VPN - Virtual Private Network

VPN - Virtual Private Network

(Rede Privada Virtual)

GPr Sistemas/ASP Systems - Agosto/2000

Marco Antonio G. Rossi
Oswaldo Franzin

Introduo
O conceito de VPN surgiu da necessidade de se utilizar redes de
comunicao no confiveis para trafegar informaes de forma segura.
As redes pblicas so consideradas no confiveis, tendo em vista que os
dados que nelas trafegam esto sujeitos a interceptao e captura. Em
contrapartida, estas tendem a ter um custo de utilizao inferior aos
necessrios para o estabelecimento de redes proprietrias, envolvendo a
contratao de circuitos exclusivos e independentes.
Com o explosivo crescimento da Internet, o constante aumento de sua rea
de abrangncia, e a expectativa de uma rpida melhoria na qualidade dos
meios de comunicao associado a um grande aumento nas velocidades de
acesso e backbone, esta passou a ser vista como um meio conveniente para
as comunicaes corporativas. No entanto, a passagem de dados sensveis
pela Internet somente se torna possvel com o uso de alguma tecnologia
que torne esse meio altamente inseguro em um meio confivel. Com essa
abordagem, o uso de VPN sobre a Internet parece ser uma alternativa
vivel e adequada. No entanto, veremos que no apenas em acessos
pblicos que a tecnologia de VPN pode e deve ser empregada.
Aplicativos desenvolvidos para operar com o suporte de uma rede privativa
no utilizam recursos para garantir a privacidade em uma rede pblica. A
migrao de tais aplicaes sempre possvel, no entanto, certamente
incorreria em atividades dispendiosas e exigiriam muito tempo de
desenvolvimento e testes. A implantao de VPN pressupe que no haja
necessidade de modificaes nos sistemas utilizados pelas corporaes,
sendo que todas as necessidades de privacidade que passam a ser exigidas
sejam supridas pelos recursos adicionais que sejam disponibilizados nos
sistemas de comunicao.

GPr Sistemas Ltda.

Fone: (19) 3253-1888 http://www.gpr.com.br e-mail:gpr@gpr.com.br

-1

VPN - Virtual Private Network

Funes Bsicas
A utilizao de redes pblicas tende a apresentar custos muito menores que
os obtidos com a implantao de redes privadas, sendo este, justamente o
grande estmulo para o uso de VPNs. No entanto, para que esta abordagem
se torne efetiva, a VPN deve prover um conjunto de funes que garanta
Confidencialidade, Integridade e Autenticidade.

Confidencialidade
Tendo em vista que estaro sendo utilizados meios pblicos de
comunicao, a tarefa de interceptar uma seqncia de dados
relativamente simples. imprescindvel que os dados que trafeguem
sejam absolutamente privados, de forma que, mesmo que sejam
capturados, no possam ser entendidos.

Integridade
Na eventualidade dos dados serem capturados, necessrio garantir
que estes no sejam adulterados e re-encaminhados, de tal forma
que quaisquer tentativas nesse sentido no tenham sucesso,
permitindo que somente dados vlidos sejam recebidos pelas
aplicaes suportadas pela VPN.

Autenticidade
Somente usurios e equipamentos que tenham sido autorizados a
fazer parte de uma determinada VPN que podem trocar dados entre
si; ou seja, um elemento de uma VPN somente reconhecer dados
originados em por um segundo elemento que seguramente tenha
autorizao para fazer parte da VPN.
Dependendo da tcnica utilizada na implementao da VPN, a privacidade
das informaes poder ser garantida apenas para os dados, ou para todo o
pacote (cabealho e dados). Quatro tcnicas podem ser usadas para a
implementao de solues VPN:

Modo Transmisso
Somente os dados so criptografados, no havendo mudana no
tamanho dos pacotes. Geralmente so solues proprietrias,
desenvolvidas por fabricantes.

Modo Transporte
Somente os dados so criptografados, podendo haver mudana no
tamanho dos pacotes. uma soluo de segurana adequada, para

GPr Sistemas Ltda.

Fone: (19) 3253-1888 http://www.gpr.com.br e-mail:gpr@gpr.com.br

-2

VPN - Virtual Private Network

implementaes onde os dados trafegam somente entre dois ns da

comunicao.

Modo Tnel Criptografado

Tanto os dados quanto o cabealho dos pacotes so criptografados,
sendo empacotados e transmitidos segundo um novo endereamento
IP, em um tnel estabelecido entre o ponto de origem e de destino.

