Академический Документы
Профессиональный Документы
Культура Документы
Orientador:
Licenciado Bernardo Adão
Luanda/2019
Adilson José Pedro
Júri
Presidente
__________________________
(grau académico, nome, cargo)
Universidade Gregório Semedo
Orientador
__________________________
(grau académico, nome, cargo)
Universidade Gregório Semedo
Arguente
__________________________
(grau académico, nome, cargo)
Universidade Gregório Semedo
Salomão, o Rei
Resumo
Neste trabalho de defesa de tese, apresentei uma solução nova da Cisco para implementar uma
Flexvpn para substituir um Túnel GRE, com autenticação usando o TACACS+(Terminal
Access Controller Access Control Service) interligando as várias agências e a sede,fazendo
também atraveis do Syslog a monitoria do que se passa nos equipamentos. Primeiramente
falei dos conceitos que são a base para este projecto onde além dos conceitos básico de Redes
de Computadores, falei também acerca de VPN com maior relevo nos conceitos de Flexvpn e
seu protocolo chave o IKEv2,feito isso apresento de forma teórica e prática o TACACS+ para
autenticação e autorização e por fim além dos conceitos apresentamos também o Syslog de
forma teórica e práctica.
Palavras-chave: Flexvpn, IKEv2, AAA, vpn, Syslog.
Abstract
Key Words: Flexvpn, IKEv2, AAA, vpn, Syslog.
Índice
Dedicatória................................................................................................................................. II
Agradecimentos ........................................................................................................................ III
Epígrafe .................................................................................................................................... IV
Resumo ...................................................................................................................................... V
Abstract ..................................................................................................................................... VI
Índice de tabelas ....................................................................................................................... IX
Índice de figuras ........................................................................................................................ X
Lista de acrónimos .................................................................................................................. XII
Lista de abreviaturas .............................................................................................................. XIII
1 Introdução ............................................................................................................................ 1
1.1 Objectivos .................................................................................................................... 1
1.1.1 Objectivo geral ......................................................................................................... 1
1.1.2 Objectivos específicos .............................................................................................. 1
1.2 Pesquisa da literatura ................................................................................................... 1
1.3 Contribuição do trabalho ............................................................................................. 2
1.4 Organização do trabalho .............................................................................................. 2
2 Fundamentos para implementação de uma Flexvpn ............................................................ 3
2.1 Redes de Computadores ............................................................................................... 3
2.2 Endereçamento ............................................................................................................. 6
2.3 Protocolos de Roteamento ........................................................................................... 8
2.4 VPN ........................................................................................................................... 12
2.5 GRE(Generic Routing Protocol) ................................................................................ 13
2.5.1 Tipos de VPN ......................................................................................................... 14
2.5.2 Diferentes Tecnologias VPN .................................................................................. 15
2.5.3 Tipos de protocolos VPN ....................................................................................... 16
2.6 FlexVPN .................................................................................................................... 20
2.6.1 Por quê FlexVPN? .................................................................................................. 23
2.6.2 Valor FlexVPN ....................................................................................................... 24
2.7 Autenticação-Tacacs+ ................................................................................................ 24
2.7.1 Vantagens ............................................................................................................... 25
2.7.2 Desvantagens .......................................................................................................... 25
2.7.3 Vantagem do TACACS .......................................................................................... 26
2.7.4 Desvantagem do TACACS .................................................................................... 26
2.8 Syslog......................................................................................................................... 26
2.8.1 Servidores Syslog ................................................................................................... 27
2.8.2 Mensagens Syslog .................................................................................................. 28
2.8.3 As desvantagens do Syslog .................................................................................... 28
2.9 Métodos ..................................................................................................................... 29
2.9.1 Procedimentos Experimentais ................................................................................ 29
3 Resultados .......................................................................................................................... 30
3.1 Análise da Infra-estrutura .......................................................................................... 30
3.2 Proposta de solução ................................................................................................... 30
3.3 Implementação ........................................................................................................... 30
3.4 Luanda Sede ............................................................................................................... 32
3.4.1 Configuração do IKEv2 na sede............................................................................. 34
3.4.2 Configurar IGP na sede .......................................................................................... 34
3.4.3 Configuração TACACS+ Server ............................................................................ 35
3.4.4 Servidor Syslog ...................................................................................................... 38
3.5 Benguela Filial-1 ........................................................................................................ 39
3.6 Configuração do IKEv2 na Filial Benguela ............................................................... 41
3.7 Malange Filial-2 ......................................................................................................... 42
3.7.1 Configuração do IKEV2 na Filial de Malange....................................................... 44
3.7.2 Configurar IGP na Filial Benguela......................................................................... 44
3.8 Lubango Filial-3 ........................................................................................................ 45
3.8.1 Configuração do IKEv2 na Filial Lubango ............................................................ 46
3.8.2 Configurar IGP na Filial Benguela......................................................................... 47
3.9 Análise dos Resultados .............................................................................................. 47
4 Conclusões ......................................................................................................................... 55
Bibliografia ................................................................................................................................. 1
Apêndices ................................................................................................................................... 3
Anexos ........................................................................................................................................ 4
Índice de tabelas
TABELA 2 1 ENDEREÇAMENTO IP ................................................................................................ 7
TABELA 2 2 COMPARAÇÃO DE IKEV1 E IKEV2 ......................................................................... 19
[Fonte 2]
Man-Metropolitan Área Networks
Trata-se de uma versão alargada da LAN, com maiores dimensões mas utilizando
tecnologias idênticas.
