IMPLEMENTANDO VPN UTILIZANDO A FERRAMENTA VTUN

Andr Peres; Lcio Gonalves; Mrcio Catafesta.

ULBRA - Universidade Luterana do Brasil
Faculdade de Informtica
professor orientador {peres@ulbra.tche.br}

Resumo:

A necessidade da troca de informaes sigilosas de forma segura e com baixos custos

tornou-se um problema para a maioria das empresas que possuem seus dados estruturados
atravs de redes de computadores. O avano e a criao de tecnologias que buscam
solucionar estas questes tm sido um dos maiores desafios na rea da computao.
Algoritmos criptogrficos, protocolos de segurana, meios de comunicao seguros, so
alguns dos itens primordiais para que esta informao possa trafegar em ambientes livres de
interferncias externas. A VPN Rede Privada Virtual uma das solues mais viveis
presentes no atual mercado da informtica. Neste artigo, sero mostrados os principais itens
desta tecnologia, implementado-a no sistema operacional Linux, utilizando a ferramenta
Vtun, a fim de posicion-la como uma alternativa segura e economicamente atrativa para
organizaes privadas e estatais.
Palavras-chaves:

Criptografia; Redes de Computadores; Segurana em Redes; VPN;

Vtun.
1. Introduo:
Em anos recentes, conforme mais empresas passaram a requerer conexes de rede a
escritrios centrais, a necessidade de comunicaes baratas e seguras com usurios e
escritrios remotos cresceu. Embora sabia-se que eram confiveis e seguras, circuitos

dedicados e linhas privadas podes adicionar gastos volumosos para uma grande parte de
empresas.
Uma virtual Private Network (VPN rede privada virtual) simula uma rede privada
utilizando a infra-estrutura de rede pblica existente, geralmente a internet. A rede
chamada de virtual porque usa uma conexo lgica construda em conexes fsicas. Os
aplicativos do cliente no esto cientes da conexo fsica real e trafegam em rotas seguras
pela internet da mesma maneira com que o trfego em uma rede privada roteado com
segurana. Quando uma VPN configurada e iniciada, os aplicativos no sero capazes de
perceber a diferena entre o adaptador virtual e um adaptador fsico. Porm, pelo fato da
Internet ser uma rede pblica e aberta, faz-se necessria a incluso de tcnicas de
criptografia, para que os dados corporativos (em muitos casos, sigilosos) em transito entre
os ns da VPN no sejam interceptados nem corrompidos por terceiros.
2. Como Funciona uma Virtual Private Network.

Para emular um vnculo de rede privada, a VPN encapsula os dados, utilizando um

cabealho que fornece informaes de roteamento, o qual permite que os dados trafeguem
na rede pblica (normalmente a Internet) desde a fonte at o destino. Para emular o vnculo
privado, a VPN criptografa os dados encapsulados antes de serem enviados para garantir a
confiabilidade, autenticidade e segurana.
Os pacotes que so interceptados na rede pblica so ilegveis sem as chaves de
criptografia. Um vnculo no qual os dados so encapsulados e criptografados conhecido
como um conexo VPN ou de tnel.

2.1 Tnel
O termo tnel usado porque a conexo de tnel estabelece um vnculo entre dois sistemas
que so independentes da nota real. Ao estabelecer um vnculo entre dois computadores
distantes, como, por exemplo um em Porto Alegre e outro em So Paulo, pode-se levar 12

saltos entre pontos na internet para que exista a comunicao. Entretanto ao estabelecer um
tnel na internet entre os dois computadores, um pode se comunicar diretamente com o
outro. Isso possvel porque o tnel segue uma rota lgica direta em vez de uma rota fsica
indireta. Com uma rota lgica direta, o aplicativo no est ciente do nmero real de saltos
que leva entre o cliente e o servidor de tunelamento. Ao contrrio, ele v o tnel como um
salto nico.

Figura 1: Processo Bsico de Tunelamento. [KOL02]

3. Segurana
Segurana em geral a primeira preocupao de uma empresa interessada em utilizar
VPNs baseadas em Internet. Acostumadas com a privacidade garantida pelas redes
corporativas, muitas empresas podem considerar a Internet como ambiente hostil para a
criao de uma rede privada. Mas tomando as devidas precaues, a Internet pblica pode
ser tornada to privada quanto a rede pblica de telefonia comutada.
A maior preocupao de que as informaes privadas (confidenciais) poderiam ser
acessadas (interceptadas) enquanto em trnsito ou diretamente de servidores ou ns da rede.
Devido a essa possibilidade, inmeras medidas robustas de segurana esto agora
disponveis para manter os dados transmitidos estritamente confidenciais assim como evitar
que usurios no autorizados consigam acessar os recursos internos das redes privadas.
Uma VPN consiste basicamente de hardware e software, mas ela tambm requer um
conjunto

de

componentes

bsicos.

