Escolar Documentos
Profissional Documentos
Cultura Documentos
VPN
Prof: Paulo Afonso
CONEXO DE COMPUTADORES
NUMA INTRANET
Em algumas organizaes, existem dados confidenciais cujo acesso restrito
a um pequeno grupo de usurios. Nestas situaes, redes locais
departamentais so implementadas fisicamente separadas da LAN
corporativa. Esta soluo, apesar de garantir a "confidencialidade" das
informaes, cria dificuldades de acesso a dados da rede corporativa por
parte dos departamentos isolados.
As VPNs possibilitam a conexo fsica entre redes locais, restringindo acessos
indesejados atravs da insero de um servidor VPN entre elas. Observe que
o servidor VPN no ir atuar como um roteador entre a rede departamental e
o resto da rede corporativa uma vez que o roteador possibilitaria a conexo
entre as duas redes permitindo o acesso de qualquer usurio rede
departamental sensitiva. Com o uso da VPN o administrador da rede pode
definir quais usurios estaro credenciados a atravessar o servidor VPN e
acessar os recursos da rede departamental restrita. Adicionalmente, toda
comunicao ao longo da VPN pode ser criptografada assegurando a
"confidencialidade" das informaes. Os demais usurios no credenciados
sequer enxergaro a rede departamental.
CONEXO DE COMPUTADORES
NUMA INTRANET
Requisitos bsicos
No desenvolvimento de solues de rede,
bastante desejvel que sejam implementadas
facilidades de controle de acesso a informaes e
a recursos corporativos. A VPN deve dispor de
recursos para permitir o acesso de clientes
remotos autorizados aos recursos da LAN
corporativa, viabilizar a interconexo de LANs de
forma a possibilitar o acesso de filiais,
compartilhando
recursos
e
informaes
e,
finalmente, assegurar privacidade e integridade de
dados ao atravessar a Internet bem como a prpria
rede corporativa. A seguir so enumeradas
caractersticas mnimas desejveis numa VPN:
Requisitos bsicos
Autenticao de Usurios
Verificao da identidade do usurio, restringindo o acesso
s pessoas autorizadas. Deve dispor de mecanismos de
auditoria, provendo informaes referentes aos acessos
efetuados - quem acessou, o qu e quando foi acessado.
Gerenciamento de Endereo
O endereo do cliente na sua rede privada no deve ser
divulgado, devendo-se adotar endereos fictcios para o
trfego externo.
Criptografia de Dados
Os dados devem trafegar na rede pblica ou privada num
formato cifrado e, caso sejam interceptados por usurios
no autorizados, no devero ser decodificados, garantindo
a privacidade da informao. O reconhecimento do
contedo das mensagens deve ser exclusivo dos usurios
autorizados.
Requisitos bsicos
Gerenciamento de Chaves
O uso de chaves que garantem a segurana das
mensagens criptografadas deve funcionar como
um segredo compartilhado exclusivamente entre as
partes envolvidas. O gerenciamento de chaves
deve garantir a troca peridica das mesmas,
visando manter a comunicao de forma segura.
Suporte a Mltiplos Protocolos
Com a diversidade de protocolos existentes, tornase bastante desejvel que uma VPN suporte
protocolos padro de fato usadas nas redes
pblicas, tais como IP (Internet Protocol), IPX
(Internetwork Packet Exchange), etc.
Tunelamento
As redes virtuais privadas baseiam-se na tecnologia de tunelamento cuja
existncia anterior s VPNs. Ele pode ser definido como processo de encapsular
um protocolo dentro de outro. O uso do tunelamento nas VPNs incorpora um novo
componente a esta tcnica: antes de encapsular o pacote que ser transportado,
este criptografado de forma a ficar ilegvel caso seja interceptado durante o seu
transporte. O pacote criptografado e encapsulado viaja atravs da Internet at
alcanar seu destino onde desencapsulado e decriptografado, retornando ao seu
formato original. Uma caracterstica importante que pacotes de um determinado
protocolo podem ser encapsulados em pacotes de protocolos diferentes. Por
exemplo, pacotes de protocolo IPX podem ser encapsulados e transportados dentro
de pacotes TCP/IP.
