Segurança em Redes TCP/IP
Redes Virtuais Privadas e
Extranets
Edgard Jamhour
2001, Edgard Jamhour
Acesso por linha discada
• Serviço de Acesso Remoto:
– Implementado pelos sistemas operacionais comerciais
mais difundidos.
– Permite que um usuário acesse um servidor por linha
discada.
PRECISA DE UM
MODEM PARA
CADA USUÁRIO
MODEM
PSTN
RAS OU NAS
MODEM
REDE
MODEM
PPP: POINT TO POINT PROTOCOL
2001, Edgard Jamhour
PPP: Point to Point Protocol
• Permite criar conexão de rede através de links ponto a
ponto.
– O PPP é um protocolo do nível de enlace destinado a
transportar mensagens ponto a ponto.
– O PPP supõem que o link físico transporta os pacotes na
mesma ordem em que foram gerados.
IPX
IP
O PPP permite transportar
diversos protocolos de rede.
link físico
2001, Edgard Jamhour
Frame PPP
• O Frame PPP segue uma variante da estrutura do
HDLC (High-level Data Link Control)
– FLAG: 0x7E
– ADDRESS: Usualmente FF (broadcast)
– CONTROL: 0x03
– FCS: Checksum
FLAG ADDRESS CONTROL PROTOCOL
8 bits
8 bits
8 bits
16 bits
DADOS
FCS FLAG
16 bits
8 bits
2001, Edgard Jamhour
Sequência PPP
• Link Control Protocols (LCP)
– Configura parâmetros do link como tamanho dos
quadros.
• Protocolos de Autenticação
– Determina o método para validar a senha do usuário no
servidor. Pode variar de texto aberto até criptografia.
• Network control protocols (NCP):
– Configura parâmetros específicos do protocolo
transportado, como IP, IPX, and NetBEUI.
2001, Edgard Jamhour
Acesso por linhas privativas
EMPRESA
• Links
Redundantes
FILIAL
• Alto custo e Pouca
Flexibilidade
2001, Edgard Jamhour
Tecnologias para Linhas Privativas
• Linhas privativas podem ser implementadas com:
– ATM ou Frame-Relay
• Comunicação Orientada a Conexão
– Connecion-Oriented
• Ambas as tecnologias permitem dividir a banda de
um enlace físico através de circuitos virtuais.
• ATM:
– VPI e VCI
• FRAME RELAY
– DLCI
2001, Edgard Jamhour
Circuitos Virtuais ATM
• ATM utiliza uma estrutura hierárquica para criar
CÉLULA
circuitos virtuais.
VPI VCI DADOS
Enlace Físico
VC
VC
caminho
virtual
VP
VC
VC
VC
caminho
virtual
VP
VC
2001, Edgard Jamhour
Frame-Relay
• Frame-relay utiliza uma estrutura simples para
criação de circuitos virtuais.
DLCI DADOS
Enlace Físico
Circuito Virtual
caminho virtual
VP
2001, Edgard Jamhour
Backbone Embratel
2001, Edgard Jamhour
Backbone Embratel
2001, Edgard Jamhour
Rede Frame Relay
REDE ATM
REDE ATM
ATM
FRAD
FRAME-RELAY
Interface
Frame-Relay
FRAD
HUB
usual
roteador
2001, Edgard Jamhour
Estrutura Geral de Quadros
2001, Edgard Jamhour
Estrutura do Quadro Frame Relay
2001, Edgard Jamhour
Quadro Frame-Relay
• DLCI: Data Link Connection Identifier
– Número de 10 bits
– DLCI indica a porta em que a rede de destino
está conectada.
• Normalmente o termo “porta” refere-se a
porta física de um roteador.
• Todavia, as redes frame-relay podem ser
implementadas também em switches ou
bridges.
2001, Edgard Jamhour
Velocidade do Frame-Relay
• O serviço frame-relay é oferecido
normalmente como:
–Frações de canais T1/E1
–Taxas completas de T1/E1
• Alguns vendedores oferecem frame
relay até taxas T3:
–45 Mbp.
2001, Edgard Jamhour
CIR - Committed Information Rate
bits/s
CIR
tempo
CIR = média no intervalo Tc
2001, Edgard Jamhour
SLA: Service Level Agreement
• SLA define as métricas usadas para descrever o
desempenho de um serviço Frame Relay.
