Rede Privada Virtual

VPN
Prof: Paulo Afonso

Rede Privada Virtual VPN

O uso de Redes Privadas Virtuais representa uma
alternativa interessante na racionalizao dos custos
de redes corporativas oferecendo "confidencialidade"
e integridade no transporte de informaes atravs
de redes pblicas.
A idia de utilizar uma rede pblica como a Internet
em vez de linhas privativas para implementar redes
corporativas denominada de Virtual Private
Network (VPN) ou Rede Privada Virtual. As VPNs so
tneis de criptografia entre pontos autorizados,
criados atravs da Internet ou outras redes pblicas
e/ou privadas para transferncia de informaes, de
modo seguro, entre redes corporativas ou usurios
remotos.

Rede Privada Virtual VPN

A segurana a primeira e mais importante funo da VPN. Uma vez que
dados privados sero transmitidos pela Internet, que um meio de
transmisso inseguro, eles devem ser protegidos de forma a no permitir
que sejam modificados ou interceptados.
Outro servio oferecido pelas VPNs a conexo entre corporaes
(Extranets) atravs da Internet, alm de possibilitar conexes dial-up
criptografadas que podem ser muito teis para usurios mveis ou remotos,
bem como filiais distantes de uma empresa.
Uma das grandes vantagens decorrentes do uso das VPNs a reduo de
custos com comunicaes corporativas, pois elimina a necessidade de links
dedicados de longa distncia que podem ser substitudos pela Internet. As
LANs podem, atravs de links dedicados ou discados, conectar-se a algum
provedor de acesso local e interligar-se a outras LANs, possibilitando o fluxo
de dados atravs da Internet. Esta soluo pode ser bastante interessante
sob o ponto de vista econmico, sobretudo nos casos em que enlaces
internacionais ou nacionais de longa distncia esto envolvidos. Outro fator
que simplifica a operacionalizao da WAN que a conexo LAN-InternetLAN fica parcialmente a cargo dos provedores de acesso.

Aplicaes para redes privadas virtuais

Abaixo, so apresentadas as trs aplicaes ditas

mais importantes para as VPNs.
ACESSO REMOTO VIA INTERNET
O acesso remoto a redes corporativas atravs
da Internet pode ser viabilizado com a VPN
atravs da ligao local a algum provedor de
acesso (Internet Service Provider - ISP). A
estao remota disca para o provedor de
acesso, conectando-se Internet e o software
de VPN cria uma rede virtual privada entre o
usurio remoto e o servidor de VPN corporativo
atravs da Internet.

Aplicaes para redes privadas

virtuais

Aplicaes para redes privadas

virtuais
Uma soluo que substitui as conexes entre
LANs atravs de circuitos dedicados de longa
distncia a utilizao de circuitos dedicados
locais interligando-as Internet. O software de
VPN assegura esta interconexo formando a
WAN corporativa.
A depender das aplicaes tambm, pode-se
optar pela utilizao de circuitos discados em
uma das pontas, devendo a LAN corporativa
estar, preferencialmente, conectada Internet
via circuito dedicado local ficando disponvel 24
horas por dia para eventuais trfegos
provenientes da VPN.

Aplicaes para redes privadas

virtuais

Aplicaes para redes privadas

virtuais
CONEXO DE LANS VIA INTERNET
Uma soluo que substitui as conexes entre LANs
atravs de circuitos dedicados de longa distncia
a utilizao de circuitos dedicados locais
interligando-as Internet. O software de VPN
assegura esta interconexo formando a WAN
corporativa.
A depender das aplicaes tambm, pode-se optar
pela utilizao de circuitos discados em uma das
pontas, devendo a LAN corporativa estar,
preferencialmente, conectada Internet via circuito
dedicado local ficando disponvel 24 horas por dia
para eventuais trfegos provenientes da VPN.

