Rede Privada Virtual - VPN

Introduo Aplicaes para redes privadas virtuais Requisitos bsicos Tunelamento Protocolos de tunelamento O funcionamento dos tneis Protocolos Requisitos de tunelamento Tipos de tneis IPSEC Internet Protocol Security Concluso Referncias

O uso de Redes Privadas Virtuais representa uma alternativa interessante na racionalizao dos custos de redes corporativas oferecendo "confidencialidade" e integridade no transporte de informaes atravs de redes pblicas.

Introduo
A idia de utilizar uma rede pblica como a Internet em vez de linhas privativas para implementar redes corporativas denominada de Virtual Private Network (VPN) ou Rede Privada Virtual. As VPNs so tneis de criptografia entre pontos autorizados, criados atravs da Internet ou outras redes pblicas e/ou privadas para transferncia de informaes, de modo seguro, entre redes corporativas ou usurios remotos.

A segurana a primeira e mais importante funo da VPN. Uma vez que dados privados sero transmitidos pela Internet, que um meio de transmisso inseguro, eles devem ser protegidos de forma a no permitir que sejam modificados ou interceptados.

Outro servio oferecido pelas VPNs a conexo entre corporaes (Extranets) atravs da Internet, alm de possibilitar conexes dial-up criptografadas que podem ser muito teis para usurios mveis ou remotos, bem como filiais distantes de uma empresa.

Uma das grandes vantagens decorrentes do uso das VPNs a reduo de custos com comunicaes corporativas, pois elimina a necessidade de links dedicados de longa distncia que podem ser substitudos pela Internet. As LANs podem, atravs de links dedicados ou discados, conectar-se a algum provedor de acesso local e interligar-se a outras LANs, possibilitando o fluxo de dados atravs da Internet. Esta soluo pode ser bastante interessante sob o ponto de vista econmico, sobretudo nos casos em que enlaces internacionais ou nacionais de longa distncia

esto envolvidos. Outro fator que simplifica a operacionalizao da WAN que a conexo LANInternet-LAN fica parcialmente a cargo dos provedores de acesso.

Aplicaes para redes privadas virtuais

Abaixo, so apresentadas as trs aplicaes ditas mais importantes para as VPNs. ACESSO REMOTO VIA INTERNET

O acesso remoto a redes corporativas atravs da Internet pode ser viabilizado com a VPN atravs da ligao local a algum provedor de acesso (Internet Service Provider - ISP). A estao remota disca para o provedor de acesso, conectando-se Internet e o software de VPN cria uma rede virtual privada entre o usurio remoto e o servidor de VPN corporativo atravs da Internet.

CONEXO DE LANS VIA INTERNET

Uma soluo que substitui as conexes entre LANs atravs de circuitos dedicados de longa distncia a utilizao de circuitos dedicados locais interligando-as Internet. O software de VPN assegura esta interconexo formando a WAN corporativa.

A depender das aplicaes tambm, pode-se optar pela utilizao de circuitos discados em uma das pontas, devendo a LAN corporativa estar, preferencialmente, conectada Internet via circuito dedicado local ficando disponvel 24 horas por dia para eventuais trfegos provenientes da VPN.

CONEXO DE COMPUTADORES NUMA INTRANET

Em algumas organizaes, existem dados confidenciais cujo acesso restrito a um pequeno grupo de usurios. Nestas situaes, redes locais departamentais so implementadas fisicamente separadas da LAN corporativa. Esta soluo, apesar de garantir a "confidencialidade" das informaes, cria dificuldades de acesso a dados da rede corporativa por parte dos departamentos isolados.

As VPNs possibilitam a conexo fsica entre redes locais, restringindo acessos indesejados atravs da insero de um servidor VPN entre elas. Observe que o servidor VPN no ir atuar como um roteador entre a rede departamental e o resto da rede corporativa uma vez que o roteador possibilitaria a conexo entre as duas redes permitindo o acesso de qualquer usurio rede departamental sensitiva. Com o uso da VPN o administrador da rede pode definir quais usurios estaro credenciados a atravessar o servidor VPN e acessar os recursos da rede departamental restrita. Adicionalmente, toda comunicao ao longo da VPN pode ser criptografada assegurando a "confidencialidade" das informaes. Os demais usurios no credenciados sequer enxergaro a rede departamental.

