TOPOLOGIA DE VPN - multicast.com.br
Transcrição
TOPOLOGIA DE VPN - multicast.com.br
FACULDADE SALESIANA DE VITÓRIA PÓS-GRADUAÇÃO EM SEGURANÇA DE REDES DE COMPUTADORES EDUARDO COSTA CAMPINHOS ROBSON LUIZ DE SOUZA BARCELLOS TOPOLOGIA DE VPN: otimizando eficiência e segurança VITÓRIA 2007 EDUARDO COSTA CAMPINHOS ROBSON LUIZ DE SOUZA BARCELLOS TOPOLOGIA DE VPN: otimizando eficiência e segurança Monografia apresentada ao Curso de Pós-graduação em Segurança de Redes de Computadores da Faculdade Salesiana de Vitória, como requisito parcial para obtenção do título de Especialista em Segurança de Redes de Computadores. Orientador: Prof. M.Sc. Sérgio Teixeira VITÓRIA 2007 Dados Internacionais de Catalogação-na-publicação (CIP) (Biblioteca da Faculdade Salesiana de Vitória, Espírito Santo, Brasil) C196t Campinhos, Eduardo Costa, 1980 Topologia de VPN: otimizando eficiência e segurança / Eduardo Costa Campinhos, Robson Luiz Souza Barcellos. – 2007. 82 f. : il. Orientador: Sérgio Teixeira. Monografia (pós-graduação em Segurança de Redes de Computadores) – Faculdade Salesiana de Vitória. 1.Redes de Computadores - Segurança. 2. Virtual Private Network. 3. Interoperabilidade. I. Barcellos, Robson Luiz Souza. II. Teixeira, Sérgio. III. Faculdade Salesiana de Vitória. IV. Título. CDU: 004.7 EDUARDO COSTA CAMPINHOS ROBSON LUIZ DE SOUZA BARCELLOS TOPOLOGIA DE VPN: otimizando eficiência e segurança Monografia apresentada ao Curso de Pós-graduação em Segurança de Redes de Computadores da Faculdade Salesiana de Vitória, como requisito parcial para obtenção do título de Especialista em Segurança de Redes de Computadores. Aprovada em 6 de março de 2007. COMISSÃO EXAMINADORA ______________________________________ Prof. M.Sc. Sérgio Teixeira Orientador _________________________________________ Prof. M.Sc. Ádrian Bonfá Drago Faculdade Salesiana de Vitória _________________________________________ Prof. Esp. Sandro Pereira de Melo 4NIX Serviços em Informática Eu, Eduardo Costa Campinhos, dedico este trabalho aos meus pais e minhas irmãs por acreditarem no meu potencial, por me disponibilizar toda ajuda no decorrer do curso e pela compreensão da minha ausência. A minha tia Ruth, por todo auxílio que me deu sem medir esforços, aos meus primos Rodrigo, Ricardo e Rovena pelo companheirismo e minha prima Ana Paula pelo apoio. --Eu, Robson Luiz de Souza Barcellos, dedico este trabalho a minha mãe por acreditar na minha dedicação e por me dar força para terminar este curso que foi bastante gratificante para minha carreira profissional. AGRADECIMENTOS Agradecemos ao professor Sérgio Teixeira, Ádrian Drago e Sandro Melo pela colaboração e apoio no desenvolvimento desse trabalho. Aos nossos pais, pelo apoio desde o inicio do curso. “Pode-se vencer pela inteligência, pela habilidade ou pela sorte, mas nunca sem trabalho”. (A. Detouef). RESUMO Esse trabalho apresenta conceitos e fundamentos de Virtual Private Network (VPN) com a utilização do protocolo IPSec e de algumas ferramentas de software livre que auxiliam a implementação de VPN. Além disso, foi feito um estudo comparativo entre algumas opções de topologia de rede VPN. Foi elaborado e aplicado um questionário sobre a utilização de VPN em empresas de médio e grande porte com o objetivo de corroborar com as pesquisas efetuadas. Ao final, é apresentada um proposta de topologia de rede, protocolo e de ferramenta para a implementação de uma VPN, otimizando eficiência e segurança. Palavras-chave: Redes de Computadores - Segurança, Virtual Private Network, Interoperabilidade. ABSTRACT This paper shows notions and principles of Virtual Private Network (VPN) by using the IPSec protocol and some free software that help the implementation of VPN. Besides, a comparative study was carried out among some options of topology of VPN network. A questionnaire about the utilization of VPN was designed and applied in large and middle – sized company aiming at matching the research performed. Eventually, a proposal of topology network, protocol and tool is showed in order to implement a VPN, enhancing efficiency and security. Keywords: Computer networks – Security, Virtual Private Network, interoperability. LISTA DE FIGURAS Figura 1. Exemplo de VPN....................................................................................................... 19 Figura 2. Exemplo de conexão Host x Host. ............................................................................ 26 Figura 3. Exemplo de conexão Host x Rede. ........................................................................... 27 Figura 4. Exemplo de conexão Rede x Rede............................................................................ 27 Figura 5. Formato do Protocolo AH......................................................................................... 39 Figura 6. Modo Transporte no protocolo AH........................................................................... 41 Figura 7. Modo túnel no protocolo AH. ................................................................................... 42 Figura 8. Campos do Protocolo ESP. ....................................................................................... 43 Figura 9. Modos transporte no protocolo ESP. ........................................................................ 44 Figura 10. Modos túnel no protocolo ESP. .............................................................................. 45 Figura 11. Campos do cabeçalho ISAKMP. ............................................................................ 47 Figura 12. Site Oficial do Projeto FreeS/WAN........................................................................ 50 Figura 13. Download da ferramenta OpenVPN. ...................................................................... 53 Figura 14. Site Oficial do Projeto Openswawn. ....................................................................... 55 Figura 15. Exemplo de gateway VPN dentro do firewall. ....................................................... 58 Figura 16. Exemplo de gateway VPN em frente ao firewall.................................................... 59 Figura 17. Exemplo de gateway VPN atrás do firewall ........................................................... 60 Figura 18. Exemplo de gateway VPN paralelo ao firewall. ..................................................... 61 Figura 19. Exemplo de gateway VPN ao lado do firewall. ...................................................... 62 Figura 20. Exemplo DMZ ........................................................................................................ 63 Figura 21. Exemplo de gateway VPN numa DMZ ..................................................................66 Figura 22. Porcentagem referente ao período de tempo que as empresas consultadas utilizam VPN .......................................................................................................................................... 68 Figura 23. Porcentagem referente ao motivo das empresas utilizarem VPN ...........................68 Figura 24. Porcentagem das empresas que fizeram projeto na utilização de VPN. ................. 6 9 Figura 25. Porcentagem das empresas que alteraram a topologia ou infra-estrutura...............69 Figura 26. Local onde está instalado o gateway VPN..............................................................70 Figura 27. Motivo das em presas consultadas em adotar o uso de VPN.................................. 70 Figura 28. Porcentagem referente a vantagens de se utilizar VPN ........................................ 71 Figura 29. Porcentagem das ferramentas de VPN utilizada ..................................................... 71 Figura 30. Motivos pelas quais as empresas adotaram o uso de VPN ..................................... 72 Figura 31. Vantagens apontadas com o uso de VPN................................................................ 72 Figura 32. Desvantagens apontadas com o uso de VPN .......................................................... 73 Figura 33. Exemplo de gateway VPN ao lado do firewall ....................................................... 74 Figura 34. Topologia com dois firewalls.................................................................................. 76 SUMÁRIO 1 - INTRODUÇÃO .................................................................................................................. 12 1.1 MOTIVAÇÃO................................................................................................................13 1.2 OBJETIVOS................................................................................................................... 14 1.3 METODOLOGIA...........................................................................................................14 1.4 ORGANIZAÇÃO DO TRABALHO .............................................................................15 2 - FUNDAMENTOS DA REDE PRIVADA VIRTUAL .......................................................16 2.1 AUTENTICAÇÃO.........................................................................................................28 2.2 PROTOCOLOS USADOS NA REDE PRIVADA VIRTUAL......................................35 2.3 PROTOCOLO IPSEC ....................................................................................................36 2.4 CONSIDERAÇÕES .......................................................................................................47 3 – FERRAMENTAS DE REDE PRIVADA VIRTUAL........................................................49 3.1 FREES/WAN..................................................................................................................49 3.2 OPENVPN...................................................................................................................... 52 3.3 OPENSWAN ..................................................................................................................54 3.4 CONSIDERAÇÕES .......................................................................................................55 4 – TOPOLOGIAS PARA REDE VIRTUAL PRIVADA.......................................................57 4.1 GATEWAY VPN DENTRO DO FIREWALL ..............................................................58 4.2 GATEWAY VPN EM FRENTE AO FIREWALL ........................................................59 4.3 GATEWAY VPN ATRÁS DO FIREWALL .................................................................60 4.4 GATEWAY VPN PARALELO AO FIREWALL .........................................................61 4.5 GATEWAY VPN AO LADO DO FIREWALL ............................................................61 4.6 dEMILITARIZED ZONE (dmz)....................................................................................62 4.7 EM CONJUNTO COM OUTROS EQUIPAMENTOS DA DMZ ................................ 64 4.8 EM DMZ SEPARADA ..................................................................................................65 4.9 CONFIGURAÇÃO DE MÚLTIPLAS DMZ´S .............................................................65 4.10 ELABORAÇÃO DO QUESTIONÁRIO .....................................................................67 4.11 ANÁLISE DO QUESTIONÁRIO................................................................................67 4.12 UMA PROPOSTA DE TOPOLOGIA PARA REDE VIRTUAL PRIVADA ............. 73 4.13 CONSIDERAÇÕES .....................................................................................................78 5 - CONSIDERAÇÕES FINAIS E TRABALHOS FUTUROS ..............................................79 6 - REFERÊNCIAS BIBLIOGRÁFICAS................................................................................80 1 - INTRODUÇÃO O advento da Internet aliado ao surgimento de novas tecnologias de informação mudou profundamente a forma de comunicação entre as empresas. Novas formas de comunicação, tais como business-to-consumer1 (B2C) e business-to-business2 (B2B) atualmente fazem parte da rotina de muitas empresas, que dificilmente conseguiriam sobreviver sem elas. Além disso, surgiu também a necessidade de interconectar de forma online as redes de computadores de filiais remotas com a rede da matriz dessas empresas. Dessa forma, usuários remotos que trabalhavam em redes isoladas, passaram a trafegar dados diretamente com a rede da matriz. Uma alternativa para a interconexão dessas redes foi a utilização de links dedicados de dados. Dessa forma, foi possível trafegar dados de forma privada e segura. Entretanto, o custo desses links de dados é alto, principalmente em cidades distantes das grandes metrópoles, tornando essa solução viável para poucas empresas. Nesse contexto, surgiu a Virtual Private Network ou Rede Privada Virtual (VPN), cujo objetivo é de interconectar e trafegar dados, de forma privada e segura, entre a rede de computadores de uma filial com a matriz de uma empresa. Além disso, o advento do software livre trouxe soluções eficazes e de baixo custo. Isso permitiu a democratização do acesso a esse tipo de tecnologia de comunicação de dados, pois as soluções proprietárias possuem um alto custo de implementação. Por se tratar de uma rede pública que não foi concebida para essa finalidade, a Internet não é um meio seguro de transmissão de dados. Porém, com a utilização de VPN, é possível trafegar dados de forma segura. A VPN implementa uma espécie de “túnel” ou “canal” de comunicação de dados, capaz de transmitir informações privadas, criptografadas e íntegras por meio da Internet. Além disso, é possível estabelecer conexões seguras com usuários móveis através de rede discada ou sem fio. 1 business-to-consumer é o segmento dentro do comércio eletrônico que abrange qualquer transação em que uma companhia ou organização vende seus produtos ou serviços para as pessoas que navegam pela Internet 2 business-to-business é o comércio praticado por fornecedores e clientes empresariais, ou seja de empresa para empresa 12 Uma característica importante desse tipo de conexão é a transparência oferecida. O usuário conectado a uma rede através de uma VPN tem a sensação de estar conectado diretamente à Intranet dessa empresa. 