INSTITUTO DE ESTUDOS SUPERIORES DA AMAZNIA IESAM ENGENHARIA DA COMPUTAO X4TB

VPN (VIRTUAL PRIVATE NETWORK)

DAVID OLIVEIRA QUARESMA ROBERTO DIEGO D. S. DIAS

BELM PA 2006

INSTITUTO DE ESTUDOS SUPERIORES DA AMAZNIA IESAM ENGENHARIA DA COMPUTAO X4TB

VPN (VIRTUAL PRIVATE NETWORK)

DAVID OLIVEIRA QUARESMA ROBERTO DIEGO D. S. DIAS

Trabalho de Concluso de Curso apresentado Coordenao do curso de Engenharia da Computao, como parte dos requisitos obteno do grau de bacharel em Engenharia da Computao. Orientado pelo professor MSc. Joo Ferreira de Santanna Filho.

BELM PA 2006

INSTITUTO DE ESTUDOS SUPERIORES DA AMAZNIA IESAM ENGENHARIA DA COMPUTAO X4TB

VPN (VIRTUAL PRIVATE NETWORK)

DAVID OLIVEIRA QUARESMA ROBERTO DIEGO D. S. DIAS

___________________________________
Prof. MSc. Joo Ferreira de Santanna Filho Orientador

___________________________________
Prof. MSc. Jos Felipe Almeida Examinador

________________________________
Prof. MSc. Marcos Brando Examinador NOTA: ________ DATA: ____ / ____ / ________

BELM PA 2006

AGRADECIMENTOS

Dedicamos este trabalho aos nossos pais, Benedito Neves Quaresma, Maria do carmo Oliveira Quaresma, Zeric da Siva Dias, Maria do Carmo Duarte e Silva Dias,que nos ensinaram e incentivaram a buscar novos conhecimentos, de forma que sejamos sempre pessoas honestas e dedicadas quilo que faamos. Agradecemos ao professor MSc. Joo Ferreira de Santanna Filho, por sua orientao, que foi muito til para o desenvolvimento deste trabalho. professora MSc. Leonardo Sena, por sua importante reviso metodolgica. Aos professores e coordenadores do curso, que em muito contriburam para nossa formao acadmica. Aos amigos acadmicos, que ao longo de 4 anos, mostraram unio, companheirismo e, principalmente, amizade uns com os outros. A todos, que de alguma forma, contriburam para a concretizao deste objetivo.

RESUMO
Este Trabalho tem a finalidade de apresentar uma ferramenta computacional de segurana chamada de VPN- rede Privada Virtual na Rede de computadores (Internet) na atualidade. Focado na questo da segurana na rede, onde a necessidade de troca de informao de forma segura para empresas que tem seus dados estruturados na rede de computadores. Com o advento de tecnologias como VPNs que procuram solucionar a questo da insegurana na rede e possibilitando eliminar os links dedicados de longa distncia, de alto custo, na conexo de WANs. A VPN Rede Privada Virtual uma das solues mais viveis presentes no atual mercado da informtica e vem sendo utilizado como uma alternativa segura e economicamente atrativa para organizaes permitindo, virtualizar as comunicaes tornando invisveis a observadores externos e aproveitando a infra-estrutura das comunicaes existentes.

Palavras-chaves: Redes de Computadores, Arquitetura TCP/IP, Internet protocol, TCP (Transmission Control Protocol), Segurana em Redes, VPN.

ABSTRACT
This Work has the purpose to present a computational tool of security called VPNVirtual Private net in the Computer network (InterNet) in the present time. Focado in the question of the security guard in the net, where the necessity of exchange of information of safe form for companies who have its data structuralized in the computer network. With the advent of technologies as VPN's that they look to solve the question of the unreliability in the dedicated net and making possible to eliminate link's of long distance, of high cost, in the connection of WAN's. The VPN - Virtual Private net - she is one of the solutions most viable gifts in the current market of computer science and comes being used as an alternative attractive insurance and economically for organizations allowing, "to virtualizar" the communications becoming "invisible" the external observers and using to advantage the infrastructure of the existing communications.

Word-keys: Computer networks, Architecture TCP/IP, Internet Protocol, TCP (Transmission Control Protocol), Security in Nets, VPN.

LISTA DE ILUSTRAES
Figura 1: Exemplo de uma rede de computadores...........................................................3 Figura 2: Exemplo de uma LAN........................... ...........................................................4 Figura 3: Exemplo de uma MAN......................................................................................4 Figura 4: Exemplo de uma WAN. ....................................................................................5 Figura 5: Topologias..........................................................................................................5 Figura 6: Modelo OSI. ......................................................................................................7 Figura 7: Comparao dos Modelos TCP-IP e OSI. ........................................................9 Figura 8: Roteador conectado a duas redes fsicas .........................................................10 Figura 9: Notao Decimal Pontilhada ...........................................................................13 Figura 10: Datagrama..................................... ................................................................13 Figura 11: Roteador IP....................................................................................................14 Figura 12: Envio de dados TCP.......................................................................................17 Figura 13: Transporte de pacote TCP..............................................................................17 Figura 14: Retransmisso TCP........................................................................................19 Figura 15: VPN - Intranet. ..............................................................................................21 Figura 16: VPN Acesso Remoto..................................................................................22 Figura 17: VPN - Extranet...............................................................................................22 Figura 18: Modelo VPN..................................................................................................23 Figura 19: VPN Criptografia Simetrica........................................................................25 Figura 20: VPN Criptografia Assimetrica....................................................................25 Figura 21: VPN - Tunelamento.......................................................................................26 Figura 22: VPN - IPSec...................................................................................................26 Figura 23: VPN IPSec Modo tnel............................................................................27 Figura 24: VPN IPSec Modo Transporte..................................................................27 Figura 25: VPN Camada do SSL..................................................................................28 Figura 26: VPN Layout da rede VPN...........................................................................29 Figura 27: VPN Tela Propriedade de Protocolo Internet (TCP/IP) da LAN 1.............30 Figura 28: VPN - Tela Propriedade de Protocolo Internet (TCP/IP) da LAN 2.............31 Figura 29: VPN - Tela de ping no prompt de comando do ms-dos................................31 Figura 30: VPN - Tela de caminho do WinGate.............................................................31 Figura 31: VPN - Tela de Login do WinGate.................................................................32 Figura 32: VPN - Tela de criao da VPN......................................................................32 Figura 33: VPN - Tela de configurao do WinGate......................................................33

LISTA DE ABREVIATURAS E SIGLAS

3DES Triple Data Encryption Standard AC Autoridade Certificadora AES Advanced Encryption Standard AH Authentication Header ARPA Advanced Research Project Agency CAST Carlisle Adams and Stafford Tavares DES Data Encryption Standard DNS Domain Name System DoS Denial of Service ESP Encapsulating Security Payload FTP File Transfer Protocol GRE Generic Routing Encapsulation GRUB Grand Unified Bootloader ICMP Internet Control Message Protocol IETF Internet Engineering Task Force IKE Internet Key Exchange Protocol IPSec Internet Protocol Security IPX / SPX Interwork Packet Exchange / Sequenced Packet Exchange ISAKMP Internet Security Association and Key Management Protocol ITU-T International Telecommunication Union-Telecommunication Standardization Sector KLIPS Kernel IPSec Support L2F Layer Two Forwarding L2TP Layer Two Tunneling Protocol LAN Local Area Network LILO Linux Loader MAN Metropolitan Area Network MD-5 Message Digest 5 MIT Massachusetts Institute of Technology MPPE Microsoft Point-to-Point Encryption MS-CHAP Microsoft-Challenge Handshake Authentication Protocol NASA National Aeronautics and Space Administration NAT Network Address Translation NetBEUI NetBIOS Extended User Interface NIST National Institute of Standards and Technologies NSF National Science Foundation PFS Perfect Forward Secrecy PPP Point-to-Point Protocol PPTP Point-to-Point Tunneling Protocol RNP Rede Nacional de Pesquisa RPM Red Hat Packet Manager RSA Rivest Shamir Adleman S/WAN Secure Wide Area Network SA Security Association SAD Security Association Database SHA-1 Secure Hash Algorithm 1 SHA-2 Secure Hash Algorithm 2 SMTP Simple Mail Transfer Protocol

SPD Security Policy Database SPI Security Parameters Index SRI Stanford Research Institute TCP/IP Transmission Control Protocol / Internet Protocol UCLA University of California Los Angeles UCSB University of California Santa Barbara UDP User Datagram Protocol VPN Virtual Private Network WAN Wide Area Network

