Contruindo VPNs

Virtual Private Networks

Faculdade de Tecnologia do Nordeste - FATENE

Segurança na Internet
Professor Izequiel Pereira de Norões
Equipe:

Maxmiano
Pedro Correia
Lindemberg Rego
VPN ROTEIRO VPN

 Conceito

 Tipos

 Protocolos utilizados

 Plataformas

 Implementação

FATENE – WEB 15 - VPN

VPN CONCEITO VPN

Rede Privada Virtual - uma conexão onde o

acesso e a troca de dados somente é
permitido a usuários e/ou redes que façam
parte de uma comunidade de interesse,
criados através da Internet ou outras redes
públicas ou privadas para transferência de
informações, de modo seguro, entre redes
corporativas ou usuários remotos.

FATENE – WEB 15 - VPN

VPN CONCEITO.. VPN

Uma VPN pode interligar duas ou mais redes

via Internet ou através de um link privado, o
que possibilita estabelecer um TÚNEL que
passa através dessa VPN.

FATENE – WEB 15 - VPN

VPN COMO FUNCIONA? VPN

Um dos modos de utilizanção técnica é

chamada de tunelamento, pacotes de dados
são transmitidos na rede pública - como por
exemplo a Internet - em um túnel privado que
simula uma conexão ponto-a-ponto.

FATENE – WEB 15 - VPN

VPN O QUE SE BASEIA UMA VPN? VPN

 VPN se baseia na tecnologia de

tunelamento.

 Consiste em encapsular um protocolo dentro

de outro.

 O protocolo de tunelamento encapsula o

protocolo que será transportado, e o
cabeçalho do protocolo que encapsulou vai
fornecer o destino do pacote do protocolo
transportado.

FATENE – WEB 15 - VPN

VPN TIPOS DE VPN VPN

Virtual Leased Line Network (VLL)

Onde dois usuários estão conectados por um
túnel IP que emula um circuito físico dedicado
ou uma linha privada. O backbone IP é usado
como entidade de enlace, transporte fim a fim,
de forma transparente para o backbone.
Através de um servidor pode-se abrir vários
túneis VLL.

FATENE – WEB 15 - VPN

VPN TIPOS DE VPN VPN

Virtual Private Routed Network (VPRN)

Emulação de uma WAN com vários sites usando
IP. Uma WAN se caracteriza pela necessidade
de uma configuração de endereços no nível de
usuário da VPN e de provedor de serviço de
rede. Ela consiste de uma rede de topologia não
organizada (rede mesh) entre os roteadores do
provedor de serviço. O VPRN permite também
controle de tráfego nos nós da rede evitando
congestionamento.

FATENE – WEB 15 - VPN

VPN TIPOS DE VPN VPN

Virtual Private Dial Network (VPDN)

Permite aos usuário terem acesso remoto via PPP (Point-to-
Point Protocol). Neste caso a autenticação é feita via
servidor RADIUS por exemplo. Esta permite o uso do IPSec
ou L2TP.

Virtual Private Lan Segment (VPLS)

Emula um segmento de rede local usando o backbone IP. A
VPLS é utilizada para prover o serviço de LAN transparente,
e oferece serviço semelhante à emulação de LAN do ATM.
Esta também oferece completa transparência aos protocolos
com tunelamento multiprotocololar, e suporte a Broadcast e
Multicast.
FATENE – WEB 15 - VPN
VPN TECNOLOGIA TUNELAMENTO VPN

 Permite tráfego de dados de várias fontes para

diversos destinos em uma mesma
infra-estrutura

 Permite trafegar diferentes protocolos em uma

mesma infra-estrutura a partir de
encapsulamento

 Permite garantia de QoS - tráfego de dados

pode ser direcionado para destinos específicos

FATENE – WEB 15 - VPN

VPN VPN

 Túnel é a denominação do caminho lógico

percorrido pelos pacotes encapsulados.

 A rede VPN poder ser construída sobre uma

rede pública (Internet) ou privada.

