OpenVPN

O OpenVPN uma ferramenta open source criada por James Yonan, capaz de criar uma VPN baseada em SSL, ento antes de vermos como se configura um OpenVPN vamos falar sobre os conceitos de VPN.

VPN Conceitos
1. Histrico O termo VPN esteve associado no passado a servios remotos de conectividade, como o a rede de telefonia pblica comutada (RTPC) ou os PVCs (Permanent Virtual Circuits/Channel) do Frame Relay, mas hoje j est associado ao uso de infra-estruturas pblicas de comunicao para simular redes privadas IP. Antes da utilizao deste novo conceito de VPN, as corporaes gastavam grandes quantias de recursos para montar complexas redes privadas, chamadas Intranets, entre suas diversas unidades. Essas redes utilizavam servios caros, como linhas privadas, Frame Relay e ATM para incorporar filiais rede interna da companhia. Para escritrios ou usurios mveis, eram utilizados servidores de acesso remoto (com modens e linhas de discagem gratuita como o 0800) ou conexes RDSI (Rede Digital de Servios Integrados). Ao mesmo tempo, empresas pequenas ou mdias, que no tem recursos para manter conexes dedicadas to caras, utilizavam servios de comutao de circuito de baixa velocidade. A medida em que a Internet tornou-se mais e mais acessvel, e a capacidade de transmisso disponvel aumentou, as companhias passaram a migrar suas Intranet para a web, criando as chamadas Extranets, ligando usurios internos e externos. Apesar do baixo custo e a grande disponibilidade da Internet, h um problema fundamental: a segurana das informaes que trafegam na rede. As VPN aparecem para superar o problema de segurana. Usando protocolos de tunelamento e procedimentos de encriptao, a integridade e autenticidade dos dados garantida. Como as operaes ocorrem sobre uma rede pblica, a implementao e manuteno de uma VPN custa significativamente menos do que os servios dedicados descritos no primeiro pargrafo. Apesar de as primeiras VPNs que surgiram necessitarem de especialistas para serem colocadas em funcionamento, a tecnologia desenvolveu-se a um nvel em que sua implantao simples e adequada a negcios de quaisquer tamanhos, incluindo pequenas empresas antes afastadas deste tipo de soluo. Utilizando a Internet, as companhias podem conectar suas filiais, parceiros de negcio e clientes rede corporativa. Usurios mveis dispem de comunicaes seguras, bastando para isso fazer uma ligao para um provedor de servio de Internet (ISP, Internet Service Provider). Com VPNs, as empresas reduzem de forma imediata o custo com as ligaes de longa distncia (principalmente as companhias com atuao internacional), aluguel de linhas privadas e equipamentos de conexo, como banco de modens e servidores de autenticao. 2. Tecnologias A Internet uma rede pblica compartilhada, com protocolos abertos de transmisso. Assim, VPNs devem possuir meios de encapsular pacotes (tunelamento), encriptao e autenticao, de forma a permitir que dados importantes cheguem aos seus destinos sem que sejam vistos ou modificados por terceiros.

2.1 Firewall O firewall um importante mecanismo de segurana para qualquer usurio da Internet. Disponvel em software ou hardware especializado, previne que usurios e dados no autorizados entrem ou saiam da rede da empresa, atravs de regras que especificam quais protocolos, locais ou destinos so permitidos ou proibidos. No entanto, eles no oferecem proteo aos dados aps estes sarem da rede interna da empresa para a Internet; assim que os dados passam pelo firewall, nomes de usurio, senhas, nmeros de contas, endereos de servidores e outras informaes particulares esto visveis aos hackers. Tneis VPN, feitos pelo uso de algoritmos de encriptao, fornecem a capacidade de se utilizar uma rede pblica e compartilhada como a Internet para a transmisso segura de informaes aps elas deixarem a rea protegida pelo firewall. 2.2 Tneis o que faz com que as Redes Privadas Virtuais sejam realmente privadas. Mesmo utilizando a Internet, uma rede pblica, podemos dizer que estamos na verdade na rede privada da empresa, devido privacidade fornecida pelos tneis. Apesar do termo tnel parecer se referir a um caminho fixo entre a origem e o destino, ele se comporta como qualquer outro trfego na Internet, que pode passar por diferentes caminhos para chegar a um destino. O que faz da transmisso VPN um tnel o fato de apenas o destino, no final do tnel, poder ver a informao original. As tecnologias de tunelamento encriptam e encapsulam um determinado protocolo de rede dentro de um pacote IP. Desta forma, ele pode ser roteado, filtrado e serem aplicados dispositivos para controle de custo da mesma forma que feitos com WAN tradicionais. 2.3 Encriptao Encriptao a tcnica de desordenar e colocar novamente em ordem a informao. A informao original chamada de texto claro (clear-text) enquanto que a desordenada chamada de texto codificado (cipher-text). Em cada lado de um tnel VPN est um dispositivo VPN, em hardware ou software; o dispositivo do emissor encripta a informao para texto codificado antes de envi-la atravs do tnel, e o dispositivo no receptor decripta a informao de volta para texto claro.

