Click here to load reader

2001, Edgard Jamhour Professor Edgard Jamhour VPN

  • View
    156

  • Download
    0

Embed Size (px)

Text of 2001, Edgard Jamhour Professor Edgard Jamhour VPN

  • Slide 1
  • Slide 2
  • 2001, Edgard Jamhour Professor Edgard Jamhour VPN
  • Slide 3
  • 2001, Edgard Jamhour Segurana em Sistemas de Informao Redes Virtuais Privadas e Extranets
  • Slide 4
  • 2003, Edgard Jamhour Motivao para as VPNs PROBLEMA: Como construir sistemas de informao de grande amplitude geogrfica sem arcar com custos excessivos com a infra-estrutura de comunicao. Empresa Filial Filial Parceiro Funcionrio Representante Parceiro
  • Slide 5
  • 2003, Edgard Jamhour Solues Usuais Utilizar o enlaces de comunicao temporrios LINHAS DISCADAS: sistema pblico de telefonia Utilizar enlaces de comunicao permanentes LINHAS DEDICADAS ou PRIVATIVAS: Servios disponibilizados por empresas de telecomunicao.
  • Slide 6
  • 2003, Edgard Jamhour Acesso por linha discada Servio de Acesso Remoto: Implementado pelos sistemas operacionais comerciais mais difundidos. Permite que um usurio acesse um servidor por linha discada. MODEM PRECISA DE UM MODEM PARA CADA USURIO PPP: POINT TO POINT PROTOCOL RAS OU NAS PSTN REDE
  • Slide 7
  • 2003, Edgard Jamhour PPP: Point to Point Protocol Permite criar conexo de rede atravs de links ponto a ponto. O PPP um protocolo do nvel de enlace destinado a transportar mensagens ponto a ponto. O PPP supem que o link fsico transporta os pacotes na mesma ordem em que foram gerados. O PPP permite transportar diversos protocolos de rede. IP IPX link fsico
  • Slide 8
  • 2003, Edgard Jamhour Acesso por linhas privativas EMPRESAFILIAL Links Redundantes Alto custo e Pouca Flexibilidade
  • Slide 9
  • 2003, Edgard Jamhour Tecnologias para Linhas Privativas Linhas privativas podem ser implementadas com: ATM ou Frame-Relay Comunicao Orientada a Conexo Connection-Oriented Ambas as tecnologias permitem dividir a banda de um enlace fsico atravs de circuitos virtuais. ATM: VPI e VCI FRAME RELAY DLCI
  • Slide 10
  • 2003, Edgard Jamhour Circuitos Virtuais ATM ATM utiliza uma estrutura hierrquica para criar circuitos virtuais. VPIVCIDADOS CLULA
  • Slide 11
  • 2003, Edgard Jamhour Frame-Relay Frame-relay utiliza uma estrutura simples para criao de circuitos virtuais. DLCIDADOS
  • Slide 12
  • 2003, Edgard Jamhour Rede Frame Relay HUB roteador Empresa A REDE ATM FRAME-RELAY Interface Frame-Relay Switch ATM HUB roteador Empresa B FRAD Switch ATM FRAD Circuito Virtual
  • Slide 13
  • 2003, Edgard Jamhour CIR - Committed Information Rate bits/s tempo CIR = mdia no intervalo Tc CIR
  • Slide 14
  • 2003, Edgard Jamhour SLA: Service Level Agreement SLA define as mtricas usadas para descrever o desempenho de um servio Frame Relay. Essas mtricas pode ser usadas para estabelecer um contrato entre o provedor de servio e um usurio ou entre provedores de servio. Frame Transfer Delay Frame Delivery Ratio Data Delivery Ratio Service Availability Segurana?
  • Slide 15
