UNEB UNIO EDUCACIONAL DE BRASLIA CURSO: ADMINISTRAO DE SISTEMAS DE INFORMAO DISCIPLINA: SEGURANA DE REDES

2 Trabalho de Segurana de Redes

VPN VPDN L2TP

Aluno: Ericco Campos Bazzo Matricula: 0505056-2 ndice 1. Virtual Private Network.............................................................................................3 1.1 Principais Aplicaes...............................................................................................3 1.2 Requisitos..................................................................................................................3 2. Virtual Private Dial-Up Networks..............................................................................4 2.1Layer 2 Forwarding Protocol...................................................................................4 2.2Point-to-Point Tunneling Protocol...........................................................................5 2.3Layer 2 Tunneling Protocol.....................................................................................5 2.4Utilizao....................................................................................................................5

1. Virtual Private Network As VPNs so tneis de criptografia entre pontos autorizados, criados atravs da Internet ou outras redes pblicas e/ou privadas para transferncia de informaes, de modo seguro, entre redes corporativas ou usurios remotos. A segurana a primeira e mais importante funo da VPN. Uma vez que dados privados sero transmitidos pela Internet, que um meio de transmisso inseguro, eles devem ser protegidos de forma a no permitir que sejam modificados ou interceptados. Outro servio oferecido pelas VPNs a conexo entre empresas atravs da Internet, alm de possibilitar conexes dial-up criptografadas que podem ser muito teis para usurios mveis ou remotos, bem como filiais distantes de uma empresa. Tambm podemos citar como principais vantagens das VPNs: 1. Uma matriz pode se conectar com filiais como se estivessem na mesma rede; 2. A transmisso de dados, ou voz e dados, seja nacional ou internacional pode ser implementada com baixo custo; 3. Utilizao de voz sobre IP, tornando-se um produto completo e eficiente na reduo dos custos corporativos. 1.1 Principais Aplicaes a) Acesso Remoto : O acesso remoto a redes corporativas atravs da Internet pode ser viabilizado com a VPN atravs da ligao local a algum provedor de acesso. A estao remota disca para o provedor de acesso, conectando-se Internet e o software de VPN cria uma rede virtual privada entre o usurio remoto e o servidor de VPN corporativo atravs da Internet. b) Conexo entre computadores na mesma rede: As VPNs possibilitam a conexo fsica entre redes locais, restringindo acessos indesejados atravs da insero de um servidor VPN entre elas. Com o uso da VPN o administrador da rede pode definir quais usurios estaro credenciados a atravessar o servidor VPN e acessar os recursos da rede departamental restrita. Adicionalmente, toda comunicao ao longo da VPN pode ser criptografada assegurando a segurana das informaes. c) Conexo de Lans via Internet: Soluo que substitui as conexes entre LANs atravs de circuitos dedicados de longa distncia a utilizao de circuitos dedicados locais interligando-as Internet. O software de VPN assegura esta interconexo formando a WAN corporativa.

1.2 Requisitos

A VPN deve dispor de recursos para permitir o acesso de clientes remotos autorizados aos recursos da LAN corporativa, viabilizar a interconexo de LANs de forma a possibilitar o acesso de filiais, compartilhando recursos e informaes e, finalmente, assegurar privacidade e integridade de dados ao atravessar a Internet bem como a prpria rede corporativa. A seguir so enumeradas caractersticas mnimas desejveis numa VPN: a) Autenticao de Usurios : Verificao da identidade do usurio, restringindo o acesso s pessoas autorizadas. Deve dispor de mecanismos de auditoria, provendo informaes referentes aos acessos efetuados - quem acessou, o qu e quando foi acessado. b) Gerenciamento de Endereo : O endereo do cliente na sua rede privada no deve ser divulgado, devendo-se adotar endereos fictcios para o trfego externo. c) Criptografia de Dados : Os dados devem trafegar na rede pblica ou privada num formato cifrado e, caso sejam interceptados por usurios no autorizados, no devero ser decodificados, garantindo a privacidade da informao. O reconhecimento do contedo das mensagens deve ser exclusivo dos usurios autorizados. d) Gerenciamento de Chaves : O uso de chaves que garantem a segurana das mensagens criptografadas deve funcionar como um segredo compartilhado exclusivamente entre as partes envolvidas. O gerenciamento de chaves deve garantir a troca peridica das mesmas, visando manter a comunicao de forma segura. e) Suporte a Mltiplos Protocolos : Com a diversidade de protocolos existentes, torna-se bastante desejvel que uma VPN suporte protocolos padro de fato usadas nas redes pblicas, tais como IP, IPX , etc.

