Transcript
Page 1: 2010, Edgard Jamhour Redes Virtuais Privadas VPN Edgard Jamhour

2010, Edgard Jamhour

Redes Virtuais PrivadasVPN

Edgard Jamhour

Page 2: 2010, Edgard Jamhour Redes Virtuais Privadas VPN Edgard Jamhour

2010, Edgard Jamhour

Tipos de VPN

ENTRE DUAS MÁQUINAS

ENTRE UMA MÁQUINA E UMA REDE(VPN DE ACESSO)

ENTRE DUAS REDES(INTRANET OU

EXTRANET VPN)

rede

Insegura

rede

Insegura

rede

Insegura

Page 3: 2010, Edgard Jamhour Redes Virtuais Privadas VPN Edgard Jamhour

2010, Edgard Jamhour

VPN = Tunelamento

rede

Insegura

pacote protegido

rede

Insegura pacote desprotegido

rede

Insegura

Page 4: 2010, Edgard Jamhour Redes Virtuais Privadas VPN Edgard Jamhour

2010, Edgard Jamhour

• TUNELAMENTO:– Permite tranportar pacotes com IP privado ou com outros protocolos

de rede através da Internet.

• AUTENTICAÇÃO:– Permite controlar quais usuários podem acessar a VPN

– Reduz o risco de ataques por roubo de conexão e spoofing.

• CRIPTOGRAFIA:– Garante a confidencialidade dos dados transportados através da

VPN.

Conceitos Básicos de uma VPN

Page 5: 2010, Edgard Jamhour Redes Virtuais Privadas VPN Edgard Jamhour

2010, Edgard Jamhour

• TUNELAR: Significa colocar as estruturas de dados de um protocolo da mesma camada do modelo OSI dentro do outro. Existem dois tipos de Tunelamento:– Camada 3: Transporta apenas pacotes IP

– Camada 2: Permite tranportar outros protocolos de rede: IP, NetBEUI, IPX.

TUNELAMENTO

CABEÇALHOQUADRO

CABEÇALHOPACOTE CRC

CABEÇALHOQUADRO

CABEÇALHOIP CRCCABEÇALHO

PACOTE IPTUNELAMENTO DA CAMADA 3

TUNELAMENTO DA CAMADA 2

DADOS

DADOS

CABEÇALHOQUADRO

CABEÇALHOPACOTE IP CRCDADOS

CABEÇALHOQUADRO

Page 6: 2010, Edgard Jamhour Redes Virtuais Privadas VPN Edgard Jamhour

2010, Edgard Jamhour

TUNELAMENTO

FISICA

ENLACE

REDE

TRANSPORTE

APLICAÇÃO

FISICA

ENLACE

REDE

SSL

APLICAÇÃO

FISICA

ENLACE

REDE

TRANSPORTE

APLICAÇÃO

FISICA

ENLACE

REDE

TRANSPORTE

APLICAÇÃO

TRANSPORTE

REDE

REDE

ENLACE

Aplicação

S.O.

Placa de

Rede

Pilha

Normal SSLTunelamento

Camada 3

Tunelamento

Camada 2

Page 7: 2010, Edgard Jamhour Redes Virtuais Privadas VPN Edgard Jamhour

2010, Edgard Jamhour

• L2F: Layer 2 Fowarding Protocol (Cisco)– Não é mais utilizado.

• PPTP: Tunelamento de Camada 2– Point-to-Point tunneling Protocol

• L2TP: Tunelamento de Camada 2– Level 2 Tunneling Protocol (L2TP)

– Combinação do L2F e PPTP

• IPSec: Tunelamento de Camada 3– IETF (Internet Engineering Task Force)

PROTOCOLOS PARA VPN

Page 8: 2010, Edgard Jamhour Redes Virtuais Privadas VPN Edgard Jamhour

2010, Edgard Jamhour

Protocolos para VPN

Protocolo Tunelamento Criptografia Autenticação Aplicação

PPTP Camada 2 Sim Sim VPN de Acesso Iniciada no Cliente

L2TP Camada 2 Não Sim VPN de Acesso Iniciada no NAS

Intranet e Extranet VPN

IPsec Camada 3 Sim Sim VPN de Acesso

Intranet e Extranet VPN

IPsec e L2TP

Camada 2 Sim Sim VPN de Acesso Iniciada no NAS

Intranet e Extranet VPN

Page 9: 2010, Edgard Jamhour Redes Virtuais Privadas VPN Edgard Jamhour

2010, Edgard Jamhour

• Serviço de Acesso Remoto:– Implementado pelos sistemas operacionais comerciais

mais difundidos.

– Permite que um usuário acesse um servidor por linha discada.

Acesso por linha discada

MODEM MODEM

MODEM

PRECISA DE UM MODEM PARA

CADA USUÁRIO

PPP: POINT TO POINT PROTOCOL

RAS OU NAS

PSTN

REDE

Page 10: 2010, Edgard Jamhour Redes Virtuais Privadas VPN Edgard Jamhour

2010, Edgard Jamhour

• Permite criar conexão de rede através de links ponto a ponto.– O PPP é um protocolo do nível de enlace destinado a

transportar mensagens ponto a ponto.

