Escolar Documentos
Profissional Documentos
Cultura Documentos
Rede Nacional de Ensino e Pesquisa (RNP) Introduo Aplicaes para redes privadas virtuais Requisitos bsicos Tunelamento Protocolos de tunelamento O funcionamento dos tneis Protocolos Requisitos de tunelamento Tipos de tneis IPSEC Internet Protocol Security Concluso Referncias O uso de Redes Privadas Virtuais representa uma alternativa interessante na racionalizao dos custos de redes corporativas oferecendo "confidencialidade" e integridade no transporte de informaes atravs de redes pblicas.
Introduo
A idia de utilizar uma rede pblica como a Internet em vez de linhas privativas para implementar redes corporativas denominada de Virtual Private Network (VPN) ou Rede Privada Virtual. As VPNs so tneis de criptografia entre pontos autorizados, criados atravs da Internet ou outras redes pblicas e/ou privadas para transferncia de informaes, de modo seguro, entre redes corporativas ou usurios remotos. A segurana a primeira e mais importante funo da VPN. Uma vez que dados privados sero transmitidos pela Internet, que um meio de transmisso inseguro, eles devem ser protegidos de forma a no permitir que sejam modificados ou interceptados. Outro servio oferecido pelas VPNs a conexo entre corporaes (Extranets) atravs da Internet, alm de possibilitar conexes dial-up criptografadas que podem ser muito teis para usurios mveis ou remotos, bem como filiais distantes de uma empresa. Uma das grandes vantagens decorrentes do uso das VPNs a reduo de custos com comunicaes corporativas, pois elimina a necessidade de links dedicados de longa distncia que podem ser substitudos pela Internet. As LANs podem, atravs de links
dedicados ou discados, conectar-se a algum provedor de acesso local e interligar-se a outras LANs, possibilitando o fluxo de dados atravs da Internet. Esta soluo pode ser bastante interessante sob o ponto de vista econmico, sobretudo nos casos em que enlaces internacionais ou nacionais de longa distncia esto envolvidos. Outro fator que simplifica a operacionalizao da WAN que a conexo LAN-Internet-LAN fica parcialmente a cargo dos provedores de acesso.
CONEXO DE LANS VIA INTERNET Uma soluo que substitui as conexes entre LANs atravs de circuitos dedicados de longa distncia a utilizao de circuitos dedicados locais interligando-as Internet. O software de VPN assegura esta interconexo formando a WAN corporativa. A depender das aplicaes tambm, pode-se optar pela utilizao de circuitos discados em uma das pontas, devendo a LAN corporativa estar, preferencialmente, conectada Internet via circuito dedicado local ficando disponvel 24 horas por dia para eventuais trfegos provenientes da VPN.
CONEXO DE COMPUTADORES NUMA INTRANET Em algumas organizaes, existem dados confidenciais cujo acesso restrito a um pequeno grupo de usurios. Nestas situaes, redes locais departamentais so implementadas fisicamente separadas da LAN corporativa. Esta soluo, apesar de garantir a "confidencialidade" das informaes, cria dificuldades de acesso a dados da rede corporativa por parte dos departamentos isolados. As VPNs possibilitam a conexo fsica entre redes locais, restringindo acessos indesejados atravs da insero de um servidor VPN entre elas. Observe que o servidor VPN no ir atuar como um roteador entre a rede departamental e o resto da rede corporativa uma vez que o roteador possibilitaria a conexo entre as duas redes permitindo o acesso de qualquer usurio rede departamental sensitiva. Com o uso da VPN o administrador da rede pode definir quais usurios estaro credenciados a atravessar o servidor VPN e acessar os recursos da rede departamental restrita. Adicionalmente, toda comunicao ao longo da VPN pode ser criptografada assegurando a "confidencialidade" das informaes. Os demais usurios no credenciados sequer enxergaro a rede departamental.
