - nu protejeaza antetul IP, care este adaugat ulterior.
• 2. Modul tunel:
- asigură protectie pentru întregul pachet IP;
- ia pachetul IP (inclusiv antetul), aplica IPSec la intregul pachetsi apoi adauga un nou antet IP. - Este utilizat atunci când sursa şi/sau destinatia pachetului sunt
rutere securizate (fig. urm.).
• Raportul ”Securitatea in arhitectura Internetului” (IAB-Internet Architecture Board -1994) a stabilit necesitatea implementăriiunor mecanisme de securitate pentru Internet si a indicat ca priorităti pentru noile mecanisme de securitate:- împiedicarea monitorizării si controlului fără autorizare a traficului în retele;- securizarea traficului de la un utilizator la alt utilizator,prinimplementarea de mecanisme de autentificare si criptare.
• IAB a inclus autentificarea si criptarea ca mecanisme obligatoriipentru următoarea variantă de protocol IPv6;
• Implementarea facilitătilor de securitate pentru IP, cunoscută ca IPSecurity s-a făcut astfel încât să fie compatibilă atât cu varianta actuală IPv4, cât si cu varianta viitoare Ipv6.
• Rapoartele anuale ale CERT (Computer Emergency Response Team) indică principale tipuri de atac:- ”IP spoofing”, atac în care intrusul creează pachete IP cu adrese IP false si exploatează utilizarea de către aplicatii a adreselor IP pentru autentificare;- diferite forme de atacuri (”packet sniffing”) în care intrusulciteste informatiile transmise.
• Arhitectura IP Security. • In 1995 IETF a publicat primul set de propuneri de standard pentru IPSec:
RFC1825-RC1829. Implementarea lor este obligatorie pentru IPv6 sioptională pentru IPv4.
• Specif. ptr. IPSec se împart în următoarele grupuri:- Arhitectură: concepte generale, cerinte de securitate, definitii.- Protocolul ESP (Encapsulating Security Payload ): formatul pachetului siprobleme legate de utilizarea ESP pentru criptare si, optional pentruautentificare.- Protocolul AH (Authentication Header ): formatul pachetului si problemelegate de autentificare.- Algoritmi de criptare: modul de utilizare a diferiti algoritmi de criptare cu ESP.- Algoritmi de autentificare: modul de utilizare a diferiti algoritmi de autentificare cu AH sau cu optiunea de autentificare ESP.- Managementul cheilor: protocoalele de autentificare mutuală si schimbde chei.- Domeniul de interpretare: valori care permit corelarea documentelor( de ex. identificatori pentru algoritmii de autentificare si criptare folositi, parametri operationali – de ex. durata de viată a cheilor).
Asocieri de securitate
• IP este un protocol fara conexiune: fiecare datagramaeste independenta de altele (ca drum pe care ilparcurge in reteaua de routere). In acest caz, parametriide securitate pot fi stabiliti intr-una din urm. modalitati:
• 1. Parametrii de securitate sunt stabiliti individual pentrufiecare pachet IP (consecinta: se adauga informatiisuplimentare la fiecare pachet-cresterea costurilortransmisiei).
• 2. Inainte de a se incepe transmiterea pachetelor IP propriu-zise, sunt stabiliti niste parametri ai comunicatiei, ceea ce presupune transmiterea altor pachete IP. Este o varianta mai ineficienta decit cea anterioara, neutilizatade IPSec.
• 3. IPSec foloseste o a treia varianta: parametrii de securitate sunt inclusi in primul pachet IP si gazdadestinatie ii salveaza pentru a-i utiliza si pentru celelaltepachete, primite in cadrul transmisiei resp.
• Asocierea de securitate. Un concept de bază, care apare înmecanismele IP pentru autentificare si confidentialitate, esteasocierea de securitate (SA-Security Association). SA este o relatieunidirectională între o sursă si o destinatie care asigură servicii de securitate a traficului, efectuat pe baza ei; pentru un schimbsecurizat bidirectional sunt necesare două asocieri de securitate. Serviciile de securitate pot fi asigurate de o asociere de securitatefie pentru utilizarea protocolului AH, fie a protocolului ESP, dar nupentru ambele.
