Click here to load reader

2013, Edgard Jamhour Redes Virtuais Privadas VPN Edgard Jamhour

  • View
    140

  • Download
    8

Embed Size (px)

Text of 2013, Edgard Jamhour Redes Virtuais Privadas VPN Edgard Jamhour

  • Slide 1
  • Slide 2
  • 2013, Edgard Jamhour Redes Virtuais Privadas VPN Edgard Jamhour
  • Slide 3
  • 2013, Edgard Jamhour Tipos de VPN ENTRE DUAS MQUINAS ENTRE UMA MQUINA E UMA REDE (VPN DE ACESSO) ENTRE DUAS REDES (INTRANET OU EXTRANET VPN) redeInsegura redeInsegura redeInsegura
  • Slide 4
  • 2013, Edgard Jamhour VPN = Tunelamento redeInsegura pacote protegido redeInsegura pacote desprotegido redeInsegura
  • Slide 5
  • 2013, Edgard Jamhour TUNELAMENTO: Permite tranportar pacotes com IP privado ou com outros protocolos de rede atravs da Internet. AUTENTICAO: Permite controlar quais usurios podem acessar a VPN Reduz o risco de ataques por roubo de conexo e spoofing. CRIPTOGRAFIA: Garante a confidencialidade dos dados transportados atravs da VPN. Conceitos Bsicos de uma VPN
  • Slide 6
  • 2013, Edgard Jamhour TUNELAR: Significa colocar as estruturas de dados de um protocolo da mesma camada do modelo OSI dentro do outro. Existem dois tipos de Tunelamento: Camada 3: Transporta apenas pacotes IP Camada 2: Permite tranportar outros protocolos de rede: IP, NetBEUI, IPX. TUNELAMENTO CABEALHO QUADRO CABEALHO PACOTE CRC CABEALHO QUADRO CABEALHO IP CRC CABEALHO PACOTE IP TUNELAMENTO DA CAMADA 3 TUNELAMENTO DA CAMADA 2 DADOS CABEALHO QUADRO CABEALHO PACOTE IP CRC DADOS CABEALHO QUADRO
  • Slide 7
  • 2013, Edgard Jamhour TUNELAMENTO FISICA ENLACE REDE TRANSPORTE APLICAO FISICA ENLACE REDE SSL APLICAO FISICA ENLACE REDE TRANSPORTE APLICAO FISICA ENLACE REDE TRANSPORTE APLICAO TRANSPORTE REDE ENLACE Aplicao S.O. Placa de Rede Pilha Normal SSL Tunelamento Camada 3 Tunelamento Camada 2
  • Slide 8
  • 2013, Edgard Jamhour L2F: Layer 2 Fowarding Protocol (Cisco) No mais utilizado. PPTP: Tunelamento de Camada 2 Point-to-Point tunneling Protocol L2TP: Tunelamento de Camada 2 Level 2 Tunneling Protocol (L2TP) Combinao do L2F e PPTP IPSec: Tunelamento de Camada 3 IETF (Internet Engineering Task Force) PROTOCOLOS PARA VPN
  • Slide 9
  • 2013, Edgard Jamhour Protocolos para VPN ProtocoloTunelamentoCriptografiaAutenticaoAplicao PPTPCamada 2Sim VPN de Acesso Iniciada no Cliente L2TPCamada 2NoSimVPN de Acesso Iniciada no NAS Intranet e Extranet VPN IPsecCamada 3Sim VPN de Acesso Intranet e Extranet VPN IPsec e L2TP Camada 2Sim VPN de Acesso Iniciada no NAS Intranet e Extranet VPN
  • Slide 10
  • 2013, Edgard Jamhour Servio de Acesso Remoto: Implementado pelos sistemas operacionais comerciais mais difundidos. Permite que um usurio acesse um servidor por linha discada. Acesso por linha discada MODEM PRECISA DE UM MODEM PARA CADA USURIO PPP: POINT TO POINT PROTOCOL RAS OU NAS PSTN REDE
  • Slide 11
  • 2013, Edgard Jamhour Permite criar conexo de rede atravs de links ponto a ponto. O PPP um protocolo do nvel de enlace destinado a transportar mensagens ponto a ponto. O PPP supem que o link fsico transporta os pacotes na mesma ordem em que foram gerados. PPP: Point to Point Protocol O PPP permite transportar diversos protocolos de rede. IP IPX link fsico