Requisitos bsicos
No desenvolvimento de solues de rede, bastante desejvel que sejam implementadas facilidades de controle de acesso a informaes e a recursos corporativos. A VPN deve dispor de recursos para permitir o acesso de clientes remotos autorizados aos recursos da LAN corporativa, viabilizar a interconexo de LANs de forma a possibilitar o acesso de filiais, compartilhando recursos e informaes e, finalmente, assegurar privacidade e integridade de dados ao atravessar a Internet bem como a prpria rede corporativa. A seguir so enumeradas caractersticas mnimas desejveis numa VPN:
Autenticao de Usurios
Verificao da identidade do usurio, restringindo o acesso s pessoas autorizadas. Deve dispor de mecanismos de auditoria, provendo informaes referentes aos acessos efetuados - quem acessou, o qu e quando foi acessado.
Gerenciamento de Endereo
O endereo do cliente na sua rede privada no deve ser divulgado, devendo-se adotar endereos fictcios para o trfego externo.
Criptografia de Dados
Os dados devem trafegar na rede pblica ou privada num formato cifrado e, caso sejam interceptados por usurios no autorizados, no devero ser decodificados, garantindo a privacidade da informao. O reconhecimento do contedo das mensagens deve ser exclusivo dos usurios autorizados.
Gerenciamento de Chaves
O uso de chaves que garantem a segurana das mensagens criptografadas deve funcionar como um segredo compartilhado exclusivamente entre as partes envolvidas. O gerenciamento de chaves deve garantir a troca peridica das mesmas, visando manter a comunicao de forma segura.
Com a diversidade de protocolos existentes, torna-se bastante desejvel que uma VPN suporte protocolos padro de fato usadas nas redes pblicas, tais como IP (Internet Protocol), IPX (Internetwork Packet Exchange), etc.
Tunelamento
As redes virtuais privadas baseiam-se na tecnologia de tunelamento cuja existncia anterior s VPNs. Ele pode ser definido como processo de encapsular um protocolo dentro de outro. O uso do tunelamento nas VPNs incorpora um novo componente a esta tcnica: antes de encapsular o pacote que ser transportado, este criptografado de forma a ficar ilegvel caso seja interceptado durante o seu transporte. O pacote criptografado e encapsulado viaja atravs da Internet at alcanar seu destino onde desencapsulado e decriptografado, retornando ao seu formato original. Uma caracterstica importante que pacotes de um determinado protocolo podem ser encapsulados em pacotes de protocolos diferentes. Por exemplo, pacotes de protocolo IPX podem ser encapsulados e transportados dentro de pacotes TCP/IP. O protocolo de tunelamento encapsula o pacote com um cabealho adicional que contm informaes de roteamento que permitem a travessia dos pacotes ao longo da rede intermediria. Os pacotes encapsulados so roteados entre as extremidades do tnel na rede intermediria. Tnel a denominao do caminho lgico percorrido pelo pacote ao longo da rede intermediria Aps alcanar o seu destino na rede intermediria, o pacote desencapsulado e encaminhado ao seu destino final. A rede intermediria por onde o pacote trafegar pode ser qualquer rede pblica ou privada.
Note que o processo de tunelamento envolve encapsulamento, transmisso ao longo da rede intermediria e desencapsulamento do pacote.
Protocolos de tunelamento
Para se estabelecer um tnel necessrio que as suas extremidades utilizem o mesmo protocolo de tunelamento. O tunelamento pode ocorrer na camada 2 ou 3 (respectivamente enlace e rede) do modelo de referncia OSI (Open Systems Interconnection).
O objetivo transportar protocolos de nvel 3, tais como o IP e IPX na Internet. Os protocolos utilizam quadros como unidade de troca, encapsulando os pacotes da camada 3 (como IP/IPX) em quadros PPP (Point-to-Point Protocol). Como exemplos podemos citar:
PPTP (Point-to-Point Tunneling Protocol) da Microsoft permite que o trfego IP, IPX e NetBEUI sejam criptografados e encapsulados para serem enviados atravs de redes IP privadas ou pblicas como a Internet. L2TP (Layer 2 Tunneling Protocol) da IETF (Internet Engineering Task Force) permite que o trfego IP, IPX e NetBEUI sejam criptografados e enviados atravs de canais de comunicao de datagrama ponto a ponto tais como IP, X25, Frame Relay ou ATM. L2F (Layer 2 Forwarding) da Cisco utilizada para VPNs discadas.
