TOPOLOGIA DE VPN - multicast.com.br

FACULDADE SALESIANA DE VITÓRIA
PÓS-GRADUAÇÃO EM SEGURANÇA DE
REDES DE COMPUTADORES
EDUARDO COSTA CAMPINHOS
ROBSON LUIZ DE SOUZA BARCELLOS
TOPOLOGIA DE VPN: otimizando eficiência e segurança
VITÓRIA
2007
EDUARDO COSTA CAMPINHOS
ROBSON LUIZ DE SOUZA BARCELLOS
TOPOLOGIA DE VPN: otimizando eficiência e segurança
Monografia apresentada ao Curso de
Pós-graduação em Segurança de Redes
de
Computadores
da
Faculdade
Salesiana de Vitória, como requisito
parcial para obtenção do título de
Especialista em Segurança de Redes de
Computadores.
Orientador: Prof. M.Sc. Sérgio Teixeira
VITÓRIA
2007
Dados Internacionais de Catalogação-na-publicação (CIP)
(Biblioteca da Faculdade Salesiana de Vitória, Espírito Santo, Brasil)
C196t
Campinhos, Eduardo Costa, 1980
Topologia de VPN: otimizando eficiência e segurança / Eduardo
Costa Campinhos, Robson Luiz Souza Barcellos. – 2007.
82 f. : il.
Orientador: Sérgio Teixeira.
Monografia (pós-graduação em Segurança de Redes de
Computadores) – Faculdade Salesiana de Vitória.
1.Redes de Computadores - Segurança. 2. Virtual Private Network. 3.
Interoperabilidade. I. Barcellos, Robson Luiz Souza. II. Teixeira, Sérgio.
III. Faculdade Salesiana de Vitória. IV. Título.
CDU: 004.7
EDUARDO COSTA CAMPINHOS
ROBSON LUIZ DE SOUZA BARCELLOS
TOPOLOGIA DE VPN: otimizando eficiência e segurança
Monografia apresentada ao Curso de Pós-graduação em Segurança de Redes de
Computadores da Faculdade Salesiana de Vitória, como requisito parcial para obtenção
do título de Especialista em Segurança de Redes de Computadores.
Aprovada em 6 de março de 2007.
COMISSÃO EXAMINADORA
______________________________________
Prof. M.Sc. Sérgio Teixeira
Orientador
_________________________________________
Prof. M.Sc. Ádrian Bonfá Drago
Faculdade Salesiana de Vitória
_________________________________________
Prof. Esp. Sandro Pereira de Melo
4NIX Serviços em Informática
Eu, Eduardo Costa Campinhos, dedico
este trabalho aos meus pais e minhas irmãs
por acreditarem no meu potencial, por me
disponibilizar toda ajuda no decorrer do
curso e pela compreensão da minha
ausência. A minha tia Ruth, por todo
auxílio que me deu sem medir esforços,
aos meus primos Rodrigo, Ricardo e
Rovena pelo companheirismo e minha
prima Ana Paula pelo apoio.
--Eu, Robson Luiz de Souza Barcellos,
dedico este trabalho a minha mãe por
acreditar na minha dedicação e por me dar
força para terminar este curso que foi
bastante gratificante para minha carreira
profissional.
AGRADECIMENTOS
Agradecemos ao professor Sérgio Teixeira, Ádrian Drago e Sandro Melo pela
colaboração e apoio no desenvolvimento desse trabalho. Aos nossos pais, pelo apoio
desde o inicio do curso.
“Pode-se
vencer
pela
inteligência, pela habilidade ou
pela sorte, mas nunca sem
trabalho”.
(A. Detouef).
RESUMO
Esse trabalho apresenta conceitos e fundamentos de Virtual Private Network
(VPN) com a utilização do protocolo IPSec e de algumas ferramentas de software livre
que auxiliam a implementação de VPN. Além disso, foi feito um estudo comparativo
entre algumas opções de topologia de rede VPN. Foi elaborado e aplicado um
questionário sobre a utilização de VPN em empresas de médio e grande porte com o
objetivo de corroborar com as pesquisas efetuadas. Ao final, é apresentada um proposta
de topologia de rede, protocolo e de ferramenta para a implementação de uma VPN,
otimizando eficiência e segurança.
Palavras-chave: Redes de Computadores - Segurança, Virtual Private Network,
Interoperabilidade.
ABSTRACT
This paper shows notions and principles of Virtual Private Network (VPN) by using the
IPSec protocol and some free software that help the implementation of VPN. Besides, a
comparative study was carried out among some options of topology of VPN network.
A questionnaire about the utilization of VPN was designed and applied in large and
middle – sized company aiming at matching the research performed. Eventually, a
proposal of topology network, protocol and tool is showed in order to implement a
VPN, enhancing efficiency and security.
Keywords: Computer networks – Security, Virtual Private Network, interoperability.
LISTA DE FIGURAS
Figura 1. Exemplo de VPN....................................................................................................... 19
Figura 2. Exemplo de conexão Host x Host. ............................................................................ 26
Figura 3. Exemplo de conexão Host x Rede. ........................................................................... 27
Figura 4. Exemplo de conexão Rede x Rede............................................................................ 27
Figura 5. Formato do Protocolo AH......................................................................................... 39
Figura 6. Modo Transporte no protocolo AH........................................................................... 41
Figura 7. Modo túnel no protocolo AH. ................................................................................... 42
Figura 8. Campos do Protocolo ESP. ....................................................................................... 43
Figura 9. Modos transporte no protocolo ESP. ........................................................................ 44
Figura 10. Modos túnel no protocolo ESP. .............................................................................. 45
Figura 11. Campos do cabeçalho ISAKMP. ............................................................................ 47
Figura 12. Site Oficial do Projeto FreeS/WAN........................................................................ 50
Figura 13. Download da ferramenta OpenVPN. ...................................................................... 53
Figura 14. Site Oficial do Projeto Openswawn. ....................................................................... 55
Figura 15. Exemplo de gateway VPN dentro do firewall. ....................................................... 58
Figura 16. Exemplo de gateway VPN em frente ao firewall.................................................... 59
Figura 17. Exemplo de gateway VPN atrás do firewall ........................................................... 60
Figura 18. Exemplo de gateway VPN paralelo ao firewall. ..................................................... 61
Figura 19. Exemplo de gateway VPN ao lado do firewall. ...................................................... 62
Figura 20. Exemplo DMZ ........................................................................................................ 63
Figura 21. Exemplo de gateway VPN numa DMZ ..................................................................66
Figura 22. Porcentagem referente ao período de tempo que as empresas consultadas utilizam
VPN .......................................................................................................................................... 68
Figura 23. Porcentagem referente ao motivo das empresas utilizarem VPN ...........................68
Figura 24. Porcentagem das empresas que fizeram projeto na utilização de VPN. ................. 6 9
Figura 25. Porcentagem das empresas que alteraram a topologia ou infra-estrutura...............69
Figura 26. Local onde está instalado o gateway VPN..............................................................70
Figura 27. Motivo das em presas consultadas em adotar o uso de VPN.................................. 70
Figura 28. Porcentagem referente a vantagens de se utilizar VPN ........................................ 71
Figura 29. Porcentagem das ferramentas de VPN utilizada ..................................................... 71
Figura 30. Motivos pelas quais as empresas adotaram o uso de VPN ..................................... 72
Figura 31. Vantagens apontadas com o uso de VPN................................................................ 72
Figura 32. Desvantagens apontadas com o uso de VPN .......................................................... 73
Figura 33. Exemplo de gateway VPN ao lado do firewall ....................................................... 74
Figura 34. Topologia com dois firewalls.................................................................................. 76
SUMÁRIO
1 - INTRODUÇÃO .................................................................................................................. 12
1.1 MOTIVAÇÃO................................................................................................................13
1.2 OBJETIVOS................................................................................................................... 14
1.3 METODOLOGIA...........................................................................................................14
1.4 ORGANIZAÇÃO DO TRABALHO .............................................................................15
2 - FUNDAMENTOS DA REDE PRIVADA VIRTUAL .......................................................16
2.1 AUTENTICAÇÃO.........................................................................................................28
2.2 PROTOCOLOS USADOS NA REDE PRIVADA VIRTUAL......................................35
2.3 PROTOCOLO IPSEC ....................................................................................................36
2.4 CONSIDERAÇÕES .......................................................................................................47
3 – FERRAMENTAS DE REDE PRIVADA VIRTUAL........................................................49
3.1 FREES/WAN..................................................................................................................49
3.2 OPENVPN...................................................................................................................... 52
3.3 OPENSWAN ..................................................................................................................54
3.4 CONSIDERAÇÕES .......................................................................................................55
4 – TOPOLOGIAS PARA REDE VIRTUAL PRIVADA.......................................................57
4.1 GATEWAY VPN DENTRO DO FIREWALL ..............................................................58
4.2 GATEWAY VPN EM FRENTE AO FIREWALL ........................................................59
4.3 GATEWAY VPN ATRÁS DO FIREWALL .................................................................60
4.4 GATEWAY VPN PARALELO AO FIREWALL .........................................................61
4.5 GATEWAY VPN AO LADO DO FIREWALL ............................................................61
4.6 dEMILITARIZED ZONE (dmz)....................................................................................62
4.7 EM CONJUNTO COM OUTROS EQUIPAMENTOS DA DMZ ................................ 64
4.8 EM DMZ SEPARADA ..................................................................................................65
4.9 CONFIGURAÇÃO DE MÚLTIPLAS DMZ´S .............................................................65
4.10 ELABORAÇÃO DO QUESTIONÁRIO .....................................................................67
4.11 ANÁLISE DO QUESTIONÁRIO................................................................................67
4.12 UMA PROPOSTA DE TOPOLOGIA PARA REDE VIRTUAL PRIVADA ............. 73
4.13 CONSIDERAÇÕES .....................................................................................................78
5 - CONSIDERAÇÕES FINAIS E TRABALHOS FUTUROS ..............................................79
6 - REFERÊNCIAS BIBLIOGRÁFICAS................................................................................80
1 - INTRODUÇÃO
O advento da Internet aliado ao surgimento de novas tecnologias de informação
mudou profundamente a forma de comunicação entre as empresas. Novas formas de
comunicação, tais como business-to-consumer1 (B2C) e business-to-business2 (B2B)
atualmente fazem parte da rotina de muitas empresas, que dificilmente conseguiriam
sobreviver sem elas. Além disso, surgiu também a necessidade de interconectar de forma online as redes de computadores de filiais remotas com a rede da matriz dessas empresas. Dessa
forma, usuários remotos que trabalhavam em redes isoladas, passaram a trafegar dados
diretamente com a rede da matriz.
Uma alternativa para a interconexão dessas redes foi a utilização de links dedicados de
dados. Dessa forma, foi possível trafegar dados de forma privada e segura. Entretanto, o
custo desses links de dados é alto, principalmente em cidades distantes das grandes
metrópoles, tornando essa solução viável para poucas empresas.
Nesse contexto, surgiu a Virtual Private Network ou Rede Privada Virtual (VPN),
cujo objetivo é de interconectar e trafegar dados, de forma privada e segura, entre a rede de
computadores de uma filial com a matriz de uma empresa. Além disso, o advento do software
livre trouxe soluções eficazes e de baixo custo. Isso permitiu a democratização do acesso a
esse tipo de tecnologia de comunicação de dados, pois as soluções proprietárias possuem um
alto custo de implementação.
Por se tratar de uma rede pública que não foi concebida para essa finalidade, a Internet
não é um meio seguro de transmissão de dados. Porém, com a utilização de VPN, é possível
trafegar dados de forma segura. A VPN implementa uma espécie de “túnel” ou “canal” de
comunicação de dados, capaz de transmitir informações privadas, criptografadas e íntegras
por meio da Internet. Além disso, é possível estabelecer conexões seguras com usuários
móveis através de rede discada ou sem fio.
1
business-to-consumer é o segmento dentro do comércio eletrônico que abrange qualquer transação em que uma
companhia ou organização vende seus produtos ou serviços para as pessoas que navegam pela Internet
2
business-to-business é o comércio praticado por fornecedores e clientes empresariais, ou seja de empresa para
empresa
12
Uma característica importante desse tipo de conexão é a transparência oferecida. O
usuário conectado a uma rede através de uma VPN tem a sensação de estar conectado
diretamente à Intranet dessa empresa.
1.1 MOTIVAÇÃO
A troca de informações sigilosas de forma segura e com custos mais acessíveis tornouse uma questão estratégica para muitas empresas, pois o mercado competitivo exige uma
rápida tomada de decisão, que é baseada nessas informações.
Existem diversas tecnologias proprietárias para a implementação de VPN com muitas
opções de empresas especializadas na instalação e suporte desse tipo de ferramenta.
Entretanto, os custos são altos e a dependência dessas tecnologias ocasiona um custo
adicional de manutenção.
Como alternativa às tecnologias proprietárias existem software livres que funcionam
de forma eficaz. Entretanto, o acesso a esse software não é garantia de sucesso, pois existem
muitos fatores, conceitos e metodologias que influenciam na eficácia de uma VPN.
A procura por esse tipo de tecnologia estimulou o desenvolvimento de várias
alternativas baseadas em software livre. Quem pretende implantar uma VPN tem a disposição
diversas alternativas de algoritmos de criptografia, protocolos de segurança e software de
VPN.
Apesar da variedade de tecnologias que compõem uma solução de VPN, o material
disponível na literatura para a orientação de implementação desse tipo de tecnologia é
insuficiente. É preciso compreender diversos conceitos e fundamentos que estão relacionados
às VPN´s. Caso contrário, essa tecnologia pode trazer problemas para as empresas. Além
disso, não existe um consenso sobre o local mais adequado para a implementação de um
servidor de VPN, também conhecido como gateway3 VPN.
3
Gateway é uma máquina intermediária geralmente destinada a interligar redes. Exemplos de gateway são os
roteadores.
13
Esse trabalho busca auxiliar profissionais de informática que precisam implementar
uma VPN baseada em software livre. Além disso, será apresentado um roteiro de apoio na
escolha e na implementação de uma ferramenta de VPN. Dessa forma, esses profissionais
poderão utilizar esse trabalho como apoio na implementação de uma VPN.
