VPNs: Virtual Private Networks
Pedro da Fonseca Vieira
2000/1
Índice
1) Introdução: Rede Virtual Privada
2) Fundamentos
3) Aplicações
4) Requisitos Básicos
5) Tunelamento
- Introdução
- Protocolos e Funcionamento
6) IP Seguro
- AH, ESP e ISKMP
7) Conclusões
8) Bibliografia
9) Perguntas
VPNs - Introdução
“Rede Privada”
Rede que contém circuitos
alugados privados entre
dois pontos
“Rede Virtual Privada”
Rede que provê circuitos
virtuais utilizando as facilidades de uma rede já existente onde se tem a impressão de rede privada real
Flexibilidade
“(...) sua capacidade de conectar locais geograficamente
distantes utilizando a Internet (...)” [1]
Custo
“(...) ao invés de pagar por uma linha internacional
privada, paga-se somente a conexão com o ISP local de
cada localidade, e investimento em criptografia (...) ” [2]
VPNs - Fundamentos
Seu objetivo:
Utilizar uma rede pública como a Internet
em vez de linhas privativas para implementar redes corporativas
Seu funcionamento:
As VPNs são túneis de criptografia entre
pontos autorizados, criados através da
Internet (ou de outras redes) para transferência de informações de modo seguro entre usuários remotos ou entre redes corporativas.
Sua padronização:
O IPSec é um protocolo padrão projetado
pelo IETF que oferece transferência segura
de informações fim a fim através de rede IP
pública ou privada.
Seu custo comparativo:
Pode ser bastante interessante sob o
ponto de vista econômico, sobretudo
nos casos em que enlaces internacionais ou nacionais de longa distância estão envolvidos
VPNs - Aplicações
Acesso remoto via Internet:
Usuário com ligação local discada a algum
provedor de acesso (Internet Service Provider ISP). O software de VPN cria uma rede virtual
privada entre o usuário remoto e o servidor de
VPN corporativo através da Internet.
Conexão de LANS via Internet:
Uma solução que substitui as conexões entre
LANs através de circuitos dedicados de longa
distância é a utilização de circuitos dedicados
locais interligando-as à Internet. O software de
VPN assegura esta interconexão formando a
WAN corporativa.
Conexão numa Intranet:
Formação que redes departamentais virtuais
na mesma Intranet utilizando VPN para isolamento criptográfico de informações restritas a
pequeno grupo de usuários.
VPNs - Requisitos Básicos
Integridade
Autenticação de Usuário:
Verificação da identidade do usuário, restringindo o acesso às pessoas autorizadas. Deve
dispor de mecanismos de auditoria, provendo
informações referentes aos acessos efetuados quem acessou, o quê e quando foi acessado.
Gerenciamento de Endereços:
O endereço do cliente na sua rede privada não
deve ser divulgado, devendo-se adotar endereços fictícios para o tráfego externo.
Criptografia de Dados:
O reconhecimento do conteúdo das mensagens
deve ser exclusivo dos usuários autorizados.
Privacidade
Gerenciamento de Chaves:
O uso de chaves que garantem a segurança das
mensagens criptografadas deve funcionar como
um segredo compartilhado exclusivamente
entre as partes envolvidas. O gerenciamento
de chaves deve garantir a troca periódica das
mesmas, por questões de segurança.
Suporte a múltiplos
protocolos:
Com a diversidade de protocolos
existentes,
torna-se bastante desejável que uma VPN
suporte protocolos padrão de fato usadas nas
redes públicas, tais como IP (Internet Protocol),
IPX (Internetwork Packet Exchange), etc.
Tunelamento - Introdução
Túnel é a denominação do caminho lógico percorrido pelo pacote ao longo da rede
intermediária. O processo de tunelamento envolve criptografia, encapsulamento,
transmissão ao longo da rede intermediária, desencapsulamento e descriptografia.
Encapsulamento
Cabeçalho adicional que contém informações de roteamento que permitem a
travessia dos pacotes
Suporte multi-protocolo (pacotes IPX
encapsulados como pacotes IP, por
exemplo)
Criptografia
Pacote ilegível em caso de
interceptação na transmissão
Tunelamento - Protocolos e Funcionamento
Tunelamento em Nível Enlace
Tunelamento em Nível Rede
Quadros como unidade de troca,
encapsulando os pacotes da camada 3
(ex: IPX, IP) em quadros PPP.
