TRABALHO - VPN

Faculdade de Tecnologia do Nordeste - FATENE

Segurança na Internet

Professor Izequiel Pereira de NorõesEquipe:

Maxmiano

Pedro Correia

Lindemberg Rego

Contruindo VPNs

Virtual Private Networks

FATENE – WEB 15 - VPN

VPNVPN

Conceito

Tipos

Protocolos utilizados

Plataformas

Implementação

ROTEIRO


VPNVPN CONCEITO

Rede Privada Virtual - uma conexão onde o

acesso e a troca de dados somente é

permitido a usuários e/ou redes que façam

parte de uma comunidade de interesse,

criados através da Internet ou outras redes

públicas ou privadas para transferência de

informações, de modo seguro, entre redes

corporativas ou usuários remotos.


VPNVPN

Uma VPN pode interligar duas ou mais redes

via Internet ou através de um link privado, o

que possibilita estabelecer um TÚNEL que

passa através dessa VPN.

CONCEITO..


VPNVPN

Um dos modos de utilizanção técnica é

chamada de tunelamento, pacotes de dados

são transmitidos na rede pública - como por

exemplo a Internet - em um túnel privado que

simula uma conexão ponto-a-ponto.

COMO FUNCIONA?


VPNVPN

VPN se baseia na tecnologia de tunelamento.

Consiste em encapsular um protocolo dentro de outro.

O protocolo de tunelamento encapsula o protocolo que será transportado, e o cabeçalho do protocolo que encapsulou vai fornecer o destino do pacote do protocolo transportado.

O QUE SE BASEIA UMA VPN?


VPNVPN

Virtual Leased Line Network (VLL)

Onde dois usuários estão conectados por um túnel IP que emula um circuito físico dedicado ou uma linha privada. O backbone IP é usado como entidade de enlace, transporte fim a fim, de forma transparente para o backbone. Através de um servidor pode-se abrir vários túneis VLL.

TIPOS DE VPN


VPNVPN

Virtual Private Routed Network (VPRN)

Emulação de uma WAN com vários sites usando IP. Uma WAN se caracteriza pela necessidade de uma configuração de endereços no nível de usuário da VPN e de provedor de serviço de rede. Ela consiste de uma rede de topologia não organizada (rede mesh) entre os roteadores do provedor de serviço. O VPRN permite também controle de tráfego nos nós da rede evitando congestionamento.

TIPOS DE VPN


VPNVPN

Virtual Private Dial Network (VPDN)

Permite aos usuário terem acesso remoto via PPP (Point-to-Point Protocol). Neste caso a autenticação é feita via servidor RADIUS por exemplo. Esta permite o uso do IPSec ou L2TP.

Virtual Private Lan Segment (VPLS)

Emula um segmento de rede local usando o backbone IP. A VPLS é utilizada para prover o serviço de LAN transparente, e oferece serviço semelhante à emulação de LAN do ATM. Esta também oferece completa transparência aos protocolos com tunelamento multiprotocololar, e suporte a Broadcast e Multicast.

TIPOS DE VPN


VPNVPN

Permite tráfego de dados de várias fontes para diversos destinos em uma mesma infra-estrutura

Permite trafegar diferentes protocolos em uma mesma infra-estrutura a partir de encapsulamento

Permite garantia de QoS - tráfego de dados pode ser direcionado para destinos específicos

TECNOLOGIA TUNELAMENTO


VPNVPN

Túnel é a denominação do caminho lógico percorrido pelos pacotes encapsulados.

A rede VPN poder ser construída sobre uma rede pública (Internet) ou privada.


VPNVPN

GRE - Generic Routing Encapsulation Ponto-a-ponto Configurado entre um roteador-fonte e um

roteador-destino Pacotes a serem enviados pelo túnel são

encapsulados com o cabeçalho GRE

TúnelTúnel

Rede IPRede IP

Roteador-fonteRoteador-fonte Roteador-destinoRoteador-destino

PacotesPacotes

Inclusão do cabeçalho GREEndereço dos pacotes = endereço do fim do túnel

Retirada do cabeçalho GREEndereço dos pacotes = endereço original

TECNOLOGIA TUNELAMENTO


VPNVPN

L2TP - Layer 2 Tunneling Protocol Túneis iniciados pelo servidor de acesso Túneis estáticos Controle nas mãos do NSP

PPTP - Point-to-point Tunneling Protocol Túneis iniciados pelo usuário Túneis “on-demand” Controle nas mãos do usuário

Ambos permitem comutação de túneis e encapsulamento de pacotes

Ambos permitem comutação de túneis e encapsulamento de pacotes

TUNELAMENTO em VPDNs


VPNVPN

L2TP protocolo V.x

Protocolo de acesso PPP

Provedor de Acesso Internet ou VPN

Servidor de Acesso de Acesso L2TPServidor

Usuário

Acesso IP discado

Interface Serial

Interface Virtual PPTP

Usuário Servidor de Acesso de Acesso PPTPServidor

Protocolo de acesso PPP

L2TP

PPTP em VPDNs

TUNELAMENTO em VPDNs


VPNVPN MOTIVAÇÃO PARA O USO

Rede facilmente escalável Rápidez na instalação de novos sites Facilidade de aumento de banda

Gerenciamento/Controle Autenticação de usuários Privilégios de acesso Segurança Mudanças na rede


VPNVPN

Autenticação

Origem dos dados faz parte da comunidade?