1.1 MOTIVAÇÃO A troca de informações sigilosas de forma segura e com custos mais acessíveis tornouse uma questão estratégica para muitas empresas, pois o mercado competitivo exige uma rápida tomada de decisão, que é baseada nessas informações. Existem diversas tecnologias proprietárias para a implementação de VPN com muitas opções de empresas especializadas na instalação e suporte desse tipo de ferramenta. Entretanto, os custos são altos e a dependência dessas tecnologias ocasiona um custo adicional de manutenção. Como alternativa às tecnologias proprietárias existem software livres que funcionam de forma eficaz. Entretanto, o acesso a esse software não é garantia de sucesso, pois existem muitos fatores, conceitos e metodologias que influenciam na eficácia de uma VPN. A procura por esse tipo de tecnologia estimulou o desenvolvimento de várias alternativas baseadas em software livre. Quem pretende implantar uma VPN tem a disposição diversas alternativas de algoritmos de criptografia, protocolos de segurança e software de VPN. Apesar da variedade de tecnologias que compõem uma solução de VPN, o material disponível na literatura para a orientação de implementação desse tipo de tecnologia é insuficiente. É preciso compreender diversos conceitos e fundamentos que estão relacionados às VPN´s. Caso contrário, essa tecnologia pode trazer problemas para as empresas. Além disso, não existe um consenso sobre o local mais adequado para a implementação de um servidor de VPN, também conhecido como gateway3 VPN. 3 Gateway é uma máquina intermediária geralmente destinada a interligar redes. Exemplos de gateway são os roteadores. 13 Esse trabalho busca auxiliar profissionais de informática que precisam implementar uma VPN baseada em software livre. Além disso, será apresentado um roteiro de apoio na escolha e na implementação de uma ferramenta de VPN. Dessa forma, esses profissionais poderão utilizar esse trabalho como apoio na implementação de uma VPN. 1.2 OBJETIVOS O objetivo deste trabalho é realizar um estudo sobre o funcionamento de uma VPN na Internet, através de redes públicas, com o propósito de verificar o local mais adequado para a instalação de um gateway VPN, observando a eficácia e segurança das informações trafegadas. 1.3 METODOLOGIA Para a elaboração desse trabalho, foi feita uma revisão bibliográfica sobre autenticação, encapsulamento4, protocolos, ferramentas de Rede Privada Virtual. Em seguida, foi feito um estudo de topologias5 com a análise do posicionamento do gateway VPN em relação ao firewall6, analisando o fluxo de dados dentro da rede. Com isso, foi possível analisar o fluxo e a segurança da informação em todas as formas de instalação do gateway VPN. Dessa forma, foi possível encontrar a topologia que apresentou o melhor desempenho para a segurança da informação na empresa. Foi feita a elaboração de um questionário, com ajuda e sugestões de profissionais da área, com o objetivo de obter mais informações sobre o uso de VPN nas empresas. Os resultados obtidos do questionário corroboraram com a proposta apresentada. 4 Encapsulamento é o mecanismo que permite separar um mecanismo de funcionamento de sua interface. 5 Topologia é a forma por meio da qual ela se apresenta fisicamente, ou seja, como os elementos de rede estão dispostos. 6 Firewall é um dispositivo de rede que tem por função regular o tráfego entre redes distintas e impedir a transmissão de dados não autorizados. 14 1.4 ORGANIZAÇÃO DO TRABALHO Esse trabalho segue a seguinte organização: 2 - Fundamentos da Rede Privada Virtual – Apresenta fundamentos, objetivos, modos de operação e analogias que buscam auxiliar o entendimento das VPN´s. Além disso, são apresentados fundamentos de segurança, confidencialidade, integridade, autenticidade, não repúdio e facilidades das VPN´s. Adicionalmente, são apresentados conceitos sobre criptografia, chave pública, chave privada e algumas comparações entre VPN´s, servidores de acesso remoto e linha dedicada. 3 – Ferramentas de Rede Privada Virtual – Apresenta conceitos e o funcionamento do projeto Swan e da ferramenta FreeS/Wan. Além disso, são apresentadas outras ferramentas, tais como o OpenVPN e Openswan. 4 - Uma proposta de topologia para Rede Privada Virtual no Linux – Esse capítulo apresenta uma análise sobre os possíveis locais de instalação do gateway VPN, demonstrando as vantagens e desvantagens de cada opção. Além disso, é feita uma análise do fluxo de dados, desempenho do gateway VPN e do firewall, visando a eficácia da segurança. Foi realizada uma pesquisa, através da elaboração de um questionário, respondido por profissionais da área, com o objetivo de verificar na prática o uso dessas tecnologias. Por fim, é concluído uma topologia e a ferramenta para a implantação de uma VPN. 5 - Considerações finais e trabalhos futuros – apresenta as considerações finais e propostas de futuros trabalhos de aperfeiçoamento das VPN´s. 6 - Referências Bibliográficas – Referências bibliográficas utilizadas na elaboração do trabalho. 15 2 - FUNDAMENTOS DA REDE PRIVADA VIRTUAL A primeira pergunta seria o que vem a ser uma rede privada? A resposta é relativamente simples: “dois ou mais computadores interligados formam uma rede de computadores (network). As redes utilizadas na interconexão de computadores com a finalidade de troca de dados em um determinado espaço físico formam uma rede privada (Local Area Network), onde somente os equipamentos pertencentes a esse grupo podem ter seus dados compartilhados” (SILVA, 2003). As empresas necessitam de um alto nível de conectividade entre as organizações, no qual a necessidade cada vez maior de segurança implica na utilização de diversas tecnologias, sejam elas para permitir a continuidade dos negócios, ou para prover a segurança necessária para essas conexões. Ao falar de informação digital, e-mails, dados importantes, transferência de dinheiro, ou seja, toda informação sensível para qualquer negócio, mensurar dados é muito complicado, por isso a necessidade de tornar essas transferências de forma segura. Em uma rede privada, os dados podem trafegar sem que haja muita preocupação com a interceptação e captura de informações. Mas, e para utilização em redes públicas? Como trafegar esses dados com segurança? Nesse contexto, surgiu o conceito de (Virtual Private Network) VPN ou Rede Privada Virtual, que possibilita, além da economia com os custos de comunicação, a segurança na transferência dos dados. Uma possível analogia para entender o conceito de VPN pode ser feita ao analisar duas formas diferentes de travessia do canal da Mancha. A forma insegura seria equivalente a travessia de barco, pois dessa forma a tripulação estaria sujeita a todo tipo de interferência externa. A forma segura e privativa seria equivalente travessia por meio do Eurotúnel. Dessa forma, os passageiros não estariam sujeitos às interferências de outras pessoas ou da natureza. Portanto, essa forma de travessia equivale à utilização de uma VPN para atravessar o canal da Mancha. As VPN's criam um túnel com o objetivo de permitir a transferência segura e com privacidade entre redes. 16 Em outras palavras, “VPN´s são redes de computadores separadas fisicamente e que através de um meio público de comunicação - geralmente a Internet – comunicam-se de forma segura, com a utilização de criptografia” (VASQUE, 2002). De acordo com Kolesnikov, “as vantagens de utilizar uma VPN estão relacionadas à segurança, transparência, facilidade de administração e redução de custos” (KOLESNIKOV, 2002). A transparência não deixa que usuários, aplicações e computadores percebam a localização física dos equipamentos que estão sendo utilizados, permitindo que eles sejam acessados em lugares remotos como se estivessem presentes localmente, facilitando o gerenciamento das redes. Além da segurança, uma grande vantagem da VPN é a redução de custos, pois não há necessidade de linhas dedicadas e servidores para acesso remoto. No entanto, para que essas características se tornem efetivas, a VPN deve prover um conjunto de funções que garanta Privacidade, Integridade, Autenticidade, Não Repúdio, Facilidade, Criptografia, Assinatura Digital e Certificados Digitais, conforme descritas mais detalhadamente a seguir: • Privacidade Tendo em vista que os dados serão enviados por meio de comunicação pública, a idéia que se tem de privacidade numa VPN, nada mais é do que técnicas modernas de criptografia e mecanismos matemáticos usadas para criptografar os dados de origem, e enviá-los criptografados até o destinatário. No destino, o dado é descriptografado, voltando a sua forma original. Dessa forma, os dados não serão lidos indevidamente por terceiros durante o trajeto da origem até o destino. Caso isso ocorra, o objetivo é evitar que eles possam ser entendidos. • Integridade Na eventualidade dos dados serem capturados, é necessário garantir que eles não sejam adulterados e reencaminhados para o seu destino. O objetivo é garantir que o destinatário só receba dados não adulterados. A garantia de integridade dos dados trocados em uma VPN pode ser fornecida pelo uso de algoritmos que geram códigos a partir dos dados que serão enviados, dificultando muito a sua leitura. Ao chegar ao destinatário, é executado 17 um algoritmo que compara o resultado obtido com a seqüência de bits. Se a seqüência gerada for igual à seqüência recebida, significa que os dados não foram adulterados. • Autenticidade Somente usuários e equipamentos que tenham sido autorizados a fazer parte de uma determinada VPN é que podem trocar dados entre si. O usuário deve ser identificado no seu ponto de acesso à VPN, de tal forma que, somente os dados de usuários autenticados transitem pela rede. Toda conexão não autenticada será rejeitada. De acordo com Silva, “os usuários que recebem as informações sabem identificar, realmente, se uma mensagem foi enviada pelo remetente esperado. Esse procedimento é feito pelo uso de assinatura digital. Isso é feito por meio da chave de criptografia que é utilizada pelo autor da mensagem” (SILVA, 2003). Para transmitir dados entre redes de forma segura, a VPN utiliza a tecnologia de tunelamento. O túnel é a denominação do caminho lógico, inelegível para intrusos, percorrido pelo pacote ao longo da rede intermediária. O protocolo de tunelamento encapsula o pacote com um cabeçalho adicional que contém informações de roteamento. Isso permite o transporte dos pacotes ao longo da rede intermediária. Os pacotes encapsulados são roteados entre as extremidades do túnel na rede intermediária. O caminho utilizado pelo pacote pode ser qualquer rede pública ou privada. A figura 1 mostra um exemplo de conexão VPN entre dois gateway´s através de uma rede pública. 18 Figura 1 - Exemplo de VPN • Não Repúdio De acordo com Silva “o usuário que recebe a mensagem tem a garantia que ela não será negada no futuro, pois existe uma confiança no remetente. O usuário que enviou a mensagem não poderá afirmar que não foi ele quem a emitiu. Isso só poderá ser permitido com criptografia assimétrica” (SILVA, 2003). A criptografia assimétrica é a técnica de criptografar que utiliza um par de chaves: uma chave pública e uma chave privada. A chave pública é distribuída livremente para todos os interessados, enquanto a chave privada deve ser conhecida apenas pelo seu dono. Assim, um dado cifrado com a chave pública só será decifrado com a chave privada do respectivo destinatário e vice-versa. Essa característica é considerada um atributo opcional da autenticidade, pois é obtida por meio da criptografia assimétrica. • Facilidade É uma característica do uso de VPN, pois ela é de fácil implementação e funciona de modo transparente para o usuário. “O ideal é que o usuário não perceba que seu universo computacional está totalmente seguro e as políticas de segurança sejam embutidas no sistema e qualquer pessoa saiba o que fazer sem recorrer a manuais ou guias” (SILVA, 2003). 19 Portanto, o sistema escolhido e implantado deve prover toda a segurança necessária e feita de forma consistente e adequada para as aplicações da empresa sem restringir as tarefas diárias dos usuários. • Criptografia A criptografia torna o ambiente mais seguro, pois adiciona um conjunto de métodos de tratamento e transformação dos dados que serão transmitidos pela rede pública. Um conjunto de regras é aplicado nos dados, adicionando uma seqüência de bits (chave) de algum padrão de criptografia. Dessa forma, apenas o destinatário, conhecendo a chave, poderá descriptografar os dados. “Criptografia é um estudo de códigos e cifras, cujo nome vem do grego kriptos, que significa oculto, e graphen que significa escrever. Já a palavra cifra vem do hebraico saphar, que significa dar números. As maiorias das técnicas são simétricas7, baseada em técnicas de sistemas numéricos” (SILVA, 2002). É importante ressaltar que o segredo da criptografia não está no algoritmo empregado, e sim na chave de criptografia. Os melhores sistemas criptográficos são aqueles de domínio público, pois são analisados pelos cientistas. Na ocorrência de vulnerabilidades a comunidade se mobiliza na busca de soluções. Posteriormente, podem ser revistos num processo permanente de melhoria. As técnicas de criptografia utilizadas são as chaves simétricas e assimétricas. A Chave Simétrica é a técnica de criptografia onde se utiliza a mesma chave para criptografar e descriptografar os dados. Sendo assim, a manutenção da chave em segredo é fundamental para a eficiência do processo. A grande vantagem neste tipo de recurso é a sua velocidade em relação à chave assimétrica. Esse conceito surgiu em 1972 pela IBM, com o apelido de Lúcifer Cipher, foi revisado e publicado em 1977 pelo National Institute of Standart (NIST), Federal Information Processing Standart (FIPS 46-1) e o American National Standart Institute (ANSI X9.32) (SILVA, 2003). Outro método de criptografia utilizado é a chave assimétrica ou chave pública. Essa técnica utiliza chaves diferentes e relacionadas para criptografar e descriptografar os dados. A 7 Criptografia simétrica é a técnica baseada numa única chave, usada por ambos os interlocutores. 