  • 2003, Edgard Jamhour VPN X Circuitos Virtuais Circuitos Virtuais ATM ou Frame Relay Objetivo: Garantia de Qualidade de Servio (QoS). Princpio: Criam canais com QoS controlado. Limitao: Depende do provedor de servio.
  • Slide 16
  • 2003, Edgard Jamhour VPN X Circuitos Virtuais VPN: Virtual Private Networks Objetivos: Oferecer segurana atravs de redes IP potencialmente inseguras. Permitir o transporte de outros protocolos de rede sobre a Internet. Princpios: Encapsulamento adcional de quadros e pacotes. Limitao: No oferece qualidade de servio
  • Slide 17
  • 2003, Edgard Jamhour Tipos de VPN ENTRE DUAS MQUINAS ENTRE UMA MQUINA E UMA REDE (VPN DE ACESSO) ENTRE DUAS REDES (INTRANET OU EXTRANET VPN) redeInsegura redeInsegura redeInsegura
  • Slide 18
  • 2003, Edgard Jamhour VPN = Tunelamento redeInsegura pacote protegido redeInsegura pacote desprotegido redeInsegura
  • Slide 19
  • 2003, Edgard Jamhour Exemplo: VPN de Acesso Vendedor que precisa acessar a rede corporativa de um ponto remoto. INTERNET CATLOGO DE PRODUTOS SISTEMA DE PEDIDOS SERVIDOR DE VPN
  • Slide 20
  • 2003, Edgard Jamhour Intranet VPN Permite construir uma intranet utilizando recursos de uma infra-estrutura de comunicao pblica (e.g. Internet). INTERNET EMPRESA VPN
  • Slide 21
  • 2003, Edgard Jamhour Extranet VPN Permite construir uma rede que compartilha parcialmente seus recursos com empresas parceiras (fornecedores, clientes, parceiros,etc.). INTERNET PARCEIRO VPN EMPRESA PARCEIRO VPN
  • Slide 22
  • 2003, Edgard Jamhour Conceitos Bsicos de uma VPN TUNELAMENTO: Permite tranportar pacotes com IP privado ou com outros protocolos de rede atravs da Internet. AUTENTICAO: Permite controlar quais usurios podem acessar a VPN Reduz o risco de ataques por roubo de conexo e spoofing. CRIPTOGRAFIA: Garante a confidencialidade dos dados transportados atravs da VPN.
  • Slide 23
  • 2003, Edgard Jamhour TUNELAMENTO TUNELAR: Significa colocar as estruturas de dados de um protocolo da mesma camada do modelo OSI dentro do outro. Existem dois tipos de Tunelamento: Camada 3: Transporta apenas pacotes IP Camada 2: Permite tranportar outros protocolos de rede: IP, NetBEUI, IPX. CABEALHO QUADRO CABEALHO PACOTE CRC CABEALHO QUADRO CABEALHO IP CRC CABEALHO PACOTE IP TUNELAMENTO DA CAMADA 3 TUNELAMENTO DA CAMADA 2 DADOS CABEALHO QUADRO CABEALHO PACOTE IP CRC DADOS CABEALHO QUADRO
  • Slide 24
  • 2003, Edgard Jamhour TUNELAMENTO FISICA ENLACE REDE TRANSPORTE APLICAO FISICA ENLACE REDE SSL APLICAO FISICA ENLACE REDE TRANSPORTE APLICAO FISICA ENLACE REDE TRANSPORTE APLICAO TRANSPORTE REDE IP (VPN) ENLACE PPP Aplicao S.O. Placa de Rede Pilha Normal SSL Tunelamento Camada 3 Tunelamento Camada 2
  • Slide 25
  • 2003, Edgard Jamhour Exemplo REDE A REDE B IP F1 IP F3 IP F4 IP F2 IP F IP Q1 IP Q2 IP F IP F1 IP F4 DADOSIP F1 IP F4 DADOSIP Q 2 IP Q1 IP F1 IP F4 DADOS
  • Slide 26
  • 2003, Edgard Jamhour Autenticao EMPRESA FILIAL INTERNET LOGIN
  • Slide 27
  • 2003, Edgard Jamhour Criptografia REDE A REDE B IP F1 IP F3 IP F4 IP F2 IP F IP Q1 IP Q2 IP F IP F1 IP F4 DADOSIP F DADOSIP Q2 IP Q1 IP F1 IP F4 DADOS TODO O PACOTE, INCLUINDO O CABEALHO CRIPTOGRAFADO. XXXXXXXXXXXXXXXX
