Viviane Pereira de Oliveira VPN - Virtual Private Network Centro Universitário Amparense Amparo – SP 2007 Viviane Pereira de Oliveira VPN Virtual Private Network Projeto de Monografia apresentado ao Centro Universitário Amparense (UNIFIA), para obtenção de grau de Tecnólogo em Desenvolvimento de Software. Orientador: Prof. Ms. André M. Panhan. Centro Universitário Amparense Amparo-SP 2007 FACULDADES INTEGRADAS DE AMPARO RA: 4606173 Aluna: Viviane Pereira de Oliveira Trabalho de Graduação – Curso de Tecnologia em Desenvolvimento de Software. Título: Virtual Private Network (Rede Privada Virtual) Parecer da Coordenação de Tecnologia em Desenvolvimento de Software O presente trabalho, constituído de 28 páginas, após análise e argüição da Banca Examinadora, recebeu o seguinte parecer: Orientador (a): Professor Ms. André M. Panhan Parecer: __________________ Assinatura: ________________________ Membro: ___________________________________________________ Parecer: ___________________ Assinatura: _______________________ Membro: ___________________________________________________ Parecer: ___________________ Assinatura: _______________________ Amparo, ____/____/ 2007 Dedicatória . Dedico este trabalho à todas as pessoas que colaboraram para que este se tornasse realidade. Agradecimento Agradeço a DEUS primeiramente por ter me dado confiança, fé, saúde e oportunidade de estar concluindo meus estudos, agradeço também à minha Mãe e minha irmã durante este período, e ao meu orientador pelo seu auxilio durante a elaboração deste projeto. Sumário Introdução ...............................................................................................................................10 A CESSO REMOTO ANTES DAS VPNS. ................................................................................................................................10 REDE PRIVADA DAS EMPRESAS.........................................................................................................................................11 O QUE É VPN? .....................................................................................................................................................................11 COMO FUNCIONA?...............................................................................................................................................................12 Protocolos Utilizados.............................................................................................................14 PPTP – POINT –TO-POINT TUNNELING PROTOCOL........................................................................................................15 LAYER TWO FORWARDING (L2F) .....................................................................................................................................16 LAYER TWO TUNNELING PROTOCOL – L2TP .................................................................................................................18 SECURITY PROTOCOL – IPSEC..........................................................................................................................................19 Autenticação e Integridade ....................................................................................................................................21 Vantagens para as Vpns.........................................................................................................................................22 Criptografia..............................................................................................................................22 CHAVE SIMÉTRICA OU CHAVE PRIVADA .........................................................................................................................22 CHAVE A SSIMÉTRICA OU CHAVE PÚBLICA .....................................................................................................................22 Algoritmos para Criptografia ................................................................................................23 DES - DATA ENCRYPTION STANDARD.............................................................................................................................23 TRIPLE-DES .........................................................................................................................................................................23 Aplicações VPN ......................................................................................................................23 A CESSO REMOTO.................................................................................................................................................................23 Acesso remoto após as VPNs..............................................................................................................................23 Beneficio para Empresas.......................................................................................................24 Conclusão................................................................................................................................25 