• Essas métricas pode ser usadas para estabelecer
um contrato entre o provedor de serviço e um
usuário ou entre provedores de serviço.
– Frame Transfer Delay
– Frame Delivery Ratio
– Data Delivery Ratio
– Service Availability
2001, Edgard Jamhour
SERVIÇO Intranet EMBRATEL
BACKBONE EMBRATEL
QUALIDADE DE SERVIÇO
CONTROLADA
Empresa D
Empresa A
Empresa B
SEM QUALIDADE DE
SERVIÇO
DLCI=1
INTERNET
VIA
EMBRATEL
Empresa B
Internet
Mundial
Empresa A
DLCI=10
2001, Edgard Jamhour
VPN X Circuitos Virtuais
• Circuitos Virtuais ATM ou Frame Relay
– Objetivo:
• Garantia de Qualidade de Serviço (QoS).
– Princípio:
• Criam canais com QoS controlado.
– Limitação:
• Depende do provedor de serviço.
2001, Edgard Jamhour
VPN X Circuitos Virtuais
• VPN: Virtual Private Networks
– Objetivos:
• Oferecer segurança através de redes IP
potencialmente inseguras.
• Permitir o transporte de outros protocolos de rede
sobre a Internet.
– Princípios:
• Encapsulamento adcional de quadros e pacotes.
– Limitação:
• Não oferece qualidade de serviço
2001, Edgard Jamhour
Tipos de VPN
ENTRE DUAS MÁQUINAS
rede
Insegura
rede
Insegura
ENTRE UMA MÁQUINA
E UMA REDE
(VPN DE ACESSO)
rede
Insegura
ENTRE DUAS REDES
(INTRANET OU
EXTRANET VPN)
2001, Edgard Jamhour
VPN = Tunelamento
pacote protegido
rede
Insegura
rede
Insegura
pacote
desprotegido
rede
Insegura
2001, Edgard Jamhour
Exemplo: VPN de Acesso
• Vendedor que precisa acessar a rede corporativa
de um ponto remoto.
SERVIDOR
DE VPN
CATÁLOGO DE
PRODUTOS
SISTEMA DE
PEDIDOS
INTERNET
2001, Edgard Jamhour
Intranet VPN
• Permite construir uma intranet utilizando recursos
de uma infra-estrutura de comunicação pública
(e.g. Internet).
EMPRESA
EMPRESA
VPN
INTERNET
2001, Edgard Jamhour
Extranet VPN
• Permite construir uma rede que compartilha
parcialmente seus recursos com empresas
parceiras (fornecedores, clientes, parceiros,etc.).
INTERNET
EMPRESA
PARCEIRO
VPN
VPN
PARCEIRO
2001, Edgard Jamhour
Conceitos Básicos de uma VPN
• TUNELAMENTO:
– Permite tranportar pacotes com IP privado ou com outros
protocolos de rede através da Internet.
• AUTENTICAÇÃO:
– Permite controlar quais usuários podem acessar a VPN
– Reduz o risco de ataques por roubo de conexão e
spoofing.
• CRIPTOGRAFIA:
– Garante a confidencialidade dos dados transportados
através da VPN.
2001, Edgard Jamhour
TUNELAMENTO
• TUNELAR: Significa colocar as estruturas de dados de um protocolo da
mesma camada do modelo OSI dentro do outro.
• Existem dois tipos de Tunelamento:
– Camada 3: Transporta apenas pacotes IP
– Camada 2: Permite tranportar outros protocolos de rede: IP, NetBEUI, IPX.
CABEÇALHO
QUADRO
CABEÇALHO
QUADRO
CABEÇALHO
IP
CABEÇALHO
QUADRO
CABEÇALHO
PACOTE IP
CABEÇALHO
PACOTE
DADOS
CRC
CABEÇALHO
PACOTE IP
DADOS
CRC
CABEÇALHO
QUADRO
DADOS
CRC
TUNELAMENTO
DA CAMADA 3
TUNELAMENTO
DA CAMADA 2
2001, Edgard Jamhour
TUNELAMENTO
Aplicação
Pilha
Normal
SSL
Tunelamento
Camada 3
APLICAÇÃO
APLICAÇÃO
APLICAÇÃO
APLICAÇÃO
TRANSPORTE
TRANSPORTE
REDE
REDE
REDE
ENLACE
Tunelamento
Camada 2
SSL
S.O.