20 chave utilizada para criptografar e descriptografar os dados é formada por duas partes, uma pública e outra privada. Todas essas etapas são de grande importância, pois o protocolo Transmission Control Protocol/Internet Protocol (TCP/IP) é à base da Internet e amplamente utilizado para a comunicação entre redes. Entretanto, é uma forma insegura, por não ter sido projetado para essa finalidade. A VPN utiliza a infra-estrutura de rede já existente do TCP/IP para transmitir os seus pacotes pela Internet, adicionando alguns cabeçalhos (KOLENISKOV, 2002). Quando uma informação criptografada é enviada para alguém, usa-se a parte pública da chave de nosso destinatário para criptografar e enviar os dados. O destinatário utilizará a parte privada da chave para descriptografar a mensagem e retorná-la à forma original (SILVA, 2002). Dentre várias técnicas de criptografia, será descrito duas para um melhor entendimento de como é feito o embaralhamento dos dados. São eles: • Algoritmo Diffie-Hellman (DH) Segundo Burnett “Este algoritmo não criptografa os dados. Em vez disso, ele gera um segredo. As duas partes podem gerar o mesmo segredo e, então, utilizá-lo para criar uma chave de sessão que será utilizada em um algoritmo simétrico. Este procedimento é chamado de ‘acordo de chaves’. As duas partes entram em acordo sobre qual chave será utilizada”. (BURNETT, 2003) Outro nome encontrado na literatura para essa técnica é “troca de chaves”. A desvantagem desse algoritmo é que uma terceira pessoa pode interceptar a chave, pois o envio é feito de forma insegura. Um intruso pode enganar o remetente simulando que é o seu destinatário. Portanto, a falha desse método é o envio inseguro das chaves. • Algoritmo Ron Rivest, Adi Shamir e Len Adleman (RSA) RSA é um algoritmo de encriptação de dados, que deve o seu nome a três professores do Instituto MIT (fundadores da empresa RSA Data Security, Inc.), Ron Rivest, Adi Shamir e Len Adleman, que inventaram este algoritmo. Ele está embutido nos navegadores e em centenas de produtos de mercado. 21 Sua implementação ocorre com a geração de duas chaves, comporto de dois pares de números, de tal forma que uma mensagem encriptada com o primeiro par possa ser apenas decriptada com o segundo par, mas o segundo número não pode ser derivado do primeiro. Esta propriedade assegura que o primeiro número possa ser divulgado a alguém que pretenda enviar uma mensagem encriptada ao portador do segundo número, já que apenas essa pessoa pode decriptar a mensagem. O primeiro par é designado como chave pública, e o segundo como chave secreta. Um aspecto importante na utilização e configuração de VPN´s é a padronização e a interoperabilidade, pois com a utilização da Internet como meio de comunicação existem inúmeros padrões e tipos de configurações que podem ser utilizados. Portanto, para obter sucesso na utilização de VPN é preciso ficar atento para esses itens. Utilizando a Internet como infra-estrutura básica de transmissão de dados, o protocolo TCP/IP será consequentemente o padrão adotado para a conexão fim a fim entre o remetente e o destinatário de uma VPN. Em virtude do crescimento da Internet e, consequentemente das VPN´s, surgiram diversas organizações com o objetivo de padronizar e normartizar o uso de protocolos e serviços na Internet. Esse trabalho é fundamental para ajudar a disseminação e interoperabilidade entre as soluções de comunicação na Internet. Dentre as organizações existentes merecem destaque: • World Wide Web Consortium (W3C): tem por objetivo definir padrões para web. Dentro deste grupo estão as definições de HTML, XML, cookies8, entre outros; • Internet Engineering Task Force (IETF): visa definir normas para a Internet como um todo, estabelecendo padrões de conexões de diferentes pontos, padrões de criptografia, autenticação, entre outros. Há um subgrupo dentro dessa organização, responsável pelo Internet Security Protocol (IPSec9); • National Institute of Standarts and Technology (NIST): entre suas propostas de padronizações, encontram-se as de hash e criptografia; • American National Standarts Institute (ANSI): define requerimentos mínimos 8 São informações que os sites enviam aos navegadores. 22 para linguagens de programação, entre outros. • Assinatura Digital É um método de autenticação de informação digital que identifica o remetente de uma mensagem eletrônica. Existem diversos métodos para assinar digitalmente documentos, e estes métodos estão em constante evolução. Porém de maneira resumida, uma assinatura típica envolve dois processos criptográficos, o hash (resumo) e a encriptação deste hash. Em um primeiro momento é gerado um resumo criptográfico da mensagem através de algoritmos que reduzem qualquer mensagem sempre a um resumo de mesmo tamanho. A este resumo criptográfico se dá o nome de hash. Uma função de hash deve apresentar necessariamente as seguintes características: • Deve ser impossível encontrar a mensagem original a partir do hash da mensagem; • O hash deve parecer aleatório, mesmo que o algoritmo seja conhecido. Uma função de hash é dita forte se a mudança de um bit na mensagem original resulta em um novo hash totalmente diferente; • Deve ser impossível encontrar duas mensagens diferentes que levam a um mesmo hash. Após gerar o hash, ele deve ser criptografado através de um sistema de chave pública, para garantir a autenticação e o não-repúdio. O autor da mensagem deve usar sua chave privada para assinar a mensagem e armazenar o hash criptografado junto à mensagem original. Para verificar a autenticidade do documento, deve ser gerado um novo resumo a partir da mensagem que está armazenada, e este novo resumo deve ser comparado com a assinatura digital. Para isso, é necessário descriptografar a assinatura obtendo o hash original. Se ele for igual ao recém gerado, a mensagem está integra. 9 Conjunto de protocolos desenvolvidos e utilizados para proteger o tráfego dos pacotes IP 23 • Certificados Digitais Um certificado digital é um arquivo de computador que contém um conjunto de informações referentes a entidade para o qual o certificado foi emitido (seja uma empresa, pessoa física ou computador) mais a chave pública referente a chave privada que acredita-se ser de posse unicamente da entidade especificada no certificado. Um certificado digital normalmente é usado para ligar uma entidade a uma chave pública. Para garantir a integridade das informações contidas neste arquivo ele é assinado digitalmente e o certificado é assinado pela Autoridade Certificadora (AC). Um certificado normalmente inclui: • Informações referentes a entidade para o qual o certificado foi emitido (nome, e-mail, CPF/CNPJ, PIS etc.); • A chave pública referente a chave privada de posse da entidade especificada no certificado; • O período de validade; • A(s) assinatura(s) da(s) AC/entidade(s) que afirma que a chave pública contida naquele certificado confere com as informações contidas no mesmo. Diante desse contexto, foi visto algumas características da VPN, assim como suas importâncias. Essas características em conjunto fazem parte do funcionamento da VPN. Funcionamento da VPN O funcionamento da VPN ocorre da seguinte forma: Depois de instalar o sistema de VPN na sua rede, o cliente VPN, que é o responsável pela inicialização do tunelamento - baseado no protocolo Internet Protocol Security (IPSec) é feita a configuração através de um arquivo que contém todos os parâmetros de tunelamento necessários. Em seguida, esse arquivo será processado pelo software mediante a utilização de uma chave simétrica - caso esteja usando Phase Shift Keying (PSK) – ou chave assimétrica – usando certificado X.509. Essas chaves e o arquivo de configuração são gerados pela entidade certificadora. 24 De forma simplificada, os passos de configuração e funcionamento do acesso remoto VPN são: • O usuário instala o software cliente; • A entidade certificadora gera um arquivo contendo os parâmetros necessários para a conexão IPSec, entre eles o certificado digital, a chave assimétrica e os algoritmos criptográficos a serem utilizados; • A entidade certificadora gera uma chave simétrica que deve ser utilizada pelo usuário para a importação do arquivo de parâmetros no software cliente; • O usuário deve configurar o software cliente através da importação do arquivo de parâmetros utilizando a chave simétrica, gerados pela entidade certificadora; • O usuário recebe o arquivo de parâmetros e a chave simétrica; • O usuário utiliza a chave simétrica para importar o arquivo de parâmetros; • O usuário configura o software cliente através da importação do arquivo de parâmetros, e assim está apto a iniciar um tunelamento IPSec para a rede da organização; • A conexão IPSec é negociada entre o usuário e a rede da organização de acordo com os parâmetros do usuário e do servidor, que possui uma lista dos recursos que cada usuário pode acessar. A VPN tem a mobilidade de funcionamento e facilidade de trabalhar em conjunto tanto com servidor de acesso remoto quanto com linha dedicada. Uma comparação da VPN com essas duas tecnologias será demonstrada abaixo. VPN x Servidor de Acesso Remoto Hoje em dia é comum a existência de funcionários de empresas que exercem suas funções em suas próprias residências. Além disso, existem aqueles que viajam muito e precisam acessar remotamente a rede da empresa de diversos locais distintos. Para atender essas necessidades as empresas implantaram soluções que permitem o acesso remoto a rede interna por meio de diversos tipos de conexões. Por exemplo: acesso discado, acesso dedicado, acesso via Internet ou acesso via telefonia celular. 25 Cada tipo de solução de acesso remota a rede privada das empresas necessita de uma infra-estrutura e configuração específica. Além disso, existem diversas vantagens e desvantagens dependendo do tipo de solução adotada. Serão apresentadas algumas formas de acesso remoto e uma comparação com o uso de VPN. VPN x Linha Dedicada Para conexões entre redes à longa distância para troca de informações, pensa-se logo em linhas dedicadas (redes privadas). Essa solução oferece um nível de segurança bem elevado, pois a transferência de dados é feita por meio de uma linha dedicada. Intrusos da Internet não terão acesso a essa rede. Porém, os custos de instalação e manutenção das linhas dedicadas são muito elevados. Além de funcionar com servidor de acesso remoto e linha dedicada, a VPN pode ter três tipos de topologias, que será demonstrado a seguir, dependendo de como é feita a conexão. • Host x Host Essa topologia tem como finalidade comunicar dois hosts10 separados fisicamente, fornecendo segurança necessária, podendo ou não estar presentes numa rede, conforme figura 2. Figura 2 - Exemplo de conexão Host x Host 10 Host é qualquer máquina ou computador conectado a uma rede. 26 • Host x Rede A figura abaixo é um exemplo de Host x Rede para acessos remotos, pois permite que um host móvel se conecte a uma determinada rede através da Internet. Basta que o host tenha o software para conexões VPN. Figura 3 - Exemplo de conexão Host x Rede • Rede x Rede Topologia ideal para interligar redes de uma mesma empresa geograficamente distantes, como retrata a figura 4. Figura 4 - Exemplo de conexão Rede x Rede 27 Para que a conexão VPN seja realidade com sucesso, independente da estrutura utilizada, é necessário que outros fatores sejam estabelecidos para a criação do túnel VPN. Um desses fatores é a autenticação. 2.1 AUTENTICAÇÃO “Autenticação é o ato de estabelecer ou confirmar algo (ou alguém) como autêntico, isto é, que reivindica a autoria ou a veracidade de alguma coisa. A autenticação também remete à confirmação da procedência de um objeto ou pessoa, neste caso, frequentemente relacionada com a verificação da sua identidade.” (WIKIPÉDIA, 2006). Assim como o endereço IP de um computador identifica um único endereço na rede, o usuário que está usando esse endereço precisa ser uma pessoa válida e autêntica na rede, pois sem autenticação não se garante o sucesso da VPN, pois não se tem conhecimento de quem está usando um determinado endereço de um computador. A autenticação é forma utilizada nas redes VPN para garantir que uma mensagem foi realmente enviada por quem se declara como o remetente dela. O controle de acesso é um exemplo comum de adoção de mecanismos de autenticação. Um sistema computacional, cujo acesso é permitido apenas a usuários autorizados, deve detectar e excluir os usuários não autorizados. O acesso é controlado por um procedimento que estabelece a identidade do usuário com algum grau de confiança (autenticação), e só então concede determinados privilégios (autorização) de acordo com esta identidade. Alguns exemplos de controle de acesso são encontrados em sistemas que permitem: • Saque de dinheiro de um caixa eletrônico; • Comunicação com um computador através da Internet; • Navegação em um sistema de Internet banking. Para uma melhor visualização, as formas de autenticação para humanos são normalmente classificados em três casos: 28 • Aquilo que o usuário é (impressão digital, padrão retinal, sequência de DNA, padrão de voz, reconhecimento de assinatura, sinais elétricos unicamente identificáveis produzidos por um corpo vivo, ou qualquer outro meio biométrico); • Aquilo que o usuário tem (cartão de identificação, chave de carro); • Aquilo que o usuário conhece (senha, frase de segurança, personal identification number (PIN), combinação de cofre). Frequentemente é utilizada uma combinação de dois ou mais métodos. Um banco, por exemplo, pode requisitar uma "frase de segurança" além da senha, neste caso o termo "autenticação de dois fatores" é utilizado. Um fator importante a ser destacado é manter a integridade e confidencialidade da informação da autenticação. É importante que esses dados sejam usados de forma segura e não possam ser obtidos por pessoas desautorizadas. Dentre os tipos de autenticação existentes merecem destaque: • Two-Party Este método de autenticação se subdivide em dois esquemas, one-way e two-way. No esquema de