Aplicaes para redes privadas

virtuais

CONEXO DE COMPUTADORES
NUMA INTRANET
Em algumas organizaes, existem dados confidenciais cujo acesso restrito
a um pequeno grupo de usurios. Nestas situaes, redes locais
departamentais so implementadas fisicamente separadas da LAN
corporativa. Esta soluo, apesar de garantir a "confidencialidade" das
informaes, cria dificuldades de acesso a dados da rede corporativa por
parte dos departamentos isolados.
As VPNs possibilitam a conexo fsica entre redes locais, restringindo acessos
indesejados atravs da insero de um servidor VPN entre elas. Observe que
o servidor VPN no ir atuar como um roteador entre a rede departamental e
o resto da rede corporativa uma vez que o roteador possibilitaria a conexo
entre as duas redes permitindo o acesso de qualquer usurio rede
departamental sensitiva. Com o uso da VPN o administrador da rede pode
definir quais usurios estaro credenciados a atravessar o servidor VPN e
acessar os recursos da rede departamental restrita. Adicionalmente, toda
comunicao ao longo da VPN pode ser criptografada assegurando a
"confidencialidade" das informaes. Os demais usurios no credenciados
sequer enxergaro a rede departamental.

CONEXO DE COMPUTADORES
NUMA INTRANET

Requisitos bsicos
No desenvolvimento de solues de rede,
bastante desejvel que sejam implementadas
facilidades de controle de acesso a informaes e
a recursos corporativos. A VPN deve dispor de
recursos para permitir o acesso de clientes
remotos autorizados aos recursos da LAN
corporativa, viabilizar a interconexo de LANs de
forma a possibilitar o acesso de filiais,
compartilhando
recursos
e
informaes
e,
finalmente, assegurar privacidade e integridade de
dados ao atravessar a Internet bem como a prpria
rede corporativa. A seguir so enumeradas
caractersticas mnimas desejveis numa VPN:

Requisitos bsicos

Autenticao de Usurios
Verificao da identidade do usurio, restringindo o acesso
s pessoas autorizadas. Deve dispor de mecanismos de
auditoria, provendo informaes referentes aos acessos
efetuados - quem acessou, o qu e quando foi acessado.
Gerenciamento de Endereo
O endereo do cliente na sua rede privada no deve ser
divulgado, devendo-se adotar endereos fictcios para o
trfego externo.
Criptografia de Dados
Os dados devem trafegar na rede pblica ou privada num
formato cifrado e, caso sejam interceptados por usurios
no autorizados, no devero ser decodificados, garantindo
a privacidade da informao. O reconhecimento do
contedo das mensagens deve ser exclusivo dos usurios
autorizados.

Requisitos bsicos
Gerenciamento de Chaves
O uso de chaves que garantem a segurana das
mensagens criptografadas deve funcionar como
um segredo compartilhado exclusivamente entre as
partes envolvidas. O gerenciamento de chaves
deve garantir a troca peridica das mesmas,
visando manter a comunicao de forma segura.
Suporte a Mltiplos Protocolos
Com a diversidade de protocolos existentes, tornase bastante desejvel que uma VPN suporte
protocolos padro de fato usadas nas redes
pblicas, tais como IP (Internet Protocol), IPX
(Internetwork Packet Exchange), etc.

Tunelamento
As redes virtuais privadas baseiam-se na tecnologia de tunelamento cuja
existncia anterior s VPNs. Ele pode ser definido como processo de encapsular
um protocolo dentro de outro. O uso do tunelamento nas VPNs incorpora um novo
componente a esta tcnica: antes de encapsular o pacote que ser transportado,
este criptografado de forma a ficar ilegvel caso seja interceptado durante o seu
transporte. O pacote criptografado e encapsulado viaja atravs da Internet at
alcanar seu destino onde desencapsulado e decriptografado, retornando ao seu
formato original. Uma caracterstica importante que pacotes de um determinado
protocolo podem ser encapsulados em pacotes de protocolos diferentes. Por
exemplo, pacotes de protocolo IPX podem ser encapsulados e transportados dentro
de pacotes TCP/IP.
O protocolo de tunelamento encapsula o pacote com um cabealho adicional que
contm informaes de roteamento que permitem a travessia dos pacotes ao
longo da rede intermediria. Os pacotes encapsulados so roteados entre as
extremidades do tnel na rede intermediria. Tnel a denominao do caminho
lgico percorrido pelo pacote ao longo da rede intermediria Aps alcanar o seu
destino na rede intermediria, o pacote desencapsulado e encaminhado ao seu
destino final. A rede intermediria por onde o pacote trafegar pode ser qualquer
rede pblica ou privada.
Note que o processo de tunelamento envolve encapsulamento, transmisso ao
longo da rede intermediria e desencapsulamento do pacote.