  • Slide 28
  • 2003, Edgard Jamhour PROTOCOLOS PARA VPN L2F: Layer 2 Fowarding Protocol (Cisco) No mais utilizado. PPTP: Tunelamento de Camada 2 Point-to-Point tunneling Protocol L2TP: Tunelamento de Camada 2 Level 2 Tunneling Protocol (L2TP) Combinao do L2F e PPTP IPSec: Tunelamento de Camada 3 IETF (Internet Engineering Task Force)
  • Slide 29
  • 2003, Edgard Jamhour Protocolos para VPN ProtocoloTunelamentoCriptografiaAutenticaoAplicao PPTPCamada 2Sim VPN de Acesso Iniciada no Cliente L2TPCamada 2NoSimVPN de Acesso Iniciada no NAS Intranet e Extranet VPN IPsecCamada 3Sim VPN de Acesso Intranet e Extranet VPN IPsec e L2TP Camada 2Sim VPN de Acesso Iniciada no NAS Intranet e Extranet VPN
  • Slide 30
  • 2003, Edgard Jamhour PPTP: Point-to-Point tunneling Protocol Definido pelo PPTP Forum: Ascend Communication, U.S. Robotics, 3Com Corporation, Microsoft Corporation e ECI Telematics Formalizado por RFC Requisitos para Utilizao: Os sistemas operacionais do cliente e do servidor devem suportar PPTP PPTP o protocolo de tunelamento mais difundido no mercado: Windows, Linux, Roteadores, etc...
  • Slide 31
  • 2003, Edgard Jamhour Cenrios de Utilizao do PPTP Cenrios: A) Acesso por modem: O cliente estabelece uma conexo com um provedor (ISP) e depois com o servidor de VPN. B) Acesso por placa de rede: O cliente j est na Internet, ele se conecta diretamente ao servidor de VPN. O cliente e o servidor da VPN se encontram na mesma rede corporativa.
  • Slide 32
  • 2003, Edgard Jamhour Tipos de Conexo O cliente tem acesso direto ao servidor, seja via linha discada, seja via rede. Protocolo TCP/IP IPX/SPX NetBEUI possui protocolo PPTP instalado e servio de dial up possui protocolo PPTP instalado e servio RAS configurado Protocolo TCP/IP IPX/SPX NetBEUI permanente discado PLACA DE REDE MODEM
  • Slide 33
  • 2003, Edgard Jamhour Opes de Configurao Opo no Cliente: - Conexes Virtuais Simultneas (1 no WINDOWS 95/98). - Criptografia - Mtodo de Autenticao Opes no Servidor: - Nmero de portas VPN - DHCP ou RAS - O cliente pode especificar seu IP (S/N) - Range de IPs - Tipo de Autenticao - Criptografia de Dados (S/N) - Acesso ao servidor ou a toda rede. PORTAS VPN PARA DISCAGEM PORTAS VPN PARA RECEPO discado rede
  • Slide 34
  • 2003, Edgard Jamhour Conexo PPTP PSTN INTERNET ISP EMPRESA USURIO REMOTO TUNEL PROVEDOR DE ACESSO A INTERNET REDE TELEFNICA NAS MODEM SERVIDOR PPP PPTP
  • Slide 35
  • 2003, Edgard Jamhour Topologias de Conexo O servidor VPN libera acesso a toda rede RAS Acesso apenas a esta mquina Outro Servidor da Rede PORTAS VPN WINDOWS 95/98 WINDOWS NT WINDOWS 95/98 WINDOWS NT/LINUX
  • Slide 36
  • 2003, Edgard Jamhour Exemplo 1) Situao Inicial Considere um cliente e um servidor conectados por uma rede TCP/IP. Ambos possuem endereos pr-definidos. IP NORMAL1 IP NORMAL2 SERVIDOR RAS RANGE IP IP VPN1 IP VPN2... INTERNET EXEMPLO: 192.168.0.1.. 192.168.0.254
  • Slide 37
  • 2003, Edgard Jamhour Estabelecimento da Conexo PPTP 2) O cliente disca para o endere