TRANSPORTE
REDE
TRANSPORTE
REDE
REDE
Placa de
Rede
ENLACE
ENLACE
ENLACE
ENLACE
FISICA
FISICA
FISICA
FISICA
2001, Edgard Jamhour
Exemplo
IPF1
REDE A
IPF2
IPF3
IPF
IPF
IPF4
REDE B
IPF1 IPF4 DADOS
IPF1 IPF4 DADOS
IPQ1
IPQ2
IPQ1 IPQ2 IPF1 IPF4 DADOS
2001, Edgard Jamhour
Autenticação
EMPRESA
FILIAL
LOGIN
LOGIN
INTERNET
2001, Edgard Jamhour
Criptografia
IPF1
REDE A
IPF2
IPF3
IPF
IPF
IPF4
REDE B
IPF1 IPF4 DADOS
IPF1 IPF4 DADOS
IPQ1
IPQ2
XXXXXXXXXXXXXXXX
IPQ1 IPQ2 IP
F IPF DADOS
TODO O PACOTE,
INCLUINDO O
CABEÇALHO É
CRIPTOGRAFADO.
2001, Edgard Jamhour
PROTOCOLOS PARA VPN
• L2F:
– Layer 2 Fowarding Protocol (Cisco)
– Não é mais utilizado.
• PPTP:
– Tunelamento de Camada 2
– Point-to-Point tunneling Protocol
• L2TP:
– Tunelamento de Camada 2
– Level 2 Tunneling Protocol (L2TP)
– Combinação do L2F e PPTP
• IPSec:
– Tunelamento de Camada 3
– IETF (Internet Engineering Task Force)
2001, Edgard Jamhour
Protocolos para VPN
Protocolo Tunelamento
Criptografia
Autenticação
Aplicação
PPTP
Camada 2
Sim
Sim
VPN de Acesso Iniciada
no Cliente
L2TP
Camada 2
Não
Sim
VPN de Acesso Iniciada
no NAS
Intranet e Extranet VPN
IPsec
Camada 3
Sim
Sim
VPN de Acesso
Intranet e Extranet VPN
IPsec e
L2TP
Camada 2
Sim
Sim
VPN de Acesso Iniciada
no NAS
Intranet e Extranet VPN
2001, Edgard Jamhour
PPTP: Point-to-Point tunneling Protocol
• Definido pelo PPTP Forum:
– Ascend Communication, U.S. Robotics, 3Com
Corporation, Microsoft Corporation e ECI Telematics
– Formalizado por RFC
• Requisitos para Utilização:
– Os sistemas operacionais do cliente e do servidor devem
suportar PPTP
– PPTP é o protocolo de tunelamento mais difundido no
mercado:
• Windows, Linux, Roteadores, etc...
2001, Edgard Jamhour
Cenários de Utilização do PPTP
• Cenários:
– A) Acesso por modem:
• O cliente estabelece uma conexão com um
provedor (ISP) e depois com o servidor de
VPN.
– B) Acesso por placa de rede:
• O cliente já está na Internet, ele se conecta
diretamente ao servidor de VPN.
• O cliente e o servidor da VPN se
encontram na mesma rede corporativa.
2001, Edgard Jamhour
Tipos de Conexão
• O cliente tem acesso direto ao servidor, seja via
linha discada, seja via rede.
Protocolo
TCP/IP
IPX/SPX
NetBEUI
Protocolo
TCP/IP
IPX/SPX
NetBEUI
possui protocolo PPTP
instalado e
serviço RAS
configurado
possui protocolo PPTP
instalado e
serviço de dial up
discado
MODEM
permanente
PLACA DE REDE
2001, Edgard Jamhour
Opções de Configuração
Opções no Servidor:
- Número de portas VPN
- DHCP ou RAS
- O cliente pode especificar seu IP (S/N)
- Range de IP’s
- Tipo de Autenticação
- Criptografia de Dados (S/N)
- Acesso ao servidor ou a toda rede.
Opção no Cliente:
- Conexões Virtuais Simultâneas
(1 no WINDOWS 95/98).