Os algoritmos de encriptao so funes matemticas que estabelecem a relao entre a mensagem encriptada e a mensagem original, com a possibilidade de utilizao de outros parmetros. Os primeiros algoritmos de encriptao que surgiram garantiam a segurana mantendo em segredo a forma como a informao era desordenada; este mtodo foi muito utilizado nas primeira e segunda guerra mundial. No entanto, a partir do momento em que o mtodo era descoberto, toda a informao que tivesse sido enviada por ele tornava-se vulnervel. Assim, passou-se a pesquisar algoritmos em que a segurana seria garantida de outra forma que no o segredo sobre o algoritmo; a resposta foi a utilizao de chaves para segurana de algoritmos pblicos e testados, como o DES (Data Encryption Standard).

DES e 3DES O DES utiliza chaves simtricas de 56 bits para encriptar blocos de 64 bits de dados. Apesar deste mtodo fornecer mais de 72.000 trilhes de possveis combinaes de chaves, que levariam pelo menos 10 anos para que um computador comum rodasse todas estas combinaes, utilizando-se um conjunto de mquinas podemos quebr-lo em menos de um minuto. Desenvolveu-se ento o 3DES, que encripta a informao mais de uma vez; no 3DES, a mensagem encriptada com uma chave, seu resultado decriptado com outra, ento encriptado novamente com a chave original, para ser enviada ao destinatrio, que realiza as mesmas operaes de forma inversa; apenas ao fim das trs operaes que teremos a mensagem original. Essa tcnica faz com que o tamanho efetivo da chave aumento de 56 para 168 bits.

Figura 1: Encriptao utilizando 3DES

2.4 Chaves A chave um cdigo secreto utilizado por algoritmos de encriptao para criar verses nicas do texto codificado; isto faz com que uma mensagem, ao ser encriptada com chaves diferentes, apresente textos codificados diferentes. De forma intuitiva, podemos dizer que a segurana da transmisso ser diretamente proporcional ao tamanho de chave utilizado. Utilizando uma chave de 16 bits, um atacante ter que fazer no mximo 65536 tentativas antes de revelar a combinao; para computadores, esta seria uma tarefa praticamente imediata. por este motivo que os produtos VPN hoje utilizam chaves de 168 bits, criando um nmero de combinaes que necessitariam de alguns sculos para serem descobertas por computadores. Apesar da tentao para utilizar a chave com o maior nmero de bits possvel, devemos levar em considerao que quanto maior a chave, maior ser o tempo levado pelo dispositivos VPN para encriptar e decriptar as mensagens. Deve-se utilizar um tamanho de chave adequado para a importncia da informao que se quer transmitir. Uma poltica mais eficiente de utilizar chaves no muito grandes, mas trocadas periodicamente. O perodo de tempo em que uma determinada chave utilizada chamado de crypto-period. As chaves podem ser trocadas de acordo com um determinado nvel de transmisso de dados, no incio de cada nova sesso ou quando o trfego for baixo. Chaves simtricas Significa que a mesma chave utilizada em cada terminao de um tnel para encriptar e decriptar as informaes. Como a chave simtrica compartilhada pelas duas partes, devem ser tomadas as medidas adequadas de forma a manter a chave secreta; por este motivo so tambm chamadas de chaves secretas. Estas chaves so mais difceis de serem distribudas, j que elas devem permanecer secretas. Uma tcnica denominada diviso de chave pode ser empregada para reduzir o potencial de revelao da chave durante a troca, o que permite a utilizao de canais pblicos, como a Internet. A distribuio da chave tambm pode ser feita manualmente, utilizando papis ou mdias removveis (como disquetes e CDs).

