Introduo s Redes Privadas Virtuais - VPN

Conceituao, Protocolos, ...

VPN - Virtual Private Network

O conceito de VPN surgiu a partir da necessidade de se utilizar redes de comunicao no confiveis

Por exemplo, para trafegar informaes de forma segura na Internet,.

VPN - Virtual Private Network

Uma VPN proporciona conexes somente permitidas a usurios, que estejam em redes distintas e que faam parte de uma mesma comunidade.

VPN

No passado, alto custo de links de comunicao dedicados e privados.

A Internet diminui esse custo.

Elementos de uma VPN

Tunelamento

Encapsulamento

Em redes de computadores, encapsulamento para incluir dados de protocolo de uma camada superior dentro de um protocolo de uma camada inferior.

Encapsulamento

Tunelamento

Um quadro Ethernet, contendo um IP na sua carga til, sado de um host 1 na rede Ethernet recebido por um roteador multiprotocolo, extremidade numa rede WAN.

Tunelamento

O roteador remove esse pacote IP, encapsula dentro de um pacote camada de rede da WAN, enviando-o at o roteador multiprotocolo na outra extremidade da rede WAN.

Tunelamento

O roteador remove o pacote IP recebido e envia a um host 2 na rede Ethernet remota.

Tnel

Tnel a denominao do caminho lgico percorrido pelos pacotes encapsulados. A rede VPN poder ser construda sobre uma rede pblica (Internet) ou uma rede privada.

VPN segura

No caso de VPN segura, acrescentada a criptografia, antes do tunelamento. Tunelamento VPN = [ pacote xxx ] + [ Criptografia do pacote xxx] + [ Encapsulamento do pacote criptografado sobre o pacote encapsulador]

VPN

Uma VPN pode interligar duas ou mais redes via Internet ou atravs de um link privado, o que possibilita estabelecer um tnel que passa atravs dessa VPN.

Um Protocolo de Tunelamento

A tunneling protocol is a network protocol which encapsulates a payload protocol, acting as a payload protocol.

Um Protocolo de Tunelamento

Reasons to tunnel include carrying a payload over an incompatible delivery network, or to provide a secure path through an untrusted network.

Tnel

Simula a conexo ponto-a-ponto requerida para a transmisso de pacotes atravs de uma rede pblica. Utilizam protocolos de tunelamento que permitem o trfego de dados de vrias fontes para diversos destinos. Diferentes protocolos podem ser usados:

Protocolos de Tunelamento

GRE (Generic Routing Encapsulation) da Cisco. L2TP (Layer 2 Tunneling Protocol) da IETF (Internet Engineering Task Force). PPTP (Point-to-Point Tunneling Protocol) da Microsoft.

GRE

Generic Routing Encapsulation (GRE) is a tunneling protocol designed to encapsulate a wide variety of network layer packets inside IP tunneling packets. The original packet is the payload for the final packet. The protocol is used on the Internet to secure virtual private networks.

Tunelamento IP IP tunneling is the process of embedding one IP packet inside of another, for the purpose of simulating a physical connection between two remote networks across an intermediate network.

Usando o Tunelamento IP

IP tunnels are often used in conjunction with IPSec protocol to create a VPN between two or more remote networks across a public network such as the Internet.

GRE Os tneis criados a partir do protocolo GRE (Generic Routing Protocol) so configurados entre os roteadores fonte e destino, respectivamente chegada e sada dos pacotes de dados.

GRE

GRE

Os pacotes a serem enviados atravs do tnel so encapsulados em um pacote GRE que contm um cabealho onde existe o endereo do roteador de destino.

GRE Os tneis implementados a partir do protocolo GRE so utilizados na:

interligao interligao

de redes LAN-to-LAN

de diferentes nodos de uma mesma rede pblica.

GRE Ao chegarem no roteador de destino, os pacotes so desencapsulados (retirada dos cabealhos GRE) e seguem at o destino determinado pelo endereo de seu cabealho original.

GRE

GRE was designed to be stateless (treats each request as an independent transaction that is unrelated to any previous request). An end-points do not monitor the state or availability of other end-point.