SUMRIO
1. INTRODUO .........................................................................................................................1 1.1. OBJETIVOS.......................................................................................................................... 2 1.1.1. Objetivo Geral ................................................................................................................... 2 1.1.2. Objetivos Especficos ........................................................................................................ 2 1.1.3 Organizao do Tabalho..................................................................................................... 2 2. INTRODUO AS REDES ......................................................................................................3 2.1. O QUE SO REDES DE COMPUTADORES....................................................................... 3 2.2. PRA QUE SERVEM.............................................................................................................. 3 2.3. CLASSIFICAO DE REDES............................................................................................. 4 2.3.1. LAN.....................................................................................................................................4 2.3.2. MAN.....................................................................................................................................4 2.3.3. WAN....................................................................................................................................5 2.4. TOPOLOGIAS DE REDES................................................................................................... 5 2.4.1. Barramento..........................................................................................................................5 2.4.2. Anel.................................................................................................................................... 6 2.4.3. Estrela................................................................................................................................ 6 2.5. MODELO OSI.........................................................................................................................6 2.5.1. Nvel 1 Fsico....................................................................................................................7 2.5.2. Nvel 2 Enlace..................................................................................................................7 2.5.3. Nvel 3 Rede.....................................................................................................................7 2.5.4. Nvel 4 Transporte............................................................................................................8 2.5.5. Nvel 5 Sesso.................................................................................................................8 2.5.6. Nvel 6 Apresentao.......................................................................................................9 2.5.7. Nvel 7 Aplicao..............................................................................................................9 2.6. MODELO TCP/IP...................................................................................................................9 2.7. ARQUITETURA TCP/IP.......................................................................................................10 2.7.1. INTER-REDES..................................................................................................................10 2.7.2. SERVIO UNIVERSAL.....................................................................................................10 2.7.3. INTERLIGAO DE REDES COM ROTEADORES.........................................................10 3. INTERNET PROTOCOL.........................................................................................................12 3.1. FUNCIONAMENTO DOS ENDEREOS IP E SUAS CLASSES.........................................12 3.2. NOTAO DECIMAL PONTILHADA...................................................................................13 3.3. FORMATO DO DATAGRAMA.............................................................................................13 3.4. ROTEADORES E NUMEROS IP.........................................................................................14 3.5. ENTREGA DE DATAGRAMA IP..........................................................................................15 4. TCP (Transmission Control Protocol)..................................................16 4.1. INTRODUO.....................................................................................................................16 4.2. FUNCIONAMENTO DO PROTOCOLO................................................................................16 4.3. FORMATO DO PACOTE TCP..............................................................................................17 4.4. SERVIO ORIENTADO A CONEXO.................................................................................18 5. SEGURANA.........................................................................................................................20 5.1. NECESSIDADE DE SEGURANA......................................................................................20 5.2. FUNO BASICA DO VPN.................................................................................................20 5.3. TIPOS DE VPN'S.................................................................................................................21 5.3.1. MODELO DE UMA VPN....................................................................................................23 5.3.2. FUNES BSICAS........................................................................................................23 6.3.3. TCNICAS DE IMPLEMENTAO..................................................................................24 5.4. CRIPTOGRAFIA...................................................................................................................24 5.5.. TUNELAMENTO.................................................................................................................26 5.6. PROTOCOLOS PARA VPN.................................................................................................26 5.7. IMPLEMENTANDO UMA VPN.............................................................................................29 5.7.1. CONFIGURAO DOS MICROS.....................................................................................29 5.7.2. CONFIGURANDO O WINGATE.......................................................................................31 6. CONCLUSO.........................................................................................................................34 6.1. TRABALHOS FUTUROS.....................................................................................................34 REFERNCIAS BIBLIOGRAFICAS............................................................................................35

1. INTRODUO

Com o crescimento da internet, o constante aumento de sua rea de abrangncia de comunicao associado a um grande aumento nas velocidades de acesso e backbone, a internet passou a ser vista como um meio conveniente para as comunicaes corporativas. As redes pblicas so considera no confiveis, considerando que os dados que trafegam na rede est sujeita a interceptao. A Virtual Private Network (VPN) ou Rede Privada Virtual so redes que possibilitam um acesso privado de comunicao, atravs da rede publica j existente como a internet tem como principal funo a segurana onde dados privados so trafegados pela rede assegurando a comunicao entre dois pontos por meio de tnel onde os dados ficam inacessveis escutas clandestinas e interferncia para que no sejam interceptados. A VPN uma das formas de se unir diferentes redes de uma empresa, utilizando para isso um meio pblico para o trfego dos dados entre elas, que geralmente a Internet. Sua principal caracterstica criar tneis virtuais de comunicao entre essas redes, de forma que os dados trafeguem criptografados por estes tneis, aumentando a segurana na transmisso e recepo dos dados (Cyclades, 2000). Um dos problemas que a internet ocasiona pelo fato de ser uma rede publica, devido possuir vrios usurios, como nas empresas e bilhes de usurios comuns que trafegam na rede, usurios que acabam utilizam a rede para fins no lcitos podendo prejudicar uma empresa ou uma pessoa qualquer, por esse motivo a necessidade de se construir um meio seguro para trafegar dados importantes atravs de um meio inseguro que a rede. O trabalho a seguir se props a mostrar as funcionalidades de uma Rede Privada Virtual VPN mostrando suas caractersticas e os protocolos que atuam sobre ela que de fundamental importncia para o funcionamento da VPN e conseqentemente, diversa mtodos que so desenvolvidos com o intuito de interligar tais redes de forma segura.

1.1. OBJETIVOS
1.1.1. OBJETIVO GERAL O objetivo deste trabalho analizar o funcionamento da ferramenta coputacional VPN, visando analisar e a segurana desta tecnologia na interligao de redes de computadores. 1.1.2. OBJETIVOS ESPECFICOS Para atingir o objetivo geral estabelecido, este trabalho teve como objetivos especficos: Analisar a rede de computadores e sua funcionalidade. Analisar e configurar o programa VPN; Verificar a funcionalidade da VPN configurada, no sentido de avaliar aspectos de segurana na interligao de duas redes;

1.1.3.

ORGANIZAO DO TRABALHO

Este captulo trata da introduo do trabalho, onde so evidenciados os objetivos geral e especficos e a metodologia utilizada. O captulo 2 introduzir os conceitos fundamentais de redes de computadores, como o que so redes de computadores, pra que servem, redes ponto a ponto e cliente servidor, topologia de redes, modelo OSI e modelo TCP-IP. O captulo 3 conter informaes relevantes a respeito da arquitetura TCP-IP, onde sero abordados a inter-redes, como conceitos, servio universal, Interligao de redes com roteadores, camadas e suas funes. O captulo 4 abordar os conceitos de Internet protocol, como Funcionamento dos endereos IP e suas classes, notao decimal pontilhada, formato do datagrama, roteadores e nmeros IP e entrega de datagrama IP. O captulo 5 mostrar o TCP (Transmission Control Protocol), atraves de introduo, funcionamento do protocolo, formato do pacote TCP e Servio orientado a conexo. O Capitulo 6 abordar os conceitos da VPN (Virtual Private Netword), como necessidade de segurana, funo basica do VPN, Funcionamento bsico de VPNs, criptografia, tunelamento e protocolos para VPN. Por fim, o captulo 7 tece as concluses deste trabalho e apresenta encaminhamentos para trabalhos futuros.

2. INTRODUO AS REDES
2.1. O QUE SO REDES DE COMPUTADORES So conjunto de computadores autnomos interconectados, trocando informaes entre si. (Tanenbaum, 1997). Se a idia de dois computadores conectados por um cabo pode no parecer extraordinria, no passado representou uma grande conquista na comunicao. Basicamente, uma rede um sistema que permite a comunicao entre dois pontos distintos, ou seja, um sistema que permite a troca de informaes. Os componentes bsicos de uma rede (rede de informao) so um emissor (origem da informao), o meio atravs do qual a informao trafega (o canal) um receptor (o destino da informao) e finalmente a mensagem, que carrega os dados. Ao longo dos anos as ferramentas para a comunicao de dados foram evoluindo gradativamente, de modo a tornar a troca de informaes rpidas, fcil e mais eficiente.

Figura 1: Exemplo de uma rede de computadores. Fonte: 3COM CORPORATION, 2000.

2.2. PRA QUE SERVEM Uma rede de computadores baseia-se nos princpios de uma rede de informaes, implementando tcnicas de hardware e software de modo a torn-la efetivamente mais dinmica, para atender s necessidades do mundo moderno. Servem para troca de informaes, e compartilhamento de arquivos e hardware como impressoras drives entre outros, nos dias atuais a rede de computadores tem importncia fundamental para a comunicao e troca de informaes.

4 2.3. CLASSIFICAO DE REDES As redes possuem diversos tamanhos, entretanto as classificaes mais comuns so: Local Area Network (LAN), Wide Area Network (WAN) e Metropolitan Area Network (MAN). 2.3.1. LAN So redes locais que conectam servidores, estaes, terminais e outros dispositivos em um ou mais edifcios, capazes de transmitir dados em alta 7 velocidade, com baixa taxa de erros de transmisso e cobre uma rea relativamente pequena (at 2,5 Km em prdios separados). A Figura 2 mostra uma rede local composta por dois computadores, uma impressora e um hub.

