Segurança na Internet

Izequiel Pereira de Norões

Módulo 6 – Virtual Private Network (VPN)

- Tunelamento – Protocolos - Tipos
Apresentação
• Professor:
– Izequiel Pereira de Norões
– Bacharel em Informática (Unifor)
– Pós em Gerência Estratégica da Informação (Unifor)
– Pós em Tecnologias da Informação – Ênfase Web (UFC)

Contato: izequiel@gmail.com

Material da disciplina:
http://fatene.ipn.eti.br

Izequiel Pereira de Norões – 2008

VPN

Izequiel Pereira de Norões – 2008

 VPN
• A figura representa uma empresa que tem uma sede e um conjunto
de filiais dispersas geograficamente.

• Existe uma rede local em cada um destes pontos e a empresa

pretende interligá-las através de uma rede privada que possibilite
acesso a uma intranet corporativa e aplicativos na rede da matriz.

• Uma Rede Privada é aquela que, ao contrário das redes públicas, só

pode ser utilizada por uma empresa, grupo de pessoas ou
dispositivos autorizados.

• A comunicação na empresa é feita hoje por telefone, fax ou email via

Internet.

Izequiel Pereira de Norões – 2008

 VPN
• As motivações para implantar uma rede privada são:
– Segurança: garantir autenticação, integridade dos dados e
confidencialidade das comunicações;
– Qualidade de serviço: ter uma garantia quanto a disponibilidade e
performance do serviço;
– Não existência de rede pública para prover o serviço;
– Reduzir custos.

• Esta rede privada poderá ser usada também para o tráfego telefônico
interno entre sede e filiais e poderá incorporar conexões com
fornecedores ou clientes e dar acesso remoto a funcionários
realizando trabalhos externos como vendedores ou assistência
técnica.

Izequiel Pereira de Norões – 2008

 VPN
• Como implantar?
– O primeiro ponto a ressaltar é que em uma rede privada o plano
de endereçamento e roteamento da rede é completamente
independente dos planos das outras redes.
– Será necessário compatibilizar o endereçamento das várias redes
locais utilizando as faixas de endereçamento IP para redes
privadas.
– O segundo ponto é a escolha da solução para interligar os vários
locais.
– A rede privada poderia ter toda a infra-estrutura implantada para
seu uso exclusivo ou ser formada por circuitos dedicados
alugados de operadoras.
– Esta solução garante a segurança através de segregação das
comunicações e permite maior controle da qualidade. O custo no
entanto tende a ser alto e só se justifica em casos especiais.
– A alternativa preferida para implantar esta rede, conhecida como
WAN (Wide Area Network) nas empresas é o estabelecimento de
uma rede privada virtual (VPN) que apresenta custos mais baixos.
Izequiel Pereira de Norões – 2008
 VPN
• VPN – Tunelamento
– As redes virtuais privadas baseiam-se na tecnologia de tunelamento
cuja existência é anterior às VPNs. Ele pode ser definido como
processo de encapsular um protocolo dentro de outro. O uso do
tunelamento nas VPNs incorpora um novo componente a esta
técnica: antes de encapsular o pacote que será transportado, este é
criptografado de forma a ficar ilegível caso seja interceptado
durante o seu transporte. O pacote criptografado e encapsulado
viaja através da Internet até alcançar seu destino onde é
desencapsulado e decriptografado, retornando ao seu formato
original. Uma característica importante é que pacotes de um
determinado protocolo podem ser encapsulados em pacotes de
protocolos diferentes. Por exemplo, pacotes de protocolo IPX
podem ser encapsulados e transportados dentro de pacotes TCP/IP.

Izequiel Pereira de Norões – 2008

 VPN
• VPN – Tunelamento
– O protocolo de tunelamento encapsula o pacote com um cabeçalho
adicional que contém informações de roteamento que permitem a
travessia dos pacotes ao longo da rede intermediária. Os pacotes
encapsulados são roteados entre as extremidades do túnel na rede
intermediária. Túnel é a denominação do caminho lógico percorrido
pelo pacote ao longo da rede intermediária Após alcançar o seu
destino na rede intermediária, o pacote é desencapsulado e
encaminhado ao seu destino final. A rede intermediária por onde o
pacote trafegará pode ser qualquer rede pública ou privada.
– Note que o processo de tunelamento envolve encapsulamento,
transmissão ao longo da rede intermediária e desencapsulamento
do pacote.