GRE This feature helps service providers support IP tunnels for clients, who won't know the service provider's internal tunneling architecture;

GRE

And it gives to the clients the flexibility of reconfiguring their IP architectures without worrying about connectivity. GRE creates a virtual point-to-point link with routers at remote points on an IP internetwork.

Tunelamento Nvel 3

Usa tunelamento nivel 3. Tem como objetivo transportar protocolos de nvel 3 encapsulados em pacotes IP.

Tunelamento Nvel 2

O objetivo transportar protocolos de nvel 3, tal como o IP da Internet, encapsulados em quadros da camada 2.

PPP encapsulando IP Utiliza-se quadros PPP (Point-to-Point Protocol), como unidades de troca de informao, encapsulando os pacotes IP Quadros PPoE encapsulando pacotes IP

PPTP (Point-to-Point Tunneling Protocol)

PPTP da Microsoft permite que pacotes IP em redes locais (como haviam IPX e NetBEUI), sejam criptografados e encapsulados para serem enviados atravs de redes IP privadas ou pblicas como a Internet.

L2TP (Layer 2 Tunneling Protocol)

L2TP da IETF (Internet Engineering Task Force).

PPTP e L2TP

Os protocolos PPTP e L2TP so utilizados em VPNs discadas, ou seja, proporcionam o acesso de usurios remotos acessando a rede corporativa atravs de modems de um provedor de acesso.

Protocolos L2TP e PPTP

L2TP

O L2TP um protocolo de tunelamento, sendo essencialmente um mecanismo para repassar o usurio a outro n da rede.

L2TP

No momento da conexo do usurio remoto com o provedor de acesso e aps a devida autenticao e configurao, um tnel estabelecido at um ponto de terminao predeterminado (um roteador, por exemplo), onde a conexo PPP encerrada.

Figura 2 Transporte da informao

Tipos de tneis Os tneis podem ser criados de duas diferentes formas - voluntrias e compulsrias:
Tnel Tnel

Voluntrio Compulsrio

Tnel Voluntrio

O computador do usurio funciona como uma das extremidades do tnel e, tambm, como cliente do tnel. E emite uma solicitao VPN para configurar e criar um tnel entre duas mquinas, uma em cada rede privada, e que so conectadas via Internet.

VPN entre duas mquinas

Tnel Compulsrio

O computador do usurio no funciona como extremidade do tnel. Um servidor de acesso remoto, localizado entre o computador do usurio e o servidor do tnel, funciona como uma das extremidades e atua como o cliente do tnel.

Tunelamento compulsrio

Tunelamento compulsrio

No caso da Internet, o cliente faz uma conexo para um tnel habilitado pelo servidor de acesso no provedor (ISP).

Tunelamento compulsrio

No tunelamento compulsrio com mltiplos clientes, o tnel s finalizado no momento em que o ltimo usurio do tnel se desconecta.

VPN com IPSec

Uma rede VPN pode utilizar o padro denominado IPSec, criado pelo IETF (Internet Engineering Task Force), o que torna todo o trfego de informao nesse tnel, seguro.

Implementaes de VPN

1. VPN formada por circuitos virtuais discados. 2. VPN formada por circuitos virtuais dedicados. 3. VPN utilizando a Internet. (o que interessa).
4. VPN IP fornecida por um provedor com backbone IP.

1 - Acesso Discado

1 - Acesso Discado

A implementao de um acesso discado VPN semelhante a uma conexo dial-up entre dois computadores em localidades diferentes.

A diferena que os pacotes so transferidos por um tnel e no atravs da simples conexo discada convencional.

1 - Acesso Discado

Por exemplo, um usurio em trnsito conecta-se com um provedor Internet atravs da Rede Pblica de Telefonia Comutada (RTPC) e atravs dessa conexo estabelece um tnel com a rede remota, podendo transferir dados com segurana.

2 - Acesso via Link Dedicado

2 - Acesso via Link Dedicado

O acesso por link dedicado, interligando dois pontos de uma rede, conhecido como LAN-to-LAN. No link dedicado as redes so interligadas por tneis que passam pelo backbone de rede pblica.

2 - Acesso via Link Dedicado

Por

exemplo, duas redes se interligam atravs de hosts com link dedicado, formando assim um tnel entre elas.

