OSRC – Segurança em Redes de ComputadoresMódulo 11: VPN

Prof. Charles Christian Mierse-mail: charles.miers@udesc.br

OSRC – Segurança em Redes de Computadores 2

0

VPN: Virtual Private Networks

Uma Rede Virtual Privada (VPN) é um meio de simular uma rede privada sobre uma rede pública: Rede Virtual: rede formada por conexões virtuais Conexão Virtual: conexões temporárias, não físicas,

estabelecidas entre os pontos que se deseja estabelecer uma comunicação segura

OSRC – Segurança em Redes de Computadores 3

VPN: Virtual Private Networks

Motivação principal às VPNs é a possibilidade de utilizar a Internet como meio físico de comunicação Alternativa muito mais viável que a alocação de

linhas privativas

VPNs estão substituindo rapidamente linhas dedicadas, circuitos de frame relay e outras formas de comunicação dedicada

Fornece um meio de comunicação seguro entre dois pontos

OSRC – Segurança em Redes de Computadores 4

PROTOCOLOS PARA VPN

L2F Layer 2 Fowarding Protocol Desenvolvido pela CISCO

PPTP Point-to-Point Tunneling Protocol Ascend Communication, U.S. Robotics, 3Com

Corporation, Microsoft Corporation, ECI Telematics L2TP

Cisco, PPTP Forum e IETF desenvolveram Level 2 Tunneling Protocol (L2TP), combinando L2F e PPTP

IPSec IETF (Internet Engineering Task Force)

OSRC – Segurança em Redes de Computadores 5

Tipos de Tunelamento

Tunelamento de Camada 2 Os pacotes são encapsulados no protocolo PPP

(camada 2), e depois recebem o cabeçalho de tunelamento Exemplos: PPTP e L2TP

Tunelamento de Camada 3 Os pacotes recebem diretamente o cabeçalho de

tunelamento Exemplo: IPSec

OSRC – Segurança em Redes de Computadores 6

L2TP

L2TP: Layer Two Tunneling Protocol

Baseado nos Protocolos: PPTP L2F

As mensagens do protocolo L2TP são de dois tipos: Mensagens de controle:

Utilizadas para estabelecer e manter as conexões Mensagens de dados:

Utilizadas para transportar informações

OSRC – Segurança em Redes de Computadores 7

L2TP (Cont.)

Possui suporte as seguintes funções: Tunelamento de múltiplos protocolos Autenticação Anti-spoofing Integridade de dados

Certificar parte ou todos os dados Padding de Dados

Permite esconder a quantidade real de dados Transportados

Não possui suporte nativo para criptografia

OSRC – Segurança em Redes de Computadores 8

IPSec – IP Seguro

Protocolo projetado pelo IETF para permitir comunicações seguras no interior de redes TCP (IPv4 ou IPv6)

Possui dois modos de utilização: Modo túnel:

Adiciona o cabeçalho de tunelamento e um cabeçalho de controle

Modo transporte: Adiciona apenas o cabeçalho de controle

9

Esquema de Cifragem IPSec

Encapsulado; a cifragem de tráfego é IPSec

HMAC-MD5 HMAC-SHA-1

DES, CAST, AESIKE – padrão de indústria para protocolo de gerenciamento de chaves em VPN

Cifragem é...Algoritmo de Autenticação

Algoritmo de Cifragem

Protocolo Gerenciamento

de Chave

Emprego do IKE (Internet Key Exchange) Esquemas criptográficos consistem em:

Protocolo de Gerenciamento de Chaves: geração e troca de chaves

Algoritmo de Cifragem: cifragem das mensagens Algoritmo de Autenticação: garantia de integridade

OSRC – Segurança em Redes de Computadores 10

Elementos do IPSec

IP Autentication Header (AH) Integridade, autenticação da origem de dados e evita

interceptação de pacotes

IP Encapsulating Security Payload (ESP) Confidencialidade, integridade, autenticação da

origem e evita interceptação de pacotes

Internet Security Association and Key Management Protocol (ISAKMP) Implementa o gerenciamento de chaves

11

Esquema de Cifragem IKE (Cont.) IKE – ISAKMP/Oakley

ISAKMP (Internet Security Association and Key Management Protocol): Padrão de cifragem do IETF Fornece um arcabouço para transferência de chaves e

autenticação de dados Independência dos métodos de cifragem e autenticação

Oakley: Protocolo usado para estabelecer criptografia forte – baseado

em chaves para cifragem dos dados Oakley define como os usuários selecionam grupos de

números primos para fazer a troca de chaves por Diffie-Hellman Chaves podem ser derivadas das chaves Diffie-Hellman ou de

uma chave criptográfica existente Oakley permite ao IPSec usar chaves secretas e autenticação

baseada em certificados

12

IPSec : Estrutura

IP TCP/UDP DADOS

IP TCP/UDP DADOSAH

IP TCP/UDP DADOSAH IP

IP TCP/UDP DADOSESPHEADER

ESPTRAILER

ESPAUTH

IPv4

IPv4 com autenticação

IPv4 com autenticação e tunelamento

IPv4 com autenticação e criptografia

cifrado

autenticado

AH: calculado sobre todos os dados que não são alterados durante o trajeto do pacote

