UNIVERSIDADE FEDERAL DE SANTA CATARINA DEPARTAMENTO DE INFORMTICA E ESTATSTICA CURSO DE SISTEMAS DE INFORMAO

http://66.102.1.104/scholar?hl=ptBR&lr=&q=cache:RWdsST5IfCYJ:www.alan.pro.br/files/trabalhos/tcc/A rtigo_VPN-Alan-Rafael.pdf+vpn+instalacao

Virtual Private Network (VPN)

Carlos Henrique Pereira

Florianpolis - SC 2007 / 1
SUMARIO 2007 / 1....................................................................................................................................2 SUMARIO..............................................................................................................................2 1. INTRODUO..................................................................................................................3 2. IPSEC..................................................................................................................................4 2.1. IKE...............................................................................................................................4 2.2. AH................................................................................................................................4 2.3. ESP...............................................................................................................................4 3. CONFIGURAO DA VPN.............................................................................................5 3.1. Cenrio.........................................................................................................................5 3.2. Ferramenta utilizada.....................................................................................................5 3.3. Configurao do FreeS/WAN......................................................................................5 4. TESTES REALIZADOS E RESULTADOS OBTIDOS....................................................6 5. CONCLUSO....................................................................................................................8 6. REFERNCIAS BIBLIOGRFICAS................................................................................9

1. INTRODUO A Rede Privada Virtual ou Virtual Private Network (VPN) um destes mtodos, onde se utiliza um meio pblico de comunicao para o trfego dos dados entre as redes, que geralmente a Internet, reduzindo-se os custos de implementao e manuteno. Sua principal caracterstica criar tneis virtuais de comunicao entre essas redes, de forma que os dados trafeguem criptografados, aumentando a segurana na transmisso e recepo dos dados. Este trabalho explana brevemente o funcionamento do Internet Protocol Security (IPSec), assim como os seus principais componentes e, em seguida, aborda uma implementao desta tecnologia no sistema operacional Linux, detalhando aspectos de sua configurao. Finalmente, sero mostrados os resultados desta implementao, assim como sugestes para trabalhos futuros.

2. IPSEC IPSec um conjunto de protocolos desenvolvido para proteger o trfego dos pacotes IP. Desenvolvido pelo Grupo de Trabalho de Segurana do IP, da Internet Engineering Task Force (IETF), sua principal caracterstica garantir a segurana na comunicao entre o emissor e o receptor, atravs de mecanismos como autenticao, proteo integridade, proteo a ataques do tipo replay e confidencialidade, todos dependendo do conjunto de protocolos a serem utilizados, conforme explicado nas subsees a seguir.

2.1. IKE
O Internet Key Exchange Protocol (IKE), combina os protocolos Internet Security Association and Key Management Protocol (ISAKMP), Secure Key Exchange Mechanism (SKEME) e Oakley Key Determination Protocol, sendo responsvel pelo gerenciamento de chaves. Este protocolo funciona em duas fases: a primeira estabelece um canal de comunicao seguro entre as duas extremidades que desejam trocar dados e a segunda fornece as melhores associaes de segurana para proteger o trfego IP pelo canal de comunicao criado na primeira fase. Uma Associao de Segurana responsvel por alocar informaes sigilosas para a proteo do trfego entre computadores ou gateways, como algoritmos de criptografia, chaves secretas ou seqncia de nmeros.

2.2. AH
O Authentication Header (AH) um protocolo de manipulao de dados IP e fornece autenticao, integridade e proteo a ataques do tipo Replay, utilizando algoritmos simtricos, que dificultam a interceptao de pacotes protegidos pelo AH.

2.3. ESP
O Encapsulation Security Payload (ESP), assim como AH, um protocolo de manipulao de dados IP, que pode ser utilizado em conjunto com este ou separadamente e fornece, alm das caractersticas do AH, a confidencialidade. Onde o cabealho ESP adicionado ao pacote, criptografando a parte relativa aos dados (payload). Esta confidencialidade garantida atravs da utilizao de algoritmos como o Triple-Data Encryption Standard (3DES) ou o Advanced Encryption Standard (AES). 4

3. CONFIGURAO DA VPN

3.1. Cenrio
Para a implementao da VPN. Foram montadas duas redes, chamadas Rede A e Rede B, onde cada componente estava configurado da seguinte forma: Gateways VPN: servidor Debian, compostos de duas interfaces de rede, uma delas direcionada para o host de sua rede e a outra para a Internet; Hosts: estaes de trabalho rodando Windows XP,

3.2. Ferramenta utilizada

O aplicativo FreeS/WAN, desenvolvido em 1996, implementa os protocolos do IPSec, com a finalidade de proteger a comunicao da Internet contra ataques de interceptao, utilizando um mecanismo gratuito. A verso desta ferramenta utilizada neste trabalho foi a 1.99. Por padro, o FreeS/WAN utiliza os algoritmos de chaves assimtricas Rivest Shamir Adleman (RSA) e simtrica 3DES, alm das funes hash MD-5 e SHA-1. Entretanto, diversos programadores contribuem com o projeto atravs de melhorias e funes extras no incorporadas ao programa original, com a finalidade de aumentar a segurana da VPN e flexibilizar a sua utilizao. Dois componentes fundamentais fazem parte do FreeS/WAN: Kernel IPSec Support (KLIPS) e Pluto. O KLIPS faz a interao necessria do IPSec com o kernel do Linux, permitindo o tratamento de pacotes IPSec, incluindo criptografia, clculos de autenticao de pacote, criao dos cabealhos AH e ESP para pacotes que saem e a interpretao dos mesmos para os que entram. responsvel, ainda, por verificar todos os pacotes no-IPSec para assegurar que eles no esto passando pelas polticas de segurana deste protocolo. O Pluto um daemon, que implementa o protocolo IKE, sendo responsvel pelo tratamento das associaes de segurana do ISAKMP; execuo das autenticaes do host e das negociaes com os demais gateways; criao das associaes de segurana do IPSec e repasse dos dados requeridos para rod-los ao KLIPS; e ajuste do roteamento e das configuraes de firewall necessrias para adequao aos requerimentos do IPSec.

