of 76/76
2001, Edgard Jamhour Segurança em Redes TCP/IP Redes Virtuais Privadas e Extranets Edgard Jamhour

2001, Edgard Jamhour Segurança em Redes TCP/IP Redes Virtuais Privadas e Extranets Edgard Jamhour

  • View
    219

  • Download
    0

Embed Size (px)

Text of 2001, Edgard Jamhour Segurança em Redes TCP/IP Redes Virtuais Privadas e Extranets Edgard Jamhour

No Slide TitleEdgard Jamhour
Permite que um usuário acesse um servidor por linha discada.
MODEM
MODEM
MODEM
PPP: POINT TO POINT PROTOCOL
RAS OU NAS
PPP: Point to Point Protocol
Permite criar conexão de rede através de links ponto a ponto.
O PPP é um protocolo do nível de enlace destinado a transportar mensagens ponto a ponto.
O PPP supõem que o link físico transporta os pacotes na mesma ordem em que foram gerados.
O PPP permite transportar diversos protocolos de rede.
IP
IPX
Frame PPP
O Frame PPP segue uma variante da estrutura do HDLC (High-level Data Link Control)
FLAG: 0x7E
Protocolos de Autenticação
Determina o método para validar a senha do usuário no servidor. Pode variar de texto aberto até criptografia.
Network control protocols (NCP):
Configura parâmetros específicos do protocolo transportado, como IP, IPX, and NetBEUI.
2001, Edgard Jamhour
2001, Edgard Jamhour
ATM ou Frame-Relay
Connecion-Oriented
Ambas as tecnologias permitem dividir a banda de um enlace físico através de circuitos virtuais.
ATM:
VPI
VCI
DADOS
CÉLULA
Frame-relay utiliza uma estrutura simples para criação de circuitos virtuais.
DLCI
DADOS
2001, Edgard Jamhour
Número de 10 bits
DLCI indica a porta em que a rede de destino está conectada.
Normalmente o termo “porta” refere-se a porta física de um roteador.
Todavia, as redes frame-relay podem ser implementadas também em switches ou bridges.
2001, Edgard Jamhour
Velocidade do Frame-Relay
Frações de canais T1/E1
Taxas completas de T1/E1
45 Mbp.
CIR
SLA: Service Level Agreement
SLA define as métricas usadas para descrever o desempenho de um serviço Frame Relay.
Essas métricas pode ser usadas para estabelecer um contrato entre o provedor de serviço e um usuário ou entre provedores de serviço.
Frame Transfer Delay
Frame Delivery Ratio
Data Delivery Ratio
Objetivo:
Princípio:
Limitação:
2001, Edgard Jamhour
Oferecer segurança através de redes IP potencialmente inseguras.
Permitir o transporte de outros protocolos de rede sobre a Internet.
Princípios:
Limitação:
2001, Edgard Jamhour
Tipos de VPN
ENTRE DUAS MÁQUINAS
(VPN DE ACESSO)
ENTRE DUAS REDES
Exemplo: VPN de Acesso
Vendedor que precisa acessar a rede corporativa de um ponto remoto.
INTERNET
Permite construir uma intranet utilizando recursos de uma infra-estrutura de comunicação pública (e.g. Internet).
INTERNET
EMPRESA
EMPRESA
VPN
Permite construir uma rede que compartilha parcialmente seus recursos com empresas parceiras (fornecedores, clientes, parceiros,etc.).
INTERNET
PARCEIRO
VPN
EMPRESA
PARCEIRO
VPN
TUNELAMENTO:
Permite tranportar pacotes com IP privado ou com outros protocolos de rede através da Internet.
AUTENTICAÇÃO:
Permite controlar quais usuários podem acessar a VPN
Reduz o risco de ataques por roubo de conexão e spoofing.
CRIPTOGRAFIA:
2001, Edgard Jamhour
TUNELAMENTO
TUNELAR: Significa colocar as estruturas de dados de um protocolo da mesma camada do modelo OSI dentro do outro.
Existem dois tipos de Tunelamento:
Camada 3: Transporta apenas pacotes IP
Camada 2: Permite tranportar outros protocolos de rede: IP, NetBEUI, IPX.
CABEÇALHO
QUADRO
CABEÇALHO
PACOTE
CRC
CABEÇALHO
QUADRO
CABEÇALHO
IP
CRC
CABEÇALHO
XXXXXXXXXXXXXXXX
IPF1
IPF4
DADOS
IPF
IPF
DADOS
IPQ2
IPQ1
IPF1
IPF4
DADOS
Não é mais utilizado.
IPSec:
2001, Edgard Jamhour
Protocolos para VPN
L2TP
VPN de Acesso Iniciada no NAS Intranet e Extranet VPN
IPsec
IPsec e L2TP
VPN de Acesso Iniciada no NAS Intranet e Extranet VPN
2001, Edgard Jamhour
Formalizado por RFC
Requisitos para Utilização:
Os sistemas operacionais do cliente e do servidor devem suportar PPTP
PPTP é o protocolo de tunelamento mais difundido no mercado:
Windows, Linux, Roteadores, etc...
Cenários:
A) Acesso por modem:
O cliente estabelece uma conexão com um provedor (ISP) e depois com o servidor de VPN.
B) Acesso por placa de rede:
O cliente já está na Internet, ele se conecta diretamente ao servidor de VPN.
O cliente e o servidor da VPN se encontram na mesma rede corporativa.
2001, Edgard Jamhour
Tipos de Conexão
O cliente tem acesso direto ao servidor, seja via linha discada, seja via rede.
Protocolo
TCP/IP
IPX/SPX
NetBEUI
- Range de IP’s
PORTAS VPN
PARA DISCAGEM
PORTAS VPN
PARA RECEPÇÃO
REDE TELEFÔNICA
RAS
RAS
Outro Servidor da Rede
1) Situação Inicial
Considere um cliente e um servidor conectados por uma rede TCP/IP.
Ambos possuem endereços pré-definidos.
2) O cliente disca para o endereço IP do servidor.
Nesse processo, o cliente deve fornecer seu login e senha.
A conta do usuário deve existir no servidor, e ele deve ter direitos de acesso via dial up.
O servidor atribui um IP para o cliente, e reconfigura suas rotas.
IPNORMAL2
IPNORMAL1
IP’s de tunelamento
Uma conexão PPTP que encapsula protocolos TCP/IP em outro datagrama IP envolve a utilização de 2 pares de IP:
IP sem tunelamento
DESTINO GATEWAY INTERFACE
INTERNET IPGATEWAY IPNORMAL2
IPNORMAL2 LOOPBACK LOOPBACK
REDELOCAL IPNORMAL2 IPNORMAL2
DESTINO GATEWAY INTERFACE
Rede Virtual
Os clientes conectados a rede virtual utilizam o servidor RAS como roteador.
VPN
VPN
VPN
VPN
DESTINO GATEWAY INTERFACE
INTERNET IPGATEWAY IPNORMAL1
IPNORMAL1 LOOPBACK LOOPBACK
REDELOCAL IPNORMAL1 IPNORMAL1
DESTINO GATEWAY INTERFACE
IPVPN1 LOOBACK LOOBACK
IPVPN2 IPVPN1 IPVPN1
IPVPN3 IPVPN1 IPVPN1
IPVPN4 IPVPN1 IPVPN1
INTERNET IPGATEWAY IPNORMAL1
IPNORMAL2 LOOPBACK LOOPBACK
REDELOCAL IPNORMAL1 IPNORMAL1
Pacotes PPTP
A técnica de encapsulamento PPTP é baseada no padrão Internet (RFC 1701 e 1702) denominado:
Generic Routing Encapsulation (GRE)
O PPTP é conhecido como GREv2, devido as extensões que acrescentou:
controle de velocidade da conexão
identificação das chamadas.
2001, Edgard Jamhour
Estrutura do PPTP
Delivery Header:
IP Header:
GREv2 Header:
Payload Datagram:
2001, Edgard Jamhour
Formato Geral de um Pacote PPTP
A figura abaixo mostra o formato geral de um pacote PPTP. O conteúdo de cada campo varia de acordo como o meio utilizado e com o protocolo transportado.
Delivery Header
(Ethernet, FrameRelay, etc.)
Intentifica o Protocolo Encapsulado
Datagrama do Protocolo Encapsulado
Datagramas Tunelados
A figura abaixo mostra o que acontece quando um datagrama IP é tunelado através de uma rede local Ethernet, com protocolo TCP/IP.
Delivery Header
2001, Edgard Jamhour
Porta de Controle
O estabelecimento de uma conexão PPTP é feito pela porta de controle TCP 1723.
Esta porte precisa ser liberada no firewall para implantar uma VPN de acesso.
1723
> 1024
INTERNET
1723
>1023
IP_Servidor_VPN
FIREWALL:
Liberar a porta TCP 1723 no IP = Servidor_VPN
Liberar o protocolo PPTP (Protocol Type=2F) para o IP=Servidor_VPN
2001, Edgard Jamhour
Segurança do PPTP
Autenticação
CHAP: Standard Encrypted Authentication
MS-CHAP: Microsoft Encrypted Authentication
PAP: Password Authentication Protocol
Definido pela RFC 1994 como uma extensão para PPP
Não utiliza passwords em aberto
Um password secreto, criado apenas para a sessão, é utilizado para o processo de autenticação.
CHAP permite repetir o processo de validação da senha durante a conexão para evitar ataques por roubo de conexão.
2001, Edgard Jamhour
O processo utilizado é do tipo challenge-response:
a) O cliente envia sua identificação ao servidor (mas não a senha)
b) O servidor responde enviando ao cliente uma “challenge string”, única, criada no momento do recebimento do pedido.
c) O cliente aplica um algoritmo RSA’s MD5 (one-way hashing), e combinado-se password e a string recebida.
d) O servidor compara a senha criptografada recebida pelo usuário aplicado a mesma operação na senha armazenada localmente.
2001, Edgard Jamhour
Autenticação no CHAP
2. Challenge String
5
MD5
Senha +
Técnica de autenticação proprietária da Microsoft, exclusiva para redes Windows.
Similar ao CHAP, mas utiliza técnicas de hashing RSA’s MD4 e DES.
