VPN - Virtual Private Network

VPN - Virtual Private Network

(Rede Privada Virtual)
GPr Sistemas/ASP Systems - Agosto/2000
Marco Antonio G. Rossi
Oswaldo Franzin
Introduo
O conceito de VP s!rgi! da necessidade de se !tilizar redes de
com!nica"#o n#o con$i%&eis 'ara tra$egar in$orma"(es de $orma seg!ra.
As redes ')*licas s#o consideradas n#o con$i%&eis+ tendo em &ista ,!e os
dados ,!e nelas tra$egam est#o s!-eitos a interce'ta"#o e ca't!ra. .m
contra'artida+ estas tendem a ter !m c!sto de !tiliza"#o in$erior aos
necess%rios 'ara o esta*elecimento de redes 'ro'riet%rias+ en&ol&endo a
contrata"#o de circ!itos e/cl!si&os e inde'endentes.
0om o e/'losi&o crescimento da 1nternet+ o constante a!mento de s!a %rea
de a*rang2ncia+ e a e/'ectati&a de !ma r%'ida mel3oria na ,!alidade dos
meios de com!nica"#o associado a !m grande a!mento nas &elocidades de
acesso e *ac4*one+ esta 'asso! a ser &ista como !m meio con&eniente 'ara
as com!nica"(es cor'orati&as. o entanto+ a 'assagem de dados sens5&eis
'ela 1nternet somente se torna 'oss5&el com o !so de alg!ma tecnologia
,!e torne esse meio altamente inseg!ro em !m meio con$i%&el. 0om essa
a*ordagem+ o !so de VP so*re a 1nternet 'arece ser !ma alternati&a
&i%&el e ade,!ada. o entanto+ &eremos ,!e n#o 6 a'enas em acessos
')*licos ,!e a tecnologia de VP 'ode e de&e ser em'regada.
A'licati&os desen&ol&idos 'ara o'erar com o s!'orte de !ma rede 'ri&ati&a
n#o !tilizam rec!rsos 'ara garantir a 'ri&acidade em !ma rede ')*lica. A
migra"#o de tais a'lica"(es 6 sem're 'oss5&el+ no entanto+ certamente
incorreria em ati&idades dis'endiosas e e/igiriam m!ito tem'o de
desen&ol&imento e testes. A im'lanta"#o de VP 'ress!'(e ,!e n#o 3a-a
necessidade de modi$ica"(es nos sistemas !tilizados 'elas cor'ora"(es+
sendo ,!e todas as necessidades de 'ri&acidade ,!e 'assam a ser e/igidas
se-am s!'ridas 'elos rec!rsos adicionais ,!e se-am dis'oni*ilizados nos
sistemas de com!nica"#o.
GPr Sistemas Ltda. -1
Fone: (19) 3253-1888 http://www.gpr.com.br e-mail:gpr@gpr.com.br
VPN - Virtual Private Network
Funes Bsicas
A !tiliza"#o de redes ')*licas tende a a'resentar c!stos m!ito menores ,!e
os o*tidos com a im'lanta"#o de redes 'ri&adas+ sendo este+ -!stamente o
grande est5m!lo 'ara o !so de VPs. o entanto+ 'ara ,!e esta a*ordagem
se torne e$eti&a+ a VP de&e 'ro&er !m con-!nto de $!n"(es ,!e garanta
Confidencialidade+ Integridade e Autenticidade.
Confidencialidade
7endo em &ista ,!e estar#o sendo !tilizados meios ')*licos de
com!nica"#o+ a tare$a de interce'tar !ma se,82ncia de dados 6
relati&amente sim'les. 9 im'rescind5&el ,!e os dados ,!e tra$eg!em
se-am a*sol!tamente 'ri&ados+ de $orma ,!e+ mesmo ,!e se-am
ca't!rados+ n#o 'ossam ser entendidos.
Integridade
a e&ent!alidade dos dados serem ca't!rados+ 6 necess%rio garantir
,!e estes n#o se-am ad!lterados e re-encamin3ados+ de tal $orma
,!e ,!ais,!er tentati&as nesse sentido n#o ten3am s!cesso+
'ermitindo ,!e somente dados &%lidos se-am rece*idos 'elas
a'lica"(es s!'ortadas 'ela VP.
Autenticidade
Somente !s!%rios e e,!i'amentos ,!e ten3am sido a!torizados a
$azer 'arte de !ma determinada VP 6 ,!e 'odem trocar dados entre
si: o! se-a+ !m elemento de !ma VP somente recon3ecer% dados
originados em 'or !m seg!ndo elemento ,!e seg!ramente ten3a
a!toriza"#o 'ara $azer 'arte da VP.