Requisitos bsicos
No desenvolvimento de solues de rede, bastante desejvel que sejam implementadas facilidades de controle de acesso a informaes e a recursos corporativos. A VPN deve dispor de recursos para permitir o acesso de clientes remotos autorizados aos recursos da LAN corporativa, viabilizar a interconexo de LANs de forma a possibilitar o acesso de filiais, compartilhando recursos e informaes e, finalmente, assegurar privacidade e integridade de dados ao atravessar a Internet bem como a prpria rede corporativa. A seguir so enumeradas caractersticas mnimas desejveis numa VPN:

Autenticao de Usurios

Verificao da identidade do usurio, restringindo o acesso s pessoas autorizadas. Deve dispor de mecanismos de auditoria, provendo informaes referentes aos acessos efetuados - quem acessou, o qu e quando foi acessado.

Gerenciamento de Endereo

O endereo do cliente na sua rede privada no deve ser divulgado, devendo-se adotar endereos fictcios para o trfego externo.

Criptografia de Dados

Os dados devem trafegar na rede pblica ou privada num formato cifrado e, caso sejam interceptados por usurios no autorizados, no devero ser decodificados, garantindo a privacidade da informao. O reconhecimento do contedo das mensagens deve ser exclusivo dos usurios autorizados.

Gerenciamento de Chaves

O uso de chaves que garantem a segurana das mensagens criptografadas deve funcionar como um segredo compartilhado exclusivamente entre as partes envolvidas. O gerenciamento de chaves deve garantir a troca peridica das mesmas, visando manter a comunicao de forma segura.

Suporte a Mltiplos Protocolos

Com a diversidade de protocolos existentes, torna-se bastante desejvel que uma VPN suporte protocolos padro de fato usadas nas redes pblicas, tais como IP (Internet Protocol), IPX (Internetwork Packet Exchange), etc.

Tunelamento
As redes virtuais privadas baseiam-se na tecnologia de tunelamento cuja existncia anterior s VPNs. Ele pode ser definido como processo de encapsular um protocolo dentro de outro. O uso do tunelamento nas VPNs incorpora um novo componente a esta tcnica: antes de encapsular o pacote que ser transportado, este criptografado de forma a ficar ilegvel caso seja interceptado durante o seu transporte. O pacote criptografado e encapsulado viaja atravs da Internet at alcanar seu destino onde desencapsulado e decriptografado, retornando ao seu formato original. Uma caracterstica importante que pacotes de um determinado protocolo podem ser encapsulados em pacotes de protocolos diferentes. Por exemplo, pacotes de protocolo IPX podem ser encapsulados e transportados dentro de pacotes TCP/IP.

O protocolo de tunelamento encapsula o pacote com um cabealho adicional que contm informaes de roteamento que permitem a travessia dos pacotes ao longo da rede intermediria. Os pacotes encapsulados so roteados entre as extremidades do tnel na rede intermediria. Tnel a denominao do caminho lgico percorrido pelo pacote ao longo da rede intermediria Aps alcanar o seu destino na rede intermediria, o pacote desencapsulado e encaminhado ao

seu destino final. A rede intermediria por onde o pacote trafegar pode ser qualquer rede pblica ou privada.

Note que o processo de tunelamento envolve encapsulamento, transmisso ao longo da rede intermediria e desencapsulamento do pacote.

Protocolos de tunelamento
Para se estabelecer um tnel necessrio que as suas extremidades utilizem o mesmo protocolo de tunelamento.

O tunelamento pode ocorrer na camada 2 ou 3 (respectivamente enlace e rede) do modelo de referncia OSI (Open Systems Interconnection).

