VPN - Virtual Private Network

VPN - Virtual Private Network

(Rede Privada Virtual)

GPr Sistemas/ASP Systems - Agosto/2000 Marco Antonio G. Rossi Oswaldo Franzin

Introduo
O conceito de VP s!rgi! da necessidade de se !tilizar redes de com!nica"#o n#o con$i%&eis 'ara tra$egar in$orma"(es de $orma seg!ra. As redes ')*licas s#o consideradas n#o con$i%&eis+ tendo em &ista ,!e os dados ,!e nelas tra$egam est#o s!-eitos a interce'ta"#o e ca't!ra. .m contra'artida+ estas tendem a ter !m c!sto de !tiliza"#o in$erior aos necess%rios 'ara o esta*elecimento de redes 'ro'riet%rias+ en&ol&endo a contrata"#o de circ!itos e/cl!si&os e inde'endentes. 0om o e/'losi&o crescimento da 1nternet+ o constante a!mento de s!a %rea de a*rang2ncia+ e a e/'ectati&a de !ma r%'ida mel3oria na ,!alidade dos meios de com!nica"#o associado a !m grande a!mento nas &elocidades de acesso e *ac4*one+ esta 'asso! a ser &ista como !m meio con&eniente 'ara as com!nica"(es cor'orati&as. o entanto+ a 'assagem de dados sens5&eis 'ela 1nternet somente se torna 'oss5&el com o !so de alg!ma tecnologia ,!e torne esse meio altamente inseg!ro em !m meio con$i%&el. 0om essa a*ordagem+ o !so de VP so*re a 1nternet 'arece ser !ma alternati&a &i%&el e ade,!ada. o entanto+ &eremos ,!e n#o 6 a'enas em acessos ')*licos ,!e a tecnologia de VP 'ode e de&e ser em'regada. A'licati&os desen&ol&idos 'ara o'erar com o s!'orte de !ma rede 'ri&ati&a n#o !tilizam rec!rsos 'ara garantir a 'ri&acidade em !ma rede ')*lica. A migra"#o de tais a'lica"(es 6 sem're 'oss5&el+ no entanto+ certamente incorreria em ati&idades dis'endiosas e e/igiriam m!ito tem'o de desen&ol&imento e testes. A im'lanta"#o de VP 'ress!'(e ,!e n#o 3a-a necessidade de modi$ica"(es nos sistemas !tilizados 'elas cor'ora"(es+ sendo ,!e todas as necessidades de 'ri&acidade ,!e 'assam a ser e/igidas se-am s!'ridas 'elos rec!rsos adicionais ,!e se-am dis'oni*ilizados nos sistemas de com!nica"#o.

GPr Sistemas Ltda.

-1

Fone: (19) 3253-1888 http://www.gpr.com.br e-mail:gpr@gpr.com.br

VPN - Virtual Private Network

Funes Bsicas
A !tiliza"#o de redes ')*licas tende a a'resentar c!stos m!ito menores ,!e os o*tidos com a im'lanta"#o de redes 'ri&adas+ sendo este+ -!stamente o grande est5m!lo 'ara o !so de VP s. o entanto+ 'ara ,!e esta a*ordagem se torne e$eti&a+ a VP de&e 'ro&er !m con-!nto de $!n"(es ,!e garanta Confidencialidade+ Integridade e Autenticidade.

Confidencialidade
7endo em &ista ,!e estar#o sendo !tilizados meios ')*licos de com!nica"#o+ a tare$a de interce'tar !ma se,82ncia de dados 6 relati&amente sim'les. 9 im'rescind5&el ,!e os dados ,!e tra$eg!em se-am a*sol!tamente 'ri&ados+ de $orma ,!e+ mesmo ,!e se-am ca't!rados+ n#o 'ossam ser entendidos.

Integridade
a e&ent!alidade dos dados serem ca't!rados+ 6 necess%rio garantir ,!e estes n#o se-am ad!lterados e re-encamin3ados+ de tal $orma ,!e ,!ais,!er tentati&as nesse sentido n#o ten3am s!cesso+ 'ermitindo ,!e somente dados &%lidos se-am rece*idos 'elas a'lica"(es s!'ortadas 'ela VP .

Autenticidade
Somente !s!%rios e e,!i'amentos ,!e ten3am sido a!torizados a $azer 'arte de !ma determinada VP 6 ,!e 'odem trocar dados entre si: o! se-a+ !m elemento de !ma VP somente recon3ecer% dados originados em 'or !m seg!ndo elemento ,!e seg!ramente ten3a a!toriza"#o 'ara $azer 'arte da VP . ;e'endendo da t6cnica !tilizada na im'lementa"#o da VP + a 'ri&acidade das in$orma"(es 'oder% ser garantida a'enas 'ara os dados+ o! 'ara todo o 'acote <ca*e"al3o e dados=. >!atro t6cnicas 'odem ser !sadas 'ara a im'lementa"#o de sol!"(es VP ?

