DEPARTAMENTO DE INFORMTICA
CURSO DE CINCIAS DA COMPUTAO COM NFASE EM
ANLISE DE SISTEMAS
Salvador / Bahia
2000
Salvador / Bahia
Universidade Salvador
2000
SUMRIO
1. INTRODUO
2. SEGURANA DE REDES
3. VPN
14
3.1. ARQUITETURAS
3.1.1. VPN BASEADA EM FIREWALL
3.1.2. VPN BASEADA EM DISPOSIIVO BLACK-BOX
3.1.3. VPN BASEADA EM ROTEADORES
3.1.4. VPN BASEADA EM ACESSO REMOTO
3.2. TOPOLOGIAS
3.2.1. TOPOLOGIA DE VPN UTILIZANDO ACESSO REMOTO
3.2.2. TOPOLOGIA DE VPN LAN-TO-LAN
3.2.3. TOPOLOGIA DE VPN UTILIZANDO NAT
5. DESCRIO DA IMPLEMENTAO
5.1. ABORDAGEM INICIAL
5.2. ESTUDO DE CASO UNIFACS
5.2.1. PRDIOS DAS UNIFACS
5.2.2. ESTRUTURA DA REDE UNIFACS
5.2.3. ESTRUTURA DA REDE DOS PRDIOS DA UNIFACS
5.3. MODELO PROPOSTO
5.4. AMBIENTE DE TESTES
19
19
20
21
21
22
22
24
25
27
27
28
33
33
34
35
38
41
42
42
43
44
44
47
50
53
6.CONCLUSO
56
APNDICE A
58
APNDICE B
59
BIBLIOGRAFIA
60
GLOSSRIO
63
1. INTRODUO
Uma soluo para garantir a segurana na transmisso dos dados em redes pblicas
como a Internet, aliando o uso de criptografia, exatamente a VPN Virtual Private
Network, ou Redes Privadas Virtuais.
Uma VPN uma conexo de rede segura entre dois ou mais indivduos, redes
privadas (conexes cliente-servidor) ou Intranets, utilizando uma infra-estrutura de rede
interna no caso de se optar por implementar uma VPN dentro da organizao ou ento
utilizar uma infra-estrutura de rede j existente como a Internet para a comunicao externa
ou remota.
Uma VPN pode ser aplicada em toda e qualquer organizao que pretenda realizar
transaes ou transferncia de dados de uma maneira segura. A VPN busca garantir toda a
integridade e segurana dos dados, pois ela utiliza uma forte criptografia para garantir o
sigilo das informaes trafegadas, alm de realizar a autenticao dos usurios desta rede
privada e executar outras funes inerentes ao seu conceito.
Nesta monografia, no prximo captulo sero abordados os aspectos bsicos de
segurana de redes, apontando suas caractersticas, formas de identificar ataques, poltica
de segurana e exemplos de alguns ataques.
Em seguida, no capitulo 3 ser visto uma possvel soluo para o problema de
segurana de redes, abordando o conceito de VPN, as reas onde o conceito de VPN pode
ser aplicado, seus principais componentes, assim como suas vantagens e desvantagens e as
questes relacionadas ao uso de criptografia para garantir a segurana das informaes.
Aps a abordagem do conceito de VPN, no capitulo 3 sero revistas as arquiteturas
VPNs tpicas como VPNs baseadas em firewalls, em dispositivos black-box, em roteadores,
e VPN utilizada para o acesso remoto. Sero abordadas tambm as Topologias de VPN
existentes hoje, ou seja, algumas das formas de se implementar uma VPN atendendo s
especificaes da organizao ou tambm a estrutura da rede j existente.
No capitulo 4 ser abordada a anlise de alguns protocolos que contribuem para a
implementao de uma VPN. Foram analisados neste trabalho trs protocolos: PPTP
(Point-to-Point Tunneling Protocol), L2F (Layer 2 Forwarding Protocol), L2TP (Layer2
2. SEGURANA EM REDES
Outro fator importante que no deve deixar de ser considerado quando vamos
implementar uma poltica de segurana definir qual a taxa de risco para sua organizao.
Uma abordagem rpida e eficiente poder ser usada atendendo a questes, como:
Definir o que se est tentando proteger. Nesta situao encontram-se os dados, recursos
(discos e Central Processor Unit - CPU) e a prpria reputao da organizao.
E definir do que se quer proteger. Nesta situao encontram-se os intrusos, diversas
formas de ataque e roubo de informaes.
Outro ponto importante saber quanto tempo e dinheiro sua organizao est disposta a
investir para obter a proteo adequada. Neste caso a organizao deve definir atravs de
suas condies financeiras e no seu contexto de segurana o que realmente mais
importante proteger e quanto dinheiro ela tem para investir.
Existem muitos diferentes tipos de ataques, alguns ataques operam sobre o hardware
outros sobre o software. Dentre estes ataques os mais comuns so [BRO99]:
Ataque Trojan: este ataque baseia-se em usar um programa oculto no autorizado para
se passar por um programa autorizado, usando funes desconhecidas pelo usurio; estes
programas so geralmente escritos para obterem informaes vitais sobre o sistema ou
sobre um determinado usurio, como a sua senha de acesso, para, com isso, conseguirem
uma porta de entrada do sistema.
