OSRC - Segurança em Redes de Computadores fileestabelecidas entre os pontos que se deseja ... OSRC...
Transcript of OSRC - Segurança em Redes de Computadores fileestabelecidas entre os pontos que se deseja ... OSRC...
OSRC – Segurança em Redes de ComputadoresMódulo 11: VPN
Prof. Charles Christian Mierse-mail: [email protected]
OSRC – Segurança em Redes de Computadores 2
0
VPN: Virtual Private Networks
Uma Rede Virtual Privada (VPN) é um meio de simular uma rede privada sobre uma rede pública: Rede Virtual: rede formada por conexões virtuais Conexão Virtual: conexões temporárias, não físicas,
estabelecidas entre os pontos que se deseja estabelecer uma comunicação segura
OSRC – Segurança em Redes de Computadores 3
VPN: Virtual Private Networks
Motivação principal às VPNs é a possibilidade de utilizar a Internet como meio físico de comunicação Alternativa muito mais viável que a alocação de
linhas privativas
VPNs estão substituindo rapidamente linhas dedicadas, circuitos de frame relay e outras formas de comunicação dedicada
Fornece um meio de comunicação seguro entre dois pontos
OSRC – Segurança em Redes de Computadores 4
PROTOCOLOS PARA VPN
L2F Layer 2 Fowarding Protocol Desenvolvido pela CISCO
PPTP Point-to-Point Tunneling Protocol Ascend Communication, U.S. Robotics, 3Com
Corporation, Microsoft Corporation, ECI Telematics L2TP
Cisco, PPTP Forum e IETF desenvolveram Level 2 Tunneling Protocol (L2TP), combinando L2F e PPTP
IPSec IETF (Internet Engineering Task Force)
OSRC – Segurança em Redes de Computadores 5
Tipos de Tunelamento
Tunelamento de Camada 2 Os pacotes são encapsulados no protocolo PPP
(camada 2), e depois recebem o cabeçalho de tunelamento Exemplos: PPTP e L2TP
Tunelamento de Camada 3 Os pacotes recebem diretamente o cabeçalho de
tunelamento Exemplo: IPSec
OSRC – Segurança em Redes de Computadores 6
L2TP
L2TP: Layer Two Tunneling Protocol
Baseado nos Protocolos: PPTP L2F
As mensagens do protocolo L2TP são de dois tipos: Mensagens de controle:
Utilizadas para estabelecer e manter as conexões Mensagens de dados:
Utilizadas para transportar informações
OSRC – Segurança em Redes de Computadores 7
L2TP (Cont.)
Possui suporte as seguintes funções: Tunelamento de múltiplos protocolos Autenticação Anti-spoofing Integridade de dados
Certificar parte ou todos os dados Padding de Dados
Permite esconder a quantidade real de dados Transportados
Não possui suporte nativo para criptografia
OSRC – Segurança em Redes de Computadores 8
IPSec – IP Seguro
Protocolo projetado pelo IETF para permitir comunicações seguras no interior de redes TCP (IPv4 ou IPv6)
Possui dois modos de utilização: Modo túnel:
Adiciona o cabeçalho de tunelamento e um cabeçalho de controle
Modo transporte: Adiciona apenas o cabeçalho de controle
9
Esquema de Cifragem IPSec
Encapsulado; a cifragem de tráfego é IPSec
HMAC-MD5 HMAC-SHA-1
DES, CAST, AESIKE – padrão de indústria para protocolo de gerenciamento de chaves em VPN
Cifragem é...Algoritmo de Autenticação
Algoritmo de Cifragem
Protocolo Gerenciamento
de Chave
Emprego do IKE (Internet Key Exchange) Esquemas criptográficos consistem em:
Protocolo de Gerenciamento de Chaves: geração e troca de chaves
Algoritmo de Cifragem: cifragem das mensagens Algoritmo de Autenticação: garantia de integridade
OSRC – Segurança em Redes de Computadores 10
Elementos do IPSec
IP Autentication Header (AH) Integridade, autenticação da origem de dados e evita
interceptação de pacotes
IP Encapsulating Security Payload (ESP) Confidencialidade, integridade, autenticação da
origem e evita interceptação de pacotes
Internet Security Association and Key Management Protocol (ISAKMP) Implementa o gerenciamento de chaves
11
Esquema de Cifragem IKE (Cont.) IKE – ISAKMP/Oakley
ISAKMP (Internet Security Association and Key Management Protocol): Padrão de cifragem do IETF Fornece um arcabouço para transferência de chaves e
autenticação de dados Independência dos métodos de cifragem e autenticação
Oakley: Protocolo usado para estabelecer criptografia forte – baseado
em chaves para cifragem dos dados Oakley define como os usuários selecionam grupos de
números primos para fazer a troca de chaves por Diffie-Hellman Chaves podem ser derivadas das chaves Diffie-Hellman ou de
uma chave criptográfica existente Oakley permite ao IPSec usar chaves secretas e autenticação
baseada em certificados
12
IPSec : Estrutura
IP TCP/UDP DADOS
IP TCP/UDP DADOSAH
IP TCP/UDP DADOSAH IP
IP TCP/UDP DADOSESPHEADER
ESPTRAILER
ESPAUTH
IPv4
IPv4 com autenticação
IPv4 com autenticação e tunelamento