FATENE – WEB 15 - VPN

VPN TECNOLOGIA TUNELAMENTO VPN

 GRE - Generic Routing Encapsulation

 Ponto-a-ponto
 Configurado entre um roteador-fonte e um
roteador-destino
 Pacotes a serem enviados pelo túnel são
encapsulados com o cabeçalho GRE
Rede IP

Roteador-fonte Túnel Roteador-destino

Pacotes

Inclusão do cabeçalho GRE Retirada do cabeçalho GRE

Endereço dos pacotes = endereço do fim do túnel Endereço dos pacotes = endereço original

FATENE – WEB 15 - VPN

VPN TUNELAMENTO em VPDNs VPN

 L2TP - Layer 2 Tunneling Protocol

 Túneis iniciados pelo servidor de acesso
 Túneis estáticos
 Controle nas mãos do NSP

 PPTP - Point-to-point Tunneling Protocol

 Túneis iniciados pelo usuário
 Túneis “on-demand”
 Controle nas mãos do usuário

Ambos permitem comutação de túneis e

encapsulamento de pacotes

FATENE – WEB 15 - VPN

VPN TUNELAMENTO em VPDNs VPN
L2TP
Protocolo de acesso PPP

protocolo V.x L2TP

Servidor de Acesso Servidor

Usuário de Acesso L2TP

PPTP em VPDNs
Provedor de Acesso Internet ou VPN
Interface Virtual PPTP
Protocolo de acesso PPP

Acesso IP discado

Interface Serial Servidor de Acesso Servidor

Usuário de Acesso PPTP

FATENE – WEB 15 - VPN

VPN MOTIVAÇÃO PARA O USO VPN

 Rede facilmente escalável

 Rápidez na instalação de novos sites
 Facilidade de aumento de banda

 Gerenciamento/Controle
 Autenticação de usuários
 Privilégios de acesso
 Segurança
 Mudanças na rede

FATENE – WEB 15 - VPN

VPN TECNOLOGIA - SEGURANÇA VPN

Autenticação Confidencialidade
Previnir a leitura ou cópia
Origem dos dados faz parte
dos dados durante a
da comunidade?
passagem pela rede

Controle de Acesso Integridade de Dados

Negar acesso a usuário não Garantir que os dados não
autorizados à rede ou partes são adulterados durante a
da rede passagem pela rede

CHAP
ENCRIPTAÇÃO
RADIUS
DE DADOS
CERTIFICADOS

FATENE – WEB 15 - VPN

VPN VPN - Virtual Private Network VPN

 Uma rede VPN utiliza um padrão de

criptografia mundial, criado pelo IETF
(Internet Engineering Task Force), o que
torna todo o tráfego de informação nesse
túnel, seguro.

FATENE – WEB 15 - VPN

VPN Aplicações para VPN VPN

 Três aplicações ditas mais importantes para

as VPNs:

 Acesso remoto via Internet.

 Conexão de LANs via Internet.

 Conexão de computadores numa Intranet.

FATENE – WEB 15 - VPN

VPN Acesso remoto via Internet - Fonte: RNP VPN

FATENE – WEB 15 - VPN

VPN Acesso remoto via Internet VPN

 O acesso remoto a redes corporativas

através da Internet pode ser viabilizado com
a VPN através da ligação local a algum
provedor de acesso (Internet Service
Provider - ISP).

FATENE – WEB 15 - VPN

VPN Acesso remoto via Internet VPN

 A estação remota disca para o provedor de

acesso, conectando-se à Internet e o
software de VPN cria uma rede virtual
privada entre o usuário remoto e o servidor
de VPN corporativo através da Internet.

FATENE – WEB 15 - VPN

VPN Conexão de LANs via Internet VPN

FATENE – WEB 15 - VPN

VPN Conexão de LANs via Internet VPN

 Uma solução que substitui as conexões entre

LANs através de circuitos dedicados de
longa distância é a utilização de circuitos
dedicados locais interligando-as à Internet.

 O software de VPN assegura esta

interconexão formando a WAN corporativa.

FATENE – WEB 15 - VPN

VPN Conexão de Computadores numa Intranet VPN

FATENE – WEB 15 - VPN

VPN Conexão de Computadores numa Intranet VPN

 Em algumas organizações, existem dados

confidenciais cujo acesso é restrito a um
pequeno grupo de usuários.

 Nestas situações, redes locais

departamentais são implementadas
fisicamente separadas da LAN corporativa.

FATENE – WEB 15 - VPN

VPN Conexão de Computadores numa Intranet VPN

 Esta solução, apesar de garantir a

"confidencialidade" das informações, cria
dificuldades de acesso a dados da rede
corporativa por parte dos departamentos
isolados.

FATENE – WEB 15 - VPN

VPN Conexão de Computadores numa Intranet VPN

 As VPNs possibilitam a conexão física entre redes

locais, restringindo acessos indesejados através da
inserção de um servidor VPN entre elas.

 Observe que o servidor VPN não irá atuar como um

roteador entre a rede departamental e o resto da
rede corporativa uma vez que o roteador
possibilitaria a conexão entre as duas redes
permitindo o acesso de qualquer usuário à rede
departamental sensitiva.