• Asocierea de securitate este un aspect foarte important al lui IPSec. Folosind SA, IPSec schimba protocolul IP dintr-unul neorientat peconexiune, intr-unul orientat pe conexiune , deoarece putem privi o asociere ca o conexiune.
• Putem spune ca daca doi participanti, denumiti generic Alice si Bob, dupa ce s-au pus de acord asupra unei multimi de parametri de securitate, au stabilit o conexiune logica intre ei (asociere).
• In timp, aceasta intelegere se poate schimba, pentru a nu existapericolul ca un intrus sa intre in posesia parametrilor.
• Exemplu. De obicei, SA presupune un set complex de informatii. In exemplu prezentat, sunt reliefate citeva dintre inf. care formeaza atito SA legata de iesire, cit si de intrare (figura urmatoare).
• Figura arata ca atunci cind Alice vrea sa transmita o datagrama lui Bob, foloseste protocolul ESP al lui IPSec. Autentificarea este facuta utilizindSHA-1 cu cheia x. Criptarea este realizata folosind DES cu cheia y. CindBob vrea sa transmita o datagrama lui Alice, foloseste protocol AH al luiIPSec. Autentificarea este facuta folosind MD5 cu cheia z. Obs. ca asocierilelegate de iesire sunt aceleasi ptr. Bob si Alice.
• O asociere de securitate este definită în mod unic de urm. parametri:- Indexul parametrilor de securitate (SPI): este asignat unei SA, cu semnificatie locală; este inclus în header-ele AH si ESP pentru a permitesistemului de destinatie să selecteze SA pentru procesarea pachetuluireceptionat.- Adresa de destinatie IP: nu sunt permise adrese multiple; este adresapunctului de destinatie final al SA, care poate fi o gazdă sau un ruter.- Identificatorul protocolului de securitate: indică dacă este o SA pentruprotocolul AH sau pentru protocolul ESP.- Numar de Secventa: un număr reprez. pe 32 de biti pentru ordonareadatagramelor, pt. a preveni efectul de “playback”. Numarul de secventa nu se repetă, chiar dacă un pachet este retransmis. -Numar de depasire: un flag care indică dacă a avut loc depăsirea pentrunumere de secventă si împiedică folosirea SA pentru transmiterea de noipachete.-Fereastra Anti-Replay : permite detectarea repetării pachetelor. -Informatii AH : algoritmi de autentificare, chei criptografice, timp de viatăpentru chei, parametri legati de utilizarea AH
- Informatii ESP : Algoritmi de criptare şi autentificare, cheicriptografice, valori de initializare, parametri legati de utilizarea ESP-Timp de viata: indică timpul după care SA trebuie înlocuită cu o nouă SA (şi un nou SPI) sau desfiintată şi care din aceste actiunitrebuie să aibă loc.- Modul IPSec: indică modul tunel sau transport - MTU(Maximum Transmission UNIT):dimensiunea maximă a pachetului care poate fi transmis fără fragmentare.
• Baza de date a SA (SPD- Security Policy Database ). • - O SA poate fi foarte complexa, in conditiile in care o sursa vrea sa
transmita mesaje catre multe destinatii. • - ptr. a se permite comunicarea bidirectionala, fiecare parte are
nevoie de inf. legate atit de intrare cit si de iesire. • - In orice implementare a IPSec trebuie să existe o bază de date a
SA, care defineste parametrii asociati cu fiecare SA. • - Pentru crearea si actualizarea acestei baze de date se foloseste
protocolul IKE (Internet Key Exchange )
• Selectori SA. Fiecare intrare în SPD este definită printr-un set de valori definite de câmpuri ale formatului IP şi ale formatului protocolului de nivel superior protocolului IP, numite selectori şi contine o SA pentru tipul respectiv de trafic.
• Exemple de selectori: - adresele IP pentru sursă şi destinatie; - protocolul de transport; - denumirea protocolului IPSec (AH/ESP);- adresele porturilor sursă sau destinatie.Aceşti selectori sunt folositi pentru a filtra traficul, astfel încât fiecare pachet să fie procesat de o SA, corespunzătoare politicii de securitateimplementate.