– O PPP supõem que o link físico transporta os pacotes na mesma ordem em que foram gerados.

PPP: Point to Point Protocol

O PPP permite transportar diversos protocolos de rede.IP

IPX

link físico

Page 11: 2010, Edgard Jamhour Redes Virtuais Privadas VPN Edgard Jamhour

2010, Edgard Jamhour

• O Frame PPP segue uma variante da estrutura do HDLC (High-level Data Link Control)– FLAG: 0x7E

– ADDRESS: Usualmente FF (broadcast)

– CONTROL: 0x03

– FCS: Checksum

Frame PPP

FLAG ADDRESS CONTROL PROTOCOL FCS FLAG

8 bits 8 bits 8 bits 16 bits 16 bits 8 bits

DADOS

Page 12: 2010, Edgard Jamhour Redes Virtuais Privadas VPN Edgard Jamhour

2010, Edgard Jamhour

• Link Control Protocols (LCP)– Configura parâmetros do link como tamanho dos

quadros.

• Protocolos de Autenticação– Determina o método para validar a senha do usuário no

servidor. Pode variar de texto aberto até criptografia.

• Network control protocols (NCP):– Configura parâmetros específicos do protocolo

transportado, como IP, IPX, and NetBEUI.

Sequência PPP

Page 13: 2010, Edgard Jamhour Redes Virtuais Privadas VPN Edgard Jamhour

2010, Edgard Jamhour

• Definido pelo PPTP Forum:– Ascend Communication, U.S. Robotics, 3Com

Corporation, Microsoft Corporation e ECI Telematics

– Formalizado por RFC

• Requisitos para Utilização:– Os sistemas operacionais do cliente e do servidor devem

suportar PPTP

– PPTP é o protocolo de tunelamento mais difundido no mercado:• Windows, Linux, Roteadores, etc...

PPTP: Point-to-Point tunneling Protocol

Page 14: 2010, Edgard Jamhour Redes Virtuais Privadas VPN Edgard Jamhour

2010, Edgard Jamhour

• Cenários:– A) Acesso por modem:

• O cliente estabelece uma conexão com um provedor (ISP) e depois com o servidor de VPN.

– B) Acesso por placa de rede:• O cliente já está na Internet, ele se conecta diretamente ao servidor

de VPN.

• O cliente e o servidor da VPN se encontram na mesma rede corporativa.

Cenários de Utilização do PPTP

Page 15: 2010, Edgard Jamhour Redes Virtuais Privadas VPN Edgard Jamhour

2010, Edgard Jamhour

• O cliente tem acesso direto ao servidor, seja via linha discada, seja via rede.

Tipos de Conexão

ProtocoloTCP/IPIPX/SPXNetBEUI

possui protocolo PPTPinstalado e

serviço de dial up

possui protocolo PPTPinstalado e

serviço RAS configurado

ProtocoloTCP/IPIPX/SPXNetBEUI

permanente

discado

PLACA DE REDEMODEM

Page 16: 2010, Edgard Jamhour Redes Virtuais Privadas VPN Edgard Jamhour

2010, Edgard Jamhour

Opções de Configuração

Opção no Cliente: - Conexões Virtuais Simultâneas (1 no WINDOWS 95/98).- Criptografia- Método de Autenticação

Opções no Servidor: - Número de portas VPN - DHCP ou RAS - O cliente pode especificar seu IP (S/N) - Range de IP’s - Tipo de Autenticação - Criptografia de Dados (S/N) - Acesso ao servidor ou a toda rede.

PORTAS VPNPARA DISCAGEM

PORTAS VPNPARA RECEPÇÃO

discado

rede

Page 17: 2010, Edgard Jamhour Redes Virtuais Privadas VPN Edgard Jamhour

2010, Edgard Jamhour

Conexão PPTP

PSTN

INTERNET

ISP

EMPRESA

USUÁRIOREMOTO

TUNELPROVEDOR DE

ACESSO A INTERNET

REDE TELEFÔNICA

NASMODEM

MODEM

MODEM

MODEM

SERVIDOR

PPP

PPTP

Page 18: 2010, Edgard Jamhour Redes Virtuais Privadas VPN Edgard Jamhour

2010, Edgard Jamhour

Topologias de Conexão

O servidor VPN libera acesso a toda rede

RAS

RAS

Acesso apenas a esta máquina

Outro Servidor da Rede

PORTAS VPNPORTAS VPN

WINDOWS NT/LINUX

WINDOWS NT/LINUX

Page 19: 2010, Edgard Jamhour Redes Virtuais Privadas VPN Edgard Jamhour

2010, Edgard Jamhour

• 1) Situação Inicial– Considere um cliente e um servidor conectados por uma

rede TCP/IP.

– Ambos possuem endereços pré-definidos.

Exemplo

IPNORMAL1

IPNORMAL2

SERVIDOR RAS

RANGE IPIPVPN1

IPVPN2

...

