VPN Professor Edgard Jamhour 2006 Edgard Jamhour Segurana
- Slides: 43
VPN • Professor • Edgard Jamhour 2006, Edgard Jamhour
Segurança em Sistemas de Informação Redes Virtuais Privadas e Extranets 2006, Edgard Jamhour
VPN: Virtual Private Networks • Objetivos: • Oferecer segurança através de redes IP potencialmente inseguras. • Permitir o transporte de outros protocolos de rede sobre a Internet. – Princípios: • Encapsulamento adcional de quadros e pacotes. – Limitação: • Não oferece qualidade de serviço 2006, Edgard Jamhour
Tipos de VPN ENTRE DUAS MÁQUINAS rede Insegura ENTRE UMA MÁQUINA E UMA REDE (VPN DE ACESSO) rede Insegura ENTRE DUAS REDES (INTRANET OU EXTRANET VPN) 2006, Edgard Jamhour
VPN = Tunelamento pacote protegido rede Insegura pacote desprotegido rede Insegura 2006, Edgard Jamhour
Exemplo: VPN de Acesso • Vendedor que precisa acessar a rede corporativa de um ponto remoto. SERVIDOR DE VPN CATÁLOGO DE PRODUTOS SISTEMA DE PEDIDOS INTERNET 2006, Edgard Jamhour
Intranet VPN • Permite construir uma intranet utilizando recursos de uma infra-estrutura de comunicação pública (e. g. Internet). EMPRESA VPN INTERNET 2006, Edgard Jamhour
Extranet VPN • Permite construir uma rede que compartilha parcialmente seus recursos com empresas parceiras (fornecedores, clientes, parceiros, etc. ). INTERNET EMPRESA PARCEIRO VPN PARCEIRO 2006, Edgard Jamhour
Conceitos Básicos de uma VPN • TUNELAMENTO: – Permite tranportar pacotes com IP privado ou com outros protocolos de rede através da Internet. • AUTENTICAÇÃO: – Permite controlar quais usuários podem acessar a VPN – Reduz o risco de ataques por roubo de conexão e spoofing. • CRIPTOGRAFIA: – Garante a confidencialidade dos dados transportados através da VPN. 2006, Edgard Jamhour
TUNELAMENTO • TUNELAR: Significa colocar as estruturas de dados de um protocolo da mesma camada do modelo OSI dentro do outro. • Existem dois tipos de Tunelamento: – Camada 3: Transporta apenas pacotes IP – Camada 2: Permite tranportar outros protocolos de rede: IP, Net. BEUI, IPX. CABEÇALHO QUADRO CABEÇALHO IP CABEÇALHO QUADRO CABEÇALHO PACOTE IP CABEÇALHO PACOTE DADOS CRC CABEÇALHO PACOTE IP DADOS CRC CABEÇALHO QUADRO DADOS CRC TUNELAMENTO DA CAMADA 3 TUNELAMENTO DA CAMADA 2 2006, Edgard Jamhour
TUNELAMENTO Aplicação Pilha Normal APLICAÇÃO SSL Tunelamento Camada 3 Tunelamento Camada 2 APLICAÇÃO TRANSPORTE REDE IP (VPN) ENLACE PPP SSL S. O. TRANSPORTE REDE IP (VPN) Placa de Rede ENLACE FISICA 2006, Edgard Jamhour
PPP: Point to Point Protocol • Permite criar conexão de rede através de links ponto a ponto. – O PPP é um protocolo do nível de enlace destinado a transportar mensagens ponto a ponto. – O PPP supõem que o link físico transporta os pacotes na mesma ordem em que foram gerados. IPX IP O PPP permite transportar diversos protocolos de rede. link físico 2006, Edgard Jamhour
Exemplo IPF 1 REDE A IPF 2 IPF 3 IPF IPF 4 REDE B IPF 1 IPF 4 DADOS IPQ 1 IPQ 2 IPF 1 IPF 4 DADOS 2006, Edgard Jamhour
Autenticação EMPRESA FILIAL LOGIN INTERNET 2006, Edgard Jamhour
Criptografia IPF 1 REDE A IPF 2 IPF 3 IPF IPF 4 REDE B IPF 1 IPF 4 DADOS IPQ 1 IPQ 2 XXXXXXXX IPQ 1 IPQ 2 IP F IPF DADOS TODO O PACOTE, INCLUINDO O CABEÇALHO É CRIPTOGRAFADO. 2006, Edgard Jamhour