Protocolul Authentication Header(AH)• Header-ul AH (fig.urmatoare) asigură mecanismul pentru controlul
integritătii şi autenticitătii pachetului IP. • Controlul integritătii elimină posibilitatea modificării pachetelor în tranzit,
fără ca modificările să fie detectate.• Controlul autenticitătii permite unui calculator gazdă sau unui echipament
de retea să autentifice utilizatorii şi aplicatiile şi să filtreze traficul corespunzător; de asemenea, previne atacurile bazate pe adrese false (address spoofing attack) şi atacurile prin repetarea pachetelor (replay attack).
• Authentication Header este format din următoarele câmpuri: - Next Header: identifică tipul header-ului imediat următor lui AH. - Payload length: lungimea lui AH, în cuvinte de 32 biti, minus 2. - Reserved: secv. de biti rezervati- Security Parameters Index: identifică asocierea de securitate.- Sequence Number: un număr utilizat pentru eliminarea duplicatelor. - Authentication Data: contine ICV ( Integrity Check Value) sau MAC (Message Authentication Code) pentru pachet.
• In mod transport, AH autentifică unitatea de date IP şi, selectiv, parti ale header-ului IP şi extensiile header-ului IPv6.
• In mod tunel, AH autentifică întregul pachet original IP plus, selectiv, partiale noului header şi extensiile noului header IPv6.
• ICV-Integrity Check Value. Câmpul Authentication Data din AH contine o valoare denumită ICV; este un cod de autentificare a mesajului (MAC) sau o versiune trunchiată a unui cod produs cu un algoritm MAC. Ambele tipuri de MAC folosesc algoritmul HMAC, primul cu codul hash MD5, al doilea cu codul hash SHA-1. În ambele cazuri valoarea HMAC rezultatădin calcul este trunchiată prin utilizarea primilor 96 biti, lungimea câmpuluiAuthentication Data din AH.
• MAC este calculat asupra următoarelor câmpuri: -câmpurile din header-ul IP care nu se modifică în tranzit sau care au la destinatie valori cunoscute ( câmpurile care se pot schimba în tranzit şi a căror valoare la destinatie nu poate fi prevăzută sunt considerate de valoare zero pentru calcul, atât la sursă cât şi la destinatie). -header-ul AH cu exceptia câmpului Authentication Data care esteconsiderat de valoare zero, atât la sursă cât şi la destinatie.
-unitatea de date a protocolului de nivel superior.
• Adresele sursei şi destinatiei sunt protejate, astfel încât se previne un atacde tipul „address spoofing”
• IPSec-Mecanismul anti-replay. • La stabilirea unei noi asocieri de securitate SA, sursa initializează un
contor de pachete cu valoarea zero; acesta va fi incrementat cu fiecare pachet emis şi valoarea lui va fi scrisă în câmpul Numar de Secventadin AH.
• La atingerea valorii 232– 1 sursa trebuie să termine SA curentă şi să negocieze o nouă SA, cu o nouă cheie.
• Deoarece IP asigură un serviciu fără conexiune, IPSec recomandă ca destinatarul să implementeze o fereastra de receptie W(fig. urm.) cu valoarea implicită W=64. Limita superioară a ferestrei este reprezentată de N , numărul de secventă cel mai mare receptionat pentru un pachet valid, iar limita inferioară este N–W+1.
• Numărul de secventă al pachetelor receptionate este folosit astfel: -Dacă pachetul este nou şi numărul lui de secventă este în cadrul ferestrei, se verifică ICV; dacă pachetul este autentificat, pozitia corespunzătoare din fereastră este marcată. - Dacă pachetul este nou şi numărul de secventă este mai mare decât limita superioară a ferestrei, se verifică ICV; dacă pachetul este autentificat, se deplasează fereastra la noul număr de secventă şi pozitia corespunzătoare pachetului este marcată. -Dacă pachetul are numărul de secventă mai mic decât limita inferioară a ferestrei sau dacă autentificarea eşuează, pachetul este eliminat.
• Formatele AH în mod transport şi în mod tunel.
• Pentru protocolul AH în mod transport utilizând standardul IPv4, AH este inserat după header-ul IP original; autentificarea acoperăîntregul pachet, cu exceptia câmpurilor variabile din header-ul IP care sunt setate zero pentru calcularea MAC.