Tunelamento

Tunelamento
Protocolos de tunelamento
Para se estabelecer um tnel
necessrio que as suas extremidades
utilizem o mesmo protocolo de
tunelamento.
O tunelamento pode ocorrer na
camada 2 ou 3 (respectivamente
enlace e rede) do modelo de referncia
OSI (Open Systems Interconnection).

Tunelamento
Tunelamento em Nvel 2 - Enlace - (PPP sobre IP)
O objetivo transportar protocolos de nvel 3, tais como o IP e IPX
na Internet. Os protocolos utilizam quadros como unidade de troca,
encapsulando os pacotes da camada 3 (como IP/IPX) em quadros
PPP (Point-to-Point Protocol). Como exemplos podemos citar:
PPTP (Point-to-Point Tunneling Protocol) da Microsoft permite que o
trfego IP, IPX e NetBEUI sejam criptografados e encapsulados para
serem enviados atravs de redes IP privadas ou pblicas como a
Internet.
L2TP (Layer 2 Tunneling Protocol) da IETF (Internet Engineering
Task Force) permite que o trfego IP, IPX e NetBEUI sejam
criptografados e enviados atravs de canais de comunicao de
datagrama ponto a ponto tais como IP, X25, Frame Relay ou ATM.
L2F (Layer 2 Forwarding) da Cisco utilizada para VPNs discadas.

Tunelamento
Tunelamento em Nvel 3 - Rede - (IP sobre IP)
Encapsulam pacotes IP com um cabealho adicional
deste mesmo protocolo antes de envi-los atravs
da rede.
O IP Security Tunnel Mode (IPSec) da IETF permite
que pacotes IP sejam criptografados e encapsulados
com cabealho adicional deste mesmo protocolo
para serem transportados numa rede IP pblica ou
privada. O IPSec um protocolo desenvolvido para
IPv6, devendo, no futuro, se constituir como padro
para todas as formas de VPN caso o IPv6 venha de
fato substituir o IPv4. O IPSec sofreu adaptaes
possibilitando, tambm, a sua utilizao com o IPv4.

Tunelamento
O funcionamento dos tneis
Nas tecnologias orientadas camada 2 (enlace), um tnel similar a uma
sesso, onde as duas extremidades do tnel negociam a configurao dos
parmetros para estabelecimento do tnel, tais como endereamento,
criptografia e parmetros de compresso. Na maior parte das vezes, so
utilizado s protocolos que implementam o servio de datagrama. A
gerncia do tnel realizada atravs protocolos de manuteno. Nestes
casos, necessrio que o tnel seja criado, mantido e encerrado. Nas
tecnologias de camada 3, no existe a fase de manuteno do tnel.
Uma vez que o tnel estabelecido os dados podem ser enviados. O
cliente ou servidor do tnel utiliza um protocolo de tunelamento de
transferncia de dados que acopla um cabealho preparando o pacote
para o transporte. S ento o cliente envia o pacote encapsulado na rede
que o rotear at o servidor do tnel. Este recebe o pacote, desencapsula
removendo o cabealho adicional e encaminha o pacote original rede
destino. O funcionamento entre o servidor e o cliente do tnel
semelhante.

