Trabalho sobre VPN

1. INTRODUO (Avellar)
As redes privadas virtuais so um componente importante dentro de um ambiente cooperativo, principalmente no seu aspecto econmico, ao permitirem que conexes dedicadas e estruturas de acesso remoto tradicionais, que possuem custos bastantes elevados, sejam substitudas por conexes pblicas. As redes pblicas so consideradas no confiveis, tendo em vista que os dados que nelas trafegam esto sujeitos a interceptao e captura. Em contrapartida, estas tendem a ter um custo de utilizao inferior aos necessrios para o estabelecimento de redes proprietrias, envolvendo a contratao de circuitos exclusivos e independentes. Com o explosivo crescimento da Internet, o constante aumento de sua rea de abrangncia, e a expectativa de uma rpida melhoria na qualidade dos meios de comunicao associado a um grande aumento nas velocidades de acesso e backbone, esta passou a ser vista como um meio conveniente para as comunicaes corporativas. No entanto, a passagem de dados sensveis pela Internet somente se torna possvel com o uso de alguma tecnologia que torne esse meio altamente inseguro em um meio confivel. Com essa abordagem, o uso de VPN sobre a Internet parece ser uma alternativa vivel e adequada. No entanto, veremos que no apenas em acessos pblicos que a tecnologia de VPN pode e deve ser empregada. Aplicativos desenvolvidos para operar com o suporte de uma rede privativa no utilizam recursos para garantir a privacidade em uma rede pblica. A migrao de tais aplicaes sempre possvel, no entanto, certamente incorreria em atividades dispendiosas e exigiriam muito tempo de desenvolvimento e testes. A implantao de VPN pressupe que no haja necessidade de modificaes nos sistemas utilizados pelas corporaes, sendo que todas as necessidades de privacidade que passam a ser exigidas sejam supridas pelos recursos adicionais que sejam disponibilizados nos sistemas de comunicao.

1.1.

Conceito

A VPN, ou rede virtual privada foi concebida a partir da necessidade de se trafegar informaes de forma segura em um meio pblico. Os dados que estavam em uma rede precisavam trafegar para outras redes sem o risco de serem violados ou perdidos na rede pblica. Da mesma forma, alguns dados precisam circular internamente com o mesmo grau de segurana. Dessa necessidade, buscou-se formas de encapsular os dados para que esses pudessem trafegar na rede sem sofrerem maiores riscos de segurana. Rapidamente o uso das VPNs passou a crescer, principalmente em empresas de pequeno ou mdio porte que no tinha necessidades criticas de disponibilidade ou

desempenho. Assim construir uma VPN, dentro de uma rede pblica era mais prtico e menos dispendioso do que optar por contratao de link prprio. Hoje as VPNs esto servindo como ferramentas de conectividades para usuriousurio, usurio-rede, rede-a-rede. Basicamente o funcionamento de uma VPN transparente para o usurio, no demonstrando claramente em qual das fronteiras ele se encontra no momento de uma determinada operao.

2. FUNES BSICAS (Ana)

Entre requisitos bsicos para facilitar o controle de acesso a informaes e a recursos corporativos desejvel que a VPN disponha de recursos que permitam o acesso de clientes remotos autorizados aos recursos da LAN corporativa, viabilizar a interconexo de LANs de forma a possibilitar o acesso de filiais, compartilhando recursos e informaes e, finalmente, assegurar privacidade e integridade de dados ao atravessar a Internet bem como a prpria rede corporativa. Entre estas caractersticas mnimas desejveis numa VPN: Autenticao de Usurios: Verificao da identidade do usurio, restringindo o acesso s pessoas autorizadas. Deve dispor de mecanismos de auditoria, provendo informaes referentes aos acessos efetuados - quem acessou, o qu e quando foi acessado. Gerenciamento de Endereo: O endereo do cliente na sua rede privada no deve ser divulgado, devendo-se adotar endereos fictcios para o trfego externo.