Modo Tnel No Criptografado

Tanto os dados quanto o cabealho so empacotados e transmitidos
segundo um novo endereamento IP, em um tnel estabelecido entre
o ponto de origem e destino. No entanto, cabealho e dados so
mantidos tal como gerados na origem, no garantindo a privacidade.
Para disponibilizar as funcionalidades descritas anteriormente, a
implementao de VPN lana mo dos conceitos e recursos de criptografia,
autenticao e controle de acesso.

Criptografia
A criptografia implementada por um conjunto de mtodos de tratamento e
transformao dos dados que sero transmitidos pela rede pblica. Um
conjunto de regras aplicado sobre os dados, empregando uma seqncia
de bits (chave) como padro a ser utilizado na criptografia. Partindo dos
dados que sero transmitidos, o objetivo criar uma seqncia de dados
que no possa ser entendida por terceiros, que no faam parte da VPN,
sendo que apenas o verdadeiro destinatrio dos dados deve ser capaz de
recuperar os dados originais fazendo uso de uma chave.
So chamadas de Chave Simtrica e de Chave Assimtrica as tecnologias
utilizadas para criptografar dados.
Chave Simtrica ou Chave Privada
a tcnica de criptografia onde utilizada a mesma chave para
criptografar e decriptografar os dados. Sendo assim, a manuteno
da chave em segredo fundamental para a eficincia do processo.
Chave Assimtrica ou Chave Pblica
a tcnica de criptografia onde as chaves utilizadas para criptografar
e decriptografar so diferentes, sendo, no entanto relacionadas. A
chave utilizada para criptografar os dados formada por duas partes,
sendo uma pblica e outra privada, da mesma forma que a chave
utilizada para decriptografar.

GPr Sistemas Ltda.

Fone: (19) 3253-1888 http://www.gpr.com.br e-mail:gpr@gpr.com.br

-3

VPN - Virtual Private Network

Algoritmos para Criptografia

DES - Data Encryption Standard
um padro de criptografia simtrica, adotada pelo governo dos EUA
em 1977.
Triple-DES
O Triple-DES uma variao do algoritmo DES, sendo que o processo
tem trs fases: A seqncia criptografada, sendo em seguida
decriptografada com uma chave errada, e novamente criptografada.
RSA - Rivest Shamir Adleman
um padro criado por Ron Rivest, Adi Shamir e Leonard Adleman
em 1977 e utiliza chave pblica de criptografia, tirando vantagem do
fato de ser extremamente difcil fatorar o produto de nmeros primos
muito grandes.
Diffie-Hellman
Foi desenvolvido por Diffie e Hellman em 1976. Este algoritmo
permite a troca de chaves secretas entre dois usurios. A chave
utilizada formada pelo processamento de duas outras chaves uma
pblica e outra secreta.

Integridade
A garantia de integridade dos dados trocados em uma VPN pode ser
fornecida pelo uso de algoritmos que geram, a partir dos dados originais,
cdigos binrios que sejam praticamente impossveis de serem conseguidos,
caso estes dados sofram qualquer tipo de adulterao. Ao chegarem no
destinatrio, este executa o mesmo algoritmo e compara o resultado obtido
com a seqncia de bits que acompanha a mensagem, fazendo assim a
verificao.

Algoritmos para Integridade

SHA-1 - Secure Hash Algorithm One
um algoritmo de hash que gera mensagens de 160 bits, a partir de
uma seqncia de at 264 bits.
MD5 - Message Digest Algorithm 5
um algoritmo de hash que gera mensagens de 128 bits, a partir de
uma seqncia de qualquer tamanho.

GPr Sistemas Ltda.

Fone: (19) 3253-1888 http://www.gpr.com.br e-mail:gpr@gpr.com.br

-4

VPN - Virtual Private Network

Autenticao
A Autenticao importante para garantir que o originador dos dados que
trafeguem na VPN seja, realmente, quem diz ser. Um usurio deve ser
identificado no seu ponto de acesso VPN, de forma que, somente o
trfego de usurios autenticados transite pela rede. Tal ponto de acesso fica
responsvel por rejeitar as conexes que no sejam adequadamente
identificadas. Para realizar o processo de autenticao, podem ser utilizados
sistemas de
identificao/senha,
senhas geradas dinamicamente,
autenticao por RADIUS (Remote Authentication Dial-In User Service) ou
um cdigo duplo.
A definio exata do grau de liberdade que cada usurio tem dentro do
sistema, tendo como conseqncia o controle dos acessos permitidos,
mais uma necessidade que justifica a importncia da autenticao, pois a
partir da garantia da identificao precisa do usurio que poder ser
selecionado o perfil de acesso permitido para ele.