uma via (one-way), o cliente tem que ser autenticado no servidor, porém o servidor não precisa autenticar o cliente. No esquema de duas vias (two-way), tanto o cliente quanto o servidor precisam autenticar-se mutuamente. • Senha (Password) É o mais utilizado em autenticação entre duas entidades, entretanto, o mais fraco em matéria de segurança. Neste método, o usuário e o servidor devem saber previamente a senha ou frase, e cabe ao servidor armazenar esse segredo para ser comparado no momento da 29 autenticação. Um problema no esquema de autenticação por senha é a necessidade de armazená-la em algum lugar. Uma forma de não guardar as senhas no servidor, de forma original como é feito de costume, é utilizar uma função de hash que embaralha a senha. • Challenge/Response Esse procedimento de autenticação é feito por desafio e resposta. É similar ao método da senha. O servidor lança um desafio ao usuário, esperando uma resposta, previamente acordada entre eles, podendo haver, por exemplo, mil desafios e respostas para as duas entidades. Uma forma interessante de utilizar esse esquema de autenticação é usar como desafio e resposta um conjunto de chaves para criptografia simétrica, ficando a chave de criptografia dinâmica e aleatória. • One-Time Password Utiliza os mesmos princípios da autenticação por senha. Porém, ela só será válida dentro de uma sessão (Session/Key ou S/Key). Nesse caso, a senha muda a cada sessão aberta entre o cliente e o servidor. A senha é gerada em tempo real, entre o usuário e o servidor baseada numa palavra secreta, previamente compartilhada entre ambos. Quando uma sessão é iniciada, a forma da geração da senha é aleatória. Após sua criação, ela é enviada ao servidor que irá compará-la com várias senhas disponíveis no seu banco de dados, baseadas na sua estrutura de comunicação para autorizar o ingresso caso a senha seja validada. A desvantagem dessa autenticação é a capacidade das duas entidades em gerenciar essa criação dinâmica de chaves únicas por sessão. • One-Time Password por tokens Esse esquema de autenticação é considerado forte, pois agrega vários conceitos de segurança extremamente eficientes. Embora eficiente, o custo desse método é elevado, pois exige um token exclusivo para cada usuário. Quanto maior o número de usuário maior será o custo dessa solução. Além disso, é preciso ficar atendo para a engenharia social do processo, pois o usuário é que será o responsável pela criação e manutenção da senha. • Smartcards 30 É um dispositivo que tem formato de cartão de crédito, com um chip de computador que tem funções de armazenamento e processamento interno. Sendo um cartão com poder de armazenamento, ele pode conter a chave de criptografia, o que aumenta a velocidade de transmissão. O cartão é introduzido num dispositivo que pode ler a senha que está dentro dele, bem como outras informações. Seus algoritmos são gravados sem permissão de escrita e é necessário também uma senha fornecida pelo usuário. Esse esquema de autenticação, também está dentro do conjunto conhecido como criptografia forte, porque requer algo que se sabe - no caso uma senha do usuário - que pode conter os princípios que foram citados no item Senha, tornando-a difícil de descobrir. Embora muito eficiente, esse esquema peca ainda em relação ao item custo da solução. O Cartão é um dispositivo e será único para cada usuário. Quanto mais usuários conectados, maior o custo da solução como um todo. . • Biometria É um sistema de autenticação baseado em algo que somos, como impressão digital, retina, voz, ou seja, de uso pessoal e intransferível, dispensando o uso de senhas, cartões ou crachás. Os sistemas baseados em biometria possuem alguns componentes bem definidos, sendo eles: • Sensor: dispositivo de medida, que informa a interface do usuário. Normalmente, esse hardware serve tanto para capturar as informações de autenticação quanto para armazenar as informações individuais de cada usuário. • Medidor: um software de operação, incluindo algoritmo matemático que checará a medida contra um modelo. Os algoritmos mais recentes têm uma flexibilidade maior e estão menos suscetíveis a rejeitar alguém por causa de uma pequena adulteração, como por exemplo, se o resto do modelo estiver de acordo. O sistema por biometria é subdividido em dois eventos: registro e verificação. Cada usuário deve ser registrado pelo administrador do sistema, pois ele faz a verificação se a pessoa está realmente registrada e autorizada. Além disso, é feita a checagem dos níveis de 31 acesso que cada usuário pode ter. Quando o usuário precisa ser autenticado, sua característica é capturada pelo sensor, e a informação analógica é convertida para sua representação digital. Para que este dispositivo funcione corretamente, o administrador de sistemas precisa configurar um valor de aceitação adequado. Caso o mesmo esteja com um nível de configuração muito baixo, o dispositivo falha, por ser tratar de um mecanismo de autenticação inválido. Se a sua configuração for muito alta, os usuários terão problemas de autenticação. Utilizar a impressão digital para ligar um computador ou permitir acesso é algo cada vez mais difundido, apesar de causar transtornos por ser feito de forma pessoal. A vantagem sobre os outros sistemas é que o usuário é identificado por características únicas, pessoais e intransferíveis, dispensando o uso de senha, cartões ou crachás. É utilizado tanto para controle de acesso físico como para controle de acesso lógico. • Autenticação em Protocolo Ponto-a-Ponto (PPP) Para estabelecer a conexão entre dois pontos, cada entidade precisa trocar pacotes referentes ao controle do link. Dentre as informações trocadas, está o tipo de autenticação que será feito entre elas. A autenticação desse protocolo é sempre unidirecional, mesmo que as duas entidades sejam autenticadas. Tanto o cliente quanto o servidor precisam negociar método de autenticação e executa-la em fases separadas. Os tipos de autenticação no protocolo ponto-aponto são: - Password Autentication Protocol (PAP) Nesse protocolo não existe privacidade no envio do nome de usuário e senha. O processo é repetido várias vezes para que o servidor faça a autenticação. A desvantagem desse protocolo é a falta de controle sobre a quantidade de conexões e a vulnerabilidade caso ocorra um ataque de força bruta. - Challenge Handshake Autentication (CHAP) 32 Esse método possui três fases, sempre iniciado pelo servidor. Depois que o link é estabelecido, o servidor envia um desafio para o cliente, selecionado de forma aleatória dentro de um conjunto preestabelecido de desafios e resposta. O cliente devolve a resposta ao servidor, que irá valida-la no banco de dados, autorizando ou não o usuário. Tem várias vantagens. Como é o servidor que inicia o protocolo de autenticação, ele pode controlar o número de respostas inválidas e negar temporariamente o usuário remoto após algumas tentativas frustradas de validação. - Extensible Autentication Protocol (EAP) É um protocolo que suporta múltiplos mecanismos, diferente dos protocolos PAP e CHAP, que são mais simples. O EAP permite vários métodos, criando duas fases: a primeira de controle de link e a segunda de escolha de método de autenticação. Funciona como um protocolo de negociação de protocolos de autenticação. Passada a fase do link, o servidor envia ao cliente uma sugestão de método de autenticação. O cliente pode aceitar ou negar. Embora permita vários métodos de se autenticar, somente um mecanismo será utilizado. Dessa forma, os métodos mais fracos podem ser explorados por alguém mal-intencionado. - Remote Authentication Dial-In User Service (RADIUS) Esse protocolo usa uma arquitetura cliente-servidor e, com isso, adiciona um novo elemento, o Network Access Server, ou servidor de acesso. A sua função é permitir conexão remota via linha discada, gerenciar esses pedidos e liberá-los ou não. Quando a conexão é estabelecida, o NAS solicita um nome de conta e senha para efetuar a autenticação e depois cria um pacote que contém informações que identificam o NAS que está fazendo a solicitação. - Session Key (S/KEY) 33 Esse método de autenticação gera uma senha em tempo real, entre o usuário e o servidor, baseados numa palavra secreta previamente compartilhada entre os dois lados. Dessa forma, quando uma nova senha é gerada de acordo com a seleção aleatória, é enviada ao servidor que irá compará-la com várias outras possíveis, também baseadas na frase secreta. Assim, autorizando ou não o acesso. - Trusted Third-Party Autentication Nas construções de VPN´s em que vários usuários estabelecem redes virtuais, torna-se cada vez mais importante separar as tarefas e delegá-las para uma terceira entidade, que irá centralizar e realizar várias funções relativas à autenticação de cada usuário. Quando o usuário tiver que ser autenticado em um servidor, a terceira entidade fornece um conjunto de credenciais para que ele possa se autenticar. - Kerberos O sistema de autenticação Kerberos fornece credenciais que atestam a identidade do usuário ou serviço. Porém ele trabalha com um terceiro elemento: servidor de autenticação. Assim como o Radius, o Kerberos é um sistema para uma arquitetura distribuída. Logo deve suportar autenticação para diferentes domínios que servem a vários contextos de autenticação. Ele é muito eficiente e bastante utilizado, mas tem uma debilidade relacionada ao tempo de validade do ticket. O servidor gera um ticket baseado no tempo do relógio da própria máquina. O cliente também enviou uma hora e data baseado no seu relógio. O servidor irá validar de acordo com o próprio relógio. Se os três relógios não estiverem sincronizados o ticket será gerado fora da validade, ou seja, com uma data posterior ou anterior e a autenticação não será concluída. 34 2.2 PROTOCOLOS USADOS NA REDE PRIVADA VIRTUAL Os protocolos servem para definir como os pacotes serão encapsulados e como será gerada a chave de criptografia e outros métodos de autenticação. Alguns protocolos fazem exclusivamente o tunelamento. Existem outros que conseguem agregar criptografia, autenticação e integridade às VPN´s. Estão descritos a seguir protocolos que serão analisados dentro do contexto da VPN: • Protocolo Point-to-Point Tunneling Protocol (PPTP) Protocolo de tunelamento para acesso discado. Só faz criptografia dos dados se forem escolhidos métodos específicos de autenticação em que seja possível a troca de uma chave única, já que a criptografia é simétrica. Não faz autenticação de pacotes. Com isso, ele não é adequado para construção de VPN. • Protocolo Layer Two Tunneling Protocol (L2TP) O L2TP foi construído para suportar dois modos de tunelamento: o voluntário e o compulsório. O túnel voluntário é iniciado pelo computador remoto, sendo mais flexível para usuários em trânsito que podem discar para qualquer provedor. Já o túnel compulsório é automaticamente criado, sendo iniciado sob conexão discada. O protocolo de tunelamento L2TP, bem como PPTP e o L2F sofre falta de mecanismos sólidos de proteção ao túnel. O L2TP não provê um mecanismo de gerência de chaves para a criptografia e autenticação, sendo necessário usar o IPSec para suprir essa necessidade para a criptografia e gerenciamento de chaves. Só é possível fazer a criptografia dos dados se forem escolhidos métodos específicos de autenticação em que seja possível a troca de uma chave única, já que a criptografia é simétrica. Não faz autenticação de pacotes em ambiente Windows. Recomenda-se a utilização do L2TP/IPSec para suprir as deficiências do protocolo. Por isso ele não é adequado para construção de VPN. • Protocolo Layer Two Forwarding Protocol (L2F) 35 Construído na mesma época do PPTP, a Cisco, a Northern e parte da Intel estavam desenvolvendo a proposta do L2F, que tinham como missão permitir que provedores de acesso ou empresas de telecomunicações oferecessem ao mercado acesso remoto para redes privadas. Seu funcionamento consiste num túnel formado por provedor de acesso e não por computador remoto, sendo chamados de túneis involuntários ou compulsórios. A grande desvantagem do L2F é a mesma do PPTP, ou seja, não defini criptografia e encapsulamento de dados. Todos os protocolos descritos têm suas vantagens e características, mas o que vem crescendo e o mais utilizado numa VPN é o IPSec. 