PROTOCOLOS PARA VPN • L 2 F: – Layer 2 Fowarding Protocol (Cisco) – Não é mais utilizado. • PPTP: – Tunelamento de Camada 2 – Point-to-Point tunneling Protocol • L 2 TP: – Tunelamento de Camada 2 – Level 2 Tunneling Protocol (L 2 TP) – Combinação do L 2 F e PPTP • IPSec: – Tunelamento de Camada 3 – IETF (Internet Engineering Task Force) 2006, Edgard Jamhour
Protocolos para VPN Protocolo Tunelamento Criptografia Autenticação Aplicação PPTP Camada 2 Sim VPN de Acesso Iniciada no Cliente L 2 TP Camada 2 Não Sim VPN de Acesso Iniciada no NAS Intranet e Extranet VPN IPsec Camada 3 Sim VPN de Acesso Intranet e Extranet VPN IPsec e L 2 TP Camada 2 Sim VPN de Acesso Iniciada no NAS Intranet e Extranet VPN 2006, Edgard Jamhour
PPTP: Point-to-Point tunneling Protocol • Definido pelo PPTP Forum: – Ascend Communication, U. S. Robotics, 3 Com Corporation, Microsoft Corporation e ECI Telematics – Formalizado por RFC • Requisitos para Utilização: – Os sistemas operacionais do cliente e do servidor devem suportar PPTP – PPTP é o protocolo de tunelamento mais difundido no mercado: • Windows, Linux, Roteadores, etc. . . 2006, Edgard Jamhour
Opções de Configuração Opções no Servidor: - Número de portas VPN - Método de Distribuição de IPs - Range de IP’s da VPN - Criptografia - Método de Autenticação - Acesso ao servidor ou a toda rede. Opção no Cliente: - Número de Portas de VPN - Criptografia - Método de Autenticação PORTAS VPN CLIENTE conexão PPTP nic conexão PPTP NIC nic PORTAS VPN PARA RECEPÇÃO conexão PPTP 2006, Edgard Jamhour
PPP X PPTP MODEM NAS MODEM USUÁRIO REMOTO PPP REDE TELEFÔNICA PSTN MODEM ISP SERVIDOR EMPRESA PPTP PROVEDOR DE ACESSO A INTERNET TUNEL 2006, Edgard Jamhour
Exemplo • 1) Situação Inicial – Considere um cliente e um servidor conectados por uma rede TCP/IP. – Ambos possuem endereços pré-definidos. IPNORMAL 2 IPNORMAL 1 SERVIDOR RAS INTERNET RANGE IP IPVPN 1 IPVPN 2. . . EXEMPLO: 192. 168. 0. 1. . 192. 168. 0. 254 2006, Edgard Jamhour
Estabelecimento da Conexão PPTP • (2 O cliente disca para o endereço IP do servidor. – Nesse processo, o cliente deve fornecer seu login e senha. – A conta do usuário deve existir no servidor, e ele deve ter direitos de acesso via dial up. – O servidor atribui um IP para o cliente, e reconfigura suas rotas. IPNORMAL 2 LOGIN SENHA IPVPN E ROTAS IPNORMAL 1 SERVIDOR RAS RANGE IP IPVPN 1 IPVPN 2. . . INTERNET 2006, Edgard Jamhour
IP’s de tunelamento • Uma conexão PPTP que encapsula protocolos TCP/IP em outro datagrama IP envolve a utilização de 2 pares de IP: – IP sem tunelamento • cliente: IPNORMAL 2 (e. g. 210. 0. 0. 1) • servidor: IPNORMAL 1 (eg. 200. 0. 0. 1) – IP com tunelamento • cliente: IPVPN 2 (192. 168. 0. 2) • servidor: IPVPN 1 (192. 168. 0. 1) 2006, Edgard Jamhour
Rede Virtual • Os clientes conectados a rede virtual utilizam o servidor RAS como roteador. SERVIDOR RAS VPN VPN 2006, Edgard Jamhour
Comunicação com Tunelamento CLIENTE SERVIDOR RAS IPN 1 IPN 2 IPVPN 2 IPN 1 IPN 3 IPVPN 1 IPVPN 2 IPVPN 3 CLIENTE IPVPN 3 IPN 1 IPN 3 IPVPN 2 IPVPN 3 2006, Edgard Jamhour
Porta de Controle • O estabelecimento de uma conexão PPTP é feito pela porta de controle TCP 1723. • Esta porte precisa ser liberada no firewall para implantar uma VPN de acesso. configuração do link autenticação configuração de rotas TCP > 1024 1723 IP: Protocol Type = 2 F 2006, Edgard Jamhour
Exemplo de VPN com Firewall IP_Servidor_VPN >1023 1723 INTERNET FIREWALL: Liberar a porta TCP 1723 no IP = Servidor_VPN Liberar o protocolo PPTP (Protocol Type=2 F) para o IP=Servidor_VPN 2006, Edgard Jamhour
