VPN: Segurança e Protocolos

Classificado em Computação

Escrito em em português com um tamanho de 32,27 KB.

VPN: Funções Básicas

A utilização de redes públicas apresenta custos muito menores que os obtidos com a implantação de redes privadas, sendo este o grande estímulo para o uso de VPNs. Uma VPN provê um conjunto de funções que garantem confidencialidade, integridade e autenticidade.

Confidencialidade

Em meios públicos de comunicação, a tarefa de interpretar uma sequência de dados é simples. É imprescindível que os dados que trafeguem sejam privados, de forma que, mesmo que sejam capturados, não possam ser entendidos.

Integridade

É necessário garantir que os dados não sejam adulterados e reencaminhados. Quaisquer tentativas nesse sentido não devem ter sucesso, permitindo que somente dados válidos sejam recebidos pelas aplicações suportadas pela VPN.

Autenticidade

Somente usuários e equipamentos autorizados a fazer parte de uma determinada VPN podem trocar dados entre si. Um elemento de uma VPN somente reconhecerá dados originados por um segundo elemento que tenha autorização para fazer parte da VPN.

Modos de Transmissão VPN

  • Modo de Transmissão: Somente os dados são criptografados, não havendo mudança no tamanho dos pacotes. Geralmente são soluções proprietárias, desenvolvidas por fabricantes.
  • Modo Transporte: Somente os dados são criptografados, podendo haver mudança no tamanho dos pacotes. É uma solução de segurança adequada para implementação onde os dados trafegam somente entre dois nós da comunicação.
  • Modo Túnel Criptografado: Tanto os dados quanto o cabeçalho dos pacotes são criptografados, sendo empacotados e transmitidos segundo um novo endereçamento IP, em um túnel estabelecido entre o ponto de origem e destino.
  • Modo Túnel Não Criptografado: Tanto os dados quanto o cabeçalho são empacotados e transmitidos segundo um novo endereçamento IP, em um túnel estabelecido entre o ponto de origem e destino. No entanto, cabeçalho e dados são mantidos como gerados na origem, não garantindo a privacidade.

Para disponibilizar as funcionalidades descritas, a implementação de VPN utiliza conceitos e recursos de criptografia, autenticação e controle de acesso.

Criptografia

A criptografia é implementada por um conjunto de métodos de tratamento e transformação dos dados que serão transmitidos pela rede pública. Um conjunto de regras é aplicado sobre os dados, empregando uma sequência de bits (chave) como padrão. O objetivo é criar uma sequência de dados que não possa ser entendida por terceiros, que não façam parte da VPN. Apenas o destinatário deve ser capaz de recuperar os dados originais, usando uma chave. As tecnologias utilizadas para criptografia são:

  • Chave Simétrica (Privada)
  • Chave Assimétrica (Pública)

Chave Simétrica ou Chave Privada

É a técnica de criptografia onde a mesma chave é utilizada para criptografar e descriptografar os dados. A manutenção da chave em segredo é fundamental para a eficiência do processo.

Chave Assimétrica ou Chave Pública

É a técnica de criptografia onde as chaves utilizadas para criptografar e descriptografar são diferentes, mas relacionadas. A chave utilizada para criptografar os dados é formada por duas partes: uma pública e outra privada.

Algoritmos para Criptografia

  • DES (Data Encryption Standard): Padrão de criptografia simétrica adotado pelo governo dos EUA em 1977.
  • Triple-DES: Variação do algoritmo DES, com três fases: criptografia, descriptografia com chave errada e nova criptografia.
  • RSA (Rivest, Shamir, Adleman): Utiliza chave pública de criptografia, aproveitando a dificuldade de fatorar o produto de números primos grandes.
  • Diffie-Hellman: Permite a troca de chaves secretas entre dois usuários. A chave é gerada pelo processamento de duas outras chaves, uma pública e outra secreta.

Integridade

A garantia de integridade dos dados trocados em uma VPN pode ser fornecida pelo uso de algoritmos que geram, a partir dos dados originais, códigos binários que sejam praticamente impossíveis de serem adulterados.