2.3 PROTOCOLO IPSEC “IPSec é um conjunto de protocolos desenvolvido para proteger o tráfego dos pacotes IP” (KOLESNIKOV, 2002). IPSec não é o mecanismo de encriptação ou autenticação, mas sim, uma forma de gerenciar esses mecanismos. Em poucas palavras, é um framework (um conjunto de diversas ferramentas, compondo um sistema) de padrões abertos que visa garantir uma comunicação segura em redes IP. Baseado em padrões desenvolvidos pela Internet Engineering Task Force (IETF), organização que desenvolve os padrões da Internet, o IPSec busca garantir confidencialidade, integridade e autenticidade nas comunicações de dados em uma rede IP pública. O IPSec tem o objetivo de tratar todos os ataques na própria camada de rede para que não sejam necessárias modificações nos terminais (host) ou aplicativos. Um dos meios para se conseguir isso, por exemplo, é através da implementação de IPSec nos roteadores de borda, por onde passa todo o tráfego externo de uma empresa/instituição. Desse modo, a segurança atuaria de forma transparente para o usuário. Sua principal característica é garantir a segurança da comunicação. Para isto, ele utiliza os conceitos de autenticação, proteção à integridade, a ataques e confidencialidade. Baseado em um modelo ponto-a-ponto, no qual dois computadores, para trocar informações de maneira segura, usando IPSec, devem "concordar" com um conjunto comum de regras e definições. Com o uso das tecnologias associadas, os dois computadores são capazes de se 36 autenticar mutuamente e manter uma comunicação segura, com dados criptografados, mesmo usando um meio não seguro, como a Internet. Um bom exemplo para o uso do IPSec seria a rede local de uma empresa, onde se quer garantir a segurança das informações que são trocadas entre a estação de trabalho do Presidente da empresa e as estações de trabalho da diretoria. Quando um dos diretores acessar um arquivo em uma pasta compartilhada, no computador do Presidente da empresa, utilizando o IPSec, os dados enviados através da rede são criptografados para garantindo um nível adicional de segurança. Esse é um exemplo típico onde a utilização do protocolo IPSec é recomendada. Há possibilidade de configurar os computadores do Presidente e dos diretores, para que somente aceitem comunicação via IPSec. Com isso, esses computadores poderão trocar informações entre si, mas outros usuários, que não estejam habilitados ao IPSec, não poderão se comunicar com quem tem o IPSec habilitado. O IPSec não impossibilita que os usuários instalem outro software de proteção, é um conjunto de protocolos para auxiliar na segurança da informação. Seu funcionamento depende muito dos componentes a serem utilizados, existindo diversos tipos de proteções disponibilizadas. Para que se entenda o perfeito funcionamento desta tecnologia, serão abordados os componentes mais importantes, tais como: os dois modos de pacotes criados, as associações seguras, o gerenciamento das chaves públicas e privadas, além da manipulação dos pacotes de dados. Todas estas características objetivam o tráfego das informações da maneira mais segura possível. O IPSec possui uma arquitetura aberta no sentindo de possibilitar a inclusão de outros algoritmos de autenticação de cabeçalho, de encapsulamento seguro do dado e de procedimentos de gerência de chaves. A Associação de Segurança, ou Secutity Association (SA) é um dos conceitos fundamentais do IPSec, pois define as medidas de segurança que devem ser aplicadas aos pacotes baseados em quem os está enviando, para onde eles estão indo e que tipo de dados eles estão conduzindo. Uma SA é identificada por três parâmetros: endereço IP de destino, identificação do protocolo de segurança e o índice de parâmetro de segurança Security Parameter Index (SPI). O SPI é o número que identifica uma SA, sendo definido durante a negociação que antecede o estabelecimento desta. Assim, todos os membros de uma SA devem conhecer o SPI correspondente e usá-lo durante a comunicação. 37 Uma SA pode ser estabelecida de dois modos diferentes: uma por transporte e outra por túnel. No modo transporte uma Associação de Segurança é estabelecida entre dois hosts. No caso de uma Encapsulation Security Payload (ESP11), uma SA em modo transporte provê serviços de segurança somente para os protocolos de mais alto nível, não incluindo os cabeçalhos IP ou os cabeçalhos de extensão que precedem o ESP. Uma SA em modo túnel é uma SA aplicada a um túnel IP, quando pelo menos um dos membros da SA for um gateway. Para que esses objetivos sejam alcançados, existem dois protocolos que são oferecidos: o Authentication Header ou Autenticação de Cabeçalho (AH) e o Encapsultion Security Payload ou Encapsulamento Seguro de Dados (ESP). Esses dois protocolos garantem interoperabilidade, pois eles estabelecem que todas as implementações suportem alguns algoritmos predefinidos. Esse dois protocolos de grande importância numa VPN serão detalhados a seguir: • Authentication Header – AH O protocolo AH oferece segurança adicional ao protocolo IP, fornecendo autenticação, anti-repetição e serviços de integridade para o pacote inteiro, sem criptografar os dados. Dessa forma, o destinatário pode ter a certeza que os dados foram realmente enviados pelo remetente que consta na mensagem. Os pacotes passam a estar protegidos pelo protocolo AH que insere um cabeçalho dentro do pacote a ser protegido. Esse protocolo fornece também autenticidade e integridade aos dados. No entanto, não há garantia de que as informações enviadas pela rede tenham sido vistas apenas pelo destinatário, ou seja, o AH não garante a confidencialidade. Adiciona autenticação, integridade e garante autenticidade do pacote, de forma que não foi alterado durante a transmissão, sendo usado no modo transporte ou túnel. O protocolo AH previne contra ataques do tipo: 11 Protocolo que fornece autenticação, confiabilidade das informações por meio de criptografia. 38 • Replay: quando o atacante intercepta um pacote válido e autenticado pertencente a uma conexão, replica-o e o reenvia, "entrando na conversa". A utilização do campo Sequence Number ajuda na prevenção a esse tipo de ataque, pois permite numerar os pacotes que trafegam dentro de uma determinada SA; • Spoofing: quando o atacante assume o papel de uma máquina confiável para o destino e, dessa forma, ganha privilégios durante a comunicação. A autenticação previne esse tipo de ataque; • "Roubo de conexões" (connection hijacking): quando o atacante intercepta um pacote no contexto de uma conexão e passa a participar da comunicação. A utilização de mecanismos de autenticação previne este tipo de ataque. O formato dos campos do protocolo AH segue conforme a figura 5. Figura 5 - Formato do Protocolo AH Abaixo, a descrição dos campos do Cabeçalho de Autenticação: 39 • Próximo cabeçalho - Contém o identificador do protocolo do próximo cabeçalho. É o mesmo valor atribuído ao campo Protocolo no cabeçalho IP original; • Reservado – 16 bits reservados para a extensão do protocolo; • SPI – esse índice, em conjunto com o protocolo AH e o endereço fonte, identifica unicamente uma SA para um determinado pacote; • Número de Seqüência – Contador que identifica os pacotes pertencentes a uma determinada SA. A utilização desse campo ajuda na prevenção dos ataques replay, pois permite numerar os pacotes que trafegam dentro de uma determinada SA; • Dados de Autenticação – Campo de comprimento variável que contém o ICV (Integrity Check Value) para este pacote, que é o calculado seguindo o algoritmo de autenticação usado, definido pela SA. O protocolo AH funciona em dois modos, o modo transporte e modo túnel. • Modo Transporte AH Neste modelo, o cabeçalho original é mantido no novo pacote IP e um cabeçalho de autenticação é inserido entre o cabeçalho original e a parte de dados, conforme mostra a figura 6. Suas características importantes são: • Definido pelo protocolo IP tipo 51; • Utilizado para criar canais seguros com autenticação e integridade, mas sem criptografia; • Permite incluir “assinatura digital” em cada pacote transportado; • Protege a comunicação, pois atacantes não conseguem falsificar pacotes assinados. 40 Figura 6 - Modo Transporte no protocolo AH • Modo Túnel AH Nesse modelo um novo cabeçalho é criado para o novo pacote IP e o cabeçalho de autenticação é inserido entre o cabeçalho original e o novo cabeçalho. O AH não garante a confidencialidade. Para acrescentar essa funcionalidade o IPSec utiliza o protocolo ESP, que cifra os dados antes da transmissão. Os protocolos ESP e AH podem ser utilizados em conjunto para garantir uma maior segurança. Suas características importantes são: • O modo de túnel AH encapsula um pacote IP com um cabeçalho de AH e um cabeçalho IP e assina todo o pacote para integridade e autenticação; • Fornece segurança para camada IP; • Utilizado geralmente em comunicação de roteadores A figura 7 mostra os campos do protocolo AH em modo túnel. 41 Figura 7 - Modo túnel no protocolo AH • Encapsulation Security Payload – ESP O protocolo de Encapsulamento Seguro de Dados fornece autenticação, confiabilidade das informações por meio de criptografia e proteção. O algoritmo de criptografia utilizado é configurado na SA, na qual o pacote IP é enviado, sendo que cada pacote deve conter informações necessárias para o sincronismo de sua criptografia, permitindo a sua descriptografia. Caso nenhum algoritmo de criptografia seja utilizado, o que é uma situação possível no padrão, o protocolo ESP só oferecerá o serviço de autenticação. O protocolo ESP adiciona a autenticação e a confidencialidade, garantindo que somente os destinatários autorizados tenham acesso ao conteúdo do pacote. O ESP pode ser usado no modo transporte ou no modo túnel, como será descrito posteriormente. O uso do ESP previne ataques do tipo: • Replay, através da utilização do campo Sequence Number, de maneira análoga ao AH; • Particionamento de pacotes cifrados, que é o que acontece quando o atacante obtém partes de pacotes cifrados e consegue montar um pacote que pode ser aceito por um dos membros da conexão. O uso de autenticação previne este tipo de ataque; • Sniffer, ou seja, quando o atacante obtém os pacotes que trafegam na rede. A utilização da criptografia previne este tipo de ataque. 42 A figura 8 mostra um exemplo dos campos do protocolo ESP. Figura 8 - Campos do Protocolo ESP. Assim como no protocolo AH, o ESP também tem dois modos de funcionamento. • Modo Transporte ESP No modo transporte o cabeçalho ESP é inserido entre o cabeçalho IP e os Dados, adicionando os campos “Dados de Autenticação” e “Segmento de Autenticação”. Se o pacote original já tiver um cabeçalho de segurança IPSec, esse novo pacote será colocado antes do cabeçalho IPSec já construído. No modo transporte, o ESP criptografa e, opcionalmente, autentica o IP, mas não o cabeçalho IP. Já o AH autentica o payload IP e partes selecionadas do cabeçalho IP. A figura 9 mostra a estrutura dos campos do modo transporte ESP. 43 Figura 9 - Modos transporte no protocolo ESP • Modo Túnel ESP No modo túnel todo pacote original é colocado dentro de um novo pacote, sendo gerado um novo cabeçalho IP e cabeçalho ESP, bem como adiciona os campos “Dados de Autenticação” e “Segmento de Autenticação”. O modo túnel é empregado quando um ou ambos os lados de VPN for um gateway de segurança, como um firewall ou um roteador que implemente IPSec. Com o modo túnel, os hosts de uma rede local protegida por um firewall podem efetuar comunicações com segurança sem implementá-lo . Os pacotes não protegidos gerados a partir destes hosts são encaminhados por túneis criados por software pelo firewall ou, em outros casos, em um roteador de borda da rede local. Além de usar os protocolos AH ou ESP individualmente, tem suporte para combinações dos dois modos. A idéia é utilizar um túnel para a autenticação dos cabeçalhos internos do pacote IP original, e aplicar o AH, o ESP ou ambos externamente no modo de transporte, para ampliar a proteção para o novo pacote e novo cabeçalho externo, conforme descrito anteriormente. Deve-se observar que, no modo túnel, o AH e o ESP não podem ser utilizados simultaneamente, já que o ESP tem seu próprio esquema de autenticação. 44 Figura 10 - Modos túnel no protocolo ESP Outros componentes que trabalham em conjunto com o IPSec são: • Banco de dados de Segurança Dois bancos de dados são utilizados pelo IPSEC: o banco de dados de políticas de segurança Security Policy Database (SPD) e um banco de dados da associação de segurança Security Association Database (SAD). O Banco de Dados de Associação de Segurança contém um conjunto de parâmetros associados à Security Association (SA). Cada SA tem uma entrada nesse banco, especificando tudo que é necessário ao processamento do IPSec para cada pacote IP pertencente à SA. As informações armazenadas no banco são: • Índice dos parâmetros de segurança (SPI): é um número que identifica a SA dentro do SAD; • O protocolo utilizado na SA, pode ser ESP ou AH; • O modo no qual a SA está operando, podendo ser túnel ou transporte; • Contador seqüencial do pacote IP dentro da SA; • Número máximo de unidades de transmissão; 45 • Endereço IP de origem da SA; • Endereço IP de destino da SA; • Algoritmo de autenticação e sua chave de autenticação; • Algoritmo de criptografia e sua chave de criptografia; • Tempo de vida da chave de autenticação e da chave de criptografia; • Tempo de vida da SA. O Banco de dados de políticas de segurança contém a lista de regras a serem aplicadas ao pacote IP. Políticas de segurança são regras que especificam como o pacote IP deve ser processado independente da SA. • Gerenciamento de Chaves Conforme os serviços de segurança IPSec compartilham chaves secretas, que são utilizadas para autenticação, integridade e criptografia, as especificações do IPSec, definem um conjunto separado de mecanismo para o gerenciamento de chaves. Para uma distribuição manual e automática de chaves, foram especificados procedimentos baseados em chaves públicas sendo possível utilizar ISAKMP/OAKLEY (Internet Security Association and Key Management Protocol). O ISAKMP define o método de distribuição de chave e o OAKLEY, define como as chaves são geradas. Internet Key Exchange O IKE é Baseado no protocolo ISAKMP (Internet Security Association and Key Management Protocol) e parte da implementação Oakley e SKEME (Secure Key Exchange Mechanism) como métodos de troca de chaves. O ISAKMP define duas entidades que instituirão um canal de comunicação seguro entre elas, fazendo com que os participantes se autentiquem entre eles trocando as informações de chaves e negociando serviços de segurança, pois não especifica como a autenticação é feita ou quais as chaves são geradas. É definido um caminho seguro ou veículo de transporte, deixando o conteúdo para que outro processo o especifique. 46 A figura 11 mostra os campos do cabeçalho ISAKMP. Figura 11 – Campos do cabeçalho ISAKMP O ISAKMP tem duas fases na negociação da associação de segurança. A primeira etapa é a negociação entre duas entidades ISAKMP. Nessa fase, as duas entidades concordam em como proteger a comunicação futura entre elas, estabelecendo uma confiável associação de segurança. Na segunda etapa é uma associação de segurança para outros protocolos. No caso IPSec, é negociada entre as entidades. Como o canal entre as entidades já foi estabelecido na fase um, essa fase é mais rápida. Normalmente, é nela que se negocia a SA do IPSec. 