Referências: ............................................................................................................................26 Glossário .................................................................................................................................27 Resumo A presente monografia pretende dar uma visão funcional do que é uma Virtual Private Network(VPN), começaremos com um histórico sobre VPNs, a importância de sua utilização em uma empresa, como funciona, uma breve descrição dos protocolos que são utilizados, autenticação e integridade, serão apresentados também dois tipos de criptografia que uma VPN pode utilizar (vale lembrar que os tipos de criptografia apresentados são apenas alguns dos tipos de criptografia utilizados), aplicações VPN e os benefícios gerados a uma empresa. Índices de figuras Figura 1 Túnel formado por uma conexão VPN .....................................................................12 Figura 2 Conexão VPN entre duas redes interligadas. ...........................................................13 Figura 3 Passos numa conexão usando PPTP. ......................................................................13 Figura 4 Criação do túnel PPTP nas imediações da LAN. ......................................................16 Figura 5 Tunelamento utilizando L2F.......................................................................................17 Figura 6 Arquitetura L2TP ........................................................................................................19 LISTA DE SIGLAS AH - Authentication Header. CHAP - Challenge Handshake Authentication Protocol. DSL - Digital Subscriber Line, formato de transmissão de dados. NÃO é um modem, mas sim a maneira como esses dados são transmitidos. ESP - Encapsulation Security Payload. IPSEC - Security Protocol. ISDN - Integrated Service Digital Network (Rede Digital com Integração de Serviços), modalidade de conexão discada. IPX - Internet Packet Exchange. ISAKMP - Internet Security Association and Key Management Protocol. ISP – Internet Service Provider (Provedor de Acesso Internet) L2F - Layer Two Forwarding. L2TP - Layer Two Tunneling Protocol. NAS - Servidor de Acesso a Rede. NetBEUI - Protocolo de transporte do NetBIOS. Nada mais é que um pacote NetBIOS puro dentro de um pacote de rede em modo broadcast. O NetBEUI, por ser tão simples, não é roteavel, ou seja, não pode ser facilmente usado em inter-redes. PoPs - Points-of-Presence PPTP – Point-to-Point Tunneling Protocol. PPP - Point-to-Point Protocol. PSTN – Public Switched Telephone Network (Rede Telefônica Comutada Publica). RADIUS - Remote Authentication Dial-in User Service. RAS - Remote Access Server e é o serviço usado para RECEBER as ligações discadas dos outros computadores. Antigamente era muito usado para fazer conexão ponto-a-ponto entre computadores remotos. VPN - VIRTUAL PRIVATE NETWORK. Introdução Com o avanço na área da tecnologia da informação, e com a necessidade das empresas se comunicarem e ter informações de forma cada vez mais rápida e confiável para melhorar o processo de tomada de decisões. Atualmente, a Tecnologia da Informação – TI, evoluiu consideravelmente, desde os primeiros computadores centrais ou mainframes até os atuais sistemas distribuídos. Este tipo de visão moderna, no entanto busca obter vantagens principalmente em três aspectos: Confiabilidade ou tolerância à falhas; Disponibilidade; Custo. Com o enorme e explosivo crescimento da Internet, e o constante aumento de sua área de abrangência, e a expectativa de melhorias na qualidade dos meios de comunicação associado a um grande aumento na velocidade de acesso, a internet passou a ser vista como um meio conveniente para as comunicações corporativas. Para que a passagem de dados sensíveis pela Internet se torne mais confiável, é necessário que o uso da tecnologia torne esse meio inseguro em um meio confiável. O uso da Virtual Private Network (VPN) sobre a Internet parece ser um a alternativa viável e adequada, mas veremos que não é apenas em acessos públicos que essa tecnologia pode e deve ser empregada. Este tipo de implantação de VPN pressupõe que não ha. necessidade de modificações nos sistemas atualmente utilizados pelas corporações, já que todas as necessidades de privacidade que passam a ser exigidas serão supridas pelos recursos adicionais que sejam disponibilizados nos sistemas de comunicação. O conceito de VPN surgiu da necessidade de se utilizar redes de comunicação não confiáveis para trafegar informações de forma segura. Acesso remoto antes das VPNs. A conexão de usuários móveis ou remotos era tradicionalmente conseguida utilizando serviços comutados. Pequenos escritórios que não pudessem arcar com os custos de uma conexão permanente à Intranet corporativa utilizariam linhas discadas. As tarifas de longa distância são os maiores custos deste tipo de conectividade. Outros custos incluem investimentos em Servidores de Acesso Remoto na matriz e pessoal especializado para configurar e manter os servidores. [3] Rede Privada das Empresas Atualmente com a necessidade de informação