Tunelamento em Nvel 2 - Enlace - (PPP sobre IP)

O objetivo transportar protocolos de nvel 3, tais como o IP e IPX na Internet. Os protocolos utilizam quadros como unidade de troca, encapsulando os pacotes da camada 3 (como IP/IPX) em quadros PPP (Point-to-Point Protocol). Como exemplos podemos citar:

PPTP (Point-to-Point Tunneling Protocol) da Microsoft permite que o trfego IP, IPX e NetBEUI sejam criptografados e encapsulados para serem enviados atravs de redes IP privadas ou pblicas como a Internet. L2TP (Layer 2 Tunneling Protocol) da IETF (Internet Engineering Task Force) permite que o trfego IP, IPX e NetBEUI sejam criptografados e enviados atravs de canais de comunicao de datagrama ponto a ponto tais como IP, X25, Frame Relay ou ATM. L2F (Layer 2 Forwarding) da Cisco utilizada para VPNs discadas.

Tunelamento em Nvel 3 - Rede - (IP sobre IP)

Encapsulam pacotes IP com um cabealho adicional deste mesmo protocolo antes de envi-los atravs da rede.

O IP Security Tunnel Mode (IPSec) da IETF permite que pacotes IP sejam criptografados e encapsulados com cabealho adicional deste mesmo protocolo para serem transportados numa rede IP pblica ou privada. O IPSec um protocolo desenvolvido para IPv6, devendo, no futuro, se constituir como padro para todas as formas de VPN caso o IPv6 venha de fato substituir o IPv4. O IPSec sofreu adaptaes possibilitando, tambm, a sua utilizao com o IPv4.

O funcionamento dos tneis

Nas tecnologias orientadas camada 2 (enlace), um tnel similar a uma sesso, onde as duas extremidades do tnel negociam a configurao dos parmetros para estabelecimento do tnel, tais como endereamento, criptografia e parmetros de compresso. Na maior parte das vezes, so utilizado s protocolos que implementam o servio de datagrama. A gerncia do tnel realizada atravs protocolos de manuteno. Nestes casos, necessrio que o tnel seja criado, mantido e encerrado. Nas tecnologias de camada 3, no existe a fase de manuteno do tnel.

Uma vez que o tnel estabelecido os dados podem ser enviados. O cliente ou servidor do tnel utiliza um protocolo de tunelamento de transferncia de dados que acopla um cabealho preparando o pacote para o transporte. S ento o cliente envia o pacote encapsulado na rede que o rotear at o servidor do tnel. Este recebe o pacote, desencapsula removendo o cabealho adicional e encaminha o pacote original rede destino. O funcionamento entre o servidor e o cliente do tnel semelhante.

Protocolos Requisitos de tunelamento

Os protocolos de nvel 2, tais como PPTP e L2TP, foram baseados no PPP, e, como conseqncia, herdaram muito de suas caractersticas e funcionalidades. Estas caractersticas e suas contrapartes de nvel 3 so analisadas juntamente com alguns dos requisitos bsicos das VPNs:

AUTENTICAO DE USURIO

Os protocolos de tunelamento da camada 2 herdaram os esquemas de autenticao do PPP e os mtodos EAP (Extensible Authentication Protocol). Muitos esquemas de tunelamento da camada 3 assumem que as extremidades do tnel so conhecidas e autenticadas antes mesmo que ele seja estabelecido. Uma exceo o IPSec que prov a autenticao mtua entre as extremidades do tnel. Na maioria das implementaes deste protocolo, a verificao se d a nvel de mquina e no de usurio. Como resultado, qualquer usurio com acesso s mquinas que funcionam como extremidades do tnel podem utiliz-lo. Esta falha de segurana pode ser suprida quando o IPSec usado junto com um protocolo de camada de enlace como o L2TP. SUPORTE A TOKEN CARD

Com a utilizao do EAP, os protocolos de tunelamento de camada de enlace podem suportar uma variedade de mtodos de autenticao, tais como senhas e cartes inteligentes (smart cards). Os protocolos de camada 3 tambm podem usar mtodos similares, como, por exemplo, o IPSec que define a autenticao de chave pblica durante a negociao de parmetros feita pelo ISAKMP (Internet Security Association and Key Management Protocol).