  • Slide 12
  • 2013, Edgard Jamhour O Frame PPP segue uma variante da estrutura do HDLC (High-level Data Link Control) FLAG: 0x7E ADDRESS: Usualmente FF (broadcast) CONTROL: 0x03 FCS: Checksum Frame PPP FLAGADDRESSCONTROLPROTOCOLFCSFLAG 8 bits 16 bits 8 bits DADOS
  • Slide 13
  • 2013, Edgard Jamhour Link Control Protocols (LCP) Configura parmetros do link como tamanho dos quadros. Protocolos de Autenticao Determina o mtodo para validar a senha do usurio no servidor. Pode variar de texto aberto at criptografia. Network control protocols (NCP): Configura parmetros especficos do protocolo transportado, como IP, IPX, and NetBEUI. Sequncia PPP
  • Slide 14
  • 2013, Edgard Jamhour Definido pelo PPTP Forum: Ascend Communication, U.S. Robotics, 3Com Corporation, Microsoft Corporation e ECI Telematics Formalizado por RFC Requisitos para Utilizao: Os sistemas operacionais do cliente e do servidor devem suportar PPTP PPTP o protocolo de tunelamento mais difundido no mercado: Windows, Linux, Roteadores, etc... PPTP: Point-to-Point tunneling Protocol
  • Slide 15
  • 2013, Edgard Jamhour Cenrios: A) Acesso por modem: O cliente estabelece uma conexo com um provedor (ISP) e depois com o servidor de VPN. B) Acesso por placa de rede: O cliente j est na Internet, ele se conecta diretamente ao servidor de VPN. O cliente e o servidor da VPN se encontram na mesma rede corporativa. Cenrios de Utilizao do PPTP
  • Slide 16
  • 2013, Edgard Jamhour O cliente tem acesso direto ao servidor, seja via linha discada, seja via rede. Tipos de Conexo Protocolo TCP/IP IPX/SPX NetBEUI possui protocolo PPTP instalado e servio de dial up possui protocolo PPTP instalado e servio RAS configurado Protocolo TCP/IP IPX/SPX NetBEUI permanente discado PLACA DE REDE MODEM
  • Slide 17
  • 2013, Edgard Jamhour Opes de Configurao Opo no Cliente: - Conexes Virtuais Simultneas (1 no WINDOWS 95/98). - Criptografia - Mtodo de Autenticao Opes no Servidor: - Nmero de portas VPN - DHCP ou RAS - O cliente pode especificar seu IP (S/N) - Range de IPs - Tipo de Autenticao - Criptografia de Dados (S/N) - Acesso ao servidor ou a toda rede. PORTAS VPN PARA DISCAGEM PORTAS VPN PARA RECEPO discado rede
  • Slide 18
  • 2013, Edgard Jamhour Conexo PPTP PSTN INTERNET ISP EMPRESA USURIO REMOTO TUNEL PROVEDOR DE ACESSO A INTERNET REDE TELEFNICA NAS MODEM SERVIDOR PPP PPTP
  • Slide 19
  • 2013, Edgard Jamhour Topologias de Conexo O servidor VPN libera acesso a toda rede RAS Acesso apenas a esta mquina Outro Servidor da Rede PORTAS VPN WINDOWS NT/LINUX
  • Slide 20
  • 2013, Edgard Jamhour 1) Situao Inicial Considere um cliente e um servidor conectados por uma rede TCP/IP. Ambos possuem endereos pr-definidos. Exemplo IP NORMAL1 IP NORMAL2 SERVIDOR RAS RANGE IP IP VPN1 IP VPN2... INTERNET EXEMPLO: 192.168.0.1.. 192.168.0.254
  • Slide 21
  • 2013, Edgard Jamhour 2) O cliente disca para o endereo IP do servidor. Nesse processo, o cliente deve fornecer seu login e senha. A conta do usurio deve existir no servidor, e ele deve ter direitos de acesso via dial up. O servidor atribui um IP para o cliente, e reconfigura suas rotas. Estabelecimento da Conexo PPTP IP NORMAL2 IP NORMAL1 SERVIDOR RAS RANGE IP IP VPN1 IP VPN2... INTERNET LOGIN SENHA IP VPN E ROTAS