Chaves assimtricas Chaves assimtricas so um pouco mais complicadas, mas muito mais fceis de gerenciar. Elas permitem que a informao seja encriptada por uma chave e decriptada por outra. As duas chaves utilizadas nesse cenrio so chamadas de chave pblica, que distribuda, e chave privada, que deve ser mantida em segredo. Com chaves assimtricas, os parceiros no negcio trocam suas chaves pblicas para se comunicar, mas mantm suas chaves privadas em segredo.

Criptografia assimtrica

Gerenciamento de chaves Configurar previamente chaves secretas em pequenas VPNs no necessita de automao por software ou grandes investimentos em infra-estrutura. Entretanto, redes grandes beneficiam-se da implementao de uma infra-estrutura de chaves pblicas (Public Key Infrastructure, PKI) para criar, distribuir e emitir certificados digitais para cada usurio. Certificados digitais so procedimentos que verificam a associao entre uma chave pblica e a identidade de um usurio, impedindo a falsificao de identidade. Pode-se utilizar os servios de Autoridades Certificadoras fornecidos por terceiros, ou usar uma prpria; estes servios so especialmente importantes para grandes companhias que precisam gerenciar uma grande quantidade de chaves, tanto de seus usurios quanto de seus parceiros e clientes. 2.5 Autenticao Por meio da autenticao, o destinatrio de um dado pode determinar se o emissor realmente quem ele diz ser (autenticao de usurio ou dispositivo) ou se o dado foi redirecionado ou corrompido no caminho entre a origem e o destino (autenticao de dados). Autenticao usurios ou dispositivos Numa comunicao entre A e B, A recebe uma mensagem assinada por B; A ento escolhe um nmero aleatrio e encripta utilizando uma chave que somente B ser capaz de decodificar. B ento decripta o nmero aleatrio e re-encripta utilizando uma chave que somente A ser capaz de decodificar. Quando A recebe o nmero aleatrio de volta, ele pode garantir que realmente B que est na outra ponta da comunicao.

Autenticao de dados Para verificar que pacotes de dados chegaram inalterados, os sistemas VPN geralmente utilizam uma tcnica que envolve funes de hash. Esta funo cria uma espcie de impresso digital do dado original. Ela calcula um nmero nico para a mensagem em questo, chamado de hash, formado por uma cadeia fixa ou varivel de bits. O emissor ento anexa este nmero ao pacote de dados antes da etapa de encriptao. Quando o destinatrio recebe e decripta este dado, ele pode calcular o hash da mensagem recebida de forma independente. O resultado ento comparado com o valor anexado pelo emissor; se os dois no coincidirem, ento assumido que os dados foram alterados no caminho.

Assinatur a Digital

Conferindo a Assinatura Digital de uma pessoa

3. Protocolos de tunelamento e encriptao IPSec o protocolo padro da Internet para tunelamento, encriptao e autenticao. Ele foi projetado para proteger o trfego da rede levando em considerao os seguintes aspectos: controle de acesso, integridade da conexo, autenticao da origem dos dados, proteo contra reenvio de pacotes e privacidade no trfego de dados. O protocolo permite dois modos de operao. No modo tnel, tudo que estiver aps o cabealho IP protegido. No modo tnel, todo o pacote protegido e um novo cabealho gerado. Uma abordagem mais detalhado do IPSec pode ser encontrada na pgina seguinte. Alm do IPSec, o Layer 2 Tunneling Protocol (L2TP) utilizado para tunelamento. Neste caso, os pacotes de qualquer protocolo que no possa ser encaminhado na Internet (como IPX, SNa ou AppleTalk) so encapsulados num quadro L2TP, que por sua vez colocado em uma pacote IP para roteamento at o final do tnel L2TP. Porm, devemos utilizar outros protocolos sobre o L2TP para garantir a segurana dos dados. Uma anlise mais profunda sobre o L2TP feita mais adiante.