Criptografia de Dados: Os dados devem trafegar na rede pblica ou privada num formato cifrado e, caso sejam interceptados por usurios no autorizados, no devero ser decodificados, garantindo a privacidade da informao. O reconhecimento do contedo das mensagens deve ser exclusivo dos usurios autorizados. Gerenciamento de Chaves: O uso de chaves que garantem a segurana das mensagens criptografadas deve funcionar como um segredo compartilhado exclusivamente entre as partes envolvidas. O gerenciamento de chaves deve garantir a troca peridica das mesmas, visando manter a comunicao de forma segura. Suporte a Mltiplos Protocolos: Com a diversidade de protocolos existentes, torna-se bastante desejvel que uma VPN suporte protocolos padro de fato usadas nas redes pblicas, tais como IP (Internet Protocol), IPX (Internetwork Packet Exchange), etc. A utilizao de redes pblicas tende a apresentar custos muito menores que os obtidos com a implantao de redes privadas, sendo este, justamente o grande estmulo para o uso de VPNs. No entanto, para que esta abordagem se torne efetiva, a VPN deve prover um conjunto de funes que garanta Confidencialidade, Integridade e Autenticidade .

2.1.

Como garantir a Confidencialidade?

Tendo em vista que estaro sendo utilizados meios pblicos de comunicao, a tarefa de interceptar uma seqncia de dados relativamente simples. imprescindvel que os dados que trafeguem sejam absolutamente privados, de forma que, mesmo que sejam capturados, no possam ser entendidos

2.2. Aplicaes para redes privadas virtuais

2.2.1 ACESSO REMOTO VIA INTERNET

O acesso remoto a redes corporativas atravs da Internet pode ser viabilizado com a VPN atravs da ligao local a algum provedor de acesso (Internet Service Provider - ISP). A estao remota disca para o provedor de acesso, conectando-se Internet e o software de VPN cria uma rede virtual privada entre o usurio remoto e o servidor de VPN corporativo atravs da Internet.

Imagem 1 Rede de Acesso Remoto Chin,1998 2.2.2 CONEXO DE LANS VIA INTERNET Fonte: Kuo

Uma soluo que substitui as conexes entre LANs atravs de circuitos dedicados de longa distncia a utilizao de circuitos dedicados locais interligando-as Internet. O software de VPN assegura esta interconexo formando a WAN corporativa. A depender das aplicaes tambm, pode-se optar pela utilizao de circuitos discados em uma das pontas, devendo a LAN corporativa estar, preferencialmente, conectada Internet via circuito dedicado local ficando disponvel 24 horas por dia para eventuais trfegos provenientes da VPN.

Imagem 2 Conexo de LANs via Internet Fonte: Kuo Chin,1998

2.2.3

CONEXO DE COMPUTADORES NUMA INTRANET

Em algumas organizaes, existem dados confidenciais cujo acesso restrito a um pequeno grupo de usurios. Nestas situaes, redes locais departamentais so implementadas fisicamente separadas da LAN corporativa. Esta soluo, apesar de garantir a "confidencialidade" das informaes, cria dificuldades de acesso a dados da rede corporativa por parte dos departamentos isolados.

Imagem 3 Conexo de Computadores numa Intranet Fonte: Kuo Chin,1998

(ANA)

3. INTEGRIDADE (Edmilson)
O custo de utilizao de redes pblicas tende a ser menor que o de implantao de redes proprietrias, mas estas redes no so confiveis, pois os dados que trafegam nela podem ser interceptado, por isso faz-se necessrio o uso de VPNs. Contudo para que a VPN se torne efetiva a mesma deve possuir um conjunto de funes que garanta confidencialidade, Autenticidade e Integridade. Confidencialidade