INTERNET

EXEMPLO:192.168.0.1

..192.168.0.254

Page 20: 2010, Edgard Jamhour Redes Virtuais Privadas VPN Edgard Jamhour

2010, Edgard Jamhour

• 2) O cliente disca para o endereço IP do servidor.– Nesse processo, o cliente deve fornecer seu login e

senha.

– A conta do usuário deve existir no servidor, e ele deve ter direitos de acesso via dial up.

– O servidor atribui um IP para o cliente, e reconfigura suas rotas.

Estabelecimento da Conexão PPTP

IPNORMAL2

IPNORMAL1

SERVIDOR RAS

RANGE IPIPVPN1

IPVPN2

...

INTERNET

LOGINSENHA

IPVPN E ROTAS

Page 21: 2010, Edgard Jamhour Redes Virtuais Privadas VPN Edgard Jamhour

2010, Edgard Jamhour

• Os clientes conectados a rede virtual utilizam o servidor RAS como roteador.

Rede Virtual

VPN

VPN

VPN

VPN

SERVIDOR RAS

Page 22: 2010, Edgard Jamhour Redes Virtuais Privadas VPN Edgard Jamhour

2010, Edgard Jamhour

Comunicação com Tunelamento

IPN2 IPN1

SERVIDOR RAS

IPVPN1IPVPN2

IPN2 IPN1 IPVPN2 IPVPN3

CLIENTE

IPN1 IPN3 IPVPN2 IPVPN3

IPN3

IPVPN3

CLIENTE

Page 23: 2010, Edgard Jamhour Redes Virtuais Privadas VPN Edgard Jamhour

2010, Edgard Jamhour

• A técnica de encapsulamento PPTP é baseada no padrão Internet (RFC 1701 e 1702) denominado:– Generic Routing Encapsulation (GRE)

– O PPTP é conhecido como GREv2, devido as extensões que acrescentou:• controle de velocidade da conexão

• identificação das chamadas.

Pacotes PPTP

Page 24: 2010, Edgard Jamhour Redes Virtuais Privadas VPN Edgard Jamhour

2010, Edgard Jamhour

• Um pacote PPTP é feito de 4 partes:– Delivery Header:

• adapta-se ao meio físico utilizado

– IP Header: • endereço IP de origem e destino sem tunelamento

– GREv2 Header: • indentifica qual protocolo foi encapsulado

– Payload Datagram: • pacote encapsulado (IPX, IP, NetBEUI, etc.)

Estrutura do PPTP

Page 25: 2010, Edgard Jamhour Redes Virtuais Privadas VPN Edgard Jamhour

2010, Edgard Jamhour

• A figura abaixo mostra o formato geral de um pacote PPTP. O conteúdo de cada campo varia de acordo como o meio utilizado e com o protocolo transportado.

Formato Geral de um Pacote PPTP

Delivery Header

IP Header

GREv2 Header

Payload Datagram

Corresponde ao cabeçalho do

protocolo de enlace(Ethernet,

FrameRelay, etc.)

Cabeçalho do Datagrama IP de encapsulamento

Intentifica o Protocolo

Encapsulado

Datagrama do Protocolo

Encapsulado

Page 26: 2010, Edgard Jamhour Redes Virtuais Privadas VPN Edgard Jamhour

2010, Edgard Jamhour

• A figura abaixo mostra o que acontece quando um datagrama IP é tunelado através de uma rede local Ethernet, com protocolo TCP/IP.

Datagramas Tunelados

Delivery Header

IP Header

GREv2 Header

Payload Datagram

EthernetHeader

GREv2 Header

IPIPHeader

Protocolo de Transporte

Protocolo de Aplicação

IP Origem e Destino Sem Tunelamento

IP Origem e Destino com Tunelamento

Page 27: 2010, Edgard Jamhour Redes Virtuais Privadas VPN Edgard Jamhour

2010, Edgard Jamhour

• O estabelecimento de uma conexão PPTP é feito pela porta de controle TCP 1723.

• Esta porte precisa ser liberada no firewall para implantar uma VPN de acesso.

Porta de Controle

1723> 1024

configuração do link

autenticação

configuração de rotasTCP

IP: Protocol Type = 2F

Page 28: 2010, Edgard Jamhour Redes Virtuais Privadas VPN Edgard Jamhour

2010, Edgard Jamhour

Exemplo de VPN com Firewall

INTERNET

1723>1023

IP_Servidor_VPN

FIREWALL:

Liberar a porta TCP 1723 no IP = Servidor_VPN

Liberar o protocolo PPTP (Protocol Type=2F) para o IP=Servidor_VPN

Page 29: 2010, Edgard Jamhour Redes Virtuais Privadas VPN Edgard Jamhour

2010, Edgard Jamhour

• Baseado nos Protocolos:– PPTP

– L2F

• As mensagens do protocolo L2TP são de dois tipos:– Mensagens de controle:

• Utilizadas para estabelecer e manter as conexões

– Mensagens de dados:• Utilizadas para transportar informações

L2TP: Layer Two Tunneling Protocol

Page 30: 2010, Edgard Jamhour Redes Virtuais Privadas VPN Edgard Jamhour

2010, Edgard Jamhour

• Possui suporte as seguintes funções:– Tunnelamento de múltiplos protocolos

– Autenticação

– Anti-spoofing

– Integridade de dados• Certificar parte ou todos os dados

– Padding de Dados• Permite esconder a quantidade real de dados Transportados

• Não possui suporte nativo para criptografia.