1.2 OBJETIVOS
O objetivo deste trabalho é realizar um estudo sobre o funcionamento de uma VPN na
Internet, através de redes públicas, com o propósito de verificar o local mais adequado para a
instalação de um gateway VPN, observando a eficácia e segurança das informações
trafegadas.
1.3 METODOLOGIA
Para a elaboração desse trabalho, foi feita uma revisão bibliográfica sobre
autenticação, encapsulamento4, protocolos, ferramentas de Rede Privada Virtual. Em seguida,
foi feito um estudo de topologias5 com a análise do posicionamento do gateway VPN em
relação ao firewall6, analisando o fluxo de dados dentro da rede. Com isso, foi possível
analisar o fluxo e a segurança da informação em todas as formas de instalação do gateway
VPN. Dessa forma, foi possível encontrar a topologia que apresentou o melhor desempenho
para a segurança da informação na empresa.
Foi feita a elaboração de um questionário, com ajuda e sugestões de profissionais da
área, com o objetivo de obter mais informações sobre o uso de VPN nas empresas. Os
resultados obtidos do questionário corroboraram com a proposta apresentada.
4
Encapsulamento é o mecanismo que permite separar um mecanismo de funcionamento de sua interface.
5
Topologia é a forma por meio da qual ela se apresenta fisicamente, ou seja, como os elementos de rede estão
dispostos.
6
Firewall é um dispositivo de rede que tem por função regular o tráfego entre redes distintas e impedir a
transmissão de dados não autorizados.
14
1.4 ORGANIZAÇÃO DO TRABALHO
Esse trabalho segue a seguinte organização:
2 - Fundamentos da Rede Privada Virtual – Apresenta fundamentos, objetivos, modos
de operação e analogias que buscam auxiliar o entendimento das VPN´s. Além disso, são
apresentados fundamentos de segurança, confidencialidade, integridade, autenticidade, não
repúdio e facilidades das VPN´s. Adicionalmente, são apresentados conceitos sobre
criptografia, chave pública, chave privada e algumas comparações entre VPN´s, servidores de
acesso remoto e linha dedicada.
3 – Ferramentas de Rede Privada Virtual – Apresenta conceitos e o funcionamento do
projeto Swan e da ferramenta FreeS/Wan. Além disso, são apresentadas outras ferramentas,
tais como o OpenVPN e Openswan.
4 - Uma proposta de topologia para Rede Privada Virtual no Linux – Esse capítulo
apresenta uma análise sobre os possíveis locais de instalação do gateway VPN, demonstrando
as vantagens e desvantagens de cada opção. Além disso, é feita uma análise do fluxo de
dados, desempenho do gateway VPN e do firewall, visando a eficácia da segurança. Foi
realizada uma pesquisa, através da elaboração de um questionário, respondido por
profissionais da área, com o objetivo de verificar na prática o uso dessas tecnologias. Por fim,
é concluído uma topologia e a ferramenta para a implantação de uma VPN.
5 - Considerações finais e trabalhos futuros – apresenta as considerações finais e
propostas de futuros trabalhos de aperfeiçoamento das VPN´s.
6 - Referências Bibliográficas – Referências bibliográficas utilizadas na elaboração do
trabalho.
15
2 - FUNDAMENTOS DA REDE PRIVADA VIRTUAL
A primeira pergunta seria o que vem a ser uma rede privada? A resposta é
relativamente simples: “dois ou mais computadores interligados formam uma rede de
computadores (network). As redes utilizadas na interconexão de computadores com a
finalidade de troca de dados em um determinado espaço físico formam uma rede privada
(Local Area Network), onde somente os equipamentos pertencentes a esse grupo podem ter
seus dados compartilhados” (SILVA, 2003).
As empresas necessitam de um alto nível de conectividade entre as organizações, no
qual a necessidade cada vez maior de segurança implica na utilização de diversas tecnologias,
sejam elas para permitir a continuidade dos negócios, ou para prover a segurança necessária
para essas conexões.
Ao falar de informação digital, e-mails, dados importantes, transferência de dinheiro,
ou seja, toda informação sensível para qualquer negócio, mensurar dados é muito complicado,
por isso a necessidade de tornar essas transferências de forma segura.
Em uma rede privada, os dados podem trafegar sem que haja muita preocupação com a
interceptação e captura de informações. Mas, e para utilização em redes públicas? Como
trafegar esses dados com segurança?
Nesse contexto, surgiu o conceito de (Virtual Private Network) VPN ou Rede Privada
Virtual, que possibilita, além da economia com os custos de comunicação, a segurança na
transferência dos dados.
Uma possível analogia para entender o conceito de VPN pode ser feita ao analisar
duas formas diferentes de travessia do canal da Mancha. A forma insegura seria equivalente a
travessia de barco, pois dessa forma a tripulação estaria sujeita a todo tipo de interferência
externa. A forma segura e privativa seria equivalente travessia por meio do Eurotúnel. Dessa
forma, os passageiros não estariam sujeitos às interferências de outras pessoas ou da natureza.
Portanto, essa forma de travessia equivale à utilização de uma VPN para atravessar o canal da
Mancha.
As VPN's criam um túnel com o objetivo de permitir a transferência segura e com
privacidade entre redes.
16
Em outras palavras, “VPN´s são redes de computadores separadas fisicamente e que
através de um meio público de comunicação - geralmente a Internet – comunicam-se de
forma segura, com a utilização de criptografia” (VASQUE, 2002).
De acordo com Kolesnikov, “as vantagens de utilizar uma VPN estão relacionadas à
segurança, transparência, facilidade de administração e redução de custos” (KOLESNIKOV,
2002).
A transparência não deixa que usuários, aplicações e computadores percebam a
localização física dos equipamentos que estão sendo utilizados, permitindo que eles sejam
acessados em lugares remotos como se estivessem presentes localmente, facilitando o
gerenciamento das redes. Além da segurança, uma grande vantagem da VPN é a redução de
custos, pois não há necessidade de linhas dedicadas e servidores para acesso remoto.
No entanto, para que essas características se tornem efetivas, a VPN deve prover um
conjunto de funções que garanta Privacidade, Integridade, Autenticidade, Não Repúdio,
Facilidade, Criptografia, Assinatura Digital e Certificados Digitais, conforme descritas mais
detalhadamente a seguir:
•
Privacidade
Tendo em vista que os dados serão enviados por meio de comunicação pública, a idéia
que se tem de privacidade numa VPN, nada mais é do que técnicas modernas de criptografia e
mecanismos matemáticos usadas para criptografar os dados de origem, e enviá-los
criptografados até o destinatário. No destino, o dado é descriptografado, voltando a sua forma
original. Dessa forma, os dados não serão lidos indevidamente por terceiros durante o trajeto
da origem até o destino. Caso isso ocorra, o objetivo é evitar que eles possam ser entendidos.
•
Integridade
Na eventualidade dos dados serem capturados, é necessário garantir que eles não
sejam adulterados e reencaminhados para o seu destino. O objetivo é garantir que o
destinatário só receba dados não adulterados. A garantia de integridade dos dados trocados
em uma VPN pode ser fornecida pelo uso de algoritmos que geram códigos a partir dos dados
que serão enviados, dificultando muito a sua leitura. Ao chegar ao destinatário, é executado
17
um algoritmo que compara o resultado obtido com a seqüência de bits. Se a seqüência gerada
for igual à seqüência recebida, significa que os dados não foram adulterados.
•
Autenticidade
Somente usuários e equipamentos que tenham sido autorizados a fazer parte de uma
determinada VPN é que podem trocar dados entre si. O usuário deve ser identificado no seu
ponto de acesso à VPN, de tal forma que, somente os dados de usuários autenticados
transitem pela rede. Toda conexão não autenticada será rejeitada.
De acordo com Silva, “os usuários que recebem as informações sabem identificar,
realmente, se uma mensagem foi enviada pelo remetente esperado. Esse procedimento é feito
pelo uso de assinatura digital. Isso é feito por meio da chave de criptografia que é utilizada
pelo autor da mensagem” (SILVA, 2003).
Para transmitir dados entre redes de forma segura, a VPN utiliza a tecnologia de
tunelamento. O túnel é a denominação do caminho lógico, inelegível para intrusos, percorrido
pelo pacote ao longo da rede intermediária. O protocolo de tunelamento encapsula o pacote
com um cabeçalho adicional que contém informações de roteamento. Isso permite o
transporte dos pacotes ao longo da rede intermediária. Os pacotes encapsulados são roteados
entre as extremidades do túnel na rede intermediária. O caminho utilizado pelo pacote pode
ser qualquer rede pública ou privada.
A figura 1 mostra um exemplo de conexão VPN entre dois gateway´s através de uma
rede pública.
18
Figura 1 - Exemplo de VPN
•
Não Repúdio
De acordo com Silva “o usuário que recebe a mensagem tem a garantia que ela não
será negada no futuro, pois existe uma confiança no remetente. O usuário que enviou a
mensagem não poderá afirmar que não foi ele quem a emitiu. Isso só poderá ser permitido
com criptografia assimétrica” (SILVA, 2003). A criptografia assimétrica é a técnica de
criptografar que utiliza um par de chaves: uma chave pública e uma chave privada. A chave
pública é distribuída livremente para todos os interessados, enquanto a chave privada deve ser
conhecida apenas pelo seu dono. Assim, um dado cifrado com a chave pública só será
decifrado com a chave privada do respectivo destinatário e vice-versa. Essa característica é
considerada um atributo opcional da autenticidade, pois é obtida por meio da criptografia
assimétrica.
•
Facilidade
É uma característica do uso de VPN, pois ela é de fácil implementação e funciona de
modo transparente para o usuário. “O ideal é que o usuário não perceba que seu universo
computacional está totalmente seguro e as políticas de segurança sejam embutidas no sistema
e qualquer pessoa saiba o que fazer sem recorrer a manuais ou guias” (SILVA, 2003).
19
Portanto, o sistema escolhido e implantado deve prover toda a segurança necessária e
feita de forma consistente e adequada para as aplicações da empresa sem restringir as tarefas
diárias dos usuários.
•
Criptografia
A criptografia torna o ambiente mais seguro, pois adiciona um conjunto de métodos de
tratamento e transformação dos dados que serão transmitidos pela rede pública. Um conjunto
de regras é aplicado nos dados, adicionando uma seqüência de bits (chave) de algum padrão
de criptografia. Dessa forma, apenas o destinatário, conhecendo a chave, poderá
descriptografar os dados.
“Criptografia é um estudo de códigos e cifras, cujo nome vem do grego kriptos, que
significa oculto, e graphen que significa escrever. Já a palavra cifra vem do hebraico saphar,
que significa dar números. As maiorias das técnicas são simétricas7, baseada em técnicas de
sistemas numéricos” (SILVA, 2002).
É importante ressaltar que o segredo da criptografia não está no algoritmo empregado,
e sim na chave de criptografia. Os melhores sistemas criptográficos são aqueles de domínio
público, pois são analisados pelos cientistas. Na ocorrência de vulnerabilidades a comunidade
se mobiliza na busca de soluções. Posteriormente, podem ser revistos num processo
permanente de melhoria. As técnicas de criptografia utilizadas são as chaves simétricas e
assimétricas.
A Chave Simétrica é a técnica de criptografia onde se utiliza a mesma chave para
criptografar e descriptografar os dados. Sendo assim, a manutenção da chave em segredo é
fundamental para a eficiência do processo. A grande vantagem neste tipo de recurso é a sua
velocidade em relação à chave assimétrica. Esse conceito surgiu em 1972 pela IBM, com o
apelido de Lúcifer Cipher, foi revisado e publicado em 1977 pelo National Institute of
Standart (NIST), Federal Information Processing Standart (FIPS 46-1) e o American
National Standart Institute (ANSI X9.32) (SILVA, 2003).
Outro método de criptografia utilizado é a chave assimétrica ou chave pública. Essa
técnica utiliza chaves diferentes e relacionadas para criptografar e descriptografar os dados. A
7
Criptografia simétrica é a técnica baseada numa única chave, usada por ambos os interlocutores.
20
chave utilizada para criptografar e descriptografar os dados é formada por duas partes, uma
pública e outra privada.
Todas essas etapas são de grande importância, pois o protocolo Transmission Control
Protocol/Internet Protocol (TCP/IP) é à base da Internet e amplamente utilizado para a
comunicação entre redes. Entretanto, é uma forma insegura, por não ter sido projetado para
essa finalidade. A VPN utiliza a infra-estrutura de rede já existente do TCP/IP para transmitir
os seus pacotes pela Internet, adicionando alguns cabeçalhos (KOLENISKOV, 2002).
Quando uma informação criptografada é enviada para alguém, usa-se a parte pública
da chave de nosso destinatário para criptografar e enviar os dados. O destinatário utilizará a
parte privada da chave para descriptografar a mensagem e retorná-la à forma original
(SILVA, 2002).
Dentre várias técnicas de criptografia, será descrito duas para um melhor
entendimento de como é feito o embaralhamento dos dados. São eles:
•
Algoritmo Diffie-Hellman (DH)
Segundo Burnett “Este algoritmo não criptografa os dados. Em vez disso, ele gera um
segredo. As duas partes podem gerar o mesmo segredo e, então, utilizá-lo para criar uma
chave de sessão que será utilizada em um algoritmo simétrico. Este procedimento é chamado
de ‘acordo de chaves’. As duas partes entram em acordo sobre qual chave será utilizada”.
(BURNETT, 2003) Outro nome encontrado na literatura para essa técnica é “troca de
chaves”. A desvantagem desse algoritmo é que uma terceira pessoa pode interceptar a chave,
pois o envio é feito de forma insegura. Um intruso pode enganar o remetente simulando que é
o seu destinatário. Portanto, a falha desse método é o envio inseguro das chaves.
•
Algoritmo Ron Rivest, Adi Shamir e Len Adleman (RSA)
RSA é um algoritmo de encriptação de dados, que deve o seu nome a três professores
do Instituto MIT (fundadores da empresa RSA Data Security, Inc.), Ron Rivest, Adi Shamir e
Len Adleman, que inventaram este algoritmo. Ele está embutido nos navegadores e em
centenas de produtos de mercado.