  • Slide 22
  • 2013, Edgard Jamhour Os clientes conectados a rede virtual utilizam o servidor RAS como roteador. Rede Virtual VPN SERVIDOR RAS
  • Slide 23
  • 2013, Edgard Jamhour Comunicao com Tunelamento IPN2 IPN1 SERVIDOR RAS IPVPN1IPVPN2 IPN2IPN1IPVPN2IPVPN3 CLIENTE IPN1IPN3IPVPN2IPVPN3 IPN3 IPVPN3 CLIENTE
  • Slide 24
  • 2013, Edgard Jamhour A tcnica de encapsulamento PPTP baseada no padro Internet (RFC 1701 e 1702) denominado: Generic Routing Encapsulation (GRE) O PPTP conhecido como GREv2, devido as extenses que acrescentou: controle de velocidade da conexo identificao das chamadas. Pacotes PPTP
  • Slide 25
  • 2013, Edgard Jamhour Um pacote PPTP feito de 4 partes: Delivery Header: adapta-se ao meio fsico utilizado IP Header: endereo IP de origem e destino sem tunelamento GREv2 Header: indentifica qual protocolo foi encapsulado Payload Datagram: pacote encapsulado (IPX, IP, NetBEUI, etc.) Estrutura do PPTP
  • Slide 26
  • 2013, Edgard Jamhour A figura abaixo mostra o formato geral de um pacote PPTP. O contedo de cada campo varia de acordo como o meio utilizado e com o protocolo transportado. Formato Geral de um Pacote PPTP Delivery Header IP Header GREv2 Header Payload Datagram Corresponde ao cabealho do protocolo de enlace (Ethernet, FrameRelay, etc.) Cabealho do Datagrama IP de encapsulamento Intentifica o Protocolo Encapsulado Datagrama do Protocolo Encapsulado
  • Slide 27
  • 2013, Edgard Jamhour A figura abaixo mostra o que acontece quando um datagrama IP tunelado atravs de uma rede local Ethernet, com protocolo TCP/IP. Datagramas Tunelados Delivery Header IP Header GREv2 Header Payload Datagram Ethernet Header GREv2 Header IP Header Protocolo de Transporte Protocolo de Aplicao IP Origem e Destino Sem Tunelamento IP Origem e Destino com Tunelamento
  • Slide 28
  • 2013, Edgard Jamhour O estabelecimento de uma conexo PPTP feito pela porta de controle TCP 1723. Esta porte precisa ser liberada no firewall para implantar uma VPN de acesso. Porta de Controle 1723 > 1024 configurao do link autenticao configurao de rotas TCP IP: Protocol Type = 2F
  • Slide 29
  • 2013, Edgard Jamhour Exemplo de VPN com Firewall INTERNET 1723>1023 IP_Servidor_VPN FIREWALL: Liberar a porta TCP 1723 no IP = Servidor_VPN Liberar o protocolo PPTP (Protocol Type=2F) para o IP=Servidor_VPN
  • Slide 30
  • 2013, Edgard Jamhour Autenticao por CHAP CHAP: Challenge HandShake Authentication Protocol Definido pela RFC 1994 como uma extenso para PPP No utiliza passwords em aberto Um password secreto, criado apenas para a sesso, utilizado para o processo de autenticao. CHAP permite repetir o processo de validao da senha durante a conexo para evitar ataques por roubo de conexo.
  • Slide 31
  • 2013, Edgard Jamhour Autenticao CHAP O processo utilizado do tipo challenge-response: a) O cliente envia sua identificao ao servidor (mas no a senha) b) O servidor responde enviando ao clie