Figura 2: Exemplo de uma LAN. Fonte: 3COM CORPORATION, 2000.

2.3.2. MAN Uma rede metropolitana, ou MAN, so LANS interligadas, pois os dois tipos de rede utilizam tecnologias semelhantes. Uma MAN pode abranger um grupo de escritrio vizinho ou uma cidade inteira e pode ser privada ou pblica. Esse tipo de rede capaz de transportar dados e voz, podendo ser associado rede de televiso a cabo local. Uma MAN tem apenas um ou dois cabos e no contm elementos de comutao, capazes de transmitir pacotes atravs de uma srie de linhas de sadas (Tanenbaum, 1997).

Figura 3: Exemplo de uma MAN. Fonte: geo.ya.com/davids22/redes,2000.

5 2.3.3. WAN So redes remotas formadas pela ligao de sistemas de computadores localizados em regies fisicamente distantes, segundo a Figura 5. As WANs geralmente utilizam linhas de transmisso de dados oferecidas por empresas de telecomunicaes.

Figura 4: Exemplo de uma WAN. Fonte: Adaptada de CYCLADES, 2000, p. 65.

2.4. TOPOLOGIAS DE REDES Modo no qual os vrios elementos em uma rede so interconectados, fato que vai determinar quais cabos e interfaces so necessrias e que possibilidades a rede pode oferecer. Elas se dividem em: Fsica: define o layout da rede baseado no cabeamento. Lgica: define como os hosts se comunicam com o meio de transmisso

Figura 5: Topologias. Fonte: TELECO, 2005.

2.4.1. BARRAMENTO Na topologia em barramento pode ser empregada a comunicao com caminhos bidirecionais. Todos os ns so conectados diretamente na barra de transporte, sendo que o sinal gerado por uma estao propaga-se ao longo da barra em todas as direes. Cada n atende por um endereo na barra de transporte, portanto, quando uma estao conectada no barramento reconhece o endereo de uma mensagem, esta a aceita imediatamente, caso contrrio, a despreza.

6 2.4.2. ANEL A topologia em anel caracterizada como um caminho unidirecional de transmisso, formando um crculo lgico, sem um final definido. A estratgia de controle pode ser centralizada ou distribuda. O sinal originado por um n passa em torno do anel, sendo que em cada n o sinal regenerado e retransmitido. Como acontece em qualquer topologia, cada estao, ou n, atende por um endereo que, ao ser reconhecido por uma estao, aceita a mensagem e a trata. Uma interrupo no anel pode ser prontamente identificada e isolada, uma vez que o transmissor no recebe a confirmao da recepo da mensagem por ele enviada. A correta localizao da estao defeituosa pode ser efetuada por cronometragem da mensagem, ou ausncia de "status" da estao. 2.4.3. ESTRELA A topologia em estrela caracterizada por um determinado nmero de ns, conectados em uma controladora especializada em comunicaes. Como esta estao tem a responsabilidade de controlar os enlaces, esta deve possuir elevado grau de inteligncia, uma vez que todo o controle de fluxo de mensagens atravs da rede deve ser por ela efetuado. A arquitetura SNA da IBM explora este tipo de topologia, pois ela foi concebida em camadas de forma hierrquica, atribuindo responsabilidades a cada um desses componentes. As controladoras mais evoludas operam de forma a tornar a rede o menos vulnervel possvel - em geral estas possuem duplicidade dos componentes mais crticos - , pois sua interrupo causar a paralizao de toda a rede. J as paralizaes em ns adjacentes s controladoras podero ser facilmente identificadas, e inclusive procedimentos de recuperao podem ser ativados automaticamente. (Joa UFRGS,
2001).

2.5. MODELO OSI A ISO (International Standard Organization) criou o modelo OSI (Open System Interconection), visando a dividir as vrias partes da rede que compem uma transmisso. Com isso, tornase possvel definir e separar as etapas que permitem a integrao dos diversos componentes, delineando como cada fase do processo deve proceder na transferncia de dados. Isto flexibiliza a implementao de softwares e hardwares na rede, por facilitar a operacionalizao para usurios e fabricantes. O padro OSI da ISO foi o modelo escolhido para sistemas de comunicaes em nvel de padronizao mundial. Cada nvel oferece servios ao nvel consecutivo. O protocolo de um nvel quem gerencia as suas conexes. O modelo OSI possui 7 nveis, descritos a seguir: (Richard CEFET-PR / 2003).

OSI
7 6 5 4 3 2 1
APLICAO APRESENTAO SESSO TRANSPORTE REDE ENLACE FSICO
Figura 6: Tabela de nveis do modelo OSI. Fonte: Adaptada de TRIPOD, 2001.

2.5.1. Nvel 1 Fsico: So as conexes mecnicas, formadas pelos modens, linhas fsicas, conectores, cabos e interfaces de hardware de comunicao dos equipamentos. Neste nvel existem as definies dos sinais eltricos, transmissos dos bits, deteco da portadora de transmisso de dados, etc. A norma do modelo OSI define caractersticas mecnicas, eltricas e de operao fsica. 2.5.2. Nvel 2 Enlace: o nvel onde so feitas as formataes das mensagens e endereamentos dos pontos em comunicao. Este nvel possui o conjunto de regras que governa a troca de dados atravs do meio fsico entre dois pontos. Algumas de suas caractersticas so: Troca transparente de dados. O nvel de enlace permite a transferncia de qualquer seqncia de bits, sendo, portanto, transparente aos dados trafegados. Comando de ativao e desativao de modens e sincronismo na transmisso. No caso de redes locais, onde o protocolo CSMA implementado. Deteco e recuperao de falhas e erros na transmisso. Havendo erros nos blocos transmitidos e recebidos, feita a retransmisso dos dados. Independe dos outros nveis. 2.5.3. Nvel 3 Rede: Este nvel permite o controle de todo o trfego dentro da rede externa (WAN Wide rea Network), como o roteamento dos dados entre ns para atingir o endereo. Algumas das tarefas desenvolvidas neste nvel so: Empacotamento (montagem dos pacotes ou blocos de dados que percorrero a rede). Correo de falhas de transmisso entre ns. Controle de fluxo dentro da rede. Roteamento dos dados. Encaminhamento dos pacotes, selecionando o melhor caminho. O nvel anterior (enlace) controla a informao entre os ns adjacentes. O nvel de rede controla a transferncia do pacote entre a origem e o destino. A determinao do melhor caminho pode ser feita em um ponto centralizado da rede (calculando por algoritmo o menor caminho) ou de forma distribuda (no qual todos os ns podem calcular o melhor caminho).

8 O encaminhamento pode ser: Esttico: sempre utiliza o mesmo caminho ou divide o trfego com outras linhas fixas. Adaptativo: onde se escolhe o melhor caminho. Requer grande troca de informaes sobre o status das linhas. Difuso: onde os pacotes so jogados na rede e s o n de destino os recebe (como no caso de redes locais com o protocolo CSMA/CD) No nvel 3 onde se faz o caminho (roteamento) dos dados entre um conjunto de redes LAN interligadas. 2.5.4. Nvel 4 Transporte: So definidas as regras de controle de comunicao fim a fim entre 2 pontos finais que esto se comunicando entre si, no contexto geral de uma rede distribuda. Neste nvel, que o primeiro a fazer o controle fim a fim, a integridade das mensagens trocadas entre dois usurios finais deve ser garantida, independentemente dos controles dos nveis anteriores. O nvel 4, ao contrrio dos nveis anteriores que atuam em segmentos de rede, se aplica entre as duas pontas finais que esto se comunicando entre si, por exemplo, o computador da matriz da empresa com o computador de sua filial. Neste nvel, temos a definio e operacionalizao do endereamento fim a fim, multiplexao e demultiplexao dos dados para distribuir entre vrios terminais, tratamento de retardo, espera de pacotes, controle do fluxo de mensagens enviadas do transmissor e da capacidade de recepo do receptor, controlando e fazendo a retransmisso da mensagem no confirmadas depois de um certo tempo. Estas funes so prprias do equipamento do usurio final, portanto, as mesmas so implementadas no sistema do usurio que est se comunicando. No caso de Redes LAN, onde feito o controle dos endereamentos internos da rede. No caso de Redes SNA, os nveis de rede, transporte e sesso (3,4 e 5), so colocados todos dentro do software chamado Netbios, o qual faz todos estes controles. No caso de redes Novell, existe um programa anlogo ao Netbios. Como este nvel atua na conexo, na ponta final (que o usurio), o endereo de cada porta ou usurio deve ser nico para toda a rede. Neste processo de comunicao, as conexes so iniciadas ou finalizadas e so trocados parmetros de transmisso, tamanho da mensagem e outras definies. 2.5.5. Nvel 5 Sesso: o nvel da conexo entre dois sistemas de dois equipamentos de dois usurios que se comunicar entre si. Sesso refere se a conexo entre dois usurios e nela realizada a conferncia da identificao da conexo entre os dois sistemas. Nas redes LAN, neste nvel que feita a associao de nomes lgicos aos endereos de hardware da LAN e onde se opera o protocolo que faz o acesso do usurio rede, para acessar outros sistemas. So feitas, tambm, trocas de mensagens que especificam, nas duas pontas, a forma de sincronizao como, por exemplo, se a transmisso vai ser duplex ou full duplex.