- Criptografia
- Método de Autenticação
PORTAS VPN
PARA DISCAGEM
discado
PORTAS VPN
PARA
RECEPÇÃO
rede
2001, Edgard Jamhour
Conexão PPTP
MODEM
NAS
MODEM
USUÁRIO
REMOTO
PPP
REDE TELEFÔNICA
PSTN
MODEM
MODEM
ISP
SERVIDOR
EMPRESA
PPTP
PROVEDOR DE
ACESSO A INTERNET
INTERNET
TUNEL
2001, Edgard Jamhour
Topologias de Conexão
PORTAS VPN
PORTAS VPN
RAS
Acesso apenas a
esta máquina
WINDOWS 95/98
WINDOWS NT/LINUX
RAS
Outro Servidor
da Rede
WINDOWS 95/98
WINDOWS NT
WINDOWS NT/LINUX
WINDOWS 95/98
O servidor VPN libera
acesso a toda rede
2001, Edgard Jamhour
Exemplo
• 1) Situação Inicial
– Considere um cliente e um servidor conectados
por uma rede TCP/IP.
– Ambos possuem endereços pré-definidos.
IPNORMAL2
IPNORMAL1
SERVIDOR RAS
INTERNET
RANGE IP
IPVPN1
IPVPN2
...
EXEMPLO:
192.168.0.1
..
192.168.0.254
2001, Edgard Jamhour
Estabelecimento da Conexão PPTP
• 2) O cliente disca para o endereço IP do servidor.
– Nesse processo, o cliente deve fornecer seu login e senha.
– A conta do usuário deve existir no servidor, e ele deve ter direitos
de acesso via dial up.
– O servidor atribui um IP para o cliente, e reconfigura suas rotas.
IPNORMAL2
LOGIN
SENHA
IPVPN E ROTAS
IPNORMAL1
SERVIDOR RAS
RANGE
IP
IPVPN1
IPVPN2
...
INTERNET
2001, Edgard Jamhour
IP’s de tunelamento
• Uma conexão PPTP que encapsula protocolos
TCP/IP em outro datagrama IP envolve a
utilização de 2 pares de IP:
– IP sem tunelamento
• cliente: IPNORMAL2 (e.g. 210.0.0.1)
• servidor: IPNORMAL1 (eg. 200.0.0.1)
– IP com tunelamento
• cliente: IPVPN2 (192.168.0.2)
• servidor: IPVPN1 (192.168.0.1)
2001, Edgard Jamhour
Rotas do Cliente antes da Conexão VPN
•
DESTINO
GATEWAY
INTERFACE
•
INTERNET
IPGATEWAY
IPNORMAL2
•
IPNORMAL2
LOOPBACK
LOOPBACK
•
REDELOCAL
IPNORMAL2
IPNORMAL2
IPGATEWAY
IPNORMAL2
IPNORMAL1
INTERNET
2001, Edgard Jamhour
Rotas do Cliente após a Conexão VPN
•
DESTINO
GATEWAY
INTERFACE
•
REDE VPN
IPVPN2
IPVPN2
•
IPVPN2
LOOBACK
LOOBACK
•
INTERNET
IPGATEWAY
IPNORMAL2
•
IPNORMAL2
LOOPBACK
LOOPBACK
•
REDELOCAL
IPNORMAL2
IPNORMAL2
IPGATEWAY
IPNORMAL2
IPNORMAL1
IPVPN2
IPVPN2
INTERNET
2001, Edgard Jamhour
Rede Virtual
• Os clientes conectados a rede virtual utilizam o
servidor RAS como roteador.