Encapsulam pacotes IP com um cabealho adicional deste mesmo protocolo antes de envi-los atravs da rede.
O IP Security Tunnel Mode (IPSec) da IETF permite que pacotes IP sejam criptografados e encapsulados com cabealho adicional deste mesmo
protocolo para serem transportados numa rede IP pblica ou privada. O IPSec um protocolo desenvolvido para IPv6, devendo, no futuro, se constituir como padro para todas as formas de VPN caso o IPv6 venha de fato substituir o IPv4. O IPSec sofreu adaptaes possibilitando, tambm, a sua utilizao com o IPv4.
durante a negociao de parmetros feita pelo ISAKMP (Internet Security Association and Key Management Protocol). ENDEREAMENTO DINMICO O tunelamento na camada 2 suporta alocao dinmica de endereos baseada nos mecanismos de negociao do NCP (Network Control Protocol). Normalmente, esquemas de tunelamento na camada 3 assumem que os endereos foram atribudos antes da inicializao do tnel. COMPRESSO DE DADOS Os protocolos de tunelamento da camada 2 suportam esquemas de compresso baseados no PPP. O IETF est analisando mecanismos semelhantes, tais como a compresso de IP, para o tunelamento na camada 3. CRIPTOGRAFIA DE DADOS Protocolos de tunelamento na camada de enlace suportam mecanismos de criptografia baseados no PPP. Os protocolos de nvel 3 tambm podem usar mtodos similares. No caso do IPSec so definidos vrios mtodos de criptografia de dados que so executados durante o ISAKMP. Algumas implementaes do protocolo L2TP utilizam a criptografia provida pelo IPSec para proteger cadeias de dados durante a sua transferncia entre as extremidades do tnel. GERENCIAMENTO DE CHAVES O MPPE (Microsoft Point-to-Point Encryption), protocolo de nvel de enlace, utiliza uma chave gerada durante a autenticao do usurio, atualizando-a periodicamente. O IPSec negocia uma chave comum atravs do ISAKMP e, tambm, periodicamente, faz sua atualizao. SUPORTE A MLTIPLOS PROTOCOLOS O tunelamento na camada de enlace suporta mltiplos protocolos o que facilita o tunelamento de clientes para acesso a redes corporativas utilizando IP, IPX, NetBEUI e outros. Em contraste, os protocolos de tunelamento da camada de rede, tais como o IPSec, suportam apenas redes destino que utilizam o protocolo IP.
Tipos de tneis
Os tneis podem ser criados de 2 diferentes formas - voluntrias e compulsrias:
Tnel Voluntrio - um cliente emite uma solicitao VPN para configurar e criar um tnel voluntrio. Neste caso, o computador do usurio funciona como uma das extremidades do tnel e, tambm, como cliente do tnel. Tnel Compulsrio - um servidor de acesso discado VPN configura e cria um tnel compulsrio. Neste caso, o computador do cliente no funciona como extremidade do tnel. Outro dispositivo, o servidor de acesso remoto, localizado
entre o computador do usurio e o servidor do tnel, funciona como uma das extremidades e atua como o cliente do tnel. TUNELAMENTO VOLUNTRIO Ocorre quando uma estao ou servidor de roteamento utiliza um software de tunelamento cliente para criar uma conexo virtual para o servidor do tnel desejado. O tunelamento voluntrio pode requerer conexes IP atravs de LAN ou acesso discado. No caso de acesso discado, o mais comum o cliente estabelecer a conexo discada antes da criao do tnel. Nas LANs, o cliente j se encontra conectado rede que pode prover o roteamento de dados encapsulados para o servidor de tnel selecionado. Este o caso de clientes numa LAN corporativa que inicializa tneis para alcanar uma subrede privada na mesma rede. TUNELAMENTO COMPULSRIO O computador ou dispositivo de rede que prov o tnel para o computador cliente conhecido de diversas formas: FEP (Front End Processor) no PPTP, LAC (L2TP Access Concentrator) no L2TP ou IP Security Gateway no caso do IPSec. Doravante, adotaremos o termo FEP para denominar esta funcionalidade - ser capaz de estabelecer o tnel quando o cliente remoto se conecta.