Izequiel Pereira de Norões – 2008

 VPN
• VPN – Tunelamento

Izequiel Pereira de Norões – 2008

 VPN
• VPN – Funcionamento dos túneis
– Nas tecnologias orientadas à camada 2 (enlace), um túnel é similar a
uma sessão, onde as duas extremidades do túnel negociam a
configuração dos parâmetros para estabelecimento do túnel, tais
como endereçamento, criptografia e parâmetros de compressão. Na
maior parte das vezes, são utilizado s protocolos que implementam
o serviço de datagrama. A gerência do túnel é realizada através
protocolos de manutenção. Nestes casos, é necessário que o túnel
seja criado, mantido e encerrado. Nas tecnologias de camada 3, não
existe a fase de manutenção do túnel.
– Uma vez que o túnel é estabelecido os dados podem ser enviados.
O cliente ou servidor do túnel utiliza um protocolo de tunelamento
de transferência de dados que acopla um cabeçalho preparando o
pacote para o transporte. Só então o cliente envia o pacote
encapsulado na rede que o roteará até o servidor do túnel. Este
recebe o pacote, desencapsula removendo o cabeçalho adicional e
encaminha o pacote original à rede destino. O funcionamento entre
o servidor e o cliente do túnel é semelhante.

Izequiel Pereira de Norões – 2008

 VPN
• VPN - Conceitos
– A idéia de utilizar uma rede pública como a Internet em vez de
linhas privativas para implementar redes corporativas é
denominada de Virtual Private Network (VPN) ou Rede Privada
Virtual. As VPNs são túneis de criptografia entre pontos
autorizados, criados através da Internet ou outras redes públicas
e/ou privadas para transferência de informações, de modo
seguro, entre redes corporativas ou usuários remotos.

– Em uma rede privada virtual o compartilhamento da infra-

estrutura ocorre inclusive no que se refere a circuitos dedicados.

– Os principais tipos de VPNs são:

• VPN formada por circuitos virtuais;
• VPN utilizando a Internet;
• VPN/IP oferecida por um provedor com backbone IP.

Izequiel Pereira de Norões – 2008

 VPN
• VPN – Frame Relay / ATM

Izequiel Pereira de Norões – 2008

 VPN
• VPN – Frame Relay / ATM
– As VPNs implementadas utilizando-se circuitos virtuais com
Frame Relay (FR) ou ATM existem há muito tempo sendo
largamente utilizadas pelas corporações.

– *Rede Frame Relay  é uma eficiente tecnologia de comunicação

de dados usada para transmitir de maneira rápida e barata a
informação digital através de uma rede de dados, dividindo essas
informações em frames (quadros) a um ou muitos destinos de um
ou muitos end-points. É uma técnica de comutação de quadros
efetuada de maneira confiável, considerando as seguintes
caractéristicas: Redes locais com um serviço orientado a
conexão, operando no nivel 2 do modelo OSI, com baixo retardo e
com controle de erro nos nós.

– *Rede ATM  é uma arquitetura de rede de alta velocidade

orientada a conexão e baseada na comutação de pacotes de
dados que usa uma tecnologia de comutação de células de alta
velocidade que pode tratar tanto dados como vídeo e áudio em
tempo real. Izequiel Pereira de Norões – 2008
 VPN
• VPN – Frame Relay / ATM
– A diferença entre este tipo de VPN e as redes privadas formadas
com circuitos dedicados é que estes circuitos são circuitos
virtuais que propiciam uma melhor utilização da capacidade da
infra-estrutura de telecomunicações e tem portanto um preço de
aluguel menor.

– O backbone virtual que interliga os roteadores nos vários locais

poderá ter uma configuração em malha ou estrela.

– A segurança é garantida pela utilização de circuitos virtuais que

segregam as comunicações.

