TOCI08–Segurança em Redes de Computadores Módulo 11: VPN Prof. M.Sc. Charles Christian Miers e-mail: [email protected] VPN: Virtual Private Networks Uma Rede Virtual Privada (VPN) é um meio de simular uma rede privada sobre uma rede pública Rede Virtual: rede formada por conexões virtuais Conexão Virtual: conexões temporárias, não físicas, estabelecidas entre os pontos que se deseja estabelecer uma comunicação segura Motivação principal às VPNs é a possibilidade de utilizar a Internet como meio físico de comunicação Alternativa muito mais viável que a alocação de linhas privativas Fornece um meio de comunicação seguro entre dois pontos VPNs estão substituindo rapidamente linhas dedicadas, circuitos de frame relay e outras formas de comunicação dedicada TOCI08 Segurança em Redes de Computadores 2 PROTOCOLOS PARA VPN L2F Layer 2 Fowarding Protocol Desenvolvido pela CISCO PPTP Point-to-Point tunneling Protocol Ascend Communication, U.S. Robotics, 3Com Corporation, Microsoft Corporation, ECI Telematics L2TP Cisco, PPTP Forum e IETF desenvolveram Level 2 Tunneling Protocol (L2TP), combinando L2F e PPTP IPSec IETF (Internet Engineering Task Force) TOCI08 Segurança em Redes de Computadores 3 Tipos de Tunelamento Tunelamento de Camada 2 Os pacotes são encapsulados no protocolo PPP (camada 2), e depois recebem o cabeçalho de tunelamento Exemplos PPTP e L2TP Tunelamento de Camada 3 Os pacotes recebem diretamente o cabeçalho de tunelamento Exemplo: IPSec TOCI08 Segurança em Redes de Computadores 4 L2TP L2TP: Layer Two Tunneling Protocol Baseado nos Protocolos: PPTP L2F As mensagens do protocolo L2TP são de dois tipos: Mensagens de controle: Utilizadas para estabelecer e manter as conexões Mensagens de dados: Utilizadas para transportar informações TOCI08 Segurança em Redes de Computadores 5 L2TP (Cont.) Possui suporte as seguintes funções: Tunelamento de múltiplos protocolos Autenticação Anti-spoofing Integridade de dados Certificar parte ou todos os dados Padding de Dados Permite esconder a quantidade real de dados Transportados Não possui suporte nativo para criptografia TOCI08 Segurança em Redes de Computadores 6 IPSec – IP Seguro Protocolo projetado pelo IETF para permitir comunicações seguras no interior de redes TCP (IPv4 ou IPv6) Possui dois modos de utilização: Modo túnel: Adiciona o cabeçalho de tunelamento e um cabeçalho de controle Modo transporte: Adiciona apenas o cabeçalho de controle TOCI08 Segurança em Redes de Computadores 7 Esquema de Cifragem IPSec Emprego do IKE (Internet Key Exchange) Esquemas criptográficos consistem em: Protocolo de Gerenciamento de Chaves: geração e troca de chaves Algoritmo de Cifragem: cifragem das mensagens Algoritmo de Autenticação: garantia de integridade Protocolo Gerenciamento de Chave Algoritmo de Cifragem IKE – padrão de indústria para protocolo de gerenciamento de chaves em VPN DES, CAST, AES Algoritmo de Autenticação HMAC-MD5 HMAC-SHA-1 Cifragem é... Encapsulado; a cifragem de tráfego é IPSec 8 Elementos do IPSec IP Autentication Header (AH) Integridade, autenticação da origem de dados e evita interceptação de pacotes IP Encapsulating Security Payload (ESP) Confidencialidade, integridade, autenticação da origem e evita interceptação de pacotes Internet Security Association and Key Management Protocol (ISAKMP) Implementa o gerenciamento de chaves TOCI08 Segurança em Redes de Computadores 9 Esquema de Cifragem IKE (Cont.) IKE – ISAKMP/Oakley ISAKMP (Internet Security Association and Key Management Protocol): Padrão de cifragem do IETF Fornece um framework/arcabouço para transferência de chaves e autenticação de dados Independência dos métodos de cifragem e autenticação Oakley: Protocolo usado para estabelecer criptografia forte – baseado em chaves para cifragem dos dados Oakley define como os usuários selecionam grupos de números primos para fazer a troca de chaves por Diffie-Hellman Chaves podem ser derivadas das chaves Diffie-Hellman ou de uma chave criptográfica existente Oakley permite ao IPSec usar chaves secretas e autenticação baseada em certificados 10 IPSec : Estrutura IPv4 IP TCP/UDP DADOS IPv4 com autenticação IP AH TCP/UDP DADOS IPv4 com autenticação e tunelamento AH: calculado sobre todos os dados que não são alterados durante o trajeto do pacote IP AH IP TCP/UDP DADOS IPv4 com autenticação e criptografia IP ESP HEADER TCP/UDP DADOS ESP TRAILER ESP AUTH cifrado autenticado 11 Exemplo de VPN: Três