3 - Acesso via Internet

3 - Acesso via Internet

3 - Acesso via Internet

O acesso proporcionado por um provedor de acesso Internet (ISP). A partir de tneis que passam pela Internet, os pacotes so direcionados at o terminador do tnel em um n da rede corporativa.

3 - Acesso via Internet

Atualmente a maneira mais eficiente de conectar redes por meio da Internet atravs de um link dedicado de acesso como o ADSL.

Basta que as redes disponham de uma conexo dedicada como esta para que a VPN possa ser montada.

4 - VPN IP

Tipos de VPN IP

Existem alguns tipos de VPN IP disponibilizadas pelas prprias operadoras de servios de telecomunicaes.
A diferena entre uma e outra est nos tipos de servios disponibilizados para o usurio:

VPN IP baseada na rede da operadora

Totalmente gerenciada pelo provedor de servios. A tecnologia (ou lgica) fica sob responsabilidade da operadora.
No cliente instalado apenas um roteador e configurado o servio.

VPN IP com gesto de CPEs

CPE = (Customer Premises Equipments)

Managed CPE-based IP VPN

O provedor de servios instala e gerencia os CPEs que so os elementos de rede que ficam nas instalaes do cliente, alm de todos os outros dispositivos de conectividade;

VPN IP soluo In-House Nesse caso a empresa adquire equipamentos de um fabricante e o link para a conectividade com a operadora, sendo de sua responsabilidade a implantao e o gerenciamento da VPN.

VPN IP

A VPN IP oferece ainda a possibilidade de se realizar a comutao dos tneis aumentando a flexibilidade de configurao da rede corporativa. Pode-se configurar diversos destinos baseados no usurio.

VPN IP

Neste caso, um usurio de um setor da empresa pode ser interligado somente com o servidor especfico daquele setor, enquanto que um fornecedor que deseja consultar os estoques atuais de produtos, deve ter acesso apenas ao servidor que contm esta base de dados.

Outras Aplicaes para VPN na Internet

Acesso remoto via Internet. Conexo de LANs via Internet.

Conexo de computadores numa Intranet.

Acesso remoto via Internet O acesso remoto redes corporativas atravs da Internet pode ser viabilizado com a VPN atravs da ligao local a algum provedor de acesso (Internet Service Provider - ISP).

Acesso remoto via Internet - Fonte: RNP

Acesso remoto via Internet A estao remota disca para o provedor de acesso, conectando-se Internet e o software de VPN cria uma rede virtual privada entre o usurio remoto e o servidor de VPN corporativo atravs da Internet.

Conexo de LANs via Internet - Fonte: RNP

Conexo de LANs via Internet - Fonte: RNP

Uma soluo que substitui as conexes entre LANs atravs de circuitos dedicados de longa distncia a utilizao de circuitos dedicados locais interligando-as Internet. O software de VPN assegura esta interconexo formando a WAN corporativa.

Conexo numa Intranet - Fonte: RNP

Conexo de Computadores numa Intranet

Em algumas organizaes, existem dados confidenciais cujo acesso restrito a um pequeno grupo de usurios. Nestas situaes, redes locais departamentais so implementadas fisicamente separadas da LAN corporativa.

Conexo de Computadores numa Intranet Esta soluo, apesar de garantir a "confidencialidade" das informaes, cria dificuldades de acesso a dados da rede corporativa por parte dos departamentos isolados.

Conexo de Computadores numa Intranet

As VPNs possibilitam a conexo fsica entre redes locais, restringindo acessos indesejados atravs da insero de um servidor VPN entre elas.

Conexo de Computadores numa Intranet O servidor VPN no ir atuar como um roteador entre a rede departamental e o resto da rede corporativa uma vez que o roteador possibilitaria a conexo entre as duas redes permitindo o acesso de qualquer usurio rede departamental sensitiva.

Conexo de Computadores numa Intranet Com o uso da VPN o administrador da rede pode definir quais usurios estaro credenciados a atravessar o servidor VPN e acessar os recursos da rede departamental restrita.

Conexo de Computadores numa Intranet Adicionalmente, toda comunicao ao longo da VPN pode ser criptografada assegurando a "confidencialidade" das informaes. Os demais usurios no credenciados sequer enxergaro a rede departamental.