O protocolo de tunelamento encapsula o pacote com um cabealho adicional que
contm informaes de roteamento que permitem a travessia dos pacotes ao
longo da rede intermediria. Os pacotes encapsulados so roteados entre as
extremidades do tnel na rede intermediria. Tnel a denominao do caminho
lgico percorrido pelo pacote ao longo da rede intermediria Aps alcanar o seu
destino na rede intermediria, o pacote desencapsulado e encaminhado ao seu
destino final. A rede intermediria por onde o pacote trafegar pode ser qualquer
rede pblica ou privada.
Note que o processo de tunelamento envolve encapsulamento, transmisso ao
longo da rede intermediria e desencapsulamento do pacote.
Tunelamento
Tunelamento
Protocolos de tunelamento
Para se estabelecer um tnel
necessrio que as suas extremidades
utilizem o mesmo protocolo de
tunelamento.
O tunelamento pode ocorrer na
camada 2 ou 3 (respectivamente
enlace e rede) do modelo de referncia
OSI (Open Systems Interconnection).
Tunelamento
Tunelamento em Nvel 2 - Enlace - (PPP sobre IP)
O objetivo transportar protocolos de nvel 3, tais como o IP e IPX
na Internet. Os protocolos utilizam quadros como unidade de troca,
encapsulando os pacotes da camada 3 (como IP/IPX) em quadros
PPP (Point-to-Point Protocol). Como exemplos podemos citar:
PPTP (Point-to-Point Tunneling Protocol) da Microsoft permite que o
trfego IP, IPX e NetBEUI sejam criptografados e encapsulados para
serem enviados atravs de redes IP privadas ou pblicas como a
Internet.
L2TP (Layer 2 Tunneling Protocol) da IETF (Internet Engineering
Task Force) permite que o trfego IP, IPX e NetBEUI sejam
criptografados e enviados atravs de canais de comunicao de
datagrama ponto a ponto tais como IP, X25, Frame Relay ou ATM.
L2F (Layer 2 Forwarding) da Cisco utilizada para VPNs discadas.
Tunelamento
Tunelamento em Nvel 3 - Rede - (IP sobre IP)
Encapsulam pacotes IP com um cabealho adicional
deste mesmo protocolo antes de envi-los atravs
da rede.
O IP Security Tunnel Mode (IPSec) da IETF permite
que pacotes IP sejam criptografados e encapsulados
com cabealho adicional deste mesmo protocolo
para serem transportados numa rede IP pblica ou
privada. O IPSec um protocolo desenvolvido para
IPv6, devendo, no futuro, se constituir como padro
para todas as formas de VPN caso o IPv6 venha de
fato substituir o IPv4. O IPSec sofreu adaptaes
possibilitando, tambm, a sua utilizao com o IPv4.
Tunelamento
O funcionamento dos tneis
Nas tecnologias orientadas camada 2 (enlace), um tnel similar a uma
sesso, onde as duas extremidades do tnel negociam a configurao dos
parmetros para estabelecimento do tnel, tais como endereamento,
criptografia e parmetros de compresso. Na maior parte das vezes, so
utilizado s protocolos que implementam o servio de datagrama. A
gerncia do tnel realizada atravs protocolos de manuteno. Nestes
casos, necessrio que o tnel seja criado, mantido e encerrado. Nas
tecnologias de camada 3, no existe a fase de manuteno do tnel.
Uma vez que o tnel estabelecido os dados podem ser enviados. O
cliente ou servidor do tnel utiliza um protocolo de tunelamento de
transferncia de dados que acopla um cabealho preparando o pacote
para o transporte. S ento o cliente envia o pacote encapsulado na rede
que o rotear at o servidor do tnel. Este recebe o pacote, desencapsula
removendo o cabealho adicional e encaminha o pacote original rede
destino. O funcionamento entre o servidor e o cliente do tnel
semelhante.
Protocolos Requisitos de
tunelamento
AUTENTICAO DE USURIO
Os protocolos de tunelamento da camada 2 herdaram os
esquemas de autenticao do PPP e os mtodos EAP
(Extensible Authentication Protocol). Muitos esquemas de
tunelamento da camada 3 assumem que as extremidades
do tnel so conhecidas e autenticadas antes mesmo que
ele seja estabelecido. Uma exceo o IPSec que prov a
autenticao mtua entre as extremidades do tnel. Na
maioria das implementaes deste protocolo, a verificao
se d a nvel de mquina e no de usurio. Como resultado,
qualquer usurio com acesso s mquinas que funcionam
como extremidades do tnel podem utiliz-lo. Esta falha de
segurana pode ser suprida quando o IPSec usado junto
com um protocolo de camada de enlace como o L2TP.