9 2.5.6. Nvel 6 Apresentao: Possui a converso de cdigos e formatos de representao de dados (ASCII para EBCDIC, por exemplo), compresso e descompresso de dados que foram codificados antes da transmisso e descriptografia ou criptografia dos dados visando segurana. Realiza se uma transformao para que os dados possam ser lidos pela aplicao final, visto que, por exemplo, podem vir comprimidos ou compactados para ocupar menos espao e, assim, tornar a transmisso mais veloz. No caso da criptografia, os dados so codificados no nvel de apresentao do transmissor e decodificados no nvel de apresentao do receptor. Nas redes LANs, existem rotinas que fazem a emulao e direcionamento de dados para as aplicaes. 2.5.7. Nvel 7 Aplicao: Neste nvel temos a aplicao final do usurio, que so os processos que utilizam as redes. So, por exemplo, os programas aplicativos do usurio, as transaes que rodam no terminal do usurio, bancos de dados distribudos, aplicativos de redes locais, etc. 2.6. MODELO TCP/IP O modelo TCP/IP - como muitos modelos de protocolos - pode ser visto como um grupo de camadas, em que cada uma resolve um grupo de problemas envolvendo a transmisso de dados e fornece um servio bem definido para os protocolos da camada acima, que por sua vez se baseia em usar os servios de algumas camadas abaixo. As camadas mais altas esto logicamente mais perto do usurio, lidam com dados mais abstratos e confiam nos protocolos das camadas mais baixas para traduzir dados em um formato que pode eventualmente ser transmitido fisicamente. O modelo OSI descreve um grupo fixo de sete camadas que alguns fornecedores preferem e que pode ser comparado a grosso modo com o modelo TCP/IP. Essa comparao pode causar confuso ou trazer detalhes mais internos para o TCP/IP. O modelo TCP/IP encapsulamento para fornecer abstrao de protocolos e servios para diferentes camadas na pilha. A pilha consiste de quatro camadas:

Figura 7: Tabela comparao de nveis dos modelos TCP/IP e OSI. Fonte: Adaptada de TRIPOD, 2001.

10

2.7. ARQUITETURA TCP/IP

TCP/IP o nome que se d a toda a famlia de protocolos utilizados pela Internet. Esta famlia de protocolos foi desenvolvida pela DARPA (Defense Advanced Research Project Agency) no DoD (Departamento de Defensa dos Estados Unidos). Este conjunto de protocolos foi desenvolvido para permitir aos computadores compartilharem recursos numa rede. Toda a famlia de protocolos inclue um conjunto de padres que especificam os detalhes de como comunicar computadores, assim como tambm convenes para interconectar redes e rotear o trfego. Oficialmente esta famlia de protocolos chamada, Protocolo Internet TCP/IP, comumente referenciada s como TCP/IP, devido a seus dois protocolos mais importantes (TCP: Transport Control Protocol e IP: Internet Protocol). (Penta UFRGS /
2001)

2.7.1. INTER-REDES A Ligao inter-redes foi criada pelos pesquisadores por motivo da incompatibilidade entre tecnologias de rede, criando uma estrutura que fornecesse servio universal em redes heterogneas, pois diferentes tecnologias de rede oferecem diferentes caractersticas, como as LANs que so de alta velocidade, pequena distncia e as WANs que so comunicao numa grande rea, ou seja, comum uma grande organizao ter vrias redes fsicas, cada uma adequada para um determinado tipo de ambiente. As inter-redes utilizam hardware e software, o hardware conduz a ligao por meio fsico da rede e o software contm nos computadores ligados entre si um servio que estabelece o servio universal. 2.7.2. SERVIO UNIVERSAL Permite que um usurio ou aplicao num computador troque informaes com qualquer outro usurio ou aplicao em outro computador da rede. Um sistema de comunicao que prov servio universal permite que pares arbitrrios de computadores se comuniquem, e para que haja essa comunicao entre essas redes diferentes, utilizado o componente bsico de uma inter-rede, que o Roteador. 2.7.3. INTERLIGAO DE REDES COM ROTEADORES A tarefa bsica do Roteador interconectar redes como uma ponte (bridges). um roteador tem um processador e memria convencional e interfaces separadas de E/S para cada rede que conecta. Na figura 8 mostrado que o roteador conectado direto entre as redes fsicas.

Figura 8: Duas redes fsicas conectadas por um roteador. Fonte: Comer, 2003.

11 Um Roteador pode, por exemplo, conectar: Duas LANs, uma LAN e uma WAN, duas WANs; Uma LAN e uma LAN FDDI; Uma LAN e uma conexo frame relay. E quando o roteador faz a ligao entre as duas redes da mesma categoria, no precisar usar a mesma tecnologia.

12 3. INTERNET PROTOCOL O uso de computadores em rede e claro, a internet, requer que cada mquina possua um identificador que a diferencie das demais. necessrio que cada computador tenha um endereo, alguma forma de ser encontrado. Para isso, a tecnologia empregada o IP, que ser explicado a seguir. 3.1. FUNCIONAMENTO DOS ENDEREOS IP E SUAS CLASSES

O endereo IP (ou somente IP) uma seqncia de nmeros composta de 32 bits. Esse valor consiste num conjunto de quatro grupos de 8 bits. Cada conjunto separado por um ponto e recebe o nome de octeto ou simplesmente byte, j que um byte formado por 8 bits. O nmero 172.31.110.10 um exemplo. Repare que cada octeto formado por, no mximo 3 caracteres, sendo que cada um pode ir de 0 a 255. (Emerson
Alecrim/2003)

Os dois primeiros octetos de um endereo IP geralmente so usados para identificar a rede, mas isso no regra fixa, como ser visto mais adiante. Em lugares com vrias redes, pode-se ter, por exemplo, 172.31 para uma rede e 172.32 para outra. J os ltimos 2 octetos, so usados na identificao de computadores dentro da rede. Por exemplo, em uma rede com 400 computadores, pode-se usar as faixas de 172.31.100.1 a 172.31.100.255 e 172.31.101.0 a 172.31.101.255. Novamente, esta no uma regra fixa. Como os endereos IP usados em redes locais so os mesmo dos IPs da internet, usa-se um padro conhecido como IANA (Internet Assigned Numbers Authority) para a distribuio de endereos nestas redes. Assim, determinadas faixas de IP so usadas para redes locais, enquanto que outras so usadas na internet. Como uma rede local em um prdio no se comunica a uma rede local em outro lugar (a no ser que ambas sejam interconectadas) no h problemas de um mesmo endereo IP ser utilizado nas duas redes. J na internet, isso no pode acontecer. Nela, cada computador precisa de um IP exclusivo. (Emerson Alecrim/2003) O padro IANA divide a utilizao de IPs para redes locais em, basicamente, 3 classes. Esse diviso foi feita de forma a evitar ao mximo o desperdcio de IPs que podem ser utilizados em uma rede, como podemos observar na tabela abaixo:
CLASSES GAMA DE END. CAPACIDADE
At 16 milhes de computadores em cada rede At 65.534 computadores em uma rede At 254 computadores em uma rede

MXIMO

A B C

10.0.0.0 at 10.255.255.255 172.16.0.0 at 172.31.255.255 192.168.0.0 at 192.168.255.255

1 Rede
21 redes 255 redes

Os IPs so divididos em cinco classes, Classe A, B, C, D e E, porm so mais utilizados os endereos IP das classes A, B e C. - os endereos IP da classe A so usados em locais onde necessrio uma rede apenas, mas uma grande quantidade de mquinas nela. Para isso, o primeiro byte usado como identificador da rede e os demais servem como identificador dos computadores; - os endereos IP da classe B so usados nos casos onde a quantidade de redes equivalente ou semelhante quantidade de computadores. Para isso, usa-se os dois primeiros bytes do endereo IP para identificar a rede e os restantes para identificar os computadores;

13 - os endereos IP da classe C so usados em locais que requerem grande quantidade de redes, mas com poucas mquinas em cada uma. Assim, os trs primeiros bytes so usados para identificar a rede e o ltimo utilizado para identificar as mquinas. 3.2. NOTAO DECIMAL PONTILHADA a forma mais conveniente para as pessoas entenderem o endereamento IP:

32-bit Binary 10000001 00110100 11000000 00000101 00001010 00000010 10000000 00001010 10000000 10000000

00000110 00110000 00000000 00000010 11111111

Equivalent Dotted Decimal 00000000 129. 52. 6. 0 00000011 192. 5. 48. 3 00100101 10. 2. 0. 37 00000011 128. 10. 2. 3 00000000 128. 128. 255. 0

Figura 9: Tabela de endereamento IP de notao decimal pontilhada. Fonte: Cesf, 2003.

