VPN - Virtual Private Network

VPN - Virtual Private Network

(Rede Privada Virtual)

GPr Sistemas/ASP Systems - Agosto/2000 Marco Antonio G. Rossi Oswaldo Franzin

Introduo
O conceito de VPN surgiu da necessidade de se utilizar redes de comunicao no confiveis para trafegar informaes de forma segura. As redes pblicas so consideradas no confiveis, tendo em vista que os dados que nelas trafegam esto sujeitos a interceptao e captura. Em contrapartida, estas tendem a ter um custo de utilizao inferior aos necessrios para o estabelecimento de redes proprietrias, envolvendo a contratao de circuitos exclusivos e independentes. Com o explosivo crescimento da Internet, o constante aumento de sua rea de abrangncia, e a expectativa de uma rpida melhoria na qualidade dos meios de comunicao associado a um grande aumento nas velocidades de acesso e backbone, esta passou a ser vista como um meio conveniente para as comunicaes corporativas. No entanto, a passagem de dados sensveis pela Internet somente se torna possvel com o uso de alguma tecnologia que torne esse meio altamente inseguro em um meio confivel. Com essa abordagem, o uso de VPN sobre a Internet parece ser uma alternativa vivel e adequada. No entanto, veremos que no apenas em acessos pblicos que a tecnologia de VPN pode e deve ser empregada. Aplicativos desenvolvidos para operar com o suporte de uma rede privativa no utilizam recursos para garantir a privacidade em uma rede pblica. A migrao de tais aplicaes sempre possvel, no entanto, certamente incorreria em atividades dispendiosas e exigiriam muito tempo de desenvolvimento e testes. A implantao de VPN pressupe que no haja necessidade de modificaes nos sistemas utilizados pelas corporaes, sendo que todas as necessidades de privacidade que passam a ser exigidas sejam supridas pelos recursos adicionais que sejam disponibilizados nos sistemas de comunicao.

GPr Sistemas Ltda.

-1

Fone: (19) 3253-1888 http://www.gpr.com.br e-mail:gpr@gpr.com.br

VPN - Virtual Private Network

Funes Bsicas
A utilizao de redes pblicas tende a apresentar custos muito menores que os obtidos com a implantao de redes privadas, sendo este, justamente o grande estmulo para o uso de VPNs. No entanto, para que esta abordagem se torne efetiva, a VPN deve prover um conjunto de funes que garanta Confidencialidade, Integridade e Autenticidade.

Confidencialidade
Tendo em vista que estaro sendo utilizados meios pblicos de comunicao, a tarefa de interceptar uma seqncia de dados relativamente simples. imprescindvel que os dados que trafeguem sejam absolutamente privados, de forma que, mesmo que sejam capturados, no possam ser entendidos.

Integridade
Na eventualidade dos dados serem capturados, necessrio garantir que estes no sejam adulterados e re-encaminhados, de tal forma que quaisquer tentativas nesse sentido no tenham sucesso, permitindo que somente dados vlidos sejam recebidos pelas aplicaes suportadas pela VPN.

Autenticidade
Somente usurios e equipamentos que tenham sido autorizados a fazer parte de uma determinada VPN que podem trocar dados entre si; ou seja, um elemento de uma VPN somente reconhecer dados originados em por um segundo elemento que seguramente tenha autorizao para fazer parte da VPN. Dependendo da tcnica utilizada na implementao da VPN, a privacidade das informaes poder ser garantida apenas para os dados, ou para todo o pacote (cabealho e dados). Quatro tcnicas podem ser usadas para a implementao de solues VPN:

Modo Transmisso
Somente os dados so criptografados, no havendo mudana no tamanho dos pacotes. Geralmente so solues proprietrias, desenvolvidas por fabricantes.

Modo Transporte
Somente os dados so criptografados, podendo haver mudana no tamanho dos pacotes. uma soluo de segurana adequada, para

GPr Sistemas Ltda.

-2

Fone: (19) 3253-1888 http://www.gpr.com.br e-mail:gpr@gpr.com.br

VPN - Virtual Private Network

implementaes onde os dados trafegam somente entre dois ns da comunicao.

Modo Tnel Criptografado

Tanto os dados quanto o cabealho dos pacotes so criptografados, sendo empacotados e transmitidos segundo um novo endereamento IP, em um tnel estabelecido entre o ponto de origem e de destino.

