Meios de Comunicação de DadosJorge Ávila – Aula 08

Transporte Subjacente

•Esta figura mostra um pacote IPSec, que é composto por um pacote IP original, utilizado para transmitir informações pela Internet, e alguns dos cabeçalhos utilizados pelo IPSec.

VANTAGENS E DESVANTAGENS•As vantagens em utilizar uma VPN estão

relacionadas à segurança, transparência, facilidade de administração e redução de custos.

• A VPN garante o fornecimento de funções vitais de segurança, como autenticidade, confidencialidade, integridade e controle de acesso, reduzindo os riscos de ataques externos, como IP Spoofing, man-in-the-middle e injeção de pacotes na comunicação.

VANTAGENS E DESVANTAGENS•A transparência não deixa que os

usuários, as aplicações e os computadores percebam a localização física dos recursos que estão sendo utilizados, permitindo que eles sejam acessados em lugares remotos como se estivessem presentes localmente, facilitando o gerenciamento das redes e diminuindo a necessidade de treinamentos para os administradores.

VANTAGENS E DESVANTAGENS•A redução de custos é uma das maiores

vantagens de se implementar uma VPN, pois usando conexão local de Internet, não é necessário, por exemplo, o uso de linhas dedicadas e servidores para acesso remoto, que são relativamente mais caros de se manter comparando-se a uma VPN.

VANTAGENS E DESVANTAGENS•Uma VPN apresenta como desvantagens o

fato de sua implementação poder consumir muito tempo, a dificuldade na localização de seus defeitos, a relação de confiança entre as redes interconectadas e a disponibilidade da Internet.

VANTAGENS E DESVANTAGENS•Em razão dos dados trafegarem de forma

encriptada em uma VPN, a localização de defeitos, como a não sincronização das chaves, falhas de autenticação, pacotes perdidos e a sobrecarga do gateway VPN, pode ser um problema.

VANTAGENS E DESVANTAGENS•Em razão de uma VPN depender da

Internet para conectar suas redes, é necessário que ela esteja sempre disponível, o que nem sempre é possível, devido às falhas existentes nos provedores de serviços de Internet.

VPN

•Falando um pouco mais de VPN, existem três tipos de conexões VPN que iremos conhecer:▫Redes VPN de acesso remoto▫Redes VPN site a site▫Redes VPN do tipo ponto a ponto

Rede VPN Acesso Remoto

•Habilita um usuário que esteja trabalhando em casa ou em trânsito a acessar um servidor em uma rede privada, usando a infraestrutura fornecida por uma rede pública, como a Internet.

•Do ponto de vista do usuário, a VPN é uma conexão ponto a ponto entre o computador cliente e um servidor da organização.

Rede VPN Acesso Remoto

•A infraestrutura da rede pública ou compartilhada é irrelevante porque ela aparece logicamente como se os dados fossem enviados por meio de um link privado dedicado.

•Essa rede também é chamada de rede discada privada virtual (VPDN).

Rede VPN Acesso Remoto

•É uma conexão usuário-LAN utilizada por empresas cujos funcionários precisam se conectar a uma rede privada de vários lugares distantes.

•Normalmente, uma empresa que precisa instalar uma grande rede VPN de acesso remoto terceiriza o processo para um provedor de serviços corporativo (ESP)

Rede VPN Acesso Remoto

•O ESP instala um servidor de acesso à rede (NAS) e provê os usuários remotos com um programa cliente para seus computadores.

• Os trabalhadores que executam suas funções remotamente podem discar para um 0800 para ter acesso ao NAS e usar seu software cliente de VPN para alcançar os dados da rede corporativa.

Redes VPN site a site

•Uma conexão VPN site a site (algumas vezes chamada de conexões VPN roteador a roteador) habilita que uma organização mantenha conexões roteadas entre escritórios independentes ou com outras organizações em uma rede pública, enquanto ajuda a manter a segurança das comunicações.

Redes VPN site a site

•Quando as redes são conectadas pela Internet, como mostra a figura a seguir, um roteador habilitado por VPN encaminha os pacotes para outro roteador habilitado por VPN em uma conexão VPN.

•Para os roteadores, a conexão VPN aparece, logicamente, como um link de camada de link de dados dedicado.

Redes VPN site a site

•Uma conexão VPN site a site conecta duas redes privadas.

•O servidor VPN fornece uma conexão roteada com a rede à qual o servidor VPN está conectado.

•O roteador de chamada realiza sua própria autenticação para o roteador de resposta e, para autenticação mútua, o roteador de resposta realiza sua própria autenticação para o roteador de chamada.

Redes VPN site a site

•Geralmente, em uma conexão VPN site a site, os pacotes enviados de qualquer um dos roteadores pela conexão VPN não são originados nos roteadores.

Redes VPN site a site

Redes VPN do tipo ponto a ponto•Por meio do uso de equipamentos

dedicados e criptografia em grande escala, uma empresa pode conectar múltiplos pontos fixos em uma rede pública como a Internet.

