TOCI08 - Segurança em Redes de Computadores

Propaganda
TOCI08–Segurança em Redes de Computadores
Módulo 11: VPN
Prof. M.Sc. Charles Christian Miers
e-mail: [email protected]
VPN: Virtual Private Networks




Uma Rede Virtual Privada (VPN) é um meio de simular uma rede
privada sobre uma rede pública
 Rede Virtual: rede formada por conexões virtuais
 Conexão Virtual: conexões temporárias, não físicas,
estabelecidas entre os pontos que se deseja estabelecer uma
comunicação segura
Motivação principal às VPNs é a possibilidade de utilizar a
Internet como meio físico de comunicação
 Alternativa muito mais viável que a alocação de linhas
privativas
Fornece um meio de comunicação seguro entre dois pontos
VPNs estão substituindo rapidamente linhas dedicadas, circuitos
de frame relay e outras formas de comunicação dedicada
TOCI08 Segurança em Redes de Computadores
2
PROTOCOLOS PARA VPN




L2F
 Layer 2 Fowarding Protocol
 Desenvolvido pela CISCO
PPTP
 Point-to-Point tunneling Protocol
 Ascend Communication, U.S. Robotics, 3Com Corporation,
Microsoft Corporation, ECI Telematics
L2TP
 Cisco, PPTP Forum e IETF desenvolveram Level 2
Tunneling Protocol (L2TP), combinando L2F e PPTP
IPSec
 IETF (Internet Engineering Task Force)
TOCI08 Segurança em Redes de Computadores
3
Tipos de Tunelamento


Tunelamento de Camada 2
 Os pacotes são encapsulados no protocolo PPP
(camada 2), e depois recebem o cabeçalho de
tunelamento
 Exemplos PPTP e L2TP
Tunelamento de Camada 3
 Os pacotes recebem diretamente o cabeçalho de
tunelamento
 Exemplo: IPSec
TOCI08 Segurança em Redes de Computadores
4
L2TP



L2TP: Layer Two Tunneling Protocol
Baseado nos Protocolos:
 PPTP
 L2F
As mensagens do protocolo L2TP são de dois tipos:
 Mensagens de controle:
 Utilizadas para estabelecer e manter as conexões
 Mensagens de dados:
 Utilizadas para transportar informações
TOCI08 Segurança em Redes de Computadores
5
L2TP (Cont.)


Possui suporte as seguintes funções:
 Tunelamento de múltiplos protocolos
 Autenticação
 Anti-spoofing
 Integridade de dados
 Certificar parte ou todos os dados
 Padding de Dados
 Permite esconder a quantidade real de dados
Transportados
Não possui suporte nativo para criptografia
TOCI08 Segurança em Redes de Computadores
6
IPSec – IP Seguro


Protocolo projetado pelo IETF para permitir comunicações
seguras no interior de redes TCP (IPv4 ou IPv6)
Possui dois modos de utilização:
 Modo túnel:
 Adiciona o cabeçalho de tunelamento e um
cabeçalho de controle
 Modo transporte:
 Adiciona apenas o cabeçalho de controle
TOCI08 Segurança em Redes de Computadores
7
Esquema de Cifragem IPSec


Emprego do IKE (Internet Key Exchange)
Esquemas criptográficos consistem em:
 Protocolo de Gerenciamento de Chaves: geração e troca de
chaves
 Algoritmo de Cifragem: cifragem das mensagens
 Algoritmo de Autenticação: garantia de integridade
Protocolo
Gerenciamento
de Chave
Algoritmo de
Cifragem
IKE – padrão de
indústria para
protocolo de
gerenciamento de
chaves em VPN
DES, CAST, AES
Algoritmo de
Autenticação
HMAC-MD5
HMAC-SHA-1
Cifragem é...
Encapsulado; a
cifragem de
tráfego é IPSec
8
Elementos do IPSec



IP Autentication Header (AH)
 Integridade, autenticação da origem de dados e evita
interceptação de pacotes
IP Encapsulating Security Payload (ESP)
 Confidencialidade, integridade, autenticação da origem
e evita interceptação de pacotes
Internet Security Association and Key Management
Protocol (ISAKMP)
 Implementa o gerenciamento de chaves
TOCI08 Segurança em Redes de Computadores
9
Esquema de Cifragem IKE (Cont.)

IKE – ISAKMP/Oakley
 ISAKMP (Internet Security Association and Key Management
Protocol):




Padrão de cifragem do IETF
Fornece um framework/arcabouço para transferência de chaves
e autenticação de dados
Independência dos métodos de cifragem e autenticação
Oakley:




Protocolo usado para estabelecer criptografia forte – baseado
em chaves para cifragem dos dados
Oakley define como os usuários selecionam grupos de
números primos para fazer a troca de chaves por Diffie-Hellman
Chaves podem ser derivadas das chaves Diffie-Hellman ou de
uma chave criptográfica existente
Oakley permite ao IPSec usar chaves secretas e autenticação
baseada em certificados
10
IPSec : Estrutura
IPv4
IP TCP/UDP DADOS
IPv4 com autenticação
IP AH TCP/UDP DADOS
IPv4 com autenticação e tunelamento
AH: calculado sobre todos
os dados que não são
alterados durante o trajeto
do pacote
IP AH IP TCP/UDP DADOS
IPv4 com autenticação e criptografia
IP
ESP
HEADER
TCP/UDP DADOS
ESP
TRAILER
ESP
AUTH
cifrado
autenticado
11
Exemplo de VPN:



Três redes privadas
conectadas via VPN
Cifragem é realizada
na parte pública da
rede (Internet)
Os dois firewalls são
os pontos de
cifragem/decifragem
Rede Privada
Pública
Firewall
Firewall
Admin
P&D
Rede Privada
Suporte
Correio
eletrônico
Vendas
FTP
HTTP
Cifrado
Não-cifrado
12
Definições: VPNs

Especificação da cifragem requer responder três
questões:

Quem irá cifrar ?