2.4 CONSIDERAÇÕES A VPN proporciona um túnel virtual com meio seguro de transporte de dados entre computadores. Além disso, essa forma de comunicação é segura e de baixo custo. Existem diversas opções de protocolos para a interoperabilidade de redes VPN, entretanto, o IPSec é a melhor opção. O IPSec está sendo adotado por muitas empresas como o protocolo padrão de 47 gerenciamento da encriptação e autenticação, pois ele consegue garantir a confidencialidade, integridade e autenticidade de conexões VPN que utilizam a Internet como meio de comunicação. Além disso, com a utilização dos protocolos AH e ESP, o IPSec oferece uma segurança adicional ao pacote IP. Além do conhecimento teórico e das tecnologias utilizadas em uma rede VPN é preciso conhecer e utilizar ferramentas para a configuração, gerenciamento e implantação de redes VPN. Existem diversas ferramentas disponíveis no mercado, entretanto, é preciso saber escolher a ferramenta que atenda as suas necessidades. 48 3 – FERRAMENTAS DE REDE PRIVADA VIRTUAL O crescimento de usuários na Internet fez surgir a demanda por ferramentas comunicação para proporcionar segurança aos usuários. Diante disso, John Gilmore, profissional da área de segurança de dados, envolveu-se em um projeto na tentativa de prover segurança para 5% do tráfego da Internet, contra a espionagem de dados. De acordo com Gilmore é possível alcançar um total de 100% de segurança e privacidade nos dados trocados na Internet. Para isso, é preciso mobilizar e criar uma rede cooperativa de profissionais com objetivo de disseminar e ampliam o uso das tecnologias de segurança e privacidade (GILMORE, 2001). O projeto intitulado S/WAN ou (Secure Wide Area Network) passou a se chamar FreeS/WAN, pois como se tratava de um software livre, o objetivo era diferenciar esse projeto de outras implementações comerciais. Além do FreeS/WAN, existem outras ferramentas para a implementação de redes VPN, porém será descrito alguns que são bastantes utilizados em VPN e que sejam Freeware (distribuídos livremente). 3.1 FREES/WAN “O projeto FreeS/Wan é uma implemantação para Linux do protocolo IPSec, que provê criptografia e autenticação à serviços baseados no protocolo IP, fundado pelo americano John Gilmore, mas foi desenvolvido por um grupo de canadenses. Não foi possível, no início da iniciativa, desenvolver o projeto nos Estados Unidos da América, pois as leis americanas proíbem a exportação de qualquer software criptográfico. A idéia é colocar computadores rodando GNU/Linux entre o computador do usuário e o resto da Internet, de preferência no provedor do usuário. Sempre que o usuário acessar uma máquina (um site na Internet por exemplo) que não suporte criptografia, o tráfego vai em “texto simples”, como de costume. Quando a máquina suportar, a criptografia então é ativada. Praticamente, cada pacote é colocado dentro de um “envelope” de um lado da rede, e removido do “envelope” quando chega ao seu destino. Isso tudo para qualquer tipo de tráfego na Internet, incluindo acesso à Web, Telnet, FTP, E-mail, IRC, Usenet, etc. 49 Esse sistema de criptografia funciona da seguinte forma: cada pessoa instala esse sistema para o seu uso pessoal, torna-se mais favorável para as pessoas à sua volta aderirem ao movimento. O software automaticamente verifica as novas máquinas instaladas, e não necessita de nenhum administrador de rede para configurá-la. O projeto FreeS/WAN tem como objetivo incluir a segurança diretamente no centro da Internet, ou seja, fazer com que a Internet já tenha um nível de segurança nativo, para que seja tão simples estabelecer uma conexão segura quanto fazer qualquer outro tipo de conexão na Internet. Além disso, o projeto visa a padronização do IPSec em relação a outros protocolos de tunelamento e está disponível livremente na Internet, sobre a licença GNU GPL. O site oficial do FreeS/WAN é http://www.freeswan.org/, conforme mostra a figura 12. Figura 12 – Site Oficial do Projeto FreeS/WAN O projeto tem como objetivo: 50 • Ajudar o IPSec a se tornar, de fato, um padrão mundial amplamente utilizado; • Disponibilizar uma implementação do IPSec sem restrições, com código-fonte disponível livremente; • Rodar em diversas plataformas de hardware; • Prover uma implementação de IPSec para Linux de alta qualidade, • Suportar todas as plataformas que rodem o Linux; • Estender o IPSec a fazer criptografia para que qualquer conexão seja feita de maneira automática, sem nenhuma necessidade prévia de configuração; • Garantir que a segurança de conexão entre dois pontos seja feita por padrão; • Criptografar uma significante fração de todo o tráfego da Internet. Algumas distribuições de GNU/Linux incluem o FreeS/WAN. Em alguns países, o controle governamental sobre a criptografia não é tão forte como nos Estados Unidos. Dentre as distribuições que incluem o FreeS/WAN: • SuSE GNU/Linux (Alemanha); • Conectiva GNU/Linux (Brasil); • Edição de Servidor do Corel GNU/Linux (Canadá); • Polish(ed) GNU/Linux Distribution (Polônia); • Trustix Secure GNU/Linux (Noruega); • Debian GNU/Linux (sito em áreas "non-US"); • Mandrake GNU/Linux (França). Outras distribuições que não incluem o FreeS/SWAN, pode-se fazer o download da ferramenta através do site do projeto. Além disso, os principais sistemas operacionais proprietários também suportam o IPSec, dentre eles: • Microsoft Windows; • Apple Mac OS X; 51 • OS390 da IBM suporta a criptografia através de um co-processador; • Solaris 8 da Sun; • HP-UX da Hewlett Packard. “A desempenho do FreeS/WAN, de acordo com testes realizados por usuário da ferramenta ao redor do mundo, um 486/66 é o mínimo necessário para suportar um link T1 (10 Mbps), utilizando 100% do processador da máquina” (AMADORI, 2001). Se levar em conta outros processos e der metade do tempo do processador para o FreeS/WAN, terá uma taxa de 5 Mbps. Definitivamente, é uma excelente taxa/consumo de processador, levando em consideração a arquitetura e velocidade da CPU. Portanto, o FreeS/WAN provê uma solução econômica e eficaz para a plataforma GNU/Linux, dispensando o uso de equipamentos dispendiosos dedicados à prática de VPN, bastando apenas um microcomputador PC comum, duas placas de rede e um sistema operacional livre disponível amplamente na Internet. É realmente promissora a proposta de tornar o ambiente inseguro da Internet e um espaço totalmente seguro e privado. Apesar de ainda ser muito utilizado, ter uma ampla documentação, infelizmente o projeto FreeS/WAN não está mais em desenvolvimento, porém, tem a sua continuação com o Openswan. 3.2 OPENVPN Outra opção de configuração simples para a implantação de VPN é o OpenVPN. Ela é uma ferramenta que provê a segurança dos acessos remotos. O OpenVPN simplesmente pega a informação a ser enviada, criptografa e envia pela Internet, por um pacote UDP. Ele não tem grandes problemas para passar por firewalls ou roteadores que fazem Network Address Translation (NAT). Utiliza o protocolo padrão da indústria Secure Sockets Layer/Transport Layer Security (SSL/TLS), suporta os métodos flexíveis de autenticação e permite ao usuário criar políticas específicas de controle de acesso. 52 O OpenVPN não é um proxy12 da aplicação e não se opera com um web browser13. Seu download pode ser feito através do site oficial, no endereço http://openvpn.net/download.html, conforme demonstrado na Figura 13. Figura 13 – Download da ferramenta OpenVPN Algumas características do OpenVPN são: • Poder criar túnel para qualquer sub-rede IP ou adaptador ethernet14, por um porte UDP ou TCP; 12 Proxy é um software que armazena dados em forma de cache em redes de computadores. 13 Browser é um programa que habilita seus usuários a interagirem com documentos HTML hospedados em um servidor Web. 14 Ethernet é uma tecnologia de interconexão para redes locais baseada no envio de pacotes. 53 • Usa todas as características de encriptação, autenticação e certificação da biblioteca OpenSSL, para proteger o tráfego privado pela Internet; • Qualquer cifragem, tamanho de chave, para datagrama de autenticação, tem suporte para biblioteca OpenSSL; • Pode-se escolher entre encriptação convencional, baseado em chave estática ou certificados baseados em encriptação de chave pública; • Pode-se criar túneis através de firewalls, sem ter que criar regras específicas; • Ferramenta completamente independente do sistema operacional em que esta instalada, não havendo necessidade de nenhum procedimento quando há atualizações; • Esta ferramenta possibilita todos os recursos do SSL (Secure Socket Layer), podendo oferecer criptografia dos dados com elevados níveis. Possibilita uso de certificados digitais para autenticação, uso de senha e uma versão, que na época deste trabalho estava em testes, possibilitava em ambiente Windows o uso de SmartCard para autorização dos clientes. 3.3 OPENSWAN O Openswan é uma implementação do protocolo IPSec para o sistema operacional Linux. Surgiu a partir do projeto FreeS/Wan. Tem o mesmo intuito, tanto que alguns colaboradores do projeto FreeS/WAN que deram inicio ao Openswan, sendo uma ótima ferramenta também. O Openswan tem sido bastante utilizado e tendo destaque no mercado por dar continuidade ao FreeS/WAN, que atualmente encontra-se sem desenvolvimento a alguns anos. Ele suporta Kernels 2.0, 2.2, 2.4 e 2.6 e funciona em diversas plataformas. Características do Openswan; • Solução baseada no protocolo IPSec, oferecendo segurança; • Ferramenta bastante conhecida na área de TI com Linux; 54 • .Compatibilidade com os sistemas operacionais Unix; • Encontra-se em constante desenvolvimento. A figura 14 apresenta o site oficial da ferramenta, que pode ser acessada no endereço http://www.openswan.org/. Figura 14 - Site Oficial do Projeto Openswan 3.4 CONSIDERAÇÕES As ferramentas de VPN pesquisadas oferecem qualidade e segurança nas conexões VPN. Elas garantem a entrega integra dos dados no destinatário. Além disso, por se tratar de software livre, as falhas serão identificadas e corrigidas rapidamente, pois os desenvolvedores trabalham de forma cooperativa por meio da Internet. 55 Além da facilidade, o projeto Openswan está dando continuidade ao FreeS/WAN, com o auxilio de vários colaboradores se interessassem e se unirem ao projeto. Sua documentação é vasta e pode ser encontrada em sites relacionados ao assunto, o que incentiva seu uso. Para que a VPN e a ferramenta tenha sucesso na conexão e transmissão das informações, não é necessário apenas instalar, e sim analisar diversos fatores, entre eles o local onde o gateway VPN será instalado na rede da empresa. A topologia adotada tem grande influência no custo da implantação da VPN, nas regras de firewall, nas políticas de segurança, além da performance, pois tem todo o fluxo por onde os dados irão passar. É esse levantamento que será visto no capítulo 4. 56 4 – TOPOLOGIAS PARA REDE VIRTUAL PRIVADA O objetivo principal de uma VPN é prover o suporte criptográfico de uma conexão segura entre dois computadores. A configuração e gerência da VPN é muito importante para evitar o acesso indevido aos dados. Em alguns casos é necessário fazer uma revisão na política de segurança, na topologia da rede e na estrutura da empresa para que a VPN seja utilizada de forma eficaz. A topologia de rede está relacionada à forma como os micros são ligados fisicamente entre si, ou seja, o tipo e a distribuição dos cabos de rede. Dependendo da topologia adotada, ela apresenta vantagens e desvantagens. Por isso, a escolha é um fator importante. A implantação de uma VPN dentro da estrutura de segurança de uma rede de computadores apresenta-se como um problema delicado. Deve-se estar atento a todos os aspectos envolvidos, pois uma configuração errada pode comprometer a segurança da rede como um todo. No caso da colocação de um serviço de VPN em uma rede já existente, esse fato pode implicar na revisão da topologia de segurança, com o objetivo de assegurar as premissas já adotadas. Segundo o professor universitário José Pinheiro, há algumas regras para a colocação de um gateway VPN, que são as seguintes: • Não deve comprometer a política geral de segurança da rede; • Sua localização não deve se constituir num único ponto de falha; • Deve aceitar tanto tráfego criptografado como não criptografado da rede confiável; • Deve defender-se de ataques vindos da Internet. Serão analisadas diversas configurações referentes a localização da VPN dentro da rede da empresa e ao término, uma indicação de uma topologia eficácia. Foram analisadas as seguintes topologias de implantação do gateway VPN: • Dentro do firewall; • Em frente ao firewall; • Atrás do firewall; 57 • Paralelo ao firewall; • Ao lado do firewall; • Junto com outros equipamentos da DMZ15 (DeMilitarized Zone); • Em DMZ separada; • Em múltiplas DMZ´s. 4.1 GATEWAY VPN DENTRO DO FIREWALL É a opção que parece mais natural, pois toda a segurança da rede é feita por uma única máquina, consequentemente, há uma redução de custos, pois não será necessário investir em mais equipamentos. Essa opção de arquitetura deve considerar o possível aumento de complexidade das regras de filtragem, pois muitas vezes é necessário lidar com cenários complexos de acesso de clientes VPN. Teoricamente é uma configuração que uniformiza a administração e o gerenciamento dos componentes da rede. Entretanto, não é uma solução viável devido às limitações na habilidade de roteamento, de execução da criptografia de chave pública e no chaveamento entre sessões cifradas. Figura 15 - Exemplo de gateway VPN dentro do firewall “Essa solução constitui um único ponto de falha, pois um ataque à VPN pode comprometer toda a estrutura do firewall” (PINHEIRO, 2004). 15 Conhecida como Rede de Perímetro, a DMZ é uma pequena rede situada entre uma rede confiável e uma não confiável, geralmente entre a rede local e a Internet. 58 4.2 GATEWAY VPN EM FRENTE AO FIREWALL Um gateway VPN em frente a um firewall, como o ponto de conexão à Internet, apresenta falhas, podendo ser explorado por um intruso. Essa configuração permite a passagem de dados criptografados ou não através do gateway VPN. Nesse caso ele recebe os dados sem qualquer tipo de análise, pois os dados não passaram antes pelo firewall. Um gateway VPN não é o equipamento adequado para a conexão direta com a Internet, pois não está preparado para proteger a rede da invasão de intrusos. Figura 16 - Exemplo de gateway VPN em frente ao firewall Porém, segundo Lino Silva, a idéia dessa topologia é que o tráfego VPN seja inspecionado pelo firewall depois que os pacotes saiam da rede virtual. “Temos alguns fatores a considerar, como o gateway VPN estar exposto ao mundo externo e sujeito a qualquer tipo de ataque. Caso o gateway ficar comprometido ou pare suas atividades por falha, todo o tráfego pode parar, tornando sua rede indisponível” (SILVA, 2003). Como essa topologia não existe controle de acesso, ou seja, usuários remotos irão se conectar ao gateway VPN, que irá descriptografar os dados e repassá-los ao firewall, sem 59 analisar os serviços e portas. O usuário que pretende acessar, terá que se autenticar mais de uma vez, pois o gateway VPN não compartilha informações. 