• În contextul IPv6, header-ul AH nu este examinat sau procesat de rutere intermediare, ca urmare AH este inserat după header-ul IP original şi extensiile lui; autentificarea acoperă întregul pachet, cu exceptia câmpurilor variabile care sunt setate zero pentru calculareaMAC.
• Pentru protocolul AH în mod tunel, întregul pachet IP original esteautentificat şi AH este inserat între noul header şi header-ul original. Header-ul intern va contine adresa destinatiei finale, iar header-ulextern poate contine adresa unui ruter securizat. Autentificareaacoperă întregul pachet original; noul header, cu extensiile lui încazul IPv6, este autentificat pentru câmpurile fixe.
Protocolul ESP( Encapsulating Security Payload)
• Asigură confidentialitatea continutului mesajelor şi, partial, confidentialitateatraficului.
• Optional, poate asigura şi serviciile de autentificare ale protocolului AH. • ESP
-Mod transport: Criptează unitatea de date IP şi toate extensiile header-uluiIPv6 care urmează după header-ul ESP. - Mod tunel: Criptează pachetul IP original
• ESP cu autentificare-Mod transport:Criptează unitatea de date IP şi toate extensiile header-uluiIPv6 care urmează după header-ul ESP; autentifică unitatea de date IP. - Mod tunel:Criptează pachetul IP original; autentifică pachetul IP original.(figura urmatoare)
ESP în mod transport (a). ESP în mod tunei (b).
• Formatul unui pachet ESP(fig.urm.) are următoarele câmpuri: - Security Parameter index: identifică asocierea de securitate; - Number Sequence : număr utilizat pentru eliminareaduplicatelor; -Payload Data: pachet al nivelului de transport (în mod transport) sau pachet IP (în mod tunel) care este protejat princriptare;-Padding -Pad Length: indică numărul de octeti ai câmpuluiimediat precedent;-Next Header: identifică tipul de date continute în câmpulPayload prin indicarea primului header din acest câmp; -Authentication Data: contine ICV – Integrity Check Value calculată asupra pachetului ESP minus câmpul Authentication Data.
• Atunci când o datagrama IP contine un antet ESP şi un trailler, valoarea câmpului de protocol în header-ul IP este de 50.
• Un câmp din interiorul trailer-ului ESP (următorul câmp-antet) conŃine valoarea iniŃială a cimpului de protocol (care a transmis datele,cum ar fi TCP sau UDP).
• Alg. ESP consta in:• 1. Un trailer ESP este adaugat datelor primite (payload -
sarcină utilă ) de la niv. superior .• 2. Sarcina utilă si trailer-ul sunt criptate.• 3. Header-ul ESP este adaugat.• 4. Header-ul ESP, sarcin utilă si trailer-ul ESP sunt folosite pt.
a crea datele de autentificare.• 5. Datele de autentificare sunt adaugate la sfirsitul trailer-ul
ESP .• 6. Header-ul IP este adaugat dupa valoarea protocol (50).
• Formatele ESP în mod transport şi în mod tunel .• In mod transp. utilizând IPv4:• -header-ul ESP este inserat după header-ul IP original; • -un trailer-ul ESP (câmpurile: Padding, Pad Length, Next Header) este
plasat după pachetul IP; dacă se optează pentru autentificare, câmpul ESP Authentication Data este adăugat după trailer-ul ESP.
• - Întregul segment al nivelului de transport şi trailer-ul ESP sunt criptate. • - Autentificarea acoperă tot textul cifrat, plus header-ul ESP. • Etapele de operare în mod transport :
-La sursă, blocul format din segmentul nivelului de transport plus trailer-ulESP sunt criptate şi textul clar este înlocuit cu textul criptat pentru a forma pachetul IP de transmis; se adaugă şi informatia de autentificare, dacă s-a selectat această optiune. -Pachetul este rutat către destinatie. Fiecare ruter interm. Exam. şiprocesează header-ul IP şi extensiile sale necriptate, dar nu examineazătextul criptat.-Nodul de destinatie examinează şi procesează header-ul IP şi extensiilesale necriptate. Apoi, pe baza SPI – Indexul Parametrilor de Securitate din header-ul ESP, nodul de destinatie decriptează restul pachetului pentru a reconstitui ca text clar segmentul nivelului de transport.