21
Sua implementação ocorre com a geração de duas chaves, comporto de dois pares de
números, de tal forma que uma mensagem encriptada com o primeiro par possa ser apenas
decriptada com o segundo par, mas o segundo número não pode ser derivado do primeiro.
Esta propriedade assegura que o primeiro número possa ser divulgado a alguém que pretenda
enviar uma mensagem encriptada ao portador do segundo número, já que apenas essa pessoa
pode decriptar a mensagem. O primeiro par é designado como chave pública, e o segundo
como chave secreta.
Um aspecto importante na utilização e configuração de VPN´s é a padronização e a
interoperabilidade, pois com a utilização da Internet como meio de comunicação existem
inúmeros padrões e tipos de configurações que podem ser utilizados. Portanto, para obter
sucesso na utilização de VPN é preciso ficar atento para esses itens.
Utilizando a Internet como infra-estrutura básica de transmissão de dados, o protocolo
TCP/IP será consequentemente o padrão adotado para a conexão fim a fim entre o remetente e
o destinatário de uma VPN.
Em virtude do crescimento da Internet e, consequentemente das VPN´s, surgiram
diversas organizações com o objetivo de padronizar e normartizar o uso de protocolos e
serviços na Internet. Esse trabalho é fundamental para ajudar a disseminação e
interoperabilidade entre as soluções de comunicação na Internet. Dentre as organizações
existentes merecem destaque:
• World Wide Web Consortium (W3C): tem por objetivo definir padrões para
web. Dentro deste grupo estão as definições de HTML, XML, cookies8, entre
outros;
• Internet Engineering Task Force (IETF): visa definir normas para a Internet
como um todo, estabelecendo padrões de conexões de diferentes pontos,
padrões de criptografia, autenticação, entre outros. Há um subgrupo dentro
dessa organização, responsável pelo Internet Security Protocol (IPSec9);
• National Institute of Standarts and Technology (NIST): entre suas propostas de
padronizações, encontram-se as de hash e criptografia;
• American National Standarts Institute (ANSI): define requerimentos mínimos
8
São informações que os sites enviam aos navegadores.
22
para linguagens de programação, entre outros.
• Assinatura Digital
É um método de autenticação de informação digital que identifica o remetente de uma
mensagem eletrônica.
Existem diversos métodos para assinar digitalmente documentos, e estes métodos
estão em constante evolução. Porém de maneira resumida, uma assinatura típica envolve dois
processos criptográficos, o hash (resumo) e a encriptação deste hash.
Em um primeiro momento é gerado um resumo criptográfico da mensagem através de
algoritmos que reduzem qualquer mensagem sempre a um resumo de mesmo tamanho. A este
resumo criptográfico se dá o nome de hash. Uma função de hash deve apresentar
necessariamente as seguintes características:
•
Deve ser impossível encontrar a mensagem original a partir do hash da
mensagem;
•
O hash deve parecer aleatório, mesmo que o algoritmo seja conhecido. Uma
função de hash é dita forte se a mudança de um bit na mensagem original
resulta em um novo hash totalmente diferente;
•
Deve ser impossível encontrar duas mensagens diferentes que levam a um
mesmo hash.
Após gerar o hash, ele deve ser criptografado através de um sistema de chave pública,
para garantir a autenticação e o não-repúdio. O autor da mensagem deve usar sua chave
privada para assinar a mensagem e armazenar o hash criptografado junto à mensagem
original.
Para verificar a autenticidade do documento, deve ser gerado um novo resumo a partir
da mensagem que está armazenada, e este novo resumo deve ser comparado com a assinatura
digital. Para isso, é necessário descriptografar a assinatura obtendo o hash original. Se ele for
igual ao recém gerado, a mensagem está integra.
9
Conjunto de protocolos desenvolvidos e utilizados para proteger o tráfego dos pacotes IP
23
• Certificados Digitais
Um certificado digital é um arquivo de computador que contém um conjunto de
informações referentes a entidade para o qual o certificado foi emitido (seja uma empresa,
pessoa física ou computador) mais a chave pública referente a chave privada que acredita-se
ser de posse unicamente da entidade especificada no certificado.
Um certificado digital normalmente é usado para ligar uma entidade a uma chave
pública. Para garantir a integridade das informações contidas neste arquivo ele é assinado
digitalmente e o certificado é assinado pela Autoridade Certificadora (AC).
Um certificado normalmente inclui:
•
Informações referentes a entidade para o qual o certificado foi emitido (nome,
e-mail, CPF/CNPJ, PIS etc.);
•
A chave pública referente a chave privada de posse da entidade especificada
no certificado;
•
O período de validade;
•
A(s) assinatura(s) da(s) AC/entidade(s) que afirma que a chave pública
contida naquele certificado confere com as informações contidas no mesmo.
Diante desse contexto, foi visto algumas características da VPN, assim como suas
importâncias. Essas características em conjunto fazem parte do funcionamento da VPN.
Funcionamento da VPN
O funcionamento da VPN ocorre da seguinte forma:
Depois de instalar o sistema de VPN na sua rede, o cliente VPN, que é o responsável
pela inicialização do tunelamento - baseado no protocolo Internet Protocol Security (IPSec) é feita a configuração através de um arquivo que contém todos os parâmetros de tunelamento
necessários. Em seguida, esse arquivo será processado pelo software mediante a utilização de
uma chave simétrica - caso esteja usando Phase Shift Keying (PSK) – ou chave assimétrica –
usando certificado X.509. Essas chaves e o arquivo de configuração são gerados pela entidade
certificadora.
24
De forma simplificada, os passos de configuração e funcionamento do acesso remoto
VPN são:
•
O usuário instala o software cliente;
•
A entidade certificadora gera um arquivo contendo os parâmetros necessários para a
conexão IPSec, entre eles o certificado digital, a chave assimétrica e os algoritmos
criptográficos a serem utilizados;
•
A entidade certificadora gera uma chave simétrica que deve ser utilizada pelo usuário
para a importação do arquivo de parâmetros no software cliente;
•
O usuário deve configurar o software cliente através da importação do arquivo de
parâmetros utilizando a chave simétrica, gerados pela entidade certificadora;
•
O usuário recebe o arquivo de parâmetros e a chave simétrica;
•
O usuário utiliza a chave simétrica para importar o arquivo de parâmetros;
•
O usuário configura o software cliente através da importação do arquivo de
parâmetros, e assim está apto a iniciar um tunelamento IPSec para a rede da
organização;
•
A conexão IPSec é negociada entre o usuário e a rede da organização de acordo com
os parâmetros do usuário e do servidor, que possui uma lista dos recursos que cada
usuário pode acessar.
A VPN tem a mobilidade de funcionamento e facilidade de trabalhar em conjunto
tanto com servidor de acesso remoto quanto com linha dedicada. Uma comparação da VPN
com essas duas tecnologias será demonstrada abaixo.
VPN x Servidor de Acesso Remoto
Hoje em dia é comum a existência de funcionários de empresas que exercem suas
funções em suas próprias residências. Além disso, existem aqueles que viajam muito e
precisam acessar remotamente a rede da empresa de diversos locais distintos.
Para atender essas necessidades as empresas implantaram soluções que permitem o
acesso remoto a rede interna por meio de diversos tipos de conexões. Por exemplo: acesso
discado, acesso dedicado, acesso via Internet ou acesso via telefonia celular.
25
Cada tipo de solução de acesso remota a rede privada das empresas necessita de uma
infra-estrutura e configuração específica. Além disso, existem diversas vantagens e
desvantagens dependendo do tipo de solução adotada. Serão apresentadas algumas formas de
acesso remoto e uma comparação com o uso de VPN.
VPN x Linha Dedicada
Para conexões entre redes à longa distância para troca de informações, pensa-se logo
em linhas dedicadas (redes privadas). Essa solução oferece um nível de segurança bem
elevado, pois a transferência de dados é feita por meio de uma linha dedicada. Intrusos da
Internet não terão acesso a essa rede. Porém, os custos de instalação e manutenção das linhas
dedicadas são muito elevados.
Além de funcionar com servidor de acesso remoto e linha dedicada, a VPN pode ter
três tipos de topologias, que será demonstrado a seguir, dependendo de como é feita a
conexão.
•
Host x Host
Essa topologia tem como finalidade comunicar dois hosts10 separados fisicamente,
fornecendo segurança necessária, podendo ou não estar presentes numa rede, conforme figura
2.
Figura 2 - Exemplo de conexão Host x Host
10
Host é qualquer máquina ou computador conectado a uma rede.
26
•
Host x Rede
A figura abaixo é um exemplo de Host x Rede para acessos remotos, pois permite que um
host móvel se conecte a uma determinada rede através da Internet. Basta que o host tenha o
software para conexões VPN.
Figura 3 - Exemplo de conexão Host x Rede
•
Rede x Rede
Topologia ideal para interligar redes de uma mesma empresa geograficamente
distantes, como retrata a figura 4.
Figura 4 - Exemplo de conexão Rede x Rede
27
Para que a conexão VPN seja realidade com sucesso, independente da estrutura
utilizada, é necessário que outros fatores sejam estabelecidos para a criação do túnel VPN.
Um desses fatores é a autenticação.
2.1 AUTENTICAÇÃO
“Autenticação é o ato de estabelecer ou confirmar algo (ou alguém) como autêntico,
isto é, que reivindica a autoria ou a veracidade de alguma coisa. A autenticação também
remete à confirmação da procedência de um objeto ou pessoa, neste caso, frequentemente
relacionada com a verificação da sua identidade.” (WIKIPÉDIA, 2006).
Assim como o endereço IP de um computador identifica um único endereço na rede, o
usuário que está usando esse endereço precisa ser uma pessoa válida e autêntica na rede, pois
sem autenticação não se garante o sucesso da VPN, pois não se tem conhecimento de quem
está usando um determinado endereço de um computador. A autenticação é forma utilizada
nas redes VPN para garantir que uma mensagem foi realmente enviada por quem se declara
como o remetente dela.
O controle de acesso é um exemplo comum de adoção de mecanismos de autenticação.
Um sistema computacional, cujo acesso é permitido apenas a usuários autorizados, deve
detectar e excluir os usuários não autorizados. O acesso é controlado por um procedimento
que estabelece a identidade do usuário com algum grau de confiança (autenticação), e só
então concede determinados privilégios (autorização) de acordo com esta identidade. Alguns
exemplos de controle de acesso são encontrados em sistemas que permitem:
•
Saque de dinheiro de um caixa eletrônico;
•
Comunicação com um computador através da Internet;
•
Navegação em um sistema de Internet banking.
Para uma melhor visualização, as formas de autenticação para humanos são
normalmente classificados em três casos:
28
•
Aquilo que o usuário é (impressão digital, padrão retinal, sequência de DNA,
padrão de voz, reconhecimento de assinatura, sinais elétricos unicamente
identificáveis produzidos por um corpo vivo, ou qualquer outro meio
biométrico);
•
Aquilo que o usuário tem (cartão de identificação, chave de carro);
•
Aquilo que o usuário conhece (senha, frase de segurança, personal
identification number (PIN), combinação de cofre).
Frequentemente é utilizada uma combinação de dois ou mais métodos. Um banco, por
exemplo, pode requisitar uma "frase de segurança" além da senha, neste caso o termo
"autenticação de dois fatores" é utilizado.
Um fator importante a ser destacado é manter a integridade e confidencialidade da
informação da autenticação. É importante que esses dados sejam usados de forma segura e
não possam ser obtidos por pessoas desautorizadas.
Dentre os tipos de autenticação existentes merecem destaque:
•
Two-Party
Este método de autenticação se subdivide em dois esquemas, one-way e two-way. No
esquema de uma via (one-way), o cliente tem que ser autenticado no servidor, porém o
servidor não precisa autenticar o cliente. No esquema de duas vias (two-way), tanto o cliente
quanto o servidor precisam autenticar-se mutuamente.
•
Senha (Password)
É o mais utilizado em autenticação entre duas entidades, entretanto, o mais fraco em
matéria de segurança. Neste método, o usuário e o servidor devem saber previamente a senha
ou frase, e cabe ao servidor armazenar esse segredo para ser comparado no momento da
29
autenticação. Um problema no esquema de autenticação por senha é a necessidade de
armazená-la em algum lugar. Uma forma de não guardar as senhas no servidor, de forma
original como é feito de costume, é utilizar uma função de hash que embaralha a senha.
•
Challenge/Response
Esse procedimento de autenticação é feito por desafio e resposta. É similar ao método
da senha. O servidor lança um desafio ao usuário, esperando uma resposta, previamente
acordada entre eles, podendo haver, por exemplo, mil desafios e respostas para as duas
entidades. Uma forma interessante de utilizar esse esquema de autenticação é usar como
desafio e resposta um conjunto de chaves para criptografia simétrica, ficando a chave de
criptografia dinâmica e aleatória.
•
One-Time Password
Utiliza os mesmos princípios da autenticação por senha. Porém, ela só será válida
dentro de uma sessão (Session/Key ou S/Key). Nesse caso, a senha muda a cada sessão aberta
entre o cliente e o servidor. A senha é gerada em tempo real, entre o usuário e o servidor
baseada numa palavra secreta, previamente compartilhada entre ambos.
Quando uma sessão é iniciada, a forma da geração da senha é aleatória. Após sua
criação, ela é enviada ao servidor que irá compará-la com várias senhas disponíveis no seu
banco de dados, baseadas na sua estrutura de comunicação para autorizar o ingresso caso a
senha seja validada.
A desvantagem dessa autenticação é a capacidade das duas entidades em gerenciar
essa criação dinâmica de chaves únicas por sessão.
•
One-Time Password por tokens
Esse esquema de autenticação é considerado forte, pois agrega vários conceitos de
segurança extremamente eficientes. Embora eficiente, o custo desse método é elevado, pois
exige um token exclusivo para cada usuário. Quanto maior o número de usuário maior será o
custo dessa solução. Além disso, é preciso ficar atendo para a engenharia social do processo,
pois o usuário é que será o responsável pela criação e manutenção da senha.