Ataque atravs da fora bruta: este ataque baseia-se no uso de recursos
computacionais de alto desempenho empenhado numa tarefa geralmente de quebra de
cdigo de senhas.
Ataque Denial of Service (DOS): este ataque caracteriza-se pela negao de servios,
com ele os computadores utilizados para o ataque iniciam diversas requisies com a
finalidade de comprometer o desempenho da mquina da vtima, e at muitas vezes torn-la
no operacional.
Ataque Ping da morte: este ataque caracteriza-se pelo envio de mensagens com
requisio de retorno por parte do atacante para a mquina da vtima, quando esta mquina
10
tenta responder as requisies e verifica que o tamanho do pacote superior a 65.536 bytes,
causando com isso uma sobrecarga no servidor que para de responder, este um ataque
obsoleto, j que, todos os sistemas foram corrigidos e esto protegidos contra ele, mas
causou alto impacto nos sistemas poca em que surgiu e serve para ilustrar a variedade de
ataques a que est sujeito um sistema ligado em rede.
Estes ataques servem como ilustrao da variedade de invases que um sistema
ligado em rede pode sofrer. Portanto fundamental um estudo minucioso de forma a definir
qual a melhor forma de proteger as informaes.
de fundamental importncia saber organizar e criar uma poltica de segurana
adequada s necessidades da organizao. necessrio criar regras de segurana,
envolvendo todos os usurios da rede nesse processo para que tomem conhecimento do
caminho que tero que seguir. Essas regras tm que ser bem claras para serem entendidas
por todos os usurios.
A soluo proposta para resolver os problemas acima e demais problemas
relacionados a segurana deve permitir tambm, que usurios possam acessar seus
documentos e informaes remotamente, permitir que pessoas em diferentes organizaes
utilizando a infra-estrutura de uma rede pblica como a Internet possam trocar informaes
de uma forma segura, e principalmente permitir que somente usurios autorizados tenham
acesso aos servios disponveis, sem que ocorram modificaes na estrutura de protocolos
utilizados na organizao e mantendo um desempenho satisfatrio.
Uma forma de segurana muito abordada ultimamente a cifragem dos dados, ou
seja, a criptografia das informaes que iro trafegar na rede. a forma de embaralhamento
das informaes de tal maneira que s receptor autorizado poder desembaralha-las para
obter as informaes na ordem correta para serem lidas.
O conhecimento dessa metodologia antigo. Com o advento dos computadores ela
se tornou uma parte indispensvel da segurana moderna, sendo muito bem empregada para
proteo dos dados de pessoas no autorizadas. Est sendo bastante utilizada em alarmes,
11
12
princpios
como
privacidade,
integridade
dos
dados,
autenticidade
Agncia
Ethernet
Linux VPN
Corporao
INTERNET
Ethernet
Vendas
Marketing
Linux VPN
Ethernet
Usurio
ISPs
ISPs
13
Na Figura 1 vemos a rede de uma corporao conectada para uma rede publica para
transporte de informaes corporativas, usando a tecnologia de VPN. No exemplo, a
Internet usada como meio de transporte; a Internet, neste caso, poderia ser substituda por
uma rede ATM (Asynchronous Transfer Mode) ou Frame Relay, ou qualquer outra rede que
envolva o trfego de informaes da corporao atravs dos sistemas de terceiros.
Hoje, as tecnologias de VPN vm sendo empregadas em Intranets1, servios de
acesso remoto, Extranets2 e internamente nas organizaes. Analisaremos a seguir o uso
das tecnologias em cada um dos contextos apresentados. Para um maior entendimento,
estes contextos sero explicadas no captulo 5 de acordo com o estudo de caso de uma
Universidade onde existe a necessidade de uma comunicao segura entre seus prdios de
aulas, setores internos, colaboradores e pesquisadores.
Em todas estas abordagens necessrio o suporte ao conceito de VPN nas duas
pontas que estabelecem comunicao:
Intranet: a VPN em uma Intranet pode ser criada entre a sede da organizao e um
escritrio remoto; deste modo ela s usada dentro da rede da organizao e
acessada apenas por empregados autenticados. A Intranet utilizando VPN poderia
ser utilizada por uma universidade para o compartilhamento ou troca de
Intranet uma rede interna baseada no protocolo IP (Internet Protocol) que se caracteriza pelo uso das tecnologias
World Wide Web no ambiente privativo da organizao; caso se queira acesso da Intranet aos Sistemas Corporativos da
Organizao, tornando-se disponveis para os usurios atravs de uma rede interna ou acesso discado privativo,
fornecendo assim uma variedade de informaes por meio de um nico front-end, o paginador (browser) Web. Alm de
incorporar toda a tecnologia Internet, as Intranets podem utilizar a estrutura de comunicao de dados da prpria rede
pblica para se comunicar com filiais ou com qualquer empresa conectada grande rede [TAN97];
O conceito de Extranet tem sido adotado para denominar um ou mais conjuntos de Intranets interligadas atravs da
Internet, desde que por uma maneira segura. E uma rede de negcios que une empresas parceiras por meio de suas
Intranets utilizando os padres abertos da Internet. A vantagem da unificao dos padres de tecnologia utilizados na
interconexo atravs de uma Extranet que os parceiros no precisam ter o mesmo tipo de computador (hardware),
sistema operacional, gerenciadores de bancos de dados (software) ou browser para navegao [TAN97].