3.3. FORMATO DO DATAGRAMA O protocolo IP recebe da camada de transporte mensagens divididas em datagramas de 64 kbytes cada um, sendo que cada um destes transmitido atravs da Internet, sendo ainda possivelmente fragmentados em unidades menores medida em que passam por sub-redes. Ao chegarem ao seu destino, so remontados novamente pela camada de transporte, de forma a reconstituir a mensagem original. O datagrama utilizado pelo protocolo IP consiste em um cabealho e um payload, sendo que o cabealho possui um comprimento fixo de 20 bytes mais um comprimento varivel (figura 10).

Figura 10: Formato de um datagrama IP. Fonte: Alves, 1994. O campo VERS identifica a verso do protocolo que montou o quadro. O campo HLEN informa o tamanho do quadro em palavras de 32 bits, pois este pode ser varivel. O campo SERVICE TYPE indica s sub-redes o tipo de servio que deve ser oferecido ao datagrama (por exemplo, para transmisso de voz digitalizada necessita-se mais de uma entrega rpida do que um controle rigoroso de erros, ao passo que para um servio de transferncia de arquivos, o tempo de entrega pode ser sacrificado para se obter um maior controle de erro).

14 O campo TOTAL LENGTH armazena o comprimento total do datagrama (dados e cabealho), com um valor mximo de 65.536 bytes. O campo IDENTIFICATION possibilita ao host determinar a que datagrama pertence um fragmento recm-chegado (todos os fragmentos de um datagrama possuem o mesmo valor). O campo FLAGS composto de um bit no utilizado seguido por dois bits, DF e MF. O DF significa Don't Fragment e indica que os gateways no devem fragmentar este datagrama (por incapacidade do destino juntar novamente os fragmentos). MF significa More Fragments, e utilizado como dupla verificao do campo TOTAL LENGTH, sendo que todos os fragmentos, menos o ltimo possuem este bit setado. O FRAGMENT OFFSET informa a que posio no datagrama atual pertence o fragmento. O campo TIME TO LIVE um contador utilizado para se limitar o tempo de vida de um pacote. Quando o datagrama criado, este campo recebe um valor inicial, que decrementado toda vez que passa por um gateway. Quando este contador atinge o valor zero, isto indica que a rede est em congestionamento ou que o datagrama est em loop, e o datagrama descartado. O campo PROTOCOL indica o protocolo que gerou o datagrama e que deve ser utilizado no destino. O campo HEADER CHECKSUM utilizado pelos gateways para se fazer uma verificao do cabealho (apenas do cabealho, no dos dados), para que o gateway no roteie um datagrama que chegou com o endereo errado. SOURCE IP ADRESS e DESTINATION IP ADRESS so, respectivamente, os endereos de host origem e destino. O campo IP OPTIONS usado para o transporte de informaes de segurana, roteamento na origem, relatrio de erros, depurao, fixao da hora e outras. O campo PADDING possui tamanho varivel e utilizado para se garantir que o comprimento do cabealho do datagrama seja sempre um mltiplo inteiro de 32 bits. Finalmente, o campo DATA transporta os dados do datagrama. 3.4. ROTEADORES E NUMEROS IP Os segmentos de rede TCP/IP so interconectados por roteadores IP, dispositivos que passam datagramas IP de um segmento de rede a outro. Esse processo conhecido como roteamento IP.

Figura 11: Roteamento IP. Fonte: Alves, 1994.

15 Os roteadores IP fornecem o principal meio de combinar dois ou mais segmentos de rede IP fisicamente separados. Todos os roteadores IP tm duas caractersticas essenciais: Os roteadores IP so hosts com diversas bases. Um host com diversas bases uma rede que usa duas ou mais interfaces de conexo de rede para conectar-se a cada segmento de rede fisicamente separado. Os roteadores IP fornecem encaminhamento de pacotes para outros hosts TCP/IP. Os roteadores IP so diferentes de outros hosts que usam vrias bases em um aspecto importante: o roteador IP deve poder encaminhar comunicao baseada em IP entre redes a outros hosts de rede IP. Voc pode implementar os roteadores IP usando uma srie de possveis produtos de hardware e software. Os roteadores baseados em caixas dispositivos de hardware dedicados que executam software especializado so comuns. Alm disso, voc pode usar solues de roteamento baseadas em software, como o servio de roteamento e acesso remoto, executado em um computador que execute o Windows 2000 Server. Independentemente do tipo de roteadores IP utilizados, todo o roteamento IP depende do uso de uma tabela de roteamento para a comunicao entre segmentos de rede. 3.5. ENTREGA DE DATAGRAMA IP Para suportar o envio de datagramas IP multicast, o mdulo IP deve ser estendido de forma a reconhecer endereos IP de grupo quando do roteamento de datagramas a serem enviados. Abaixo, ilustrada uma implementao IP tpica:
Se (Destino-IP est na mesma rede) envie o datagrama localmente para o destino IP Seno envie o datagrama localmente para o roteador (Destino-IP)

Para permitir transmisses multicast, esta lgica deveria ser trocada para:
Se (Destino-IP est na mesma rede local) ou (Destino-IP um endereo de grupo multicast) Envie o datagrama localmente para o Destino-IP Seno Envie o datagrama localmente para o roteador (Destino IP)

O endereo de origem do datagrama enviado deve ser um dos endereos individuais correspondentes interface de sada. Um endereo de grupo multicast jamais deve ser usado como endereo de origem em um datagrama IP.

16

4. TCP (Transmission Control Protocol)

4.1. INTRODUO

O Transmission Control Protocol (TCP) , sem dvidas, um dos mais importantes protocolos da famlia TCP/IP. um padro definido na RFC 793, "Transmission Control Protocol (TCP)", que fornece um servio de entrega de pacotes confivel e orientado por conexo. Ser orientado por conexo, significa que todos os aplicativos baseados em TCP como protocolo de transporte, antes de iniciar a troca de dados, precisam estabelecer uma conexo. Na conexo so fornecidas, normalmente, informaes de logon, as quais identificam o usurio que est tentando estabelecer uma conexo. Um exemplo tpico so os aplicativos de FTP (Cute - FTP, ES-FTP e assim por diante). Para que voc acesse um servidor de FTP, voc deve fornecer um nome de usurio e senha. Estes dados so utilizados para identificar e autenticar o usurio. Aps a identificao e autenticao, ser estabelecida uma sesso entre o cliente de FTP e o servidor de FTP (Battisti, 2004) . 4.2. FUNCIONAMENTO DO PROTOCOLO

O TCP baseia-se na comunicao ponto a ponto entre dois hosts de rede. O TCP recebe os dados de programas e processa esses dados como um fluxo de bytes. Os bytes so agrupados em segmentos que o TCP numera e seqncia para entrega. Estes segmentos so mais conhecidos como Pacotes (Battisti, 2004) . deve-se primeiro estabelecer uma sesso entre si. Uma sesso TCP inicializada atravs de um processo conhecido como um 3-way handshake, sincronizando os nmeros de seqncia e oferece informaes de controle necessrias para estabelecer uma conexo entre os 2 hosts, uma conexo virtual estabelecida por software (Comer/2001 e
Tanembaum/2003).

O processo de 3-way handshake, pode ser descrito atravs dos seguintes passos: a. O computador de origem solicita o estabelecimento de uma sesso com o computador de destino. b. O computador de destino recebe a requisio, verifica as credenciais enviadas e envia de volta para o cliente, informaes que sero utilizadas pelo cliente, para estabelecer uma sesso. O envio dessas informaes importante, pois atravs destas informaes que o servidor ir identificar o cliente e liberar ou no o acesso. c. O computador de origem recebe as informaes de confirmao enviadas pelo servidor e envia estas confirmaes de volta ao servidor. O servidor recebe as informaes, verifica que elas esto corretas e estabelece a sesso. A partir deste momento, origem e destino esto autenticados e aptos a trocar informaes usando o protocolo TCP. Se por algum motivo, as informaes enviadas pela origem no estiverem corretas, a sesso no ser estabelecida e uma mensagem de erro ser enviada de volta ao computador de origem.

17 Depois de concludo o 3-way handshake inicial, os segmentos so enviados e confirmados de forma seqencial entre os hosts remetente e destinatrio. O TCP utiliza um processo de handshake semelhante, antes de fechar a conexo para verificar se os dois hosts acabaram de enviar e receber todos os dados. Os segmentos TCP so encapsulados e enviados em datagramas IP (Battisti, 2004) .