L2TP

Page 31: 2010, Edgard Jamhour Redes Virtuais Privadas VPN Edgard Jamhour

2010, Edgard Jamhour

• PPTP:– Utiliza uma conexão TCP para negociar o túnel,

independente da conexão utilizada para transferir dados.

– No Windows 2000, por exemplo, o cliente e o servidor utilizam a porta TCP 1723 para negociar os túneis PPTP.

– Não possui mecanismos fortes de integridade dos pacotes (baseia-se apenas no PPP).

– Túneis são usualmente criados pelo cliente.

• L2TP:– Envia tanto as mensagens de controle quanto os dados

encapsulados em datagramas UDP.

– No Windows 2000, por exemplo, o cliente e o servidor utilizam a porta UDP 1701 para negociar os túneis L2TP.

– Túneis são usualmente criados automaticamente pelo NAS.

PPTP e L2TP

Page 32: 2010, Edgard Jamhour Redes Virtuais Privadas VPN Edgard Jamhour

2010, Edgard Jamhour

• O tunelamento no L2TP é feito com o auxílio do protocolo UDP.

• Observe como o L2TP é construído sobre o protocolo PPP.

Tunelamento L2TP

Page 33: 2010, Edgard Jamhour Redes Virtuais Privadas VPN Edgard Jamhour

2010, Edgard Jamhour

Iniciada pelo Servidor de Acesso a Rede (NAS)

PSTN

INTERNET

ISP

EMPRESA

USUÁRIOREMOTO

PPP PPP

TUNELPROVEDOR DE

ACESSO A INTERNET

REDE TELEFÔNICA

NASMODEM

MODEM

MODEM

MODEM

SERVIDOR

PPP

L2TP

Page 34: 2010, Edgard Jamhour Redes Virtuais Privadas VPN Edgard Jamhour

2010, Edgard Jamhour

• Padrão aberto baseado em RFC (IETF).– Comunicação segura em camada 3 (IPv4 e IPv6)

– Provê recursos de segurança sobre redes IP:• Autenticação, Integridade e Confidencialidade

• Dois modos de funcionamento:– Modo Transporte

– Modo Túnel

• Dois Protocolos (Mecanismos)– IPsec ESP: IP Encapsulating Security Payload (50)

– IPsec AH: IP Autentication Header (51)

IP Sec - IP Seguro

Page 35: 2010, Edgard Jamhour Redes Virtuais Privadas VPN Edgard Jamhour

2010, Edgard Jamhour

• Modo transporte– Garante a segurança apenas dos dados provenientes

das camadas superiores.

– Utilizado geralmente para comunicação "fim-a-fim" entre computadores.

• Modo tunel– Fornece segurança também para a camada IP.

– Utilizado geralmente para comunicação entre roteadores.

Modos de Utilização do IPsec

Page 36: 2010, Edgard Jamhour Redes Virtuais Privadas VPN Edgard Jamhour

2010, Edgard Jamhour

• IP Autentication Header (AH) – Protocolo 51

– Oferece recursos de:• Autenticação

• Integridade

• IP Encapsulating Security Payload (ESP) – Protocolo 50

– Oferece recursos de:• Confidencialidade

• Autenticação

• Integridade

Tipos de IPSec

Page 37: 2010, Edgard Jamhour Redes Virtuais Privadas VPN Edgard Jamhour

2010, Edgard Jamhour

• Definido pelo protocolo IP tipo 51

• Utilizando para criar canais seguros com autenticação e integridade, mas sem criptografia.

• Permite incluir uma “assinatura digital” em cada pacote transportado.

• Protege a comunicação pois atacantes não conseguem falsificar pacotes assinados.

Protocolo AH

Page 38: 2010, Edgard Jamhour Redes Virtuais Privadas VPN Edgard Jamhour

2010, Edgard Jamhour

AH e Modo Túnel e Modo Transporte

IP TCP/UDP DADOS

IP TCP/UDP DADOSAH

IP TCP/UDP DADOSAH IP

IPv4

IPv4 com autenticação

IPv4 com autenticação e tunelamento

Especifica os Gateways nas Pontas do Tunnel

Especifica os Computadores

IP Normal

Modo Transporte

Modo Tunel

Page 39: 2010, Edgard Jamhour Redes Virtuais Privadas VPN Edgard Jamhour

2010, Edgard Jamhour

Authentication Header

• Provê serviços de autenticação e Integridade de Pacotes.

Next Header reserved

1 byte 1 byte

Length reserved

SPI: Security Parameter Index

Authentication Data

(ICV: Integrity Check Value)

Campo de Tamanho Variável, depende do protocolo de autenticação utilizado

1 byte 1 byte

Sequence Number

Page 40: 2010, Edgard Jamhour Redes Virtuais Privadas VPN Edgard Jamhour

2010, Edgard Jamhour

• Next Header:– Código do protocolo encapsulado pelo IPsec, de acordo

com os códigos definidos pela IANA (UDP, TCP, etc ...)