14
PRDIO
AULAS
BIBLIOTECA
INTERNET
ESCRITRIO DE
VENDAS REMOTO
ESCRITRIO DE
VENDAS REMOTO
Acesso Remoto: uma VPN por acesso remoto pode ser criada entre a sede da
organizao e os usurios remotos. Com um software de criptografia instalado em
um computador, um usurio estabelecer um tnel criptografado com um
dispositivo VPN na sede da organizao. A VPN por acesso remoto pode ser usada
para professores (pesquisadores) se conectarem remotamente com a Universidade
objetivando a troca de informaes e consultas a dados que esto na rede interna da
instituio.
USURIO REMOTO
ISP
UNIVERSIDADE
INTERNET
USURIO REMOTO
PREDIO DE AULAS
15
Extranet: Uma VPN em uma Extranet pode ser criada entre uma organizao e seus
clientes ou provedores. Na Figura 4, a Extranet permitir o acesso VPN usando o
protocolo HTTP (HyperText Transfer Protocol), ou utilizando algum outro servio e
protocolo ajustado pelos usurios envolvidos, este processo muito utilizado nas
aplicaes de comrcio eletrnico.
A Extranet utilizando VPN pode ser usada para a comunicao entre Universidades
separadas geograficamente para a formao de cursos de ensino a distncia ou para
possveis projetos desenvolvidos em sistema de parceria.
UNIFACS
UFRJ
INTERNET
UFBA
USP
Figura 4 VPN em Extranet [BRO99].
VPN usadas internamente nas organizaes: Uma VPN interna pode e deve ser
usada para se dar maior segurana interna para a organizao, na comunicao das
estaes com os servidores internos, dando assim uma maior segurana e prevenindo
de possveis ataques de empregados. Toda comunicao interna que venha a ser
considerada crtica pode trafegar por um tnel criado pela VPN, transmitindo assim os
dados criptografados. A VPN pode ainda ser utilizada internamente na Universidade
para oferecer uma maior segurana na comunicao entre os setores administrativos l
existentes (como coordenaes, secretarias, etc.). A Figura 5 exemplifica este
processo.
16
Servidor
Desktop Laptop
Nuvem Interna
de VPN
Ethernet
Servidor
Ethernet
Laptop
||||
Laptop
Servidor
Uma VPN consiste basicamente de hardware e software, mas ela tambm requer um
conjunto de componentes bsicos. Estes componentes so simplesmente exigncias que
garantem a segurana, disponibilidade e facilidade de manuteno de uma VPN.
Analisaremos agora quais so os principais componentes extras de uma VPN:
Compatibilidade: ao usar a tecnologia de VPN e a Internet como meio de transporte a
arquitetura do protocolo de rede interna da organizao deve ser compatvel ao
protocolo de rede IP; outras redes que utilizam outros protocolos devero ter um
gateway para fazer a converso para o protocolo IP;
Segurana: segurana tudo quando se fala em VPN, mas uma VPN no uma rede
privada de uma organizao, outras pessoas podem interceptar, coletar e analisar os
dados; com isso, o contexto de segurana se torna mais amplo, englobando desde o
processo de criptografia implementado e do servio de autenticao utilizado at o
software que implementa os algoritmos de criptografia nos dispositivos VPN;
Autenticao de dados e usurios: a autenticao de dados reafirma que a mensagem
que foi enviada no foi alterada nem em sua totalidade ou em parte dela, a autenticao
do usurio o processo de permitir o acesso sua rede interna. importante que em
qualquer tecnologia de VPN sejam oferecidos ambos os tipos de autenticao;
17
Escritrio
Remoto
Rede Interna
E
t
h
e
r
n
e
t
INTERNET
Usurio
Remoto
Usurio
Remoto
18
Escritrio
Remoto
Rede Interna
E
t
h
e
r
n
e
t
Link Secundrio
INTERNET
Usurio
Remoto
Usurio
Remoto
Outra questo com relao aos custos diz respeito s licenas. Algumas
implementaes de VPN utilizam-se de firewalls e sistemas operacionais que no so
isentos de custos.
A grande desvantagem de utilizao da VPN est relacionada com relao
exportao da criptografia. Para alguns pases como Ir, Iraque, Cuba, Coria do Norte,
Lbia, Sria, Sudo a criptografia no liberada [MOD00]. Devido a este fato, a soluo
VPN consiste na criao do tnel baseado no endereo de destino.
19
3.1. ARQUITETURA
Ethernet
INTERNET
UNIX
NT
LINUX
Firewall / VPN
Figura 8 - VPN baseada em firewall. [BRO99].
INTERNET
20
INTERNET
21
Servidor de
autenticao
de usurio
E
t
h
e
r
n
e
t
Software de
Tunelamento
Servidor de
autenticao
de usurio
INTERNET
Dispositivo de Firewall
da Rede / Servidor de
Autenticao
Software de
Tunelamento
22
23
Software
de
VPN
Servidor de Dados
INTERNET
DdGfhhCfxcklPPi95998
SMTP
PPP
O cliente disca para estabelecer uma conexo, ento faz uma requisio de chave
para o firewall. Este, por sua vez reconhece o endereo IP de destino e responde com a
chave apropriada. O cliente criptografa o pacote e o envia para o endereo IP pblico do
firewall; o pacote enviado ser descriptografado e enviado para o servidor interno da
organizao. O servidor interno envia o documento requisitado para o firewall que examina
o trfego e reconhece que o pacote faz parte do tnel da VPN, criptografa e envia de volta
para o cliente, este, portanto, examina o fluxo dos dados, reconhece a combinao que veio
do firewall e descriptografa o pacote e o transmite para a camada mais alta de aplicao.