Modo Transmisso
Somente os dados s#o cri'togra$ados+ n#o 3a&endo m!dan"a no taman3o dos 'acotes. Geralmente s#o sol!"(es 'ro'riet%rias+ desen&ol&idas 'or $a*ricantes.

Modo Transporte
Somente os dados s#o cri'togra$ados+ 'odendo 3a&er m!dan"a no taman3o dos 'acotes. 9 !ma sol!"#o de seg!ran"a ade,!ada+ 'ara

GPr Sistemas Ltda.

-2

Fone: (19) 3253-1888 http://www.gpr.com.br e-mail:gpr@gpr.com.br

VPN - Virtual Private Network

im'lementa"(es onde os dados tra$egam somente entre dois n@s da com!nica"#o.

Modo Tnel Criptografado

7anto os dados ,!anto o ca*e"al3o dos 'acotes s#o cri'togra$ados+ sendo em'acotados e transmitidos seg!ndo !m no&o endere"amento 1P+ em !m t)nel esta*elecido entre o 'onto de origem e de destino.

Modo Tnel No Criptografado

7anto os dados ,!anto o ca*e"al3o s#o em'acotados e transmitidos seg!ndo !m no&o endere"amento 1P+ em !m t)nel esta*elecido entre o 'onto de origem e destino. o entanto+ ca*e"al3o e dados s#o mantidos tal como gerados na origem+ n#o garantindo a 'ri&acidade. Para dis'oni*ilizar as $!ncionalidades descritas anteriormente+ a im'lementa"#o de VP lan"a m#o dos conceitos e rec!rsos de criptografia+ autenticao e controle de acesso.

Cri to!ra"ia
A cri'togra$ia 6 im'lementada 'or !m con-!nto de m6todos de tratamento e trans$orma"#o dos dados ,!e ser#o transmitidos 'ela rede ')*lica. Am con-!nto de regras 6 a'licado so*re os dados+ em'regando !ma se,82ncia de *its <chave= como 'adr#o a ser !tilizado na cri'togra$ia. Partindo dos dados ,!e ser#o transmitidos+ o o*-eti&o 6 criar !ma se,82ncia de dados ,!e n#o 'ossa ser entendida 'or terceiros+ ,!e n#o $a"am 'arte da VP + sendo ,!e a'enas o &erdadeiro destinat%rio dos dados de&e ser ca'az de rec!'erar os dados originais $azendo !so de !ma chave. S#o c3amadas de Chave Simtrica e de Chave Assimtrica as tecnologias !tilizadas 'ara cri'togra$ar dados. Chave Simtrica ou Chave Privada 9 a t6cnica de cri'togra$ia onde 6 !tilizada a mesma chave 'ara cri'togra$ar e decri'togra$ar os dados. Sendo assim+ a man!ten"#o da chave em segredo 6 $!ndamental 'ara a e$ici2ncia do 'rocesso. Chave Assimtrica o! Chave Pblica 9 a t6cnica de cri'togra$ia onde as chaves !tilizadas 'ara cri'togra$ar e decri'togra$ar s#o di$erentes+ sendo+ no entanto relacionadas. A chave !tilizada 'ara cri'togra$ar os dados 6 $ormada 'or d!as 'artes+ sendo !ma ')*lica e o!tra 'ri&ada+ da mesma $orma ,!e a chave !tilizada 'ara decri'togra$ar.

GPr Sistemas Ltda.

-3

Fone: (19) 3253-1888 http://www.gpr.com.br e-mail:gpr@gpr.com.br

VPN - Virtual Private Network

Algoritmos para Criptografia

DES Data Encr!ption Standard 9 !m 'adr#o de cri'togra$ia sim6trica+ adotada 'elo go&erno dos .AA em BCDD.

"riple DES O "riple DES 6 !ma &aria"#o do algoritmo DES+ sendo ,!e o 'rocesso tem tr2s $ases? A se,82ncia 6 cri'togra$ada+ sendo em seg!ida decri'togra$ada com !ma chave errada+ e 6 no&amente cri'togra$ada. #SA #ivest Shamir Adleman 9 !m 'adr#o criado 'or Ron Ri&est+ Adi S3amir e Eeonard Adleman em BCDD e !tiliza c3a&e ')*lica de cri'togra$ia+ tirando &antagem do $ato de ser e/tremamente di$5cil $atorar o 'rod!to de n)meros 'rimos m!ito grandes. Diffie $ellman Foi desen&ol&ido 'or ;i$$ie e Fellman em BCDG. .ste algoritmo 'ermite a troca de chaves secretas entre dois !s!%rios. A chave !tilizada 6 $ormada 'elo 'rocessamento de d!as o!tras chaves !ma ')*lica e o!tra secreta.

