A apresentação está carregando. Por favor, espere

A apresentação está carregando. Por favor, espere

VPN Virtual Private Network André Luis BettinRA: 04125647 André Luis BettinRA: 04125647 Bruno Ferrari de AlmeidaRA: 04095709 Bruno Ferrari de AlmeidaRA:

Apresentações semelhantes


Apresentação em tema: "VPN Virtual Private Network André Luis BettinRA: 04125647 André Luis BettinRA: 04125647 Bruno Ferrari de AlmeidaRA: 04095709 Bruno Ferrari de AlmeidaRA:"— Transcrição da apresentação:

1 VPN Virtual Private Network André Luis BettinRA: André Luis BettinRA: Bruno Ferrari de AlmeidaRA: Bruno Ferrari de AlmeidaRA: Caio de Mello RossiRA: Caio de Mello RossiRA:

2 2Tópicos O que é uma VPN?O que é uma VPN? Por que usar?Por que usar? Tipos de AcessoTipos de Acesso Tipos de VPN e ProtocolosTipos de VPN e Protocolos Algoritmos de CriptografiaAlgoritmos de Criptografia Limitações da VPNLimitações da VPN

3 3 O que é uma VPN? Visão geralVisão geral Conceitos básicosConceitos básicos –Criptografia –Tunelamento Protocolos de TunelamentoProtocolos de Tunelamento

4 4 Visão Geral ObjetivosObjetivos –Reduzir custos –Promover integridade e confiabilidade da informação passada na rede –Escalabilidade

5 5 Por que usar? SegurançaSegurança Fácil implementaçãoFácil implementação –Windows –Linux BaratoBarato –Elimina a necessidade de links dedicados –Usa a internet pública Aumento na escabilidade da redeAumento na escabilidade da rede

6 6 VPN Softwares Hamachi Microsoft Intelligent Application Gateway Openswan OpenVPN Remobo

7 7 Conceitos Básicos CriptografiaCriptografia –Criptografia (Do Grego kryptós, "escondido", e gráphein, "escrita") é o estudo dos princípios e técnicas pelas quais a informação pode ser transformada da sua forma original para outra ilegível, de forma que possa ser conhecida apenas por seu destinatário (detentor da "chave secreta"), o que a torna difícil de ser lida por alguém não autorizado. Assim sendo, só o receptor da mensagem pode ler a informação com facilidade. Wikipedia TunelamentoTunelamento –ou tunnelling é a capacidade de criar túneis entre duas máquinas por onde certas informações passam.

8 8Criptografia Base para a segurança da VPNBase para a segurança da VPN ConfidencialidadeConfidencialidade –A certeza que nenhuma outra pessoa consegue ler os dados AutenticidadeAutenticidade –A certeza de quem enviou o dado IntegridadeIntegridade –A certeza que os dados transmitidos chegam ao seu destino sem terem sido modificados

9 9Tunelamento Encapsulamento e transmissão dos dados, sobre uma rede pública entre dois pontos distintos.

10 10 Protolos de Tunelamento Nivel de EnlaceNivel de Enlace –Encapsulando os pacotes da camada de enlace em quadros PPP (Point-to-Point Protocol) PPTP (Point-to-Point Tunneling Protocol)PPTP (Point-to-Point Tunneling Protocol) –Microsoft (RFC 2637) L2TP (Layer 2 Tunneling Protocol) L2TP (Layer 2 Tunneling Protocol) –IETF (RFC 3931) L2F (Layer 2 Forwarding) L2F (Layer 2 Forwarding) –Cisco (RFC a partir de 2341)

11 11 Point-To-Point Tunneling Protocol Utilizar a infra-estrutura da Internet para prover uma conectividade segura entre clientes remotos e redes privadas PPTP cifra e encapsula datagrama IP em um pacote PPP que, por sua vez, é encapsulado em um pacote GRE

12 12 Point-To-Point Tunneling Protocol VulnerabilidadesVulnerabilidades –Procedimento de negociação é feito sem qualquer proteção atacante pode modificar parâmetros Atacante pode obter dados dos extremos do túnel –Mensagens são transmitidas sem qualquer forma de autenticação ou proteção de integridade Atacante pode sequestrar a conexão

13 13 Point-To-Point Tunneling Protocol VulnerabilidadesVulnerabilidades –Autenticação feita após a conclusão do processo de estabelecimento de parâmetros Atacante pode iniciar diversos processos de negociação falsos –Negação de Serviço (DoS) –Paralisação do serviço

14 14 Point-To-Point Tunneling Protocol LanManLanMan –Armazenamento e transmissão de hashes de senhas nas várias versões do Microsoft Windows –Senhas de 14 caracteres Armazenadas em uppercase Divisão da senha em 2 de 7 caracteres Diminue o número de hashes e facilita o ataque de força bruta –Senhas composta por caracteres alfabéticos podem ser quebradas em 250 horas