Aps o envio dos dados necessrio que somente o receptor tenha acesso a estes dados, ou seja, nenhuma outra pessoa mesmo que pertena mesma organizao, pode ter acesso a estas informaes. Partindo do princpio que a rede usada pblica, interceptar uma seqncia de dados uma tarefa relativamente simples. Neste caso muito importante a confidencialidade da informao, mesmo que a mensagem seja interceptada, no seja entendida. Para garantir a privacidade deve-se usar tcnicas de criptografias e mecanismos matemticos embaralhando as informaes, de tal forma que, em caso de interceptao leve centenas ou at milhares de anos para descriptografar as informaes. Autenticidade Aps o recebimento das informaes o receptor deve ter garantia da procedncia das mesmas. Com o uso de VPN somente usurios e equipamentos que fazem parte de uma mesma VPN podem trocar dados entre si, ou seja, um elemento em uma VPN somente reconhecer dados de outro elemento pertencente a mesma VPN. Para garantir a autenticidade dos dados na VPN podem ser usadas quatro tcnicas, mostradas a seguir: Modo de transmisso Nesta tcnica somente os dados so criptografados, neste caso no h mudana no tamanho dos pacotes. Modo de transporte Nesta tcnica somente os dados so criptografados, neste caso pode haver mudana no tamanho do pacote. Esta solua mais adequada para implementaes onde os dados trafegam em somente dois ns da comunicao. Modo Tnel Criptografado Nesta tcnica tanto os dados como o cabealho dos pacotes so criptografados, so empacotados e transmitidos por um novo endereamento IP, fazendo o uso de um tnel estabelecido entre o ponto de origem e o de destino. Modo Tnel no Criptografado Quando esta tcnica usada tanto os dados quanto o cabealho so transmitidos por um novo endereo IP, fazendo o uso de um tnel estabelecido entre o ponto de origem e o de destino. Mas neste caso o cabealho e os dados no so criptografados, sendo assim, no garantida sua autenticidade. Integridade Partindo do princpio que a rede usada pblica, como a internet, interceptar uma seqncia de dados uma tarefa relativamente simples. Alm disso existe tambm a possibilidade de que estes dados sejam modificados ao longo do caminho. Neste caso necessrio detectar

qualquer tentativa de adulterao nesses dados, preservando assim a garantia de integridade das informaes. Existem alguns algoritmos, que podem ser usados para gerar cdigos binrios praticamente impossveis de serem conseguidos, a partir dos dados originais trafegados na rede, caso os dados sofram qualquer tipo de alterao. Ao chegarem no destinatrio, ele executa o mesmo algoritmo e compara o resultado da seqncia de bits que acompanha a mensagem, com o resultado obtido, sendo feito desta forma a verificao. Os algoritmos mais usados atualmente so: SHA-1 - Secure Hash Algorithm one Este algoritmo baseado em hash gera mensagens de 160 bits, a partir de uma seqncia de at 264 bits. MD5 - Message Digest Algorithm 5 Este algoritmo um dos mais usados na gerao de hashs seguras principalmente para autenticao de mensagens na internet. Gera mensagens de 128 bits a partir de mensagens de qualquer tamanho. O mesmo permite uma relao nica entre a mensagem original e seu valor hash, podendo ser vista como uma assinatura digital.

4. CRIPTOGRAFIA(Jordano)
4.1. Funes especficas

A criptografia (do grego kripts que significa escondido, oculto mais grpho que significa grafia, escrita) a arte ou cincia de escrever em cdigos, de forma que apenas o destinatrio decifre e compreenda a mensagem, ou seja, em computao o processo de codificao de todos os dados que um computador envia para outro, de forma que s o destinatrio possa decodific-los. A maioria dos sistemas de criptografia de computadores pertence a uma destas duas categorias: Criptografia com chave simtrica Criptografia com chave pblica Na criptografia com chave simtrica, cada computador tem uma chave secreta (cdigo) que pode ser usada para criptografar um pacote de informaes antes de mand-las pela rede para outro computador. A chave simtrica requer que se conheam quais computadores falaro uns com os outros; ento, poderemos instalar a chave em cada um deles. A criptografia com chave simtrica funciona como um cdigo secreto que cada um dos computadores precisa conhecer para decodificar a informao. O cdigo prov a chave para decodificao da mensagem. Pense nisso

como: criamos uma mensagem codificada para enviar a um amigo. Cada letra substituda pela letra duas posies posteriores a ela no alfabeto. Assim, "A" torna-se "C" e "B" torna-se "D". J contamos a um amigo de confiana que o cdigo "Deslocar por 2". Nosso amigo recebe a mensagem e a decodifica. Qualquer outro que veja a mensagem vai ver somente palavras sem sentido.

