Pedro da Fonseca Vieira2000/1 VPNs: Virtual Private Networks.

Apresentação em tema: "Pedro da Fonseca Vieira2000/1 VPNs: Virtual Private Networks."— Transcrição da apresentação:

1 Pedro da Fonseca Vieira2000/1 VPNs: Virtual Private Networks

2 Índice Introdução: Rede Virtual Privada 1) Introdução: Rede Virtual Privada 2) Fundamentos 3) Aplicações 4) Requisitos Básicos 5) Tunelamento - Introdução - Protocolos e Funcionamento 6) IP Seguro - AH, ESP e ISKMP 7) Conclusões 8) Bibliografia 9) Perguntas

3 VPNs - Introdução “Rede Privada” Rede que contém circuitos alugados privados entre dois pontos “Rede Virtual Privada” Rede que provê circuitos virtuais utilizando as facili- dades de uma rede já exis- tente onde se tem a impres- são de rede privada real FlexibilidadeCusto “(...) sua capacidade de conectar locais geograficamente distantes utilizando a Internet (...)” [1] “(...) ao invés de pagar por uma linha internacional privada, paga-se somente a conexão com o ISP local de cada localidade, e investimento em criptografia (...) ” [2]

4 VPNs - Fundamentos Seu objetivo: Utilizar uma rede pública como a Internet em vez de linhas privativas para implemen- tar redes corporativas Seu funcionamento: As VPNs são túneis de criptografia entre pontos autorizados, criados através da Internet (ou de outras redes) para trans- ferência de informações de modo seguro en- tre usuários remotos ou entre redes corpora- tivas. Sua padronização: O IPSec é um protocolo padrão projetado pelo IETF que oferece transferência segura de informações fim a fim através de rede IP pública ou privada. Seu custo comparativo: Pode ser bastante interessante sob o ponto de vista econômico, sobretudo nos casos em que enlaces inter- nacionais ou nacionais de longa dis- tância estão envolvidos

5 VPNs - Aplicações Acesso remoto via Internet: Usuário com ligação local discada a algum provedor de acesso (Internet Service Provider - ISP). O software de VPN cria uma rede virtual privada entre o usuário remoto e o servidor de VPN corporativo através da Internet. Conexão de LANS via Internet: Uma solução que substitui as conexões entre LANs através de circuitos dedicados de longa distância é a utilização de circuitos dedicados locais interligando-as à Internet. O software de VPN assegura esta interconexão formando a WAN corporativa. Conexão numa Intranet: Formação que redes departamentais virtuais na mesma Intranet utilizando VPN para isola- mento criptográfico de informações restritas a pequeno grupo de usuários.

6 VPNs - Requisitos Básicos Autenticação de Usuário: Verificação da identidade do usuário, restrin- gindo o acesso às pessoas autorizadas. Deve dispor de mecanismos de auditoria, provendo informações referentes aos acessos efetuados - quem acessou, o quê e quando foi acessado. IntegridadePrivacidade Gerenciamento de Endereços: O endereço do cliente na sua rede privada não deve ser divulgado, devendo-se adotar endere- ços fictícios para o tráfego externo. Criptografia de Dados: O reconhecimento do conteúdo das mensagens deve ser exclusivo dos usuários autorizados. Gerenciamento de Chaves: O uso de chaves que garantem a segurança das mensagens criptografadas deve funcionar como um segredo compartilhado exclusivamente entre as partes envolvidas. O gerenciamento de chaves deve garantir a troca periódica das mesmas, por questões de segurança. Suporte a múltiplos protocolos: Com a diversidade de protocolos existentes, torna-se bastante desejável que uma VPN suporte protocolos padrão de fato usadas nas redes públicas, tais como IP (Internet Protocol), IPX (Internetwork Packet Exchange), etc.