Protocolos Requisitos de tunelamento

Os protocolos de nvel 2, tais como

PPTP e L2TP, foram baseados no PPP,
e, como conseqncia, herdaram
muito de suas caractersticas e
funcionalidades. Estas caractersticas e
suas contrapartes de nvel 3 so
analisadas juntamente com alguns dos
requisitos bsicos das VPNs:

Protocolos Requisitos de
tunelamento
AUTENTICAO DE USURIO
Os protocolos de tunelamento da camada 2 herdaram os
esquemas de autenticao do PPP e os mtodos EAP
(Extensible Authentication Protocol). Muitos esquemas de
tunelamento da camada 3 assumem que as extremidades
do tnel so conhecidas e autenticadas antes mesmo que
ele seja estabelecido. Uma exceo o IPSec que prov a
autenticao mtua entre as extremidades do tnel. Na
maioria das implementaes deste protocolo, a verificao
se d a nvel de mquina e no de usurio. Como resultado,
qualquer usurio com acesso s mquinas que funcionam
como extremidades do tnel podem utiliz-lo. Esta falha de
segurana pode ser suprida quando o IPSec usado junto
com um protocolo de camada de enlace como o L2TP.

Protocolos Requisitos de
tunelamento
SUPORTE A TOKEN CARD
Com a utilizao do EAP, os protocolos de tunelamento de
camada de enlace podem suportar uma variedade de mtodos de
autenticao, tais como senhas e cartes inteligentes (smart
cards). Os protocolos de camada 3 tambm podem usar mtodos
similares, como, por exemplo, o IPSec que define a autenticao
de chave pblica durante a negociao de parmetros feita pelo
ISAKMP (Internet Security Association and Key Management
Protocol).
ENDEREAMENTO DINMICO
O tunelamento na camada 2 suporta alocao dinmica de
endereos baseada nos mecanismos de negociao do NCP
(Network Control Protocol). Normalmente, esquemas de
tunelamento na camada 3 assumem que os endereos foram
atribudos antes da inicializao do tnel.

Protocolos Requisitos de
tunelamento
COMPRESSO DE DADOS
Os protocolos de tunelamento da camada 2 suportam
esquemas de compresso baseados no PPP. O IETF est
analisando mecanismos semelhantes, tais como a
compresso de IP, para o tunelamento na camada 3.
CRIPTOGRAFIA DE DADOS
Protocolos de tunelamento na camada de enlace
suportam mecanismos de criptografia baseados no PPP.
Os protocolos de nvel 3 tambm podem usar mtodos
similares. No caso do IPSec so definidos vrios mtodos
de criptografia de dados que so executados durante o
ISAKMP. Algumas implementaes do protocolo L2TP
utilizam a criptografia provida pelo IPSec para proteger
cadeias de dados durante a sua transferncia entre as
extremidades do tnel

Protocolos Requisitos de
tunelamento
GERENCIAMENTO DE CHAVES
O MPPE (Microsoft Point-to-Point Encryption), protocolo
de nvel de enlace, utiliza uma chave gerada durante a
autenticao do usurio, atualizando-a periodicamente.
O IPSec negocia uma chave comum atravs do ISAKMP
e, tambm, periodicamente, faz sua atualizao.
SUPORTE A MLTIPLOS PROTOCOLOS
O tunelamento na camada de enlace suporta mltiplos
protocolos o que facilita o tunelamento de clientes para
acesso a redes corporativas utilizando IP, IPX, NetBEUI
e outros. Em contraste, os protocolos de tunelamento
da camada de rede, tais como o IPSec, suportam
apenas redes destino que utilizam o protocolo IP.

Tipos de tneis
Os tneis podem ser criados de 2 diferentes formas voluntrias e compulsrias:
Tnel Voluntrio - um cliente emite uma solicitao
VPN para configurar e criar um tnel voluntrio. Neste
caso, o computador do usurio funciona como uma das
extremidades do tnel e, tambm, como cliente do tnel.
Tnel Compulsrio - um servidor de acesso discado
VPN configura e cria um tnel compulsrio. Neste caso, o
computador do cliente no funciona como extremidade
do tnel. Outro dispositivo, o servidor de acesso remoto,
localizado entre o computador do usurio e o servidor do
tnel, funciona como uma das extremidades e atua como
o cliente do tnel.