Encapsulam pacotes IP com um cabeçalho adicional deste mesmo protocolo
antes de enviá-los.
PPTP (Point-to-Point Tunneling Protocol) da Microsoft permite que o tráfego
IP, IPX e NetBEUI sejam criptografados
e encapsulados para serem enviados
através de redes IP privadas ou públicas
como a Internet.
L2TP (Layer 2 Tunneling Protocol) da
IETF permite que o tráfego IP, IPX e
NetBEUI sejam criptografados e
enviados através de canais de
comunicação de datagrama ponto a
ponto tais como IP, X25, FR ou ATM.
L2F (Layer 2 Forwarding) da Cisco é
utilizada para VPNs discadas.
IPSec (Secure IP) - protocolo desenvolvido para IPv6, devendo, no futuro, se
constituir como padrão para todas as
formas de VPN.
Negociação
• Criptografia
• Compressão
• Endereçamento
Criação / Manutenção /
Encerramento (Nível 2)
IPSec - Introdução e Mecanismos
O IPSec é um protocolo padrão de camada 3 projetado pelo IETF que oferece transferência
segura de informações fim a fim através de rede IP pública ou privada.
Pega pacotes IP, realiza funções de segurança de dados como criptografia, autenticação e
integridade, e então encapsula esses pacotes protegidos em outros pacotes IP.
Requisitos de Segurança
• Autenticação e Integridade
• Confidencialidade
Mecanismos do IPSec
• AH
• ESP
• ISAKMP
Autentication Header
Encapsulation Security Payload
Internet Security Association and
Key Management Protocol
Negociação do Nível de Segurança - ISAKMP
Trata-se de um protocolo que rege a troca de chaves criptografadas utilizadas para decifrar os dados.
Ele define procedimentos e formatos de pacotes para estabelecer, negociar, modificar e deletar as SAs
(Security Associations), que contêm todas as informações necessárias para serviços de segurança.
• Negociação completa de uma só vez
• Eliminação das redundâncias de segurança a nível de protocolo
IPSec - Mecanismos (continuação)
Autenticação e Integridade - AH
A autenticação garante que os dados recebidos correspondem àqueles originalmente enviados,
assim como garante a identidade do emissor. Integridade significa que os dados transmitidos chegam
ao seu destino íntegros, eliminando a possibilidade de terem sido modificados no caminho sem que
isto pudesse ser detectado.
• Inclusão de informação para autenticação no pacote
• Algoritmo aplicado sobre o conteúdo dos campos do datagrama IP
(todos os cabeçalhos e dados do usuário)
Confidencialidade - ESP
Propriedade da comunicação que permite que apenas usuários autorizados entendam o conteúdo
transportado. O mecanismo mais usado para prover esta propriedade é chamado de criptografia.
• Autenticação da origem dos dados
• Integridade da conexão
• O datagrama IP é encapsulado inteiro dentro do ESP
Conclusões
As VPNs podem se constituir numa alternativa segura para
transmissão de dados através de redes públicas ou privadas
QoS
Em aplicações onde o tempo de transmissão é
crítico, o uso de VPNs através de redes externas
ainda deve ser analisado com muito cuidado, pois
podem ocorrer problemas de desempenho e
atrasos na transmissão sobre os quais a
organização não tem nenhum tipo de gerência ou
controle.
A decisão de implementar ou não redes privadas virtuais requer uma
análise criteriosa dos requisitos, principalmente aqueles relacionados
a segurança, custos, qualidade de serviço e facilidade de uso que
variam de acordo com o negócio de cada organização.
Bibliografia
• “Understanding Secure Virtual Private Networking”, Nokia IP Inc., Issue 0.9, 1997
• “VPNs: Reality Behind the Hype”, Steven Taylor, Distributed Networking Associates, 1999
• “Choix VPN: Frame Relay ou IP?”, France Telecom, 1998
• “The Internet, Intranets, Extranets - and VPNs”, Gary C. Kessler, SymQuest Group, 1999
• “VPN Services for Enterprise Customers”, Susan Scheer, CISCO Sytems Inc., 1998
• “PPTP e VPNs”, Liou Kuo Chin, RNP, 1999.
Perguntas