Segurança do PPTP • PPTP fonece dois serviços de segurança: – Autenticação – Criptografia de Dados • Diversos tipos de autenticação podem ser utilizadas: – CHAP: Standard Encrypted Authentication – MS-CHAP: Microsoft Encrypted Authentication • Unico Método que Permite Criptografia – PAP: Password Authentication Protocol • Autenticação Sem Criptografia 2006, Edgard Jamhour
Autenticação por CHAP • CHAP: Challeng Hand. Shake Authentication Protocol – Definido pela RFC 1994 como uma extensão para PPP • Não utiliza passwords em aberto • Um password secreto, criado apenas para a sessão, é utilizado para o processo de autenticação. • CHAP permite repetir o processo de validação da senha durante a conexão para evitar ataques por roubo de conexão. 2006, Edgard Jamhour
Autenticação CHAP • O processo utilizado é do tipo challenge-response: – a) O cliente envia sua identificação ao servidor (mas não a senha) – b) O servidor responde enviando ao cliente uma “challenge string”, única, criada no momento do recebimento do pedido. – c) O cliente aplica um algoritmo RSA’s MD 5 (one-way hashing), e combinado-se password e a string recebida. – d) O servidor compara a senha criptografada recebida pelo usuário aplicado a mesma operação na senha armazenada localmente. 2006, Edgard Jamhour
Autenticação no CHAP 1. Pedido de Login (Identificação) 4. VALIDAÇÃO Senha + Challenge String 2. Challenge String MD 5 5 2. One-Way-Hash(Password+Challenge String) = RSA’s MD 5 5. OK Digest COMPARAÇÃO http: //www. cisco. com/warp/public/770/chapvuln-pub. shtml 2006, Edgard Jamhour
MD 4 e MD 5 • O Algoritmo MD 5: • O Algoritmo MD 4: • Aceita uma mensagem de entrada de tamanho arbitrário e gera como resultado um “fingerprint” ou “message digest” de tamanho fixo (128 bits). • Versão anterior do MD 5, menos segura e mais rápida. – Probabilidade de duas mensagens gerarem o mesmo digest: "computationally infeasible" • Definido na RFC 1321. – Probabilidade de duas mensagens gerarem o mesmo digest: 264 • Definido na RFC 1320. • O site do RSA (www. rsasecurity. com) indica que o MD 4 deve ser considerado quebrado (1999). 2006, Edgard Jamhour
Autenticação por MS-CHAP • MS-CHAP: Microsoft - Challenge Hand. Shake Authentication Protocol • Duas versões: – Versão 1: • gera chaves criptográficas a partir apenas do password, por isso a chave não muda de uma sessão para outra. • a autenticação é one-way: o cliente prova a indentidade para o servidor, mas não o contrário. • a mesma chave de criptografia é utilizada para enviar e receber dados. – Versão 2 (RFC 2759): • gera chaves criptográficas a partir do password e da challenge string, por isso a chave muda a cada sessão. • a autenticação é two-way (mutual authentication). • gera uma chave de criptografia diferente para transmitir e para receber dados. 2006, Edgard Jamhour
Autenticação no MS-CHAP 1. Pedido de Login (Identificação) 2. Challenge String (CS 1) 3. Challenge String (CS 2) + MD 4 (CS 1+Password) 4. OK + MD 4(CS 1, CS 2, Password) 5) chave (CS 2 + password) chave (CS 1 + password) RSA’s RC 4 40 ou 128 bits (negociado) 6) chave (CS 1 + password) chave(CS 2 + password) RSA’s RC 4 40 ou 128 bits (negociado) 2006, Edgard Jamhour
L 2 TP: Layer Two Tunneling Protocol • Baseado nos Protocolos: – PPTP – L 2 F • As mensagens do protocolo L 2 TP são de dois tipos: – Mensagens de controle: • Utilizadas para estabelecer e manter as conexões – Mensagens de dados: • Utilizadas para transportar informações 2006, Edgard Jamhour
