Você está na página 1de 13

Motivaes

VPN: Surge como forma de garantir a expanso da WAN usando a internet.

Os altos custos associados as tecnologias WAN. A necessidade de garantir segurana no uso da internet como servio WAN. O baixo custo proporcionado pelo uso da internet.

Para garantir estes factores, necessrio criar uma VPN entre os 2 extremos da comunicao (VPN tunnel).

Exige o estabelecimento de mecanismos seguros para transmisso da informao, os quais tm de garantir: Integridade dos dados: Garantir que os pacotes n tenham sido alterados Autenticao:Garantir que o remetente, fidedigno. Privacidade: Garantir que a informao no copiada na internet. AntiReplay: Garantia de que no haja copia da informao a meio do caminho e posterior reenvio.

Para criao de um tunnel necessrio:


Adicionar cabealhos aos pacotes originais permitam aos endpoints realizar as tarefas. Encriptar a informao na origem Desencriptar os pacotes no destino. que

As VPNs podem ser criadas para diversos propsitos, entre os quais:


A ligao de partners a extranet empresarial. A ligao de funcionrios rede interna da empresa. A conexo de filiais da empresa sede.

Para construir uma VPN, os endpoints devem suportar um conjunto de padres de segurana e protocolos. Este dispositivo pode ser: Um router, uma firewall, um concentrador de VPN, um cliente vpn,etc Entre estes protocolos est o ipsec,L2TP

IPSec

Coleo de protocolos desenvolvidos pela IETF para fornecer segurana a um pacote IP. No define tcnica de cifragem/autenticao. Requer uma conexo lgica entre 2 hosts, usando SA(protocolo de sinalizao). A SA unidirecional e definida atravs de 3 itens:
SPI(Security parameter index): Serve para identificar circuitos orientados conexo (FR e ATM). O tipo de protocolo usado na segurana (AH/ESP) A origem do endereo IP

Modos de operao Tunneling Transporte

O ipsec encapsula o pacote ip, tendo o pacote como payload. O cabealho ipsec colocado entre o cabealho IP e o payload.

Desenvolvido para:

Descrio dos campos:

Autenticar o host origem. Garantir a integridade do payload transportado. Usa funo de Hashing e chave simtrica para criar um message digest, que inserido no AH. No caso de termos um pacote IP, transportando um AH, o valor do campo protocolo do pacote tem o valor 51. Next header:Campo de 8 bits, define o tipo de payload. Payload length: Define o tamanho do payload (AH apenas). SPI(Security Parameter Index):Identifica o VCI numa conexo. Sequence number: Usado para manter a ordem entre os datagramas IPs. Dados autenticados: Contm o resultado da aplicao do hash a mensagem.

Motivaes para criao. Caracteristicas

A falta de privacidade do AH.

Adiciona um header e um trailler ao pacote IP original. Quando um datagrama IP, transporta um header e trailler ESP, o valor do campo protocolo 50. O procedimento ESP segue as etapas:
Trailler adicionado ao payload Payload e trailler so criptografados Cabealho ESP adicionado ao payload. O cabealho ESP, o resto do payload e o trailer ESP, so usados para gerar dados autenticados. Os dados autenticados so agregados ao final do trailler. O cabealho IP adicionado aps a mudana do valor do protocolo para 50.