Inte!ridade
A garantia de integridade dos dados trocados em !ma VP 'ode ser $ornecida 'elo !so de algoritmos ,!e geram+ a 'artir dos dados originais+ c@digos *in%rios ,!e se-am 'raticamente im'oss5&eis de serem conseg!idos+ caso estes dados so$ram ,!al,!er ti'o de ad!ltera"#o. Ao c3egarem no destinat%rio+ este e/ec!ta o mesmo algoritmo e com'ara o res!ltado o*tido com a se,82ncia de *its ,!e acom'an3a a mensagem+ $azendo assim a &eri$ica"#o.

Algoritmos para Integridade

S$A % Secure $ash Algorithm &ne 9 !m algoritmo de 3as3 ,!e gera mensagens de BG0 *its+ a 'artir de !ma se,82ncia de at6 2GH *its. 'D( 'essage Digest Algorithm ( 9 !m algoritmo de 3as3 ,!e gera mensagens de B2I *its+ a 'artir de !ma se,82ncia de ,!al,!er taman3o.

GPr Sistemas Ltda.

Fone: (19) 3253-1888 http://www.gpr.com.br e-mail:gpr@gpr.com.br

VPN - Virtual Private Network

#utenticao
A A!tentica"#o 6 im'ortante 'ara garantir ,!e o originador dos dados ,!e tra$eg!em na VP se-a+ realmente+ ,!em diz ser. Am !s!%rio de&e ser identi$icado no se! 'onto de acesso J VP + de $orma ,!e+ somente o tr%$ego de !s!%rios a!tenticados transite 'ela rede. 7al 'onto de acesso $ica res'ons%&el 'or re-eitar as cone/(es ,!e n#o se-am ade,!adamente identi$icadas. Para realizar o 'rocesso de a!tentica"#o+ 'odem ser !tilizados sistemas de identi$ica"#o/sen3a+ sen3as geradas dinamicamente+ a!tentica"#o 'or RA;1AS <Remote A!t3entication ;ial-1n Aser Ser&ice= o! !m c@digo d!'lo. A de$ini"#o e/ata do gra! de li*erdade ,!e cada !s!%rio tem dentro do sistema+ tendo como conse,82ncia o controle dos acessos 'ermitidos+ 6 mais !ma necessidade ,!e -!sti$ica a im'ortKncia da a!tentica"#o+ 'ois 6 a 'artir da garantia da identi$ica"#o 'recisa do !s!%rio ,!e 'oder% ser selecionado o 'er$il de acesso 'ermitido 'ara ele.

Protocolos
IPSec

ara VPN

1PSec 6 !m con-!nto de 'adr(es e 'rotocolos 'ara seg!ran"a relacionada com VP so*re !ma rede 1P+ e $oi de$inido 'elo gr!'o de tra*al3o denominado 1P Sec!rity <1PSec= do 1.7F <1nternet .ngineering 7as4 Force=. & 1PSec es'eci$ica os ca*e"al3os AF <A!t3entication Feader= e .SP <.nca's!lated Sec!rity Payload=+ ,!e 'odem se !tilizados inde'endentemente o! em con-!nto+ de $orma ,!e !m 'ocote 1PSec 'oder% a'resentar somente !m dos ca*e"al3os <AF o! .SP= o! os dois ca*e"al3os.

Authentication $eader )A$*

Atilizado 'ara 'ro&er integridade e a!tenticidade dos dados 'resentes no 'acote+ incl!indo a 'arte in&ariante do ca*e"al3o+ no entanto+ n#o 'ro&2 con$idencialidade.

GPr Sistemas Ltda.

-5

Fone: (19) 3253-1888 http://www.gpr.com.br e-mail:gpr@gpr.com.br

VPN - Virtual Private Network

Encapsulated Securit! Pa!load )ESP*

Pro&2 integridade+ a!tenticidade e cri'togra$ia J %rea de dados do 'acote. A im'lementa"#o do 1PSec 'ode ser $eita tanto em 'odo "ransporte como em 'odo "unel.

PPTP - Point to Point Tunneling Protocol

O PP7P 6 !ma &aria"#o do 'rotocolo PPP+ ,!e enca's!la os 'acotes em !m t)nel 1P $im a $im.