4.3 GATEWAY VPN ATRÁS DO FIREWALL Nessa configuração a proteção é fornecida pelo firewall, pois os dados originários da Internet com destino a rede interna passam primeiro pelo firewall. Dessa forma, é necessário configurar uma rota específica para redirecionar o transporte dos dados destinados ao gateway VPN. O ponto fraco dessa configuração é que o firewall não poderá filtrar ou analisar os dados descriptografados originários do gateway VPN com destino a rede interna, pois eles não passarão mais pelo firewall. Portanto, haverá o risco de invasão a partir do gateway VPN. A figura 17 apresenta a topologia proposta. Nessa topologia o firewall pode ficar congestionado e prejudicar o desempenho da rede, pois todo trafego destinado exclusivamente ao gateway VPN passará obrigatoriamente pelo firewall. Figura 17 - Exemplo de gateway VPN atrás do firewall A vantagem dessa configuração é que o gateway VPN não fica exposto e vulnerável a ataques originários da Internet, pois os dados passarão primeiro pelo firewall que irá proteger o gateway e a rede interna. 60 “O firewall deverá “deixar passar” todo tráfego pertinente ao gateway VPN. Com isso todos os pacotes pertencentes à rede só serão analisados depois que passarem pelo firewall. Caso não sejam pertinentes à conexão de VPN, o gateway VPN deverá descartá-los. Não entendi. Parece que você está desdizendo o que disse antes” (PINHEIRO, 2004). 4.4 GATEWAY VPN PARALELO AO FIREWALL O gateway VPN paralelo ao firewall propõe a separação do tráfego da VPN do tráfego da Internet. Os dados originários da Internet terão duas opções após a saída do roteador. Os dados com destino ao gateway VPN serão encaminhados diretamente para ele e os dados com destino a rede interna serão encaminhados ao firewall. Nesse caso o gateway VPN só permitirá o transporte de dados criptografados. A vantagem dessa configuração é a distribuição e balanceamento do transporte de dados de acordo com o destino. O transporte de dados com destino ao gateway VPN não passarão pelo firewall e vice e versa. Entretanto, essa configuração apresenta a desvantagem da vulnerabilidade do gateway VPN que estará exposto a tentativa de invasão, pois ele não possui as funcionalidades de um firewall. A figura 18 apresenta a topologia dessa proposta. Figura 18 - Exemplo de gateway VPN paralelo ao firewall 4.5 GATEWAY VPN AO LADO DO FIREWALL Essa topologia propõe a instalação de uma interface de rede adicional no firewall, criando dessa forma um segmento de rede adicional exclusivo para o gateway VPN. O 61 transporte de dados criptografados com destino ao gateway VPN serão reencaminhados pelo firewall. Após a análise e descriptografia feita pelo gateway VPN os dados passarão novamente pelo firewall. Nesse momento, o firewall fará a análise e filtragem dos pacotes com destino a rede interna para evitar a entrada de fluxo malicioso originário do gateway VPN que em seguida irá reencaminha-lós a rede interna. Essa proposta é bem interessante, pois não deixa o gateway VPN exposto a ataques originários da Internet. Além disso, os dados criptografados destinados ao gateway VPN são redirecionados diretamente sem uma análise prévia e apenas no retorno para a rede interna é que serão analisados pelo firewall. Esse procedimento diminui muito o congestionamento do firewall. De acordo com Pinheiro, essa configuração apresenta uma melhor eficácia que as propostas anteriores. A figura 19 apresenta o funcionamento dessa topologia (PINHEIRO, 2004). Figura 19 - Exemplo de gateway VPN ao lado do firewall 4.6 DEMILITARIZED ZONE (DMZ) Antes de analisar a topologia do gateway VPN combinado com DeMilitarized Zone (DMZ), conhecida também de zona desmilitarizada ou rede de perímetro, será explicado o que se trata e qual a função de uma DMZ. É uma pequena rede situada entre uma rede confiável e uma não confiável, geralmente entre a rede local e a Internet. 62 A função de uma DMZ é manter todos os serviços que possuem acesso externo (HTTP, FTP, etc) separados da rede local limitando o dano em caso de comprometimento de algum serviço nela presente por algum invasor. Para atingir este objetivo os computadores presentes em uma DMZ não devem conter nenhuma rota de acesso à rede local. O firewall é o ponto divisor entre a rede interna e a externa, no qual o tráfego que entra e sai por ele é vigiado, filtrado e, algumas vezes, modificado. Entretanto, existe ainda uma terceira rede que não corresponde nem à rede externa, nem à interna. Essa rede é a chamada DMZ, que é uma rede configurada separadamente da rede privada da organização e da Internet. A DMZ permite o acesso de usuários externos aos servidores específicos localizados na rede de perímetro, ao mesmo tempo em que evita o acesso à rede corporativa interna. Ela tem como papel principal ser uma espécie de rede "tampão" entre as redes externa e interna, ou seja, manter todos os serviços que possuem acesso externo (http, FTP, etc) separados da rede local, limitando o dano em caso de comprometimento de algum serviço. Figura 20 - Exemplo DMZ Para atingir esse objetivo os computadores presentes em uma DMZ não devem conter nenhuma rota de acesso à rede local além de funcionar com o mínimo de recursos possíveis ao oferecer um determinado serviço. O comprometimento de um equipamento qualquer, 63 situado na DMZ, não deve servir para o comprometimento de equipamentos e/ou serviços da rede interna. Qualquer tentativa de ataque deve ficar confinada aos equipamentos situados na DMZ. Outra questão a ser considerada refere-se à posição específica do gateway VPN em relação aos equipamentos da DMZ. A solução não é necessariamente única, pois vai depender da própria estrutura das redes que irão se comunicar através da VPN. Algumas alternativas serão vistas se seguir. 4.7 EM CONJUNTO COM OUTROS EQUIPAMENTOS DA DMZ Nessa configuração, os equipamentos podem ser acessados por usuários não participantes da rede interna. Para o caso de VPN, conectando redes através de uma extranet, os usuários destas redes poderiam ter acesso a serviços disponíveis para qualquer usuário externo, porém de modo criptografado. Entretanto, os pacotes provenientes dessas redes não seriam submetidos às regras de filtragem, pois os pacotes originais, antes da passagem pelo gateway VPN, estariam criptografados, impedindo a filtragem de seu conteúdo. Com isso, uma parte da política de segurança, expressa através das regras de filtragem, não seria aplicada a uma parcela do tráfego da rede. Outra possibilidade é que o tráfego oriundo do gateway VPN pode não estar destinado a qualquer dos servidores situados na DMZ, mas sim para algum destino além. Nesse caso, o tráfego descriptografado seria passível de filtragem antes de alcançar seu destino. Isso não impediria que um usuário malicioso situado, na rede externa, enviasse pacotes aos servidores situados na DMZ, violando a política de segurança e que tenha outro destino que não seja algum equipamento situado na DMZ. Quando o tráfego na VPN envolve uma filial da mesma empresa, ou seja, uma subrede da mesma rede, a situação é bastante parecida. Nessa arquitetura ocorre a mistura do tráfego vindo de uma rede confiável (nesse caso considerando como confiável o tráfego vindo de uma subdivisão da própria rede), com tráfego oriundo de usuários externos. 64 Os equipamentos colocados na DMZ devem ser configurados de modo a funcionar com o mínimo de recursos possíveis ao oferecer um determinado serviço, justamente por estar exposto. Desse modo, pode-se estar restringindo o acesso a informações importantes para membros da rede confiável. Por outro lado, o tráfego poderia ter como destino, servidores situados em outros lugares que não a DMZ. Assim, como no caso anterior, a filtragem do conteúdo dos pacotes que estavam anteriormente criptografados. 4.8 EM DMZ SEPARADA Na DMZ separada não ocorrem muitos dos problemas mencionados anteriormente, pois há um isolamento do tráfego descriptografado com relação ao tráfego vindo direto da Internet. A complexidade de configuração nas regras do filtro é maior, pois tem-se mais uma interface para administração e aplicação dessas regras. Porém, com o uso de software específico, pode-se ter as regras de filtragem a serem aplicadas em determinada interface, em um único bloco separado, de modo a tornar a administração destas políticas mais fácil, controlando-se de modo mais transparente os acessos aos recursos da VPN. Pode-se aproveitar a existência dessa DMZ para incluir também outros serviços necessários aos usuários de extranet ou de redes externas, evitando o acesso desnecessário à rede interna para responder às solicitações de HTTP, FTP e outras, de usuários não totalmente confiáveis (notar que não está sendo realizada novamente a filtragem pós-passagem pelo VPN). 4.9 CONFIGURAÇÃO DE MÚLTIPLAS DMZ´S Nessa situação têm-se um filtro externo e um interno exclusivamente para a VPN. As vantagens são as simplificações de endereçamento, a divisão entre o tráfego de Internet comum, o tráfego para redes confiáveis via VPN e a possibilidade de uma filtragem exclusiva das solicitações de conexões oriundas da faixa de endereços internos atribuídos a máquinas de extranet, parceiros de redes corporativas, de filiais ou de acesso remoto. 65 Qualquer alteração nas regras desse tipo de acesso não acarreta reflexo de filtragem que estão no outro roteador. É claro que uma configuração desse tipo significa uma duplicação de recursos físicos necessários, o que pode ser contornado quando colocados o filtro externo e a VPN em uma única máquina. Algumas soluções disponíveis podem atender a esse tipo de topologia, porém deve-se atentar para o enfraquecimento da segurança quando se tem um único ponto de falha. No caso de uma extranet ou de parceiros corporativos, há também a possibilidade da alocação dos recursos ou equipamentos necessários nessa DMZ. Contudo, perde-se a vantagem da possibilidade de filtragem do tráfego recém-descriptografado, antes que ele alcance qualquer outro equipamento da rede. O tráfego vindo das filiais poderia ser filtrado imediatamente após o seu deciframento, possibilitando a aplicação efetiva das regras, aumentando o nível de segurança em relação ao tráfego vindo das filiais. A figura 21 mostra a topologia de múltiplas DMZ´S. Figura 21 - Exemplo de gateway VPN numa DMZ 66 4.10 ELABORAÇÃO DO QUESTIONÁRIO Após a análise das vantagens e desvantagens das propostas de topologias apresentadas foi feita uma pesquisa junto a empresas que utilizam VPN. Foi elaborado um questionário com o objetivo de verificar na prática com está sendo feito o uso de VPN em empresas de pequeno, médio e grande porte. O questionário foi encaminhado por e-mail para responsáveis pela segurança da informação das empresas pesquisadas. Os resultados obtidos ajudaram a validar a importância de uma configuração e gerencia eficaz da VPN. Além disso, foi constatada a importância desse trabalho no auxilio aos profissionais que já utilizam ou pretendem implantar uma VPN. O questionário é composto das seguintes perguntas: 1 – Há quanto tempo sua empresa utiliza Virtual Private Network (VPN)? 2 – Quais os motivos da utilização da VPN? 3 – Foi feito alguma documentação ou projeto escrito, incluindo uma política de segurança na utilização da VPN? 4 – Houve alguma alteração na topologia ou infra-estrutura da rede antes da instalação da VPN? Se sim, quais foram as modificações e seus motivos. 5 – Onde está instalado o servidor de VPN? (junto ao firewall, antes do firewall, depois do firewall ou na DMZ?). 6 – Quais os motivos da escolha do local de instalação da VPN? 7 – Descrever quais foram as vantagens e desvantagens identificadas na utilização da VPN? 8 - Qual a Ferramenta utilizada na construção da VPN? (OpenVPN, FreeSwan, Openswan). 9 – Quais os motivos de escolha da ferramenta de VPN? 10 - Quais foram as dificuldades, vantagens e desvantagens da utilização dessa ferramenta de VPN? 4.11 ANÁLISE DO QUESTIONÁRIO O questionário foi respondido por 20 empresas de pequeno, médio e grande porte, pública e privada, que atuam na área de tecnologia da informação. Há empresas que utilizam 67 a VPN para uso próprio ou prestando serviços à terceiros. Os resultados obtidos com a aplicação do questionário foram os seguintes: 1 – Há quanto tempo sua empresa utiliza Virtual Private Network (VPN)? 25% 50% 25% 3 anos 4 anos 5 anos Figura 22 – Porcentagem referente ao período de tempo que as empresas consultadas utilizam VPN 2 – Quais os motivos da utilização da VPN? Acesso Remoto 14% 28% Comunicação com Filiais Diminuição de Custos 29% 29% Seguraça da Informação Figura 23 – Porcentagem referente ao motivo das empresas utilizarem VPN 68 3 – Foi feito alguma documentação ou projeto escrito, incluindo uma política de segurança na utilização da VPN? Sim 100% Figura 24 – Porcentagem das empresas que fizeram projeto na utilização de VPN 4 – Houve alguma alteração na topologia ou infra-estrutura da rede antes da instalação da VPN? Se sim, quais foram às modificações e seus motivos. 25% 75% Não Sim Figura 25 – Porcentagem das empresas que alteraram a topologia ou infra-estrutura 69 5 – Onde está instalado o gateway VPN? (ex: junto ao firewall, antes do firewall, depois do firewall lado do firewall, DMZ, etc?). 