2. Virtual Private Dial-Up Networks uma arquitetura de rede que utiliza o mesmo princpio das VPN, com encriptao de dados. A diferena principal que numa VPN a conexo entre o servidor e o cliente feita via Internet, enquanto numa VPDN o cliente disca diretamente para o servidor. Os dados no so transportados atravs da Internet. Para isso so usados 3 protocolos: o Layer 2 Forwarding (L2F); o Point-to-Point Tunneling Protocol (PPTP) e o Layer 2 Tunneling Protocol (L2TP). 2.1 Layer 2 Forwarding Protocol O Layer 2 Forwarding (L2F) protocol foi criado pele Cisco Systems. Permite o tunneling da camada de link, isto de tramas HDLC, HDLC assncrono ou SLIP (Serial Line Internet Protocol) de protocolos de nvel mais elevado. A figura seguinte mostra o formato do pacote encapsulado em tnel. 2.2 Point-to-Point Tunneling Protocol

O Point-to-Point Tunneling Protocol (PPTP) foi iniciado pela Microsoft. uma arquitectura cliente/servidor que permite criar um tnel para o PPP atravs de uma rede IP. A principal diferena em relao ao L2F consiste em que ele subdivide as funcionalidades tradicionais do NAS. 2.3 Layer 2 Tunneling Protocol O L2TP uma extenso para o protocolo PPP que habilita o ISP operar VPNs. L2TP engloba as melhores caractersticas de dois outros protocolos de tunelamento: PPTP da Microsoft e L2F da Cisco Systems. Como PPTP, L2TP requer que os roteadores do ISP suportem estes protocolos. Uma vez que o L2F e o PPTP fornecem similaridades semelhantes, Cisco e Microsoft, juntamente com outros fornecedores, colaboraram para o estabelecimento de um unico standard. Este protocolo considerado ainda em desenvolvimento o L2TP. De uma forma semelhante ao PPTP, L2TP define duas entidades: a) L2TP Access Concentrator (LAC), implementa o meio sobre o qual vai operar o L2TP. b) L2TP Network Server, que opera em qualquer plataforma que suporta terminaes PPP. Manipula o lado servidor do protocolo L2TP. O L2TP fornece a flexibilidade e escalabilidade do IP com a privacidade do Frame Relay ou ATM (Asynchronous Transfer Mode), permitindo que servios de rede sejam enviados em redes roteadas IP. As decises so tomadas nas terminaes dos tneis ou VPNs, e comutadas sem a necessidade de processamento nos ns intermedirios. As seguintes vantagens so oferecidas pelo L2TP: a) permite o transporte de protocolos que no o IP, como o IPX (Internetwork Packet Exchange, da Novell/Xerox) e o SNA, assim como outros protocolos dos terminais; b) mecanismo simples de tunelamento para implementar funcionalidades de LAN e IP de forma transparente, possibilitando servios de VPN IP de forma bastante simples; c) simplifica a interao entre as redes do cliente e do provedor; d) fcil configurao para o cliente. 2.4 Utilizao Todas os protocolos descritos suportam funcionalidades semelhantes. Entretanto todos eles diferenciam-se do suporte fornecido pelo servio normal de acesso Internet pela autenticao, autorizao, alocao de endereos e contabilizao, como vemos a seguir:
Cenario Normal O ISP usa o NAS em conjunto com um servidor de controlo de segurana para um processo de autenticao em que testa o nome e password do utilizador remoto. VPDN o ISP prossegue a autenticao para chegar ao gateway da empresa. Uma vez determinado iniciada uma conexo com a informao de autenticao obtida pelo ISP. Toda a informao que passa no tnel

Autenticao

Autorizao

A autorizao no acesso tradicional Internet definida pelo ISP A Internet alotado dinamicamente a partir de um conjunto de endereos do ISP. O gateway da empresa faz contabilizao de pacotes, octetos, tempos de inicio e fim da conexo.

Endereamento Contabilizao

encriptada. tambm mantido um n. de sequncia para prevenir duplicao dos pacotes. as autorizaes detalhadas so fornecidas directamente pela rede empresarial, como se o utilizador fosse um utilizar local da rede No servio VPDN a gateway da empresa pode alocar endereos internos da rede empresarial. O gateway da empresa pode por ex. rejeitar tentativas de conexo, que falharam mais do que n vezes a introduo de dados de segurana.