Estes

componentes

garantem

segurana,

disponibilidade e facilidade de manuteno de uma VPN. Os principais componentes extras

de uma VPN so:

Compatibilidade: deve-se manter a compatibilidade entre a transmisso de dados

cifrados e a internet, permitindo a troca de informaes atravs dessa rede;

Segurana: os aspectos de confiabilidade, integridade e autenticidade devem ser

mantidos no transporte de dados.

Overhead: o aumento de informaes de controle deve ser compatvel com a

comunicao realizada. Ao aumentar-se muito o nmero de informaes de controle,
tende-se a diminuir o desempenho da comunicao.
4. Vtun

A ferramenta Vtun [TUN03] utilizada para criao de tneis virtuais sobre redes TCP/IP.
Suporta uma variedade de tipos de tunelamento e disponibilizando uma forte encriptao e
compresso de pacotes.
Vtun possibilita o uso dos protocolos TCP ou UDP permitindo, um maior controle da
conexo, ou uma conexo com menor overhead.
A ferramenta permite uma forte compresso de pacotes usando zlib (suportado apenas sobre
TCP) e lzo suportado por UDP e TCP.
A forma de encriptao usada autenticao baseada em desafio permitindo que passwords
no passem em claro e uso de chaves BlowFish de 128 Bits com rpida encriptao.
O algoritmo de criptografia Blowfish um algoritmo simtrico de blocos que pode ser
usado em substituio ao DES ou IDEA. Ele toma uma chave de tamanho varivel, de 32 a
448 bits, tornando-o ideal para aplicaes tanto domsticas, quanto comerciais. O Blowfish
foi desenvolvido em 1993 por Bruce Schneier como uma alternativa pblica mais rpida
para os algoritmos criptogrficos existentes. Desde ento ele vem sendo analisado de forma
considervel e est conquistando a aceitao do mercado como um algoritmo forte.
5

Implementando uma VPN em Linux

Para configurar uma VPN necessrio escolher o sistema operacional dos gateways e a
ferramenta que eles utilizaro para implementar um dos protocolos anteriores citados.
Existem inmeras ferramentas disponveis, com preos variados ou at gratuitas. Isso

depende principalmente do sistema operacional utilizado e do tipo de suporte que se deseja

obter. Este trabalho preocupou-se com dois fatores bsicos: segurana e baixo custo de
implementao. Por isso, foi utilizado o Linux, Red Hat 8.0 [LIN08], sistema operacional
bastante flexvel, podendo ser configurado com o mnimo de opes possveis,
possibilitando maior segurana da rede.
A ferramenta adotada para a configurao da VPN no sistema operacional acima citado foi
o Vtun.
5.1 Instalao do Vtun
Para instalar o Vtun necessrio obter o programa e as bibliotecas zlib e lzo disponveis no
site http://vtun.sourceforge.net, conforme mostra a figura abaixo.

Figura 2: Pgina com o programa Vtun

Para instalar o Vtun utiliza-se o comando rpm ivh vtun 2.6-1.rh80.i386.rpm, conforme
mostra a figura abaixo.

Figura 3: instalao do Vtun.

O arquivo de configurao do Vtun localiza-se no diretrio /etc/vtund.conf . Primeiro

configura-se o servidor conforme mostra a figura abaixo.

Figura 4: Configurao do Servidor

Lion
Password
Ethernet tunnel
Device tap0
UDP protocol
Lzo compression level 1
Encription
Log connection statistic
Keep conection live

Nome da Sesso. Deve ser o mesmo no servidor e no cliente.

Senha utilizada. Deve-se utilizar a mesma no servidor e no
cliente (criptografia simtrica).
Tnel estabelecido na rede ethernet (cifra os dados acima do
nvel de enlace).
Cria-se uma interface tap0
A sesso foi estabelecida usando o protocolo UDP.
A compresso utilizada foi 1 . A compresso mxima que a Lzo
aceita 9.
Yes, os dados so enviados cifrados. No, os dados so
envidados sem criptografia.
Mantm registro com estatsticas da conexo.
Mantm a conexo. Sistematicamente uma mensagem
enviada, mantendo a conexo ativa.