a qual as empresas precisam, algumas destas se deparam com a necessidade de atender uma enorme variedade de comunicações, em tempos que se procura reduzir custos e infra-estrutura de comunicação. É comum hoje que funcionários acessem remotamente sua rede interna em escritórios remotos ou em qualquer outro tipo de trabalho, como por exemplo, compartilhar informações em extranets com parceiros de negócios. Com isso, as antigas soluções usadas em redes WANs, como linhas dedicados e circuitos de Frame Relay, já não proporcionam a flexibilidade requerida para o surgimento de novos links de parceria e atendimento de grupos de projeto atuando em campo. E com isso esse tipo de solução há um aumento considerável nos custos com ligações telefônicas, acesso a computadores remotos aumentam gastos em modens de acesso, servidores e tarifas de ligações à longa distância. O que é VPN? Rede de acesso restrito, onde algumas partes são conectadas utilizando a rede pública da Internet e assim substituindo a tecnologia de links dedicados ou rede de pacotes (como Frame Relay e X.25) para a conexão de redes remotas. Tendo motivo o lado financeiro, onde os links dedicados são caros, e do outro lado está a Internet, por ser uma rede de alcance mundial tem pontos de presença espalhados por todo o mundo. Conexões com a Internet podem ter um custo mais baixo que links dedicados, principalmente quando as distâncias são grandes, esse tem sido o motivo pelo quais as empresas cada vez mais utilizam a infra-estrutura da Internet para conectar a rede privada. Com toda essa infra-estrutura de conexão entre hosts da rede privada é uma ótima solução em termos de custos, mas, não em termos de privacidade, pois a Internet é uma rede pública, onde os dados em trânsito podem ser lidos por qualquer equipamento. Então como fica a questão da segurança e a confidencialidade das informações da empresa? Criptografia! Essa é a resposta! Com a incorporação da criptografia na comunicação entre hosts da rede privada de forma que, se ocorrer de os dados serem capturados durante a transmissão, não possam ser decifrados. Estes túneis virtuais habilitam o tráfego dos dados criptografados através da Internet e esses dispositivos, são capazes de entender os dados criptografados formando uma rede virtual segura sobre a rede Internet. [1] Estes dispositivos são responsáveis pelo gerenciamento da VPN e deve ser capaz de garantir a privacidade, integridade, autenticidade dos dados: Privacidade dos dados: se houver interceptação dos dados durante sua transmissão não poderão ser decodificados. Integridade dos dados: não poderão sofre mudanças durante a transmissão além de não poderem ser decodificados. Autenticidade: garantir que o dispositivo remoto o qual o túnel foi estabelecido é um dispositivo autorizado e não um equipamento qualquer. Sua implementação se da por vários dispositivos como: servidor de acesso remoto, roteador, softwares instalados em servidores ou micros e/ou equipamentos específicos, VPNs podem ser LAN-to-LAN (entre redes) ou Dial-VPN (acesso remoto). VPN LAN-to-LAN utilizada para conectar redes corporativas, como, matriz e filial ou empresa, cliente e fornecedor, fazendo se necessário o uso de um dispositivo VPN em cada site, onde eles podem ser servidores ou roteadores. Dial-VPN o dispositivo VPN usado é o mesmo da solução LAN-to-LAN, mas o tipo de dispositivo utilizado pelo usuário remoto é instalado no servidor de acesso ao provedor no qual ele se conecta ou no computador do usuário. [6] Como Funciona? Uma VPN pode ser elaborada de duas formas: A primeira é um simples host em trânsito que se conecta a provedor Internet e através dessa conexão, estabelece um túnel com a rede remota. A figura 1 demonstra essa forma. Figura 1 Túnel formado por uma conexão VPN Figura disponível em http://www.portalchapeco.com.br/~jackson/vpn.htm A segunda forma de se elaborar uma VPN é a interligação de duas redes através de hosts com link dedicado ou discado via internet, formando assim um túnel entre as duas redes. A figura 2 ilustra essa forma. Figura 2 Conexão VPN entre duas redes interligadas. Figura disponível em http://www.portalchapeco.com.br/~jackson/vpn.htm Os seguintes protocolos utilizados no túnel virtual, (IPSec) Internet Protocol Security, (L2TP) Layer 2 Tunneling Protocol, (L2F) Layer 2 Forwarding e o (PPTP) Point-to-Point Tunneling Protocol. O protocolo escolhido será o responsável pela conexão e a criptografia entre os hosts da rede privada. Eles podem ser normalmente habilitados através de um servidor Firewall ou RAS que esteja trabalhando com um deles agregado. A figura 3 ilustra o caminho que os dados percorrem na arquitetura de rede do Windows sobre uma conexão VPN usando um modem analógico. Figura 3 Passos numa conexão usando PPTP. Figura disponível em http://www.portalchapeco.com.br/~jackson/vpn.htm Um datagrama IP, IPX, ou NetBEUI é submetido por seu protocolo apropriado à interface virtual que representa a conexão VPN, esta, usa o NDIS, que por sua vez, submete o pacote ao NDISWAN que codifica ou comprime e submete então ao protocolo PPTP, e este, ao formar