- VPN

Surgiu da necessidade de se utilizar redes de comunicao pblicas para trafegar informaes privadas. O conceito de VPN envolve encapsulamento. Um protocolo de tunelamento encapsula o pacote com um cabealho adicional que contm informaes de roteamento que permitem a travessia dos pacotes ao longo da rede intermediria. Dessa forma criado um tnel pelo qual os novos pacote so transmitidos at serem desencapsulados. Exemplos de protocolos usados para implementar VPNs so: Camada 2: PPTP, L2TP Camada 2,5: MPLS Camada 3: IPSec

Definio: Conexo estabelecidade por meio de uma infraestrutura pblica ou ocmpartilhada utilizando tecnologias de criptografia e autenticao com o objetivo de proteger seu contedo.

Classificao das VPNS: A) Host-to-host (client-to-client) diretamente entre os hosts. Todo o trfego criptografado. B) Host-to-gateway (client-to-site) entre o host cliente e o gw da rede. C) Gateway-to-gateway (site-to-site) entre os GWs das redes interligadas. IPSEC Protocolo de Segurana IP (IP Security Protocol, mais conhecido pela sua sigla, IPSec) uma extenso do protocolo IP que visa a ser o mtodo padro para o fornecimento de privacidade do usurio (aumentando a confiabilidade das informaes fornecidas pelo usurio para uma localidade da internet, como bancos), integridade dos dados (garantindo que o mesmo contedo que chegou ao seu destino seja a mesma da origem) e autenticidade das informaes ou identity spoofing (garantia de que uma pessoa quem diz ser), quando se transferem informaes atravs de redes IP pela internet. IPSec um protocolo que opera sob a camada de rede (ou camada 3) do modelo OSI. Outros protocolos de segurana da internet como SSL e TLS operam desde a camada de transporte (camada 4) at a camada de aplicao (camada 7). Isto torna o IPsec mais flexvel, como pode ser usado protegendo os protocolos TCP e UDP, mas aumentando sua complexidade e despesas gerais de processamento, porque no se pode confiar em TCP (camada 4 do modelo OSI) para controlar a confiabilidade e a fragmentao. IPsec a parte majoritria do IPv6, e opcional para o uso com IPv4.

um protocolo que tem como objetivo garantir a confidencialidade, integridade ou atenticidade das informaes transmitidas utilizando o IP. 2 modos bsicos: 1-Modo transporte uma forma de comunicao host-to-host e envolve somente a cifragem da carga til do pacote. 2-Modo tnel no somente a carga til mas todo o pacote cifrado.

Dois protocolos foram desenvolvidos para prover um nvel de segurana para os fluxos dos pacotes e mudanas de chaves como: Encapsulating Security Payload (ESP), que prov autenticao, confidencialidade dos dados e integridade da mensagem. Protocolo IP n 50. Cabealho de autenticao (AH), que prov a autenticao e integridade dos dados, mas no a confidencialidade. Protocolo IP n 51. Incompatvel com NAT e PAT.

Cabealho de autenticao (AH)

0 - 7 bit 8 - 15 bit 16 - 23 bit 24 - 31 bit

Prximo cabealho Tamanho da mensagem RESERVADO Identificao dos Parmetros de Segurana (SPI) Nmero de Sequncia Dados de autenticao (varivel)

Descrio dos campos: Prximo cabealho - Identifica o protocolo de dados de transferncia. Tamanho da mensagem - Tamanho do pacote AH. RESERVADO - Reservado para uso futuro. Identificao dos Parmetros de Segurana (SPI) - A Identificao dos Parmetros de Segurana (SPI) que, em combinao com o endereo IP, identifica a Associao de Segurana (SA) implementada para este pacote. Nmero de Sequncia - Um nmero crescente, usado para impedir ataques repetitivos. Dados de Autenticao - Contm o valor da verificao da integridade (ICV) necessrio para autenticao do pacote.

Encapsulating Security Payload (ESP)

O diagrama ESP:
0 - 7 bit 8 - 15 bit 16 - 23 bit 24 - 31 bit

Identificao dos Parmetros de Segurana (SPI) Nmero de Sequncia Dados de payload (varivel) Padding (0-255 bytes) Tamanho do Pad Prximo cabealho Dados de autenticao (varivel)

Descrio dos campos:

Identificao dos Parmetros de Segurana (SPI): Identifica os parmetros de segurana em combinao com o endereo de IP. Nmero de sequncia: Um nmero crescente, usado para impedir ataques repetitivos. Dados da mensagem: Os dados a serem transferidos. Padding: Usado por alguns algoritmos criptogrficos para reordenar por inteiro o contedo dos blocos. Tamanho do Pad: Tamanho do Pad em bytes. Prximo cabealho: Identifica o protocolo para transferncia dos dados. Dados de autenticao: Contm os dados usados para autenticao do pacote.

PPTP Camada 2, No fornece confidencialidade ou integridade. Autenticao dos usurios. L2TP Camada 2, No fornece confidencialidade ou integridade. Autenticao dos usurios. Transparente p/ o usurio, modo GW-to-GW. L2TP e PPTP Estes so protocolos utilizados em VPDNs (Virtual Private Dial Networks), ou seja, proporcionam o acesso de
usurios remotos acessando a rede corporativa atravs do pool de modems de um provedor de acesso.

Vale aqui uma discusso preliminar a respeito da diferena entre tneis "iniciados pelo cliente" e tneis
"iniciados pelo provedor de acesso" : Tneis "iniciados pelo cliente" so tambm chamados de "voluntrios", onde os tneis so criados por requisies do usurio para aes especficas e tneis "iniciados pelo provedor de acesso" so chamados de "compulsrios", j que so criados pelo provedor no proporcionando ao usurio nenhuma escolha e/ou intromisso. L2TP um protocolo de tnelamento "compulsrio". Essencialmente um mecanismo para repassar o usurio a outro n da rede. No momento da interligao do usurio remoto com o provedor de acesso, aps a devida autenticao e carga de uma configurao, um tnel estabelecido at um ponto de terminao ( um roteador por exemplo ) prdeterminado, onde a conexo PPP encerrada. J o PPTP, um protocolo "voluntrio", permite que os prprios sistemas dos usurios finais estabeleam um tnel a uma localidade arbitrria sem a intermediao do provedor de acesso. Enquanto L2TP e PPTP soam bastante parecido, existem diferenas stis quanto a sua aplicao. Existem diferenas na determinao de quem possu o controle sobre o tnel e porque precisa ter. Na situao onde utilizado o protocolo PPTP, o usurio remoto tem a possibilidade de escolher o destino do tnel. Este fato importante se os destinos mudam com muita frequncia, e nenhuma modificao se torna necessria nos equipamentos por onde o tnel passa. tambm siginificativo o fato de que tneis PPTP so transparentes aos provedores de acesso. Nenuma ao se torna necessria alm do servio comum de prover acesso a rede. Usurios com perfis diferenciados com relao a locais de acesso diferentes cidades, estados e pases se utilizam com mais frequencia do protocolo PPTP pelo fato de se tornar desnecessria a intermediao do provedor no estabelecimento do tnel. somente necessrio saber o nmero local para acesso que o software no laptop realiza o resto. Onde se utiliza L2TP, temos um comportamento diferente de usurios e de provedores. Agora o controle est nas mos do provedor e ele est fornecendo um servio extra ao somente provimento do acesso. Esta uma certa desvantagem para o usurio e vantagem para o provedor : este servio extra pode ser cobrado. A escolha de qual protocolo utilizar um baseado na determinao da posse do controle: se o controle deve ficar nas mos do provedor ou do usurio final.

Nvel de Segurana
A especificao da VPN a ser implantada deve tomar por base o grau de segurana que se necessita, ou seja, avaliando o tipo de dado que dever trafegar pela rede e se so dados sensveis ou no. Dessa definio depende a escolha do protocolo de comunicao, dos algoritmos de criptografia e de Integridade, assim como as polticas e tcnicas a serem adotadas para o controle de acesso. Tendo em vista que todos esses fatores tero um impacto direto sobre a complexidade e requisitos dos sistemas que sero utilizados, quanto mais seguro for o sistema, mais sofisticados e com capacidades de processamento tero de ser os equipamentos, principalmente, no que se refere a complexidade e requisitos exigidos pelos algoritmos de criptografia e integridade. Os habilitadores das tecnologias de segurana so de conhecimento comum e so apresentados os mesmos abaixo :

CHAP Challenge Handshake Authentication Protocol RADIUS Remote Authentication Dial-in User Service Certificados digitais Encriptao de Dados

Os trs primeiros visam autenticar usurios e controlar o acesso a rede. O ltimo visa prover confidencialidade e integridade aos dados transmitidos.