Você está na página 1de 10

Universidade Federal do Rio de Janeiro

Escola Politcnica
DEL Departamento de Eletnica e de Computao

REDES VPN E PROTOCOLO IPSEC

Marcella Delfraro Pinto Nunes


Prof. Otto

Julho/2004

REDES VPN E PROTOCOLO IPSEC


1. Introduo
VPN (Virtual Private Network) uma rede virtual privada construda sobre a
infra-instrutura de uma rede pblica, normalmente a Internet. Atravs dela
duas ou mais redes podero ser interligadas, como por exemplo filiais de
uma mesma empresa. As vantagens da utilizao de uma VPN a
integrao
entre redes distantes, flexibilidade para conectar diversas
redes, baixo custo de implantao, alm de ser uma soluo segura (dados
criptografados) e transparente.
A conexo VPN entre duas redes feita atravs de um tnel virtual, para
sua formao necessrio utilizar um protocolo de tunelamento. Para esse
tunelamento pode ser utilizado algum dos protocolos listados abaixo:
IPSec Internet Protocol Security
L2TP Layer 2 Tunneling Protocol
L2f - Layer 2 Forwarding
PPTP Point-to-Pont Tunneling Protocol
No nosso trabalho estudaremos Redes VPN com o protocolo IPSec, pois
esse o que oferece a estrutura mais completa para uma VPN.
2. Caractersticas fundamentais numa VPN
Uma VPN realiza uma conexo entre duas ou mais redes privativas por
intermdio de uma rede pblica ou Internet, ela transporta informaes de
forma segura em redes aberta e substitui com vantagem as linhas
privativas. Alm disso, oferece um sofisticado nvel de segurana, enquanto
tambm tiram proveito da escala, cobertura e acessibilidade oferecidas
pelas facilidades pblicas.
um recurso efetivo para a troca de informaes crticas entra a empresa e
seus empregados que trabalham distantes da sede, nas filiais ou em
servios de campo.
Uma das grandes vantagens decorrentes do uso das VPNs, e um dos
fatores mais relevantes ao se projetar uma VPN, como j foi dito antes, a
reduo de custos com comunicaes corporativas, pois elimina a
necessidade de links dedicados de longa distncia que podem ser
substitudos pela Internet. Outro fato que pode ser citado a facilidade de
intalao.
Uma VPN pode ser desenvolvida de DUAS formas:
a - Conexo de um host em um provedor de acesso a Internet,
permitindo a conexo de um usurio remoto atravs de um tnel seguro.

Fig01:Host conecta em um provedor Internet

b - Duas redes se interligam, atravs de hosts com link dedicado ou


discado via Internet, formando assim um tnel entre elas.

Fig02:Duas redes interligadas atraves de Hosts com link dedicado ou discado

A segurana a primeira e mais importante funo da VPN. Uma vez que


dados privados sero transmitidos pela Internet, que um meio de
transmisso inseguro, eles devem ser protegidos de forma a no permitir
que sejam modificados ou interceptados. fundamental manter a
privacidade e a integridade dos dados que atravessam a rede no confivel
(por ter acessos de terceiros) e manipular toda a faixa de protocolos da
Internet de forma transparente.
Para o bom funcionamento de uma VPN, temos que conseguir algumas
caracterticas mnimas:
Autenticao de usurios restringir o acesso para
pessoas autorizadas.

Criptografia de dados Garantir a privacidade da


informao Como passar por uma rede pblica, os dados devem ser
criptografados para que caso algum no autorizado pegue os dados, no
consiga reconhecer o contedo da mensagem.

Gerenciamento de chaves o uso de chaves deve


funcionar como um servio compartilhado exclusivamente entre as partes
envolvidas.

3. Vantagens das VPNs


3.1
privativas)

Reduzir

custo

de

comunicaes

(telefones

linhas

3.2 Segurana conforme os padres modernos com suporte


autenticao e criptografia e administrao das chaves.
3.3 Suporte para protocolos existentes (TCP/IP, IPX/SPX e
NetBUI)
3.4 Gerenciamento dos endereos internos do IP
4. Tipos de VPN
4.1.

VPN de acesso

Oferece um acesso remoto rede intranet ou extranet em cima de uma


infra-estrutura qye compartilha as mesmas polticas da rede privada. Por
intermdio da VPN o usurio ganha um meio de acesso seguro aos recursos
corporativos onde quer que esteja e quando necessrio.

Fig3:VPN de Acesso

4.2.

VPN para Intranet

As ligaes interligam e integram a rede da sede, os escritrios remotos e


as filiais em cima de uma infra-estrutura compartilhada. Os negcios
utilizam da mesma poltica da rede privativa assim como segurana,
qualidade de servio, gerenciamento e confiabilidade.

Fig4:VPN para Intranet

4.3.

VPN para Extranet

Realiza perfis de interao por meio da rede Internet com uma infraestrutura compartinhada que usa conexes dedicadas: cadeias entre
clientes e fornecedores, empresas e scios, comunidades de interesse
comum.

Fig5:VPN para extranet

5. Tunelamento
As redes virtuais privadas baseiam-se no protocolo de tunelamento. O uso
do tunelamento nas VPNs incorpora um novo componente a esta tcnica,
antes de encapsular o pacote, ele criptografado. Esse protocolo de
tunelamento encapsula o pacote com um cabealho adicional que contm
as informaes de roteamento.
O chamado tnel o caminho lgico percorrido pelo pacote ao longo da
rede intermediria.
Enfim, o processo de tunelamento envolve encapsulamento, transmisso ao
longo da rede intermediria e desencapsulamento do pacote.

Fig6: Mostrando o tunelamento e a passagem do pacote por ele

5.1.