o pacote resultado, envia pela interface serial que é usada pelo modem analógico. Uma VPN bem planejada pode trazer benefícios para a empresa. Por exemplo, ela pode: • Ampliar a área de conectividade • Aumentar a segurança • Reduzir custos operacionais (em relação a uma rede WAN) • Reduzir tempo de locomoção e custo de transporte dos usuários remotos • Aumentar a produtividade • Simplificar a topologia da rede • Proporcionar melhores oportunidades de relacionamentos globais • Prover suporte ao usuário remoto externo • Prover compatibilidade de rede de dados de banda larga. • Prover retorno de investimento mais rápido do que a tradicional WAN Quais recursos são necessários para um projeto de rede VPN? Ele deve incorporar: • Segurança • Confiabilidade • Escalabilidade • Gerência da rede • Gerência de diretrizes. [8] Protocolos Utilizados. São responsáveis pela abertura e gerenciamento de sessões de túneis em VPNs. Eles podem ser divididos em dois grupos: Protocolos de camada 2 (PPP sobre IP): transportam protocolos de camada 3, utilizando quadros como unidade de troca. Os pacotes são encapsulados em quadros PPP; Protocolos de camada 3 (IP sobre IP): encapsulam pacotes IP com cabeçalhos deste mesmo protocolo antes de enviá-los. Túneis orientados à camada 2 (enlace), um túnel é similar a uma sessão, onde as duas extremidades do túnel negociam a configuração dos parâmetros para estabelecimento do túnel (endereçamento, criptografia, parâmetros de compressão, etc.). A gerência do túnel é realizada através de protocolos de manutenção. Nestes casos, é necessário que o túnel seja criado, mantido e encerrado. Nas tecnologias de camada 3 (rede), não existe a fase de manutenção do túnel. Para técnicas de tunelamento VPN Internet, quatro protocolos se destacaram, em ordem de surgimento: • PPTP - Point to Point Tunneling Protocol; • L2F - Layer Two Forwarding; • L2TP - Layer Two Tunneling Protocol; • IPsec - IP Security Protocol. O PPTP, o L2F e o L2TP são protocolos de camada 2 e têm sido utilizados para soluções Client-to-Lan; O IPsec é um protocolo de camada 3 mais enfocado em soluções LAN-to-LAN. [6] PPTP – Point –to-Point Tunneling Protocol O Protocolo de Tunelamento Ponto-a-Ponto (PPTP), desenvolvido por um fórum de empresas (Microsoft, Ascend Communications, 3Com, ECI Telematics e US Robotics), foi um dos primeiros protocolos de VPN a surgirem. Ele tem sido uma solução muito utilizada em VPN discadas desde que a Microsoft incluiu suporte para Servidores Windows NT 4.0 e ofereceu um cliente PPTP num service pack para Windows 95, o que praticamente assegura seu uso continuado nos próximos anos. O protocolo mais difundido para acesso remoto na Internet é o PPP (Point-to-Point Protocol), o qual originou o PPTP. O PPTP agrega a funcionalidade do PPP para que o acesso remoto seja tunelado através da Internet para um site de destino. O PPTP encapsula pacotes PPP usando uma versão modificada do protocolo de encapsulamento genérico de roteamento (GRE), que dá ao PPTP a flexibilidade de lidar com outros tipos de protocolos diferentes do IP, como o IPX e o NetBEUI. Devido a sua dependência do PPP, o PPTP se baseia nos mecanismos de autenticação do PPP, os protocolos PAP e CHAP. Entretanto, este protocolo apresenta algumas limitações, tais como não prover uma forte criptografia para proteção de dados e não suportar qualquer método de autenticação de usuário através de token. Numa conexão PPTP, existem três elementos envolvidos: o Cliente PPTP, o Servidor de Acesso a Rede (NAS - Network Acess Server) e o Servidor PPTP. O cliente se conecta a um NAS, através de um PoP em um ISP local. Uma vez conectado, o cliente pode enviar e receber pacotes via Internet. O NAS utiliza TCP/IP para todo o tráfego de Internet. [6] Depois de o cliente ter feito conexão PPP inicial com o ISP, uma segunda chamada dial-up é realizada sobre a conexão PPP existente. Os dados desta segunda conexão são enviados na forma de datagramas IP que contém pacotes PPP encapsulados. É esta segunda conexão que cria o túnel com o servidor PPTP nas imediações da LAN corporativa privada. O esquema desta conexão pode ser visualizado a seguir: Figura 4 Criação do túnel PPTP nas imediações da LAN. Figura disponível em http://www.abusar.org/vpn/vpnport.htm Layer Two Forwarding (L2F) O Protocolo de Encaminhamento de Camada 2 (L2F), desenvolvido pela Cisco Systems, surgiu nos primeiros estágios da criação da tecnologia VPN. Assim como o PPTP, o L2F foi desenvolvido para criação de túneis em tráfegos de usuários para suas redes corporativas. Uma grande diferença entre o PPTP e o L2F é a de que este último não possui tunelamento dependente do IP, sendo capaz de trabalhar diretamente com outros meios, como Frame Relay e ATM. Tal qual o PPTP, o L2F usa o PPP (Point-to-Point Protocol) para autenticação de usuários remotos, mas pode incluir também suporte para autenticação via RADIUS. Outra grande diferença com o PPTP é a de que o L2F permite que os túneis possam dar conta de mais de uma conexão. Há também dois níveis de autenticação do usuário: uma pelo ISP antes do estabelecimento do túnel e outra