Modo Tnel No Criptografado

Tanto os dados quanto o cabealho so empacotados e transmitidos segundo um novo endereamento IP, em um tnel estabelecido entre o ponto de origem e destino. No entanto, cabealho e dados so mantidos tal como gerados na origem, no garantindo a privacidade. Para disponibilizar as funcionalidades descritas anteriormente, a implementao de VPN lana mo dos conceitos e recursos de criptografia, autenticao e controle de acesso.

Criptografia
A criptografia implementada por um conjunto de mtodos de tratamento e transformao dos dados que sero transmitidos pela rede pblica. Um conjunto de regras aplicado sobre os dados, empregando uma seqncia de bits (chave) como padro a ser utilizado na criptografia. Partindo dos dados que sero transmitidos, o objetivo criar uma seqncia de dados que no possa ser entendida por terceiros, que no faam parte da VPN, sendo que apenas o verdadeiro destinatrio dos dados deve ser capaz de recuperar os dados originais fazendo uso de uma chave. So chamadas de Chave Simtrica e de Chave Assimtrica as tecnologias utilizadas para criptografar dados. Chave Simtrica ou Chave Privada a tcnica de criptografia onde utilizada a mesma chave para criptografar e decriptografar os dados. Sendo assim, a manuteno da chave em segredo fundamental para a eficincia do processo. Chave Assimtrica ou Chave Pblica a tcnica de criptografia onde as chaves utilizadas para criptografar e decriptografar so diferentes, sendo, no entanto relacionadas. A chave utilizada para criptografar os dados formada por duas partes, sendo uma pblica e outra privada, da mesma forma que a chave utilizada para decriptografar.

GPr Sistemas Ltda.

-3

Fone: (19) 3253-1888 http://www.gpr.com.br e-mail:gpr@gpr.com.br

VPN - Virtual Private Network

Algoritmos para Criptografia

DES - Data Encryption Standard um padro de criptografia simtrica, adotada pelo governo dos EUA em 1977. Triple-DES O Triple-DES uma variao do algoritmo DES, sendo que o processo tem trs fases: A seqncia criptografada, sendo em seguida decriptografada com uma chave errada, e novamente criptografada. RSA - Rivest Shamir Adleman um padro criado por Ron Rivest, Adi Shamir e Leonard Adleman em 1977 e utiliza chave pblica de criptografia, tirando vantagem do fato de ser extremamente difcil fatorar o produto de nmeros primos muito grandes. Diffie-Hellman Foi desenvolvido por Diffie e Hellman em 1976. Este algoritmo permite a troca de chaves secretas entre dois usurios. A chave utilizada formada pelo processamento de duas outras chaves uma pblica e outra secreta.

Integridade
A garantia de integridade dos dados trocados em uma VPN pode ser fornecida pelo uso de algoritmos que geram, a partir dos dados originais, cdigos binrios que sejam praticamente impossveis de serem conseguidos, caso estes dados sofram qualquer tipo de adulterao. Ao chegarem no destinatrio, este executa o mesmo algoritmo e compara o resultado obtido com a seqncia de bits que acompanha a mensagem, fazendo assim a verificao.

Algoritmos para Integridade

SHA-1 - Secure Hash Algorithm One um algoritmo de hash que gera mensagens de 160 bits, a partir de uma seqncia de at 264 bits. MD5 - Message Digest Algorithm 5 um algoritmo de hash que gera mensagens de 128 bits, a partir de uma seqncia de qualquer tamanho.

GPr Sistemas Ltda.

-4

Fone: (19) 3253-1888 http://www.gpr.com.br e-mail:gpr@gpr.com.br

VPN - Virtual Private Network

Autenticao
A Autenticao importante para garantir que o originador dos dados que trafeguem na VPN seja, realmente, quem diz ser. Um usurio deve ser identificado no seu ponto de acesso VPN, de forma que, somente o trfego de usurios autenticados transite pela rede. Tal ponto de acesso fica responsvel por rejeitar as conexes que no sejam adequadamente identificadas. Para realizar o processo de autenticao, podem ser utilizados sistemas de identificao/senha, senhas geradas dinamicamente, autenticao por RADIUS (Remote Authentication Dial-In User Service) ou um cdigo duplo. A definio exata do grau de liberdade que cada usurio tem dentro do sistema, tendo como conseqncia o controle dos acessos permitidos, mais uma necessidade que justifica a importncia da autenticao, pois a partir da garantia da identificao precisa do usurio que poder ser selecionado o perfil de acesso permitido para ele.