Controle de Acesso

Negar acesso a usuário não autorizados à rede ou partes

da rede

Confidencialidade

Previnir a leitura ou cópia dos dados durante a passagem pela rede

Integridade de Dados

Garantir que os dados não são adulterados durante a

passagem pela rede

CHAPRADIUS

CERTIFICADOS

CHAPRADIUS

CERTIFICADOS

ENCRIPTAÇÃO DE DADOS

ENCRIPTAÇÃO DE DADOS

TECNOLOGIA - SEGURANÇA


VPNVPN VPN - Virtual Private Network

Uma rede VPN utiliza um padrão de criptografia mundial, criado pelo IETF (Internet Engineering Task Force), o que torna todo o tráfego de informação nesse túnel, seguro.


VPNVPN

Três aplicações ditas mais importantes para as VPNs:

Acesso remoto via Internet.

Conexão de LANs via Internet.

Conexão de computadores numa Intranet.

Aplicações para VPN


VPNVPN Acesso remoto via Internet - Fonte: RNP


VPNVPN Acesso remoto via Internet

O acesso remoto a redes corporativas através da Internet pode ser viabilizado com a VPN através da ligação local a algum provedor de acesso (Internet Service Provider - ISP).


VPNVPN

A estação remota disca para o provedor de acesso, conectando-se à Internet e o software de VPN cria uma rede virtual privada entre o usuário remoto e o servidor de VPN corporativo através da Internet.

Acesso remoto via Internet


VPNVPN Conexão de LANs via Internet


VPNVPN

Uma solução que substitui as conexões entre LANs através de circuitos dedicados de longa distância é a utilização de circuitos dedicados locais interligando-as à Internet.

O software de VPN assegura esta interconexão formando a WAN corporativa.

Conexão de LANs via Internet


VPNVPN Conexão de Computadores numa Intranet



Em algumas organizações, existem dados confidenciais cujo acesso é restrito a um pequeno grupo de usuários.

Nestas situações, redes locais departamentais são implementadas fisicamente separadas da LAN corporativa.



Esta solução, apesar de garantir a "confidencialidade" das informações, cria dificuldades de acesso a dados da rede corporativa por parte dos departamentos isolados.



As VPNs possibilitam a conexão física entre redes locais, restringindo acessos indesejados através da inserção de um servidor VPN entre elas.

Observe que o servidor VPN não irá atuar como um roteador entre a rede departamental e o resto da rede corporativa uma vez que o roteador possibilitaria a conexão entre as duas redes permitindo o acesso de qualquer usuário à rede departamental sensitiva.


VPNVPN

Com o uso da VPN o administrador da rede pode definir quais usuários estarão credenciados a atravessar o servidor VPN e acessar os recursos da rede departamental restrita.

Conexão de Computadores numa Intranet


VPNVPN

Adicionalmente, toda comunicação ao longo da VPN pode ser criptografada assegurando a "confidencialidade" das informações.

Os demais usuários não credenciados sequer enxergarão a rede departamental.

Conexão de Computadores numa Intranet


VPNVPN Requisitos básicos

Autenticação de usuários.

Gerenciamento de endereço.

Criptografia de dados.

Gerenciamento de chaves.

Suporte a múltiplos protocolos.


VPNVPN Autenticação de Usuários

Verificação da identidade do usuário, restringindo o acesso às pessoas autorizadas. Deve dispor de mecanismos de auditoria, provendo informações referentes aos acessos efetuados - quem acessou, o quê e quando foi acessado.


VPNVPN Gerenciamento de Endereço

O endereço do cliente na sua rede privada não deve ser divulgado, devendo-se adotar endereços fictícios para o tráfego externo.


VPNVPN Criptografia de Dados

Os dados devem trafegar na rede pública ou privada num formato cifrado e, caso sejam interceptados por usuários não autorizados, não deverão ser decodificados, garantindo a privacidade da informação.

O reconhecimento do conteúdo das mensagens deve ser exclusivo dos usuários autorizados.


VPNVPN Gerenciamento de Chaves

O uso de chaves que garantem a segurança das mensagens criptografadas deve funcionar como um segredo compartilhado exclusivamente entre as partes envolvidas.

O gerenciamento de chaves deve garantir a troca periódica das mesmas, visando manter a comunicação de forma segura.


VPNVPN Suporte a Múltiplos Protocolos

Com a diversidade de protocolos existentes, torna-se bastante desejável que uma VPN suporte protocolos usadas nas redes públicas, tais como IP (Internet Protocol), IPX (Internetwork Packet Exchange), .


VPNVPN Tunelamento


VPNVPN Tunelamento em Nível 2 Enlace - (PPP sobre IP)

O objetivo é transportar protocolos de nível 3, tais como o IP e IPX na Internet.