quando a conexão é efetuada no gateway da corporação. Pelo fato de ser um protocolo de camada 2, o L2F oferece aos usuários à mesma flexibilidade que o PPTP em lidar com outros protocolos diferentes do IP, tais como IPX e NetBEUI. Quando um usuário deseja se conectar ao gateway da intranet corporativa, ele primeiro estabelece uma conexão PPP com o NAS do ISP. A partir daí, o NAS estabelece um túnel L2F com o gateway. Finalmente, o gateway autentica o nome de usuário e senha do cliente, e estabelece a conexão PPP com o cliente. A figura a seguir mostra como funciona o tunelamento com L2F. O NAS (Servidor de Acesso a Rede) do ISP local e o gateway da Intranet estabelecem um túnel L2F que o NAS utiliza para encaminhar os pacotes PPP até o gateway. A VPN de acesso se estende desde o cliente até o gateway. Figura 5 Tunelamento utilizando L2F. Figura disponível em http://www.abusar.org/vpn/vpnport.htm A autenticação é feita quando uma sessão VPN - L2F é estabelecida, o cliente, o NAS e o gateway da intranet usam um sistema triplo de autenticação via CHAP (Challenge Handshake Authentication Protocol). O CHAP é um protocolo de autenticação por contestação/resposta na qual a senha é enviada como uma assinatura de 64 bits ao invés de texto simples. Isto possibilita a transmissão segura da senha do usuário entre a estação do cliente e o gateway de destino. Primeiro, o NAS contesta o cliente e o cliente responde. Em seguida, o NAS encaminha esta informação de CHAP para o gateway, que verifica a resposta do cliente e devolve uma terceira mensagem de CHAP (sucesso ou fracasso na autorização) para o cliente. [6] Layer Two Tunneling Protocol – L2TP O Protocolo de Tunelamento de Camada 2 (L2TP) vem sendo desenvolvido pela IETF como um substituto aparente para o PPTP e o L2F, corrigindo as deficiências destes antigos protocolos para se tornar um padrão oficial internet. Ele utiliza o PPP para prover acesso dial-up que pode ser “tunelado” através da Internet até um Site. Porém, o L2TP define seu próprio protocolo de tunelamento, baseado no que foi feito com o L2F. Seu transporte vem sendo definido para uma variedade de pacotes, incluindo X.25, Frame Relay e ATM. Para fortalecer a criptografia dos dados, são utilizados os métodos de criptografia do IPsec. O L2TP opera de forma similar ao L2F. Um Concentrador de Acesso L2TP (LAC) localizado no PoP do ISP troca mensagens PPP com usuários remotos e se comunica por meio de requisições e respostas L2TP com o Servidor de Rede L2TP (LNS) para criação de túneis. O L2TP passa os pacotes através do túnel virtual entre as extremidades da conexão ponto-a-ponto. Os quadros enviados pelo usuário são aceitos pelo PoP do ISP, encapsulados em pacotes L2TP e encaminhados pelo túnel. No gateway de destino, os quadros L2TP são desencapsulados e os pacotes originais são processados para a interface apropriada. O L2TP utiliza dois tipos de mensagem: mensagens de controle e mensagens de dados. As mensagens de controle são usadas para gerenciar, manter e excluir túneis e chamadas. As mensagens de dados são usadas para encapsular os pacotes PPP a serem transmitidos dentro do túnel. As mensagens de controle utilizam um confiável canal de controle para garantir entrega das mensagens. Devido ao uso do PPP para links dial-up, o L2TP inclui mecanismos de autenticação dentro do PPP. Outros sistemas de autenticação também podem ser usados, como o RADIUS. O L2TP não inclui processos para gerenciamento de chaves criptográficas exigidas para a criptografia em suas especificações de protocolo. Para dar conta disso, O L2TP faz uso do IPsec para criptografia e gerenciamento de chaves em ambiente IP.[6] Figura 6 Arquitetura L2TP Figura disponível em: http://www.abusar.org/vpn/vpnport.htm Security Protocol – IPSEC O Protoc olo de Segurança IP (IPSec) é atualmente um dos protocolo mais importante para VPNs. O IPsec vem sendo desenvolvido há anos pelo IETF como um forte recurso do IPv6, porém, muitas de suas características estão sendo aproveitadas ainda no IPv4. O IPSec é um protocolo de camada 3 projetado essencialmente para oferecer transferência segura de informações pela Internet pública. Realizando funções de segurança de dados como criptografia, autenticação e integridade, O IPsec protege os pacotes IP de dados privados e os encapsula em outros pacotes IP para serem transmitidos. Além disso, o IPsec também realiza a função de gerenciamento de chaves. O IPsec pode operar de duas formas: no modo de transporte e no modo de túnel. No modo de transporte, que é o seu modo "nativo", o IPsec transmite diretamente os dados protegidos de host para host. Este modo é utilizado em dispositivos que já incorporam o IPsec em sua pilha TCP/IP. No modo túnel, o tráfego IP gerado pelos hosts, estes sem suporte ao IPsec, são capturados por um dispositivo de segurança ou um gateway que encapsulam os pacotes IP com encriptação IPsec. Estes pacotes encriptados são encapsulados novamente em pacotes IP e finalmente enviados pela rede pública até o outro gateway, que se encarregará de desencapsular e desencriptar a informação para que ela possa ser recebida no