7 Tunelamento - Introdução CriptografiaEncapsulamento Pacote ilegível em caso de interceptação na transmissão Cabeçalho adicional que contém infor- mações de roteamento que permitem a travessia dos pacotes Suporte multi-protocolo (pacotes IPX encapsulados como pacotes IP, por exemplo) Túnel é a denominação do caminho lógico percorrido pelo pacote ao longo da rede intermediária. O processo de tunelamento envolve criptografia, encapsulamento, transmissão ao longo da rede intermediária, desencapsulamento e descriptografia. Protocolo de tunelamento

8 Tunelamento - Protocolos e Funcionamento Tunelamento em Nível Enlace PPTP (Point-to-Point Tunneling Proto- col) da Microsoft permite que o tráfego IP, IPX e NetBEUI sejam criptografados e encapsulados para serem enviados através de redes IP privadas ou públicas como a Internet. L2TP (Layer 2 Tunneling Protocol) da IETF permite que o tráfego IP, IPX e NetBEUI sejam criptografados e enviados através de canais de comunicação de datagrama ponto a ponto tais como IP, X25, FR ou ATM. L2F (Layer 2 Forwarding) da Cisco é utilizada para VPNs discadas. Quadros como unidade de troca, encapsulando os pacotes da camada 3 (ex: IPX, IP) em quadros PPP. Tunelamento em Nível Rede IPSec (Secure IP) - protocolo desenvol- vido para IPv6, devendo, no futuro, se constituir como padrão para todas as formas de VPN. Encapsulam pacotes IP com um cabe- çalho adicional deste mesmo protocolo antes de enviá-los. Negociação Criação / Manutenção / Encerramento (Nível 2) Criptografia Compressão Endereçamento

9 IPSec - Introdução e Mecanismos O IPSec é um protocolo padrão de camada 3 projetado pelo IETF que oferece transferência segura de informações fim a fim através de rede IP pública ou privada. Pega pacotes IP, realiza funções de segurança de dados como criptografia, autenticação e integridade, e então encapsula esses pacotes protegidos em outros pacotes IP. Requisitos de Segurança Autenticação e Integridade Confidencialidade Mecanismos do IPSec AHAutentication Header ESPEncapsulation Security Payload ISAKMPInternet Security Association and Key Management Protocol Negociação do Nível de Segurança - ISAKMP Trata-se de um protocolo que rege a troca de chaves criptografadas utilizadas para decifrar os dados. Ele define procedimentos e formatos de pacotes para estabelecer, negociar, modificar e deletar as SAs (Security Associations), que contêm todas as informações necessárias para serviços de segurança. Negociação completa de uma só vez Eliminação das redundâncias de segurança a nível de protocolo

10 IPSec - Mecanismos (continuação) Autenticação e Integridade - AH A autenticação garante que os dados recebidos correspondem àqueles originalmente enviados, assim como garante a identidade do emissor. Integridade significa que os dados transmitidos chegam ao seu destino íntegros, eliminando a possibilidade de terem sido modificados no caminho sem que isto pudesse ser detectado. Inclusão de informação para autenticação no pacote Algoritmo aplicado sobre o conteúdo dos campos do datagrama IP (todos os cabeçalhos e dados do usuário) Confidencialidade - ESP Propriedade da comunicação que permite que apenas usuários autorizados entendam o conteúdo transportado. O mecanismo mais usado para prover esta propriedade é chamado de criptografia. Autenticação da origem dos dados Integridade da conexão O datagrama IP é encapsulado inteiro dentro do ESP

11 Conclusões As VPNs podem se constituir numa alternativa segura para transmissão de dados através de redes públicas ou privadas Em aplicações onde o tempo de transmissão é crítico, o uso de VPNs através de redes externas ainda deve ser analisado com muito cuidado, pois podem ocorrer problemas de desempenho e atrasos na transmissão sobre os quais a organização não tem nenhum tipo de gerência ou controle. QoS A decisão de implementar ou não redes privadas virtuais requer uma análise criteriosa dos requisitos, principalmente aqueles relacionados a segurança, custos, qualidade de serviço e facilidade de uso que variam de acordo com o negócio de cada organização.

12 Bibliografia “Understanding Secure Virtual Private Networking”, Nokia IP Inc., Issue 0.9, 1997 “VPNs: Reality Behind the Hype”, Steven Taylor, Distributed Networking Associates, 1999 “Choix VPN: Frame Relay ou IP?”, France Telecom, 1998 “The Internet, Intranets, Extranets - and VPNs”, Gary C. Kessler, SymQuest Group, 1999 “VPN Services for Enterprise Customers”, Susan Scheer, CISCO Sytems Inc., 1998 “PPTP e VPNs”, Liou Kuo Chin, RNP, 1999. Perguntas