•VPNs do tipo ponto a ponto podem ser de dois tipos:▫Baseada em intranet▫Baseada em extranet

Baseado na Intranet

•Se uma empresa tem um ou mais locais remotos que quer ver ligados por uma rede privada, pode criar uma rede do tipo VPN intranet para conectar redes LAN entre si.

Baseado na Extranet

•Quando uma empresa tem uma estreita relação com outra (parceiros, fornecedores ou clientes), pode construir uma rede do tipo VPN extranet que conecta uma rede LAN a outra LAN, permitindo às empresas o trabalho em ambiente compartilhado.

Redes VPN do tipo ponto a ponto

Segurança de uma rede VPN: Firewalls•Uma rede VPN bem projetada utiliza

vários métodos para manter sua conexão e segurança dos dados:▫Firewalls▫Criptografia▫IPSec▫Servidor AAA

Firewall

•Um firewall provê uma potente barreira entre sua rede privada e a Internet. Podemos colocar firewalls para restringir o número de portas abertas, o tipo de pacote que pode passar e que protocolos são permitidos por ele.

•Alguns produtos para rede VPN, como o roteador Cisco 1700, podem ser atualizados para incluir habilidades de firewalls, executando neles um IOS Cisco apropriado.

Criptografia

•As formas de segurança em comunicação de dados, devemos lembrar que Criptografia é o processo de codificação de todos os dados que um computador envia para outro, de forma que só o destinatário possa decodificá-los A maioria dos sistemas de criptografia de computadores pertence a uma destas duas categorias:▫criptografia com chave simétrica▫criptografia com chave pública

IPSec

•O Internet Protocol Security (IPSec) fornece recursos aperfeiçoados de segurança, como um melhor algoritmo de criptografia e autenticação mais abrangente

IPSec

IPSec• No IPSec há duas formas de criptografia: túnel

e transporte. • A forma de túnel criptografa o cabeçalho e o

conteúdo de cada pacote, ao passo que a modalidade transporte somente criptografa os conteúdos.

• Somente sistemas compatíveis com IPSec podem tirar vantagem desse protocolo.

• Todos os equipamentos precisam usar uma chave comum, e o firewall de cada rede precisa ter instaladas políticas de segurança semelhantes.

IPSec

•O IPSec pode criptografar dados entre vários equipamentos, como:▫roteador para roteador▫firewall para roteador▫PC para roteador▫PC para servidor

Servidores AAA

•Servidores AAA (autenticação, autorização e contabilização, na sigla em inglês) são usados para dar mais segurança ao acesso a ambientes de redes VPN de acesso remoto.

•Quando uma solicitação para estabelecer um contato vem de um cliente discado, é encaminhada para um servidor AAA.

Servidores AAA

•O servidor AAA verifica o seguinte:▫Quem você é (autenticação)▫O que você está autorizado a fazer

(autorização, ou determinação de permissões)

▫O que você de fato faz (contabilização)•A informação de contabilização é muito

útil para rastrear um usuário - para auditorias de segurança, cobrança ou confecção de relatórios.

Servidores AAA

Tecnologias das redes VPN• Dependendo do tipo de rede VPN (acesso remoto ou

ponto a ponto), precisaremos incluir certos componentes para construir nossa rede VPN, entre os quais:▫Programa cliente para o computador de cada usuário

remoto▫Equipamentos dedicados como um concentrador para

redes VPN ou firewall PIX seguro▫Servidor VPN dedicado, para serviços de discagem

NAS (network access server) usado pelo provedor de serviços de um usuário remoto com acesso à rede VPN

▫Central de gerenciamento de políticas e de redes VPN

Tecnologias das redes VPN

•Por não existir um padrão amplamente aceito para se implementar uma rede VPN, muitas empresas desenvolveram soluções próprias.

• Nas próximas seções abordaremos algumas soluções oferecidas pela Cisco, uma das mais difundidas companhias de tecnologia de redes de dados.

Exercício

1. Qual a função de uma VPN?2. Quais os principais elementos de uma

VPN?3. Diferencie os principais tipos de VPN?4. Comente sobre segurança em redes

VPN?

Concentradores de redes VPN•Incorporando as mais avançadas técnicas

de criptografia e autenticação disponíveis, os concentradores VPN são construídos especificamente para a criação de VPN de acesso remoto.

Concentradores de redes VPN•Eles oferecem alta disponibilidade, alto

desempenho e escalabilidade e incluem componentes, chamados de módulos de processamento escalável de criptografia (SEP - scalable encryption processing ), que permitem aos usuários aumentar facilmente a capacidade de processamento.

Concentradores de redes VPN•Os concentradores são oferecidos em

modelos apropriados para cada tipo, desde pequenos escritórios com até 100 usuários de acesso remoto até grandes organizações com até 10 mil usuários remotos simultâneos.

Roteador VPN otimizado•Roteadores otimizados VPN da Cisco proveem

escalabilidade, roteamento, segurança e QoS (quality of service - qualidade de serviço).

•Com base no programa Cisco IOS (Internet Operating System), existe um roteador apropriado para cada situação, desde acesso de pequenos escritórios conhecidos como small-office/home-office (SOHO) até os agregadores VPN central-site, para necessidades corporativas em larga escala.

