Slide sem t

1
Redes de Computadores 1
VPNs Virtual Private Networks
Pedro da Fonseca Vieira
2000/1
2
Índice
1) Introdução Rede Virtual Privada 2)
Fundamentos 3) Aplicações 4) Requisitos
Básicos 5) Tunelamento - Introdução -
Protocolos e Funcionamento 6) IP Seguro - AH,
ESP e ISKMP 7) Conclusões 8) Bibliografia 9)
Perguntas
3
VPNs - Introdução
Rede Privada Rede que contém circuitos
alugados privados entre dois pontos Rede
Virtual Privada Rede que provê circuitos
virtuais utilizando as facili-dades de uma rede
já exis-tente onde se tem a impres-são de rede
privada real
(...) sua capacidade de conectar locais
geograficamente distantes utilizando a Internet
(...) 1
(...) ao invés de pagar por uma linha
internacional privada, paga-se somente a conexão
com o ISP local de cada localidade, e
investimento em criptografia (...) 2
4
VPNs - Fundamentos
Seu objetivo
Seu custo comparativo
Utilizar uma rede pública como a Internet em vez
de linhas privativas para implemen-tar redes
corporativas
Pode ser bastante interessante sob o ponto de
vista econômico, sobretudo nos casos em que
enlaces inter-nacionais ou nacionais de longa
dis-tância estão envolvidos
Seu funcionamento
As VPNs são túneis de criptografia entre pontos
autorizados, criados através da Internet (ou de
outras redes) para trans-ferência de informações
de modo seguro en-tre usuários remotos ou entre
redes corpora-tivas.
Sua padronização
O IPSec é um protocolo padrão projetado pelo IETF
que oferece transferência segura de informações
fim a fim através de rede IP pública ou privada.
5
VPNs - Aplicações
Acesso remoto via Internet
Usuário com ligação local discada a algum
provedor de acesso (Internet Service Provider -
ISP). O software de VPN cria uma rede virtual
privada entre o usuário remoto e o servidor de
VPN corporativo através da Internet.
Conexão de LANS via Internet
Uma solução que substitui as conexões entre LANs
através de circuitos dedicados de longa distância
é a utilização de circuitos dedicados locais
interligando-as à Internet. O software de VPN
assegura esta interconexão formando a WAN
corporativa.
Conexão numa Intranet
Formação que redes departamentais virtuais na
mesma Intranet utilizando VPN para isola-mento
criptográfico de informações restritas a pequeno
grupo de usuários.
6
VPNs - Requisitos Básicos
Autenticação de Usuário
Gerenciamento de Chaves
Verificação da identidade do usuário,
restrin-gindo o acesso às pessoas autorizadas.
Deve dispor de mecanismos de auditoria, provendo
informações referentes aos acessos efetuados -
quem acessou, o quê e quando foi acessado.
O uso de chaves que garantem a segurança das
mensagens criptografadas deve funcionar como um
segredo compartilhado exclusivamente entre as
partes envolvidas. O gerenciamento de chaves deve
garantir a troca periódica das mesmas, por
questões de segurança.
Gerenciamento de Endereços
Suporte a múltiplos protocolos
O endereço do cliente na sua rede privada não
deve ser divulgado, devendo-se adotar endere-ços
fictícios para o tráfego externo.
Com a diversidade de protocolos existentes,
torna-se bastante desejável que uma VPN suporte
protocolos padrão de fato usadas nas redes
públicas, tais como IP (Internet Protocol), IPX
(Internetwork Packet Exchange), etc.
Criptografia de Dados
O reconhecimento do conteúdo das mensagens deve
ser exclusivo dos usuários autorizados.
7
Tunelamento - Introdução
Túnel é a denominação do caminho lógico
percorrido pelo pacote ao longo da rede
intermediária. O processo de tunelamento envolve
criptografia, encapsulamento, transmissão ao
longo da rede intermediária, desencapsulamento e
descriptografia.
Cabeçalho adicional que contém infor-mações de
roteamento que permitem a travessia dos pacotes
Pacote ilegível em caso de interceptação na
transmissão
Suporte multi-protocolo (pacotes IPX encapsulados
como pacotes IP, por exemplo)
Protocolo de tunelamento
8
Tunelamento - Protocolos e Funcionamento
Tunelamento em Nível Enlace
Tunelamento em Nível Rede
Quadros como unidade de troca, encapsulando os
pacotes da camada 3 (ex IPX, IP) em quadros PPP.
Encapsulam pacotes IP com um cabe-çalho adicional
deste mesmo protocolo antes de enviá-los.
PPTP (Point-to-Point Tunneling Proto-col) da
Microsoft permite que o tráfego IP, IPX e NetBEUI
sejam criptografados e encapsulados para serem
enviados através de redes IP privadas ou públicas
como a Internet.
IPSec (Secure IP) - protocolo desenvol-vido para
IPv6, devendo, no futuro, se constituir como
padrão para todas as formas de VPN.
L2TP (Layer 2 Tunneling Protocol) da IETF permite
que o tráfego IP, IPX e NetBEUI sejam
criptografados e enviados através de canais de
comunicação de datagrama ponto a ponto tais como
IP, X25, FR ou ATM.
L2F (Layer 2 Forwarding) da Cisco é utilizada
para VPNs discadas.
9
IPSec - Introdução e Mecanismos
O IPSec é um protocolo padrão de camada 3
projetado pelo IETF que oferece transferência
segura de informações fim a fim através de rede
IP pública ou privada. Pega pacotes IP, realiza
funções de segurança de dados como criptografia,
autenticação e integridade, e então encapsula
esses pacotes protegidos em outros pacotes IP.
Requisitos de Segurança

