VPNs Virtual Private Networks Pedro da Fonseca Vieira

VPNs: Virtual Private Networks Pedro da Fonseca Vieira 2000/1

Índice 1) Introdução: Rede Virtual Privada 2) Fundamentos 3) Aplicações 4) Requisitos Básicos 5) Tunelamento - Introdução - Protocolos e Funcionamento 6) IP Seguro - AH, ESP e ISKMP 7) Conclusões 8) Bibliografia 9) Perguntas

VPNs - Introdução “Rede Privada” Rede que contém circuitos alugados privados entre dois pontos “Rede Virtual Privada” Rede que provê circuitos virtuais utilizando as facilidades de uma rede já existente onde se tem a impressão de rede privada real Flexibilidade “(. . . ) sua capacidade de conectar locais geograficamente distantes utilizando a Internet (. . . )” [1] Custo “(. . . ) ao invés de pagar por uma linha internacional privada, paga-se somente a conexão com o ISP local de cada localidade, e investimento em criptografia (. . . ) ” [2]

VPNs - Fundamentos Seu objetivo: Utilizar uma rede pública como a Internet em vez de linhas privativas para implementar redes corporativas Seu funcionamento: As VPNs são túneis de criptografia entre pontos autorizados, criados através da Internet (ou de outras redes) para transferência de informações de modo seguro entre usuários remotos ou entre redes corporativas. Sua padronização: O IPSec é um protocolo padrão projetado pelo IETF que oferece transferência segura de informações fim através de rede IP pública ou privada. Seu custo comparativo: Pode ser bastante interessante sob o ponto de vista econômico, sobretudo nos casos em que enlaces internacionais ou nacionais de longa distância estão envolvidos

VPNs - Aplicações Acesso remoto via Internet: Usuário com ligação local discada a algum provedor de acesso (Internet Service Provider ISP). O software de VPN cria uma rede virtual privada entre o usuário remoto e o servidor de VPN corporativo através da Internet. Conexão de LANS via Internet: Uma solução que substitui as conexões entre LANs através de circuitos dedicados de longa distância é a utilização de circuitos dedicados locais interligando-as à Internet. O software de VPN assegura esta interconexão formando a WAN corporativa. Conexão numa Intranet: Formação que redes departamentais virtuais na mesma Intranet utilizando VPN para isolamento criptográfico de informações restritas a pequeno grupo de usuários.

VPNs - Requisitos Básicos Integridade Autenticação de Usuário: Verificação da identidade do usuário, restringindo o acesso às pessoas autorizadas. Deve dispor de mecanismos de auditoria, provendo informações referentes aos acessos efetuados quem acessou, o quê e quando foi acessado. Gerenciamento de Endereços: O endereço do cliente na sua rede privada não deve ser divulgado, devendo-se adotar endereços fictícios para o tráfego externo. Criptografia de Dados: O reconhecimento do conteúdo das mensagens deve ser exclusivo dos usuários autorizados. Privacidade Gerenciamento de Chaves: O uso de chaves que garantem a segurança das mensagens criptografadas deve funcionar como um segredo compartilhado exclusivamente entre as partes envolvidas. O gerenciamento de chaves deve garantir a troca periódica das mesmas, por questões de segurança. Suporte a múltiplos protocolos: Com a diversidade de protocolos existentes, torna-se bastante desejável que uma VPN suporte protocolos padrão de fato usadas nas redes públicas, tais como IP (Internet Protocol), IPX (Internetwork Packet Exchange), etc.

Tunelamento - Introdução Túnel é a denominação do caminho lógico percorrido pelo pacote ao longo da rede intermediária. O processo de tunelamento envolve criptografia, encapsulamento, transmissão ao longo da rede intermediária, desencapsulamento e descriptografia. Encapsulamento Cabeçalho adicional que contém informações de roteamento que permitem a travessia dos pacotes Suporte multi-protocolo (pacotes IPX encapsulados como pacotes IP, por exemplo) de o l o oc t o r to P n e m la e n u t Criptografia Pacote ilegível em caso de interceptação na transmissão