PPTP e L 2 TP • PPTP: – Utiliza uma conexão TCP para negociar o túnel, independente da conexão utilizada para transferir dados. – Não possui mecanismos fortes de integridade dos pacotes (baseia-se apenas no PPP). – Túneis são usualmente criados pelo cliente. • L 2 TP: – Envia tanto as mensagens de controle quanto os dados encapsulados em datagramas UDP. – O cliente e o servidor utilizam a porta UDP 1701 para negociar os túneis L 2 TP. – Túneis são usualmente criados automaticamente pelo NAS. 2006, Edgard Jamhour
Tunelamento L 2 TP • O tunelamento no L 2 TP é feito com o auxílio do protocolo UDP. • Observe como o L 2 TP é construído sobre o protocolo PPP. 2006, Edgard Jamhour
Tipos de VPN de Acesso • As VPNs de acesso podem ser de dois tipos, dependendo do ponto onde começa a rede segura: A) Iniciada pelo Cliente B) Iniciada pelo Servidor de Acesso a Rede (NAS) 2006, Edgard Jamhour
Iniciada pelo Cliente PPTP MODEM USUÁRIO REMOTO PPP REDE TELEFÔNICA MODEM NAS PSTN MODEM ISP SERVIDOR EMPRESA INTERNET PROVEDOR DE ACESSO A INTERNET TUNEL 2006, Edgard Jamhour
Iniciada pelo Servidor de Acesso a Rede (NAS) MODEM PPP MODEM USUÁRIO REMOTO PPP REDE TELEFÔNICA PSTN NAS MODEM ISP PPTP SERVIDOR INTERNET PROVEDOR DE ACESSO A INTERNET TUNEL EMPRESA 2006, Edgard Jamhour
Conexão L 2 TP Típica MODEM PPP MODEM USUÁRIO REMOTO PSTN PPP MODEM LAC MODEM LNS INTERNET USUÁRIO REMOTO LAC: L 2 TP Access Concentrator LNS: L 2 TP Network Server L 2 TP TUNEL EMPRESA 2006, Edgard Jamhour
L 2 TP • Possui suporte as seguintes funções: – – Tunnelamento de múltiplos protocolos Autenticação Anti-spoofing Integridade de dados • Certificar parte ou todos os dados – Padding de Dados • Permite esconder a quantidade real de dados Transportados • Não possui suporte nativo para criptografia. • Para se obter criptografia, o L 2 TP deve ser combinado com o IPsec. 2006, Edgard Jamhour
Conclusão • SSL: – Segurança fim-a-fim entre aplicações. – Necessita que as aplicações sejam reescritas. – Protege a camada de aplicação e os dados. • VPN: – – Segurança implementada pela rede. É transparente para as aplicações. Protege as camadas de rede, transporte e aplicação. Cria um único ponto de entrada para acesso de usuários externos na rede. 2006, Edgard Jamhour
- Edgard jamhour
- Url
- No texto citado o pensador contemporâneo edgard
- Promotion from associate professor to professor
- Ipsec vs ssl vpn
- Spispy
- Nice 2006
- Paula hurlock birthday
- Maturita 2006
- T.trimpe 2006
- Ibraop projeto básico
- Pengiktirafan ukm 2006
- Actuaries act 2006
- 2006
- 31 desember 2006
- T. trimpe 2006 http //sciencespot.net/
- Sentencia c-355 de 2006
- January 13 2006 calendar
- T.trimpe 2006 http sciencespot.net
- 4 teras utama misi nasional 2006 hingga 2020
- 2006 - 1971
- Http sciencespot.net
- Hối phiếu
- Apec 2006
- T. trimpe 2006 http://sciencespot.net/
- 2006 ipod
- Copyright 2006
- 2006
- 6 november 2006
- Xxxx 2006
- T.trimpe 2006 http sciencespot.net
- Contoh surat penghapusan piutang tak tertagih
- T. trimpe 2003 http://sciencespot.net/
- T. trimpe 2006 http://sciencespot.net/
- Takahashi
- 2 mars 2006
- Vpnv
- T. trimpe 2006 http //sciencespot.net/
- Friday prayer chant
- Adler and rodman 2006
- Regulation 1107/2006
- Okada
- Boardworks ltd 2011
- T. trimpe 2006 http //sciencespot.net/