– A manutenção da qualidade de serviço exige conhecimento de

Frame Relay ou ATM.

Izequiel Pereira de Norões – 2008

 VPN
• VPN – Frame Relay / ATM
– Para implantar este backbone virtual que interligue os roteadores
através de circuitos dedicados e/ou virtuais (FR, ATM) a
empresas tem as seguintes opções:
• Contratar os circuitos e assumir a responsabilidade por
projetar e operar o backbone;
• Contratar um serviço de “managed router”, oferecido por
algumas prestadoras de serviço, em que a configuração e
gerenciamento da rede, inclusive roteador é por conta do
provedor de serviço, que pode em alguns casos utilizar
roteadores virtuais.

Izequiel Pereira de Norões – 2008

 VPN
• VPN – INTERNET

Izequiel Pereira de Norões – 2008

 VPN
• VPN – INTERNET
– O objetivo principal de se estabelecer uma VPN na Internet é aumentar a
segurança na passagem de dados através da Internet que é uma rede
pública e não segura.

– Ao implantar uma VPN utilizando a Internet a qualidade de serviço será a

da Internet uma vez que o usuário não tem como exercer controle da
mesma.

– O mecanismo utilizado para aumentar a segurança é conhecido como

tunelamento (Tunneling) que consiste no encapsulamento de um
protocolo em outro protocolo.

– A figura a seguir ilustra este processo para o encapsulamento de um

pacote IP.
IP
Cabeçalho DADOS
Original
IP IP
Cabeçalho do
Novo Cabeçalho DADOS
outro protocolo
Cabeçalho
Izequiel Pereira de Norões – 2008 Original
 VPN
• VPN – INTERNET– Principais protocolos de TUNELAMENTO
IPSec
– É um conjunto de protocolos definido pelo IETF para prover
segurança nas comunicações em redes IP.
– O IPSec prove autenticação, integridade e confidencialidade a nível
do pacote de dados pela adição de dois cabeçalhos:
– Cabeçalho de autenticação (AH), que prove integridade e
autenticação sem confidencialidade;
– Payload de encapsulamento de Segurança (ESP) que prove
integridade e confidencialidade ao payload (IP datagram).
– Uma IPSec VPN na Internet pode ser criada com AH ou ESP ou ambos.
Eles utilizam protocolos de gerenciamento de chaves de criptografia
padrões da Internet.
– As principais desvantagens na utilização do IPsec são o overhead
adicional imposto ao pacote de dados e o fato dele só oferecer suporte
a redes IP o que impede a autenticação de usuários com acesso
remoto.

Izequiel Pereira de Norões – 2008

 VPN
• VPN – INTERNET– Principais protocolos de TUNELAMENTO
PPTP
– Point-toPoint Tunneling Protocol (PPTP) é uma extensão do
protocolo PPP utilizado em acesso discado a Internet.
– É um protocolo proprietário desenvolvido por um grupo liderado
pela Microsoft, que possibilita a autenticação de usuários remotos e
suporta criptografia.

L2TP
– O Layer 2 Tunneling Protocol (L2TP) é um protocolo definido pelo
IETF que combina características dos protocolos PPTP e Layer 2
Forwarding (L2F) desenvolvido pela Cisco. Utiliza o IPSec para
criptografia dos dados.
– É considerado, juntamente com o PPTP um protocolo de
tunelamento que opera na camada 2 (Enlace de dados) do modelo
OSI (O modelo OSI está apresentado na seção de referência rápida
do Teleco). O IPSec é um protocolo que opera na camada 3.
– A solução L2TP/IPSec é a solução mais completa possibilitando
criptografia e autenticação de usuário
Izequiel Pereira de Norões –com
2008 acesso remoto.
 VPN
• VPN – IP
– A empresa pode optar também por contratar uma VPN oferecida por
um provedor com backbone IP. Neste caso o provedor pode
oferecer as seguintes soluções.
– VPN/IP com protocolos de tunelamento IPsec, L2TP ou PPTP
– Neste caso o provedor poderia garantir níveis de qualidade de
serviço estabelecendo prioridades através de serviços
diferenciados do protocolo IP (diffserv) em sua rede.