O diagrama da Figura 12 ilustra esta seqncia.
Software
VPN
2 - Chave Apropriada
5 - Envio dos dados requisitados
3 - Requisio Criptografada
6 - Devoluo da Requisio criptografada
Servidor
Interno
Firewall
Acesso
Remoto
24
Servidor de ftp A
UNIX
WINDOWS NT
Software
de
VPN
Software
de
VPN
INTERNET
DdGfhhCfxcklPPi959
Servidor
Servidor de ftp B
Servidor
25
Software
VPN
Software
VPN
3 Requisio
Descriptografada
4 Resposta Atendida
6 Dados Descriptografados
5 Dados Criptografados
Firewall
LAN
NT
1 - Envio da Requisio
2 Requisio Criptografada
Firewall
LAN
UNIX
Roteador
Externo
Roteador
Interno
INTERNET
Dispositivo VPN
Estao de
Gerencia
Trfego de Sada da VPN
26
Quando um pacote precisa sair da rede interna ele enviado para o roteador interno
que transmite para o firewall implementado com NAT. Este por sua vez, troca o endereo
IP e envia para um dispositivo VPN que criptografa o pacote. Depois o pacote enviado
para o roteador externo que o transmitir para o seu destino.
Quando um pacote quer entrar na rede interna ele primeiro vai para o dispositivo
VPN que verifica sua autenticidade. Aps isso, o pacote roteado para o firewall que troca
o nmero IP para o nmero original e envia para o roteador interno despach-lo para o seu
destino.
Aps a fase de definio da arquitetura e topologia de VPN que mais se encaixa no
perfil da organizao, a etapa seguinte descobrir como por em pratica os conceitos
abordados e definir um modelo de implementao da VPN.
O capitulo seguinte aborda a analise de quatro ferramentas utilizadas para se
implementar a VPN usando o sistema operacional Linux definindo suas caractersticas,
vantagens e desvantagens.
27
4.1. Tunelamento
Pacote
Pacote
Pacote
Tnel
28
4.2. Protocolos
SLIP aceita apenas o IP, causando problemas para grandes empresas como
Novell que utilizam outros protocolos;
29
do SLIP e de forma a ser um padro oficial da Internet esse protocolo chamou-se o PPP
[RFC1548].
O PPP trata a deteco de erros, aceita diversos protocolos, permite alocao
dinmica de endereos IP e permite autenticao. O PPP ainda dispe dos seguintes
recursos:
Flag
Endereo
01111110 11111111
Controle
00000011
Flag
01111110
O campo flag utilizado para delimitar o quadro, representado pelo byte de flag
padro do protocolo HDLC (High-level Data Link Control).
Em seguida, vem o campo endereo que sempre definido para o valor 11111111
indicando que todas as mquinas devem receber o quadro.
O campo controle define a utilizao da transmisso confivel atravs de quadros
com nmeros de seqncia e confirmao.
30
O campo protocolo informa o tipo de pacote que esta no campo carga til. Os
protocolos que comeam com o bit 0 representam os de camada de rede (IP, IPX), j os que
comeam com o bit 1 representam protocolos de negociao (NCP e LCP).
O campo carga til contm o pacote encapsulado.
O campo CheckSum realiza a deteco de erros.
O PPTP foi projetado para permitir que usurios remotos discassem para os ISPs
de modo que fossem criados tneis virtuais para suas empresas.
O PPTP usa a infra-estrutura dos protocolos (PPP) existentes para permitir uma
conexo dial-up; o PPTP obtm os pacotes PPP e o encapsula num cabealho tipo Generic
Routing Encapsulation (GRE). Por questes de segurana do PPP, o PPTP utiliza
algoritmos de criptografia como PAP (Password Authentication Protocol) e CHAP
(Challenge Handshake Authentication Protocol) para realizar a encriptao, sendo possvel
tambm, o uso do protocolo desenvolvido pela Microsoft o MPPE (Microsoft Point to
Point Encryption).
O protocolo PPTP possui duas configuraes: modo compulsrio e modo
voluntrio.
31
No modo compulsrio a seo PPTP usa o servio de um ISP com um PPTP frond
end-processor (FEP). Deste modo o cliente no funciona como ponto inicial ou final do
tnel mais sim como um cliente, pois todo o processo de tunelamento realizado entre o
ISP e o FEP. Atravs deste modelo nenhum software preciso no cliente j que ele atua
indiretamente no processo. Caso ocorra qualquer problema com o ISP impossibilitar o
cliente de usar a VPN.
O modo voluntrio utilizado para os clientes estabelecem a conexo PPTP direta
para o servidor PPTP para criao do tnel, sem a utilizao de um FEP como no
compulsrio. As conexes so feitas para o PPTP Server pelo cliente via acesso discado ou
atravs de uma rede local a qual j estejam conectados. Depois de estabelecida a conexo o
cliente utiliza um software de tunelamento para realizar o processo de transferncia de
dados segura.