•
Smartcards
30
É um dispositivo que tem formato de cartão de crédito, com um chip de computador
que tem funções de armazenamento e processamento interno. Sendo um cartão com poder de
armazenamento, ele pode conter a chave de criptografia, o que aumenta a velocidade de
transmissão.
O cartão é introduzido num dispositivo que pode ler a senha que está dentro dele, bem
como outras informações. Seus algoritmos são gravados sem permissão de escrita e é
necessário também uma senha fornecida pelo usuário.
Esse esquema de autenticação, também está dentro do conjunto conhecido como
criptografia forte, porque requer algo que se sabe - no caso uma senha do usuário - que pode
conter os princípios que foram citados no item Senha, tornando-a difícil de descobrir. Embora
muito eficiente, esse esquema peca ainda em relação ao item custo da solução. O Cartão é um
dispositivo e será único para cada usuário. Quanto mais usuários conectados, maior o custo da
solução como um todo. .
•
Biometria
É um sistema de autenticação baseado em algo que somos, como impressão digital,
retina, voz, ou seja, de uso pessoal e intransferível, dispensando o uso de senhas, cartões ou
crachás. Os sistemas baseados em biometria possuem alguns componentes bem definidos,
sendo eles:
• Sensor: dispositivo de medida, que informa a interface do usuário. Normalmente,
esse hardware serve tanto para capturar as informações de autenticação quanto
para armazenar as informações individuais de cada usuário.
• Medidor: um software de operação, incluindo algoritmo matemático que checará
a medida contra um modelo. Os algoritmos mais recentes têm uma flexibilidade maior e estão
menos suscetíveis a rejeitar alguém por causa de uma pequena adulteração, como por
exemplo, se o resto do modelo estiver de acordo.
O sistema por biometria é subdividido em dois eventos: registro e verificação. Cada
usuário deve ser registrado pelo administrador do sistema, pois ele faz a verificação se a
pessoa está realmente registrada e autorizada. Além disso, é feita a checagem dos níveis de
31
acesso que cada usuário pode ter. Quando o usuário precisa ser autenticado, sua característica
é capturada pelo sensor, e a informação analógica é convertida para sua representação digital.
Para que este dispositivo funcione corretamente, o administrador de sistemas precisa
configurar um valor de aceitação adequado. Caso o mesmo esteja com um nível de
configuração muito baixo, o dispositivo falha, por ser tratar de um mecanismo de autenticação
inválido. Se a sua configuração for muito alta, os usuários terão problemas de autenticação.
Utilizar a impressão digital para ligar um computador ou permitir acesso é algo cada
vez mais difundido, apesar de causar transtornos por ser feito de forma pessoal. A vantagem
sobre os outros sistemas é que o usuário é identificado por características únicas, pessoais e
intransferíveis, dispensando o uso de senha, cartões ou crachás. É utilizado tanto para controle
de acesso físico como para controle de acesso lógico.
•
Autenticação em Protocolo Ponto-a-Ponto (PPP)
Para estabelecer a conexão entre dois pontos, cada entidade precisa trocar pacotes
referentes ao controle do link. Dentre as informações trocadas, está o tipo de autenticação que
será feito entre elas.
A autenticação desse protocolo é sempre unidirecional, mesmo que as duas entidades
sejam autenticadas. Tanto o cliente quanto o servidor precisam negociar método de
autenticação e executa-la em fases separadas. Os tipos de autenticação no protocolo ponto-aponto são:
- Password Autentication Protocol (PAP)
Nesse protocolo não existe privacidade no envio do nome de usuário e
senha. O processo é repetido várias vezes para que o servidor faça a
autenticação. A desvantagem desse protocolo é a falta de controle sobre a
quantidade de conexões e a vulnerabilidade caso ocorra um ataque de força
bruta.
- Challenge Handshake Autentication (CHAP)
32
Esse método possui três fases, sempre iniciado pelo servidor. Depois que o
link é estabelecido, o servidor envia um desafio para o cliente, selecionado
de forma aleatória dentro de um conjunto preestabelecido de desafios e
resposta. O cliente devolve a resposta ao servidor, que irá valida-la no
banco de dados, autorizando ou não o usuário. Tem várias vantagens. Como
é o servidor que inicia o protocolo de autenticação, ele pode controlar o
número de respostas inválidas e negar temporariamente o usuário remoto
após algumas tentativas frustradas de validação.
- Extensible Autentication Protocol (EAP)
É um protocolo que suporta múltiplos mecanismos, diferente dos protocolos
PAP e CHAP, que são mais simples. O EAP permite vários métodos,
criando duas fases: a primeira de controle de link e a segunda de escolha de
método de autenticação. Funciona como um protocolo de negociação de
protocolos de autenticação. Passada a fase do link, o servidor envia ao
cliente uma sugestão de método de autenticação. O cliente pode aceitar ou
negar. Embora permita vários métodos de se autenticar, somente um
mecanismo será utilizado. Dessa forma, os métodos mais fracos podem ser
explorados por alguém mal-intencionado.
- Remote Authentication Dial-In User Service (RADIUS)
Esse protocolo usa uma arquitetura cliente-servidor e, com isso, adiciona
um novo elemento, o Network Access Server, ou servidor de acesso. A sua
função é permitir conexão remota via linha discada, gerenciar esses pedidos
e liberá-los ou não. Quando a conexão é estabelecida, o NAS solicita um
nome de conta e senha para efetuar a autenticação e depois cria um pacote
que contém informações que identificam o NAS que está fazendo a
solicitação.
- Session Key (S/KEY)
33
Esse método de autenticação gera uma senha em tempo real, entre o usuário
e o servidor, baseados numa palavra secreta previamente compartilhada
entre os dois lados. Dessa forma, quando uma nova senha é gerada de
acordo com a seleção aleatória, é enviada ao servidor que irá compará-la
com várias outras possíveis, também baseadas na frase secreta. Assim,
autorizando ou não o acesso.
- Trusted Third-Party Autentication
Nas construções de VPN´s em que vários usuários estabelecem redes
virtuais, torna-se cada vez mais importante separar as tarefas e delegá-las
para uma terceira entidade, que irá centralizar e realizar várias funções
relativas à autenticação de cada usuário. Quando o usuário tiver que ser
autenticado em um servidor, a terceira entidade fornece um conjunto de
credenciais para que ele possa se autenticar.
- Kerberos
O sistema de autenticação Kerberos fornece credenciais que atestam a
identidade do usuário ou serviço. Porém ele trabalha com um terceiro
elemento: servidor de autenticação.
Assim como o Radius, o Kerberos é um sistema para uma arquitetura
distribuída. Logo deve suportar autenticação para diferentes domínios que
servem a vários contextos de autenticação.
Ele é muito eficiente e bastante utilizado, mas tem uma debilidade
relacionada ao tempo de validade do ticket. O servidor gera um ticket
baseado no tempo do relógio da própria máquina. O cliente também enviou
uma hora e data baseado no seu relógio. O servidor irá validar de acordo
com o próprio relógio. Se os três relógios não estiverem sincronizados o
ticket será gerado fora da validade, ou seja, com uma data posterior ou
anterior e a autenticação não será concluída.
34
2.2 PROTOCOLOS USADOS NA REDE PRIVADA VIRTUAL
Os protocolos servem para definir como os pacotes serão encapsulados e como será
gerada a chave de criptografia e outros métodos de autenticação.
Alguns protocolos fazem exclusivamente o tunelamento. Existem outros que
conseguem agregar criptografia, autenticação e integridade às VPN´s.
Estão descritos a seguir protocolos que serão analisados dentro do contexto da VPN:
•
Protocolo Point-to-Point Tunneling Protocol (PPTP)
Protocolo de tunelamento para acesso discado. Só faz criptografia dos dados se forem
escolhidos métodos específicos de autenticação em que seja possível a troca de uma chave
única, já que a criptografia é simétrica. Não faz autenticação de pacotes. Com isso, ele não é
adequado para construção de VPN.
•
Protocolo Layer Two Tunneling Protocol (L2TP)
O L2TP foi construído para suportar dois modos de tunelamento: o voluntário e o
compulsório. O túnel voluntário é iniciado pelo computador remoto, sendo mais flexível para
usuários em trânsito que podem discar para qualquer provedor. Já o túnel compulsório é
automaticamente criado, sendo iniciado sob conexão discada.
O protocolo de tunelamento L2TP, bem como PPTP e o L2F sofre falta de
mecanismos sólidos de proteção ao túnel. O L2TP não provê um mecanismo de gerência de
chaves para a criptografia e autenticação, sendo necessário usar o IPSec para suprir essa
necessidade para a criptografia e gerenciamento de chaves.
Só é possível fazer a criptografia dos dados se forem escolhidos métodos específicos
de autenticação em que seja possível a troca de uma chave única, já que a criptografia é
simétrica. Não faz autenticação de pacotes em ambiente Windows. Recomenda-se a utilização
do L2TP/IPSec para suprir as deficiências do protocolo. Por isso ele não é adequado para
construção de VPN.
•
Protocolo Layer Two Forwarding Protocol (L2F)
35
Construído na mesma época do PPTP, a Cisco, a Northern e parte da Intel estavam
desenvolvendo a proposta do L2F, que tinham como missão permitir que provedores de
acesso ou empresas de telecomunicações oferecessem ao mercado acesso remoto para redes
privadas. Seu funcionamento consiste num túnel formado por provedor de acesso e não por
computador remoto, sendo chamados de túneis involuntários ou compulsórios. A grande
desvantagem do L2F é a mesma do PPTP, ou seja, não defini criptografia e encapsulamento
de dados.
Todos os protocolos descritos têm suas vantagens e características, mas o que vem
crescendo e o mais utilizado numa VPN é o IPSec.
2.3 PROTOCOLO IPSEC
“IPSec é um conjunto de protocolos desenvolvido para proteger o tráfego dos pacotes
IP” (KOLESNIKOV, 2002).
IPSec não é o mecanismo de encriptação ou autenticação, mas sim, uma forma de
gerenciar esses mecanismos. Em poucas palavras, é um framework (um conjunto de diversas
ferramentas, compondo um sistema) de padrões abertos que visa garantir uma comunicação
segura em redes IP. Baseado em padrões desenvolvidos pela Internet Engineering Task Force
(IETF), organização que desenvolve os padrões da Internet, o IPSec busca garantir
confidencialidade, integridade e autenticidade nas comunicações de dados em uma rede IP
pública.
O IPSec tem o objetivo de tratar todos os ataques na própria camada de rede para que
não sejam necessárias modificações nos terminais (host) ou aplicativos. Um dos meios para se
conseguir isso, por exemplo, é através da implementação de IPSec nos roteadores de borda,
por onde passa todo o tráfego externo de uma empresa/instituição. Desse modo, a segurança
atuaria de forma transparente para o usuário.
Sua principal característica é garantir a segurança da comunicação. Para isto, ele
utiliza os conceitos de autenticação, proteção à integridade, a ataques e confidencialidade.
Baseado em um modelo ponto-a-ponto, no qual dois computadores, para trocar informações
de maneira segura, usando IPSec, devem "concordar" com um conjunto comum de regras e
definições. Com o uso das tecnologias associadas, os dois computadores são capazes de se
36
autenticar mutuamente e manter uma comunicação segura, com dados criptografados, mesmo
usando um meio não seguro, como a Internet.
Um bom exemplo para o uso do IPSec seria a rede local de uma empresa, onde se quer
garantir a segurança das informações que são trocadas entre a estação de trabalho do
Presidente da empresa e as estações de trabalho da diretoria. Quando um dos diretores acessar
um arquivo em uma pasta compartilhada, no computador do Presidente da empresa, utilizando
o IPSec, os dados enviados através da rede são criptografados para garantindo um nível
adicional de segurança. Esse é um exemplo típico onde a utilização do protocolo IPSec é
recomendada. Há possibilidade de configurar os computadores do Presidente e dos diretores,
para que somente aceitem comunicação via IPSec. Com isso, esses computadores poderão
trocar informações entre si, mas outros usuários, que não estejam habilitados ao IPSec, não
poderão se comunicar com quem tem o IPSec habilitado. O IPSec não impossibilita que os
usuários instalem outro software de proteção, é um conjunto de protocolos para auxiliar na
segurança da informação.
Seu funcionamento depende muito dos componentes a serem utilizados, existindo
diversos tipos de proteções disponibilizadas. Para que se entenda o perfeito funcionamento
desta tecnologia, serão abordados os componentes mais importantes, tais como: os dois
modos de pacotes criados, as associações seguras, o gerenciamento das chaves públicas e
privadas, além da manipulação dos pacotes de dados. Todas estas características objetivam o
tráfego das informações da maneira mais segura possível.
O IPSec possui uma arquitetura aberta no sentindo de possibilitar a inclusão de outros
algoritmos de autenticação de cabeçalho, de encapsulamento seguro do dado e de
procedimentos de gerência de chaves.
A Associação de Segurança, ou Secutity Association (SA) é um dos conceitos
fundamentais do IPSec, pois define as medidas de segurança que devem ser aplicadas aos
pacotes baseados em quem os está enviando, para onde eles estão indo e que tipo de dados
eles estão conduzindo. Uma SA é identificada por três parâmetros: endereço IP de destino,
identificação do protocolo de segurança e o índice de parâmetro de segurança Security
Parameter Index (SPI). O SPI é o número que identifica uma SA, sendo definido durante a
negociação que antecede o estabelecimento desta. Assim, todos os membros de uma SA
devem conhecer o SPI correspondente e usá-lo durante a comunicação.
37
Uma SA pode ser estabelecida de dois modos diferentes: uma por transporte e outra
por túnel. No modo transporte uma Associação de Segurança é estabelecida entre dois hosts.
No caso de uma Encapsulation Security Payload (ESP11), uma SA em modo
transporte provê serviços de segurança somente para os protocolos de mais alto nível, não
incluindo os cabeçalhos IP ou os cabeçalhos de extensão que precedem o ESP. Uma SA em
modo túnel é uma SA aplicada a um túnel IP, quando pelo menos um dos membros da SA for
um gateway.