Permite compatibilidade com outros produtos Microsoft (Windows 3.11, por exemplo)
Permite utilizar criptografia de dados na seção PPTP.
RSA RC4 – 40 ou 128 bits
2001, Edgard Jamhour
Autenticação no MS-CHAP
2. Challenge String
5
MD5
Senha +
Uma conexão PPTP nem sempre implica em criptografia de dados.
Esta opção deve ser selecionada no servidor RAS para que a criptografia seja utilizada.
Apenas o modo MS-CHAP suporta criptografia.
Criptografia PPTP
O algorítmo de hashing MD4 gera uma chave de sessão de 40 bits.
O algorítmo RSA’s RC4, com a chave de 40 bits é utilizado para criptografar os dados.
OBS.
A versão americana do NT inclui um módulo de criptografia forte, com chaves de 128 bits, instalado com o service pack 2 ou superior.
2001, Edgard Jamhour
Password Authentication Protocol (PAP)
Para que o processo de autenticação possa ocorrer, é necessário que o processo de autenticação que seja conhecido pelo cliente e pelo servidor.
O método de autenticação PAP é o mais simples de todos. Utiliza passwords transmitidos em texto aberto, e é suportado pela maioria dos servidores PPP utilizados pelos ISP’s.
PAP não deve ser utilizado em VPN, pois compromete todo processo de segurança da conexão.
A única razão de existir é permitir que servidores ou clientes que não suportam CHAP ou MS-CHAP possam estabelecer conexões PPTP.
2001, Edgard Jamhour
Baseado nos Protocolos:
Mensagens de controle:
Mensagens de dados:
PPTP:
Utiliza uma conexão TCP para negociar o túnel, independente da conexão utilizada para transferir dados.
No Windows 2000, por exemplo, o cliente e o servidor utilizam a porta TCP 1723 para negociar os túneis PPTP.
Não possui mecanismos fortes de integridade dos pacotes (baseia-se apenas no PPP).
Túneis são usualmente criados pelo cliente.
L2TP:
Envia tanto as mensagens de controle quanto os dados encapsulados em datagramas UDP.
No Windows 2000, por exemplo, o cliente e o servidor utilizam a porta UDP 1701 para negociar os túneis L2TP.
Túneis são usualmente criados automaticamente pelo NAS.
2001, Edgard Jamhour
Tunelamento L2TP
O tunelamento no L2TP é feito com o auxílio do protocolo UDP.
Observe como o L2TP é construído sobre o protocolo PPP.
2001, Edgard Jamhour
Tipos de VPN de Acesso
As VPNs de acesso podem ser de dois tipos, dependendo do ponto onde começa a rede segura:
A) Iniciada pelo Cliente
2001, Edgard Jamhour
Iniciada pelo Cliente
REDE TELEFÔNICA
PSTN
INTERNET
ISP
EMPRESA
USUÁRIO
REMOTO
PPP
PPP
TUNEL
REDE TELEFÔNICA
Tunnelamento de múltiplos protocolos
Padding de Dados
Não possui suporte nativo para criptografia.
2001, Edgard Jamhour
IPSec – IP Seguro
Protocolo projetado pelo IETF para permitir comunicações seguras no interior de redes TCP (IPv4 ou IPv6).
Possui dois modos de utilização:
Modo túnel
Adiciona o cabeçalho de tunelamento e um cabeçalho de controle.
Modo transporte
2001, Edgard Jamhour
Elementos do IPSec
IP Autentication Header (AH)
Integridade, Autenticação da Origem de Dados e evita interceptação de pacotes
IP Encapsulating Security Payload (ESP)
Confidencialidade, Integridade, Autenticação da Origem e evita interceptação de pacotes.
Internet Security Association and Key Management Protocol (ISAKMP)
Implementa o gerenciamento de chaves.
2001, Edgard Jamhour
criptografado
autenticado
AH: calculado sobre todos os dados que não são alterados durante o trajeto do pacote
2001, Edgard Jamhour
Security Associations
Antes que os dados possam ser trocados de forma segura, um contrato, denominado “SECURITY ASSOCIATION (SA)”, deve ser estabelecido entre dois computadores.
Num SA, ambos os computadores concordam em como trocar e proteger a informação, definindo:
Tipo de autenticação, Tipo de criptografia, Algoritmo de Criptografia, Tamanho da Chave, etc.
2001, Edgard Jamhour
Distribuição de Chaves no IPsec
A distribuição de chaves no IPsec é implementado de forma independente do protocolo, na forma de uma aplicação. O ISAKMP (Definido em RFC), tornou-se o principal padrão para distribuição de chaves em redes heterogêneas.
Enlace Físico