Figura 12: Envio de Dados. Fonte: Do Autor. 4.3. FORMATO DO PACOTE TCP

Os cabealhos dos pacotes TCP requerem o uso de bits adicionais para assegurar o correto seqenciamento da informao, bem como um checksum obrigatrio para garantir a integridade do cabealho e dos dados. Para garantia da entrega dos pacotes, o protocolo requisita que o destinatrio, informe atravs do envio de um acknowledgement, para que seja confirmado o recebimento (Kurose e
Ross/2003).

Figura 13: Transporte de Pacotes. Fonte: Do Autor. Onde: Porta origem e porta destino Identificam os pontos terminais da Nmero de seqncia Identifica a posio deste segmento no fluxo de dados e cada conexo possui um fluxo de dados particular

18 Nmero de confirmao Utilizado para confirmar o recebimento de segmentos enviados anteriormente e especifica o prximo segmento aguardado Tamanho do cabealho Tamanho do cabealho TCP (nmeros de palavras de 32 bits). Flags: URG Seu valor igual a 1 se houver informao no campo Urgent Pointer ACK Se seu valor for 1: indica que o segmento parte de uma conversao e que o valor do campo Acknoledgement number vlido, se seu valor for 0 e o flag SYN for 1: indica que o segmento uma solicitao de conexo PSH Campo usado pelo remetente do segmento para indicar ao receptor que o segmento em questo deve ser entregue imediatamente ao nvel superior RST Utilizado para reiniciar uma conexo que tenha ficado confusa devido a uma falha na estao ou por qualquer outra razo. SYN Usado em conjunto com o ACK para solicitar ou aceitar uma conexo SYN=1 ACK=0: requisio de conexo SYN=1 ACK=1: conexo aceita SYN=0 ACK=1: confirmao do recebimento FIN Usado para encerrar uma conexo e indica que o transmissor no tem mais dados para enviar Tamanho da janela deslizante - Indica o tamanho (disponvel) do buffer do receptor e usado pelo receptor para indicar ao transmissor que diminua o fluxo de transmisso de dados. Checksum Verificao de erros Ponteiros para dados Urgentes Usado pela origem para indicar onde se encontra. Opes Campo para configurao de opes Dados Dados das aplicaes Por ultimo o campo Tamanho do cabealho, que calculado junto com endereo de origem, endereo de destino e tamanho a partir do cabealho IP, definido o tamanho do cabealho, em palavras de 32 bits. conhecido tambm por campo offset, medindo o deslocamento do inicio do pacote at o inicio dos dados. 4.4. SERVIO ORIENTADO A CONEXO

Supondo que o servidor, j admitiu uma abertura passiva ao cliente e estejam trocando mensagens para que esse estabelea a conexo, aps o estabelecimento, os dois lados comeam a enviar dados. Assim que um participante encerra o envio de dados ele fecha o caminho da conexo e obriga o TCP a iniciar uma rodada de envio de mensagens, para que se encerre essa conexo (Kurose e ross/2004 e tanembaum/2003). Quando acontece um atraso de envio de pacote, o TCP ajusta o TIMEOUT de retransmisso para um valor maior que o atraso de ida e volta mdio, caso haja variao o TIMEOUT de retransmisso ajustado para um valor ainda maior que a mediana acomodando assim os picos.

19

Figura 14: Retransmisso. Fonte: Do Autor. mostrado de um modo simplificado o funcionamento de retransmisso de dados, caso haja a perda durante o envio (por encerramento de conexo, por exemplo) o host 1 se adapta aumentado o TIMEOUT conforme o tamanho da informao.

20

5. SEGURANA
5.1. NECESSIDADE DE SEGURANA Cada vez mais as empresas possuem informaes sigilosas disponveis em seus computadores, fazendo com que certos cuidados sejam necessrios, a fim de proteglas, como limitar o acesso fsico e lgico aos computadores, atravs de mecanismos de segurana. Essa preocupao torna-se ainda maior com a popularizao da Internet nas empresas, onde o risco das informaes serem acessadas ou alteradas grande, pois qualquer pessoa conectada Internet pode vir a tomar posse destas informaes, caso elas no estejam bem protegidas. (Monteiro / 2002) As principais funes de segurana so: Autenticidade Verifica se a pessoa com quem est se trocando informaes sigilosas realmente quem deveria ser; Confidencialidade Limita o acesso a informaes, geralmente atravs do uso de criptografia; Integridade Assegura que os dados no sero alterados durante uma transmisso; Controle de acesso Limita o acesso e a utilizao de recursos apenas a pessoas autorizadas; Disponibilidade Mantm os recursos disponveis, mesmo em caso de ataques; No-repdio Impede que uma entidade (computador, pessoa, etc.) envolvida em uma transao negue a sua participao no evento. Para tornar uma rede mais segura e confivel, deve-se estar atento s principais ameaas que podem comprometer a integridade das informaes de uma empresa. Ao contrrio do que se pensa, nem sempre o principal inimigo est fora da rede, como um hacker ou cracker, mas sim dentro dela, como um funcionrio mal intencionado, que geralmente possui livre acesso aos recursos disponveis. As ameaas so classificadas em dois tipos: Passivas, onde o sistema continua a operao sem a percepo de ter um invasor na rede e, geralmente, acontece roubo de informaes; e Ativas, onde o invasor prejudica o sistema, atingindo os dados ou degradando os servios (Batista, 2002). 5.2. FUNO BASICA DO VPN Conforme mencionado anteriormente, VPN significa, em portugus, Redes Privadas Virtuais. Desmembrando este termo, podemos destacar que Redes a infraestrutura pela qual os computadores se comunicam; Privadas, devido estas redes utilizarem recursos de criptografia para garantir a segurana das informaes trafegadas pelo meio de comunicao e; Virtuais, por elas estarem fisicamente separadas. Em outras palavras, VPNs so redes de computadores que esto separadas fisicamente e, que atravs de um meio pblico de comunicao geralmente a Internet comunicam-se de forma segura, atravs da utilizao de criptografia. Alguns dos dispositivos que implementam uma VPN so: roteadores, equipamentos especficos e softwares instalados em gateways. As VPNs possuem seus prprios protocolos de comunicao que atuam em conjunto com o TCP/IP , fazendo com que o tnel virtual seja estabelecido e os dados trafeguem criptografados.

21 As VPNs servem para atender as necessidade de se utilizar redes de comunicao no confiveis para trafegar informaes de forma segura, j que as redes pblicas so consideradas no confiveis, tendo em vista que os dados que nelas trafegam esto sujeitos a interceptao e captura. (Franzin e Rossi / 2000). 5.3. TIPOS DE VPN'S Existem vrios tipos de implementao de VPN's. Cada uma tem suas especificaes prprias, assim como caractersticas que devem ter uma ateno especial na hora de implementar. Entre os tipos de VPN, destacam-se trs principais: VPN para Intranet

Uma Intranet utilizada para conectar sites que geralmente possuem uma infraestrutura completa de rede local, podendo, ou no, ter seus prprios servidores e aplicativos locais. Tais sites tm em comum a necessidade de compartilhar recursos que estejam distribudos, como bases de dados e aplicativos, ou mesmo de troca de informaes, como no caso de email. A Intranet pode ser entendida como um conjunto de redes locais de uma corporao, geograficamente distribudas e interconectadas atravs de uma rede pblica de comunicao. Esse tipo de conexo tambm pode ser chamado de LAN-to-LAN ou Site-to-Site.

Figura 15: VPN - Intranet. Fonte: Franzin e Rossi, 2000. VPN para Acessos Remotos

chamado de acesso remoto aquele realizado por usurios mveis que se utilizam de um computador para conexo com a rede corporativa, partindo de suas residncias ou hotis. Esse tipo de conexo, que tambm denominado Point-to-Site, est se tornando cada vez mais utilizada. Aplicaes tpicas do acesso remoto so:

22 Acesso de vendedores para encaminhamento de pedidos, verificao de processos ou estoques; Acesso de gerentes e diretores em viagens, mantendo atualizadas suas comunicaes com sua base de operao, tanto para pesquisas na rede corporativa como acompanhamento de seu correio eletrnico; Equipe tcnica em campo, para acesso a sistemas de suporte e documentao, bem como a atualizao do estado dos atendimentos.

Figura 16: VPN - Acesso Remoto. Fonte: Franzin e Rossi, 2000. VPN para Extranet

Em uma Extranet, tem-se a disponibilidade para o acesso de parceiros, representantes, clientes e fornecedores ao ambiente da rede corporativa. Esta comunicao permitida com o objetivo de agilizar o processo de troca de informaes entre as partes, estreitando o relacionamento, e tornando mais dinmica e efetiva a interao. Esse tipo de conexo tambm pode ser chamado de LAN-to-LAN ou Site-to-Site.