Protocolos Requisitos de
tunelamento
SUPORTE A TOKEN CARD
Com a utilizao do EAP, os protocolos de tunelamento de
camada de enlace podem suportar uma variedade de mtodos de
autenticao, tais como senhas e cartes inteligentes (smart
cards). Os protocolos de camada 3 tambm podem usar mtodos
similares, como, por exemplo, o IPSec que define a autenticao
de chave pblica durante a negociao de parmetros feita pelo
ISAKMP (Internet Security Association and Key Management
Protocol).
ENDEREAMENTO DINMICO
O tunelamento na camada 2 suporta alocao dinmica de
endereos baseada nos mecanismos de negociao do NCP
(Network Control Protocol). Normalmente, esquemas de
tunelamento na camada 3 assumem que os endereos foram
atribudos antes da inicializao do tnel.
Protocolos Requisitos de
tunelamento
COMPRESSO DE DADOS
Os protocolos de tunelamento da camada 2 suportam
esquemas de compresso baseados no PPP. O IETF est
analisando mecanismos semelhantes, tais como a
compresso de IP, para o tunelamento na camada 3.
CRIPTOGRAFIA DE DADOS
Protocolos de tunelamento na camada de enlace
suportam mecanismos de criptografia baseados no PPP.
Os protocolos de nvel 3 tambm podem usar mtodos
similares. No caso do IPSec so definidos vrios mtodos
de criptografia de dados que so executados durante o
ISAKMP. Algumas implementaes do protocolo L2TP
utilizam a criptografia provida pelo IPSec para proteger
cadeias de dados durante a sua transferncia entre as
extremidades do tnel
Protocolos Requisitos de
tunelamento
GERENCIAMENTO DE CHAVES
O MPPE (Microsoft Point-to-Point Encryption), protocolo
de nvel de enlace, utiliza uma chave gerada durante a
autenticao do usurio, atualizando-a periodicamente.
O IPSec negocia uma chave comum atravs do ISAKMP
e, tambm, periodicamente, faz sua atualizao.
SUPORTE A MLTIPLOS PROTOCOLOS
O tunelamento na camada de enlace suporta mltiplos
protocolos o que facilita o tunelamento de clientes para
acesso a redes corporativas utilizando IP, IPX, NetBEUI
e outros. Em contraste, os protocolos de tunelamento
da camada de rede, tais como o IPSec, suportam
apenas redes destino que utilizam o protocolo IP.
Tipos de tneis
Os tneis podem ser criados de 2 diferentes formas voluntrias e compulsrias:
Tnel Voluntrio - um cliente emite uma solicitao
VPN para configurar e criar um tnel voluntrio. Neste
caso, o computador do usurio funciona como uma das
extremidades do tnel e, tambm, como cliente do tnel.
Tnel Compulsrio - um servidor de acesso discado
VPN configura e cria um tnel compulsrio. Neste caso, o
computador do cliente no funciona como extremidade
do tnel. Outro dispositivo, o servidor de acesso remoto,
localizado entre o computador do usurio e o servidor do
tnel, funciona como uma das extremidades e atua como
o cliente do tnel.
Tipos de tneis
TUNELAMENTO VOLUNTRIO
Ocorre quando uma estao ou servidor de roteamento
utiliza um software de tunelamento cliente para criar
uma conexo virtual para o servidor do tnel desejado. O
tunelamento voluntrio pode requerer conexes IP
atravs de LAN ou acesso discado.
No caso de acesso discado, o mais comum o cliente
estabelecer a conexo discada antes da criao do tnel.
Nas LANs, o cliente j se encontra conectado rede que
pode prover o roteamento de dados encapsulados para o
servidor de tnel selecionado. Este o caso de clientes
numa LAN corporativa que inicializa tneis para alcanar
uma subrede privada na mesma rede.
Tipos de tneis
TUNELAMENTO COMPULSRIO
O computador ou dispositivo de rede que
prov o tnel para o computador cliente
conhecido de diversas formas: FEP (Front End
Processor) no PPTP, LAC (L2TP Access
Concentrator) no L2TP ou IP Security
Gateway no caso do IPSec. Doravante,
adotaremos o termo FEP para denominar esta
funcionalidade - ser capaz de estabelecer o
tnel quando o cliente remoto se conecta.
Tipos de tneis
Tipos de tneis