Podem agrupar várias redes corporativas, num ambiente público ou privado.
São utilizadas para transporta dados, mas também é comum a sua utilização para voz
ou vídeo.
Associam-se por vezes. As redes de televisão por cabo, ou similares.[2]
[Fonte 2]
WAN-Wide Área Networks
São redes de grandes dimensões, a nível planetário, continental, ou nacional.
Interligam, habitualmente, várias sub-redes, transformando as redes locais, ou
metropolitanas, isoladas, como parte integrante de uma rede de maior dimensão.
Geralmente interligam milhares de LANs.
Internet resulta da junção de várias redes mais pequenas, sendo hoje a principal WAN
mundial.[2]
[Fonte 2]
Redes peer- to- peer
Todos os computadores têm competências iguais, não existe um computador
dedicado exclusivamente para partilhar recursos.
É o utilizador que define quais os recursos que quer partilhar- que pode ser uma
pasta, uma impressora, entre outros
Cada computador pode aceder aos recursos disponibilizados pelos outros
computadores.
Figura 2 4 Redes peer- to- peer
[Fonte 2]
Redes cliente-servidor
As redes cliente-servidor permitem o funcionamento em rede de um número muito
maior de computadores proporcionando a centralização do controlo do funcionamento
de rede bem como melhores condições de segurança da informação.[2]
[Fonte 2]
2.2 Endereçamento
Um endereço IPv4 é formado por 32 bits que é o mesmo que dizermos que possui
quatro octetos representados na forma decimal (ex: 192.168.0.1). Uma parte desse
endereço (bits mais significativos) indicam-nos a rede e a outra parte (bits menos
significativos) indicam-nos qual a máquina dentro da rede.
Com o objectivo de serem possíveis redes de diferentes dimensões, foram definidas
cinco diferentes classes de endereços IP (Classes: A, B, C, D e E).[3]
Originalmente, o espaço de endereçamento IP foi dividido estruturas de tamanho fixo
designadas de “classes de endereço”. As principais são a classe A, classe B e classe C.
Com base nos primeiros bits (prefixo) de um endereço IP, conseguimos facilmente
determinar rapidamente a qual a classe pertence de determinado endereço IP. [3]
Tabela 2 1 Endereçamento IP
A classe A possui um conjunto de endereços que vão desde o 1.0.0.0 até 127.0.0.0,
onde o primeiro octeto (primeiros 8 bits N.H.H.H) de um endereço IP identifica a rede
e os restantes 3 octetos ( 24 bits) irão identificar um determinado host nessa rede. [3]
Exemplo de um endereço Classe A – 120.2.1.0
A classe B possui um conjunto de endereços que vão desde o 128.0.0.0 até
191.255.0.0, onde os dois primeiros octetos (16 bits N.N.H.H) de um endereço IP
identificam a rede e os restantes 2 octetos ( 16 bits) irão identificar um determinado
host nessa rede. [3]
Exemplo de um endereço Classe B – 152.13.4.0
A classe C possui um conjunto de endereços que vão desde o 192.0.0.0 até
223.255.255.0, onde os três primeiros octetos (24 bits N.N.N.H) de um endereço IP
identificam a rede e o restante octeto ( 8 bits) irão identificar um determinado host
nessa rede.