15 15 Layer 2 Tunneling Protocol Age como protocolo da camada 2 (Enlace) mas é implementado na camada 5 (Sessão). Não provê confidencialidade e autenticacao segura. (Uso do L2TP/IPsec) LAC (L2TP Access Concentrator) LNS (L2TP Network Server)

16 16 Layer 2 Tunneling Protocol Os 4 tipos de tunelamento do L2TP: 1. Túnel Voluntário 2. Túnel Compulsório - chamadas recebidas 3. Túnel Compulsório - discagem remota 4. L2TP multi-hop connection

17 17 L2TP – Túnel Voluntário Túnel criado pelo usuário (LAC) encaminhados pelo ISP para o servidor L2TP (LNS) O Túnel extende por toda a sessão PPP

18 18 L2TP – Túnel Compulsório Por Chamadas Recebidas (Incoming Call) Criado entre o provedor (LAC) e o gateway do servidor (LNS) Nesse caso o túnel se extende apenas ao segmento da sessão do ISP e o LNS Por Discagem Remota (Remote Dial) Utilizado quando o cliente PPP tem um número permanente estabelecido com o ISP Nesse caso o túnel se extende ao segmento de sessão do LNS ao ISP

19 19 L2TP – Multi-hop Um túnel entre o LAC e o gateway L2TP multi-hop e outro túnel entre o gateway e o LNS. Tráfego entre eles redirecionado pelo gateway.

20 20 Protolos de Tunelamento Nível de RedeNível de Rede –Encapsulam pacotes IP com um cabeçalho adicional deste mesmo protocolo antes de enviá-los através da rede. IP Security Tunnel Mode (IPsec)IP Security Tunnel Mode (IPsec) –IETF

21 21 IPsec Modo Transporte x Modo Túnel Authentication Header (AH) e Encapsulating Security Payload (ESP) IPv4 / Ipv6 Internet Key Exchange (IKE) –IKEv2 OpenIKEv2 strongSwan 4.1 NAT - T

22 22 IPsec sumário Primeira Fase: –Define chave entre os dois gateways (ISAKMP SA) Segunda Fase: –Define os canais de dados (IPsec Sas) Terceira Fase: –Troca dados utilizando o AH e ESP

23 23 IPsec Limitacões Faz autenticacoes de máquinas mas não de usuários Não protege contra ataques de DoS IPsec não é fim a fim. IPsec não é seguro se o gateway VPN não for bem protegido.

24 24 Protolos de Tunelamento Nivel de TransporteNivel de Transporte –Encapsulam pacotes da camada de transporte usando SSL. Transport Layer Security(TLS)Transport Layer Security(TLS)

25 25 TLS / SSL Negociacão entre os pares para suporte ao algoritmo Troca de chaves e autenticacão Criptografia de chave simétrica a mensagem de autenticacão

26 26 Tipos de Acesso Acesso remoto de clientesAcesso remoto de clientes LAN-to-LAN internetworkingLAN-to-LAN internetworking Segurança na intranetSegurança na intranet

27 27 Acesso Remoto de Clientes Muito usado em empresas em que os funcionários trabalham em casaMuito usado em empresas em que os funcionários trabalham em casa Idéia do funcionamentoIdéia do funcionamento –Funcionário se conecta na internet –Usando um cliente de VPN, ele se conectar na empresa rede da empresa –Quando conectado, o funcionário pode fazer a troca de dados URL da imagem

28 28 LAN-to-LAN Internetworking Interligar duas redesInterligar duas redes –As duas redes formam apenas uma única intranet Aumento na escalabilidade da redeAumento na escalabilidade da rede

29 29 Segurança na Intranet Empresa pode proteger suas subnets usando VPNEmpresa pode proteger suas subnets usando VPN –Cria dificuldades de acesso a dados da rede corporativa por parte dos departamentos isolados.

30 30 Algoritmos de Criptografia IntegraçãoIntegração –Message-Digest Algorithm 5(MD5) –Hash Message Authentication Code (HMAC-SHA1) ConfidencialidadeConfidencialidade –TripleDES (3DES) –Advanced Encryption Standard(AES) AutenticaçãoAutenticação –Authentication Header(AH) –Encapsulation Security Payload(ESD)

31 31 Algoritmos de Criptografia IntegraçãoIntegração –Message-Digest Algorithm 5(MD5) –Hash Message Authentication Code (HMAC-SHA1)

32 32 Message-Digest Algorithm 5 (MD5) Foi desenvolvido em 1991 por Ronald Rivest Transforma qualquer quantidade de dado em uma sequencia de 32 caracteres Algoritmo unidirecionalAlgoritmo unidirecional –Impossível recuperar o texto original VerificaçãoVerificação –comparando dois hashes Vulnerabilidade –Possibilidade de duas strings diferentes produzirem o mesmo hash

33 33 Message-Digest Algorithm 5 (MD5) Exemplo de HashExemplo de Hash MD5 ("The quick brown fox jumps over the lazy dog") Resultado: 9e107d9d372bb6826bd81d3542a419d6 Mesma frase trocando o d em dog por c MD5 ("The quick brown fox jumps over the lazy cog") Resultado: 1055d3e698d289f2af bd4b

34 34 Hash Message Authentication Code Tipo de message authentication code (MAC) calculado usando um algortimo específico envolvendo funções de hash e combinando com uma chave secreta –Usa MD5 ou SHA-1 para gerar o hash –Em VPN que usa IPSec é usado o HMAC-SHA-1 Combinação do HMAC com SHA-1 (HMAC)

35 35 Hash Message Authentication Code (HMAC) M – Mensagem que irá ser autenticada h – Função de hash K – Chave secreta – XOR opad – 0x5c5c5c...5c5c (hex) ipad – 0x (hex) || – Concatenação

36 36 Hash Message Authentication Code Pseudo código do HMACPseudo código do HMAC function hmac (key, message) opad = [0x5c * blocksize] // Where blocksize is that of the underlying hash function ipad = [0x36 * blocksize] if (length(key) > blocksize) then key = hash(key) // keys longer than blocksize are shortened end if for i from 0 to length(key) - 1 step 1 ipad[i] = ipad[i] XOR key[i] opad[i] = opad[i] XOR key[i] end for return hash(opad || hash(ipad || message)) // Where || is concatenation end function (HMAC)

37 37 Algoritmos de Criptografia ConfidencialidadeConfidencialidade –TripleDES (3DES) –Advanced Encryption Standard(AES)

38 38 TripleDES (3DES) Evolução do DESEvolução do DES Realizar múltiplas cifragens com o DES usando chaves diferentes para cada processoRealizar múltiplas cifragens com o DES usando chaves diferentes para cada processo Pode ser usado 2 ou 3 chavesPode ser usado 2 ou 3 chaves –2 chaves – possibilidades –3 chaves – possibilidades

39 39 TripleDES (3DES) FuncionamentoFuncionamento –Três chaves diferentes, K 1, K 2 e K 3 –Usando a chave K 1 a mensagem é cifrada usando DES –Usa-se então a segunda chave, K 2, para decifrar a mensagem cifrada –Como não é a chave correta, os dados são ainda mais embaralhados –Então usa a chave K 3 nessa mensagem duplamente embaralhada

40 40 Advanced Encryption Standard Substituiu o DESSubstituiu o DES Tamanho de bloco fixo em 128 bits e uma chave com tamanho de 128, 192 ou 256 bitTamanho de bloco fixo em 128 bits e uma chave com tamanho de 128, 192 ou 256 bit FuncionamentoFuncionamento –O AES opera sobre um arranjo bidimensional de bytes com 4x4 posições –Para criptografar, cada turno do AES (exceto o último) consiste em quatro estágios: AddRoundKey SubBytes ShiftRows MixColumns

41 41 Advanced Encryption Standard AddRoundKey cada byte do estado é combinado com a subchave própria do turno (RoundKey); cada subchave é derivada da chave principal usando o algoritmo de agendamento de chaves.

42 42 Advanced Encryption Standard SubBytes É uma etapa de substituição não linear onde cada byte é substituído por outro de acordo com uma tabela de referência.

43 43 Advanced Encryption Standard ShiftRows É uma etapa de transposição onde cada fileira do estado é deslocada de um determinado número de posições.

44 44 Advanced Encryption Standard MixColumns É uma operação de mescla que opera nas colunas do estado e combina os quatro bytes de cada coluna usando uma transformação linear.

45 45 Algoritmos de Criptografia AutenticaçãoAutenticação –Authentication Header(AH) –Encapsulation Security Payload(ESD)

46 46 Authentication Header Cabecalho AH

47 47 Encapsulation Security Payload Cabecalho ESP

48 48 Bibliografia Hosner, Charlie OpenVPN and the SSL VPN Revolution IETF RFC 2401 Security Architecture for the Internet Protocol IETF RFC 4366 Transport Layer Security (TLS) Extensions Wikipedia, , Transport Layer Security Ipsec Protocol, Wikipedia, Ipsec, Kurose 3a Edicão, Redes de Computadores e a Internet


Carregar ppt "VPN Virtual Private Network André Luis BettinRA: 04125647 André Luis BettinRA: 04125647 Bruno Ferrari de AlmeidaRA: 04095709 Bruno Ferrari de AlmeidaRA:"

Apresentações semelhantes


Anúncios Google