Com o crescimento dos servios dial-up e a disponibilidade de muitos protocolos
diferentes era preciso criar um cenrio virtual de modo a permitir que protocolos no IP
pudessem usufruir dos benefcios da Internet, pensando nisto a Cisco System em 1996
desenvolveu o L2F para ser usado em conjunto com o PPTP.
A Cisco definiu o conceito de tunelamento, significando encapsulamento de pacotes
no IP. O modelo para permitir a comunicao segura foi descrito assim: o usurio faz uma
conexo PPP, SLIP para o ISP. O NAS (Network Access Server) recebe o pedido do
usurio, ento usando o software L2F inicia o tnel para o destino. O destino solicita do
usurio uma senha, e autoriza ou no o acesso. Em seguida autentica o usurio e endereo
IP como um simples dispositivo de acesso remoto. O ponto final, rodando o L2F, retira o
cabealho de tunelamento, log do trfico e ento libera a comunicao.
O L2F oferece os seguintes benefcios:
Gerenciamento de endereos;
32
Quando um cliente faz uma conexo PPP para um ISP, a funo LAC
inicializa o tnel, em seguida o LAC adiciona os vrios cabealhos para o
payload PPP. Depois de adicionado os cabealhos o LAC estabelece o tnel
para o dispositivo LNS de destino, este dispositivo pode ser um roteador,
servidor ou um dispositivo de acesso.
33
4.3. Ferramentas
Aliados aos protocolos vistos na seo anterior, existem ferramentas que podem ser
adotadas no processo de implementao de uma VPN. Abaixo sero avaliadas algumas
destas ferramentas: Vtun, Stunnel, FreeS/WAN e CIPE.
4.3.1. Vtun
A ferramenta Vtun [VTU00] utilizada para criar tneis virtuais sobre redes TCP/IP
suportando uma variedade de tipos de tunelamento e providenciando: encriptao,
compresso e controle de trfego.
Vtun suporta tneis IP, tneis ponto a ponto, tneis Ethernet suportando todos
protocolos que trabalham sobre a ethernet: IP, IPX, Appletalk, tneis serial suportando
protocolos que utilizam linhas serias como: PPP, SLIP e tneis pipes suportando todos os
tneis que trabalham sobre pipes UNIX.
Vtun possibilita o uso dos protocolos TCP permitindo, com isso, estabelecer tneis
sobre firewalls e o protocolo UDP (User Datagram Protocol) permitindo trabalhar com um
pequeno overhead de tunelamento.
A ferramenta permite compresso usando zlib (suportado apenas sobre TCP) e lzo
suportado por UDP e TCP.
A forma de encriptao usa: autenticao baseada em desafio permitindo que
passwords no passem em claro e uso de chaves BlowFish de 128 bits com rpida
encriptao e chaves hash com 128 bits MD5.
A ferramenta pode ser utilizada em ambientes Linux (Red Hat, Debian, Corel),
FreeBSD e Solaris.
34
4.3.2. Stunnel
Stunnel [STU00] uma ferramenta de livre distribuio utilizada para trabalhar com
criptografia encapsulada usando SSL (Secure Sockets Layer) [SSL00] entre o cliente remoto
e local ou entre um servidor remoto.
O objetivo adicionar funcionalidade SSL para protocolos comumentes usados
como POP-2 (Post Office Protocol), POP-3 e IMAP (Interactive Mail Access Protocol)
sem fazer mudanas dentro do cdigo do programa.
A ferramenta permite ainda encriptar conexes TCP arbitrrias dentro do SSL.
Stunnel negocia a conexo SSL usando a biblioteca OpenSSL [OPE00]ou SSLeay
chamando implicitamente bibliotecas de criptografia. Deste modo, Stunnel suporta qualquer
algoritmo
Roteamento de origem IP, onde o host pode preterir que um pacote IP venha
de outro host confivel.
35
4.3.3. FreeS/WAN
FreeS/WAN [FRE00] deriva seu nome de S/WAN que uma marca registrada de
RSA Data Security Inc, o FreeS/WAN uma ferramenta de livre distribuio que
implementa no IPv4 toda a segurana e criptografia de dados planejada para o protocolo de
rede IPv6 [RFC2460].
A ferramenta prov privacidade para pacotes de Internet que usam o protocolo
IPSec, negociando chaves fortes que usam a chave do convnio Diffie-Hellman com chaves
de 1024 bits, e codifica cada pacote com 168-bits Triplo-DES (3DES).
A ferramenta composta pelos seguintes componentes:
36
Programa Pluto
Pluto um programa que implementa o protocolo IKE (Internet Key
Gerenciamento de chaves
O IPSec permite fazer o gerenciamento de chaves de vrias formas, mas nem
37
As
chaves
manuais
podem
ser
mudadas
manualmente
Mtodos no implementados:
38
Photuris
Photuris outro protocolo de administrao de chaves, uma alternativa para
IKE e ISAKMP, descrito nas RFCs 2522 e 2523 que esto rotuladas como
"experimentais ".
4.3.4. CIPE
CIPE uma ferramenta para um dispositivo de tnel de IP codificado. Ela pode ser
usada para construir rotas codificadas para VPN e aplicaes similares. A ferramenta foi
projetada para transmitir pacotes codificados entre caminhos j definidos na forma de
pacotes de UDP [CIP00].