4. Polticas de segurana As polticas de segurana definem privilgios de acesso aceitveis, que podem depender de diversos fatores, como: cargo na empresa, projetos em que o funcionrio trabalha, necessidades de informao e nvel de confiana. Alm disso, as polticas devem ser suficientemente granulares para permitir a diferenciao dependendo da organizao, servidores, grupos e at mesmo nveis de usurios. Devemos levar em conta que estamos traando uma linha de diviso entre o acesso limitado e a computao colaborativa; as polticas devem proteger os recursos no maior nvel possvel, ou seja, aquele que no prejudique a produtividade dos empregados. 5. Aplicaes VPN 5.1 Acesso remoto Profissionais de negcios que viajam freqentemente ou que trabalham em casa utilizam VPN para acessar a rede interna da empresa e realizar suas tarefas. No importa onde eles esto, o acesso seguro empresa est a apenas uma ligao telefnica para um ISP. Esta soluo tambm til para os casos em que importantes funcionrios da empresa precisam estar longe por um bom perodo de tempo. Acesso remoto antes das VPNs A conexo de usurios mveis ou remotos era tradicionalmente conseguida utilizando servios comutados. Pequenos escritrios que no pudessem arcar com os custos de uma conexo permanente Intranet corporativa utilizariam linhas discadas. As tarifas de longa distncia so os maiores custos deste tipo de conectividade. Outros custos incluem investimentos em Servidores de Acesso Remoto na matriz e pessoal especializado para configurar e manter os servidores. Acesso remoto aps as VPNs Usurios remotos podem estabelecer conexes discadas para ISP locais, e conectar, via Internet, a um servidor VPN na sede da empresa. Utilizando as conexes rpidas existentes atualmente (DSL ou a cabo), empregados podem acessar os recursos corporativos em velocidades maiores do que 500 kbps. Na maior parte das vezes, isto como se o funcionrio estivesse dentro da sede da empresa, permitindo um trabalho rpido e eficiente. Neste tipo de aplicao, os benefcios proporcionados pela VPN incluem a substituio das ligaes de longa distncia ou servios 0800, a eliminao da necessidade de Servidores de Acesso Remoto modens, e o acesso a todos os dados e aplicativos da empresa (no somente email e servidores de transferncia de arquivos). Estudos mostram que a economia gerada nas ligaes de longa distncia pagam os custos de instalao da VPN em alguns meses, o que seguido pela diminuio recorrente das despesas. 5.2 Intranet O mercado hoje muitas vezes exige que empresas estabeleam escritrios regionais ou internacionais. A opo sempre foi usar linhas privadas ou o mesmo tipo de acesso discado de usurios mveis. Alm das perdas com infra-estrutura, as empresas ainda devem levar em considerao as perdas de oportunidade associadas ineficincia no acesso s informaes ou aplicaes centralizadas. Intranet antes das VPNs

Para conectar escritrios s sedes, o primeiro passo era equipar cada escritrio com um roteador que o conectasse a um roteador de backbone de uma LAN ou WAN. Os roteadores remotos tambm conectavam os escritrios com outras localidades remotas. Todos estes roteadores eram freqentemente conectados por uma rede de linhas privadas ou servio de Frame Relay. O custo dessa configurao inclui os roteadores de backbone e de cada escritrio e tarifas dos servios de telecomunicaes, mais significativamente as de longa distncia. Intranet aps as VPNs Usando uma soluo VPN para esta aplicao, o backbone WAN e o hardware associado so substitudos pela Internet. Cada escritrio adicional acarretar o custo de uma conexo Internet, do tipo DSL, RDSI ou a cabo. Tambm eliminamos a necessidade dos roteadores de backbone e sua administrao, configurao e suporte. O Retorno de Investimento (ROI) nesta aplicao tambm rpido e prov economias recorrentes. 6. Produtos VPN 6.1 Repassando as responsabilidades a um ISP Uma das opes para implementao de VPN repassar as responsabilidades sobre gerenciamento para um ISP. adequado para empresas que no possuam trabalhadores qualificados para esta rea ou que no queiram perder o foco de seu negcio. preciso levar em considerao os locais em que o ISP est presente, a existncia de equipamentos redundantes, funcionrios qualificados e um suporte adequado. 6.2 Assumindo a responsabilidade na prpria companhia Ao implementar VPNs, h quatro reas principais que devem ser levadas em considerao: o servio de Internet, o servidor com as polticas de segurana, o sistema de PKI e o dispositivo VPN que ser utilizado. Os dispositivos se dividem em duas categorias, os independentes e os integrados a outros produtos. Estes dispositivos so: Roteador: adicionando suporte a VPN no roteador pode manter os custos de atualizao baixos. As funcionalidades podem ser adicionadas tanto por software ou por placas de expanso. Firewall: a utilizao de firewall para a criao de VPNs uma soluo prtica para redes pequenas e com baixo volume de trfego. No entanto, devido ao processamento realizado pelos firewall, eles no so adequados para tunelamento em empresas com alto volume de trfego. Independentes: so projetados especificamente para tunelamento, encriptao e autenticao de usurios, e geralmente so mais fceis de instalar do que a implementao em roteadores e firewalls. H uma grande variedade de dispositivos com diferentes taxas de dados e capacidade de gerenciar conexes simultneas. Software: softwares para criao e gerenciamento de tneis VPN esto disponveis para serem usados entre pares de dispositivos ou entre um usurio remoto e um dispositivo VPN. Estes softwares so boas opes de baixo custo para poucos tneis que no precisem processam muito trfego; o software pode rodar em servidores j existentes.