Para que esses objetivos sejam alcançados, existem dois protocolos que são
oferecidos: o Authentication Header ou Autenticação de Cabeçalho (AH) e o Encapsultion
Security Payload ou Encapsulamento Seguro de Dados (ESP). Esses dois protocolos garantem
interoperabilidade, pois eles estabelecem que todas as implementações suportem alguns
algoritmos predefinidos.
Esse dois protocolos de grande importância numa VPN serão detalhados a seguir:
•
Authentication Header – AH
O protocolo AH oferece segurança adicional ao protocolo IP, fornecendo autenticação,
anti-repetição e serviços de integridade para o pacote inteiro, sem criptografar os dados.
Dessa forma, o destinatário pode ter a certeza que os dados foram realmente enviados pelo
remetente que consta na mensagem. Os pacotes passam a estar protegidos pelo protocolo AH
que insere um cabeçalho dentro do pacote a ser protegido.
Esse protocolo fornece também autenticidade e integridade aos dados. No entanto, não
há garantia de que as informações enviadas pela rede tenham sido vistas apenas pelo
destinatário, ou seja, o AH não garante a confidencialidade.
Adiciona autenticação, integridade e garante autenticidade do pacote, de forma que
não foi alterado durante a transmissão, sendo usado no modo transporte ou túnel.
O protocolo AH previne contra ataques do tipo:
11
Protocolo que fornece autenticação, confiabilidade das informações por meio de criptografia.
38
•
Replay: quando o atacante intercepta um pacote válido e autenticado
pertencente a uma conexão, replica-o e o reenvia, "entrando na conversa". A
utilização do campo Sequence Number ajuda na prevenção a esse tipo de
ataque, pois permite numerar os pacotes que trafegam dentro de uma
determinada SA;
•
Spoofing: quando o atacante assume o papel de uma máquina confiável
para o destino e, dessa forma, ganha privilégios durante a comunicação. A
autenticação previne esse tipo de ataque;
•
"Roubo de conexões" (connection hijacking): quando o atacante
intercepta um pacote no contexto de uma conexão e passa a participar da
comunicação. A utilização de mecanismos de autenticação previne este tipo
de ataque.
O formato dos campos do protocolo AH segue conforme a figura 5.
Figura 5 - Formato do Protocolo AH
Abaixo, a descrição dos campos do Cabeçalho de Autenticação:
39
•
Próximo cabeçalho - Contém o identificador do protocolo do próximo
cabeçalho. É o mesmo valor atribuído ao campo Protocolo no cabeçalho
IP original;
•
Reservado – 16 bits reservados para a extensão do protocolo;
•
SPI – esse índice, em conjunto com o protocolo AH e o endereço fonte,
identifica unicamente uma SA para um determinado pacote;
•
Número de Seqüência – Contador que identifica os pacotes pertencentes
a uma determinada SA. A utilização desse campo ajuda na prevenção dos
ataques replay, pois permite numerar os pacotes que trafegam dentro de
uma determinada SA;
•
Dados de Autenticação – Campo de comprimento variável que contém o
ICV (Integrity Check Value) para este pacote, que é o calculado seguindo
o algoritmo de autenticação usado, definido pela SA.
O protocolo AH funciona em dois modos, o modo transporte e modo túnel.
•
Modo Transporte AH
Neste modelo, o cabeçalho original é mantido no novo pacote IP e um cabeçalho de
autenticação é inserido entre o cabeçalho original e a parte de dados, conforme mostra a
figura 6. Suas características importantes são:
•
Definido pelo protocolo IP tipo 51;
•
Utilizado para criar canais seguros com autenticação e integridade, mas
sem criptografia;
•
Permite incluir “assinatura digital” em cada pacote transportado;
•
Protege a comunicação, pois atacantes não conseguem falsificar pacotes
assinados.
40
Figura 6 - Modo Transporte no protocolo AH
•
Modo Túnel AH
Nesse modelo um novo cabeçalho é criado para o novo pacote IP e o cabeçalho de
autenticação é inserido entre o cabeçalho original e o novo cabeçalho.
O AH não garante a confidencialidade. Para acrescentar essa funcionalidade o IPSec
utiliza o protocolo ESP, que cifra os dados antes da transmissão. Os protocolos ESP e AH
podem ser utilizados em conjunto para garantir uma maior segurança. Suas características
importantes são:
•
O modo de túnel AH encapsula um pacote IP com um cabeçalho de AH e
um cabeçalho IP e assina todo o pacote para integridade e autenticação;
•
Fornece segurança para camada IP;
•
Utilizado geralmente em comunicação de roteadores
A figura 7 mostra os campos do protocolo AH em modo túnel.
41
Figura 7 - Modo túnel no protocolo AH
•
Encapsulation Security Payload – ESP
O protocolo de Encapsulamento Seguro de Dados fornece autenticação, confiabilidade
das informações por meio de criptografia e proteção. O algoritmo de criptografia utilizado é
configurado na SA, na qual o pacote IP é enviado, sendo que cada pacote deve conter
informações necessárias para o sincronismo de sua criptografia, permitindo a sua
descriptografia. Caso nenhum algoritmo de criptografia seja utilizado, o que é uma situação
possível no padrão, o protocolo ESP só oferecerá o serviço de autenticação.
O protocolo ESP adiciona a autenticação e a confidencialidade, garantindo que
somente os destinatários autorizados tenham acesso ao conteúdo do pacote. O ESP pode ser
usado no modo transporte ou no modo túnel, como será descrito posteriormente. O uso do
ESP previne ataques do tipo:
•
Replay, através da utilização do campo Sequence Number, de maneira
análoga ao AH;
•
Particionamento de pacotes cifrados, que é o que acontece quando o
atacante obtém partes de pacotes cifrados e consegue montar um pacote
que pode ser aceito por um dos membros da conexão. O uso de
autenticação previne este tipo de ataque;
•
Sniffer, ou seja, quando o atacante obtém os pacotes que trafegam na rede. A
utilização da criptografia previne este tipo de ataque.
42
A figura 8 mostra um exemplo dos campos do protocolo ESP.
Figura 8 - Campos do Protocolo ESP.
Assim como no protocolo AH, o ESP também tem dois modos de funcionamento.
•
Modo Transporte ESP
No modo transporte o cabeçalho ESP é inserido entre o cabeçalho IP e os Dados,
adicionando os campos “Dados de Autenticação” e “Segmento de Autenticação”. Se o pacote
original já tiver um cabeçalho de segurança IPSec, esse novo pacote será colocado antes do
cabeçalho IPSec já construído.
No modo transporte, o ESP criptografa e, opcionalmente, autentica o IP, mas não o
cabeçalho IP. Já o AH autentica o payload IP e partes selecionadas do cabeçalho IP.
A figura 9 mostra a estrutura dos campos do modo transporte ESP.
43
Figura 9 - Modos transporte no protocolo ESP
•
Modo Túnel ESP
No modo túnel todo pacote original é colocado dentro de um novo pacote, sendo
gerado um novo cabeçalho IP e cabeçalho ESP, bem como adiciona os campos “Dados de
Autenticação” e “Segmento de Autenticação”.
O modo túnel é empregado quando um ou ambos os lados de VPN for um gateway de
segurança, como um firewall ou um roteador que implemente IPSec. Com o modo túnel, os
hosts de uma rede local protegida por um firewall podem efetuar comunicações com
segurança sem implementá-lo . Os pacotes não protegidos gerados a partir destes hosts são
encaminhados por túneis criados por software pelo firewall ou, em outros casos, em um
roteador de borda da rede local. Além de usar os protocolos AH ou ESP individualmente, tem
suporte para combinações dos dois modos. A idéia é utilizar um túnel para a autenticação dos
cabeçalhos internos do pacote IP original, e aplicar o AH, o ESP ou ambos externamente no
modo de transporte, para ampliar a proteção para o novo pacote e novo cabeçalho externo,
conforme descrito anteriormente. Deve-se observar que, no modo túnel, o AH e o ESP não
podem ser utilizados simultaneamente, já que o ESP tem seu próprio esquema de
autenticação.
44
Figura 10 - Modos túnel no protocolo ESP
Outros componentes que trabalham em conjunto com o IPSec são:
•
Banco de dados de Segurança
Dois bancos de dados são utilizados pelo IPSEC: o banco de dados de políticas de
segurança Security Policy Database (SPD) e um banco de dados da associação de segurança
Security Association Database (SAD).
O Banco de Dados de Associação de Segurança contém um conjunto de parâmetros
associados à Security Association (SA). Cada SA tem uma entrada nesse banco, especificando
tudo que é necessário ao processamento do IPSec para cada pacote IP pertencente à SA. As
informações armazenadas no banco são:
•
Índice dos parâmetros de segurança (SPI): é um número que identifica a
SA dentro do SAD;
•
O protocolo utilizado na SA, pode ser ESP ou AH;
•
O modo no qual a SA está operando, podendo ser túnel ou transporte;
•
Contador seqüencial do pacote IP dentro da SA;
•
Número máximo de unidades de transmissão;
45
•
Endereço IP de origem da SA;
•
Endereço IP de destino da SA;
•
Algoritmo de autenticação e sua chave de autenticação;
•
Algoritmo de criptografia e sua chave de criptografia;
•
Tempo de vida da chave de autenticação e da chave de criptografia;
•
Tempo de vida da SA.
O Banco de dados de políticas de segurança contém a lista de regras a serem aplicadas
ao pacote IP. Políticas de segurança são regras que especificam como o pacote IP deve ser
processado independente da SA.
•
Gerenciamento de Chaves
Conforme os serviços de segurança IPSec compartilham chaves secretas, que são
utilizadas para autenticação, integridade e criptografia, as especificações do IPSec, definem
um conjunto separado de mecanismo para o gerenciamento de chaves.
Para uma distribuição manual e automática de chaves, foram especificados
procedimentos baseados em chaves públicas sendo possível utilizar ISAKMP/OAKLEY
(Internet Security Association and Key Management Protocol). O ISAKMP define o método
de distribuição de chave e o OAKLEY, define como as chaves são geradas.
Internet Key Exchange
O IKE é Baseado no protocolo ISAKMP (Internet Security Association and Key
Management Protocol) e parte da implementação Oakley e SKEME (Secure Key Exchange
Mechanism) como métodos de troca de chaves.
O ISAKMP define duas entidades que instituirão um canal de comunicação seguro
entre elas, fazendo com que os participantes se autentiquem entre eles trocando as
informações de chaves e negociando serviços de segurança, pois não especifica como a
autenticação é feita ou quais as chaves são geradas. É definido um caminho seguro ou veículo
de transporte, deixando o conteúdo para que outro processo o especifique.
46
A figura 11 mostra os campos do cabeçalho ISAKMP.
Figura 11 – Campos do cabeçalho ISAKMP
O ISAKMP tem duas fases na negociação da associação de segurança. A primeira
etapa é a negociação entre duas entidades ISAKMP. Nessa fase, as duas entidades concordam
em como proteger a comunicação futura entre elas, estabelecendo uma confiável associação
de segurança.
Na segunda etapa é uma associação de segurança para outros protocolos. No caso
IPSec, é negociada entre as entidades. Como o canal entre as entidades já foi estabelecido na
fase um, essa fase é mais rápida. Normalmente, é nela que se negocia a SA do IPSec.
2.4 CONSIDERAÇÕES
A VPN proporciona um túnel virtual com meio seguro de transporte de dados entre
computadores. Além disso, essa forma de comunicação é segura e de baixo custo. Existem
diversas opções de protocolos para a interoperabilidade de redes VPN, entretanto, o IPSec é a
melhor opção. O IPSec está sendo adotado por muitas empresas como o protocolo padrão de
47
gerenciamento da encriptação e autenticação, pois ele consegue garantir a confidencialidade,
integridade e autenticidade de conexões VPN que utilizam a Internet como meio de
comunicação. Além disso, com a utilização dos protocolos AH e ESP, o IPSec oferece uma
segurança adicional ao pacote IP.
Além do conhecimento teórico e das tecnologias utilizadas em uma rede VPN é
preciso conhecer e utilizar ferramentas para a configuração, gerenciamento e implantação de
redes VPN. Existem diversas ferramentas disponíveis no mercado, entretanto, é preciso saber
escolher a ferramenta que atenda as suas necessidades.
48
3 – FERRAMENTAS DE REDE PRIVADA VIRTUAL
O crescimento de usuários na Internet fez surgir a demanda por ferramentas
comunicação para proporcionar segurança aos usuários. Diante disso, John Gilmore,
profissional da área de segurança de dados, envolveu-se em um projeto na tentativa de prover
segurança para 5% do tráfego da Internet, contra a espionagem de dados. De acordo com
Gilmore é possível alcançar um total de 100% de segurança e privacidade nos dados trocados
na Internet. Para isso, é preciso mobilizar e criar uma rede cooperativa de profissionais com
objetivo de disseminar e ampliam o uso das tecnologias de segurança e privacidade
(GILMORE, 2001).
O projeto intitulado S/WAN ou (Secure Wide Area Network) passou a se chamar
FreeS/WAN, pois como se tratava de um software livre, o objetivo era diferenciar esse
projeto de outras implementações comerciais. Além do FreeS/WAN, existem outras
ferramentas para a implementação de redes VPN, porém será descrito alguns que são
bastantes utilizados em VPN e que sejam Freeware (distribuídos livremente).
3.1 FREES/WAN
“O projeto FreeS/Wan é uma implemantação para Linux do protocolo IPSec, que
provê criptografia e autenticação à serviços baseados no protocolo IP, fundado pelo
americano John Gilmore, mas foi desenvolvido por um grupo de canadenses. Não foi
possível, no início da iniciativa, desenvolver o projeto nos Estados Unidos da América, pois
as leis americanas proíbem a exportação de qualquer software criptográfico.
A idéia é colocar computadores rodando GNU/Linux entre o computador do usuário e
o resto da Internet, de preferência no provedor do usuário. Sempre que o usuário acessar uma
máquina (um site na Internet por exemplo) que não suporte criptografia, o tráfego vai em
“texto simples”, como de costume. Quando a máquina suportar, a criptografia então é ativada.