Tabela 1: Configurao do servidor.

Depois configura-se os clientes conforme mostra a figura abaixo. Os parmetros de

configurao do cliente seguem a mesma estrutura apresentada na tabela 1, sendo
necessria configurao de apenas algumas variveis (variveis de cliente).

Figura 5: Configurao do cliente.

Depois de configurar o servidor e o cliente pode-se iniciar a VPN usando o comando vtund
s no servidor e vtund Lion 11.82.7.1 (ip do cliente) no cliente.
6

Concluso

Este artigo se props a mostrar como implementar uma VPN em ambiente Linux utilizando
a ferramenta Vtun, analisando funcionalidade e a segurana da mesma. Pde-se observar
que a VPN uma tecnologia em crescimento, sendo comercializada, por exemplo, pelas
principais empresas de telecomunicaes no Brasil e no mundo. So inmeros os servios
oferecidos por elas e por outras companhias que trabalham com interligao de redes.
Os resultados alcanados por este trabalho foram satisfatrios e, por no serem necessrios
equipamentos complexos e caros, esta tecnologia pode contribuir para a diminuio do
custo total de propriedade de uma empresa. A tendncia que ela seja ainda mais utilizada
com o desenvolvimento do acesso Internet em banda larga, tornando-se um atrativo para
qualquer tipo de organizao.

Referncias Biogrficas

1. [ARB01] ARBAUGHT, William A; et al. Your 802.11 Wireless Network has No

Clothes. Department of Computer Science - University of Maryland. . Disponvel na
INTERNET

via

URL:

http://www.cs.umd.edu/~waa/wireless.pdf.

Acesso

em

28/03/2003.
2. [FLE02] FLECK, Bob, POTTER, Bruce.; 802.11 Security, US: OReilly, 2002.
3. [FLU02] FLUHRER, Scott; et al. Weaknesses in the Key Scheduling Algorithm of
RC4.

Cisco

Systems

Inc.

Disponvel

na

INTERET

via

URL:

<http://www.cs.umd.edu/~waa/classpubs/rc4_ksaproc.ps> Acesso em 20/03/2003.

4. [GAS02] GAST, Mattew S.; 802.11 Wireless Networks: The Definitive Guide, US:
OReilly, 2002. [IEE03] IEEE Home Page. Disponvel na INTERNET via URL:
<http://www.ieee.org> Acesso em 05/04/2003.
5. [IEE03]

IEEE

Home

Page.

Disponvel

na

INTERNET

via

URL:

<http://www.ieee.org> Acesso em 05/04/2003.

6. [IPE03]

Project

Iperf.

Disponvel

na

INTERNET

vai

URL:

<http://dast.nlanr.net/Projects/Iperf> Acessado em 01/04/2003.

7. [KOL02] KOLENISKOV, Oleg; HATCH, Brian. Building Linux Virtual Private
Networks (VPNs). 1 Edio. EUA: New Riders, 2002. 385 p.
8. [LIN03]

Red

Hat

Home

Page.

Disponvel

<http://www.redhat.com> Acesso em 28/03/2003.

na

INTERNET

via

URL:

9. [PER03] PERES, Andr, WEBER, Raul, F.;Consideraes Sobre Segurana em

Redes Sem Fio, Workshop em Segurana de Sistemas computacionais (Wseg),
SBRC2003, 2003.
10. [TUN03] Vtun Virtual Tunnels over TCP/IP networks. Disponvel na INTERNET
via URL: <http://vtun.sourceforge.net> Acesso em 18/05/2003.
11. [VPN03] Linux VPN Masquerade How To. Disponvel na INTERNET via URL:
<http://www.linuxdoc.org/HOWTO/VPNMasquer

ade-HOWTO.html>

Acesso

em

17/03/2003.
12. [WAL01] WALKER, Jesse R. Unsafe at any key size; An analysis of the WEP
encapsulation. Intel Corporation, Oregon, 2000. . Disponvel na INTERNET via URL:
<http://grouper.ieee.org/groups/802/11/Documents/DocumentHolder/0-362.zip>
em 18/03/2003.

Acesso