Protocolos para VPN

IPSec
IPSec um conjunto de padres e protocolos para segurana relacionada com VPN sobre uma rede IP, e foi definido pelo grupo de trabalho denominado IP Security (IPSec) do IETF (Internet Engineering Task Force). O IPSec especifica os cabealhos AH (Authentication Header) e ESP (Encapsulated Security Payload), que podem se utilizados independentemente ou em conjunto, de forma que um pocote IPSec poder apresentar somente um dos cabealhos (AH ou ESP) ou os dois cabealhos.

Authentication Header (AH)

Utilizado para prover integridade e autenticidade dos dados presentes no pacote, incluindo a parte invariante do cabealho, no entanto, no prov confidencialidade.

GPr Sistemas Ltda.

-5

Fone: (19) 3253-1888 http://www.gpr.com.br e-mail:gpr@gpr.com.br

VPN - Virtual Private Network

Encapsulated Security Payload (ESP)

Prov integridade, autenticidade e criptografia rea de dados do pacote. A implementao do IPSec pode ser feita tanto em Modo Transporte como em Modo Tunel.

PPTP - Point to Point Tunneling Protocol

O PPTP uma variao do protocolo PPP, que encapsula os pacotes em um tnel IP fim a fim.

L2TP - Level 2 Tunneling Protocol

um protocolo que faz o tunelamento de PPP utilizando vrios protocolos de rede (ex: IP, ATM, etc) sendo utilizado para prover acesso discado a mltiplos protocolos.

SOCKS v5
um protocolo especificado pelo IETF e define como uma aplicao cliente servidor usando IP e UDP estabelece comunicao atravs de um servidor proxy.

GPr Sistemas Ltda.

-6

Fone: (19) 3253-1888 http://www.gpr.com.br e-mail:gpr@gpr.com.br

VPN - Virtual Private Network

VPN para Intranet

Uma Intranet utilizada para conectar sites que geralmente possuem uma infraestrutura completa de rede local, podendo, ou no, ter seus prprios servidores e aplicativos locais. Tais sites tm em comum a necessidade de compartilhar recursos que estejam distribudos, como bases de dados e aplicativos, ou mesmo de troca de informaes, como no caso de email. A Intranet pode ser entendida como um conjunto de redes locais de uma corporao, geograficamente distribudas e interconectadas atravs de uma rede pblica de comunicao. Esse tipo de conexo tambm pode ser chamado de LAN-to-LAN ou Site-toSite.

VPN para Acesso Remoto

chamado de acesso remoto aquele realizado por usurios mveis que se utilizam de um computador para conexo com a rede corporativa, partindo de suas residncias ou hotis. Esse tipo de conexo, que tambm denominado Point-to-Site, est se tornando cada vez mais utilizada. Aplicaes tpicas do acesso remoto so: Acesso de vendedores para encaminhamento de pedidos, verificao de processos ou estoques; Acesso de gerentes e diretores em viagens, mantendo atualizadas suas comunicaes com sua base de operao, tanto para pesquisas na rede corporativa como acompanhamento de seu correio eletrnico; Equipe tcnica em campo, para acesso a sistemas de suporte e documentao, bem como a atualizao do estado dos atendimentos.

GPr Sistemas Ltda.

-7

Fone: (19) 3253-1888 http://www.gpr.com.br e-mail:gpr@gpr.com.br

VPN - Virtual Private Network

VPN para Extranet

Em uma Extranet, tem-se a disponibilidade para o acesso de parceiros, representantes, clientes e fornecedores ao ambiente da rede corporativa. Esta comunicao permitida com o objetivo de agilizar o processo de troca de informaes entre as partes, estreitando o relacionamento, e tornando mais dinmica e efetiva a interao. Esse tipo de conexo tambm pode ser chamado de LAN-to-LAN ou Site-toSite.

Nvel de Segurana
A especificao da VPN a ser implantada deve tomar por base o grau de segurana que se necessita, ou seja, avaliando o tipo de dado que dever trafegar pela rede e se so dados sensveis ou no. Dessa definio depende a escolha do protocolo de comunicao, dos algoritmos de criptografia e de Integridade, assim como as polticas e tcnicas a serem adotadas para o controle de acesso. Tendo em vista que todos esses fatores tero um impacto direto sobre a complexidade e requisitos dos sistemas que sero utilizados, quanto mais seguro for o sistema, mais sofisticados e com capacidades de processamento tero de ser os equipamentos, principalmente, no que se refere a complexidade e requisitos exigidos pelos algoritmos de criptografia e integridade.

GPr Sistemas Ltda.

-8

Fone: (19) 3253-1888 http://www.gpr.com.br e-mail:gpr@gpr.com.br