Figura 17: VPN - Extranet. Fonte: Franzin e Rossi, 2000.

23 5.3.1. MODELO DE UMA VPN

Figura 18: Modelo de uma VPN Fonte: Franzin e Rossi, 2000. 5.3.2. FUNES BSICAS A utilizao de redes pblicas tende a apresentar custos muito menores que os obtidos com a implantao de redes privadas, sendo este, justamente o grande estmulo para o uso de VPNs. No entanto, para que esta abordagem se torne efetiva, a VPN deve prover um conjunto de funes que garanta Confidencialidade, Integridade e Autenticidade. Confidencialidade Tendo em vista que estaro sendo utilizados meios pblicos de comunicao, a tarefa de interceptar uma seqncia de dados relativamente simples. imprescindvel que os dados que trafeguem sejam absolutamente privados, de forma que, mesmo que sejam capturados, no possam ser entendidos. Integridade Na eventualidade dos dados serem capturados, necessrio garantir que estes no sejam adulterados e re-encaminhados, de tal forma que quaisquer tentativas nesse sentido no tenham sucesso, permitindo que somente dados vlidos sejam recebidos pelas aplicaes suportadas pela VPN. Autenticidade Somente usurios e equipamentos que tenham sido autorizados a fazer parte de uma determinada VPN que podem trocar dados entre si; ou seja, um elemento de uma VPN somente reconhecer dados originados em por um segundo elemento que seguramente tenha autorizao para fazer parte da VPN. Dependendo da tcnica utilizada na implementao da VPN, a privacidade das informaes poder ser garantida apenas para os dados, ou para todo o pacote

24 (cabealho e dados). Quatro tcnicas podem ser usadas para a implementao de solues VPN: 5.3.3. TCNICAS DE IMPLEMENTAO Dependendo da tcnica utilizada na implementao da VPN, a privacidade das informaes poder ser garantida apenas para os dados, ou para todo o pacote (cabealho e dados). Quatro tcnicas podem ser usadas para a implementao de solues VPN: Modo Transmisso Somente os dados so criptografados, no havendo mudana no tamanho dos pacotes. Geralmente so solues proprietrias, desenvolvidas por fabricantes. Modo Transporte Somente os dados so criptografados, podendo haver mudana no tamanho dos pacotes. uma soluo de segurana adequada, para implementaes onde os dados trafegam somente entre dois ns da comunicao. Modo Tnel Criptografado Tanto os dados quanto o cabealho dos pacotes so criptografados, sendo empacotados e transmitidos segundo um novo endereamento IP, em um tnel estabelecido entre o ponto de origem e de destino. Modo Tnel No Criptografado Tanto os dados quanto o cabealho so empacotados e transmitidos segundo um novo endereamento IP, em um tnel estabelecido entre o ponto de origem e destino. No entanto, cabealho e dados so mantidos tal como gerados na origem, no garantindo a privacidade. 5.4. CRIPTOGRAFIA A criptografia implementada por um conjunto de mtodos de tratamento e transformao dos dados que sero transmitidos pela rede pblica. Um conjunto de regras aplicado sobre os dados, empregando uma seqncia de bits (chave) como padro a ser utilizado na criptografia. Partindo dos dados que sero transmitidos, o objetivo criar uma seqncia de dados que no possa ser entendida por terceiros, que no faam parte da VPN, sendo que apenas o verdadeiro destinatrio dos dados deve ser capaz de recuperar os dados originais fazendo uso de uma chave. Para criptografar dados existem dois tipos de chaves, as chave Simtrica e as Chave Assimtrica, como podemos observar a seguir. (Franzin e Rossi / 2000).

25 Chave Simtrica ou Chave Privada

a tcnica de criptografia onde utilizada a mesma chave para criptografar e decriptografar os dados. Sendo assim, a manuteno da chave em segredo fundamental para a eficincia do processo. Sua Vantagens Rapidez, simples de implementar. Desvantagens necessrio um canal seguro para enviar a chave.

Figura 19: Processo de criptografia simtrica. Fonte: Adaptada de BROCARDO, 2001, p. 20.

Chave Assimtrica ou Chave Pblica

a tcnica de criptografia onde as chaves utilizadas para criptografar e decriptografar so diferentes, sendo, no entanto relacionadas. A chave utilizada para criptografar os dados formada por duas partes, sendo uma pblica e outra privada, da mesma forma que a chave utilizada para decriptografar. Vantagens No h necessidade de canal seguro na troca de chaves, pois no h riscos. Desvantagens A performance do sistema cai demasiadamente se existe uma grande quantidade de dados para decriptografar.

Figura 20: Processo de criptografia assimtrica. Fonte: Adaptada de BROCARDO, 2001, p. 22.

26

5.5. TUNELAMENTO As informaes so trafegadas de forma encriptada, dando a idia da criao de um tnel virtual, como mostra a Figura 21, onde os dados que estiverem trafegando pelo mesmo permanecem ininteligveis para quem no fizer parte dele. Isto garante que, se a informao for capturada, ser muito difcil entend-la, a menos que se descubra a chave utilizada.

Figura 21: Tnel virtual entre 2 redes. Fonte: Adaptada de CYCLADES, 2002, p. 118.

5.6. PROTOCOLOS PARA VPN IPSec

IPSec um conjunto de padres e protocolos para segurana relacionada com VPN sobre uma rede IP, e foi definido pelo grupo de trabalho denominado IP Security (IPSec) do IETF (Internet Engineering Task Force). O IPSec especifica os cabealhos AH (Authentication Header) e ESP (Encapsulated Security Payload), que podem se utilizados independentemente ou em conjunto, de forma que um pocote IPSec poder apresentar somente um dos cabealhos (AH ou ESP) ou os dois cabealhos.

Figura 22: Estrutura do pacote IPSec. Fonte: GPR Sistemas, 2000.

27 Authentication Header (AH) Utilizado para prover integridade e autenticidade dos dados presentes no pacote, incluindo a parte invariante do cabealho, no entanto, no prov confidencialidade. Encapsulated Security Payload (ESP) Prov integridade, autenticidade e criptografia rea de dados do pacote.

A implementao do IPSec pode ser feita tanto em Modo Transporte como em Modo Tunel.

Figura 23: Estrutura do pacote IPSec Modo Tnel. Fonte: GPR Sistemas, 2000.

Figura 24: Estrutura do pacote IPSec Modo Transporte. Fonte: GPR Sistemas, 2000.

SSL-Secure Sockets Layer

O SSL (Secure Sockets Layer) um conjunto de tecnologias criptogrficas que fornece autenticao, confidencialidade e integridade de dados. Ele tambm pode ser usado para fornecer segurana s comunicaes entre aplicativos cliente e servios da Web. Onde os principiais objetivos do protocolo SSL so: segurana criptografia, interoperabilidade, extenciabilidade e eficincia. Composio do protocolo SSL. O Protocolo SSL um protocolo estruturado em camadas. Em cada camada as mensagens podem incluir campos para determinar o tamanho, a descrio e o contedo da mensagem.

28 O protocolo toma as mensagens a serem transmitidas pelas camadas superiores, fragmenta os dados em blocos, opcionalmente executa a compresso destes dados, aplica um MAC (Message Authentication Code), criptografia e finalmente transmite as informaes processadas. (Gilberto/2002). Os dados recebidos so decriptografados e remontados, para ento serem entregues aos clientes de camadas de nvel superior. O protocolo SSL composto de duas camadas, que podem ser designadas como nvel inferior e nvel superior, conforme a figura 25.

Figura 25: Camada do SSL. Fonte:Universidade de Guarulhos/2002

O nvel inferior (Record Layer) suportado por um protocolo de transporte, como, por exemplo, o TCP. O nvel inferior utilizado para encapsular os diversos protocolos de nvel superior e implementar os servios de fragmentao, compresso, autenticao de mensagem e criptografia. No nvel superior (Message Layer) alm do protocolo de aplicao, so inseridos protocolos auxiliares para implementar os recursos de segurana SSL Handshake Protocol, Change Cipher Spec Protocol, Alert Protocol, Aplication Protocol. Dentre estes protocolos, o mais interessante o SSL Handshake Protocol, pois nele que os parmetros criptogrficos do estado da sesso so produzidos, sendo operado no topo da Record Layer. Quando um cliente e um servidor SSL iniciam uma comunicao, eles inicialmente entram em acordo sobre uma verso de protocolo, selecionam algoritmos criptogrficos, autenticam-se mutuamente (opcionalmente) e usam tcnicas de chaves pblicas de criptografia para gerar segredos comuns (Gilberto, 2002). Com o SSL possvel a aplicao cliente ter certeza que o servidor ao qual ele est se conectando quem ele diz ser. Codificando, assim, as informaes com a chave pblica fornecida pelo servidor e sendo decodificado apenas quando a informao chega ao servidor atravs de sua chave privada.