redes privadas conectadas via VPN Cifragem é realizada na parte pública da rede (Internet) Os dois firewalls são os pontos de cifragem/decifragem Rede Privada Pública Firewall Firewall Admin P&D Rede Privada Suporte Correio eletrônico Vendas FTP HTTP Cifrado Não-cifrado 12 Definições: VPNs Especificação da cifragem requer responder três questões: Quem irá cifrar ? Quais são as chaves de cifragens a serem cifradas? Gateways de cifragem e seus domínios IPSec assegura a conexão Negociação IKE precisa ser feita antes da cifragem iniciar Gateways usam segredos pré-compartilhados ou certificados Quais conexões devem ser cifradas e como? Uma regra é necesária na base de regras especificando a comunicação entre gateways e como cifrar Cada regra especifica parâmetros IKE de cifragem TOCI08 Segurança em Redes de Computadores 13 Classificação de VPNs Tipos de VPNs: Intranet VPNs VPNs de acesso remoto Extranet VPNs TOCI08 Segurança em Redes de Computadores 14 Intranet VPNs Feitas para gerenciar a segurança entre departamentos internos e filiais Os requerimetos no design de Intranet VPN incluem: Criptografia forte para proteger informações confidenciais Confiabilidade para sistemas de missão crítica (Ex.: gerenciamento de bases de dados) Escalável para permitir o crescimento e mudanças TOCI08 Segurança em Redes de Computadores 15 Intranet VPN (Cont.) DMZ Servidores Públicos Correio Eletrônico World Wide Web FTP Escritório Principal Escritórios / Filiais Internet Firewall / Gateway Firewall / Gateway TOCI08 Segurança em Redes de Computadores 16 VPNs de Acesso Remoto Feita para gerenciar a comunicação segura entre redes corporativas e remotas ou empregados móveis Requerimentos para a realização de VPNs de acesso remoto: Autenticação forte para verificação de redes remotas e e usuários móveis Gerenciamento centralizado Escalável para acomodar grupos de usuários TOCI08 Segurança em Redes de Computadores 17 VPNs de Acesso Remoto (Cont.) DMZ Servidores Públicos Correio Eletrônico World Wide Web FTP Escritório Principal Usuários Móveis Internet Firewall / Gateway TOCI08 Segurança em Redes de Computadores 18 Extranet VPNs Construídas para elaborar a comunicação segura entre a empresa e seus parceiros estratégicos, consumidores e fornecedores O design de uma Extranet VPN requer: Internet Protocol Security standard (IPSec) Controle de tráfego para previnir gargalos nos pontos de acessos remotos Entrega rápida e tempo de resposta para dados/aplicações críticas TOCI08 Segurança em Redes de Computadores 19 Extranet VPNs (Cont.) DMZ Servidores Públicos Correio Eletrônico World Wide Web FTP Escritório Principal Clientes Internet Parceiros Firewall / Gateway TOCI08 Segurança em Redes de Computadores 20 Implementação de VPN Uma implementação de uma VPN completa deve suportar todos os três tipos de VPN Uma VPN completa necessita incluir três componentes críticos: Segurança: incluindo controle de acesso, autenticação e criptografia QoS: controle do tráfego VPN pode incluir gerenciamento de largura de banda e aceleração de VPN para garantia de QoS Performance e Gerenciamento: pode incluir gerenciamento baseado em políticas TOCI08 Segurança em Redes de Computadores 21 VPN Completa Clientes DMZ Servidores Públicos Correio Eletrônico World Wide Web FTP Escritório Principal Internet Parceiros Firewall / Gateway Escritórios / Filiais Usuários Móveis TOCI08 Segurança em Redes de Computadores 22 TOCI08 Segurança em Redes de Computadores 23 Leitura Recomendada: Cert.Br: http://www.cert.br/docs/seg-adm-redes/ Northcutt, Stephen et all. Inside Network Perimeter Security: The Definitive Guide to Firewalls, Virtual Private Networks (VPNs), Routers, and Intrusion Detection Systems. Editora Sams. 2002. Wack, John; Cutler, Ken & Pole, Jamie. SP800-41: Guidelines on Firewalls and Firewall Policy. NIST. 2002. Zwicky, Elizabeth D. Construindo Firewalls para a Internet. 2ª Edição. Editora Campus. 2000. Norma NBR-ISO/IEC 17799. Versão 1.0 SANS: http://www.sans.org/resources/popular.php#firewall http://www.sans.org/rr/whitepapers/firewalls/815.php TOCI08 Segurança em Redes de Computadores 24 Leitura Recomendada: (Cont.) RFC 2406: IP Encapsulating Security Payload (ESP) RFC 2407: The Internet IP Security Domain of Interpretation for ISAKMP RFC 2408: Internet Security Association and Key Management Protocol (ISAKMP) RFC 2409: The Internet Key Exchange (IKE) TOCI08 Segurança em Redes de Computadores 25