ENDEREAMENTO DINMICO

O tunelamento na camada 2 suporta alocao dinmica de endereos baseada nos mecanismos de negociao do NCP (Network Control Protocol). Normalmente, esquemas de tunelamento na camada 3 assumem que os endereos foram atribudos antes da inicializao do tnel. COMPRESSO DE DADOS

Os protocolos de tunelamento da camada 2 suportam esquemas de compresso baseados no PPP. O IETF est analisando mecanismos semelhantes, tais como a compresso de IP, para o tunelamento na camada 3.

CRIPTOGRAFIA DE DADOS

Protocolos de tunelamento na camada de enlace suportam mecanismos de criptografia baseados no PPP. Os protocolos de nvel 3 tambm podem usar mtodos similares. No caso do IPSec so definidos vrios mtodos de criptografia de dados que so executados durante o ISAKMP. Algumas implementaes do protocolo L2TP utilizam a criptografia provida pelo IPSec para proteger cadeias de dados durante a sua transferncia entre as extremidades do tnel.

GERENCIAMENTO DE CHAVES

O MPPE (Microsoft Point-to-Point Encryption), protocolo de nvel de enlace, utiliza uma chave gerada durante a autenticao do usurio, atualizando-a periodicamente. O IPSec negocia uma chave comum atravs do ISAKMP e, tambm, periodicamente, faz sua atualizao. SUPORTE A MLTIPLOS PROTOCOLOS

O tunelamento na camada de enlace suporta mltiplos protocolos o que facilita o tunelamento de clientes para acesso a redes corporativas utilizando IP, IPX, NetBEUI e outros. Em contraste, os protocolos de tunelamento da camada de rede, tais como o IPSec, suportam apenas redes destino que utilizam o protocolo IP.

Tipos de tneis
Os tneis podem ser criados de 2 diferentes formas - voluntrias e compulsrias:

Tnel Voluntrio - um cliente emite uma solicitao VPN para configurar e criar um tnel voluntrio. Neste caso, o computador do usurio funciona como uma das extremidades do tnel e, tambm, como cliente do tnel. Tnel Compulsrio - um servidor de acesso discado VPN configura e cria um tnel compulsrio. Neste caso, o computador do cliente no funciona como extremidade do tnel. Outro dispositivo, o servidor de acesso remoto, localizado entre o computador do usurio e o servidor do tnel, funciona como uma das extremidades e atua como o cliente do tnel.

TUNELAMENTO VOLUNTRIO

Ocorre quando uma estao ou servidor de roteamento utiliza um software de tunelamento cliente para criar uma conexo virtual para o servidor do tnel desejado. O tunelamento voluntrio pode requerer conexes IP atravs de LAN ou acesso discado.

No caso de acesso discado, o mais comum o cliente estabelecer a conexo discada antes da criao do tnel.

Nas LANs, o cliente j se encontra conectado rede que pode prover o roteamento de dados encapsulados para o servidor de tnel selecionado. Este o caso de clientes numa LAN corporativa que inicializa tneis para alcanar uma subrede privada na mesma rede. TUNELAMENTO COMPULSRIO

O computador ou dispositivo de rede que prov o tnel para o computador cliente conhecido de diversas formas: FEP (Front End Processor) no PPTP, LAC (L2TP Access Concentrator) no L2TP ou IP Security Gateway no caso do IPSec. Doravante, adotaremos o termo FEP para denominar esta funcionalidade - ser capaz de estabelecer o tnel quando o cliente remoto se conecta.

No caso da Internet, o cliente faz uma conexo discada para um tnel habilitado pelo servidor de acesso no provedor (ISP). Por exemplo, uma companhia pode ter um contrato com uma ou mais provedores para disponibilizar um conjunto de FEPs em mbito nacional. Estas FEPs podem estabelecer tneis sobre a Internet para um servidor de tnel conectado rede corporativa privada, possibilitando a usurios remotos o acesso rede corporativa atravs de uma simples ligao local.