Exemplo de um endereço Classe C – 192.168.10.0[3]
Relativamente a endereços IP existem os endereços públicos e os endereços privados.
A maioria dos endereços IP são públicos, permitindo assim que as nossas redes (ou
pelo menos o nosso router que faz fronteira entre a nossa rede e a Internet) estejam
acessíveis publicamente através da Internet, a partir de qualquer lado.[4]
Quanto a endereços privados, estes não nos permitem acesso directo à Internet, no
entanto esse acesso é possível mas é necessário recorrer a mecanismos de NAT
(Network Address Translation) que traduzem o nosso endereço privado num endereço
público.[4]
Segundo [4] Os intervalos de endereços privados são:
de 10.0.0.0 a 10.255.255.255 (10.0.0.0 /8)
de 172.16.0.0 a 172.31.255.255 (172.16.0.0 /12)
de 192.168.0.0 a 192.168.255.255 (192.168.0.0 /16)
Os endereços públicos são geridos por uma entidade reguladora, muita das vezes são
pagos e permitem identificar univocamente uma máquina (PC, routers,etc) na Internet.
O organismo que gere o espaço de endereçamento público (endereços IP
“encaminháveis”) é a Internet Assigned Number Authority (IANA).[4]
2.3 Protocolos de Roteamento
O roteamento é a principal forma utilizada na Internet para a entrega de pacotes de
dados entre hosts (equipamentos de rede de uma forma geral, incluindo computadores,
roteadores etc.). O modelo de roteamento utilizado é o do salto-por-salto (hop-by-hop),
onde cada roteador que recebe um pacote de dados abre-o, verifica o endereço de
destino no cabeçalho IP, calcula o próximo salto que vai deixar o pacote um passo mais
próximo de seu destino e entrega o pacote neste próximo salto. Este processo se repete
e assim segue ate a entrega do pacote ao seu destinatário. No entanto, para que este
funcione, são necessários dois elementos: tabelas de roteamento e protocolos de
roteamento.[5]
Tabelas de roteamento são registros de endereços de destino associados ao numero de
saltos até ele, podendo conter varias outras informações.[5]
Protocolos de roteamento determinam o conteúdo das tabelas de roteamento, ou seja,
são eles que ditam a forma como a tabela e’ montada e de quais informações ela e’
composta. Existem dois tipos de algoritmo atualmente em uso pelos protocolos de
roteamento: o algoritmo baseado em Vetor de Distancia (Distance-Vector Routing
Protocols) e o algoritmo baseado no Estado de Enlace (Link State Routing
Protocols).[5]
Roteamento Interno
Os roteadores utilizados para trocar informações dentro de Sistemas Autônomos são
chamados roteadores internos (interior routers) e podem utilizar uma variedade de
protocolos de roteamento interno (Interior Gateway Protocols – IGPs). Dentre eles
estão: RIP, IGRP, EIGRP, OSPF e Integrated IS-IS.[5]
Roteamento Externo
Roteadores que trocam dados entre Sistemas Autônomos são chamados de roteadores
externos (exterior routers), e estes utilizam o Exterior Gateway Protocol (EGP) ou o
BGP (Border Gateway Protocol). Para este tipo de roteamento são considerados
basicamente coleções de prefixos CIDR (Classless Inter Domain Routing) identificados
pelo numero de um Sistema Autonomo.[5]
Protocolos de Roteamento Interno (Interior Routing Protocols)
RIP (Routing Information Protocol)
O RIP foi desenvolvido pela Xerox Corporation no inicio dos anos 80 para ser utilizado
nas redes Xerox Network Systems (XNS), e, hoje em dia, e’ o protocolo intradominio
mais comum, sendo suportado por praticamente todos os fabricantes de roteadores e
disponível na grande maioria das versões mais atuais do sistema operacional UNIX.[5]
Um de seus benefícios é a facilidade de configuração. Alem disso, seu algoritmo não
necessita grande poder de computação e capacidade de memória em roteadores ou
computadores.[5]
O protocolo RIP funciona bem em pequenos ambientes, porem apresenta serias