• Length: – comprimento do cabeçalho em múltiplos de 32.

• Security Parameter Index: – identificador de 32 bits, com a SA compartilhada pelo

transmissor e pelo receptor.

• Authentication Data: – Código de verificação de integridade (ICV) de tamanho

variável, depende do protocolo utilizado.

Campos do IPsec AH

Page 41: 2010, Edgard Jamhour Redes Virtuais Privadas VPN Edgard Jamhour

2010, Edgard Jamhour

• Para enviar um pacote:– O transmissor constrói um pacote com todos os campos

IP e protocolos das camadas superiores.

– Ele substitui todos os campos que mudam ao longo da transmissão com 0’s (por exemplo, o TTL)

– O pacote é completado com 0’s para se tornar múltiplo de 16 bits.

– Um checksum criptográfico é computado para concatenação:• Algoritmos: HMAC-MD5 ou HMAC-SHA-1

– MAC: Message Authentication Code

Authentication Data

Page 42: 2010, Edgard Jamhour Redes Virtuais Privadas VPN Edgard Jamhour

2010, Edgard Jamhour

• Para receber um pacote:– O receptor utiliza o SPI para determinar qual o algoritmo

a ser utilizado para validar o pacote recebido.

– O receptor substitui os campos mutáveis por “0” e calcula o checksum criptográfico do pacote.

– Se ele concordar com o checksum contido no cabeçalho do pacote de autorização, ele é então aceito.

Autenticação

IP TCP/UDP DADOSAH

Assinatura HMAC ICV

ICV

iguais?

Page 43: 2010, Edgard Jamhour Redes Virtuais Privadas VPN Edgard Jamhour

2010, Edgard Jamhour

• h = função de hashing (MD5 ou SHA1)

• k = chave secreta

• ipad = 0x363636 ... 3636

• opad = 0x5c5c5 ... c5c5c

HMAC

Page 44: 2010, Edgard Jamhour Redes Virtuais Privadas VPN Edgard Jamhour

2010, Edgard Jamhour

• Uma vez definida uma política comum a ambos os computadores, uma associação de segurança (SA) é criada para “lembrar” as condições de comunicação entre os hosts.

• Isso evita que as políticas sejam revistas pelo IPsec a cada novo pacote recebido ou transmitido.

• Cada pacote IPsec identifica a associação de segurança ao qual é relacionado pelo campo SPI contido tanto no IPsec AH quanto no IPsec ESP.

Security Association

Page 45: 2010, Edgard Jamhour Redes Virtuais Privadas VPN Edgard Jamhour

2010, Edgard Jamhour

• SA: Associação de Segurança– Contrato estabelecido após uma negociação que

estabelece como uma comunicação IPsec deve ser realizada.• Algoritmo de Autenticaçã/Criptografia

• Chave de Sessão

• SPI: Secure Parameter Index• Número inteiro (32 bits) que identifica um SA.

• É transmitido junto com os pacotes IPsec para permitir ao destinatário validar/decriptografar os pacotes recebidos.

Associação de Segurança

Page 46: 2010, Edgard Jamhour Redes Virtuais Privadas VPN Edgard Jamhour

2010, Edgard Jamhour

AH Modo Tunel e Transporte

SA

Internet

SA

SA Internet SA

Conexão IPsec em modo Túnel

IPsec AH IPsec AH IPsec AH IPsec AH IPsec AH

Conexão IPsec em modo Transporte

IPsec AH IPsec AH IPsec AH

IP

IPIP

IP

Page 47: 2010, Edgard Jamhour Redes Virtuais Privadas VPN Edgard Jamhour

2010, Edgard Jamhour

• Definido pelo protocolo IP tipo 50

• Utilizando para criar canais seguros com autenticação, integridade e criptografia.

• Além da criptografia, permite incluir uma “assinatura digital” em cada pacote transportado.

• Protege a comunicação pois atacantes não conseguem falsificar pacotes assinados e criptografados.

Protocolo ESP

Page 48: 2010, Edgard Jamhour Redes Virtuais Privadas VPN Edgard Jamhour

2010, Edgard Jamhour

ESP IPSec : Tunel e Transporte

TCP

UDP

DADOSESP HEADER

ESP

TRAILER

ESP

AUTH

criptografado

autenticado

TCP

UDP

DADOSIP

IP TCP

UDP

DADOSESP HEADER

ESP

TRAILER

ESP

AUTH

criptografadoautenticado

IP

IP

MODO TRANSPORTE

MODO TUNNEL

Page 49: 2010, Edgard Jamhour Redes Virtuais Privadas VPN Edgard Jamhour

2010, Edgard Jamhour

• ESP provê recursos de autenticação, integridade e criptografia de pacotes.