;e'endendo da t6cnica !tilizada na im'lementa"#o da VP+ a 'ri&acidade
das in$orma"(es 'oder% ser garantida a'enas 'ara os dados+ o! 'ara todo o
'acote <ca*e"al3o e dados=. >!atro t6cnicas 'odem ser !sadas 'ara a
im'lementa"#o de sol!"(es VP?
Modo Transmisso
Somente os dados s#o cri'togra$ados+ n#o 3a&endo m!dan"a no
taman3o dos 'acotes. Geralmente s#o sol!"(es 'ro'riet%rias+
desen&ol&idas 'or $a*ricantes.
Modo Transporte
Somente os dados s#o cri'togra$ados+ 'odendo 3a&er m!dan"a no
taman3o dos 'acotes. 9 !ma sol!"#o de seg!ran"a ade,!ada+ 'ara
GPr Sistemas Ltda. -2
Fone: (19) 3253-1888 http://www.gpr.com.br e-mail:gpr@gpr.com.br
VPN - Virtual Private Network
im'lementa"(es onde os dados tra$egam somente entre dois n@s da
com!nica"#o.
Modo Tnel Criptografado
7anto os dados ,!anto o ca*e"al3o dos 'acotes s#o cri'togra$ados+
sendo em'acotados e transmitidos seg!ndo !m no&o endere"amento
1P+ em !m t)nel esta*elecido entre o 'onto de origem e de destino.
Modo Tnel No Criptografado
7anto os dados ,!anto o ca*e"al3o s#o em'acotados e transmitidos
seg!ndo !m no&o endere"amento 1P+ em !m t)nel esta*elecido entre
o 'onto de origem e destino. o entanto+ ca*e"al3o e dados s#o
mantidos tal como gerados na origem+ n#o garantindo a 'ri&acidade.
Para dis'oni*ilizar as $!ncionalidades descritas anteriormente+ a
im'lementa"#o de VP lan"a m#o dos conceitos e rec!rsos de criptografia+
autenticao e controle de acesso.
Crito!ra"ia
A cri'togra$ia 6 im'lementada 'or !m con-!nto de m6todos de tratamento e
trans$orma"#o dos dados ,!e ser#o transmitidos 'ela rede ')*lica. Am
con-!nto de regras 6 a'licado so*re os dados+ em'regando !ma se,82ncia
de *its <chave= como 'adr#o a ser !tilizado na cri'togra$ia. Partindo dos
dados ,!e ser#o transmitidos+ o o*-eti&o 6 criar !ma se,82ncia de dados
,!e n#o 'ossa ser entendida 'or terceiros+ ,!e n#o $a"am 'arte da VP+
sendo ,!e a'enas o &erdadeiro destinat%rio dos dados de&e ser ca'az de
rec!'erar os dados originais $azendo !so de !ma chave.
S#o c3amadas de Chave Simtrica e de Chave Assimtrica as tecnologias
!tilizadas 'ara cri'togra$ar dados.
Chave Simtrica ou Chave Privada
9 a t6cnica de cri'togra$ia onde 6 !tilizada a mesma chave 'ara
cri'togra$ar e decri'togra$ar os dados. Sendo assim+ a man!ten"#o
da chave em segredo 6 $!ndamental 'ara a e$ici2ncia do 'rocesso.
Chave Assimtrica o! Chave Pblica
9 a t6cnica de cri'togra$ia onde as chaves !tilizadas 'ara cri'togra$ar
e decri'togra$ar s#o di$erentes+ sendo+ no entanto relacionadas. A
chave !tilizada 'ara cri'togra$ar os dados 6 $ormada 'or d!as 'artes+
sendo !ma ')*lica e o!tra 'ri&ada+ da mesma $orma ,!e a chave
!tilizada 'ara decri'togra$ar.
GPr Sistemas Ltda. -3
Fone: (19) 3253-1888 http://www.gpr.com.br e-mail:gpr@gpr.com.br
VPN - Virtual Private Network
Algoritmos para Criptografia
DES Data Encr!ption Standard
9 !m 'adr#o de cri'togra$ia sim6trica+ adotada 'elo go&erno dos .AA
em BCDD.
"ripleDES
O "ripleDES 6 !ma &aria"#o do algoritmo DES+ sendo ,!e o 'rocesso
tem tr2s $ases? A se,82ncia 6 cri'togra$ada+ sendo em seg!ida
decri'togra$ada com !ma chave errada+ e 6 no&amente cri'togra$ada.
#SA #ivest Shamir Adleman
9 !m 'adr#o criado 'or Ron Ri&est+ Adi S3amir e Eeonard Adleman
em BCDD e !tiliza c3a&e ')*lica de cri'togra$ia+ tirando &antagem do
$ato de ser e/tremamente di$5cil $atorar o 'rod!to de n)meros 'rimos
m!ito grandes.