limitações quando utilizado em redes grandes. Ele limita o numero de saltos (hops)
entre hosts a 15 (16 e’ considerado infinito). Outra deficiência do RIP e’ a lenta
convergência, ou seja, leva relativamente muito tempo para que alterações na rede
fiquem sendo conhecidas por todos os roteadores. Esta lentidão pode causar loops de
roteamento, por causa da falta de sincronia nas informações dos roteadores.[5]
O protocolo RIP e’ também um grande consumidor de largura de banda, pois, a cada
30 segundos, ele faz um broadcast de sua tabela de roteamento, com informações sobre
as redes e sub-redes que alcança.[5]
Por fim, o RIP determina o melhor caminho entre dois pontos, levando em conta
somente o numero de saltos (hops) entre eles. Esta técnica ignora outros fatores que
fazem diferença nas linhas entre os dois pontos, como: velocidade, utilização das
mesmas (trafego) e toda as outras métricas que podem fazer diferença na hora de se
determinar o melhor caminho entre dois pontos. [RFC(Request for Comments)
1058][5]
IGRP (Interior Gateway Protocol)
O IGRP também foi criado no inicio dos anos 80 pela Cisco Systems Inc., detentora de
sua patente. O IGRP resolveu grande parte dos problemas associados ao uso do RIP
para roteamento interno.[5]
O algoritmo utilizado pelo IGRP determina o melhor caminho entre dois pontos dentro
de uma rede examinando a largura de banda e o atraso das redes entre roteadores. O
IGRP converge mais rapidamente que o RIP, evitando loops de roteamento, e não tem
a limitação de saltos entre roteadores.[5]
Com estas características, o IGRP viabilizou a implementação de redes grandes,
complexas e com diversas topologias.[5]
EIGRP (Enhanced IGRP)
A Cisco aprimorou ainda mais o protocolo IGRP para suportar redes grandes,
complexas e criticas, e criou o Enhanced IGRP.[5]
O EIGRP combina protocolos de roteamento baseados em Vetor de Distancia
(Distance-Vector Routing Protocols) com os mais recentes protocolos baseados no
algoritmo de Estado de Enlace (Link-State). Ele também proporciona economia de
trafego por limitar a troca de informações de roteamento àquelas que foram
alteradas.[5]
Uma desvantagem do EIGRP, assim como do IGRP, é que ambos são de propriedade
da Cisco Systems, não sendo amplamente disponíveis fora dos equipamentos deste
fabricante.[5]
OSPF (Open Shortest Path First)
Foi desenvolvido pelo IETF (Internet Engineering Task Force) como substituto para o
protocolo RIP. Caracteriza-se por ser um protocolo intra-domínio, hierárquico, baseado
no algoritmo de Estado de Enlace (Link-State) e foi especificamente projetado para
operar com redes grandes. Outras características do protocolo OSPF são:
A inclusão de roteamento por tipo de serviço (TOS – type of service routing). Por
exemplo, um acesso FTP poderia ser feito por um link de satélite, enquanto que um
acesso a terminal poderia evitar este link, que tem grande tempo de retardo, e ser feito
através de um outro enlace;
O fornecimento de balanceamento de carga, que permite ao administrador especificar
múltiplas rotas com o mesmo custo para um mesmo destino. O OSPF distribui o
tráfego igualmente por todas as rotas;
O suporte a rotas para hosts, sub-redes e redes especificas;
A possibilidade de configuração de uma topologia virtual de rede, independente da
topologia das conexões físicas. Por exemplo, um administrador pode configurar um
link virtual entre dois roteadores mesmo que a conexão física entre eles passe através
de uma outra rede;
A utilização de pequenos “hello packets” para verificar a operação dos links sem ter
que transferir grandes tabelas. Em redes estáveis, as maiores atualizações ocorrem uma
vez a cada 30 minutos.[5]
O protocolo ainda especifica que todas os anúncios entre roteadores sejam autenticados
(isto não quer dizer que necessariamente reflita a realidade das implementações).
