Instituto Superior de Tecnologia em Cincias da Computao de Petrpolis

VPN Virtual Private Network

Por: Bruno Fagundes

Segurana
Confidencialidade; Integridade; Autenticidade; Disponibilidade;

Criptografia
Criptografia de bloco; Criptografia de fluxo; Simtrica
Algoritmos: AES, RC4, 3DES;

Criptografia
Assimtrica
Chaves pblicas e chaves privadas; Algoritmos: ECC, RSA;

Vantagens / Desvantagens

Hash
Caractersticas
Mapeia um valor de entrada em um valor de sada; No existe correlao direta entre estes valores; A sada possui um tamanho fixo.

Propriedades
A partir do hash desejvel que no seja possvel descobrir a mensagem original; improvvel que se encontrem duas mensagens com o mesmo hash.

Algoritmos: MD5, SHA-1, SHA-2

Assinatura Digital

Ataques
Engenharia Social; Criptoanlise; Fora bruta; Men-in-the-middle; Replay;

Firewall
O que um firewall pode fazer? O que um firewall no pode fazer? Conceitos
Bastion host; DMZ;

Firewall
Filtro de pacotes

Firewall
Servidor Proxy e Proxy Cache

Firewall
Statefull

Firewall
Dual homed-host

Firewall
Screened host

Firewall
Screened Subnet

VPN
Motivao; Tunelamento;
Forma como os dados trafegam pela conexo. O pacote criptografado e encapsulado dentro de outro pacote e ento enviado.

Autenticao das extremidades;

Garantir que somente usurios autorizados possam utilizar o servio.

Transporte subjacente.
Adio de novos cabealhos aos pacotes permitindo sua instalao em qualquer ponto da rede.

VPN
Topologia host-host

VPN
Topologia host-gateway

VPN
Topologia gateway-gateway

VPN
Protocolo PPTP
Criado pelo PPTP Frum. Utiliza uma verso modificada do protocolo GRE para tunelamento.

VPN
Protocolo PPTP
Funcionamento

VPN
Protocolo L2F
Independente do IP Funcionamento

VPN
Protocolo L2TP
Rene as melhores caractersticas do PPTP e L2F; Possui dois modos de tunelamento:
Voluntrio Compulsrio

VPN
Protocolo L2TP
Funcionamento

VPN
IPSec
a alternativa segura para a nova gerao IP Trabalha com dois modos:
Modo transporte; Modo tunel;

VPN
IPSec
SA (Security Association); Bancos de dados de segurana
SPD (Security Policy Database); SAD (Security Association Database);

VPN
IPSec Caractersticas principais:
AH Authentication Header;
Integridade e autenticidade

ESP Encapsulation Header Payload;

Confidencialidade;

VPN
IPSec Carasctersticas principais
IKE Internet Key Exchange
Gerncia automtica de chaves, combina o ISAKMP (distribuio da chaves) com o OAKEY (gerao das chaves)

VPN
SSL
SSL/TSL (Netscape/IETF) Objetivos (por prioridade)
Sigilo e segurana dos dados; Garantir interoperabilidade; Estrutura para incorporar novos mtodos de criptografia; Armazenamento temporrio de dados na sesso o que melhorar o desempenho do protocolo.

VPN
SSL/TSL
Atua entre a camada de Aplicao e a camada de Transporte do protocolo TCP.

VPN
SSL
SSL Handshake
Autenticao do cliente e do servidor; Fornece os parmetros para o funcionamento do SSL Record; constitudo de duas fases;
1 escolha da chave, autenticao do servidor e a troca da chave mestra; 2 feita autenticao do cliente

VPN
SSL
SSL Record
Encapsula protocolos de nvel superior; Prov servios de autenticao, encriptao, fragmentao e compresso de dados;

VPN
Implementao
Para demonstrar a utilizao de uma VPN foi adotado o software OpenVPN, por utilizar o SSL/TSL para criao dos tneis e por ser uma ferramenta open-source. Foram apresentadas topologias host-gateway e gateway-gateway com o intuito de abordar as formas mais comuns de sua implantao. Esta implementao est rodando no LNCC.

VPN
Concluso
Ao final deste trabalho pode se perceber que as solues VPN mais seguras so baseadas em IPSec ou SSL; certamente a maneira mais econmica e segura de se conectar redes atravs de um meio pblico; No basta apenas uma VPN para ter trfego seguro entre duas redes, tambm so necessrias outras formas de proteo; Aplicaes com tempo de transmisso crtico podem apresentar problemas quando utilizadas em uma conexo VPN.

Dvidas e Perguntas Obrigado!