host de destino. Os requisitos de segurança necessários em relação aos usuários que acessam sua rede e aos dados que trafegam entre os diversos nós são: • Autenticação; • Controle de Acesso; • Confidencialidade; • Integridade de Dados. A autenticação dos usuários permite ao sistema enxergar se a origem dos dados faz parte da comunidade que pode exercer acesso à rede. O controle de acesso visa negar acesso a um usuário que não está autorizado a acessar a rede como um todo, ou simplesmente restringir o acesso de usuários. Por exemplo, se uma empresa possui áreas como administrativo-financeira e desenvolvimento de produtos, é correto imaginar que um funcionário de uma divisão não deva acessar e possivelmente obter dados da rede da outra divisão. A confidencialidade visa prevenir que os dados sejam lidos e/ou copiados durante a travessia pela rede pública. Desta forma, pode-se garantir uma maior privacidade das comunicações dentro da rede virtual. A integridade de dados garante que os dados não serão adulterados durante a travessia pela rede pública. Os dados podem ser corrompidos ou vírus podem ser implantados com o fim de dificultar a comunicação. Os habilitadores das tecnologias de segurança são de conhecimento comum e são apresentados abaixo. • CHAP - Challenge Handshake Authentication Protocol; • RADIUS - Remote Authentication Dial-in User Service; • Certificados digitais; • Encriptação de Dados. Os três primeiros visam autenticar usuários e controlar o acesso à rede. O último visa prover confidencialidade e integridade aos dados transmitidos. Para prover estas características, o IPSec faz uso de 3 mecanismos adicionais: • AH - Authentication Header; • ESP - Encapsulation Security Payload; • ISAKMP - Internet Security Association and Key Management Protocol. [6] Autenticação e Integridade Entende-se por autenticação garantir a legitimidade do usuário que utiliza a conexão. A integridade caracteriza-se por garantir que os dados transmitidos cheguem íntegros no receptor, sem a possibilidade de terem sido alterados durante sua travessia. Para prover estes dois requisitos nos datagrama IP, é utilizado o AH (Authentication Header ou Cabeçalho de Autenticação). Neste mecanismo, a segurança é garantida com a inclusão de informações de autenticação, construídas através de um algoritmo que utiliza o conteúdo dos campos do datagrama IP. Para a construção destas informações, todos os campos do datagrama IP são utilizados, com exceção daqueles que não sofrem alterações durante o transporte. O ISAKMP é um protocolo que combina autenticação, gerenciamento de chaves e outros requisitos de segurança necessários às comunicações privadas numa VPN Internet. Neste mecanismo, duas máquinas em uma conexão negociam os métodos de autenticação e segurança dos dados, executam a autenticação mútua e geram a chave para criptografia dos dados. Além disso, este protocolo também gerencia a troca de chaves criptografadas utilizadas para decifrar os dados e define procedimentos e formatos de pacotes para estabelecer, negociar, modificar e excluir as SAs (Security Associations). Essas Associações de Segurança contêm todas as informações necessárias para execução de serviços variados de segurança na rede, tais como serviços da camada IP (autenticação de cabeçalho e encapsulamento), serviços das camadas de transporte, ou serviço de auto-proteção durante a negociação do tráfego. Elas Também definem pacotes para geração de chaves e autenticação de dados. Esses formatos provêm consistência para a transferência de chaves e autenticação de dados que independem da técnica usada na geração da chave, do algoritmo de criptografia e do mecanismo de autenticação. O ISAKMP oferece suporte para protocolos de segurança em todas as camadas da pilha da rede. Com a centralização do gerenciamento dos SAs, o ISAKMP minimiza as redundâncias funcionais dentro de cada protocolo de segurança e também pode reduzir o tempo gasto durante as conexões através da negociação da pilha completa de serviços de uma só vez. [7] Vantagens para as Vpns. A vantagem de se tornar padrão o uso do IPSec é que ele gerencia virtualmente a segurança da VPN, sem a necessidade de mais gerencia do administrador, sendo no entanto a criptografia gerada pelo roteador. O IPSec possui padrão aberto, sendo muito isso muito importante para sua proliferação em VPNs. O IPSec é responsável por criar o meio VPN, onde o usuário não precisa se preocupar que tipo de equipamento é utilizado, pois sua interoperabilidade é inerente aos produtos. [7] Criptografia A criptografia é implementada por um conjunto de métodos de tratamento e transformação dos dados que serão transmitidos pela rede pública. Um conjunto de regras é aplicado sobre os dados, empregando uma seqüência de bits (chave) como padrão a ser utilizado na criptografia. Partindo dos dados que serão transmitidos, o objetivo é criar uma seqüência de dados que não possa ser entendida por terceiros, que não façam parte da VPN, sendo que apenas o verdadeiro destinatário dos dados deve ser capaz de recuperar os dados originais fazendo uso de uma chave. São chamadas de Chave