Permite mais de uma variedade de esquema de autenticação e que diferentes áreas de
roteamento (ver abaixo) utilizem esquemas diferentes de autenticação;
Duas desvantagens deste protocolo são a sua complexidade, e maior necessidade por
memória e poder computacional, característica inerente aos protocolos que usam o
algoritmo de Estado de Enlace (Link-State).[5]
O OSPF suporta, ainda, roteamento hierárquico de dois níveis dentro de um Sistema
Autônomo, possibilitando a divisão do mesmo em áreas de roteamento. Uma área de
roteamento é tipicamente uma coleção de uma ou mais sub-redes intimamente
relacionadas. Todas as áreas de roteamento precisam estar conectadas ao backbone do
Sistema Autônomo, no caso, a Área 0. Se o trafego precisar viajar entre duas áreas, os
pacotes são primeiramente roteados para a Área 0 (o backbone). Isto pode não ser bom,
uma vez que não há.[5]
Roteamento inter-areas enquanto os pacotes não alcançam o backbone. Chegando a
Área 0, os pacotes são roteados para a Área de Destino, que e’ responsável pela entrega
final. Esta hierarquia permite a consolidação dos endereços por área, reduzindo o
tamanho das tabelas de roteamento. Redes pequenas, no entanto, podem operar
utilizando uma única área OSPF. [RFC 1583][5]
Integrated IS-IS (Intermediate System to Intermediate System Routing Exchange
Protocol)
O IS-IS [OSI 10589], assim como o OSPF, e’ um protocolo intra-domínio, hierárquico
e que utiliza o algoritmo de Estado de Enlace. Pode trabalhar sobre varias sub-redes,
inclusive fazendo broadcasting para LANs, WANs e links ponto-a-ponto.[5]
O Integrated IS-IS e’ uma implementação do IS-IS que, alem dos protocolos OSI,
atualmente também suporta o IP. Como outros protocolos integrados de roteamento, o
IS-IS convoca todos os roteadores a utilizar um único algoritmo de roteamento.[5]
Para rodar o Integrated IS-IS, os roteadores também precisam suportar protocolos
como ARP, ICMP e End System-to-Intermediate System (ES-IS).[5]
Protocolo de Roteamento Externo (Exterior Routing Protocol)
BGP (Border Gateway Protocol)
O BGP [RFCs 1771, 1772, 1773, 1774,1657] assim como o EGP, é um protocolo de
roteamento interdominios, criado para uso nos roteadores principais da Internet.[5]
O BGP foi projetado para evitar loops de roteamento em topologias arbitrarias, o mais
serio problema de seu antecessor, o EGP (Exterior Gateway Protocol). Outro problema
que o EGP não resolve – e e’ abordado pelo BGP – e’ o do Roteamento Baseado em
Política (policy-based routing), um roteamento com base em um conjunto de regras
não-técnicas, definidas pelos Sistemas Autônomos.[5]
2.4 VPN
Pode-se dizer que uma VPN (Virtual Private Network) é um conjunto de políticas que
controlam a conectividade e a qualidade de serviço de uma rede privada. São redes que
compartilham um meio físico comum, porém possuem privacidade dos dados através
de criptografia. São redes virtuais, pois não possuem
enlaces ou linhas dedicados entre as suas extremidades; no entanto, para os usu-
ários e clientes, são “transparentes” e possuem as mesmas funcionalidades de
segurança de enlaces dedicados. As VPNs consistem em soluções simples e flexíveis,
tratando-se de uma poderosa ferramenta de tunelamento oferecida pelos provedores de
serviço de Internet (ISPs). As VPNs foram originalmente introduzidas para
permitir aos provedores de serviços o uso de uma mesma infraestrutura comum
na emulação de enlaces ponto-a-ponto entre os sites dos clientes, e foram
desenvolvidas nos moldes de uma rede geograficamente distribuída ou WAN (Wide
Area Network), podendo abranger uma ampla área geográfica, frequentemente
um país ou continente, com todos os atributos de segurança, gerenciamento e
processamento[6]
Uma rede privada virtual ou VPN (Virtual Private Network) é uma área
de crescimento importante na Internet. Usando protocolos padronizados, as
empresas são capazes de conectar suas redes privadas com segurança usando
os recursos econômicos e altamente disponíveis da Internet. O objetivo da
Internet é proporcionar comunicação entre os nós das redes de modo irrestrito. Porém,
existem muitas situações tais como transações financeiras, pagamentos, etc. nas quais
se exige privacidade das informações e uma conectividade controlada. A maneira de
baixo custo e eficiente de obter tal resultado
é a utilização de VPNs.O crescimento das VPNs tem
sido acompanhado por uma explosão nas técnicas disponíveis para prover
essa função. A maior parte dessas técnicas utiliza abordagens padronizadas,
mas cada uma utiliza protocolos diferentes e possui suas próprias vantagens
e desvantagens.[6]
A grande motivação das VPNs foi o fator custo, pois, ao invés de se
utilizar de um grande número de linhas dedicadas para a interconexão entre seus
diversos pontos, uma VPN faz uso dos serviços existentes das redes
IPs espalhadas mundialmente, para estender as redes corporativas de uma
empresa a pontos distantes, como outros escritórios, filiais, parceiros e até
mesmo residências. Outro fator motivacional que podemos destacar é que
as VPNs podem permitir o acesso a qualquer lugar alcançado pela Internet;
e, como a Internet está hoje onipresente, conexões podem ser facilmente
estabelecidas.[6]
2.5 GRE(Generic Routing Protocol)
[Fonte N--0]
Desvatangens
Os túneis GRE são,geralmente,configurados manualmente, o que requer um
esforço grande no gerênciamento e manutenção de acordo com a quantidade de
túneis:toda vez que o final de um túnel mudar,ele deverá ser manualmente
configurado;
Embora a quantidade de processamento requerida para encapsular um pacote
GRE pareça pequena,existe uma relação direta entre o número de túneis a serem
configurados e o processamento requerido para o encapsulamento dos pacotes
GRE: quanto maior a quantidade de túneis, maior será o processamento
requerido para o encapsulamento;
Uma grande quantidade de túneis poderá afectar a eficiência da rede.[N--0]
[Fonte 6]
VPN Extranet: utilizada para conectar uma empresa a seus fornecedores,
clientes, etc.