Quais são as chaves de cifragens a serem cifradas?




Gateways de cifragem e seus domínios
IPSec assegura a conexão
Negociação IKE precisa ser feita antes da cifragem iniciar
Gateways usam segredos pré-compartilhados ou certificados
Quais conexões devem ser cifradas e como?


Uma regra é necesária na base de regras especificando a
comunicação entre gateways e como cifrar
Cada regra especifica parâmetros IKE de cifragem
TOCI08 Segurança em Redes de Computadores
13
Classificação de VPNs

Tipos de VPNs:
 Intranet VPNs
 VPNs de acesso remoto
 Extranet VPNs
TOCI08 Segurança em Redes de Computadores
14
Intranet VPNs


Feitas para gerenciar a segurança entre departamentos
internos e filiais
Os requerimetos no design de Intranet VPN incluem:
 Criptografia forte para proteger informações
confidenciais
 Confiabilidade para sistemas de missão crítica
(Ex.: gerenciamento de bases de dados)
 Escalável para permitir o crescimento e mudanças
TOCI08 Segurança em Redes de Computadores
15
Intranet VPN (Cont.)
DMZ
Servidores Públicos
Correio Eletrônico
World Wide Web
FTP
Escritório
Principal
Escritórios /
Filiais
Internet
Firewall /
Gateway
Firewall /
Gateway
TOCI08 Segurança em Redes de Computadores
16
VPNs de Acesso Remoto


Feita para gerenciar a comunicação segura entre redes
corporativas e remotas ou empregados móveis
Requerimentos para a realização de VPNs de acesso
remoto:
 Autenticação forte para verificação de redes remotas e
e usuários móveis
 Gerenciamento centralizado
 Escalável para acomodar grupos de usuários
TOCI08 Segurança em Redes de Computadores
17
VPNs de Acesso Remoto (Cont.)
DMZ
Servidores Públicos
Correio Eletrônico
World Wide Web
FTP
Escritório
Principal
Usuários
Móveis
Internet
Firewall /
Gateway
TOCI08 Segurança em Redes de Computadores
18
Extranet VPNs


Construídas para elaborar a comunicação segura entre a
empresa e seus parceiros estratégicos, consumidores e
fornecedores
O design de uma Extranet VPN requer:
 Internet Protocol Security standard (IPSec)
 Controle de tráfego para previnir gargalos nos pontos de
acessos remotos
 Entrega rápida e tempo de resposta para dados/aplicações
críticas
TOCI08 Segurança em Redes de Computadores
19
Extranet VPNs (Cont.)
DMZ
Servidores Públicos
Correio Eletrônico
World Wide Web
FTP
Escritório
Principal
Clientes
Internet
Parceiros
Firewall /
Gateway
TOCI08 Segurança em Redes de Computadores
20
Implementação de VPN


Uma implementação de uma VPN completa deve suportar
todos os três tipos de VPN
Uma VPN completa necessita incluir três componentes
críticos:
 Segurança: incluindo controle de acesso, autenticação e
criptografia
 QoS: controle do tráfego VPN pode incluir
gerenciamento de largura de banda e aceleração de
VPN para garantia de QoS
 Performance e Gerenciamento: pode incluir
gerenciamento baseado em políticas
TOCI08 Segurança em Redes de Computadores
21
VPN Completa
Clientes
DMZ
Servidores Públicos
Correio Eletrônico
World Wide Web
FTP
Escritório
Principal
Internet
Parceiros
Firewall /
Gateway
Escritórios /
Filiais
Usuários
Móveis
TOCI08 Segurança em Redes de Computadores
22
TOCI08 Segurança em Redes de Computadores
23
Leitura Recomendada:

Cert.Br:

http://www.cert.br/docs/seg-adm-redes/

Northcutt, Stephen et all. Inside Network Perimeter Security: The
Definitive Guide to Firewalls, Virtual Private Networks (VPNs),
Routers, and Intrusion Detection Systems. Editora Sams. 2002.

Wack, John; Cutler, Ken & Pole, Jamie. SP800-41: Guidelines on
Firewalls and Firewall Policy. NIST. 2002.

Zwicky, Elizabeth D. Construindo Firewalls para a Internet.
2ª Edição. Editora Campus. 2000.

Norma NBR-ISO/IEC 17799. Versão 1.0

SANS:


http://www.sans.org/resources/popular.php#firewall
http://www.sans.org/rr/whitepapers/firewalls/815.php
TOCI08 Segurança em Redes de Computadores
24
Leitura Recomendada: (Cont.)




RFC 2406:
 IP Encapsulating Security Payload (ESP)
RFC 2407:
 The Internet IP Security Domain of Interpretation for
ISAKMP
RFC 2408:
 Internet Security Association and Key Management
Protocol (ISAKMP)
RFC 2409:
 The Internet Key Exchange (IKE)
TOCI08 Segurança em Redes de Computadores
25
Download