7. Qualidade de Servio (QoS) A Internet um ambiente complexo com uma enorme mistura de dados e aplicaes em tempo real, que se movem em diferentes direes atravs de infra-estruturas desconhecidas. Deve-se esperar encontrar gargalos e congestionamento. QoS geralmente trata de alocao de banda, prioridade e controle sobre a latncia da rede. Mas a Internet uma rede sem conexo que no prov garantias, apenas o melhor esforo. Quando transmitimos informaes de misso crticas, que devem chegar ao destinatrio com o menor atraso possvel, QoS torna-se uma parte importante das implementaes VPN. IPv6, a prxima verso do protocolo IP, deve mudar muitos destes fatores ao incluir provises para QoS diretamente ao protocolo, mas ele ainda no plenamente utilizado. este o motivo para separar os requisitos de QoS dos requisitos de VPN, se que a qualidade de servio importante para a empresa. Em outras palavras, deve-se escolher um ISP com um nvel de qualidade de servio adequado e ento escolher a soluo VPN mais adequada. 8. Sobre o OpenVPN 8.1 Vantagens do OpenVPN - Simples de instalar, configurar e usar; - Fcil depurao de problemas de rede; - Roda como um processo normal, sem mdulos no kernel; - Permite VPNs de segunda camada, interligando redes Ethernet (verso 2.0 em diante). 8.2 Configurando o OpenVPN O OpenVPN pode operar com 3 tipos de criptografia. Nenhuma criptografia (apenas o tnel), criptografia com chaves estticas, e no modo TLS/SSL, em que as chaves so trocadas periodicamente. O exemplo a seguir ser usado chaves estticas. Instalando o OpenVPN: apt-get install openvpn Configurando a Matriz: entrar na pasta onde ficam os arquivos de configurao do OpenVPN cd /etc/openvpn e criar a chave criptografada em 2048 bits, que abrir o tnel: openvpn genkey secret /etc/openvpn/chave.key criar o arquivo de configurao matriz.conf dentro da mesma pasta: vi matriz.conf contedo deve ser: dev tun ifconfig 10.0.0.1 10.0.0.2 cd /etc/openvpn up ./rotas.up secret chave.key port 5000 ping 15 verb 3 criar o arquivo de rotas rotas.up vi rotas.up conteudo deve ser: #!/bin/bash route add -net 10.0.0.0 netmask 255.255.255.0 gw $5 route add -net LAN-FILIAL netmask 255.255.255.0 gw $5

acertar as permisses: chmod 600 /etc/openvpn/* chmod 700 /etc/openvpn/rotas.up e reestartar o servio: /etc/init.d/openvpn restart Verificar se a interface subiu corretamente: ifconfig tun0 Instalando a Filial: Instalar o OpenVPN da mesma forma que foi instalado na matriz. Configurando a Filial: Entre no diretrio de configurao Cd /etc/openvpn Copie a chave gerada na matriz para a filial com seguinte comando: Scp root@IP_MATRIZ:/etc/openvpn/chave.key /etc/openvpn Em seguida crie o arquivo de configurao chamado filial.conf: Vi /etc/openvpn/filial.conf o conteudo de filial.conf deve ser: dev tun ifconfig 10.0.0.2 10.0.0.1 remote IP-OU-HOST-MATRIZ cd /etc/openvpn up ./rotas.up secret chave.key port 5000 ping 15 verb 3 Agora criar o arquivo de rotas rotas.up tambm na filial: vi rotas.up o conteudo deve ser: #!/bin/bash route add -net 10.0.0.0 netmask 255.255.255.0 gw $5 route add -net LAN-MATRIZ netmask 255.255.255.0 gw $5 acertar as permisses: chmod 600 /etc/openvpn/* chmod 700 /etc/openvpn/rotas.up e restartar o servio: /etc/init.d/openvpn restart Verificar se a interface subiu corretamente: ifconfig tun0 Agora basta testar a VPN pingando nas duas pontas: Ping 10.0.0.1 Ping 10.0.0.2 Esta uma maneira simples de implementar uma VPN com a segurana de uma chave 2048 bits.