SERVIDOR RAS
VPN
VPN
VPN
VPN
2001, Edgard Jamhour
Rotas do Servidor antes da Conexão VPN
•
DESTINO
GATEWAY
INTERFACE
•
INTERNET
IPGATEWAY
IPNORMAL1
•
IPNORMAL1
LOOPBACK
LOOPBACK
•
REDELOCAL
IPNORMAL1
IPNORMAL1
IPGATEWAY
IPNORMAL2
IPNORMAL1
INTERNET
2001, Edgard Jamhour
Rotas do Servidor após a Conexão VPN
•
DESTINO
•
IPVPN1
LOOBACK
LOOBACK
•
IPVPN2
IPVPN1
IPVPN1
•
IPVPN3
IPVPN1
IPVPN1
•
IPVPN4
IPVPN1
IPVPN1
•
INTERNET
IPGATEWAY
•
IPNORMAL2
LOOPBACK
LOOPBACK
•
REDELOCAL
IPNORMAL1
IPNORMAL1
GATEWAY
INTERFACE
IPNORMAL1
SERVIDOR RAS
IPVPN2
VPN
IPVPN3
VPN
IPVPN4
VPN
VPN
IPVPN1
2001, Edgard Jamhour
Comunicação com Tunelamento
CLIENTE
SERVIDOR RAS
CLIENTE
IPN2
IPN1
IPN3
IPVPN2
IPVPN1
IPVPN3
IPN2
IPN1
IPVPN2 IPVPN3
IPN1
IPN3
IPVPN2 IPVPN3
2001, Edgard Jamhour
Pacotes PPTP
• A técnica de encapsulamento PPTP é
baseada no padrão Internet (RFC 1701 e
1702) denominado:
– Generic Routing Encapsulation (GRE)
– O PPTP é conhecido como GREv2, devido as
extensões que acrescentou:
• controle de velocidade da conexão
• identificação das chamadas.
2001, Edgard Jamhour
Estrutura do PPTP
• Um pacote PPTP é feito de 4 partes:
– Delivery Header:
• adapta-se ao meio físico utilizado
– IP Header:
• endereço IP de origem e destino sem tunelamento
– GREv2 Header:
• indentifica qual protocolo foi encapsulado
– Payload Datagram:
• pacote encapsulado (IPX, IP, NetBEUI, etc.)
2001, Edgard Jamhour
Formato Geral de um Pacote PPTP
• A figura abaixo mostra o formato geral de um pacote
PPTP. O conteúdo de cada campo varia de acordo
como o meio utilizado e com o protocolo transportado.
Delivery
Header
IP
Header
GREv2
Header
Payload Datagram
Intentifica o
Protocolo
Encapsulado
Corresponde ao
cabeçalho do
protocolo de enlace
(Ethernet,
FrameRelay, etc.)
Cabeçalho do
Datagrama IP de
encapsulamento
Datagrama do
Protocolo
Encapsulado
2001, Edgard Jamhour
Datagramas Tunelados
• A figura abaixo mostra o que acontece quando
um datagrama IP é tunelado através de uma
rede local Ethernet, com protocolo TCP/IP.
Delivery
Header
Ethernet
Header
IP
Header
IP Origem e
Destino Sem
Tunelamento
IP
Header
GREv2
Header
GREv2
Header
IP
Payload
Datagram
Protocolo de
Transporte
Protocolo de
Aplicação
IP Origem e
Destino com
Tunelamento
2001, Edgard Jamhour
Porta de Controle
• O estabelecimento de uma conexão PPTP é feito
pela porta de controle TCP 1723.
• Esta porte precisa ser liberada no firewall para
implantar uma VPN de acesso.
configuração do link
autenticação
configuração de rotas
TCP
> 1024
1723
IP: Protocol Type = 2F
2001, Edgard Jamhour
Exemplo de VPN com Firewall
IP_Servidor_VPN
>1023
1723
INTERNET
FIREWALL:
Liberar a porta TCP 1723 no IP = Servidor_VPN
Liberar o protocolo PPTP (Protocol Type=2F) para o IP=Servidor_VPN
2001, Edgard Jamhour
Segurança do PPTP
• PPTP fonece dois serviços de segurança:
– Autenticação
– Criptografia de Dados
• Diversos tipos de autenticação podem ser
utilizadas:
– CHAP: Standard Encrypted Authentication
– MS-CHAP: Microsoft Encrypted Authentication
• Unico Método que Permite Criptografia
– PAP: Password Authentication Protocol
• Autenticação Sem Criptografia
2001, Edgard Jamhour
Autenticação por CHAP
• CHAP: Challeng HandShake Authentication
Protocol
– Definido pela RFC 1994 como uma extensão
para PPP
• Não utiliza passwords em aberto
• Um password secreto, criado apenas para a
sessão, é utilizado para o processo de
autenticação.
• CHAP permite repetir o processo de validação da
senha durante a conexão para evitar ataques por
roubo de conexão.