Tunelamento - Protocolos e Funcionamento Tunelamento em Nível Enlace Tunelamento em Nível Rede Quadros como unidade de troca, encapsulando os pacotes da camada 3 (ex: IPX, IP) em quadros PPP. Encapsulam pacotes IP com um cabeçalho adicional deste mesmo protocolo antes de enviá-los. PPTP (Point-to-Point Tunneling Protocol) da Microsoft permite que o tráfego IP, IPX e Net. BEUI sejam criptografados e encapsulados para serem enviados através de redes IP privadas ou públicas como a Internet. L 2 TP (Layer 2 Tunneling Protocol) da IETF permite que o tráfego IP, IPX e Net. BEUI sejam criptografados e enviados através de canais de comunicação de datagrama ponto tais como IP, X 25, FR ou ATM. L 2 F (Layer 2 Forwarding) da Cisco é utilizada para VPNs discadas. IPSec (Secure IP) - protocolo desenvolvido para IPv 6, devendo, no futuro, se constituir como padrão para todas as formas de VPN. Negociação • Criptografia • Compressão • Endereçamento Criação / Manutenção / Encerramento (Nível 2)

IPSec - Introdução e Mecanismos O IPSec é um protocolo padrão de camada 3 projetado pelo IETF que oferece transferência segura de informações fim através de rede IP pública ou privada. Pega pacotes IP, realiza funções de segurança de dados como criptografia, autenticação e integridade, e então encapsula esses pacotes protegidos em outros pacotes IP. Requisitos de Segurança • Autenticação e Integridade • Confidencialidade Mecanismos do IPSec • AH • ESP • ISAKMP Autentication Header Encapsulation Security Payload Internet Security Association and Key Management Protocol Negociação do Nível de Segurança - ISAKMP Trata-se de um protocolo que rege a troca de chaves criptografadas utilizadas para decifrar os dados. Ele define procedimentos e formatos de pacotes para estabelecer, negociar, modificar e deletar as SAs (Security Associations), que contêm todas as informações necessárias para serviços de segurança. • Negociação completa de uma só vez • Eliminação das redundâncias de segurança a nível de protocolo

IPSec - Mecanismos (continuação) Autenticação e Integridade - AH A autenticação garante que os dados recebidos correspondem àqueles originalmente enviados, assim como garante a identidade do emissor. Integridade significa que os dados transmitidos chegam ao seu destino íntegros, eliminando a possibilidade de terem sido modificados no caminho sem que isto pudesse ser detectado. • Inclusão de informação para autenticação no pacote • Algoritmo aplicado sobre o conteúdo dos campos do datagrama IP (todos os cabeçalhos e dados do usuário) Confidencialidade - ESP Propriedade da comunicação que permite que apenas usuários autorizados entendam o conteúdo transportado. O mecanismo mais usado para prover esta propriedade é chamado de criptografia. • Autenticação da origem dos dados • Integridade da conexão • O datagrama IP é encapsulado inteiro dentro do ESP

Conclusões As VPNs podem se constituir numa alternativa segura para transmissão de dados através de redes públicas ou privadas Qo. S Em aplicações onde o tempo de transmissão é crítico, o uso de VPNs através de redes externas ainda deve ser analisado com muito cuidado, pois podem ocorrer problemas de desempenho e atrasos na transmissão sobre os quais a organização não tem nenhum tipo de gerência ou controle. A decisão de implementar ou não redes privadas virtuais requer uma análise criteriosa dos requisitos, principalmente aqueles relacionados a segurança, custos, qualidade de serviço e facilidade de uso que variam de acordo com o negócio de cada organização.

Bibliografia • “Understanding Secure Virtual Private Networking”, Nokia IP Inc. , Issue 0. 9, 1997 • “VPNs: Reality Behind the Hype”, Steven Taylor, Distributed Networking Associates, 1999 • “Choix VPN: Frame Relay ou IP? ”, France Telecom, 1998 • “The Internet, Intranets, Extranets - and VPNs”, Gary C. Kessler, Sym. Quest Group, 1999 • “VPN Services for Enterprise Customers”, Susan Scheer, CISCO Sytems Inc. , 1998 • “PPTP e VPNs”, Liou Kuo Chin, RNP, 1999. Perguntas