FATENE – WEB 15 - VPN

VPN Conexão de Computadores numa Intranet VPN

 Com o uso da VPN o administrador da rede

pode definir quais usuários estarão
credenciados a atravessar o servidor VPN e
acessar os recursos da rede departamental
restrita.

FATENE – WEB 15 - VPN

VPN Conexão de Computadores numa Intranet VPN

 Adicionalmente, toda comunicação ao longo

da VPN pode ser criptografada assegurando
a "confidencialidade" das informações.

 Os demais usuários não credenciados

sequer enxergarão a rede departamental.

FATENE – WEB 15 - VPN

VPN Requisitos básicos VPN

 Autenticação de usuários.

 Gerenciamento de endereço.

 Criptografia de dados.

 Gerenciamento de chaves.

 Suporte a múltiplos protocolos.

FATENE – WEB 15 - VPN

VPN Autenticação de Usuários VPN

 Verificação da identidade do usuário,

restringindo o acesso às pessoas
autorizadas. Deve dispor de mecanismos de
auditoria, provendo informações referentes
aos acessos efetuados - quem acessou, o
quê e quando foi acessado.

FATENE – WEB 15 - VPN

VPN Gerenciamento de Endereço VPN

 O endereço do cliente na sua rede privada

não deve ser divulgado, devendo-se adotar
endereços fictícios para o tráfego externo.

FATENE – WEB 15 - VPN

VPN Criptografia de Dados VPN

 Os dados devem trafegar na rede pública ou

privada num formato cifrado e, caso sejam
interceptados por usuários não autorizados,
não deverão ser decodificados, garantindo a
privacidade da informação.

 O reconhecimento do conteúdo das

mensagens deve ser exclusivo dos usuários
autorizados.

FATENE – WEB 15 - VPN

VPN Gerenciamento de Chaves VPN

 O uso de chaves que garantem a segurança

das mensagens criptografadas deve
funcionar como um segredo compartilhado
exclusivamente entre as partes envolvidas.

 O gerenciamento de chaves deve garantir a

troca periódica das mesmas, visando manter
a comunicação de forma segura.

FATENE – WEB 15 - VPN

VPN Suporte a Múltiplos Protocolos VPN

 Com a diversidade de protocolos existentes,

torna-se bastante desejável que uma VPN
suporte protocolos usadas nas redes
públicas, tais como IP (Internet Protocol), IPX
(Internetwork Packet Exchange), .

FATENE – WEB 15 - VPN

VPN Tunelamento VPN

FATENE – WEB 15 - VPN

VPN Tunelamento em Nível 2 VPN

Enlace - (PPP sobre IP)

 O objetivo é transportar protocolos de nível 3,

tais como o IP e IPX na Internet.

 Os protocolos utilizam quadros como

unidade de troca, encapsulando os pacotes
da camada 3 (como IP/IPX) em quadros PPP
(Point-to-Point Protocol).

FATENE – WEB 15 - VPN

VPN Como exemplos podemos citar: VPN

 PPTP (Point-to-Point Tunneling Protocol)

da Microsoft permite que o tráfego IP, IPX e
NetBEUI sejam criptografados e
encapsulados para serem enviados através
de redes IP privadas ou públicas como a
Internet.

FATENE – WEB 15 - VPN

VPN Como exemplos podemos citar: VPN

 L2TP (Layer 2 Tunneling Protocol) da IETF

(Internet Engineering Task Force).

Permite que o tráfego IP, IPX e NetBEUI sejam

criptografados e enviados através de canais de
comunicação de datagrama ponto a ponto tais
como IP, X25, Frame Relay ou ATM.

 L2F (Layer 2 Forwarding) da Cisco é utilizada para

VPNs discadas.

FATENE – WEB 15 - VPN

VPN Tunelamento em Nível 3 - Rede VPN
(IP sobre IP)

 Encapsulam pacotes IP com um cabeçalho

adicional deste mesmo protocolo antes de enviá-
los através da rede.

 O IP Security Tunnel Mode (IPSec) da IETF

permite que pacotes IP sejam criptografados e
encapsulados com cabeçalho adicional deste
mesmo protocolo para serem transportados numa
rede IP pública ou privada.

FATENE – WEB 15 - VPN

VPN VPN
Tunelamento em Nível 3
Rede - (IP sobre IP)

 O IPSec é um protocolo desenvolvido

para IPv6, devendo, no futuro, se constituir
como padrão para todas as formas de VPN
caso o IPv6 venha de fato substituir o IPv4.

 O IPSec sofreu adaptações possibilitando,

também, a sua utilização com o IPv4.