• Autenticação e Integridade
• Confidencialidade

• AH Autentication Header
• ESP Encapsulation Security Payload
• ISAKMP Internet Security Association and
• Key Management Protocol

Negociação do Nível de Segurança - ISAKMP
Trata-se de um protocolo que rege a troca de
chaves criptografadas utilizadas para decifrar os
dados. Ele define procedimentos e formatos de
pacotes para estabelecer, negociar, modificar e
deletar as SAs (Security Associations), que
contêm todas as informações necessárias para
serviços de segurança.

• Negociação completa de uma só vez
• Eliminação das redundâncias de segurança a nível
  de protocolo

10
IPSec - Mecanismos (continuação)
Autenticação e Integridade - AH
A autenticação garante que os dados recebidos
correspondem àqueles originalmente enviados,
assim como garante a identidade do emissor.
Integridade significa que os dados transmitidos
chegam ao seu destino íntegros, eliminando a
possibilidade de terem sido modificados no
caminho sem que isto pudesse ser detectado.

• Inclusão de informação para autenticação no
  pacote
• Algoritmo aplicado sobre o conteúdo dos campos
  do datagrama IP (todos os cabeçalhos e dados do
  usuário)

Confidencialidade - ESP
Propriedade da comunicação que permite que apenas
usuários autorizados entendam o conteúdo
transportado. O mecanismo mais usado para prover
esta propriedade é chamado de criptografia.

• Autenticação da origem dos dados
• Integridade da conexão
• O datagrama IP é encapsulado inteiro dentro do
  ESP

11
Conclusões
As VPNs podem se constituir numa alternativa
segura para transmissão de dados através de redes
públicas ou privadas
Em aplicações onde o tempo de transmissão é
crítico, o uso de VPNs através de redes externas
ainda deve ser analisado com muito cuidado, pois
podem ocorrer problemas de desempenho e atrasos
na transmissão sobre os quais a organização não
tem nenhum tipo de gerência ou controle.
A decisão de implementar ou não redes privadas
virtuais requer uma análise criteriosa dos
requisitos, principalmente aqueles relacionados a
segurança, custos, qualidade de serviço e
facilidade de uso que variam de acordo com o
negócio de cada organização.
12
Bibliografia

• Understanding Secure Virtual Private
  Networking, Nokia IP Inc., Issue 0.9, 1997
• VPNs Reality Behind the Hype, Steven Taylor,
  Distributed Networking Associates, 1999
• Choix VPN Frame Relay ou IP?, France Telecom,
  1998
• The Internet, Intranets, Extranets - and VPNs,
  Gary C. Kessler, SymQuest Group, 1999
• VPN Services for Enterprise Customers, Susan
  Scheer, CISCO Sytems Inc., 1998
• PPTP e VPNs, Liou Kuo Chin, RNP, 1999.

Perguntas