O computador do emissor criptografa o documento com uma chave simtrica e depois criptografa a chave simtrica com a chave pblica do computador do receptor. O computador receptor usa uma chave privada para decodificar a chave simtrica. Em seguida, usa a chave simtrica para decodificar o documento. Criptografia com chave pblica utiliza a combinao da chave privada e da chave pblica. A chave privada conhecida somente por seu computador, ao passo que a chave pblica dada a seu computador por qualquer outro que queira se comunicar de forma segura com ele. Para decodificar uma mensagem criptografada, um computador precisa usar a chave pblica, oferecida pelo computador que a originou, e sua prpria chave privada. Um programa utilitrio muito popular de criptografia de chave pblica conhecido como Pretty Good Privacy (PGP), que permite criptografar quase tudo.

4.2 Algoritmos para Criptografia

DES - Data Encryption Standard um padro de criptografia simtrica, adotada pelo governo dos EUA em 1977. Triple-DES O Triple-DES uma variao do algoritmo DES, sendo que o processo tem trs fases: A seqncia criptografada, sendo em seguida decriptografada com uma chave errada, e novamente criptografada. RSA - Rivest Shamir Adleman um padro criado por Ron Rivest, Adi Shamir e Leonard Adleman em 1977 e utiliza chave pblica de criptografia, tirando vantagem do fato de ser extremamente difcil fatorar o produto de nmeros primos muito grandes. Diffie-Hellman Foi desenvolvido por Diffie e Hellman em 1976. Este algoritmo permite a troca de chaves secretas entre dois usurios. A chave utilizada formada pelo processamento de duas outras chaves uma pblica e outra secreta.

4.3 Algoritmos para Integridade

A garantia de integridade dos dados trocados em uma VPN pode ser fornecida pelo uso de algoritmos que geram, a partir dos dados originais,cdigos binrios que sejam praticamente impossveis de serem conseguidos, caso estes dados sofram qualquer tipo de adulterao. Ao chegarem no destinatrio, este executa o mesmo algoritmo e compara o resultado obtido com a seqncia de bits que acompanha a mensagem, fazendo assim a verificao. SHA-1 - Secure Hash Algorithm One um algoritmo de hash que gera mensagens de 160 bits, a partir de uma seqncia de at 264 bits. MD5 - Message Digest Algorithm 5 um algoritmo de hash que gera mensagens de 128 bits, a partir de uma seqncia de qualquer tamanho

5. AUTENTICAO (Klsio)

Autenticao um servio que confrima a identidade de uma entidade, como por exemplo, um usurio ou dispositivo, ou confirma a autenticidade de uma mensagem transmitida. Normalmente, a autenticao necessria para a proteo contra disfarce e modicaies. Por exemplo, nos sistemas sem fio atuais, os pontos de acesso precisam autenticar os dispositivos sem fio para impedir o acesso no autorizado rede. Estritamente relacionado autenticao est o servico de controle de acesso, que restringe e controla o aceso aos sistemas e aplicativos da rede. As entidades precisam primeiramente se identificadas, ou autenticadas, antes de obterem acesso a um sistema. Fatores de autenticao Os fatores de autenticao para humanos so normalmente classificados em trs casos: Aquilo que o usurio (impresso digital, padro retinal, sequncia de DNA, padro de voz, reconhecimento de assinatura, sinais eltricos unicamente identificveis produzidos por um corpo vivo, ou qualquer outro meio biomtrico). Aquilo que o usurio tem (carto de identificao, security token, software token ou telefone celular) Aquilo que o usurio conhece (senha, frase de segurana, PIN) Frequentemente utilizada uma combinao de dois ou mais mtodos. Um banco, por exemplo, pode requisitar uma "frase de segurana" alm da senha, neste caso o termo "autenticao de dois fatores" utilizado. Autenticao de dados A autenticao de dados reafirma que a mensagem que foi enviada no foi alterada nem em sua totalidade ou em parte dela. Para verificar que pacotes de dados chegaram inalterados, os sistemas VPN geralmente utilizam uma tcnica que envolve funes de hash. Esta funo cria uma espcie de impresso digital do dado original. Ela calcula um nmero nico para a mensagem em questo, chamado de hash, formado por uma cadeia fixa ou varivel de bits. O emissor ento anexa este nmero ao pacote de dados antes da etapa de encriptao. Quando o destinatrio recebe e decripta este dado, ele pode calcular o hash da mensagem recebida de forma independente. O resultado ento comparado com o valor anexado pelo emissor; se os dois no coincidirem, ento assumido que os dados foram alterados no caminho. Autenticao de usrio:

Os mtodos confiaveis de autenticao de ususario so essenciais no ambiente de rede local sem fio. H pouco tempo, a autenticao geralmente era baseada em uma identificao de usurio e senha, resposta de verificao ou em um banco de dados central de diretivas do usurio. Um exemplo de um banco de dados central de diretivas do usurio o protocolo RADIUS (Remote Authentication Dial-in User Service, servio de usurio de discagem de autenticao remota), que usado para transmitir consultas de autenticao usando uma identificao de usurio e senhas fixas. Autenticao das extremidades As mensangens so autenticadas para assegurar que elas vieram de usurios vlidos, atraves da utilizao de protocolos de autenticao, que geralmente implementam algoritmos hash. Desta forma, se alguma parte da mensagem for alterada durante a transmisso, o pacote descartado. Mesmo a mensagem estando encriptada, a razo de se autentic-la deve-se ao fato da preveno de ataques do tipo Replay.

6. PROTOCOLOS (Leonardo)
Explicaremos sucintamente alguns protocolos utilizados na rede VPN

6.1.

Quais so?

IPSec
O protocolo IPSec (Internet Protocol Security), surgiu para atender a falta de integridade dos dados que so trafegados pela rede, tambm conhecido como IP SECURITY, um conjunto de padres e protocolos que define a arquitetura e as especificaes para prover servios de segurana dentro do protocolo IP. O IPSec foi desenvolvido pelo IETF (Internet Engineering Task Force). O IPSec tambm define um conjunto de servios de segurana, incluindo integridade dos dados, autenticao, confidencialidade e limite de fluxo de trfego. O IPSec pode ser utilizado para proteger um canal de comunicao entre dois sistemas finais diretamente conectados (gatewayes de segurana) ou entre dois sistemas intermedirios. A arquitetura bsica do IPSec possui dois protocolos de segurana: Authentication Header- Autenticao de Cabealho AH Encapsulating Security Payload - Encapsulamento Seguro do Dado ESP. Os protocolos AH e ESP permitem a garantia de interoperabilidade. Existem alguns algoritmos prdefinidos suportados pelo IPSEC: Para Criptografia: DES, Blowfish, 3-DES, CAST, AES, SEPENT,

TWOFISH Para Autenticao: HMAC, MD5, SHA1, SHA2. o IPSec trabalha como uma soluo para interligao de redes e conexes via linha discada. Ele foi projetado para suportar mltiplos protocolos de criptografia possibilitando que cada usurio escolha o nvel de segurana desejado. Possui duas formas diferentes de trafego de informao: Modo Tnel: Conforme a figura abaixo mostra, o pacote original encapsulado em um novo pacote com a criptografia do IPSec incluindo o cabealho original, e enviado ao gateway IPSec que desencapsula e o encaminha para o destinatrio. Modo Transporte: conforme verificamos na figura abaixo, o modo transporte o realizado a transmisso direta dos dados protegidos entre os hosts. Toda autenticao e cifragem realizada no payload.

Associao de Segurana (Security Association SA) Define os tipos e medidas de segurana que devem ser aplicadas aos pacotes baseado em quem esta enviando os pacotes, para onde e que tipo de dados. Uma AS contm informaes como algoritmo de criptograa, chaves secretas ou seqncias de nmeros, funes hash, modo de funcionamento, porta de comunicao e outros.