IPv4 com autenticação e criptografia
cifrado
autenticado
AH: calculado sobre todos os dados que não são alterados durante o trajeto do pacote
13
Exemplo de VPN:
Três redes privadas conectadas via VPN
Cifragem é realizada na parte pública da rede (Internet)
Os dois firewalls são os pontos de cifragem/decifragem
Firewall Firewall
P&D
Admin
HTTP
FTP
Correioeletrônico
Vendas
Suporte
Cifrado
Não-cifrado
Rede Privada Rede PrivadaPública
OSRC – Segurança em Redes de Computadores 14
Definições: VPNs
Especificação da cifragem requer responder três questões:
Quem irá cifrar ? Gateways de cifragem e seus domínios
Quais são as chaves de cifragens a serem cifradas? IPSec assegura a conexão Negociação IKE precisa ser feita antes da cifragem iniciar Gateways usam segredos pré-compartilhados ou certificados
Quais conexões devem ser cifradas e como? Uma regra é necessária na base de regras especificando a
comunicação entre gateways e como cifrar Cada regra especifica parâmetros IKE de cifragem
OSRC – Segurança em Redes de Computadores 15
Classificação de VPNs
Tipos de VPNs:
Intranet VPNs
VPNs de acesso remoto
Extranet VPNs
OSRC – Segurança em Redes de Computadores 16
Intranet VPNs
Feitas para gerenciar a segurança entre departamentos internos e filiais
Os requisitos no design de Intranet VPN incluem: Criptografia forte para proteger informações
confidenciais Confiabilidade para sistemas de missão crítica
(Ex.: gerenciamento de bases de dados) Escalável para permitir o crescimento e mudanças
OSRC – Segurança em Redes de Computadores 17
Intranet VPN (Cont.)DMZ
Servidores PúblicosCorreio EletrônicoWorld Wide Web
FTP
Escritório Principal
Firewall /Gateway
Firewall /Gateway
Internet
Escritórios / Filiais
OSRC – Segurança em Redes de Computadores 18
VPNs de Acesso Remoto
Feita para gerenciar a comunicação segura entre redes corporativas e remotas ou empregados móveis
Requisitos para a realização de VPNs de acesso remoto: Autenticação forte para verificação de redes remotas
e e usuários móveis Gerenciamento centralizado Escalável para acomodar grupos de usuários
OSRC – Segurança em Redes de Computadores 19
VPNs de Acesso Remoto (Cont.)DMZ
Servidores PúblicosCorreio EletrônicoWorld Wide Web
FTP
Escritório Principal
Firewall /Gateway
Internet
UsuáriosMóveis
OSRC – Segurança em Redes de Computadores 20
Extranet VPNs
Construídas para elaborar a comunicação segura entre a empresa e seus parceiros estratégicos, consumidores e fornecedores
O projeto de uma Extranet VPN requer: Internet Protocol Security standard (IPSec) Controle de tráfego para previnir gargalos nos pontos de
acessos remotos Entrega rápida e tempo de resposta para dados/aplicações
críticas
OSRC – Segurança em Redes de Computadores 21
Extranet VPNs (Cont.)DMZ
Servidores PúblicosCorreio EletrônicoWorld Wide Web
FTP
Escritório Principal
Firewall /Gateway
Internet
Parceiros
Clientes
OSRC – Segurança em Redes de Computadores 22
Implementação de VPN
Uma implementação de uma VPN completa deve suportar todos os três tipos de VPN
Uma VPN completa necessita incluir três componentes críticos: Segurança: incluindo controle de acesso, autenticação
e criptografia QoS: controle do tráfego VPN pode incluir
gerenciamento de largura de banda e aceleração de VPN para garantia de QoS
Desempenho e Gerenciamento: pode incluir gerenciamento baseado em políticas
OSRC – Segurança em Redes de Computadores 23
VPN Completa
Escritório Principal
UsuáriosMóveis
InternetParceiros
Clientes
Escritórios / Filiais
DMZ Servidores PúblicosCorreio EletrônicoWorld Wide Web
FTP
Firewall /Gateway
OSRC – Segurança em Redes de Computadores 24
OSRC – Segurança em Redes de Computadores 25
Leitura Recomendada: Cert.Br:
http://www.cert.br/docs/seg-adm-redes/
Northcutt, Stephen et all. Inside Network Perimeter Security: The Definitive Guide to Firewalls, Virtual Private Networks (VPNs), Routers, and Intrusion Detection Systems. Editora Sams. 2002.
Wack, John; Cutler, Ken & Pole, Jamie. SP800-41: Guidelines on Firewalls and Firewall Policy. NIST. 2002.
Zwicky, Elizabeth D. Construindo Firewalls para a Internet. 2ª Edição. Editora Campus. 2000.
Norma NBR-ISO/IEC 17799. Versão 2.0
SANS: http://www.sans.org/reading_room/whitepapers/firewalls/ http://www.sans.org/reading_room/whitepapers/vpns/
OSRC – Segurança em Redes de Computadores 26
Leitura Recomendada: (Cont.)
RFC 2406: IP Encapsulating Security Payload (ESP)
RFC 2407: The Internet IP Security Domain of Interpretation for
ISAKMP RFC 2408:
Internet Security Association and Key Management Protocol (ISAKMP)
RFC 2409: The Internet Key Exchange (IKE)