VPN/IP utilizando MPLS

– Uma outra solução de VPN desenvolvida para provedores com
backbones IP com “Multiprotocol Label switching” (MPLS) garante
a Segregação do tráfego em comunidades que compõe as VPNs
através dos seguintes mecanismos:
• Distribuição restrita de informação de roteamento baseado no atributo
de comunidade do BGP (Border Gateway Protocol);
• Múltiplas tabelas de distribuição nos roteadores (cada VPN tem a sua).

Izequiel Pereira de Norões – 2008

 VPN
• VPN – IP
– O mecanismo de “Label Switching” do MPLS permite que as várias
VPNs utilizem os mesmos endereços locais uma vez que na rede os
pacotes são encaminhados utilizando o rótulo (label) de
endereçamento do MPLS.

– A qualidade de serviço pode ser assegurada através do suporte a

classes de serviço do MPLS.

– A tendência hoje é esta solução ser adotada pela maior parte dos
provedores de VPN que possuem backbone IP.

Izequiel Pereira de Norões – 2008

 VPN
• Protocolos × Requisitos de tunelamento
– Os protocolos de nível 2, tais como PPTP e L2TP, foram baseados
no PPP, e, como conseqüência, herdaram muito de suas
características e funcionalidades. Estas características e suas
contrapartes de nível 3 são analisadas juntamente com alguns dos
requisitos básicos das VPNs:

AUTENTICAÇÃO DE USUÁRIO
O IPSec que provê a autenticação mútua entre as extremidades do
túnel. Na maioria das implementações deste protocolo, a verificação
se dá a nível de máquina e não de usuário. Como resultado,
qualquer usuário com acesso às máquinas que funcionam como
extremidades do túnel podem utilizá-lo. Esta falha de segurança
pode ser suprida quando o IPSec é usado junto com um protocolo
de camada de enlace como o L2TP.

Izequiel Pereira de Norões – 2008

 VPN
• Protocolos × Requisitos de tunelamento
SUPORTE A TOKEN CARD
Com a utilização do EAP, os protocolos de tunelamento de camada
de enlace podem suportar uma variedade de métodos de
autenticação, tais como senhas e cartões inteligentes (smart cards).
Os protocolos de camada 3 também podem usar métodos similares,
como, por exemplo, o IPSec que define a autenticação de chave
pública durante a negociação de parâmetros feita pelo ISAKMP
(Internet Security Association and Key Management Protocol).

ENDEREÇAMENTO DINÂMICO
O tunelamento na camada 2 suporta alocação dinâmica de
endereços baseada nos mecanismos de negociação do NCP
(Network Control Protocol). Normalmente, esquemas de
tunelamento na camada 3 assumem que os endereços foram
atribuídos antes da inicialização do túnel.

Izequiel Pereira de Norões – 2008

 VPN
• Protocolos × Requisitos de tunelamento
COMPRESSÃO DE DADOS
Os protocolos de tunelamento da camada 2 suportam esquemas de
compressão baseados no PPP. O IETF está analisando mecanismos
semelhantes, tais como a compressão de IP, para o tunelamento na
camada 3.

CRIPTOGRAFIA DE DADOS
Protocolos de tunelamento na camada de enlace suportam
mecanismos de criptografia baseados no PPP. Os protocolos de
nível 3 também podem usar métodos similares. No caso do IPSec
são definidos vários métodos de criptografia de dados que são
executados durante o ISAKMP. Algumas implementações do
protocolo L2TP utilizam a criptografia provida pelo IPSec para
proteger cadeias de dados durante a sua transferência entre as
extremidades do túnel.

Izequiel Pereira de Norões – 2008

 VPN
• Protocolos × Requisitos de tunelamento
GERENCIAMENTO DE CHAVES
O MPPE (Microsoft Point-to-Point Encryption), protocolo de nível de
enlace, utiliza uma chave gerada durante a autenticação do usuário,
atualizando-a periodicamente. O IPSec negocia uma chave comum
através do ISAKMP e, também, periodicamente, faz sua atualização.