Os protocolos utilizam quadros como unidade de troca, encapsulando os pacotes da camada 3 (como IP/IPX) em quadros PPP (Point-to-Point Protocol).


VPNVPN Como exemplos podemos citar:

PPTP (Point-to-Point Tunneling Protocol) da Microsoft permite que o tráfego IP, IPX e NetBEUI sejam criptografados e encapsulados para serem enviados através de redes IP privadas ou públicas como a Internet.


VPNVPN Como exemplos podemos citar:

L2TP (Layer 2 Tunneling Protocol) da IETF (Internet Engineering Task Force).

Permite que o tráfego IP, IPX e NetBEUI sejam criptografados e enviados através de canais de comunicação de datagrama ponto a ponto tais como IP, X25, Frame Relay ou ATM.

L2F (Layer 2 Forwarding) da Cisco é utilizada para VPNs discadas.


VPNVPN Tunelamento em Nível 3 - Rede (IP sobre IP)

Encapsulam pacotes IP com um cabeçalho adicional deste mesmo protocolo antes de enviá-los através da rede.

O IP Security Tunnel Mode (IPSec) da IETF permite que pacotes IP sejam criptografados e encapsulados com cabeçalho adicional deste mesmo protocolo para serem transportados numa rede IP pública ou privada.


VPNVPN Tunelamento em Nível 3 Rede - (IP sobre IP)

O IPSec é um protocolo desenvolvido para IPv6, devendo, no futuro, se constituir como padrão para todas as formas de VPN caso o IPv6 venha de fato substituir o IPv4.

O IPSec sofreu adaptações possibilitando, também, a sua utilização com o IPv4.


VPNVPN Tipos de túneis

Os túneis podem ser criados de duas diferentes formas - voluntárias e compulsórias:

Túnel Voluntário

Túnel Compulsório


VPNVPN Túnel Voluntário

O computador do usuário funciona como uma das extremidades do túnel e, também, como cliente do túnel e emite uma solicitação VPN para configurar e criar um túnel voluntário entre duas máquinas, uma máquina em cada rede privada, e que são conectadas via Internet.


VPNVPN VPN entre duas máquinas


VPNVPN Túnel Compulsório

O computador do usuário não funciona como extremidade do túnel.

Um servidor de acesso remoto, localizado entre o computador do usuário e o servidor do túnel, funciona como uma das extremidades e atua como o cliente do túnel.

Um servidor de acesso discado VPN configura e cria um túnel compulsório.


VPNVPN Tunelamento compulsório



O computador ou dispositivo de rede que provê o túnel para o computador-cliente é conhecido de diversas formas:

FEP (Front End Processor) no PPTP, LAC (L2TP Access Concentrator) no L2TP IP Security Gateway no caso do IPSec.


VPNVPN

Doravante, adotaremos o termo FEP para denominar esta funcionalidade - ser capaz de estabelecer o túnel quando o cliente remoto se conecta.

Tunelamento compulsório



No caso da Internet, o cliente remoto faz uma conexão discada para um túnel habilitado pelo servidor de acesso no provedor (ISP).


Por exemplo, uma companhia pode ter um contrato com uma ou mais provedores para disponibilizar um conjunto de FEPs em âmbito nacional.



Estas FEPs podem estabelecer túneis sobre a Internet para um servidor de túnel conectado à rede corporativa privada, possibilitando a usuários remotos o acesso à rede corporativa através de uma simples ligação local.



No tunelamento compulsório, o cliente faz uma conexão PPP.

Um FEP pode ser configurado para direcionar todas as conexões discadas para um mesmo servidor de túnel ou, alternativamente, fazer o tunelamento individual baseado na identificação do usuário ou no destino da conexão.


VPNVPN

Quando um cliente disca para o servidor de acesso (FEP) e já existe um túnel para o destino desejado, não se faz necessária a criação de um novo túnel redundante.

O próprio túnel existente pode transportar, também, os dados deste novo cliente.



VPNVPN IPSEC – Internet Protocol Security

O IPSec é um protocolo padrão de camada 3 projetado pelo IETF que oferece transferência segura de informações fim a fim através de rede IP pública ou privada.


VPNVPN

Essencialmente, ele pega pacotes IP privados, realiza funções de segurança de dados como criptografia, autenticação e integridade, e então encapsula esses pacotes protegidos em outros pacotes IP para serem transmitidos.

IPSEC – Internet Protocol Security

As funções de gerenciamento de chaves também fazem parte das funções do IPSec.


VPNVPN

Tal como os protocolos de nível 2, o IPSec trabalha como uma solução para interligação de redes e conexões via linha discada.

Ele foi projetado para suportar múltiplos protocolos de criptografia possibilitando que cada usuário escolha o nível de segurança desejado.



VPNVPN

Requisitos de segurança

Autenticidade

Integridade

Confidencialidade



VPNVPN

Para implementar estas características, o IPSec é composto de 3 mecanismos adicionais:

AH - Autentication Header. ESP - Encapsulation Security Payload. ISAKMP - Internet Security Association and

Key Management Protocol.



VPNVPN Implementação

Windows XP

Ao Vivo

Modo Servidor e Cliente

Documents

TRABALHO - VPN