FATENE – WEB 15 - VPN

VPN Tipos de túneis VPN

 Os túneis podem ser criados de duas

diferentes formas - voluntárias e
compulsórias:

 Túnel Voluntário

 Túnel Compulsório

FATENE – WEB 15 - VPN

VPN Túnel Voluntário VPN

 O computador do usuário funciona como

uma das extremidades do túnel e, também,
como cliente do túnel e emite uma
solicitação VPN para configurar e criar um
túnel voluntário entre duas máquinas, uma
máquina em cada rede privada, e que são
conectadas via Internet.

FATENE – WEB 15 - VPN

VPN VPN entre duas máquinas VPN

FATENE – WEB 15 - VPN

VPN Túnel Compulsório VPN

 O computador do usuário não funciona como

extremidade do túnel.

 Um servidor de acesso remoto, localizado entre o

computador do usuário e o servidor do túnel,
funciona como uma das extremidades e atua
como o cliente do túnel.

 Um servidor de acesso discado VPN configura e

cria um túnel compulsório.

FATENE – WEB 15 - VPN

VPN Tunelamento compulsório VPN

FATENE – WEB 15 - VPN

VPN Tunelamento compulsório VPN

 O computador ou dispositivo de rede que

provê o túnel para o computador-cliente é
conhecido de diversas formas:

 FEP (Front End Processor) no PPTP,

 LAC (L2TP Access Concentrator) no L2TP
 IP Security Gateway no caso do IPSec.

FATENE – WEB 15 - VPN

VPN Tunelamento compulsório VPN

 Doravante, adotaremos o termo FEP para

denominar esta funcionalidade - ser capaz
de estabelecer o túnel quando o cliente
remoto se conecta.

FATENE – WEB 15 - VPN

VPN Tunelamento compulsório VPN

 No caso da Internet, o cliente remoto faz uma

conexão discada para um túnel habilitado pelo
servidor de acesso no provedor (ISP).
Tunelamento compulsório

 Por exemplo, uma companhia pode ter um contrato

com uma ou mais provedores para disponibilizar um
conjunto de FEPs em âmbito nacional.

FATENE – WEB 15 - VPN

VPN Tunelamento compulsório VPN

 Estas FEPs podem estabelecer túneis

sobre a Internet para um servidor de túnel
conectado à rede corporativa privada,
possibilitando a usuários remotos o acesso à
rede corporativa através de uma simples
ligação local.

FATENE – WEB 15 - VPN

VPN Tunelamento compulsório VPN

 No tunelamento compulsório, o cliente faz

uma conexão PPP.

 Um FEP pode ser configurado para

direcionar todas as conexões discadas para
um mesmo servidor de túnel ou,
alternativamente, fazer o tunelamento
individual baseado na identificação do
usuário ou no destino da conexão.

FATENE – WEB 15 - VPN

VPN Tunelamento compulsório VPN

 Quando um cliente disca para o servidor de

acesso (FEP) e já existe um túnel para o
destino desejado, não se faz necessária a
criação de um novo túnel redundante.

 O próprio túnel existente pode transportar,

também, os dados deste novo cliente.

FATENE – WEB 15 - VPN

VPN IPSEC – Internet Protocol Security VPN

 O IPSec é um protocolo padrão de camada 3

projetado pelo IETF que oferece
transferência segura de informações fim a
fim através de rede IP pública ou privada.

FATENE – WEB 15 - VPN

VPN IPSEC – Internet Protocol Security VPN

 Essencialmente, ele pega pacotes IP

privados, realiza funções de segurança de
dados como criptografia, autenticação e
integridade, e então encapsula esses
pacotes protegidos em outros pacotes IP
para serem transmitidos.

 As funções de gerenciamento de chaves

também fazem parte das funções do IPSec.

FATENE – WEB 15 - VPN

VPN IPSEC – Internet Protocol Security VPN

 Tal como os protocolos de nível 2, o IPSec

trabalha como uma solução para interligação
de redes e conexões via linha discada.

 Ele foi projetado para suportar múltiplos

protocolos de criptografia possibilitando que
cada usuário escolha o nível de segurança
desejado.

FATENE – WEB 15 - VPN

VPN IPSEC – Internet Protocol Security VPN

 Requisitos de segurança

 Autenticidade

 Integridade

 Confidencialidade

FATENE – WEB 15 - VPN

VPN IPSEC – Internet Protocol Security VPN

 Para implementar estas características, o

IPSec é composto de 3 mecanismos
adicionais:

 AH - Autentication Header.
 ESP - Encapsulation Security Payload.
 ISAKMP - Internet Security Association and
Key Management Protocol.

FATENE – WEB 15 - VPN

VPN Implementação VPN

Windows XP
Ao Vivo

Modo Servidor e Cliente

FATENE – WEB 15 - VPN