SUPORTE A MÚLTIPLOS PROTOCOLOS

O tunelamento na camada de enlace suporta múltiplos protocolos o
que facilita o tunelamento de clientes para acesso a redes
corporativas utilizando IP, IPX, NetBEUI e outros. Em contraste, os
protocolos de tunelamento da camada de rede, tais como o IPSec,
suportam apenas redes destino que utilizam o protocolo IP.

Izequiel Pereira de Norões – 2008

VPN

Izequiel Pereira de Norões – 2008

VPN

Izequiel Pereira de Norões – 2008

 VPN
• Tipos de VPN
– Virtual Leased Line Network (VLL)
Onde dois usuários estão conectados por um túnel IP que emula um
circuito físico dedicado ou uma linha privada. O backbone IP é
usado como entidade de enlace, transporte fim a fim, de forma
transparente para o backbone. Através de um servidor pode-se abrir
vários túneis VLL.

– Virtual Private Routed Network (VPRN)

Emulação de uma WAN (Wide Área Network) com vários sites
usando IP. Uma WAN se caracteriza pela necessidade de uma
cofiguração de endereços no nível de usuário da VPN e de provedor
de serviço de rede. Ela consiste de uma rede de topologia não
organizada (rede mesh) entre os roteadores do provedor de serviço.
O VPRN permite também controle de tráfego nos nós da rede
evitando congestionamento.

Izequiel Pereira de Norões – 2008

 VPN
• Tipos de VPN
– Virtual Private Dial Network (VPDN)
Permite aos usuário terem acesso remoto via PPP (Point-to-Point
Protocol). Neste caso a autenticação é feita via servidor RADIUS por
exemplo. Esta permite o uso do IPSec ou L2TP.

– Virtual Private Lan Segment (VPLS)

Emula um segmento de rede local usando o backbone IP. A VPLS é
utilizada para prover o serviço de LAN transparente, e oferece
serviço semelhante à emulação de LAN do ATM, onde segmentos
da rede fisicamente afastados trocam pacotes pelo backbone ATM
como se estivessem no mesmo segmento de colisão da rede. Esta
também oferece completa transparência aos protocolos com
tunelamento multiprotocololar, e suporte a Broadcast e Multicast.

Izequiel Pereira de Norões – 2008

 VPN
• O que uma VPN não protege?
– Nada é 100% seguro;
– O objetivo da segurança é criar barreiras para dificultar
ao máximo pessoas que tem interesses maliciosos;
– Risco de configurações erradas;
– Políticas de segurança mal empregadas;
– O aumento da sofisticação de ferramentas de ataques;
– Ataques aos roteadores;
– Ataques de DoS e DDoS;
– Virus e Worms;

Izequiel Pereira de Norões – 2008

 VPN
• Cuidados ao montar uma VPN
– Privacidade e autenticidade  qual o grau a ser atingido e a
complexidade envolvida para a montagem de uma rede VPN;
– Interoperabilidade de redes heterogêneas;
– Network Address Translation (NAT) – O IPSec esconde os
endereços de origem e destino, mas deve-se decidir se será o
usado o endereço interno ou o endereço de NAT em uma VPN;
– DNS Interno – O servidor de nomes internos torna fácil a conversão
se nomes em endereços IP da rede protegida;
– Gateways da VPN – sempre que em um ponto de uma VPN sofrer
um ataque ou avaria ou indisponibilidade, toda a VPN também
estará indisponível.

Izequiel Pereira de Norões – 2008

 VPN
• Roteiro para montar uma VPN
– Identificar os usuários, ou grupos que vão acessar os sistemas;
– Identificar os usuários ou grupos que vão participar da rede;
– A escolha de cada componente da VPN, em função da caracteristica
da informação, é outra tarefa importante. Soluções baseadas em
software/hardware, autenticação, etc;
– Desenho da topologia atual e da pretendida é uma ótima ideia,
principalmente para quem vai configurar os equipamentos
necessários;
– Dimensionamento adequado levando-se em consideração o volume
de tráfego e alta disponibilidade.

Izequiel Pereira de Norões – 2008