L2TP - Level 2 Tunneling Protocol

9 !m 'rotocolo ,!e $az o t!nelamento de PPP !tilizando &%rios 'rotocolos de rede <e/? 1P+ A7M+ etc= sendo !tilizado 'ara 'ro&er acesso discado a m)lti'los 'rotocolos.

S C!S v"
9 !m 'rotocolo es'eci$icado 'elo 1.7F e de$ine como !ma a'lica"#o cliente ser&idor !sando 1P e A;P esta*elece com!nica"#o atra&6s de !m ser&idor 'ro/y.

GPr Sistemas Ltda.

-!

Fone: (19) 3253-1888 http://www.gpr.com.br e-mail:gpr@gpr.com.br

VPN - Virtual Private Network

VPN

ara Intranet

Ama 1ntranet 6 !tilizada 'ara conectar sites ,!e geralmente 'oss!em !ma in$raestr!t!ra com'leta de rede local+ 'odendo+ o! n#o+ ter se!s 'r@'rios ser&idores e a'licati&os locais. 7ais sites t2m em com!m a necessidade de com'artil3ar rec!rsos ,!e este-am distri*!5dos+ como *ases de dados e a'licati&os+ o! mesmo de troca de in$orma"(es+ como no caso de email. A 1ntranet 'ode ser entendida como !m con-!nto de redes locais de !ma cor'ora"#o+ geogra$icamente distri*!5das e interconectadas atra&6s de !ma rede ')*lica de com!nica"#o. .sse ti'o de cone/#o tam*6m 'ode ser c3amado de +A, to +A, o! Site to Site.

VPN

ara #cesso Re$oto

9 c3amado de acesso remoto a,!ele realizado 'or !s!%rios m@&eis ,!e se !tilizam de !m com'!tador 'ara cone/#o com a rede cor'orati&a+ 'artindo de s!as resid2ncias o! 3ot6is. .sse ti'o de cone/#o+ ,!e tam*6m 6 denominado Point to Site+ est% se tornando cada &ez mais !tilizada. A'lica"(es t5'icas do acesso remoto s#o?

Acesso de &endedores 'ara encamin3amento de 'edidos+ &eri$ica"#o de 'rocessos o! esto,!es: Acesso de gerentes e diretores em &iagens+ mantendo at!alizadas s!as com!nica"(es com s!a *ase de o'era"#o+ tanto 'ara 'es,!isas na rede cor'orati&a como acom'an3amento de se! correio eletrLnico: .,!i'e t6cnica em cam'o+ 'ara acesso a sistemas de s!'orte e doc!menta"#o+ *em como a at!aliza"#o do estado dos atendimentos.

GPr Sistemas Ltda.

-"

Fone: (19) 3253-1888 http://www.gpr.com.br e-mail:gpr@gpr.com.br

VPN - Virtual Private Network

VPN

ara %&tranet

.m !ma ./tranet+ tem-se a dis'oni*ilidade 'ara o acesso de 'arceiros+ re'resentantes+ clientes e $ornecedores ao am*iente da rede cor'orati&a. .sta com!nica"#o 6 'ermitida com o o*-eti&o de agilizar o 'rocesso de troca de in$orma"(es entre as 'artes+ estreitando o relacionamento+ e tornando mais dinKmica e e$eti&a a intera"#o. .sse ti'o de cone/#o tam*6m 'ode ser c3amado de +A, to +A, o! Site to Site.

N'vel de (e!urana
A es'eci$ica"#o da VP a ser im'lantada de&e tomar 'or *ase o gra! de seg!ran"a ,!e se necessita+ o! se-a+ a&aliando o ti'o de dado ,!e de&er% tra$egar 'ela rede e se s#o dados sens5&eis o! n#o. ;essa de$ini"#o de'ende a escol3a do 'rotocolo de com!nica"#o+ dos algoritmos de cri'togra$ia e de 1ntegridade+ assim como as 'ol5ticas e t6cnicas a serem adotadas 'ara o controle de acesso. 7endo em &ista ,!e todos esses $atores ter#o !m im'acto direto so*re a com'le/idade e re,!isitos dos sistemas ,!e ser#o !tilizados+ ,!anto mais seg!ro $or o sistema+ mais so$isticados e com ca'acidades de 'rocessamento ter#o de ser os e,!i'amentos+ 'rinci'almente+ no ,!e se re$ere a com'le/idade e re,!isitos e/igidos 'elos algoritmos de cri'togra$ia e integridade.

GPr Sistemas Ltda.

-8

Fone: (19) 3253-1888 http://www.gpr.com.br e-mail:gpr@gpr.com.br