• Utilizarea modului de transp. asigură confid. pentru orice aplicatie care utilizează acest mod, evitând necesitatea ca fiecare aplicatie să tratezeaceastă problemă în mod individual. Acest mod de operare este eficient, lungimea pachetului IP mărindu-se nesemnificativ; nu împiedică analizatraficului.
Retea virtuala privata
• Retea virtuala privata (VPN- Virtual Private Network) este o tehnologie ce utilizeaza Internet-ul atit ptr. comunicatie in interiorulorganizatiei cit si intre organizatii, care au un caracter privat.
• VPN foloseste IPSec ptr. securitatea datagramelor IP.• Retele private. O retea privata este proiectata pentru a fi utilizata in
interiorul organizatiei. Ea permite atit partajarea resurselor cit sicaracterul privat al comunicatiei.
• Intranet. Intranet-ul este o retea locala privata care folosestemodelul Internet . Accesul la retea este permis utilizatorilor din interiorul organizatiei. Reteaua foloseste aplicatii ale Internet-ului ( HTTP etc.), si poate avea diverse servere (Web, tiparire, fisiere etc.)
• Extranet. Extranet-ul se deosebeste de intranet prin faptul ca resursele pot fi accesate de grupuri specificate de utilizatori din afara organizatiei sub controlul administratorului de retea.
• Exemple: - O organizatie poate permite unor clienti autorizati accesul la anumite specificatii de produse disponibile, printr-o comandaonline.- O universitate poate permite accesul de la distanta studentilor la calc. proprii, dupa verificarea conturilor.
• Adresare. O retea privata, care foloseste modelul Internet poateutiliza adresele IP. Sunt disponibile 3 posibilitati:
• 1. Reteaua poate cere o multime de adrese la o autoritate Internet, pe care le poate folosi fara a fi conectata la Internet; prezintaavantajul ca daca in viitor organizatia decide sa fie conectata la Internet, acest lucru se poate face relativ usor. Dezavantajul este ca spatiul de adrese se poate epuiza in scurt timp.
• 2. Reteaua poate folosi o multime de adrese IP neinregistrate; deoarece reteaua este izolata, adresele nu trebuie sa fie unice, relativ la Internet. Pericolul este sa se faca confuzie intre acesteadrese si cele globale din Internet.
• 3. Pt. a evita problemele legate de cele doua strategii, autoritatileInternet au rezervat trei seturi de adrese (tab. urm.)
• Orice organizatie poate folosi o adresacare nu se afla in aceste seturi.
• Aceste adrese sunt destinate retelelorprivate.
• Ele sunt unice in interiorul organizatiei, darnu sunt unice la nivel global.
• Nici un router nu va transmite mai departeun pachet care are adresa de destinatiedin aceste seturi.
• Ptr. realizarea confidentialitatii, organizatiile pot folosi una dintrestrategiile: retele private, retele hibride siretele virtuale private
• Retele private. O organizatie care are nevoie de confidentialitate, cind se routeaza informatii in interiorulorganizatiei, poate folosi o retea privata, in sensul discutieianterioare.
• A organizatie mica, cu un singur site poate utiliza un LAN izolat. In interiorul organiz. , se pot transmite datele securizat.
• O organizatie mare, cu mai multe site-uri poate crea o inter-retea privata. LAN-urile de pe diferite site-uri pot fi conectate, folosind routere si linii concesionate.
• Exemplu. Fig. urm. arata o astfel de situatie ptr. o organiz. cu doua site-uri.
• - In aceasta situatie, organizatia a creat o inter-retea privata ceeste izolata total de Internet.
• - Pentru comunicatia intre statii de pe site-uri diferite, organizatia poate folosi modelul Internet.
• - Nu este necesar ca organizatia sa ceara adrese IP de la autoritatile Internet; ea poate folosi adrese IP private.
• - Organizatia poate folosi orice clasa IP si poate asigna intern adresele de retea sau de gazda.
• - Deoarece inter-reteaua este privata, duplicarea adreselor de catre alte retele, din Internet nu este o problema.
• Retele hibride. Multe organizatii au nevoie ca schimbulde date intre ele sa fie privat si, in acelasi timp sa fie conectate la Internet.
• O solutie este utilizarea unei retele hibride, care permiteunei organizatii sa aiba propria inter-retea interna silegaturi cu retelele altor organizatii.