2001, Edgard Jamhour
Autenticação CHAP
• O processo utilizado é do tipo challenge-response:
– a) O cliente envia sua identificação ao servidor (mas não
a senha)
– b) O servidor responde enviando ao cliente uma
“challenge string”, única, criada no momento do
recebimento do pedido.
– c) O cliente aplica um algoritmo RSA’s MD5 (one-way
hashing), e combinado-se password e a string recebida.
– d) O servidor compara a senha criptografada recebida
pelo usuário aplicado a mesma operação na senha
armazenada localmente.
2001, Edgard Jamhour
Autenticação no CHAP
1. Pedido de Login (Identificação)
4. VALIDAÇÃO
Senha +
Challenge String
2. Challenge String
MD5
2. One-Way-Hash(Passord+Challenge String) = RSA’s MD5
5. OK
5
Senha
Criptografada
COMPARAÇÃO
2001, Edgard Jamhour
Autenticação por MS-CHAP
• MS-CHAP: Microsoft - Challeng HandShake
Authentication Protocol
– Técnica de autenticação proprietária da Microsoft,
exclusiva para redes Windows.
– Similar ao CHAP, mas utiliza técnicas de hashing RSA’s
MD4 e DES.
– Permite compatibilidade com outros produtos Microsoft
(Windows 3.11, por exemplo)
– Permite utilizar criptografia de dados na seção PPTP.
• RSA RC4 – 40 ou 128 bits
2001, Edgard Jamhour
Autenticação no MS-CHAP
4. VALIDAÇÃO
1. Pedido de Login (Identificação)
Senha +
Challenge String
2. Challenge String
MD5
2. One-Way-Hash(Passord+Challenge String) = RSA’s MD4
5
Senha
Criptografada
5. OK
COMPARAÇÃO
6) SENHA => CHAVE SIMÉTRICA
RSA – RC4
(40 OU 128 BITS)
6) SENHA => CHAVE SIMÉTRICA
RSA – RC4
(40 OU 128 BITS)
2001, Edgard Jamhour
Criptografia de Dados
• Uma conexão PPTP nem sempre implica em criptografia de
dados.
– Esta opção deve ser selecionada no servidor RAS para que a
criptografia seja utilizada.
– Apenas o modo MS-CHAP suporta criptografia.
• Criptografia PPTP
– O algorítmo de hashing MD4 gera uma chave de sessão de 40 bits.
– O algorítmo RSA’s RC4, com a chave de 40 bits é utilizado para
criptografar os dados.
• OBS.
– A versão americana do NT inclui um módulo de criptografia forte,
com chaves de 128 bits, instalado com o service pack 2 ou superior.
2001, Edgard Jamhour
Password Authentication Protocol (PAP)
• Para que o processo de autenticação possa ocorrer, é
necessário que o processo de autenticação que seja
conhecido pelo cliente e pelo servidor.
• O método de autenticação PAP é o mais simples de todos.
Utiliza passwords transmitidos em texto aberto, e é
suportado pela maioria dos servidores PPP utilizados pelos
ISP’s.
– PAP não deve ser utilizado em VPN, pois compromete todo
processo de segurança da conexão.
– A única razão de existir é permitir que servidores ou clientes que não
suportam CHAP ou MS-CHAP possam estabelecer conexões PPTP.
2001, Edgard Jamhour
L2TP: Layer Two Tunneling Protocol
• Baseado nos Protocolos:
– PPTP
– L2F
• As mensagens do protocolo L2TP são de dois
tipos:
– Mensagens de controle:
• Utilizadas para estabelecer e manter as conexões
– Mensagens de dados:
• Utilizadas para transportar informações
2001, Edgard Jamhour
PPTP e L2TP
• PPTP:
– Utiliza uma conexão TCP para negociar o túnel, independente da
conexão utilizada para transferir dados.
– No Windows 2000, por exemplo, o cliente e o servidor utilizam a
porta TCP 1723 para negociar os túneis PPTP.
– Não possui mecanismos fortes de integridade dos pacotes (baseiase apenas no PPP).
– Túneis são usualmente criados pelo cliente.
• L2TP:
– Envia tanto as mensagens de controle quanto os dados
encapsulados em datagramas UDP.
– No Windows 2000, por exemplo, o cliente e o servidor utilizam a
porta UDP 1701 para negociar os túneis L2TP.