Tipos de tneis
TUNELAMENTO VOLUNTRIO
Ocorre quando uma estao ou servidor de roteamento
utiliza um software de tunelamento cliente para criar
uma conexo virtual para o servidor do tnel desejado. O
tunelamento voluntrio pode requerer conexes IP
atravs de LAN ou acesso discado.
No caso de acesso discado, o mais comum o cliente
estabelecer a conexo discada antes da criao do tnel.
Nas LANs, o cliente j se encontra conectado rede que
pode prover o roteamento de dados encapsulados para o
servidor de tnel selecionado. Este o caso de clientes
numa LAN corporativa que inicializa tneis para alcanar
uma subrede privada na mesma rede.

Tipos de tneis
TUNELAMENTO COMPULSRIO
O computador ou dispositivo de rede que
prov o tnel para o computador cliente
conhecido de diversas formas: FEP (Front End
Processor) no PPTP, LAC (L2TP Access
Concentrator) no L2TP ou IP Security
Gateway no caso do IPSec. Doravante,
adotaremos o termo FEP para denominar esta
funcionalidade - ser capaz de estabelecer o
tnel quando o cliente remoto se conecta.

Tipos de tneis

Tipos de tneis

No caso da Internet, o cliente faz uma conexo discada para um tnel

habilitado pelo servidor de acesso no provedor (ISP). Por exemplo, uma
companhia pode ter um contrato com uma ou mais provedores para
disponibilizar um conjunto de FEPs em mbito nacional. Estas FEPs podem
estabelecer tneis sobre a Internet para um servidor de tnel conectado
rede corporativa privada, possibilitando a usurios remotos o acesso rede
corporativa atravs de uma simples ligao local.
Esta configurao conhecida como tunelamento compulsrio porque o
cliente compelido a usar um tnel criado pelo FEP. Uma vez que a
conexo estabelecida, todo o trfego "de/para" o cliente
automaticamente enviado atravs do tnel. No tunelamento compulsrio,
o cliente faz uma conexo PPP. Um FEP pode ser configurado para
direcionar todas as conexes discadas para um mesmo servidor de tnel
ou, alternativamente, fazer o tunelamento individual baseado na
identificao do usurio ou no destino da conexo.
Diferente dos tneis individualizados criados no tunelamento voluntrio,
um tnel entre o FEP e o servidor de tnel pode ser compartilhado por
mltiplos clientes discados. Quando um cliente disca para o servidor de
acesso (FEP) e j existe um tnel para o destino desejado, no se faz
necessria a criao de um novo tnel redundante. O prprio tnel
existente pode transportar, tambm, os dados deste novo cliente. No

IPSEC Internet Protocol Security

O IPSec um protocolo padro de camada 3 projetado
pelo IETF que oferece transferncia segura de informaes
fim a fim atravs de rede IP pblica ou privada.
Essencialmente, ele pega pacotes IP privados, realiza
funes de segurana de dados como criptografia,
autenticao e integridade, e ento encapsula esses
pacotes protegidos em outros pacotes IP para serem
transmitidos. As funes de gerenciamento de chaves
tambm fazem parte das funes do IPSec.
Tal como os protocolos de nvel 2, o IPSec trabalha como
uma soluo para interligao de redes e conexes via linha
discada. Ele foi projetado para suportar mltiplos protocolos
de criptografia possibilitando que cada usurio escolha o
nvel de segurana desejado.