Praticamente, cada pacote é colocado dentro de um “envelope” de um lado da rede, e
removido do “envelope” quando chega ao seu destino. Isso tudo para qualquer tipo de tráfego
na Internet, incluindo acesso à Web, Telnet, FTP, E-mail, IRC, Usenet, etc.
49
Esse sistema de criptografia funciona da seguinte forma: cada pessoa instala esse
sistema para o seu uso pessoal, torna-se mais favorável para as pessoas à sua volta aderirem
ao movimento. O software automaticamente verifica as novas máquinas instaladas, e não
necessita de nenhum administrador de rede para configurá-la.
O projeto FreeS/WAN tem como objetivo incluir a segurança diretamente no centro da
Internet, ou seja, fazer com que a Internet já tenha um nível de segurança nativo, para que
seja tão simples estabelecer uma conexão segura quanto fazer qualquer outro tipo de conexão
na Internet. Além disso, o projeto visa a padronização do IPSec em relação a outros
protocolos de tunelamento e está disponível livremente na Internet, sobre a licença GNU
GPL.
O site oficial do FreeS/WAN é http://www.freeswan.org/, conforme mostra a figura
12.
Figura 12 – Site Oficial do Projeto FreeS/WAN
O projeto tem como objetivo:
50
•
Ajudar o IPSec a se tornar, de fato, um padrão mundial amplamente utilizado;
•
Disponibilizar uma implementação do IPSec sem restrições, com código-fonte
disponível livremente;
•
Rodar em diversas plataformas de hardware;
•
Prover uma implementação de IPSec para Linux de alta qualidade,
•
Suportar todas as plataformas que rodem o Linux;
•
Estender o IPSec a fazer criptografia para que qualquer conexão seja feita de maneira
automática, sem nenhuma necessidade prévia de configuração;
•
Garantir que a segurança de conexão entre dois pontos seja feita por padrão;
•
Criptografar uma significante fração de todo o tráfego da Internet.
Algumas distribuições de GNU/Linux incluem o FreeS/WAN. Em alguns países, o
controle governamental sobre a criptografia não é tão forte como nos Estados Unidos. Dentre
as distribuições que incluem o FreeS/WAN:
•
SuSE GNU/Linux (Alemanha);
•
Conectiva GNU/Linux (Brasil);
•
Edição de Servidor do Corel GNU/Linux (Canadá);
•
Polish(ed) GNU/Linux Distribution (Polônia);
•
Trustix Secure GNU/Linux (Noruega);
•
Debian GNU/Linux (sito em áreas "non-US");
•
Mandrake GNU/Linux (França).
Outras distribuições que não incluem o FreeS/SWAN, pode-se fazer o download da
ferramenta através do site do projeto.
Além disso, os principais sistemas operacionais proprietários também suportam o
IPSec, dentre eles:
•
Microsoft Windows;
•
Apple Mac OS X;
51
•
OS390 da IBM suporta a criptografia através de um co-processador;
•
Solaris 8 da Sun;
•
HP-UX da Hewlett Packard.
“A desempenho do FreeS/WAN, de acordo com testes realizados por usuário da
ferramenta ao redor do mundo, um 486/66 é o mínimo necessário para suportar um link T1
(10 Mbps), utilizando 100% do processador da máquina” (AMADORI, 2001).
Se levar em conta outros processos e der metade do tempo do processador para o
FreeS/WAN, terá uma taxa de 5 Mbps. Definitivamente, é uma excelente taxa/consumo de
processador, levando em consideração a arquitetura e velocidade da CPU.
Portanto, o FreeS/WAN provê uma solução econômica e eficaz para a plataforma
GNU/Linux, dispensando o uso de equipamentos dispendiosos dedicados à prática de VPN,
bastando apenas um microcomputador PC comum, duas placas de rede e um sistema
operacional livre disponível amplamente na Internet. É realmente promissora a proposta de
tornar o ambiente inseguro da Internet e um espaço totalmente seguro e privado.
Apesar de ainda ser muito utilizado, ter uma ampla documentação, infelizmente o
projeto FreeS/WAN não está mais em desenvolvimento, porém, tem a sua continuação com o
Openswan.
3.2 OPENVPN
Outra opção de configuração simples para a implantação de VPN é o OpenVPN. Ela é
uma ferramenta que provê a segurança dos acessos remotos. O OpenVPN simplesmente pega
a informação a ser enviada, criptografa e envia pela Internet, por um pacote UDP. Ele não
tem grandes problemas para passar por firewalls ou roteadores que fazem Network Address
Translation (NAT).
Utiliza o protocolo padrão da indústria Secure Sockets Layer/Transport Layer Security
(SSL/TLS), suporta os métodos flexíveis de autenticação e permite ao usuário criar políticas
específicas de controle de acesso.
52
O OpenVPN não é um proxy12 da aplicação e não se opera com um web browser13.
Seu
download
pode
ser
feito
através
do
site
oficial,
no
endereço
http://openvpn.net/download.html, conforme demonstrado na Figura 13.
Figura 13 – Download da ferramenta OpenVPN
Algumas características do OpenVPN são:
•
Poder criar túnel para qualquer sub-rede IP ou adaptador ethernet14, por um porte
UDP ou TCP;
12
Proxy é um software que armazena dados em forma de cache em redes de computadores.
13
Browser é um programa que habilita seus usuários a interagirem com documentos HTML hospedados em um
servidor Web.
14
Ethernet é uma tecnologia de interconexão para redes locais baseada no envio de pacotes.
53
•
Usa todas as características de encriptação, autenticação e certificação da biblioteca
OpenSSL, para proteger o tráfego privado pela Internet;
•
Qualquer cifragem, tamanho de chave, para datagrama de autenticação, tem suporte
para biblioteca OpenSSL;
•
Pode-se escolher entre encriptação convencional, baseado em chave estática ou
certificados baseados em encriptação de chave pública;
•
Pode-se criar túneis através de firewalls, sem ter que criar regras específicas;
•
Ferramenta completamente independente do sistema operacional em que esta
instalada, não havendo necessidade de nenhum procedimento quando há atualizações;
•
Esta ferramenta possibilita todos os recursos do SSL (Secure Socket Layer), podendo
oferecer criptografia dos dados com elevados níveis. Possibilita uso de certificados
digitais para autenticação, uso de senha e uma versão, que na época deste trabalho
estava em testes, possibilitava em ambiente Windows o uso de SmartCard para
autorização dos clientes.
3.3 OPENSWAN
O Openswan é uma implementação do protocolo IPSec para o sistema operacional
Linux. Surgiu a partir do projeto FreeS/Wan. Tem o mesmo intuito, tanto que alguns
colaboradores do projeto FreeS/WAN que deram inicio ao Openswan, sendo uma ótima
ferramenta também.
O Openswan tem sido bastante utilizado e tendo destaque no mercado por dar
continuidade ao FreeS/WAN, que atualmente encontra-se sem desenvolvimento a alguns
anos. Ele suporta Kernels 2.0, 2.2, 2.4 e 2.6 e funciona em diversas plataformas.
Características do Openswan;
•
Solução baseada no protocolo IPSec, oferecendo segurança;
•
Ferramenta bastante conhecida na área de TI com Linux;
54
•
.Compatibilidade com os sistemas operacionais Unix;
•
Encontra-se em constante desenvolvimento.
A figura 14 apresenta o site oficial da ferramenta, que pode ser acessada no endereço
http://www.openswan.org/.
Figura 14 - Site Oficial do Projeto Openswan
3.4 CONSIDERAÇÕES
As ferramentas de VPN pesquisadas oferecem qualidade e segurança nas conexões
VPN. Elas garantem a entrega integra dos dados no destinatário. Além disso, por se tratar de
software livre, as falhas serão identificadas e corrigidas rapidamente, pois os desenvolvedores
trabalham de forma cooperativa por meio da Internet.
55
Além da facilidade, o projeto Openswan está dando continuidade ao FreeS/WAN, com
o auxilio de vários colaboradores se interessassem e se unirem ao projeto. Sua documentação
é vasta e pode ser encontrada em sites relacionados ao assunto, o que incentiva seu uso.
Para que a VPN e a ferramenta tenha sucesso na conexão e transmissão das
informações, não é necessário apenas instalar, e sim analisar diversos fatores, entre eles o
local onde o gateway VPN será instalado na rede da empresa. A topologia adotada tem grande
influência no custo da implantação da VPN, nas regras de firewall, nas políticas de segurança,
além da performance, pois tem todo o fluxo por onde os dados irão passar. É esse
levantamento que será visto no capítulo 4.
56
4 – TOPOLOGIAS PARA REDE VIRTUAL PRIVADA
O objetivo principal de uma VPN é prover o suporte criptográfico de uma conexão
segura entre dois computadores. A configuração e gerência da VPN é muito importante para
evitar o acesso indevido aos dados. Em alguns casos é necessário fazer uma revisão na
política de segurança, na topologia da rede e na estrutura da empresa para que a VPN seja
utilizada de forma eficaz.
A topologia de rede está relacionada à forma como os micros são ligados fisicamente
entre si, ou seja, o tipo e a distribuição dos cabos de rede. Dependendo da topologia adotada,
ela apresenta vantagens e desvantagens. Por isso, a escolha é um fator importante.
A implantação de uma VPN dentro da estrutura de segurança de uma rede de
computadores apresenta-se como um problema delicado. Deve-se estar atento a todos os
aspectos envolvidos, pois uma configuração errada pode comprometer a segurança da rede
como um todo. No caso da colocação de um serviço de VPN em uma rede já existente, esse
fato pode implicar na revisão da topologia de segurança, com o objetivo de assegurar as
premissas já adotadas.
Segundo o professor universitário José Pinheiro, há algumas regras para a colocação
de um gateway VPN, que são as seguintes:
•
Não deve comprometer a política geral de segurança da rede;
•
Sua localização não deve se constituir num único ponto de falha;
•
Deve aceitar tanto tráfego criptografado como não criptografado da rede confiável;
•
Deve defender-se de ataques vindos da Internet.
Serão analisadas diversas configurações referentes a localização da VPN dentro da
rede da empresa e ao término, uma indicação de uma topologia eficácia. Foram analisadas as
seguintes topologias de implantação do gateway VPN:
•
Dentro do firewall;
•
Em frente ao firewall;
•
Atrás do firewall;
57
•
Paralelo ao firewall;
•
Ao lado do firewall;
•
Junto com outros equipamentos da DMZ15 (DeMilitarized Zone);
•
Em DMZ separada;
•
Em múltiplas DMZ´s.
4.1 GATEWAY VPN DENTRO DO FIREWALL
É a opção que parece mais natural, pois toda a segurança da rede é feita por uma única
máquina, consequentemente, há uma redução de custos, pois não será necessário investir em
mais equipamentos. Essa opção de arquitetura deve considerar o possível aumento de
complexidade das regras de filtragem, pois muitas vezes é necessário lidar com cenários
complexos de acesso de clientes VPN.
Teoricamente é uma configuração que uniformiza a administração e o gerenciamento
dos componentes da rede. Entretanto, não é uma solução viável devido às limitações na
habilidade de roteamento, de execução da criptografia de chave pública e no chaveamento
entre sessões cifradas.
Figura 15 - Exemplo de gateway VPN dentro do firewall
“Essa solução constitui um único ponto de falha, pois um ataque à VPN pode
comprometer toda a estrutura do firewall” (PINHEIRO, 2004).
15
Conhecida como Rede de Perímetro, a DMZ é uma pequena rede situada entre uma rede confiável e uma não
confiável, geralmente entre a rede local e a Internet.
58
4.2 GATEWAY VPN EM FRENTE AO FIREWALL
Um gateway VPN em frente a um firewall, como o ponto de conexão à Internet,
apresenta falhas, podendo ser explorado por um intruso.
Essa configuração permite a passagem de dados criptografados ou não através do
gateway VPN. Nesse caso ele recebe os dados sem qualquer tipo de análise, pois os dados não
passaram antes pelo firewall. Um gateway VPN não é o equipamento adequado para a
conexão direta com a Internet, pois não está preparado para proteger a rede da invasão de
intrusos.
Figura 16 - Exemplo de gateway VPN em frente ao firewall
Porém, segundo Lino Silva, a idéia dessa topologia é que o tráfego VPN seja
inspecionado pelo firewall depois que os pacotes saiam da rede virtual. “Temos alguns fatores
a considerar, como o gateway VPN estar exposto ao mundo externo e sujeito a qualquer tipo
de ataque. Caso o gateway ficar comprometido ou pare suas atividades por falha, todo o
tráfego pode parar, tornando sua rede indisponível” (SILVA, 2003).
Como essa topologia não existe controle de acesso, ou seja, usuários remotos irão se
conectar ao gateway VPN, que irá descriptografar os dados e repassá-los ao firewall, sem
59
analisar os serviços e portas. O usuário que pretende acessar, terá que se autenticar mais de
uma vez, pois o gateway VPN não compartilha informações.
4.3 GATEWAY VPN ATRÁS DO FIREWALL
Nessa configuração a proteção é fornecida pelo firewall, pois os dados originários da
Internet com destino a rede interna passam primeiro pelo firewall. Dessa forma, é necessário
configurar uma rota específica para redirecionar o transporte dos dados destinados ao gateway
VPN. O ponto fraco dessa configuração é que o firewall não poderá filtrar ou analisar os
dados descriptografados originários do gateway VPN com destino a rede interna, pois eles
não passarão mais pelo firewall. Portanto, haverá o risco de invasão a partir do gateway VPN.
A figura 17 apresenta a topologia proposta.
Nessa topologia o firewall pode ficar congestionado e prejudicar o desempenho da
rede, pois todo trafego destinado exclusivamente ao gateway VPN passará obrigatoriamente
pelo firewall.
Figura 17 - Exemplo de gateway VPN atrás do firewall
A vantagem dessa configuração é que o gateway VPN não fica exposto e vulnerável a
ataques originários da Internet, pois os dados passarão primeiro pelo firewall que irá proteger
o gateway e a rede interna.