No caso da Internet, o cliente faz uma conexo discada para um tnel habilitado pelo servidor de acesso no provedor (ISP). Por exemplo, uma companhia pode ter um contrato com uma ou mais provedores para disponibilizar um conjunto de FEPs em mbito nacional. Estas FEPs podem estabelecer tneis sobre a Internet para um servidor de tnel conectado rede corporativa privada, possibilitando a usurios remotos o acesso rede corporativa atravs de uma simples ligao local. Esta configurao conhecida como tunelamento compulsrio porque o cliente compelido a usar um tnel criado pelo FEP. Uma vez que a conexo estabelecida, todo o trfego "de/para" o cliente automaticamente enviado atravs do tnel. No tunelamento compulsrio, o cliente faz uma conexo PPP. Um FEP pode ser configurado para direcionar todas as conexes discadas para um mesmo servidor de tnel ou, alternativamente, fazer o tunelamento individual baseado na identificao do usurio ou no destino da conexo.
Diferente dos tneis individualizados criados no tunelamento voluntrio, um tnel entre o FEP e o servidor de tnel pode ser compartilhado por mltiplos clientes discados. Quando um cliente disca para o servidor de acesso (FEP) e j existe um tnel para o destino desejado, no se faz necessria a criao de um novo tnel redundante. O prprio tnel existente pode transportar, tambm, os dados deste novo cliente. No tunelamento compulsrio com mltiplos clientes, o tnel s finalizado no momento em que o ltimo usurio do tnel se desconecta.
AH - Autentication Header; ESP - Encapsulation Security Payload; ISAKMP - Internet Security Association and Key Management Protocol.
NEGOCIAO DO NVEL DE SEGURANA O ISAKMP combina conceitos de autenticao, gerenciamento de chaves e outros requisitos de segurana necessrios s transaes e comunicaes governamentais, comerciais e privadas na Internet. Com o ISAKMP, as duas mquinas negociam os mtodos de autenticao e segurana dos dados, executam a autenticao mtua e geram a chave para criptografar os dados. Trata-se de um protocolo que rege a troca de chaves criptografadas utilizadas para decifrar os dados. Ele define procedimentos e formatos de pacotes para estabelecer, negociar, modificar e deletar as SAs (Security Associations). As SAs contm todas as informaes necessrias para execuo de servios variados de segurana na rede, tais como servios da camada IP (autenticao de cabealho e encapsulamento), servios das camadas de transporte, e aplicao ou auto-proteo durante a negociao do trfego. Tambm define pacotes para gerao de chaves e autenticao de dados. Esses
formatos provm consistncia para a transferncia de chaves e autenticao de dados que independem da tcnica usada na gerao da chave, do algoritmo de criptografia e do mecanismo de autenticao. O ISAKMP pretende dar suporte para protocolos de segurana em todas as camadas da pilha da rede. Com a centralizao do gerenciamento dos SAs, o ISAKMP minimiza as redundncias funcionais dentro de cada protocolo de segurana e tambm pode reduzir o tempo gasto durante as conexes atravs da negociao da pilha completa de servios de uma s vez. AUTENTICAO E INTEGRIDADE A autenticao garante que os dados recebidos correspondem queles originalmente enviados, assim como garante a identidade do emissor. Integridade significa que os dados transmitidos chegam ao seu destino ntegros, eliminando a possibilidade de terem sido modificados no caminho sem que isto pudesse ser detectado. O AH um mecanismo que prov integridade e autenticao dos datagramas IP. A