Point-to-Point Tunneling Protocol (PPTP)

Um dos primeiros protocolos VPN, surgiu com o objetivo de facilitar o acesso de computadores remotos a uma rede privada atravs da internet ou outra rede baseada em IP. uma variao do protocolo PPP, que encapsula os pacotes em um tnel IP fim a fim.

Figura 1 Conexo PPPT Fonte - VPN: Protocolos e Segurana

Layer Two Forwarding (L2F)

Criados pela CISCO, Existem dois nveis de autenticao de usurio, um no ISP antes de estabelecer o tnel e o outro quando se estabelece a conexo com o gateway.

Level TWO Tunneling Protocol (L2TP)

um protocolo que faz o tunelamento de PPP utilizando vrios protocolos de rede (ex: IP, ATM, etc.) sendo utilizado para prover acesso discado. mltiplos protocolos. Foi desenvolvido para suportar dois modos de tunelamento: Voluntrio: iniciado por computador remoto.

 Compulsrio: criado automaticamente e iniciado pelo servidor de acesso a rede sob a conexo discada. Necessita que o servidor seja prconfigurado.

7. UTILIZAO (Vincius)
7.1. Contexto em que utilizado

O conceito de VPN surgiu da necessidade de se utilizar redes de comunicao no confiveis para trafegar informaes de forma segura. As redes pblicas so consideradas no confiveis mas tendem a ter um custo de utilizao inferior aos necessrios para o estabelecimento de redes proprietrias, envolvendo a contratao de circuitos exclusivos e independentes. Com o crescimento da Internet, e a expectativa de melhoria na qualidade dos meios de comunicao associado ao aumento nas velocidades de acesso e backbone, esta passou a ser vista como um meio conveniente para as comunicaes corporativas. Porm, a passagem de dados sensveis pela Internet se torna possvel com o uso de tecnologia que torne esse meio altamente inseguro em um meio confivel. Com essa abordagem, o uso de VPN sobre a Internet uma alternativa vivel e adequada. Posto dessa forma, a motivao bsica para a manuteno de VPNs o custo. Devido ao custo dos diversos componentes de redes atualmente, mais vivel financeiramente a integrao de diversos servios de comunicao individuais em uma nica plataforma comum de comunicaes de alta capacidade. Outra motivao das redes VPN a privacidade. A rede VPN deve garantir a integridade dos dados enviados na conexo fechada da VPN, sendo os dados enviados nesta conexo isolados de todas as outras conexes presentes no meio nico compartilhado. Logo, as duas grandes vantagens de se usar Redes Privadas Virtuais esto na realidade ligadas a duas palavras chave: o custo e a privacidade (segurana). Redes VPN so capazes de reduzir consideravelmente o custo de implementao de redes de telecomunicaes em empresas e ao mesmo tempo manter a segurana da rede, mantendo assim a integridade dos dados e afastando a possibilidade de escutas na rede por terceiros no autorizados.

8. CONCLUSO(Edicarlos)

9. Bibliografia
[ vinicius :

http://www.gta.ufrj.br/seminarios/semin2002_1/Ivana/ http://www.gta.ufrj.br/grad/06_1/vpn/uso.html http://www.gpr.com.br/download/vpn.pdf http://www.computek.com.br/_firewall_qos_vpn_usando_pcs.html

Leonardo http://www.pads.ufrj.br/~rapoport/vpn/vpn.pdf

Borges, Fbio.VPN: Protocolos e Segurana. Disponvel em <http://www.lncc.br/~borges/doc/VPN%20Protocolos%20e%20Seguranca.pdf> acesso 26/10/2009 VPN - Virtual Private Network (Rede Privada Virtual) Disponvel em <http://www.gpr.com.br/download/vpn.pdf > acesso 26/10/2009 <http://www.rnp.br/newsgen/9811/vpn.html>. Acesso em: 03 nov. 2009. ANa ] Todos