Simétrica e de Chave Assimétrica as tecnologias utilizadas para criptografar dados. [4] Chave Simétrica ou Chave Privada Técnica onde se utiliza a mesma chave para criptografar e decriptografar os dados é fundamental manter esta chave em segredo para a eficácia do processo. Chave Assimétrica ou Chave Pública Técnica utilizada para criptografia, onde as chaves utilizadas para criptografar e decriptografar são diferentes, mas, no entanto relacionadas. A chave que se utiliza para criptografar os dados é formada por duas partes, uma pública e a outra privada, por exemplo, uma mensagem cifrada com a chave pública pode somente ser decifrada pela sua chave privada correspondente. Do mesmo modo, uma mensagem cifrada com a chave privada pode somente ser decifrada pela sua chave publica correspondente. Algoritmos para Criptografia DES - Data Encryption Standard É um padrão de criptografia simétrica, adotada pelo governo dos EUA em 1977. O DES utiliza chaves simétricas de 56 bits para encriptar blocos de 64 bits de dados. Apesar de este método fornecer mais de 72.000 trilhões de possíveis combinações de chaves, que levariam pelo menos 10 anos para que um computador comum rodasse todas estas combinações, utilizando-se um conjunto de máquinas podem quebrá-lo em menos de um minuto. [3] Triple -DES O Triple-DES é uma variação do algoritmo DES, sendo que o processo tem três fases: A seqüência é criptografada, sendo em seguida decriptografada com uma chave errada, e novamente criptografada. [3] Aplicações VPN Acesso remoto Profissionais de negócios que viajam freqüentemente ou que trabalham em casa utilizam VPN para acessar a rede interna da empresa e realizar suas tarefas. Não importa onde eles estão os acessos seguro à empresa está a apenas uma ligação telefônica para um ISP. Esta solução também é útil para os casos em que importantes funcionários da empresa precisam estar longe por um bom período de tempo. [3] Acesso remoto após as VPNs. Usuários remotos podem estabelecer conexões discadas para ISP locais, e conectar, via Internet, a um servidor VPN na sede da empresa. Utilizando as conexões rápidas existentes atualmente (DSL ou a cabo), colaboradores podem acessar os recursos corporativos em velocidades maiores do que 500 kbps. Na maior parte das vezes, isto é como se o funcionário estivesse dentro da sede da empresa, permitindo um trabalho rápido e eficiente. Neste tipo de aplicação, os benefícios proporcionados pela VPN incluem a substituição das ligações de longa distância ou serviços 0800, a eliminação da necessidade de Servidores de Acesso Remoto modens, e o acesso a todos os dados e aplicativos da empresa (não somente e-mail e servidores de transferência de arquivos). Estudos mostram que as economias geradas nas ligações de longa distância pagam os custos de instalação da VPN em alguns meses, o que é seguido pela diminuição recorrente das despesas. [3] Beneficio para Empresas Empresas que utilizam VPN mostram uma redução nos gatos de até 60% com relação a empresas que utilizam redes privadas dedicadas. Corporações que utilizam VPN permitem que elas possam: • Eliminar gastos com linhas alugadas de longa distancia, já que a infraestrutura utilizada é a rede pública internet, sendo assim, torna-se desnecessário manter WANs com linhas dedicadas . • Eliminação de gastos com chamadas de longa distancia para modens e equipamentos de acesso ISDN. • Eliminar desperdício de largura de banda em linhas dedicadas de alta capacidade, pagando-se somente o que é utilizado, e caso a banda se torne insuficiente basta requisitar aumento ao provedor. Alem dos benefícios econômicos citados acima, o uso de VPN oferece também vantagens técnicas por disponibilizar serviços robustos à infra-estrutura de internet. Podendo citar como vantagens: • Acessibilidade: devida à presença de ISPs em qualquer localidade cria-se uma cobertura de rede a nível mundial. • Throughput: aumento de fluidez devido à diminuição de ruídos na linha com acesso local. • Garante-se confiabilidade extremo a extremo da conexão: devido à redundância e a tolerância à falhas. • Facilidade de treinamento: devido a sua familiaridade com o usuário. Alem de proporcionar acesso remoto através de um provedor de internet, com diminuição considerável nos custos de manutenção e suporte. [6] Conclusão Por se utilizar da infra-estrutura da Internet para interligar redes privadas, utilizar criptografia e garantir através de seus protocolos de tunelamento sigilo dos dados que são trafegados diariamente na rede, além de sua implementação ser mais barata do que adquirir serviços de redes de operadoras de telecomunicações, a VPN vem sendo cada vez mais utilizada pelas corporações, sejam elas de grande ou médio porte. Uma solução VPN é capaz de estimular e impulsionar o desenvolvimento tecnológico além de possuir benefícios econômicos e técnicos pelo seu uso. Referências: [1] O que é VPN? Disponível em: http://www.portalchapeco.com.br/~jackson/vpn.htm. Acessado em 06/04/2006. Internet. [2] Como funciona a VPN? Disponível em http://www.clubedasredes.eti.br/rede0004.htm. Acessado em 06/04/2006. Internet. Chin, Liou