Encrypted Security Payload Header

Next HeaderPad (0 – 255 bytes)

1 byte 1 byte

Pad Length

Security Parameter Index

Encrypted Payload

(dados criptografados)

1 byte 1 byte

Sequence Number

Authentication Data

(tamanho variável)

HEADER

TRAILER

AUTH

Page 50: 2010, Edgard Jamhour Redes Virtuais Privadas VPN Edgard Jamhour

2010, Edgard Jamhour

• Header:– SPI e Sequence Number: Mesmas funções do AH

– O algoritmo de criptografia pode ser qualquer, mas o DES Cipher-Block Chaining é o default.

• Trailler:– Torna os dados múltiplos de um número inteiro,

conforme requerido pelo algoritmo de criptografia.

– O trailler também é criptografado.

• Auth:– ICV (Integrity Check Value) calculado de forma idêntica

ao cabeçalho AH. Este campo é opcional.

Campos do IPsec ESP

Page 51: 2010, Edgard Jamhour Redes Virtuais Privadas VPN Edgard Jamhour

2010, Edgard Jamhour

ESP Modo Tunel e Transporte

SA

INTERNET

SA

SA INTERNET SA

Conexão IPsec em modo Túnel

IPsec ESP IPsec ESP IPsec ESP IPsec ESP IPsec ESP

Conexão IPsec em modo Transporte

IPsec ESP IPsec ESP IPsec ESP

IP

IPIP

IP

Page 52: 2010, Edgard Jamhour Redes Virtuais Privadas VPN Edgard Jamhour

2010, Edgard Jamhour

• Cada dispositivo de rede (Host ou Gateway) possui uma política de segurança que orienta o uso de IPsec.

• Uma política IPsec é formada por um conjunto de regras, muito semelhantes as regras de um firewall.

• As políticas IPsec são definidas de maneira distinta para os pacotes transmitidos e para os pacotes recebidos.

Configuração do IPsec

Page 53: 2010, Edgard Jamhour Redes Virtuais Privadas VPN Edgard Jamhour

2010, Edgard Jamhour

Estrutura Geral do IPsec

Enlace

IP/IPsec(AH,ESP)

Transporte (TCP/UDP)

Sockets

Protocolo Aplicação

AplicaçãoIKE

Base de

SAs

Base de

Políticas

consultarefere

consulta

Administrador

configura

Solicita criação

do SA

Page 54: 2010, Edgard Jamhour Redes Virtuais Privadas VPN Edgard Jamhour

2010, Edgard Jamhour

• Uma Política IPsec é formada por um conjunto de regras com o seguinte formato:– Se CONDICAO Satisfeita

Então executar ACAO da POLÍTICA

• A CONDIÇÃO (Chamada de Filtro):– define quando uma regra de Política deve ser tornar

ATIVA.

• A AÇÃO:– define o que deve ser feito quando a condição da

REGRA for SATISFEITA.

Políticas de Segurança

Page 55: 2010, Edgard Jamhour Redes Virtuais Privadas VPN Edgard Jamhour

2010, Edgard Jamhour

Elementos para Configuração do IPsec

Ações

(Ação de Filtro)

Condições

(Lista de Filtros)

Política IPsecRegra de Política

Regra de Política

Regra de Política

Lista de Regras

Page 56: 2010, Edgard Jamhour Redes Virtuais Privadas VPN Edgard Jamhour

2010, Edgard Jamhour

• Cada filtro define as condições em que uma política deve ser ativa.– IP de origem e destino:

• nome, IP ou sub-rede

– b) Tipo de protocolo• código IANA para TCP, UDP, ICMP, etc...

– c) Portas de origem e destino• se TCP/UDP

Condição (Lista de Filtros)

Page 57: 2010, Edgard Jamhour Redes Virtuais Privadas VPN Edgard Jamhour

2010, Edgard Jamhour

• A ação define o que deverá ser feito com o pacote recebido ou transmitido.

• O IPsec define 3 ações:– repassar o pacote adiante sem tratamento

• ação: bypass IPsec

– rejeitar o pacode• ação discard

– negociar IPsec• define um modo de comunicação incluindo as opções Tunel,

Transporte, IPsec ESP e IPsec AH.

Ação

Page 58: 2010, Edgard Jamhour Redes Virtuais Privadas VPN Edgard Jamhour

2010, Edgard Jamhour

Ações IPsec na Transmissão

DiscardBypass

Regras IPsec

• gerar assinaturas digitais

• criptografar os dados

IPsec Driver

Enlace

IP

IPsec AH

IP

Negociar IPsec

IPX

IPsec ESP

Page 59: 2010, Edgard Jamhour Redes Virtuais Privadas VPN Edgard Jamhour

2010, Edgard Jamhour

Ações IPsec na Recepção

DiscardBypass

Regras IPsec

• verifica assinaturas • decriptografa

IPsec Driver

Enlace

IP

IPsec AH

IP

Negociar IPsec

IP

X

IPsec ESP

XIP

Page 60: 2010, Edgard Jamhour Redes Virtuais Privadas VPN Edgard Jamhour

2010, Edgard Jamhour

• Se a ação for do tipo Negociar IPsec, deve-se definir:– Obrigatoriedade:

• Facultativo: aceita comunicação insegura – (se o outro não suporta IPsec).