segurana garantida atravs da incluso de informao para autenticao no pacote a qual obtida atravs de algoritmo aplicado sobre o contedo dos campos do datagrama IP, excluindo-se aqueles que sofrem mudanas durante o transporte. Estes campos abrangem no s o cabealho IP como todos os outros cabealhos e dados do usurio. No IPv6, o campo hop-count e o time-to-live (TTL) do IPv4 no so utilizados, pois so modificados ao longo da transferncia. Para alguns usurios o uso da autenticao pode ser suficiente no sendo necessria a "confidencialidade". No IPV6, o AH normalmente posicionado aps os cabealhos de fragmentao e Endto-End, e antes do ESP e dos cabealhos da camada de transporte (TCP ou UDP, por exemplo). CONFIDENCIALIDADE Propriedade da comunicao que permite que apenas usurios autorizados entendam o contedo transportado. Desta forma, os usurios no autorizados, mesmo tendo capturado o pacote, no podero ter acesso s informaes nele contidas. O mecanismo mais usado para prover esta propriedade chamado de criptografia. O servio que garante a "confidencialidade" no IPSec o ESP - Encapsulating Security Payload. O ESP tambm prov a autenticao da origem dos dados, integridade da conexo e servio anti-reply. A "confidencialidade" independe dos demais servios e pode ser implementada de 2 modos - transporte e tnel. No primeiro modo, o pacote da camada de transporte encapsulado dentro do ESP, e, no tnel, o datagrama IP encapsulado inteiro dentro da cabealho do ESP.
Concluso
As VPNs podem se constituir numa alternativa segura para transmisso de dados atravs de redes pblicas ou privadas, uma vez que j oferecem recursos de autenticao
e criptografia com nveis variados de segurana, possibilitando eliminar os links dedicados de longa distncia, de alto custo, na conexo de WANs. Entretanto, em aplicaes onde o tempo de transmisso crtico, o uso de VPNs atravs de redes externas ainda deve ser analisado com muito cuidado, pois podem ocorrer problemas de desempenho e atrasos na transmisso sobre os quais a organizao no tem nenhum tipo de gerncia ou controle, comprometendo a qualidade desejada nos servios corporativos. A deciso de implementar ou no redes privadas virtuais requer uma anlise criteriosa dos requisitos, principalmente aqueles relacionados a segurana, custos, qualidade de servio e facilidade de uso que variam de acordo com o negcio de cada organizao.
Referncias
"Virtual Private Networking: An Overview" . 29 de Maio de 1998. On-Line. http://www.microsoft.com/workshop/server/feature/vpnovw.asp. 26 de Junho de 1998. Maughan, Douglas; Schertler, Mark; Schneider, Mark; Turner, Jeff. "Internet Security Association and Key Management Protocol (ISAKMP)". 10 de Maro de 1998. On-Line. http://www.imib.med.tudresden.de/imib/Internet/Literatur/ ISAKMP/draft-ietf-ipsec-isakmp-09.txt. 28 de Junho de 1998. "Virtual Private Network" . 1998. On-Line. http://www.stts.com.br/vpn.htm. 28 de Junho de 1998. "IPSEC - Internet Protocol Security". Security Project at the TCM Laboratory. On-Line. http://www.tcm.hut.fi/Tutkimus/IPSEC/ipsec.html. 20 de Junho de 1998. Werner, Jos. "Tecnologias para Implantao de Redes Virtuais Privadas" . Frum Nacional sobre Segurana de Redes e Telecomunicaes. Maro/1998. 20 de Junho de 1998. Henthorn, Alex. "VPN - Virtual Private Networks" . Livingston Enterprises, Inc. http://www.cernet.com.br/Livingston/napl/vpn.htm. 22 de Junho de 1998. "VPNs e IP Tunneling". On-Line. http://mingus.modulo.com.br/funciona.htm. 22 de Junho de 1998.