Diffie$ellman
Foi desen&ol&ido 'or ;i$$ie e Fellman em BCDG. .ste algoritmo
'ermite a troca de chaves secretas entre dois !s!%rios. A chave
!tilizada 6 $ormada 'elo 'rocessamento de d!as o!tras chaves !ma
')*lica e o!tra secreta.
Inte!ridade
A garantia de integridade dos dados trocados em !ma VP 'ode ser
$ornecida 'elo !so de algoritmos ,!e geram+ a 'artir dos dados originais+
c@digos *in%rios ,!e se-am 'raticamente im'oss5&eis de serem conseg!idos+
caso estes dados so$ram ,!al,!er ti'o de ad!ltera"#o. Ao c3egarem no
destinat%rio+ este e/ec!ta o mesmo algoritmo e com'ara o res!ltado o*tido
com a se,82ncia de *its ,!e acom'an3a a mensagem+ $azendo assim a
&eri$ica"#o.
Algoritmos para Integridade
S$A% Secure $ash Algorithm &ne
9 !m algoritmo de 3as3 ,!e gera mensagens de BG0 *its+ a 'artir de
!ma se,82ncia de at6 2
GH
*its.
'D( 'essage Digest Algorithm (
9 !m algoritmo de 3as3 ,!e gera mensagens de B2I *its+ a 'artir de
!ma se,82ncia de ,!al,!er taman3o.
GPr Sistemas Ltda. -
Fone: (19) 3253-1888 http://www.gpr.com.br e-mail:gpr@gpr.com.br
VPN - Virtual Private Network
#utenticao
A A!tentica"#o 6 im'ortante 'ara garantir ,!e o originador dos dados ,!e
tra$eg!em na VP se-a+ realmente+ ,!em diz ser. Am !s!%rio de&e ser
identi$icado no se! 'onto de acesso J VP+ de $orma ,!e+ somente o
tr%$ego de !s!%rios a!tenticados transite 'ela rede. 7al 'onto de acesso $ica
res'ons%&el 'or re-eitar as cone/(es ,!e n#o se-am ade,!adamente
identi$icadas. Para realizar o 'rocesso de a!tentica"#o+ 'odem ser !tilizados
sistemas de identi$ica"#o/sen3a+ sen3as geradas dinamicamente+
a!tentica"#o 'or RA;1AS <Remote A!t3entication ;ial-1n Aser Ser&ice= o!
!m c@digo d!'lo.
A de$ini"#o e/ata do gra! de li*erdade ,!e cada !s!%rio tem dentro do
sistema+ tendo como conse,82ncia o controle dos acessos 'ermitidos+ 6
mais !ma necessidade ,!e -!sti$ica a im'ortKncia da a!tentica"#o+ 'ois 6 a
'artir da garantia da identi$ica"#o 'recisa do !s!%rio ,!e 'oder% ser
selecionado o 'er$il de acesso 'ermitido 'ara ele.
Protocolos ara VPN
IPSec
1PSec 6 !m con-!nto de 'adr(es e 'rotocolos 'ara seg!ran"a relacionada
com VP so*re !ma rede 1P+ e $oi de$inido 'elo gr!'o de tra*al3o
denominado 1P Sec!rity <1PSec= do 1.7F <1nternet .ngineering 7as4 Force=.
& 1PSec es'eci$ica os ca*e"al3os AF <A!t3entication Feader= e .SP
<.nca's!lated Sec!rity Payload=+ ,!e 'odem se !tilizados
inde'endentemente o! em con-!nto+ de $orma ,!e !m 'ocote 1PSec 'oder%
a'resentar somente !m dos ca*e"al3os <AF o! .SP= o! os dois ca*e"al3os.
Authentication $eader )A$*
Atilizado 'ara 'ro&er integridade e a!tenticidade dos dados 'resentes
no 'acote+ incl!indo a 'arte in&ariante do ca*e"al3o+ no entanto+ n#o
'ro&2 con$idencialidade.
GPr Sistemas Ltda. -5
Fone: (19) 3253-1888 http://www.gpr.com.br e-mail:gpr@gpr.com.br
VPN - Virtual Private Network
Encapsulated Securit! Pa!load )ESP*
Pro&2 integridade+ a!tenticidade e cri'togra$ia J %rea de dados do
'acote.
A im'lementa"#o do 1PSec 'ode ser $eita tanto em 'odo "ransporte como
em 'odo "unel.
PPTP - Point to Point Tunneling Protocol
O PP7P 6 !ma &aria"#o do 'rotocolo PPP+ ,!e enca's!la os 'acotes em !m
t)nel 1P $im a $im.