• Obrigatório: aceita apenas comunicação segura.– (rejeita a comunicação se o outro não suportar IPsec)

– Tipo de IPsec:• AH(hash) ou ESP(cripto,hash)

– Modo Túnel ou Modo Transporte• Se modo túnel, especificar o IP do fim do túnel

Negociar IPsec

Page 61: 2010, Edgard Jamhour Redes Virtuais Privadas VPN Edgard Jamhour

2010, Edgard Jamhour

• CRIPTOGRAFIA– MUST NULL (1)

– MUST- TripleDES-CBC [RFC2451]

– SHOULD+ AES-CBC with 128-bit keys [RFC3602]

– SHOULD AES-CTR [RFC3686]

– SHOULD NOT DES-CBC [RFC2405] (3)

• AUTENTICAÇÃO– MUST HMAC-SHA1-96 [RFC2404]

– MUST NULL (1)

– SHOULD+ AES-XCBC-MAC-96 [RFC3566]

– MAY HMAC-MD5-96 [RFC2403] (2)

Algoritmos IPsec

Page 62: 2010, Edgard Jamhour Redes Virtuais Privadas VPN Edgard Jamhour

2010, Edgard Jamhour

• Para que dois computadores "A" e "B" criem uma comunicação IPsec:– Computador A:

• deve ter políticas IPsec para transmitir pacotes cujo endereço de destino é "B".

• deve ter políticas IPsec para receber pacotes cujo endereço de origem é "B".

– Computador B:• deve ter políticas IPsec para transmitir pacotes cujo

endereço de destino é "A".

• deve ter políticas IPsec para receber pacotes cujo endereço de origem é "A".

Implementação de Políticas

Page 63: 2010, Edgard Jamhour Redes Virtuais Privadas VPN Edgard Jamhour

2010, Edgard Jamhour

Observação: Políticas com Tunelamento

• É necessário criar uma regra para enviar e outra para receber pacotes pelo túnel, em cada um dos gateways VPN.

B

Rede

A

Rede

B

IP_A IP_B

R_B R_AIP_B IP_A

R_A R_BIP_A IP_B

A

R_B R_AIP_B IP_A

R_A R_BIP_A IP_B

terminação do túnel

in

out

in

out

Page 64: 2010, Edgard Jamhour Redes Virtuais Privadas VPN Edgard Jamhour

2010, Edgard Jamhour

• O IPsec define um mecanismo que permite negociar as chaves de criptografia de forma automática

• A negociação de SA e o gerenciamento de chaves é implementado por mecanismos externos ao IPsec.

• A única relação entre esses mecanismos externos e o IPsec é através do SPI (Secure Parameter Index).

• O gerenciamento de chaves é implementado de forma automática pelo protocolo: – IKE: Internet Key Exchange Protocol

IKE: Internet Key Exchange

Page 65: 2010, Edgard Jamhour Redes Virtuais Privadas VPN Edgard Jamhour

2010, Edgard Jamhour

• Princípio:– Todo dispositivo que estabelece um SA deve ser

previamente autenticado.

– Autenticação de “peers” numa comunicação IPsec.• Através de segredos pré-definidos.

• Através do Kerberos.

• Através de Certificados.

– Negocia políticas de segurança.

– Manipula a troca de chaves de sessão.

Princípios para Criação das SA

Page 66: 2010, Edgard Jamhour Redes Virtuais Privadas VPN Edgard Jamhour

2010, Edgard Jamhour

• O protocolo IKE é implementado sobre UDP, e utiliza a porta padrão 500.

IKE

UDP 500

UDP 500

initiator responder

IKE

autenticação efetuada

chave secreta definidia

SA estabelecida

Page 67: 2010, Edgard Jamhour Redes Virtuais Privadas VPN Edgard Jamhour

2010, Edgard Jamhour

• FASE 1: Main Mode– O resultado da negociação da fase 1 é denominado “IKE

Main Mode SA’.

– A “IKE Main Mode SA” é utilizada para as futuras negociações de SA entre os peers• A IKE SA tem um tempo de vida limitado por tempo e o

número de IPsec SA’s negociadas.

• FASE 2: Quick Mode– O resultado da negociação da fase 2 é denominado

“IPsec SA”

– O “IPsec SA” é utilizado para transmissão de dados• A IKE SA tem um tempo de vida limitado por tempo e a

quantidade de bytes trocados pela SA.

IPsec faz uma negociação em Duas Fases

Page 68: 2010, Edgard Jamhour Redes Virtuais Privadas VPN Edgard Jamhour

2010, Edgard Jamhour

• O IKE (RFC 2409) é uma combinação de dois protocolos definidos anteriormente:– OAKLEY (RFC 2412)

• Protocolo de Troca de Chaves

• Utiliza o algoritmo Diffie-Hellman

– ISAKMP (RFC 2408)• Internet Security Association and Key Management Protocol

• Conjunto de mensagens para autenticar os peers e definir os parâmetros da associação de segurança.

IKE = ISAKMP e OAKLEY

Page 69: 2010, Edgard Jamhour Redes Virtuais Privadas VPN Edgard Jamhour

2010, Edgard Jamhour

• 1) Cada host obtém os parâmetros "Diffie-Hellman“ (podem ser hard-coded). – Um número primo 'p' (> 2) e uma base g (numero inteiro

< p).