Esta configurao conhecida como tunelamento compulsrio porque o cliente compelido a usar um tnel criado pelo FEP. Uma vez que a conexo estabelecida, todo o trfego "de/para" o cliente automaticamente enviado atravs do tnel. No tunelamento compulsrio, o cliente faz

uma conexo PPP. Um FEP pode ser configurado para direcionar todas as conexes discadas para um mesmo servidor de tnel ou, alternativamente, fazer o tunelamento individual baseado na identificao do usurio ou no destino da conexo.

Diferente dos tneis individualizados criados no tunelamento voluntrio, um tnel entre o FEP e o servidor de tnel pode ser compartilhado por mltiplos clientes discados. Quando um cliente disca para o servidor de acesso (FEP) e j existe um tnel para o destino desejado, no se faz necessria a criao de um novo tnel redundante. O prprio tnel existente pode transportar, tambm, os dados deste novo cliente. No tunelamento compulsrio com mltiplos clientes, o tnel s finalizado no momento em que o ltimo usurio do tnel se desconecta.

IPSEC Internet Protocol Security

O IPSec um protocolo padro de camada 3 projetado pelo IETF que oferece transferncia segura de informaes fim a fim atravs de rede IP pblica ou privada. Essencialmente, ele pega pacotes IP privados, realiza funes de segurana de dados como criptografia, autenticao e integridade, e ento encapsula esses pacotes protegidos em outros pacotes IP para serem transmitidos. As funes de gerenciamento de chaves tambm fazem parte das funes do IPSec.

Tal como os protocolos de nvel 2, o IPSec trabalha como uma soluo para interligao de redes e conexes via linha discada. Ele foi projetado para suportar mltiplos protocolos de criptografia possibilitando que cada usurio escolha o nvel de segurana desejado.

Os requisitos de segurana podem ser divididos em 2 grupos, os quais so independentes entre si, podendo ser utilizado de forma conjunta ou separada, de acordo com a necessidade de cada usurio:

Autenticao e Integridade; Confidencialidade. Para implementar estas caractersticas, o IPSec composto de 3 mecanismos adicionais:

AH - Autentication Header; ESP - Encapsulation Security Payload; ISAKMP - Internet Security Association and Key Management Protocol.

NEGOCIAO DO NVEL DE SEGURANA

O ISAKMP combina conceitos de autenticao, gerenciamento de chaves e outros requisitos de segurana necessrios s transaes e comunicaes governamentais, comerciais e privadas na Internet. Com o ISAKMP, as duas mquinas negociam os mtodos de autenticao e segurana dos dados, executam a autenticao mtua e geram a chave para criptografar os dados.

Trata-se de um protocolo que rege a troca de chaves criptografadas utilizadas para decifrar os dados. Ele define procedimentos e formatos de pacotes para estabelecer, negociar, modificar e deletar as SAs (Security Associations). As SAs contm todas as informaes necessrias para execuo de servios variados de segurana na rede, tais como servios da camada IP (autenticao de cabealho e encapsulamento), servios das camadas de transporte, e aplicao ou auto-proteo durante a negociao do trfego. Tambm define pacotes para gerao de chaves e autenticao de dados. Esses formatos provm consistncia para a transferncia de chaves e autenticao de dados que independem da tcnica usada na gerao da chave, do algoritmo de criptografia e do mecanismo de autenticao.

O ISAKMP pretende dar suporte para protocolos de segurana em todas as camadas da pilha da rede. Com a centralizao do gerenciamento dos SAs, o ISAKMP minimiza as redundncias funcionais dentro de cada protocolo de segurana e tambm pode reduzir o tempo gasto durante as conexes atravs da negociao da pilha completa de servios de uma s vez.

AUTENTICAO E INTEGRIDADE

A autenticao garante que os dados recebidos correspondem queles originalmente enviados, assim como garante a identidade do emissor. Integridade significa que os dados transmitidos chegam ao seu destino ntegros, eliminando a possibilidade de terem sido modificados no caminho sem que isto pudesse ser detectado.