IPSEC Internet Protocol Security

Os requisitos de segurana podem ser divididos em 2
grupos, os quais so independentes entre si, podendo
ser utilizado de forma conjunta ou separada, de acordo
com a necessidade de cada usurio:
Autenticao e Integridade;
Confidencialidade.
Para implementar estas caractersticas, o IPSec
composto de 3 mecanismos adicionais:
AH - Autentication Header;
ESP - Encapsulation Security Payload;
ISAKMP - Internet Security Association and Key
Management Protocol.

IPSEC Internet Protocol Security

NEGOCIAO DO NVEL DE SEGURANA
O ISAKMP combina conceitos de autenticao, gerenciamento de chaves e outros requisitos de
segurana necessrios s transaes e comunicaes governamentais, comerciais e privadas na
Internet. Com o ISAKMP, as duas mquinas negociam os mtodos de autenticao e segurana
dos dados, executam a autenticao mtua e geram a chave para criptografar os dados.
Trata-se de um protocolo que rege a troca de chaves criptografadas utilizadas para decifrar os
dados. Ele define procedimentos e formatos de pacotes para estabelecer, negociar, modificar e
deletar as SAs (Security Associations). As SAs contm todas as informaes necessrias para
execuo de servios variados de segurana na rede, tais como servios da camada IP
(autenticao de cabealho e encapsulamento), servios das camadas de transporte, e
aplicao ou auto-proteo durante a negociao do trfego. Tambm define pacotes para
gerao de chaves e autenticao de dados. Esses formatos provm consistncia para a
transferncia de chaves e autenticao de dados que independem da tcnica usada na gerao
da chave, do algoritmo de criptografia e do mecanismo de autenticao.
O ISAKMP pretende dar suporte para protocolos de segurana em todas as camadas da pilha da
rede. Com a centralizao do gerenciamento dos SAs, o ISAKMP minimiza as redundncias
funcionais dentro de cada protocolo de segurana e tambm pode reduzir o tempo gasto
durante as conexes atravs da negociao da pilha completa de servios de uma s vez.

IPSEC Internet Protocol Security

AUTENTICAO E INTEGRIDADE
A autenticao garante que os dados recebidos correspondem queles
originalmente enviados, assim como garante a identidade do emissor.
Integridade significa que os dados transmitidos chegam ao seu destino ntegros,
eliminando a possibilidade de terem sido modificados no caminho sem que isto
pudesse ser detectado.
O AH um mecanismo que prov integridade e autenticao dos datagramas IP.
A segurana garantida atravs da incluso de informao para autenticao no
pacote a qual obtida atravs de algoritmo aplicado sobre o contedo dos
campos do datagrama IP, excluindo-se aqueles que sofrem mudanas durante o
transporte. Estes campos abrangem no s o cabealho IP como todos os outros
cabealhos e dados do usurio. No IPv6, o campo hop-count e o time-to-live (TTL)
do IPv4 no so utilizados, pois so modificados ao longo da transferncia.
Para alguns usurios o uso da autenticao pode ser suficiente no sendo
necessria a "confidencialidade".
No IPV6, o AH normalmente posicionado aps os cabealhos de fragmentao
e End-to-End, e antes do ESP e dos cabealhos da camada de transporte (TCP ou
UDP, por exemplo).

IPSEC Internet Protocol

Security
CONFIDENCIALIDADE
Propriedade da comunicao que permite que apenas usurios
autorizados entendam o contedo transportado. Desta forma, os
usurios no autorizados, mesmo tendo capturado o pacote, no
podero ter acesso s informaes nele contidas. O mecanismo
mais usado para prover esta propriedade chamado de
criptografia.
O servio que garante a "confidencialidade" no IPSec o ESP Encapsulating Security Payload. O ESP tambm prov a
autenticao da origem dos dados, integridade da conexo e
servio anti-reply. A "confidencialidade" independe dos demais
servios e pode ser implementada de 2 modos - transporte e
tnel. No primeiro modo, o pacote da camada de transporte
encapsulado dentro do ESP, e, no tnel, o datagrama IP
encapsulado inteiro dentro da cabealho do ESP.

IPSEC Internet Protocol

Security