[Fonte 6]
VPN de Acesso Remoto: utilizada para conectar uma empresa a seus
empregados que estejam fisicamente distantes. Neste caso, a estação
remota disca para o provedor de acesso, conectando-se à Internet, e
o software de VPN cria uma rede virtual privada entre o usuário remoto e o servidor de
VPN corporativo através da Internet[6]
[Fonte 6]
O Internet Key Exchange é um protocolo híbrido feito dos protocolos Oakley, SKEME
(um mecanismo versátil de troca segura de chaves para Internet) e ISAKMP (Internet
Security Association e Key Management Protocol). O protocolo ISAKMP é uma
estrutura para a troca de chaves de criptografia e cargas úteis de associações de
segurança.[N0]
A negociação da IKEv1 Fase 1 pode ocorrer em dois modos, usando o Modo Principal
ou o Modo Agressivo. O modo principal IKEv1 Phase 1 possui três pares de
mensagens (total de seis mensagens) entre os pares IPSec. O Modo Agressivo IKE de
Fase 1 possui apenas três trocas de mensagens. O objetivo da IKEv1 Fase 1 é
estabelecer a IKE SA. [N0]
A IKEv1 Fase 2 (Modo Rápido) possui apenas três mensagens. O objetivo da Fase 2 do
IKEv1 é estabelecer o IPSec SA. [N0]
[Fonte -0]
IKE v1 IKE v2
A fase 1 gera: gera apenas 4 mensagens
modo principal: 6 mensagens
modo agressivo: 3 mensagens
sem confiabilidade confirmar e sequênciar
sem autenticação Variantes EAP
baseado na RFC 4995 baseado na RFC 5996
2.6 FlexVPN
A mais recente oferta VPN da Cisco FlexVPN é uma solução VPN unificada baseada
no padrão de protocolo IKEv2 que suporta uma variedade de cenários comuns de
implantação de VPN, incluindo Site a Site, Acesso Remoto usando Cisco AnyConnect
ou clientes Windows nativos e recursos de malha dinâmica semelhante a DMVPN. O
FlexVPN também fornece integração perfeita com roteamento, redundância,
autenticação / autorização AAA e vários outros recursos avançados para torná-lo uma
solução de escolha para clientes que procuram uma solução VPN consolidada e
escalável.[N1- (Cisco, 2016)]
Figura 2 11 Flexvpn Unificada
[Fonte N2]
Para [N4] Flexvpn é somente ikv2 e justifica apresentando a evolução e
caracterististicas atraveis da imagem abaixo:
Figura 2 13 Flexvpn
[Fonte N4]
A FlexVPN conta com o IKEv2 baseado em padrões abertos como uma tecnologia de
segurança e fornece uma série de aprimoramentos específicos da Cisco para fornecer
altos níveis de segurança, valor agregado e diferenciações competitivas. [8]
O FlexVPN é suportado no Cisco Integrated Services Router Generation 2 (ISR G2)
plataformas executando IOS e roteadores de serviços de agregação (ASR 1000)
executando o IOS-XE, incluindo o Cloud Services Router 1000v (CSR 1000v) e
Roteadores da série ISR4000. O Cisco AnyConnect é suportado como cliente, além de
qualquer cliente de terceiros compatível. [8]
[Fonte 9]
2.7.1 Vantagens
Segundo [9] Todas as ações que os usuários fazem devem ser enviadas ao servidor
AAA para determinar se são permitidas ou não. Este processo tem muitas vantagens:
Login seguro (o servidor AAA não é exposto aos usuários e somente alguns
protocolos podem ser enviados inicialmente);
Gerenciamento fácil em um ou alguns servidores centralizados;
Firewalls ou outros dispositivos de segurança podem ser colocados diante dos
servidores AAA para protegê-los
Pode aceitar ou rejeitar comandos específicos;
Todos os comandos digitados pelos usuários podem ser registrados para análise
posterior.