O AH um mecanismo que prov integridade e autenticao dos datagramas IP. A segurana garantida atravs da incluso de informao para autenticao no pacote a qual obtida atravs de algoritmo aplicado sobre o contedo dos campos do datagrama IP, excluindo-se aqueles que sofrem mudanas durante o transporte. Estes campos abrangem no s o cabealho IP como todos os outros cabealhos e dados do usurio. No IPv6, o campo hop-count e o time-to-live (TTL) do IPv4 no so utilizados, pois so modificados ao longo da transferncia.

Para alguns usurios o uso da autenticao pode ser suficiente no sendo necessria a "confidencialidade". No IPV6, o AH normalmente posicionado aps os cabealhos de fragmentao e End-to-End, e antes do ESP e dos cabealhos da camada de transporte (TCP ou UDP, por exemplo).

CONFIDENCIALIDADE

Propriedade da comunicao que permite que apenas usurios autorizados entendam o contedo transportado. Desta forma, os usurios no autorizados, mesmo tendo capturado o pacote, no podero ter acesso s informaes nele contidas. O mecanismo mais usado para prover esta propriedade chamado de criptografia.

O servio que garante a "confidencialidade" no IPSec o ESP - Encapsulating Security Payload. O ESP tambm prov a autenticao da origem dos dados, integridade da conexo e servio antireply. A "confidencialidade" independe dos demais servios e pode ser implementada de 2 modos - transporte e tnel. No primeiro modo, o pacote da camada de transporte encapsulado dentro do ESP, e, no tnel, o datagrama IP encapsulado inteiro dentro da cabealho do ESP.

Concluso
As VPNs podem se constituir numa alternativa segura para transmisso de dados atravs de redes pblicas ou privadas, uma vez que j oferecem recursos de autenticao e criptografia com nveis variados de segurana, possibilitando eliminar os links dedicados de longa distncia, de alto custo, na conexo de WANs.

Entretanto, em aplicaes onde o tempo de transmisso crtico, o uso de VPNs atravs de redes externas ainda deve ser analisado com muito cuidado, pois podem ocorrer problemas de desempenho e atrasos na transmisso sobre os quais a organizao no tem nenhum tipo de gerncia ou controle, comprometendo a qualidade desejada nos servios corporativos.

A deciso de implementar ou no redes privadas virtuais requer uma anlise criteriosa dos requisitos, principalmente aqueles relacionados a segurana, custos, qualidade de servio e facilidade de uso que variam de acordo com o negcio de cada organizao.

Referncias

"Virtual Private Networking: An Overview" . 29 de Maio de 1998. On-Line. http://www.microsoft.com/workshop/server/feature/vpnovw.asp. 26 de Junho de 1998. Maughan, Douglas; Schertler, Mark; Schneider, Mark; Turner, Jeff. "Internet Security Association and Key Management Protocol (ISAKMP)". 10 de Maro de 1998. On-Line. http://www.imib.med.tu-dresden.de/imib/Internet/Literatur/ ISAKMP/draft-ietf-ipsec-isakmp-09.txt. 28 de Junho de 1998. "Virtual Private Network" . 1998. On-Line. http://www.stts.com.br/vpn.htm. 28 de Junho de 1998. "IPSEC - Internet Protocol Security". Security Project at the TCM Laboratory. On-Line. http://www.tcm.hut.fi/Tutkimus/IPSEC/ipsec.html. 20 de Junho de 1998. Werner, Jos. "Tecnologias para Implantao de Redes Virtuais Privadas" . Frum Nacional sobre Segurana de Redes e Telecomunicaes. Maro/1998. 20 de Junho de 1998. Henthorn, Alex. "VPN - Virtual Private Networks" . Livingston Enterprises, Inc. http://www.cernet.com.br/Livingston/napl/vpn.htm. 22 de Junho de 1998. "VPNs e IP Tunneling". On-Line. http://mingus.modulo.com.br/funciona.htm. 22 de Junho de 1998.