A compatibilidade com protocolos existentes como o IPSEC no foi uma
preocupao. A primeira implementao de teste foi concluda completamente em nvel de
usurio, enquanto a mais nova publicada consiste de um mdulo de kernel e um programa
em nvel de usurio.
O modelo de CIPE assume uma ligao fixa entre dois pares que trocam
datagramas.
O modo mais comum de implementar enviar mensagens de UDP entre eles (um
outro possvel seria encapsulamento em PPP).
Nada que pode ser parametrizado est dentro do alcance deste protocolo nem da sua
implementao. Isto ou delegado a uma aplicao j definida ou a uma aplicao a ser
definida por um protocolo nivelado. Notavelmente, isto envolve uma troca de uma chave
secreta compartilhada, e envolve a escolha de um algoritmo de criptografia.
O protocolo de CIPE consiste em duas partes: criptografia e verificao de erros dos
pacotes de dados e troca de chave dinmica.
39
40
da distribuio Linux. Para o Linux 2.2, isto foi inclusa no mdulo de IP-IP, mas a
funcionalidade a mesma.
No Linux 2.0 seu atual emissor de pacote terminado pelo kernel IP que remete a
mquina. Isto insinua que encaminhamentos devem ser habilitados no kernel e nos pacotes
codificados, sendo pacotes de UDP com os endereos de origem/destino dados como " eu "
e " meu par ".
O driver de input uma adaptao do receptor de kernel do UDP. Para ativar isso, o
CIPE tem que fixar uma conexo em um modo especial com uma chamada de ioctl. Isto
tem que ser um socket de UDP conectado. A chamada ioctl_attach(2cipe) substitui o socket
sendto e as operaes recvfrom com verses especiais que fazem a criptografia do trfico
interno e s passam os blocos de troca fundamentais camada de usurio. O trabalho
inteiro de decifrar e reencaminhar o trfico entrante concludo dentro de um bloqueio
recvfrom. Isto significa que aquele encaminhamento normal de IP distinto chamado no
modo de usurio e o tempo de CPU necessrio carregado ao processo de CIPE, embora o
dados nunca passem em modo de usurio. sendto codifica o bloco como um bloco de troca
fundamental e envia ao seu par. O socket no deveria usar read, write, select ou modo de
nonblocking.
Antes de anexar o socket, os parmetros operacionais do dispositivo tm que ser
fixados usando uma chamada ioctl_setpar(2cipe). O processo de troca de chaves prov
chaves ao kernel por ioctl_setkey(2cipe).
O netdevice s pode ser aberto (configurado "UP") se tem um socket controlando.
Quando o socket controlador estiver fechado, o netdevice fechado. Reciprocamente,
fechando o netdevice fecha o socket tambm. Fechando, apaga toda a informao que
fixada atravs do CIPE no dispositivo [CIP00].
41
42
5. DESCRIO DA IMPLEMENTAO
Neste captulo sero abordados pontos importantes que devem ser considerados na hora
de implementar uma VPN. Tambm ser apresentada a estrutura de implementao de uma
VPN desde a escolha dos componentes at suas aplicaes na prtica, utilizando para isto
um estudo de caso desenvolvido na Universidade Salvador - UNIFACS.
Dever ser feita uma anlise rigorosa e minuciosa da topologia e da arquitetura a ser
empregada no projeto, pois isto influencia na escolha do tipo de VPN a ser utilizada.
Tambm deve-se ressaltar o estudo dos protocolos e das ferramentas que sero
envolvidas no processo da criao da VPN.
Existem alguns fatores que devem ser levados em considerao antes de
implementar uma VPN, como por exemplo:
Quem estar habilitado acessar a rede interna, podendo ser outra rede ou
usurios remotos;
Aps serem levantados esses pontos e feita toda a anlise necessria hora de ir
para a parte prtica e implementar a VPN.
43
um nvel elevado de
segurana, pois passam por equipamentos de terceiros. Como plano de contingncia existe
um link redundante que funciona como backup no caso de haver algum problema com as
LPCDs. Esse link feito atravs da Internet, um meio totalmente inseguro e no confivel.
Nesse ponto que se encaixa a implementao da VPN que atravs de suas caractersticas
proporcionar o transporte das informaes tanto pelas LPCDs quanto pelos links de
backup Internet da maneira mais segura. Para isto as informaes passaro por alguns
44
processos, como por exemplo, criptografia, autenticao, entre outros, ficando assim menos
visveis e decifrveis se ocorrer algum ataque externo.
A implementao da VPN tornar a comunicao entre os prdios mais confivel,
transportando todas as informaes de uma maneira segura mantendo a confidencialidade e
a integridade dos dados que trafegaro, agora, por um caminho mais seguro.
45
REDE
ACADMICA
REDE
ADMINISTRATIVA
Modelo UNIFACS
Figura 19 Rede UNIFACS separada
Modelo Atual
TERCEIROS
Roteador
LPCD
ADM
REDE
ACADMICA
INTERNET
Modelo UNIFACS
Para garantir que sempre haver uma comunicao existente entre os prdios foi
adotado um plano de contingncia. Este plano se refere a um eventual problema na rea das
LPCDs, ou seja, se uma linha privada falhar por algum motivo existir um link de backup
ou melhor dizendo um link redundante que entrar em funcionamento assim que seja
informado que houve problema na linha privada. Esse link provido por um ISP ( prove
dor de acesso Internet) . O problema que os dados trafegaro por um caminho no
46
confivel e totalmente inseguro: pela Internet. O ponto onde se quer chegar nessa
implementao exatamente prover segurana no s nesse link Internet que o mais
inseguro mais tambm prover segurana na comunicao estabelecida pelas linhas
privadas. Resumindo, a implementao da VPN ser executada em toda a forma de
comunicao da Rede Administrativa existente entre os prdios, seja via link Internet ou via
linha privada.