– Túneis são usualmente criados automaticamente pelo NAS.
2001, Edgard Jamhour
Tunelamento L2TP
• O tunelamento no L2TP é feito com o auxílio do protocolo UDP.
• Observe como o L2TP é construído sobre o protocolo PPP.
2001, Edgard Jamhour
Tipos de VPN de Acesso
• As VPNs de acesso podem ser de dois tipos,
dependendo do ponto onde começa a rede segura:
A) Iniciada pelo Cliente
B) Iniciada pelo Servidor de Acesso a Rede (NAS)
2001, Edgard Jamhour
Iniciada pelo Cliente
PPTP
MODEM
NAS
MODEM
USUÁRIO
REMOTO
PPP
REDE TELEFÔNICA
PSTN
MODEM
MODEM
ISP
SERVIDOR
EMPRESA
INTERNET
PROVEDOR DE
ACESSO A INTERNET
TUNEL
2001, Edgard Jamhour
Iniciada pelo Servidor de Acesso a Rede
(NAS)
MODEM
PPP
PPP
MODEM
USUÁRIO
REMOTO
PPP
REDE TELEFÔNICA
NAS
PSTN
MODEM
MODEM
ISP
PPTP
SERVIDOR
INTERNET
PROVEDOR DE
ACESSO A INTERNET
TUNEL
EMPRESA
2001, Edgard Jamhour
Conexão L2TP Típica
MODEM
PPP
PPP
MODEM
USUÁRIO
REMOTO
LAC
PSTN
PPP
MODEM
MODEM
LNS
MODEM
INTERNET
USUÁRIO
REMOTO
LAC: L2TP Access Concentrator
LNS: L2TP Network Server
L2TP
TUNEL
EMPRESA
2001, Edgard Jamhour
L2TP
• Possui suporte as seguintes funções:
– Tunnelamento de múltiplos protocolos
– Autenticação
– Anti-spoofing
– Integridade de dados
• Certificar parte ou todos os dados
– Padding de Dados
• Permite esconder a quantidade real de dados Transportados
• Não possui suporte nativo para criptografia.
2001, Edgard Jamhour
IPSec – IP Seguro
• Protocolo projetado pelo IETF para permitir
comunicações seguras no interior de redes TCP
(IPv4 ou IPv6).
• Possui dois modos de utilização:
– Modo túnel
• Adiciona o cabeçalho de tunelamento e um cabeçalho de
controle.
– Modo transporte
• Adiciona apenas o cabeçalho de controle.
2001, Edgard Jamhour
Elementos do IPSec
• IP Autentication Header (AH)
– Integridade, Autenticação da Origem de Dados e evita
interceptação de pacotes
• IP Encapsulating Security Payload (ESP)
– Confidencialidade, Integridade, Autenticação da Origem
e evita interceptação de pacotes.
• Internet Security Association and Key Management
Protocol (ISAKMP)
– Implementa o gerenciamento de chaves.
2001, Edgard Jamhour
IPSec : Estrutura
IPv4
IP TCP/UDP DADOS
IPv4 com autenticação
IP AH TCP/UDP DADOS
IPv4 com autenticação e tunelamento
AH: calculado sobre todos
os dados que não são
alterados durante o trajeto
do pacote
IP AH IP TCP/UDP DADOS
IPv4 com autenticação e criptofafia
IP
ESP
HEADER
TCP/UDP DADOS
ESP
TRAILER
ESP
AUTH
criptografado
autenticado
2001, Edgard Jamhour
Security Associations
• Antes que os dados possam ser trocados de forma segura,
um contrato, denominado “SECURITY ASSOCIATION (SA)”,
deve ser estabelecido entre dois computadores.
• Num SA, ambos os computadores concordam em como
trocar e proteger a informação, definindo:
– Tipo de autenticação, Tipo de criptografia, Algoritmo de Criptografia,
Tamanho da Chave, etc.
2001, Edgard Jamhour
Distribuição de Chaves no IPsec
• A distribuição de chaves no IPsec é implementado de forma
independente do protocolo, na forma de uma aplicação. O
ISAKMP (Definido em RFC), tornou-se o principal padrão
para distribuição de chaves em redes heterogêneas.
2001, Edgard Jamhour