L2TP - Level 2 Tunneling Protocol
9 !m 'rotocolo ,!e $az o t!nelamento de PPP !tilizando &%rios 'rotocolos de
rede <e/? 1P+ A7M+ etc= sendo !tilizado 'ara 'ro&er acesso discado a
m)lti'los 'rotocolos.
SC!S v"
9 !m 'rotocolo es'eci$icado 'elo 1.7F e de$ine como !ma a'lica"#o cliente -
ser&idor !sando 1P e A;P esta*elece com!nica"#o atra&6s de !m ser&idor
'ro/y.
GPr Sistemas Ltda. -!
Fone: (19) 3253-1888 http://www.gpr.com.br e-mail:gpr@gpr.com.br
VPN - Virtual Private Network
VPN ara Intranet
Ama 1ntranet 6 !tilizada 'ara
conectar sites ,!e geralmente
'oss!em !ma in$raestr!t!ra
com'leta de rede local+ 'odendo+ o!
n#o+ ter se!s 'r@'rios ser&idores e
a'licati&os locais. 7ais sites t2m em
com!m a necessidade de
com'artil3ar rec!rsos ,!e este-am
distri*!5dos+ como *ases de dados e
a'licati&os+ o! mesmo de troca de
in$orma"(es+ como no caso de e-
mail. A 1ntranet 'ode ser entendida
como !m con-!nto de redes locais de !ma cor'ora"#o+ geogra$icamente
distri*!5das e interconectadas atra&6s de !ma rede ')*lica de com!nica"#o.
.sse ti'o de cone/#o tam*6m 'ode ser c3amado de +A,to+A, o! Siteto
Site.
VPN ara #cesso Re$oto
9 c3amado de acesso remoto a,!ele
realizado 'or !s!%rios m@&eis ,!e se
!tilizam de !m com'!tador 'ara
cone/#o com a rede cor'orati&a+
'artindo de s!as resid2ncias o! 3ot6is.
.sse ti'o de cone/#o+ ,!e tam*6m 6
denominado PointtoSite+ est% se
tornando cada &ez mais !tilizada.
A'lica"(es t5'icas do acesso remoto
s#o?
Acesso de &endedores 'ara encamin3amento de 'edidos+ &eri$ica"#o de
'rocessos o! esto,!es:
Acesso de gerentes e diretores em &iagens+ mantendo at!alizadas s!as
com!nica"(es com s!a *ase de o'era"#o+ tanto 'ara 'es,!isas na rede
cor'orati&a como acom'an3amento de se! correio eletrLnico:
.,!i'e t6cnica em cam'o+ 'ara acesso a sistemas de s!'orte e
doc!menta"#o+ *em como a at!aliza"#o do estado dos atendimentos.
GPr Sistemas Ltda. -"
Fone: (19) 3253-1888 http://www.gpr.com.br e-mail:gpr@gpr.com.br
VPN - Virtual Private Network
VPN ara %&tranet
.m !ma ./tranet+ tem-se a
dis'oni*ilidade 'ara o acesso de
'arceiros+ re'resentantes+ clientes e
$ornecedores ao am*iente da rede
cor'orati&a. .sta com!nica"#o 6
'ermitida com o o*-eti&o de agilizar o
'rocesso de troca de in$orma"(es entre
as 'artes+ estreitando o
relacionamento+ e tornando mais
dinKmica e e$eti&a a intera"#o.
.sse ti'o de cone/#o tam*6m 'ode ser
c3amado de +A,to+A, o! Siteto
Site.
N'vel de (e!urana
A es'eci$ica"#o da VP a ser im'lantada de&e tomar 'or *ase o gra! de
seg!ran"a ,!e se necessita+ o! se-a+ a&aliando o ti'o de dado ,!e de&er%
tra$egar 'ela rede e se s#o dados sens5&eis o! n#o. ;essa de$ini"#o
de'ende a escol3a do 'rotocolo de com!nica"#o+ dos algoritmos de
cri'togra$ia e de 1ntegridade+ assim como as 'ol5ticas e t6cnicas a serem
adotadas 'ara o controle de acesso. 7endo em &ista ,!e todos esses $atores
ter#o !m im'acto direto so*re a com'le/idade e re,!isitos dos sistemas
,!e ser#o !tilizados+
,!anto mais seg!ro $or o sistema+ mais so$isticados e com ca'acidades de
'rocessamento ter#o de ser os e,!i'amentos+ 'rinci'almente+ no ,!e se
re$ere a com'le/idade e re,!isitos e/igidos 'elos algoritmos de cri'togra$ia
e integridade.
GPr Sistemas Ltda. -8
Fone: (19) 3253-1888 http://www.gpr.com.br e-mail:gpr@gpr.com.br