13

Exemplo de VPN:

Três redes privadas conectadas via VPN

Cifragem é realizada na parte pública da rede (Internet)

Os dois firewalls são os pontos de cifragem/decifragem

Firewall Firewall

P&D

Admin

HTTP

FTP

Correioeletrônico

Vendas

Suporte

Cifrado

Não-cifrado

Rede Privada Rede PrivadaPública

OSRC – Segurança em Redes de Computadores 14

Definições: VPNs

Especificação da cifragem requer responder três questões:

Quem irá cifrar ? Gateways de cifragem e seus domínios

Quais são as chaves de cifragens a serem cifradas? IPSec assegura a conexão Negociação IKE precisa ser feita antes da cifragem iniciar Gateways usam segredos pré-compartilhados ou certificados

Quais conexões devem ser cifradas e como? Uma regra é necessária na base de regras especificando a

comunicação entre gateways e como cifrar Cada regra especifica parâmetros IKE de cifragem

OSRC – Segurança em Redes de Computadores 15

Classificação de VPNs

Tipos de VPNs:

Intranet VPNs

VPNs de acesso remoto

Extranet VPNs

OSRC – Segurança em Redes de Computadores 16

Intranet VPNs

Feitas para gerenciar a segurança entre departamentos internos e filiais

Os requisitos no design de Intranet VPN incluem: Criptografia forte para proteger informações

confidenciais Confiabilidade para sistemas de missão crítica

(Ex.: gerenciamento de bases de dados) Escalável para permitir o crescimento e mudanças

OSRC – Segurança em Redes de Computadores 17

Intranet VPN (Cont.)DMZ

Servidores PúblicosCorreio EletrônicoWorld Wide Web

FTP

Escritório Principal

Firewall /Gateway

Firewall /Gateway

Internet

Escritórios / Filiais

OSRC – Segurança em Redes de Computadores 18

VPNs de Acesso Remoto

Feita para gerenciar a comunicação segura entre redes corporativas e remotas ou empregados móveis

Requisitos para a realização de VPNs de acesso remoto: Autenticação forte para verificação de redes remotas

e e usuários móveis Gerenciamento centralizado Escalável para acomodar grupos de usuários

OSRC – Segurança em Redes de Computadores 19

VPNs de Acesso Remoto (Cont.)DMZ

Servidores PúblicosCorreio EletrônicoWorld Wide Web

FTP

Escritório Principal

Firewall /Gateway

Internet

UsuáriosMóveis

OSRC – Segurança em Redes de Computadores 20

Extranet VPNs

Construídas para elaborar a comunicação segura entre a empresa e seus parceiros estratégicos, consumidores e fornecedores

O projeto de uma Extranet VPN requer: Internet Protocol Security standard (IPSec) Controle de tráfego para previnir gargalos nos pontos de

acessos remotos Entrega rápida e tempo de resposta para dados/aplicações

críticas

OSRC – Segurança em Redes de Computadores 21

Extranet VPNs (Cont.)DMZ

Servidores PúblicosCorreio EletrônicoWorld Wide Web

FTP

Escritório Principal

Firewall /Gateway

Internet

Parceiros

Clientes

OSRC – Segurança em Redes de Computadores 22

Implementação de VPN

Uma implementação de uma VPN completa deve suportar todos os três tipos de VPN

Uma VPN completa necessita incluir três componentes críticos: Segurança: incluindo controle de acesso, autenticação

e criptografia QoS: controle do tráfego VPN pode incluir

gerenciamento de largura de banda e aceleração de VPN para garantia de QoS

Desempenho e Gerenciamento: pode incluir gerenciamento baseado em políticas

OSRC – Segurança em Redes de Computadores 23

VPN Completa

Escritório Principal

UsuáriosMóveis

InternetParceiros

Clientes

Escritórios / Filiais

DMZ Servidores PúblicosCorreio EletrônicoWorld Wide Web

FTP

Firewall /Gateway

OSRC – Segurança em Redes de Computadores 24

OSRC – Segurança em Redes de Computadores 25

Leitura Recomendada: Cert.Br:

http://www.cert.br/docs/seg-adm-redes/

Northcutt, Stephen et all. Inside Network Perimeter Security: The Definitive Guide to Firewalls, Virtual Private Networks (VPNs), Routers, and Intrusion Detection Systems. Editora Sams. 2002.

Wack, John; Cutler, Ken & Pole, Jamie. SP800-41: Guidelines on Firewalls and Firewall Policy. NIST. 2002.

Zwicky, Elizabeth D. Construindo Firewalls para a Internet. 2ª Edição. Editora Campus. 2000.

Norma NBR-ISO/IEC 17799. Versão 2.0

SANS: http://www.sans.org/reading_room/whitepapers/firewalls/ http://www.sans.org/reading_room/whitepapers/vpns/

OSRC – Segurança em Redes de Computadores 26

Leitura Recomendada: (Cont.)

RFC 2406: IP Encapsulating Security Payload (ESP)

RFC 2407: The Internet IP Security Domain of Interpretation for

ISAKMP RFC 2408:

Internet Security Association and Key Management Protocol (ISAKMP)

RFC 2409: The Internet Key Exchange (IKE)