60
“O firewall deverá “deixar passar” todo tráfego pertinente ao gateway VPN. Com isso
todos os pacotes pertencentes à rede só serão analisados depois que passarem pelo firewall.
Caso não sejam pertinentes à conexão de VPN, o gateway VPN deverá descartá-los. Não
entendi. Parece que você está desdizendo o que disse antes” (PINHEIRO, 2004).
4.4 GATEWAY VPN PARALELO AO FIREWALL
O gateway VPN paralelo ao firewall propõe a separação do tráfego da VPN do tráfego
da Internet. Os dados originários da Internet terão duas opções após a saída do roteador. Os
dados com destino ao gateway VPN serão encaminhados diretamente para ele e os dados com
destino a rede interna serão encaminhados ao firewall. Nesse caso o gateway VPN só
permitirá o transporte de dados criptografados.
A vantagem dessa configuração é a distribuição e balanceamento do transporte de
dados de acordo com o destino. O transporte de dados com destino ao gateway VPN não
passarão pelo firewall e vice e versa. Entretanto, essa configuração apresenta a desvantagem
da vulnerabilidade do gateway VPN que estará exposto a tentativa de invasão, pois ele não
possui as funcionalidades de um firewall. A figura 18 apresenta a topologia dessa proposta.
Figura 18 - Exemplo de gateway VPN paralelo ao firewall
4.5 GATEWAY VPN AO LADO DO FIREWALL
Essa topologia propõe a instalação de uma interface de rede adicional no firewall,
criando dessa forma um segmento de rede adicional exclusivo para o gateway VPN. O
61
transporte de dados criptografados com destino ao gateway VPN serão reencaminhados pelo
firewall. Após a análise e descriptografia feita pelo gateway VPN os dados passarão
novamente pelo firewall. Nesse momento, o firewall fará a análise e filtragem dos pacotes
com destino a rede interna para evitar a entrada de fluxo malicioso originário do gateway
VPN que em seguida irá reencaminha-lós a rede interna.
Essa proposta é bem interessante, pois não deixa o gateway VPN exposto a ataques
originários da Internet. Além disso, os dados criptografados destinados ao gateway VPN são
redirecionados diretamente sem uma análise prévia e apenas no retorno para a rede interna é
que serão analisados pelo firewall. Esse procedimento diminui muito o congestionamento do
firewall. De acordo com Pinheiro, essa configuração apresenta uma melhor eficácia que as
propostas anteriores. A figura 19 apresenta o funcionamento dessa topologia (PINHEIRO,
2004).
Figura 19 - Exemplo de gateway VPN ao lado do firewall
4.6 DEMILITARIZED ZONE (DMZ)
Antes de analisar a topologia do gateway VPN combinado com DeMilitarized Zone
(DMZ), conhecida também de zona desmilitarizada ou rede de perímetro, será explicado o
que se trata e qual a função de uma DMZ.
É uma pequena rede situada entre uma rede confiável e uma não confiável, geralmente
entre a rede local e a Internet.
62
A função de uma DMZ é manter todos os serviços que possuem acesso externo
(HTTP, FTP, etc) separados da rede local limitando o dano em caso de comprometimento de
algum serviço nela presente por algum invasor. Para atingir este objetivo os computadores
presentes em uma DMZ não devem conter nenhuma rota de acesso à rede local.
O firewall é o ponto divisor entre a rede interna e a externa, no qual o tráfego que
entra e sai por ele é vigiado, filtrado e, algumas vezes, modificado. Entretanto, existe ainda
uma terceira rede que não corresponde nem à rede externa, nem à interna. Essa rede é a
chamada DMZ, que é uma rede configurada separadamente da rede privada da organização e
da Internet.
A DMZ permite o acesso de usuários externos aos servidores específicos localizados
na rede de perímetro, ao mesmo tempo em que evita o acesso à rede corporativa interna. Ela
tem como papel principal ser uma espécie de rede "tampão" entre as redes externa e interna,
ou seja, manter todos os serviços que possuem acesso externo (http, FTP, etc) separados da
rede local, limitando o dano em caso de comprometimento de algum serviço.
Figura 20 - Exemplo DMZ
Para atingir esse objetivo os computadores presentes em uma DMZ não devem conter
nenhuma rota de acesso à rede local além de funcionar com o mínimo de recursos possíveis
ao oferecer um determinado serviço. O comprometimento de um equipamento qualquer,
63
situado na DMZ, não deve servir para o comprometimento de equipamentos e/ou serviços da
rede interna. Qualquer tentativa de ataque deve ficar confinada aos equipamentos situados na
DMZ.
Outra questão a ser considerada refere-se à posição específica do gateway VPN em
relação aos equipamentos da DMZ. A solução não é necessariamente única, pois vai depender
da própria estrutura das redes que irão se comunicar através da VPN. Algumas alternativas
serão vistas se seguir.
4.7 EM CONJUNTO COM OUTROS EQUIPAMENTOS DA DMZ
Nessa configuração, os equipamentos podem ser acessados por usuários não
participantes da rede interna.
Para o caso de VPN, conectando redes através de uma extranet, os usuários destas
redes poderiam ter acesso a serviços disponíveis para qualquer usuário externo, porém de
modo criptografado. Entretanto, os pacotes provenientes dessas redes não seriam submetidos
às regras de filtragem, pois os pacotes originais, antes da passagem pelo gateway VPN,
estariam criptografados, impedindo a filtragem de seu conteúdo. Com isso, uma parte da
política de segurança, expressa através das regras de filtragem, não seria aplicada a uma
parcela do tráfego da rede.
Outra possibilidade é que o tráfego oriundo do gateway VPN pode não estar destinado
a qualquer dos servidores situados na DMZ, mas sim para algum destino além. Nesse caso, o
tráfego descriptografado seria passível de filtragem antes de alcançar seu destino. Isso não
impediria que um usuário malicioso situado, na rede externa, enviasse pacotes aos servidores
situados na DMZ, violando a política de segurança e que tenha outro destino que não seja
algum equipamento situado na DMZ.
Quando o tráfego na VPN envolve uma filial da mesma empresa, ou seja, uma subrede da mesma rede, a situação é bastante parecida. Nessa arquitetura ocorre a mistura do
tráfego vindo de uma rede confiável (nesse caso considerando como confiável o tráfego vindo
de uma subdivisão da própria rede), com tráfego oriundo de usuários externos.
64
Os equipamentos colocados na DMZ devem ser configurados de modo a funcionar
com o mínimo de recursos possíveis ao oferecer um determinado serviço, justamente por estar
exposto. Desse modo, pode-se estar restringindo o acesso a informações importantes para
membros da rede confiável. Por outro lado, o tráfego poderia ter como destino, servidores
situados em outros lugares que não a DMZ. Assim, como no caso anterior, a filtragem do
conteúdo dos pacotes que estavam anteriormente criptografados.
4.8 EM DMZ SEPARADA
Na DMZ separada não ocorrem muitos dos problemas mencionados anteriormente,
pois há um isolamento do tráfego descriptografado com relação ao tráfego vindo direto da
Internet.
A complexidade de configuração nas regras do filtro é maior, pois tem-se mais uma
interface para administração e aplicação dessas regras. Porém, com o uso de software
específico, pode-se ter as regras de filtragem a serem aplicadas em determinada interface, em
um único bloco separado, de modo a tornar a administração destas políticas mais fácil,
controlando-se de modo mais transparente os acessos aos recursos da VPN.
Pode-se aproveitar a existência dessa DMZ para incluir também outros serviços
necessários aos usuários de extranet ou de redes externas, evitando o acesso desnecessário à
rede interna para responder às solicitações de HTTP, FTP e outras, de usuários não totalmente
confiáveis (notar que não está sendo realizada novamente a filtragem pós-passagem pelo
VPN).
4.9 CONFIGURAÇÃO DE MÚLTIPLAS DMZ´S
Nessa situação têm-se um filtro externo e um interno exclusivamente para a VPN. As
vantagens são as simplificações de endereçamento, a divisão entre o tráfego de Internet
comum, o tráfego para redes confiáveis via VPN e a possibilidade de uma filtragem exclusiva
das solicitações de conexões oriundas da faixa de endereços internos atribuídos a máquinas de
extranet, parceiros de redes corporativas, de filiais ou de acesso remoto.
65
Qualquer alteração nas regras desse tipo de acesso não acarreta reflexo de filtragem
que estão no outro roteador. É claro que uma configuração desse tipo significa uma
duplicação de recursos físicos necessários, o que pode ser contornado quando colocados o
filtro externo e a VPN em uma única máquina. Algumas soluções disponíveis podem atender
a esse tipo de topologia, porém deve-se atentar para o enfraquecimento da segurança quando
se tem um único ponto de falha.
No caso de uma extranet ou de parceiros corporativos, há também a possibilidade da
alocação dos recursos ou equipamentos necessários nessa DMZ. Contudo, perde-se a
vantagem da possibilidade de filtragem do tráfego recém-descriptografado, antes que ele
alcance qualquer outro equipamento da rede. O tráfego vindo das filiais poderia ser filtrado
imediatamente após o seu deciframento, possibilitando a aplicação efetiva das regras,
aumentando o nível de segurança em relação ao tráfego vindo das filiais.
A figura 21 mostra a topologia de múltiplas DMZ´S.
Figura 21 - Exemplo de gateway VPN numa DMZ
66
4.10 ELABORAÇÃO DO QUESTIONÁRIO
Após a análise das vantagens e desvantagens das propostas de topologias apresentadas
foi feita uma pesquisa junto a empresas que utilizam VPN. Foi elaborado um questionário
com o objetivo de verificar na prática com está sendo feito o uso de VPN em empresas de
pequeno, médio e grande porte. O questionário foi encaminhado por e-mail para responsáveis
pela segurança da informação das empresas pesquisadas. Os resultados obtidos ajudaram a
validar a importância de uma configuração e gerencia eficaz da VPN. Além disso, foi
constatada a importância desse trabalho no auxilio aos profissionais que já utilizam ou
pretendem implantar uma VPN. O questionário é composto das seguintes perguntas:
1 – Há quanto tempo sua empresa utiliza Virtual Private Network (VPN)?
2 – Quais os motivos da utilização da VPN?
3 – Foi feito alguma documentação ou projeto escrito, incluindo uma política de segurança na
utilização da VPN?
4 – Houve alguma alteração na topologia ou infra-estrutura da rede antes da instalação da
VPN? Se sim, quais foram as modificações e seus motivos.
5 – Onde está instalado o servidor de VPN? (junto ao firewall, antes do firewall, depois do
firewall ou na DMZ?).
6 – Quais os motivos da escolha do local de instalação da VPN?
7 – Descrever quais foram as vantagens e desvantagens identificadas na utilização da VPN?
8 - Qual a Ferramenta utilizada na construção da VPN? (OpenVPN, FreeSwan, Openswan).
9 – Quais os motivos de escolha da ferramenta de VPN?
10 - Quais foram as dificuldades, vantagens e desvantagens da utilização dessa ferramenta de
VPN?
4.11 ANÁLISE DO QUESTIONÁRIO
O questionário foi respondido por 20 empresas de pequeno, médio e grande porte,
pública e privada, que atuam na área de tecnologia da informação. Há empresas que utilizam
67
a VPN para uso próprio ou prestando serviços à terceiros. Os resultados obtidos com a
aplicação do questionário foram os seguintes:
1 – Há quanto tempo sua empresa utiliza Virtual Private Network (VPN)?
25%
50%
25%
3 anos
4 anos
5 anos
Figura 22 – Porcentagem referente ao período de tempo que as empresas consultadas
utilizam VPN
2 – Quais os motivos da utilização da VPN?
Acesso Remoto
14%
28%
Comunicação com
Filiais
Diminuição de Custos
29%
29%
Seguraça da Informação
Figura 23 – Porcentagem referente ao motivo das empresas utilizarem VPN
68
3 – Foi feito alguma documentação ou projeto escrito, incluindo uma política de segurança na
utilização da VPN?
Sim
100%
Figura 24 – Porcentagem das empresas que fizeram projeto na utilização de VPN
4 – Houve alguma alteração na topologia ou infra-estrutura da rede antes da instalação da
VPN? Se sim, quais foram às modificações e seus motivos.
25%
75%
Não
Sim
Figura 25 – Porcentagem das empresas que alteraram a topologia ou infra-estrutura
69
5 – Onde está instalado o gateway VPN? (ex: junto ao firewall, antes do firewall, depois do
firewall lado do firewall, DMZ, etc?).
25%
75%
Junto ao Firewall
Lado Firewall
Figura 26 – Local onde está instalado o gateway VPN
6 – Quais os motivos da escolha do local de instalação da VPN?
50%
50%
Economia
Menor Complexibilidade
Figura 27 – Motivo das em presas consultadas em adotar o uso de VPN
70
7 – Descrever qual foi a vantagens e desvantagens identificadas na utilização da VPN? (Obs:
Não foram identificados desvantagens pelas empresas).
Vantagens
40%
60%
Acesso Remoto Seguro
Custo
Figura 28 – Porcentagem referente a vantagens de se utilizar VPN
8 - Qual a Ferramenta utilizada na construção da VPN? (OpenVPN, FreeSwan, Openswan)
40%
60%
Ferramenta Própria
FreeSwan
Figura 29 – Porcentagem das ferramentas de VPN utilizada
71
9 – Quais os motivos de escolha da ferramenta de VPN?
22%
45%
22%
Suporte
11%
Fácil instalação
Performance
Estabilidade
Figura 30 – Motivos pelas quais as empresas adotaram o uso de VPN
10 - Quais foram as dificuldades, vantagens e desvantagens da utilização dessa ferramenta de
VPN?
Vantagens
13%
13%
37%
37%
Estabilidade
Custo
Facilidade
Suporte
Figura 31 – Vantagens apontadas com o uso de VPN
72
Desvantagens
33%
34%
Instalar Cliente VPN
Alteração de Regras fo
Firewall
33%
Custo
Figura 32 – Desvantagens apontadas com o uso de VPN
Conclui-se que as empresas pesquisadas estão interessadas em proteger seus dados, e
para isso, utilizam a VPN como solução. O acesso remoto seguro é dada como uma grande
vantagem de 60% das empresas questionadas. A motivação de 72% das empresas em usar a
VPN é a comunicação com filiais, a segurança e redução de custos. Fica claro que é
amplamente utilizado para diversos fins, não sendo constatada desvantagens em seu uso.