Protocolos para VPN

IPSec
IPSec um conjunto de padres e protocolos para segurana relacionada
com VPN sobre uma rede IP, e foi definido pelo grupo de trabalho
denominado IP Security (IPSec) do IETF (Internet Engineering Task Force).
O IPSec especifica os cabealhos AH (Authentication Header) e ESP
(Encapsulated
Security
Payload),
que
podem
se
utilizados
independentemente ou em conjunto, de forma que um pocote IPSec poder
apresentar somente um dos cabealhos (AH ou ESP) ou os dois cabealhos.

Authentication Header (AH)

Utilizado para prover integridade e autenticidade dos dados presentes
no pacote, incluindo a parte invariante do cabealho, no entanto, no
prov confidencialidade.

GPr Sistemas Ltda.

Fone: (19) 3253-1888 http://www.gpr.com.br e-mail:gpr@gpr.com.br

-5

VPN - Virtual Private Network

Encapsulated Security Payload (ESP)

Prov integridade, autenticidade e criptografia rea de dados do
pacote.
A implementao do IPSec pode ser feita tanto em Modo Transporte como
em Modo Tunel.

PPTP - Point to Point Tunneling Protocol

O PPTP uma variao do protocolo PPP, que encapsula os pacotes em um
tnel IP fim a fim.

L2TP - Level 2 Tunneling Protocol

um protocolo que faz o tunelamento de PPP utilizando vrios protocolos de
rede (ex: IP, ATM, etc) sendo utilizado para prover acesso discado a
mltiplos protocolos.

SOCKS v5
um protocolo especificado pelo IETF e define como uma aplicao cliente servidor usando IP e UDP estabelece comunicao atravs de um servidor
proxy.

GPr Sistemas Ltda.

Fone: (19) 3253-1888 http://www.gpr.com.br e-mail:gpr@gpr.com.br

-6

VPN - Virtual Private Network

VPN para Intranet

Uma Intranet utilizada para
conectar
sites
que
geralmente
possuem
uma
infraestrutura
completa de rede local, podendo, ou
no, ter seus prprios servidores e
aplicativos locais. Tais sites tm em
comum
a
necessidade
de
compartilhar recursos que estejam
distribudos, como bases de dados e
aplicativos, ou mesmo de troca de
informaes, como no caso de email. A Intranet pode ser entendida
como um conjunto de redes locais de uma corporao, geograficamente
distribudas e interconectadas atravs de uma rede pblica de comunicao.
Esse tipo de conexo tambm pode ser chamado de LAN-to-LAN ou Site-toSite.

VPN para Acesso Remoto

chamado de acesso remoto aquele
realizado por usurios mveis que se
utilizam de um computador para
conexo com a rede corporativa,
partindo de suas residncias ou hotis.
Esse tipo de conexo, que tambm
denominado Point-to-Site, est se
tornando cada vez mais utilizada.
Aplicaes tpicas do acesso remoto
so:

Acesso de vendedores para encaminhamento de pedidos, verificao de

processos ou estoques;
Acesso de gerentes e diretores em viagens, mantendo atualizadas suas
comunicaes com sua base de operao, tanto para pesquisas na rede
corporativa como acompanhamento de seu correio eletrnico;
Equipe tcnica em campo, para acesso a sistemas de suporte e
documentao, bem como a atualizao do estado dos atendimentos.

GPr Sistemas Ltda.

Fone: (19) 3253-1888 http://www.gpr.com.br e-mail:gpr@gpr.com.br

-7

VPN - Virtual Private Network

VPN para Extranet

Em
uma
Extranet,
tem-se
a
disponibilidade para o acesso de
parceiros, representantes, clientes e
fornecedores ao ambiente da rede
corporativa.
Esta
comunicao

permitida com o objetivo de agilizar o

processo de troca de informaes entre
as
partes,
estreitando
o
relacionamento, e tornando mais
dinmica e efetiva a interao.
Esse tipo de conexo tambm pode ser
chamado de LAN-to-LAN ou Site-toSite.

Nvel de Segurana
A especificao da VPN a ser implantada deve tomar por base o grau de
segurana que se necessita, ou seja, avaliando o tipo de dado que dever
trafegar pela rede e se so dados sensveis ou no. Dessa definio
depende a escolha do protocolo de comunicao, dos algoritmos de
criptografia e de Integridade, assim como as polticas e tcnicas a serem
adotadas para o controle de acesso. Tendo em vista que todos esses fatores
tero um impacto direto sobre a complexidade e requisitos dos sistemas
que sero utilizados,
quanto mais seguro for o sistema, mais sofisticados e com capacidades de
processamento tero de ser os equipamentos, principalmente, no que se
refere a complexidade e requisitos exigidos pelos algoritmos de criptografia
e integridade.

GPr Sistemas Ltda.

Fone: (19) 3253-1888 http://www.gpr.com.br e-mail:gpr@gpr.com.br

-8