Benefcios das VPNs Seguras

Autenticao de usurios.
Gerenciamento de endereo. Criptografia de dados. Gerenciamento de chaves.

Suporte a mltiplos protocolos.

Autenticao de Usurios Verificao da identidade do usurio, restringindo o acesso s pessoas autorizadas. Deve dispor de mecanismos de auditoria, provendo informaes referentes aos acessos efetuados - quem acessou, o qu e quando foi acessado.

Gerenciamento de Endereo

O endereo do cliente na sua rede privada no deve ser divulgado, devendose adotar endereos fictcios para o trfego externo.

Criptografia de Dados Os dados devem trafegar na rede pblica ou privada num formato cifrado e, caso sejam interceptados por usurios no autorizados, no devero ser decodificados, garantindo a privacidade da informao.

Criptografia de Dados

O reconhecimento do contedo das mensagens deve ser exclusivo dos usurios autorizados.

Gerenciamento de Chaves O uso de chaves que garantem a segurana das mensagens criptografadas deve funcionar como um segredo compartilhado exclusivamente entre as partes envolvidas.

Gerenciamento de Chaves

O gerenciamento de chaves deve garantir a troca peridica das mesmas, visando manter a comunicao de forma segura.

Suporte a Mltiplos Protocolos Com a diversidade de protocolos existentes, torna-se bastante desejvel que uma VPN suporte protocolos usados nas redes pblicas, tal como IP (Internet Protocol).

IPSEC Internet Protocol Security O IPSec um protocolo padro de camada 3 projetado pelo IETF que oferece transferncia segura de informaes fim a fim atravs de rede IP pblica ou privada.

IPSEC Internet Protocol Security Essencialmente, ele pega pacotes IP privados, realiza funes de segurana de dados como criptografia, autenticao e integridade, e ento encapsula esses pacotes protegidos em outros pacotes IP para serem transmitidos.

IPSEC Internet Protocol Security

As funes de gerenciamento de chaves tambm fazem parte das funes do IPSec.

IPSEC Internet Protocol Security

Tal como os protocolos de nvel 2, o IPSec trabalha como uma soluo para interligao de redes e conexes via linha discada.

IPSec

IPSec foi projetado para suportar mltiplos protocolos de criptografia possibilitando que cada usurio escolha o nvel de segurana desejado.

IPSEC Internet Protocol Security

Requisitos de segurana
Autenticidade Integridade Confidencialidade

IPSEC Internet Protocol Security

Para implementar estas caractersticas, o IPSec composto de 3 mecanismos adicionais:

AH

- Autentication Header.
- Encapsulation Security Payload.

ESP

ISAKMP

- Internet Security Association and Key Management Protocol.

IPSec em servidores Linux

O IPSec segue normas em projetos de VPN e muito utilizado para se fazer VPN entre servidores Linux e roteadores que provem servios de VPN.

Protocolos de Segurana para VPN IPSec (IP Security) SSL (Secure Sockets Layer)

TLS (Transport Layer Secure) Uma evoluo do SSL.

SSL protocol stack / TLS

SSL Handshake SSL Change SSL Alert Cipher Spec Protocol protocol

HTTP Telnet

SSL Record Protocol Transport layer (usually TCP)

Network layer (usually IP) SSL protocols: Other protocols:

TLS handshake protocol

ClientHello Serv erHello Es tablish protocol v ersion, sess ion ID, cipher suite, compres sion m ethod, ex change random v alues

Certificate Certificate Request Serv erHelloD one

Optionally send serv er certificate and

reques t c lient c ertif icate

Client

Certificate Certificate Verify

Serv er

S end client c ertif ic ate res ponse if

reques ted

Change Cipher Spec Finis hed Change Cipher Spec Finis hed Change cipher suite and f inish handshake

TLS record protocol

Application data
abcdefghi

Fragment/combine Record protocol units

Compress Compressed units Hash MAC Encrypt Encrypted Transmit TCP packet
abc def ghi

Segurana na camada de rede com IPSec

SMTP

HTTP

FTP NNTP, ...

TCP / UDP

IP / IPSec