29

5.7. IMPLEMENTANDO UMA VPN

5.7.1. CONFIGURAO DOS MICROS Foi implementada no laboratrio de redes do IESAM (Institudo de Estudo Superiores da Amaznia) uma Rede Privada Virtual (VPN), aonde foram utilizados trs micros (dois como LAN 1 e LAN 2 e um outro como roteador), como podemos observar na figurar 26.

Figura 26: Layout da rede VPN

ROTEAMENTO O micro que estava operando como roteador, estava utilizando o Sistema Operacional Linux Suse, aonde o mesmo estava utilizando duas placas de rede (ETH0 e ETH1) LAN 1 e LAN 2 Os outros dois micros estavam operando com o Sistema Operacional Microsoft Windows 2000. Na LAN 1 e LAN 2 os micros foram configurados o IP, a mascara e o Gateway, como mostra nas figuras 27 e 28.

30

Figura 27: Tela Propriedade de Protocolo Internet (TCP/IP) da LAN 1.

Figura 28: Tela Propriedade de Protocolo Internet (TCP/IP) da LAN 2.

31 Depois de ter configurados os micros (LAN 1 e LAN 2), deve-se abrir o prompt de comando do ms-dos e dar o ping para ver ser esta enviando resposta, como mostra a figura 29.

Figura 29: Tela Ping no prompt de comando do ms-dos.

5.7.2. CONFIGURANDO O WINGATE Depois das configuraes dos micros foi instalado e configurado o software winGate para implementao da VPN, esses software alm de implantar a VPN tem como caracterstica de ser um servidor proxy e firewall que permite o compartilhamento de uma conexo Internet por uma rede de computadores. Uma rede de trabalho um grupo de computadores conectados via ethernet, adaptadores, cabos ou outra mdia que facilite o recurso de compartilhamento. 1 Passo Depois de ter instalado o WinGate o usurio deve ir no seguinte caminho para executar o software como mostra a figura 30.

Figura 30: Tela de caminho do WinGate

32 2 Passo: Colocar Username e Password para fazer login no WinGate, como mostra a figura 31

Figura 31: Tela de Login do WinGate.

3 Passo Criar a VPN e dar o nome para ela no caso da figura abaixo Rede A

Figura 32: Tela de criao da VPN.

33 4 Passo Configurar o IP, mascara e Gatway para o micro de origem, como mostra a figura 33.

Figura 33: Tela de configurao do wingate.

34

6. CONCLUSO
As Virtual Private Network (VPN) ou Rede Privada Virtual, esto cada vez mais estudadas e incorporadas s organizaes privadas ou governamental, em vrios sistemas e ambiente computacional, o principal fato das VPNs estarem crescendo a questo da segurana e economia que ela oferece. Com a implementao da Virtual Private Network (VPN) ou Rede Privada Virtual, que tem como objetivo interligar duas redes ou mais redes, e permitindo o acesso remoto de diretores e dos administradores das redes, para que atualizaes sejam em tempo real. A VPN torna um meio inseguro uma rede publica como a internet em um meio de comunicao seguro, por onde trafegam dados que no podem ser capturados por terceiros a VPN vem para suprir essa necessidade de segurana com baixo custo e vem sendo cada vs mais aceita no mercado da informtica.

6.1. TRABALHOS FUTUROS

Medir o nvel de desempenho da Virtual Private Utilizando software e hardware. Compatibilidade dos protocolos SSL e IPSEC

Network (VPN),

35

REFERNCIAS BIBLIOGRAFICAS
TANENBAUM, Andrew S. Redes de Computadores. 3 Edio. Rio de Janeiro: Campus, 1997. 923 p. 3COM CORPORATION. 3Com OfficeConnect: Network Assistant. Santa Clara, EUA: 3Com, verso 2.02, 2000. 1 CD-ROM. ALBUQUERQUE, Fernando. TCP/IP Internet: Protocolos e Tecnologias. 3 Edio. Rio de Janeiro: Axcel Books, 2001. 362 p. BASTOS, Eri Ramos. Configurando uma VPN IPSec FreeSwan no Linux. [S.l.], 2002. Disponvel em: <http://www.secforum.com.br/article.php?sid=1033>. Acesso em: 08 jun 2006. BATISTA, Thas Vasconcelos. Segurana em Redes de Computadores. Natal, 2002. Aula 1. Disponvel em: <http://www.dimap.ufrn.br/~thais/Seguranca/home.html>. Acesso em: 17 jun 2006. BROCARDO, Marcelo Luiz. I2AC: um Protocolo Criptogrfico para Anlise Segura de Crdito. 2001. 122 f. Dissertao de Mestrado em Cincia da Computao Universidade Federal de Santa Catarina, Florianpolis. BROWNE, Brian et al. Best Practices For VPN Implementation. [S.l.], 2001. Disponvel em: <http://www.bcr.com/bcrmag/2001/03/p24.asp>. Acesso em: 15 jun 2006. CCONE@NETWORK. Installing FreeS/WAN. [S.l.], 2001. Disponvel em: <http://info.ccone.at/INFO/freeswan/install.html>. Acesso em: 01 jun 2006. CYCLADES. Guia Internet de Conectividade. 6 Edio. So Paulo: SENAC, 2000. 167 p. DVILLA, Mrcio H. C. Segurana de Redes. Belo Horizonte, 2001. Aula 2. Disponvel em: <http://www.inet.com.br/~mhavila/aulas/seguranca/material.html>. Acesso em: 25 jun 2006. EMERSON/ALECRIN, . Publicado em 30/06/2003 . Disponvel em: <http://www.infowester.com/internetprotocol.php>. Acesso em: 14 jun 2006. FREES/WAN, Version 1.99. FreeS/WAN. [S.l.], 2002. Disponvel em: <www.freeswan.org/download.html>. Acesso em: 14 jun 2006 ______. FreeS/WAN 1.99 Documentation. [S.l.], 2002. Disponvel em: <http://www.freeswan.org/freeswan_trees/freeswan-1.99/doc/index.html>. Acesso: 06 set 2006. GODIM, Marcelo. VPN quase fcil. [S.l.], [ca. 2001]. Disponvel em: <http://www.underlinux.com.br/modules.php?name=Sections&op=viewarticle&artid=6 3>. Acesso em: 15 set 2006.

36 KOLENISKOV, Oleg; HATCH, Brian. Building Linux Virtual Private Networks (VPNs). 1 Edio. EUA: New Riders, 2002. 385 p. 59 MODULAR Algo Support, Version 0.8.0 . Desenvolvido por Juan Jose Ciarlante. [S.l.], 2002. Disponvel em: <http://www.irrigacion.gov.ar/juanjo/ipsec>. Acesso em: 20 set 2006. MONTEIRO, Edmundo. Segurana em Redes. Coimbra, Portugal, 1999. Captulo 1. Disponvel em: <http://eden.dei.uc.pt/~sr/Teoricas/>. Acesso em: 10 set 2006. NAPIER, Duncan. Introducing FreeS/WAN and IPsec. [S.l.], 2000. Disponvel em: <http://www.samag.com/documents/s=1159/sam0011i/0011i.htm>. Acesso em: 15 out 2006. ______. Administering Linux IPSec Virtual Private Networks. [S.l.], 2002. Disponvel em: <http://www.samag.com/documents/s=4072/sam0203c/sam0203c.htm>. Acesso em: 15 out 2006. ______. Setting up a VPN Gateway. [S.l.], 2002. Disponvel em: <http://www.linuxjournal.com/article.php?sid=4772>. Acesso em: 15 out 2006. NAT Traversal, Version 0.4. Desenvolvido por Mathieu Lafon. [S.l.], 2002. Disponvel em: <http://open-source.arkoon.net/>. Acesso em: 20 out 2006. SCHNEIER, Bruce. Applied Cryptography. 2 Edio. EUA: JohnWiley & Sons, 1996. 758 p. SCRIMGER, Rob et al. TCP/IP: A Bblia. 1 Edio. Rio de Janeiro: Campus, 2002. 642 p. SSH COMMUNICATIONS SECURITY CORP. VPN Connection to FreeS/WAN IPSec Gateway. Helsinki, Finlndia, 2002. Disponvel em: <http://www.ssh.com/documents/31/ssh_sentinel_14_freeswan.pdf>. Acesso em: 15 set 2006. SUPER FreeS/WAN, Version 1.99_kb2. Desenvolvido por Ken Bantoft. [S.l.], 2002. Disponvel em: <http://www.freeswan.ca>. Acesso em: 25 out 2006. TORRES, Gabriel. Redes de Computadores: Curso Completo. 1 Edio. Rio de Janeiro: Axcel Books, 2001. 664 p. X.509 Certificate Support, Version 0.9.15. Desenvolvido por Andreas Steffen. [S.l.], 2002. Disponvel em: <http://www.strongsec.com/freeswan/>. Acesso em: 20 out 2006..