Roteador VPN otimizado

Secure PIX Firewall da Cisco•Uma incrível peça de tecnologia, o

firewall PIX (private Internet exchange) combina tradução de endereços da rede dinâmica, servidor proxy, filtragem de pacote, firewall e capacidades das redes VPN em um só equipamento.

Secure PIX Firewall da Cisco•Em vez de usar o IOS Cisco, esse

equipamento possui um sistema operacional altamente moderno, que substitui a habilidade de gerenciar uma variedade de protocolos pela extrema robustez e desempenho focados no IP.

Túnel de comunicação

•A maioria das redes VPNs confia no túnel de comunicação para criar uma rede privada que passa pela Internet.

•Túnel de comunicação é o processo de colocar um pacote inteiro dentro de outro e enviar ambos pela rede.

•O protocolo do pacote externo é entendido pela rede e dois pontos chamados interfaces do túnel, pelas quais o pacote entra na rede e sai dela.

Túnel de comunicação•O envio de dados pelo túnel requer três

diferentes protocolos:▫Protocolo de portadora - o protocolo usado

pela rede sobre a qual a informação está viajando.

▫Protocolo de encapsulamento - os protocolos (GRE, IPSec, L2F, PPTP, L2TP) que são empacotados em volta dos dados originais.

▫Protocolo de passageiro - os dados originais (IPX, NetBeui, IP) sendo transportados

Túnel de comunicação• O envio de dados pelos túneis tem uma

implicação surpreendente para as redes VPNs.• Podemos colocar um pacote que usa um

protocolo que não é suportado pela Internet (como o NetBeui) dentro de um pacote com protocolo IP e enviá-lo de forma segura pela Internet.

• Podemos também colocar um pacote que usa um endereço IP privado (não roteável) dentro de um pacote que usa um endereço IP global exclusivo para ampliar uma rede privada na Internet.

Túnel de comunicação ponto a ponto•Em uma rede VPN ponto a ponto, GRE

(encapsulamento de roteamento genérico) é normalmente o protocolo de encapsulamento que provê a estrutura de empacotamento do protocolo de passageiro para transportar sobre o protocolo de portadora, que é tipicamente baseado em protocolo IP.

Túnel de comunicação ponto a ponto• Incluem-se informações sobre que tipo de

pacote está sendo encapsulado e sobre a conexão entre o cliente e o servidor.

•Apesar do GRE, o IPSec no modo túnel é muitas vezes usado como o protocolo de encapsulamento.

•O IPSec trabalha bem tanto com o acesso remoto, quanto com as VPNs ponto a ponto.

• O IPSec precisa ser aceito nas duas interfaces do túnel para ser usado.

Túnel de comunicação de dados: acesso remoto•Em uma rede VPN de acesso remoto, a

transmissão de dados pelo túnel se dá com uso de PPP.

•Parte da camada TCP/IP, o PPP é o transportador para outros protocolos IP quando se comunicam pela rede entre o host e o sistema remoto. A transmissão de dados pelo túnel em rede VPN de acesso remoto se baseia no protocolo PPP.

Túnel de comunicação de dados: acesso remoto•Cada um dos protocolos listados abaixo

foi construído usando a estrutura básica do protocolo PPP e é usado pelas redes VPNs de acesso remoto.▫L2F (Layer 2 Forwarding)▫PPTP (Point-to-Point Tunneling Protocol)▫L2TP (Layer 2 Tunneling Protocol)

L2F (Layer 2 Forwarding)

•L2F (Layer 2 Forwarding) - desenvolvida pela Cisco, o L2F usa qualquer esquema de autenticação suportado pelo protocolo PPP.

PPTP (Point-to-Point Tunneling Protocol)•o PPTP foi criado pelo Forum PPTP, um

consórcio de empresas que inclui a US Robotics, Microsoft, 3COM, Ascend e a ECI Telematics.

•O PPTP aceita criptografia de 40-bits de 128-bits e usa qualquer esquema de autenticação aceito pelo protocolo PPP.

L2TP (Layer 2 Tunneling Protocol)•L2TP é o produto da parceria entre os

membros do fórum PPTP, Cisco e o IETF (Internet Engineering Task Force). Combinando características tanto do PPTP quanto do L2F, o L2TP também aceita amplamente o IPSec.

L2TP (Layer 2 Tunneling Protocol)•O L2TP pode ser usado como protocolo de

transmissão de dados pelo túnel para VPNs ponto a ponto e para VPNs de acesso remoto. De fato, o protocolo L2TP pode criar um túnel entre:▫cliente e roteador▫NAS e roteador▫roteador e roteador

VPN

•Como você viu, redes VPNs são uma boa maneira de as empresas manterem seus funcionários e parceiros conectados, não importando onde eles estejam.

Exercício

1. Defina túnel de comunicação?2. Diferencie os principais equipamentos

de uma VPN?3. Quais as vantagens e desvantagens dos

protocolos L2F, PPTP e L2TP?

jorgeavila11.wordpress.com

Gostou ? Compartilha...

A FÉ na VitóriaTem que ser inabalável