• 2) Cada host gera um número privado X < (p – 1).

• 3) Cada host gera sua chave pública Y: – Y = g^X % p

• 4) Os hosts trocam as chaves públicas e calculam a chave secreta Z.– Zb = Ya^Xb % p e Za=Yb ^Xa % p

• Matematicamente Z é idêntica para ambos os hosts: Za = Zb

Algoritmo Diffie-Hellman

Page 70: 2010, Edgard Jamhour Redes Virtuais Privadas VPN Edgard Jamhour

2010, Edgard Jamhour

Diffie-HellMan

1. Segredo Pré-Compartilhado

(um número primo e um número inteiro , podem estar no código)

A B2b. gera a chave

pública Y’

a partir do segredo e de um número aleatório

X’.

2a. gera a chave pública Y

a partir do segredo e de um número aleatório

X. 3a. envia a chave pública Y para B

3b. envia a chave pública Y’ para A

4a. gera a chave de sessão Z

usando Y’ e X

4b. gera a chave de sessão Z

usando Y e X’

Page 71: 2010, Edgard Jamhour Redes Virtuais Privadas VPN Edgard Jamhour

2010, Edgard Jamhour

• O ISAKMP permite que os peers definam todos os parâmetros da associação de segurança e façam a troca de chaves.

• Os parâmetros negociados são:– modo de autenticação

– SPI

– modo túnel ou transporte

– modo ESP ou AH

– protocolos de assinatura

– protocolos de criptografia

ISAKMP

Page 72: 2010, Edgard Jamhour Redes Virtuais Privadas VPN Edgard Jamhour

2010, Edgard Jamhour

• FASE 1: Cria o IKE Main Mode SA

• 1. Policy Negotiation, determina: – O Algoritmo de criptografia: DES, 3DES, 40bitDES, ou

nenhum.

– O Algoritmo de integridade: MD5 or SHA.

– O Método de autenticação: Public Key Certificate, preshared key, or Kerberos V5.

– O grupo Diffie-Hellman.

• 2. Key Information Exchange – Utiliza Diffie-Helman para trocar um segredo

compartilhado

• 3. Authentication – Utiliza um dos mecanismos da fase 1 para autenticar o

usuário.

Fases de Criação da SA

Page 73: 2010, Edgard Jamhour Redes Virtuais Privadas VPN Edgard Jamhour

2010, Edgard Jamhour

• FASE 2: Cria a IPsec SA– Define o SA que será realmente usado para

comunicação segura

• 1. Policy Negotiation – Determina:

• O protocolo IPsec: AH, ESP.

• O Algoritmo de Integridade: MD5, SHA.

• O Algoritmo de Criptografia: DES, 3DES, 40bitDES, or none.

• O SA e as chaves são passadas para o driver IPsec, junto com o SPI.

Fases de Criação da SA

Page 74: 2010, Edgard Jamhour Redes Virtuais Privadas VPN Edgard Jamhour

2010, Edgard Jamhour

• O ISAKMP define quatro modos de operação:– Troca Básica

• Consiste de 4 mensagens

• A troca de chaves é feita com as identidades

• Não protege a identidade

– Troca com Proteção de Identidade • Consiste de 6 mensagens

• Protege a Identidade

– Troca somente Autenticação• Não calcula chaves

• Não protege a Identidade

– Troca Agressiva• Consiste de 3 mensagens

• Não protege a Identidade

Modos ISAKMP

Page 75: 2010, Edgard Jamhour Redes Virtuais Privadas VPN Edgard Jamhour

2010, Edgard Jamhour

• Em seu modo básico, o IPsec não pode atravessar roteadores que implementam NAT, pois as portas TCP e UDP podem estar criptografadas.

• Para resolver esse problema, um mecanismo denominado “Traversal NAT” encapsula os pacotes IPsec em UDP.

• No caso do IPsec, o encapsula mento é feito na porta UDP 4500, a qual também deve ser liberada no firewall.

NAT Traversal (NAT-T)

Page 76: 2010, Edgard Jamhour Redes Virtuais Privadas VPN Edgard Jamhour

2010, Edgard Jamhour

• L2TP e IPsec podem ser combinados para implementar um mecanismo completo de VPN para procotolos de rede diferentes do IP, como IPx e NetBEUI.

Tunelamento L2TP com IPsec

Page 77: 2010, Edgard Jamhour Redes Virtuais Privadas VPN Edgard Jamhour

2010, Edgard Jamhour

• IPsec é uma extensão de segurança para o protocolo IP definido pelo IETF, que permite criar políticas que servem tanto para intranets quanto para extranets.

• IPsec define mecanismos que são padronizados tanto para IPv4 (IPsec é facultativo) quanto para IPv6 (neste caso, IPsec é mandatório).

• Existem críticas sobre o modo atual de operação do IKE em dua fases, bem como o uso do protocolo AH. Esses temas são sujeitos a revisões futuras

Conclusão


Recommended