A estrutura da Rede dos Prdios da UNIFACS est explicada na Figura 20. Esta
rede possui um link com um provedor de acesso para o uso da Internet e uma Linha Privada
por onde trafegam os Dados Administrativos e por onde os prdios da UNIFACS esto
interligados.
A estrutura existente nos outros prdios est relacionada na figura 21.
REDE
ACADMICA
LPCD
ADM
PA8
INTERNET
Modelo
UNIFACS
47
LPCD ADM
REDE
ADMINISTRATIVA
PA6
LPCD ADM
REDE
ADMINISTRATIVA
PA5
REDE
ADMINISTRATIVA
PA8
LPCD ADM
LPCD ADM
REDE
ADMINISTRATIVA
PA2
LPCD ADM
REDE
ADMINISTRATIVA
PA4
48
Essa foi uma alternativa para prover um nvel de segurana maior para os outros
prdios, isso por causa da separao das Redes Acadmica e Administrativa, ou seja, se os
prdios (com exceo do Prdio de Aulas 8) se conectassem Internet no mesmo link da
Rede Acadmica poderia ocorrer algum problema com relao confidencialidade dos
dados enviados, por exemplo, por e-mail, FTP e etc, pois a Rede Administrativa estaria
mais vulnervel passando pela Rede Acadmica. Portanto a conexo Internet feita pelos
outros prdios passam pelas linhas privadas da Rede Administrativa e entram no link
Internet somente no Prdio de Aulas 8 que possui uma tecnologia central de segurana para
com o meio externo, ou seja que j restringe de uma certa forma o acesso Internet.
Na Figura 23, abaixo localizada, est exposto o modelo do Prdio de Aulas 8 que
o local por onde os computadores ligados Rede Administrativa dos outros prdios se
conectam Internet e trocam informaes administrativas.
REDE
ADMINISTRATIVA
PA8
Modelo Atual
Detalhado
PA8
PROXY
REDE
ACADMICA
PA8
FILTRO
HUB
ACADMICO
Roteador
LPCD
ADM
OUTROS
PRDIOS
INTERNET
Modelo UNIFACS
Figura 23 Modelo Atual Detalhado do Prdio de Aulas 8.
49
O modelo proposto no trata a Rede Acadmica pois, a princpio, segurana no um pr-requisito nessa
50
REDE
ACADMICA
Modelo Proposto
INTERNET
LINUX VPN a ser
Instalado
REDE
ADMINISTRATIVA
Roteador
LPCD
ADM
TERCEIROS
Modelo UNIFACS
Figura 24 Modelo Proposto.
Modelo Proposto
Detalhado
PA8
REDE
ADMINISTRATIVA
PA8
REDE
ACADMICA
PA8
FILTRO
PROXY
HUB
ACADMICO
Roteador
LINUX VPN a
ser instalado
LPCD
ADM
OUTROS
PRDIOS
INTERNET
Modelo UNIFACS
51
Para o PA8 haver a adio de uma mquina VPN antes do roteador para que todas
as informaes que iro trafegar na Rede Administrativa transitem de forma segura com
todas as funes de segurana que a VPN pode proporcionar. Nos outros prdios tambm
haver a adio de uma mquina VPN para que os dados passem seguros e tambm para
que possa ser feito o processo de descriptografar/criptografar e tambm a autenticao do
usurio.
As informaes de cunho administrativo vindas dos outros prdios trafegaro pela
LPCD e chegaro no roteador. Este encaminhar para a mquina Linux VPN que far o
reconhecimento e a descriptografia das informaes antes de entrar diretamente na Rede
Administrativa, tornando a acesso Rede Administrativa totalmente seguro, pois apenas
informaes autorizadas podero entrar garantindo tambm a integridade das informaes.
A figura 26 demonstra este modelo proposto para os outros prdios.
LINUX
VPN
REDE
ACADMICA
LPCD
ADM
INTERNET
PA8
Modelo UNIFACS
Figura 26 Modelo proposto para os outros Prdios.
52
Rede Administrativa do Prdio sero criptografados e passados atravs do tnel seguro que
a VPN implementar.
Portanto, todas as informaes que entrarem na Rede Administrativa oriundas de
qualquer meio, ou pela LPCD ou pela Internet, estaro protegidas. Sero mantidos a
confidencialidade e a integridade dos dados trafegados por esse tnel que a VPN ir formar
dando um nvel de segurana maior que o que havia, tornando todas as trocas de
informaes seguras, dificultando, com isso, possveis ataques e o conhecimento de dados
que necessitariam de um certo sigilo.
INTERNET
ISP
Servidor
de
Email
Usurio
remoto
Figura 27 Comunicao insegura do usurio remoto para recebimento de mensagens.