4.12 UMA PROPOSTA DE TOPOLOGIA PARA REDE VIRTUAL PRIVADA
Com base nas topologias pesquisadas à luz dos fundamentos de segurança de redes e
com base nos resultados das pesquisas realizadas, análise de vantagens, desvantagens,
desempenho, segurança, conclui-se que a topologia do gateway VPN ao lado do firewall é
uma solução eficaz e com a melhor relação custo benefício.
A localização do gateway VPN em uma interface dedicada do firewall é uma
excelente opção, já que em uma configuração deste tipo todos os pacotes que chegam ao
gateway VPN passam antes por um filtro de pacotes, o que fornece proteção contra ataques
externos. Nessa estrutura o gateway VPN deve ser configurado para aceitar somente tráfego
cifrado.
73
Nesse caso, o firewall recebe todo o tráfego da rede, protegendo o gateway VPN de
ataques diretos vindos da rede externa, além de estar protegendo a rede interna. Quando
identifica que se trata de tráfego cifrado, ele envia para o gateway VPN.
Após passarem pelo gateway VPN, ter os cabeçalhos de tunelamento retirados e serem
decifrados, os pacotes originais podem passar agora por um processo de filtragem adequado,
o que não podia ser feito anteriormente por estarem completamente cifrados.
Depois o gateway VPN devolve para o firewall. O firewall o analisa e envia para a
rede segura. Esta solução é dada por muitos como a mais segura e confiável.
A topologia da figura 33 é a proposta concluída para Rede Virtual Privada.
Figura 33 - Exemplo de gateway VPN ao lado do firewall
Nessa topologia, o problema é a perda de desempenho. Para entender este problema,
analisa-se o fluxo de dados da rede.
Todo o tráfego de entrada da rede externa para a rede interna é direcionado para o
firewall. O firewall vai rotear o pacote para o gateway VPN, se o pacote for de VPN. O
gateway VPN vai tratar o pacote, descriptografando e direcionando o pacote.
de volta para o firewall. O firewall vai redirecionar o tráfego para a rede interna.
74
Todo tráfego da rede interna será direcionado para o firewall. O firewall vai rotear os
pacotes de VPN para o gateway VPN criptografar os pacotes e redirecionar o resultado para o
firewall. E finalmente o firewall vai redirecionar este tráfego para a rede externa.
Percebe-se que toda comunicação VPN requer, pelo menos, duas passagens pelo
firewall. Logo, tanto o firewall quanto o gateway VPN devem ser dimensionados para atender
a essa demanda. Velocidade e roteamento passam a ser pontos delicados dessa topologia.
O firewall, ficando no meio da comunicação e não integrado, traz outra conseqüência
desagradável: a re-autenticação de usuários remotos. Os usuários remotos devem se autenticar
no firewall e no gateway VPN, porque esses dois elementos não compartilham informações
dos usuários. Esse arranjo protege o equipamento VPN de ataques da rede não confiável,
enquanto filtra tráfego não cifrado. A interface externa do gateway VPN, como foi visto, deve
ser configurada para aceitar somente pacotes cifrados. Todos os pacotes que entram pela
interface interna (obviamente destinados ao prolongamento remoto da rede privada) devem
ser cifrados antes de serem enviados à Internet.
Uma outra solução, baseada na anterior, com um custo mais elevado, porém com um
melhor desempenho, seria adicionar mais um firewall antes da rede interna.
Com isso, todo o tráfego de informações seria dividido, ou seja, os dados que forem
para a rede interna são analisados pelo primeiro firewall e passam direto pelo segundo. Já os
dados que são para o servidor VPN, passam direto pelo primeiro firewall (até mesmo por
estarem criptografados) e do servidor VPN são encaminhados para o segundo firewall para
análise.
Dessa forma, com “divisão de tarefas”, o desempenho melhora e não haverá
necessidade do tráfego de dados passarem duas vezes pelo mesmo firewall, conforme
demonstrado na figura 34.
75
Figura 34 - Topologia com dois firewalls
Apesar de todas as topologias terem suas vantagens e desvantagens, ficou concluído
que entre segurança e desempenho, há preferência pela segurança.
Após várias análises, estudos e comparações, a conclusão é a utilização da ferramenta
Openswan para integrar essa topologia.
É uma ferramenta de livre distribuição, com seu código-fonte disponível, provê uma
implementação de IPSec de alta qualidade, com criptografia e autenticação, além de funcionar
em diversas plataformas de hardware sem restrições.
Encontra-se em constantes atualizações, se destacando de outros projetos, além de
chamar atenção por sua compatibilidade com qualquer equipamento que utilize o protocolo
IPSec.
Sabe-se que o IPSec proporciona confidencialidade, integridade e autenticidade dos
dados através das técnicas de encriptação e autenticação, fazendo com que os dados
naveguem na Internet sem o risco de serem observados e modificados. Funciona
perfeitamente com o Openswan, então, não há dúvidas que, com essa combinação, o objetivo
da VPN está sendo atendido.
76
Quando se trata de segurança da informação, é importante ressaltar que não se limita a
uma única arquitetura, produto ou tecnologia e sim numa integração de várias tecnologias
combinadas com políticas de segurança, fornecendo uma combinação equilibrada de proteção
e riscos aceitáveis.
O importante é identificar a real necessidade do ativo que se está manipulando e
trabalhar dentro do orçamento previsto para a segurança.
O mercado rapidamente incorporou a utilização da VPN e há alta demanda nas redes
virtuais, alta disponibilidade dos serviços, entre outros. Dessa forma, a tendência atual dos
fornecedores de solução VPN é oferecer diversas topologias para a implementação do
gateway VPN, de acordo com cada situação.
Uma solução eficiente de VPN deve:
•
Ter uma política de segurança da rede bem definida e aplicada;
•
Garantir que o tráfego VPN seja integrado ao controle de acesso à rede;
•
Proteger o gateway VPN de ataques externos;
•
Ter uma arquitetura otimizada de VPN e firewall para ganho de desempenho;
•
Permitir um crescimento dinâmico no ambiente de rede;
•
Simplificar a administração e regência da rede.
Antes de decidir por qual tipo de topologia usar é bom medir o aumento de
complexidade das regras de filtragem que isso pode causar, porque muitas vezes os cenários
de acesso de clientes VPN são bastante complexos, de acesso de clientes remotos VPN e
filiais da própria corporação. Essa complexidade crescente pode comprometer a
administração segura dos equipamentos, podendo gerar brechas que facilitem um ataque. A
administração dos equipamentos fica mais complicada e pode gerar brechas para um possível
ataque. O tamanho da empresa, e o grau da segurança necessária influenciam nessa decisão.
Portanto, cuidado.
77
Toda análise das topologias foram feitas com o gateway VPN em relação ao firewall.
Somente o firewall não provê total segurança da rede. Ele apenas filtra os pacotes referente a
porta VPN, permitindo ou não, o acesso.
Outra forma de se adicionar segurança para usuário remotos de VPN seria com o uso
do Port Knocking, que é um programa que envia pacotes pré-definidos para portas específicas
e avisa ao firewall que determinado IP irá se conectar a essas portas.
O Port Knocking pode-se disponibilizar portas de acesso de forma oculta. Com ele,
pode-se fazer com que fique “visível” apenas após o firewall receber uma série de SYNs16 em
uma seqüência de portas específicas, e apenas para o IP de origem daqueles pacotes.
4.13 CONSIDERAÇÕES
Para iniciar o uso de Rede Privada Virtual, não é necessário apenas instalar e usar. Há
diversas outras observações a serem adotadas, principalmente quando se trata de segurança da
informação.
O percurso dos dados, a exposição do gateway VPN, a topologia em relação ao
firewall, entre outros, são pontos importantes que devem ser observados na implementação da
VPN.
Para cada topologia foram verificados esses fatores, além de um questionário
respondido por profissionais e o levantamento feito no decorrer do trabalho, nos auxiliou na
conclusão de uma proposta de topologia, de protocolo e de ferramenta a ser adotada, que,
além da segurança, a eficiência também é levada em consideração.
78
5 - CONSIDERAÇÕES FINAIS E TRABALHOS FUTUROS
Este trabalho procurou demonstrar diversas topologias referentes ao posicionamento
de um gateway VPN em relação ao firewall. Pode-se notar que existem múltiplas variáveis a
serem consideradas, sendo que uma solução eficácia foi a do gateway VPN ao lado do
firewall, por ser considerado de grande eficiência em relação à segurança e fluxo dos dados,
se destacando as outras topologias apresentadas.
Foram analisados diversos aspectos com o intuito de garantir um nível de segurança
aceitável na VPN. Entretanto, são necessários estudos mais profundos para a implantação de
soluções de VPN em larga escala. Nesse caso, é preciso realizar um planejamento mais
detalhado da opção de configuração e localização do gateway VPN.
Foi proposto também uma implementação em conjunto com o protocolos IPSsec e a
ferramenta Openswan, destacando-se pelo sua grande demanda de uso e atualizações
freqüentes. Funcionam perfeitamente em conjunto provendo toda a segurança necessária para
o fluxo de dados na Internet. É muito mais do que um sistema de comunicação segura. Tem o
ideal de “Internet segura sobre demanda”.
O IPSec vem com o objetivo de garantir a segurança da informação, possui uma
arquitetura aberta, o que possibilita a inclusão de outros algoritmos, além de ser adotado
como padrão no uso de VPN.
Com o crescimento no número de clientes remotos e conexões VPN, um único
gateway VPN pode-se tornar sobrecarregado e incapaz de atender e gerenciar a demanda de
túneis IPSec criados. Isto ocorre não só por limitações nos equipamentos, mas também pelo
uso intenso de algoritmos de criptografia e pelo aumento na complexidade do roteamento
necessário.
Com isso, é importante que sejam estudadas formas de facilitar e solucionar esse novo
tipo de demanda, permitindo uma maior eficácia do gateway VPN. Será de grande satisfação
que este trabalho possa servir como uma fonte de consulta e comparação com essas novas
tecnologias que irão surgir.
16
SYN é o primeiro pacote enviado para se iniciar qualquer conexão numa rede TCP/IP.
79
6 - REFERÊNCIAS BIBLIOGRÁFICAS
ABUSAR, VPN, disponível em: http://www.abusar.org/vpn.html. Acesso em 09 ago 2006.
ANDREOLI, A.V. IPSec, disponível em: http://www.cert-rs.tche.br/docs_html/ipsec.html.
Acesso em: 08 ago. 2006.
ALECRIM, E. Criptografia, disponível em: http://www.infowester.com/criptografia.php.
Acesso em 26 set. 2006.
AMADORI, C; GRUPPELLI, R. Privacidade de Dados em Trânsito nos Sistemas de
Informação, disponível em: http://atlas.ucpel.tche.br/~grupis/tcc.pdf
BURNETT, S.; PAINE, S. Guia Oficial da RSA, pg. 91. 2003
CARMO, A. P. Slide VPN em Linux,– Unitera Tecnologia, 2006
COUTINHO,
A.A.C.;
FONSECA,
J.E.M.
IPSec,
disponível
http://www.midiacom.uff.br/~debora/redes1/pdf/trab042/IPSec.pdf.
em:
FREESWAN, disponível em: http://www.freeswan.org/ Acesso em 02 set. 2006.
FERREIRA, R. E. Linux – Guia do Administrador do Sistema, Editora Novatec.
IPSEC
–
Protocolo
de
Segurança
IP
–
disponível
em:
http://www.gta.ufrj.br/~rezende/cursos/eel879/trabalhos/vpn/ipsec.html,
diversos
acessos.
NORTHERN,
Arizona
University
–
VPN,
disponível
http://www4.nau.edu/its/mensa/services/vpn/ Acesso em: 26 jun. 2006.
em:
OPENVPN, disponível em: http://openvpn.net. Acesso em: 02 set. 2006
OPENSWAN, disponível em: http://www.openswan.org/. Acesso em 02 set. 2006
PINHEIRO, J.M.S. tutorial sobre
http://www.projetoderedes.com.br
Gateway
VPN,
2004,
disponível
em:
PROJETO DE REDES, disponível em: htttp://www.projetoderedes.com.br Acesso em 10 set.
ROSSI, M.A.G; FRANZIN, O. VPN, disponível em: http://www.gpr.com.br/download/vpn.
Acesso em 09 ago.2006
SILVA, L. S. VPN - Virtual Private Network, Editora- Novatec
SYMANTEC Corporation, Segurança de Dados disponível em: http://www.symantec.com.br
Acesso em: 07 ago. 2006
80
TANENBAUM, A.S. Rede de Computadores. Editora Campus
UNIVERSITY of Puget Sound. VPN, disponível em: http://www.ups.edu/x11679.xml Acesso
em: 26 jun. 2006.
VIVA O LINUX, disponível em: http://www.vivaolinux.com.br – diversos acessos.
WIKIPÉDIA,
A
Enciclopédia
Livre
Criptografia
disponível
http://pt.wikipedia.org/wiki/DMZ Acesso em: 26 set. 2006.
em:
WIKIPÉDIA, A Enciclopédia Livre - DMZ disponível em: http://pt.wikipedia.org/wiki/DMZ
Acesso em: 15 ago. 2006.
WIKIPÉDIA,
A
Enciclopédia
Livre
IPSEC
http://pt.wikipedia.org/wiki/DMZ Acesso em: 07 ago. 2006.
WIKIPÉDIA, A Enciclopédia Livre – Protocolo
http://pt.wikipedia.org/wiki/RSA. Acesso em 04 set. 2006.
RSA,
disponível
disponível
em:
em:
WIKIPÉDIA, A Enciclopédia Livre - VPN, disponível em: http://pt.wikipedia.org/wiki/VPN
Acesso em 28 jun. 2006.
81