3.3. Configurao do FreeS/WAN

A instalao do FreeS/WAN varia entre as diversas distribuies Linux, podendo ser atravs de pacotes Debian ou da compilao dos cdigos fontes. Nesse ltimo mtodo, que foi o adotado neste trabalho, a compilao de um novo kernel com suporte ao IPSec torna-se necessria. Depois de instalado, o FreeS/WAN basear-se- em dois arquivos de configurao: ipsec.secrets e ipsec.conf, que so a base do funcionamento da VPN, pois possuem as configuraes das chaves utilizadas e dos tneis que sero criados, respectivamente. Programa permanentemente ativo em um sistema ligado na rede que aguarda instrues externas para disparar aes especficas. 5

O arquivo ipsec.secrets pode conter tanto chaves secretas pr-compartilhadas quanto chaves assimtricas RSA, dependendo do grau de segurana que se deseja obter. O arquivo ipsec.conf dividido em dois tipos de sees: config setup e conn. O primeiro define as opes que sero utilizadas quando o programa estiver sendo iniciado. Essa seo nica, no existindo outras que iniciem com o parmetro config. O segundo tipo formado por uma ou vrias sees conn, que definem as conexes de rede que sero feitas usando o IPSec. possvel criar uma conexo para cada tnel que se pretenda construir, dependendo de quantas redes pretende-se interligar. Neste trabalho, como havia uma rede, apenas uma seo conn foi criada, sendo chamada de conn redea-redeb. Terminadas essas configuraes, o prximo passo estabelecer o tnel criado, atravs do comando ipsec auto --up redea-redeb. Este comando varia de acordo com o nome dado s sees conn do arquivo ipsec.conf. 4. TESTES REALIZADOS E RESULTADOS OBTIDOS Para verificar se o tnel foi criado corretamente, alguns testes podem ser feitos, como o ping, consulta pelo host remoto atravs do ambiente de rede de um dos hosts ou atravs de um sniffer instalado no gateway (Red Hat). Atravs de um sniffer, possvel identificar o contedo dos pacotes trafegados entre as redes, assim como o protocolo que est sendo utilizado para a comunicao. Neste trabalho, utilizou-se como base alguns testes de ping entre os gateways. Antes de o tnel ser ativado entre eles, observou-se pelo sniffer que o protocolo utilizado era o Internet Control Message Protocol (ICMP), onde era possvel identificar o contedo dos pacotes. Aps a ativao do Programa que monitora o trfego de uma rede. No tnel, isso no era mais possvel, pois as informaes apareciam em formas de cdigos e o protocolo reconhecido era o ESP, garantindo a confidencialidade das informaes transmitidas, caracterstica primordial para o correto funcionamento de uma VPN.

Figura 1 Antes da ativao do tnel

Figura 2 Depois da ativao do tnel

Por utilizar recursos criptogrficos, a comunicao entre as redes torna-se mais lenta, pois o tamanho dos pacotes aumentam. Contudo, informaes sigilosas podem ser transmitidas com mais segurana. Para minimizar este problema, outros algoritmos criptogrficos podem ser utilizados, como o AES, que, segundo testes realizados por entidades como o National Institute of Standards and Technology (NIST), mostrou ser mais veloz e seguro que o 3DES, seu antecessor.

5. CONCLUSO Pde-se observar que a VPN uma tecnologia em crescimento, sendo comercializada, por exemplo, pelas principais empresas de telecomunicaes no Brasil e no mundo. As VPNs cada vez mais esto sendo pesquisadas e incorporadas s organizaes, sejam privadas ou governamentais, em diversos sistemas e ambientes computacionais. Os principais motivos desta crescente procura esto relacionados segurana e economia no trfego das informaes. O FreeS/WAN mostrou-se muito eficaz na implementao dos protocolos do IPSec, alm de ser gratuito e de simples utilizao. Todavia, ele precisa ser ajustado para que o programa original suporte funes extras, como certificados digitais e outros algoritmos de criptografia simtricos, como o AES, de modo a deixar a VPN mais segura e flexvel, uma vez que essas funes s esto disponveis atravs de terceiros.

6. REFERNCIAS BIBLIOGRFICAS CYCLADES. Guia Internet de Conectividade. 6 Edio. SENAC, 2000. FreeS/Wan 1.99. Disponvel em: www.freeswan.org/download.html. FreeS/WAN. FreeS/WAN 1.99 Documentation. Disponvel em: http://www.freeswan.org/freeswan_trees/freeswan-1.99/doc/index.html. NECHVATAL, James et al. Report on the Development of the Advanced Encryption Standard (AES). Disponvel em: http://csrc.nist.gov/encryption/aes/round2/r2report.pdf