53
INTERNET
ISP
Servidor de E-mail
usando Stunnel
Usurio
remoto
Figura 28 Uso do Stunnel para comunicao segura com os protocolo POP ou IMAP.
54
Como tentativa de monitorar possveis ataques alguns ISP, apenas permitem que
usurios conectados por este provedor possam baixar suas mensagens, ou seja, caso o
usurio esteja usando um outro provedor e tentar usar o programa de correio eletrnico para
baixar suas mensagens a operao no ser permitida.
Inicialmente como forma de teste da ferramenta foi realizado uma tentativa de
recebimento das mensagens atravs de um ISP, no sendo o mesmo onde o usurio estava
conectado. Como esperado, a tentativa falhou visto que o servidor no permitia o acesso
atravs de outro ISP.
Instalando-se o Stunnel no servidor e configurando o programa de correio eletrnico
para utilizar SSL foi possvel o recebimento das mensagens utilizando os protocolos IMAP
e POP, mesmo tendo realizado o acesso por outro ISP para conexo. No apndice A
encontram-se informaes pertinentes a instalao e configurao da ferramenta Stunnel.
O teste efetuado para ferramenta CIPE foi realizado numa rede local, tentando ao
mximo estabelecer uma correspondncia com o modelo proposto para rede UNIFACS. A
figura abaixo ilustra o ambiente utilizado para o teste da ferramenta.
CLIENTE
LINUX CIPE
SERVIDOR CIPE
Neste modelo a maquina Linux CIPE, possui a ferramenta instalada juntamente com
o Servidor CIPE. Como forma de manter a estrutura utilizada no modelo UNIFACS, a
maquina Linux CIPE funciona tambm como roteador, fazendo a ligao entre a rede do
cliente e a rede do servidor.
55
56
6. CONCLUSO
57
58
APNDICE A
Segue abaixo os passos para instalao e configurao da ferramenta Stunnel verso
3.8p4 no Conectiva Linux. Para instalao da ferramenta necessrio que biblioteca
OpenSSL esteja previamente instalada. Satisfeito este pr-requisito execute os seguintes
comandos como root:
# cp stunnelx.x.tar.gz /usr/local
# tar xzvf stunnelx.x.tar.gz
# cd /usr/local/stunnelx.x
# ./configure
# make
# make install
Para executar a ferramenta oferecendo suporte aos protocolos IMAP e POP execute
os seguintes comandos como root:
# stunnel d 933 l /usr/sbin/imapd imapd
# stunnel d l /usr/sbin/popd pop3
59
APNDICE B
60
REFERNCIAS BIBLIOGRAFICAS
6. Criptografia de 128 bits autorizada. [on line] Disponvel na INTERNET via URL:
http://www.modulo.com.br/. Arquivo capturado em 05/07/2000. [MOD00].
7. FreeS/WAN Project Home Page. [on line] Disponvel na INTERNET via URL:
http://www.freeswan.org. Arquivo capturado em 01/10/2000. [FRE00]
61
11. KAEO, Merike. Designing Network Security, Cisco Press, 1999. [KAE99]
12. Linux VPN Masquerade How To. [on line] Disponvel na INTERNET via URL:
http://www.linuxdoc.org/HOWTO/VPNMasquerade-HOWTO.html. Arquivo
capturado em 03/04/2000. [MAS00]
13. OpenSSL:The Open Source tookit for SSL/TSL. [on line] Disponvel na
INTERNET via URL: http://www.openssl.org Arquivo Capturado em 29/10/2000.
[OPE00]
14. Redes Privadas Virtuais, Tutorial. [on line] Disponvel na INTERNET via URL:
http://www.cernet.com.br/Livingston/napl/VPN.htm Arquivo Capturado em
07/04/2000. [VPN100]
15. REIS, Rafael Mateus e JNIOR, William F. S. Motta. Redes Privadas Virtuais,
Orientador: Ornellas, Euclrio Barbosa. Salvador/BA - 1997. [REI97].
17. Stunnel Universal SSL Wrapper. [on line] Disponvel na INTERNET via URL:
http://www.stunnel.org. Arquivo capturado em 01/10/2000. [STU00]
62
18. The Point-to-Point Protocol (PPP). [on line] Disponvel na INTERNET via URL:
ftp://ftp.isi.edu/in-notes/rfc1548.txt Arquivo capturado em 03/11/2000. [RFC1548]
19. The VPN How To. [on line] Disponvel na INTERNET via URL:
http://www.linuxdoc.org/HOWTO/mini/VPN.html. Arquivo capturado em 02/04/2000.
[VPN200]
21. Virtual Private Network. [on line] Disponvel na INTERNET via URL:
http://www.di.ufpe.br/~flash/ais98/VPN/VPN.html. Arquivo capturado em
05/04/2000. [VPN300]
22. Virtual Private Network Consortium VPNC. [on line] Disponvel na INTERNET
via URL: http://www.vpnc.org. Arquivo capturado em 01/10/2000. [VPN400]
23. Vtun Virtual Tunnels over TCP/IP networks. [on line] Disponvel na INTERNET
via URL: http://vtun.sourceforge.net. Arquivo capturado em 01/10/2000. [VTU00]
63
GLOSSRIO
AH: Authentication Header
ATM: Asynchronous Transfer Mode
FEP: Frondend-processor
FTP: File Transfer Protocol
64
65