Protocolos de tunelamento

Para se estabelecer um tnel necessrio que as extrmidades utilizem o


mesmo protocolo. O tunelamento pode ocorrer tanto na camada 2 quanto
na camada 3
5.1.1. Tunelamento em nvel 2
Os protocolos utilizam quadros como unidade de troca,
encapsulando os pacotes da camada 3 (como IP/IPX) em quadros PPP
(Point-to-Point Protocol).

PPTP (Point-to-Point Tunneling Protocol) da


Microsoft

L2TP (Layer 2 Tunneling Protocol) da IETF


(Internet Engineering Task Force)

L2F (Layer 2 Forwarding) da Cisco


5.1.2. Tunelamento em nvel 3
Encapsulam pacotes IP com um cabealho adicional deste
mesmo protocolo antes de envi-los atravs da rede.

O IP Security Tunnel Mode (IPSec) da IETF


E o IPSec que detalharemos nos itens a seguir.
5.2.

Tipos de tneis

Os tneis podem ser criados de duas maneiras diferentes, voluntariamente


ou compulsriamente.
5.2.1. Tunelamento voluntrio
O cliente emite uma solicitao VPN para configurar e criar
um tnel voluntrio. Neste caso, o computador do usurio funciona como
uma das extremidades do tnel e, tambm, como cliente do tnel.
5.2.2. Tunelamento compulsrio
Um servidor de acesso discado VPN configura e cria um tnel
compulsrio. Neste caso, o computador do cliente no funciona como
extremidade do tnel. Outro dispositivo, o servidor de acesso remoto,
localizado entre o computador do usurio e o servidor do tnel, funciona
como uma das extremidades e atua como o cliente do tnel.
6. IPSec
O Protocolo IPSec implementa uma forma de tunelamento na camada da
rede (IP) e parte das especificaes da pilha de protocolos IPV6. Ele
fornece autenticao em nvel da rede, a verificao da integridade de
dados e transmisso com criptografia e chaves fortes de 128 bits.
Implementa um alto grau de segurana na transmisso das informaes.

O protocolo IPSec dificulta de maneira permanente uma eventual tentativa


de ataque vindo por parte do hacker, tornando muito dificil fazer um
grampo em linhas de comunicao e obter qualquer informao til do
trafego da rede.
6.1.

Elementos do IPSec:

O IPSec utiliza os seguintes elementos principais para proteger a


comunicao via rede:
6.1.1.
Cabealho de autenticao (AH) efetua uma
autenticao e verificao da integridade dos dados.
O processo de
autenticao impede a recepo em estaes sem autorizao, evita
eventuais tentativas de falsificao ou alterao de informaes ao longo da
rota. Nao permite a criptografia dos dados, portante til principalmente
quando a verificao da integridade necessria, mas no o sigilo.
6.1.2.
Carga de empacotamento (ESP) uma forma de
transporte segura e tempo finalidade evitar a interceptao, a leitura dos
dados por terceiros, ou uma eventual cpia dos dados. Alm disso, ele
tambm fornece verificao de integridade.
Considerando que a ESP pode fazer tudo o que o AH pode fazer e ainda
mais eficiente durante a inicializao, ele s no substitui o AH pois este
capaz de verificar uma parte do cabealho IP que a ESP no faz.
6.2.

Modos de funcionamento

O IPSec pode ser usado em dois modos, Transporte e Tunel.


6.2.1.
Modo de transporte
Nesse modo apenas o segmento da camada de transporte processado, ou
seja , autenticado e criptografado. Nesse caso o cabealho IPSec inserido
logo aps do cabealho IP. O campo Protocol do cabealho IP alterado pra
indicar que um cabealho IPSec segue o cabealho IP normal. O cabealho
IPSec possui informaes de segurana, principalmente o identificador SA,
um novo nmero de sequncia e, possivelmente alguma verificao da
carga .

Fig7: Modo Transporte

6.2.2.
Modo Tnel
Nesse modo, todo o pacote IP autenticado ou criptografado. No modo
tnel, todo o pacote IP, incluindo o cabealho, encapsulado no corpo de
um novo pacote IP com um cabealho IP completamente novo. Esse modo
til quando o tnel termina em um local diferente do destino final.
Tambm til quando um conjunto de conexes TCP agregado e tratado
como um nico fluxo codificado, pois isso evita com que terceiros
descubram quem est enviando, quem est recebendo e a quantidade de
pacotes circulados pela rede. Muitas vezes um simples conhecimento da
quantidade de trfego e de seu destino uma informao valiosa.

Fig8: Modo Tnel

6.3.

Gerenciamento de Chaves:

O Gerenciamento de chaves pelo IPSec pode ser manual ou automtico


dependendo do nmero de sites conectados. O protocolo padro para esse
gerenciamento o IKE (Internet Key Management)., que a combinao
do ISAKMP (Internet Security Association and Key Management Protocol) e
o protocolo Oakley. O IKE opera em duas fases, primeiro dois pares
estabelecem um canal seguro, em seguida os dos pares negociam os SA
(transao de segurana) de propsito geral.
O protocolo IPSec fornece o que h de melhor no mercado atual em termos
de proteo do trfego e rede IP. Seu uso no se limita apenas criao

dos VPNs, mas sim a todos od ambientes expostos e sensveis aos aspectos
de segurana.

Bibliografia
http://www.cic.unb.br/docentes/pedro/trabs/vpn.pdf
http://www.cic.unb.br/docentes/pedro/trabs/IPsec.rtf
http://www.cert-rs.tche.br/docs_html/ipsec.html
http://www.rnp.br/newsgen/9811/vpn.html
http://www.vpnlabs.org
Redes de Computadores - Andrew S. Tanenbaum
Protocolos e aplicaes para Redes de Computadores - Claude
Falbriard