• Un exemplu este prezentat in figura urm. • - O organizatie cu doua site-uri foloseste routerele R1 si
R2 pt. a conecta cele doua site-uri in mod privat, printr-olinie dedicata; de as. foloseste ruterele R3 si R4 pt. a conecta cele doua site-uri la Internet.
• - Organizatia foloseste adrese globale IP pt. ambeletipuri de comunicatii.
• - Pachetele cu destinatii interne, sunt rutate numai prinrouterele R1 si R2.
• - Routerele R3 si R4 routeaza pachetele spre destinatiiexterne.
• Retele private virtuale. Cele doua tipuri de retele prezentateanterior, necesita costuri mari (de ex. liniile dedicate).
• O solutie este VPN, care permite utilizarea Internet-ului atit ptr. comunicatii private cit si publice.
• Implementarea unui VPN presupune crearea unui tunel printr-oreŃea publică prin intermediul căruia să fie transferate datele.
• Ca o definiŃie, tunelarea (tunneling) este o metodă de folosire a infrastructurii unei inter-reŃele pentru transferul datelor dintr-o reŃeapeste o altă reŃea.
• Calea logică pe care pachetele încapsulate o urmează în inter-reŃease numeşte tunel.
• Odată ce cadrele încapsulate ajung la destinaŃie prin inter-reŃea,cadrul este decapsulat şi trimis la destinaŃia sa finală.
• Tunelarea include întregul proces: încapsulare, transmitere şidecapsulare a pachetelor.
• În esenŃă, tunelarea este procesul prin care se introduce întregpachetul IP în interiorul unui alt pachet, cu antete distincte, acestafiind trimis ulterior prin reŃea.
• Protocolul pachetului rezultat în urmatunelării este recunocut de către reŃea şi de cătreambele noduri sursă şi destinaŃie, la nivelulinterfeŃelorde tunelare, prin care pachetele intră şi iesdin reŃea.
• Tunelarea necesită trei protocoale diferite:- protocolul de transport (uzual IP); protocolul utilizat de către reŃeaua prin care se transferă informaŃia (reŃeauapublică de Internet sau orice reŃea privată);- protocolul de încapsulare care împachetează şicriptează datele originale cu un antet distinct (de ex. IPSec);- protocolul pasager din reŃeaua sursă care transmite date în pachetul trimis prin tunel ( de ex. IP .).
• VPN creaza o retea care este privata dar virtuala. • Ea este privata deoarece garanteaza caracterul privat in
interiorul organizatiei. • Ea este virtuala deoarece ea nu foloseste WAN-uri reale
private; reteaua este din punct de vedere fizic publica, dard.p.d.v. virtual este privata.
• Figure urm. arata un exemplu de retea virtuala privata. • Routerele R1 si R2 folosesc tehnologia VPN, pt. a garanta
caracterul privat pt. organizatie.
• Tehnologia VPN foloseste IPSec in modul tunelpt. a furniza autentificare, integritate si caracterprivat.
• In acest mod, fiecare datagrama IP destinata ptr. utilizare privata in cadrul organizatiei esteincapsulat intr-o alta datagrama.
• Pt. a utiliza IPSec in modul tunel, VPN are nevoie de a utiliza doua seturi de adrese (Fig. urm.)
• Reteaua publica (Internet) este responsabila ptr. a transfera pachetele de la R1 la R2.
• Eventuali intrusi nu pot decripta continutulpachetului, respectiv adresele sursei sidestinatiei.
• Decriptarea are loc la R2, care cauta adresa de destinatie a pachetului si il furnizeaza.
![d I *tsl ,ll. Bebelusului.pdf · a--rzi-\ ur lru3^ nB 3JBl IIUq3tJd lprZrrd up?prl rp InrJ'lug] IJnOpBl 3l3ul trI3ir:_a" 4q,, ruJoP 3ro elg] 3rpldpp op 3l3ro rz ed 1e1dpp JUns rro](https://static.fdocumente.com/doc/165x107/5f0cbcaf7e708231d436e206/d-i-tsl-ll-bebelusuluipdf-a-rzi-ur-lru3-nb-3jbl-iiuq3tjd-lprzrrd-upprl.jpg)