Kuo, Rede Privada Virtual – VPN. Disponível em http://www.rnp.br/newsgen/9811/vpn.html#ng-introducao. Acessado em 04/04/2006. Internet. [3] Eduardo Rapoport VPN - Virtual Private Network Rede Privada Virtual. Departamento de Engenharia Eletrônica e de Computação (DEL) Escola Politécnica/Universidade Federal do Rio de Janeiro Julho/2003. Disponível em http://www.gta.ufrj.br/~rezende/cursos/eel879/trabalhos/vpn/. Acessado em 06/05/2007. Internet. [4] Ivana Cardial de Miranda VPN - Virtual Private Network Rede Privada Virtual. Disponível em http://www.gta.ufrj.br/~ivana/VPN_Ivana.htm. Acessado em 06/05/2007. Internet. [5] Luiz Carlos dos Santos. (06/2000). Disponível em http://www.abusar.org/como_func.html. Revisado em (31/01/2001). Acessado em 06/05/2007. Internet. [6] Virtual Private NetWork. Disponível em www.esab.edu.br/jornal/cabecalho_mono.cfm?target=monografias/VPN%20%20Virtual%20Private%20Network/vpn.htm. Acessado em 06/05/2007. Internet [7] Ana Paula Cossich Pereira Zanaroli, Maria Beatriz Marques Fiuza Lima, Rodrigo de Araújo Lima Rangel. VPN - Virtual Private Networks Seminário da Disciplina de Redes Locais de Computadores 9° Período de Engenharia de Telecomunicações Novembro/2000. Disponível em http://www.abusar.org/vpn/vpnport.htm . Acessado em 06/05/2007. Internet [8] Jeff Tyson - traduzido por HowStuffWorks Brasil, Como funciona uma VPN? O que faz uma VPN? Disponivel em: http://informatica.hsw.uol.com.br/vpn1.htm Acessado em 06/205/2007. Internet Glossário Backbone: conexão de alta velocidade que funciona como a espinha dorsal de uma rede de comunicação, transportando os dados reunidos pelas redes menores que estão a ela conectados. Localmente, o BACKBONE é uma linha - ou conjunto de linhas - à qual as redes locais se conectam para formar uma WAN (Wide Area Network). Na internet ou em outras WANs, o BACKBONE é um conjunto de linhas com as quais as redes locais ou regionais se comunicam para interligações de longa distância. DES: Data Encryption Standar, algoritmo de chave secreta desenvolvido pela IBM e submetido ao governo dos EUA como parte do programa Fed-Std-1027. Aprovado para transações do governo dos EUA, pode ser usado em transações conforme a FIPS-140-1. É amplamente utilizado no mercado financeiro. Extranet: são redes integradas por organizações que utilizam a rede pública Internet para o intercâmbio de informação reservada. Frame Relay: protocolo de transmissão de dados em rede que trafega quadros (FRAMEs) ou pacotes em alta velocidade (até 1,5 Mbps), com um atraso mínimo e uma utilização eficiente da largura de banda. Gateway: Computador ou material dedicado que serve para interligar duas ou mais redes que usem protocolos de comunicação internos diferentes, ou, computador que interliga uma rede local à Internet (é, portanto o nó de saída para a Internet). 1. Sistema que possibilita o intercâmbio de serviços entre redes com tecnologias completamente distintas, como BITNET e INTERNET; 2. Sistema e convenções de interconexão entre duas redes de mesmo nível e idêntica tecnologia, mas sob administrações distintas. 3 Roteador (terminologia TCP/IP). LAN (Local Area Network): Rede de computadores local limitada a curtas distâncias. Link: Conexão estabelecida entre dois pontos de uma rede de comunicação. Diz-se que o LINK está estabelecido quando as duas pontas estão efetivamente conectadas, o que pode ser indicado por uma luz de controle (LED) no aparelho de rede. Em broadcasting, é o termo usado para representar a transmissão entre unidades móveis e a sede da emissora, ou entre a conexão estabelecida com satélites e estações terrestres para a geração, por exemplo, de eventos ao vivo. Na web, LINK é o endereço para outro documento no mesmo servidor ou em outro servidor remoto. Modem (Modulator/Demodulator): Dispositivo eletrônico que converte os sinais enviados pelo computador em sinais de áudio, que serão enviados ao longo das linhas telefônicas e recebidos por outro MODEM que irá receber o sinal sonoro e convertê-lo de volta em sinais de computador. O MODEM também disca a linha, responde a uma chamada e controla a velocidade de transmissão. A velocidade do MODEM é medida em bits por segundo (bps). TCP/IP: Transmission Control Protocol/Internet Protocol, protocolos de comunicação básicos da internet, utilizados também na implementação de redes privativas como intranets e extranets. E composto de dois níveis. O nível mais elevado é o de controle de transmissão. Ele gerencia a reunião de mensagens e arquivos em pacotes e vice-versa. O segundo cuida da parte de endereçamento dos pacotes, de modo que cheguem ao lugar de destino. TripleDES: 3 Data Encryption Standard, algoritmo de encriptação de chave secreta, desenvolvido pela IBM e submetido ao governo dos EUA como parte do programa Ted-Std1027. Aprovado para transações do governo dos EUA, é amplamente utilizado pela área de segurança de redes. WAN (Wide Area Network): Qualquer rede que cubra uma área maior que um único prédio. WAN é uma rede privada de computadores que utiliza linhas dedicadas para conectar computadores que não se encontram perto fisicamente.