Algoritmos para Integridade

  • SHA-1 (Secure Hash Algorithm One): Gera mensagens de 160 bits a partir de uma sequência de até 264 bits.
  • MD5 (Message Digest Algorithm 5): Gera mensagens de 128 bits a partir de uma sequência de qualquer tamanho.

Protocolos VPN

IPSEC

IPSEC é um conjunto de padrões e protocolos para segurança relacionada com VPN sobre uma rede IP, definido pelo grupo de trabalho IP Security (IPSEC) do IETF (Internet Engineering Task Force).

Estrutura do Pacote IPSEC

AutenticadoCriptografado
Cabeçalho IPCabeçalho AHCabeçalho ESPCabeçalho IP OriginalDados

O IPSEC especifica os cabeçalhos AH (Authentication Header) e ESP (Encapsulated Security Payload), que podem ser utilizados independentemente ou em conjunto. Um pacote IPSEC poderá apresentar somente um dos cabeçalhos (AH ou ESP) ou ambos.

  • Authentication Header (AH): Utilizado para prover integridade dos dados, incluindo a parte invariante do cabeçalho. Não provê confidencialidade.
  • Encapsulated Security Payload (ESP): Provê integridade, autenticidade e criptografia à área de dados do pacote.

Estrutura do Pacote IPSEC – Modo Túnel

Criptografado
Cabeçalho IPCabeçalho IPSECCabeçalho IP OriginalDados

A implementação do IPSEC pode ser feita tanto em modo transporte como em modo túnel.

Criptografado
Cabeçalho OriginalCabeçalho IPSECDados Originais

L2TP e PPTP

Estes são protocolos utilizados em VPNs (Virtual Private Dial Networks), que proporcionam o acesso de usuários remotos à rede corporativa através do pool de modems de um provedor de acesso.

  • Túneis "iniciados" pelo cliente são chamados "voluntários", onde os túneis são criados por requisições do usuário para ações específicas.
  • Túneis "iniciados pelo provedor de acesso" são chamados de "compulsórios", já que são criados pelo provedor, sem dar escolha ao usuário.

L2TP

É um protocolo de tunelamento "compulsório" (iniciado automaticamente), essencialmente um mecanismo para repassar o usuário a outro nó da rede. Após a autenticação, um túnel é estabelecido até um ponto de terminação (roteador, por exemplo) pré-determinado, onde a conexão PPP é encerrada.

PPTP

Um protocolo "voluntário" (usuário) permite que os próprios sistemas dos usuários finais estabeleçam um túnel a uma localidade arbitrária, sem a intermediação do provedor de acesso. Enquanto L2TP e PPTP soam parecidos, existem diferenças sutis em sua aplicação. No PPTP, o usuário remoto escolhe o destino do túnel. Isso é importante se os destinos mudam com frequência, e nenhuma modificação se torna necessária nos equipamentos por onde o túnel passa. Túneis PPTP são transparentes aos provedores de acesso. Usuários com diferentes locais de acesso utilizam com mais frequência o protocolo PPTP. O software no laptop realiza o resto. No L2TP, o controle está nas mãos do provedor, que fornece um serviço extra. Esta é uma desvantagem para o usuário e vantagem para o provedor, que pode cobrar por este serviço. A escolha do protocolo depende de quem detém o controle: o provedor ou o usuário final.

9k=

Nível de Segurança

A especificação da VPN a ser implantada deve considerar o grau de segurança necessário, avaliando o tipo de dado que trafegará pela rede (sensíveis ou não). Dessa definição depende a escolha do protocolo de comunicação, dos algoritmos de criptografia e de integridade, assim como as políticas e técnicas para o controle de acesso. As tecnologias de segurança comuns são:

  • CHAP (Challenge Handshake Authentication Protocol)
  • RADIUS (Remote Authentication Dial-In User Service)
  • Certificados Digitais
  • Encriptação de Dados

Os três primeiros autenticam o usuário e controlam o acesso à rede. O último visa prover confidencialidade e integridade aos dados transmitidos.

Karma: -30%
Visitas: 0

Entradas relacionadas:

Etiquetas:
IPSEC L2TP VPN PPTP Integridade Segurança Confidencialidade Protocolos Criptografia Autenticação