25% 75% Junto ao Firewall Lado Firewall Figura 26 – Local onde está instalado o gateway VPN 6 – Quais os motivos da escolha do local de instalação da VPN? 50% 50% Economia Menor Complexibilidade Figura 27 – Motivo das em presas consultadas em adotar o uso de VPN 70 7 – Descrever qual foi a vantagens e desvantagens identificadas na utilização da VPN? (Obs: Não foram identificados desvantagens pelas empresas). Vantagens 40% 60% Acesso Remoto Seguro Custo Figura 28 – Porcentagem referente a vantagens de se utilizar VPN 8 - Qual a Ferramenta utilizada na construção da VPN? (OpenVPN, FreeSwan, Openswan) 40% 60% Ferramenta Própria FreeSwan Figura 29 – Porcentagem das ferramentas de VPN utilizada 71 9 – Quais os motivos de escolha da ferramenta de VPN? 22% 45% 22% Suporte 11% Fácil instalação Performance Estabilidade Figura 30 – Motivos pelas quais as empresas adotaram o uso de VPN 10 - Quais foram as dificuldades, vantagens e desvantagens da utilização dessa ferramenta de VPN? Vantagens 13% 13% 37% 37% Estabilidade Custo Facilidade Suporte Figura 31 – Vantagens apontadas com o uso de VPN 72 Desvantagens 33% 34% Instalar Cliente VPN Alteração de Regras fo Firewall 33% Custo Figura 32 – Desvantagens apontadas com o uso de VPN Conclui-se que as empresas pesquisadas estão interessadas em proteger seus dados, e para isso, utilizam a VPN como solução. O acesso remoto seguro é dada como uma grande vantagem de 60% das empresas questionadas. A motivação de 72% das empresas em usar a VPN é a comunicação com filiais, a segurança e redução de custos. Fica claro que é amplamente utilizado para diversos fins, não sendo constatada desvantagens em seu uso. 4.12 UMA PROPOSTA DE TOPOLOGIA PARA REDE VIRTUAL PRIVADA Com base nas topologias pesquisadas à luz dos fundamentos de segurança de redes e com base nos resultados das pesquisas realizadas, análise de vantagens, desvantagens, desempenho, segurança, conclui-se que a topologia do gateway VPN ao lado do firewall é uma solução eficaz e com a melhor relação custo benefício. A localização do gateway VPN em uma interface dedicada do firewall é uma excelente opção, já que em uma configuração deste tipo todos os pacotes que chegam ao gateway VPN passam antes por um filtro de pacotes, o que fornece proteção contra ataques externos. Nessa estrutura o gateway VPN deve ser configurado para aceitar somente tráfego cifrado. 73 Nesse caso, o firewall recebe todo o tráfego da rede, protegendo o gateway VPN de ataques diretos vindos da rede externa, além de estar protegendo a rede interna. Quando identifica que se trata de tráfego cifrado, ele envia para o gateway VPN. Após passarem pelo gateway VPN, ter os cabeçalhos de tunelamento retirados e serem decifrados, os pacotes originais podem passar agora por um processo de filtragem adequado, o que não podia ser feito anteriormente por estarem completamente cifrados. Depois o gateway VPN devolve para o firewall. O firewall o analisa e envia para a rede segura. Esta solução é dada por muitos como a mais segura e confiável. A topologia da figura 33 é a proposta concluída para Rede Virtual Privada. Figura 33 - Exemplo de gateway VPN ao lado do firewall Nessa topologia, o problema é a perda de desempenho. Para entender este problema, analisa-se o fluxo de dados da rede. Todo o tráfego de entrada da rede externa para a rede interna é direcionado para o firewall. O firewall vai rotear o pacote para o gateway VPN, se o pacote for de VPN. O gateway VPN vai tratar o pacote, descriptografando e direcionando o pacote. de volta para o firewall. O firewall vai redirecionar o tráfego para a rede interna. 74 Todo tráfego da rede interna será direcionado para o firewall. O firewall vai rotear os pacotes de VPN para o gateway VPN criptografar os pacotes e redirecionar o resultado para o firewall. E finalmente o firewall vai redirecionar este tráfego para a rede externa. Percebe-se que toda comunicação VPN requer, pelo menos, duas passagens pelo firewall. Logo, tanto o firewall quanto o gateway VPN devem ser dimensionados para atender a essa demanda. Velocidade e roteamento passam a ser pontos delicados dessa topologia. O firewall, ficando no meio da comunicação e não integrado, traz outra conseqüência desagradável: a re-autenticação de usuários remotos. Os usuários remotos devem se autenticar no firewall e no gateway VPN, porque esses dois elementos não compartilham informações dos usuários. Esse arranjo protege o equipamento VPN de ataques da rede não confiável, enquanto filtra tráfego não cifrado. A interface externa do gateway VPN, como foi visto, deve ser configurada para aceitar somente pacotes cifrados. Todos os pacotes que entram pela interface interna (obviamente destinados ao prolongamento remoto da rede privada) devem ser cifrados antes de serem enviados à Internet. Uma outra solução, baseada na anterior, com um custo mais elevado, porém com um melhor desempenho, seria adicionar mais um firewall antes da rede interna. Com isso, todo o tráfego de informações seria dividido, ou seja, os dados que forem para a rede interna são analisados pelo primeiro firewall e passam direto pelo segundo. Já os dados que são para o servidor VPN, passam direto pelo primeiro firewall (até mesmo por estarem criptografados) e do servidor VPN são encaminhados para o segundo firewall para análise. Dessa forma, com “divisão de tarefas”, o desempenho melhora e não haverá necessidade do tráfego de dados passarem duas vezes pelo mesmo firewall, conforme demonstrado na figura 34. 75 Figura 34 - Topologia com dois firewalls Apesar de todas as topologias terem suas vantagens e desvantagens, ficou concluído que entre segurança e desempenho, há preferência pela segurança. Após várias análises, estudos e comparações, a conclusão é a utilização da ferramenta Openswan para integrar essa topologia. É uma ferramenta de livre distribuição, com seu código-fonte disponível, provê uma implementação de IPSec de alta qualidade, com criptografia e autenticação, além de funcionar em diversas plataformas de hardware sem restrições. Encontra-se em constantes atualizações, se destacando de outros projetos, além de chamar atenção por sua compatibilidade com qualquer equipamento que utilize o protocolo IPSec. Sabe-se que o IPSec proporciona confidencialidade, integridade e autenticidade dos dados através das técnicas de encriptação e autenticação, fazendo com que os dados naveguem na Internet sem o risco de serem observados e modificados. Funciona perfeitamente com o Openswan, então, não há dúvidas que, com essa combinação, o objetivo da VPN está sendo atendido. 76 Quando se trata de segurança da informação, é importante ressaltar que não se limita a uma única arquitetura, produto ou tecnologia e sim numa integração de várias tecnologias combinadas com políticas de segurança, fornecendo uma combinação equilibrada de proteção e riscos aceitáveis. O importante é identificar a real necessidade do ativo que se está manipulando e trabalhar dentro do orçamento previsto para a segurança. O mercado rapidamente incorporou a utilização da VPN e há alta demanda nas redes virtuais, alta disponibilidade dos serviços, entre outros. Dessa forma, a tendência atual dos fornecedores de solução VPN é oferecer diversas topologias para a implementação do gateway VPN, de acordo com cada situação. Uma solução eficiente de VPN deve: • Ter uma política de segurança da rede bem definida e aplicada; • Garantir que o tráfego VPN seja integrado ao controle de acesso à rede; • Proteger o gateway VPN de ataques externos; • Ter uma arquitetura otimizada de VPN e firewall para ganho de desempenho; • Permitir um crescimento dinâmico no ambiente de rede; • Simplificar a administração e regência da rede. Antes de decidir por qual tipo de topologia usar é bom medir o aumento de complexidade das regras de filtragem que isso pode causar, porque muitas vezes os cenários de acesso de clientes VPN são bastante complexos, de acesso de clientes remotos VPN e filiais da própria corporação. Essa complexidade crescente pode comprometer a administração segura dos equipamentos, podendo gerar brechas que facilitem um ataque. A administração dos equipamentos fica mais complicada e pode gerar brechas para um possível ataque. O tamanho da empresa, e o grau da segurança necessária influenciam nessa decisão. Portanto, cuidado. 77 Toda análise das topologias foram feitas com o gateway VPN em relação ao firewall. Somente o firewall não provê total segurança da rede. Ele apenas filtra os pacotes referente a porta VPN, permitindo ou não, o acesso. Outra forma de se adicionar segurança para usuário remotos de VPN seria com o uso do Port Knocking, que é um programa que envia pacotes pré-definidos para portas específicas e avisa ao firewall que determinado IP irá se conectar a essas portas. O Port Knocking pode-se disponibilizar portas de acesso de forma oculta. Com ele, pode-se fazer com que fique “visível” apenas após o firewall receber uma série de SYNs16 em uma seqüência de portas específicas, e apenas para o IP de origem daqueles pacotes. 4.13 CONSIDERAÇÕES Para iniciar o uso de Rede Privada Virtual, não é necessário apenas instalar e usar. Há diversas outras observações a serem adotadas, principalmente quando se trata de segurança da informação. O percurso dos dados, a exposição do gateway VPN, a topologia em relação ao firewall, entre outros, são pontos importantes que devem ser observados na implementação da VPN. Para cada topologia foram verificados esses fatores, além de um questionário respondido por profissionais e o levantamento feito no decorrer do trabalho, nos auxiliou na conclusão de uma proposta de topologia, de protocolo e de ferramenta a ser adotada, que, além da segurança, a eficiência também é levada em consideração. 78 5 - CONSIDERAÇÕES FINAIS E TRABALHOS FUTUROS Este trabalho procurou demonstrar diversas topologias referentes ao posicionamento de um gateway VPN em relação ao firewall. Pode-se notar que existem múltiplas variáveis a serem consideradas, sendo que uma solução eficácia foi a do gateway VPN ao lado do firewall, por ser considerado de grande eficiência em relação à segurança e fluxo dos dados, se destacando as outras topologias apresentadas. Foram analisados diversos aspectos com o intuito de garantir um nível de segurança aceitável na VPN. Entretanto, são necessários estudos mais profundos para a implantação de soluções de VPN em larga escala. Nesse caso, é preciso realizar um planejamento mais detalhado da opção de configuração e localização do gateway VPN. Foi proposto também uma implementação em conjunto com o protocolos IPSsec e a ferramenta Openswan, destacando-se pelo sua grande demanda de uso e atualizações freqüentes. Funcionam perfeitamente em conjunto provendo toda a segurança necessária para o fluxo de dados na Internet. É muito mais do que um sistema de comunicação segura. Tem o ideal de “Internet segura sobre demanda”. O IPSec vem com o objetivo de garantir a segurança da informação, possui uma arquitetura aberta, o que possibilita a inclusão de outros algoritmos, além de ser adotado como padrão no uso de VPN. Com o crescimento no número de clientes remotos e conexões VPN, um único gateway VPN pode-se tornar sobrecarregado e incapaz de atender e gerenciar a demanda de túneis IPSec criados. Isto ocorre não só por limitações nos equipamentos, mas também pelo uso intenso de algoritmos de criptografia e pelo aumento na complexidade do roteamento necessário. Com isso, é importante que sejam estudadas formas de facilitar e solucionar esse novo tipo de demanda, permitindo uma maior eficácia do gateway VPN. Será de grande satisfação que este trabalho possa servir como uma fonte de consulta e comparação com essas novas tecnologias que irão surgir. 16 SYN é o primeiro pacote enviado para se iniciar qualquer conexão numa rede TCP/IP. 79 6 - REFERÊNCIAS BIBLIOGRÁFICAS ABUSAR, VPN, disponível em: http://www.abusar.org/vpn.html. Acesso em 09 ago 2006. ANDREOLI, A.V. IPSec, disponível em: http://www.cert-rs.tche.br/docs_html/ipsec.html. Acesso em: 08 ago. 2006. ALECRIM, E. Criptografia, disponível em: http://www.infowester.com/criptografia.php. Acesso em 26 set. 2006. AMADORI, C; GRUPPELLI, R. Privacidade de Dados em Trânsito nos Sistemas de Informação, disponível em: http://atlas.ucpel.tche.br/~grupis/tcc.pdf BURNETT, S.; PAINE, S. Guia Oficial da RSA, pg. 91. 2003 CARMO, A. P. Slide VPN em Linux,– Unitera Tecnologia, 2006 COUTINHO, A.A.C.; FONSECA, J.E.M. IPSec, disponível http://www.midiacom.uff.br/~debora/redes1/pdf/trab042/IPSec.pdf. em: FREESWAN, disponível em: http://www.freeswan.org/ Acesso em 02 set. 2006. FERREIRA, R. E. Linux – Guia do Administrador do Sistema, Editora Novatec. IPSEC – Protocolo de Segurança IP – disponível em: http://www.gta.ufrj.br/~rezende/cursos/eel879/trabalhos/vpn/ipsec.html, diversos acessos. NORTHERN, Arizona University – VPN, disponível http://www4.nau.edu/its/mensa/services/vpn/ Acesso em: 26 jun. 2006. em: OPENVPN, disponível em: http://openvpn.net. Acesso em: 02 set. 2006 OPENSWAN, disponível em: http://www.openswan.org/. Acesso em 02 set. 2006 PINHEIRO, J.M.S. tutorial sobre http://www.projetoderedes.com.br Gateway VPN, 2004, disponível em: PROJETO DE REDES, disponível em: htttp://www.projetoderedes.com.br Acesso em 10 set. ROSSI, M.A.G; FRANZIN, O. VPN, disponível em: http://www.gpr.com.br/download/vpn. Acesso em 09 ago.2006 SILVA, L. S. VPN - Virtual Private Network, Editora- Novatec SYMANTEC Corporation, Segurança de Dados disponível em: http://www.symantec.com.br Acesso em: 07 ago. 2006 80 TANENBAUM, A.S. Rede de Computadores. Editora Campus UNIVERSITY of Puget Sound. VPN, disponível em: http://www.ups.edu/x11679.xml Acesso em: 26 jun. 2006. VIVA O LINUX, disponível em: http://www.vivaolinux.com.br – diversos acessos. WIKIPÉDIA, A Enciclopédia Livre Criptografia disponível http://pt.wikipedia.org/wiki/DMZ Acesso em: 26 set. 2006. em: WIKIPÉDIA, A Enciclopédia Livre - DMZ disponível em: http://pt.wikipedia.org/wiki/DMZ Acesso em: 15 ago. 2006. WIKIPÉDIA, A Enciclopédia Livre IPSEC http://pt.wikipedia.org/wiki/DMZ Acesso em: 07 ago. 2006. WIKIPÉDIA, A Enciclopédia Livre – Protocolo http://pt.wikipedia.org/wiki/RSA. Acesso em 04 set. 2006. RSA, disponível disponível em: em: WIKIPÉDIA, A Enciclopédia Livre - VPN, disponível em: http://pt.wikipedia.org/wiki/VPN Acesso em 28 jun. 2006. 81