2.7.2 Desvantagens
Requer servidor poderoso (para lidar com todo o tráfego e solicitações)
Segundo [9] AAA significa Autenticação, Autorização e Contabilidade.
Autenticação: especifique quem você é (geralmente via nome de usuário e senha de
login)
Autorização : especifique quais ações você pode executar, que recurso você pode
acessar
Contabilidade : monitore o que você faz, quanto tempo faz (pode ser usado para
cobrança e auditoria)
Com o AAA, os usuários devem se autenticar antes de obter um endereço IP para
acessar a rede. Caso contrário, eles só podem usar protocolos específicos para
continuar autenticando. [9]
Segundo [9] para autenticação, podemos fazer isso via banco de dados local, padrão
802.1x (desenvolvido para fornecer um método para autenticar dispositivos que tentam
acessar uma porta de switch / LAN) ou via servidores AAA remotos. Existem dois
protocolos AAA cliente / servidor populares para se comunicar entre servidores AAA
remotos e dispositivos de autenticação:
RADIUS (serviço de usuário de discagem de autenticação remota)
TACACS + (Sistema de controle de acesso do controlador de acesso ao terminal)
[Fonte 11]
O diagrama acima apresenta a topologia da sede, onde temos o serviço de internet a ser
provido por uma ISP para um router local e seguidamente um ligação do router com o
switch para desbruição/acesso local da comunicação entre os vários serviços tais
como:monitoria(Syslog) e autenticação.
A figura acima demostra os endereços Ips nas interfaces e seguidamente a descrição das
mesma interfaces.
3.4.1 Configuração do IKEv2 na sede
A tela abaixo demonstra a abertura do servidor Tacacs via CLI, demonstrando que ela
pode ser usada por essa via:
A tela abaixo é uma demostração de usuários criados para terem acesso a autenticação
Router (R1-Benguela)
Switch (Sw1-Benguela)
Computador cliente (PC1-Benguela)
Figura 3 11 Diagrama do site Benguela Filial
Router (R1-Malange)
Switch (Sw1-Malange)
Computador cliente (PC1-Malange)
A figura acima demostra os endereços Ips nas interfaces e seguidamente a descrição das
mesma interfaces.
3.7.1 Configuração do IKEV2 na Filial de Malange
Router (R1-Lubango)
Switch (Sw1-Lubango)
Computador cliente (PC1-Lubango)
A figura acima demostra os endereços Ips nas interfaces e seguidamente a descrição das
mesma interfaces.
Já o comando show ip int brief temos visibilidade dos IPs das interfaces ajuda-nos
também verificar o estado das interfaces e do protocolo.
O comando show ip eigrp neighbor visualiza-nos os vizinhos com quem esta ligado
dando informação do estado do protocolo de roteamento assim como os ip´s dos
vizinhos.
O show crypto ikev2 sa detailed é comando que nos permite verificar o estado da
FlexVPN.Principais parâmetros desse comando são: READY,Assigned host
addr:,initiador of SA
O show crypto ipsec sa visualiza a interface na qual esta configurado o crypto map a
identificação local assim como a identificação remota e os ip´s correspondente da fonte
e destino.Por meio dele podemos ver se os pacotes estão defacto a serem encriptados.
O show ip route visualiza a tabela de rotas do router em questão,demostrando as rotas e
os protocolos por meio do qual podem ser apreendidos.
O show crypto session é um comando que permite verificar informações gerais sobre o
estadi de sessão de cada interface virtual da Flexvpn.
Abaixo demonstramos através de dois comandos diferentes como ver os usuários que
estão autenticados: