Redes Virtuais Privadas e IPsec

Luiz Alexandre Schetz

Professor Maicon

IFC – Instituto Federal Catarinense, Campus São Francisco do Sul

Curso Redes – Trabalho Final da Disciplina de Segurança de Redes
Junhos de 2017
RESUMO

Rede privada virtual é uma rede privada constituída sobre infraestrutura de uma
rede pública, normalmente a Intranet. Através de duas ou mais redes poderão ser
interligadas, como por exemplo filiais de uma mesma empresa. A vantagens a utilização
de uma VPN é a implementação entre redes distantes, flexibilidade para conectar
diversas redes, baixo custo de implantação, além de ser uma solução segura (dados
criptografados) e transparentes. A funcionalidade da rede privada virtual baseia-se no
fato dela ser um meio de comunicação isolado, onde dados de informação são
transmitidos com uma maior segurança, quando comparados com a forma normal de
transmissão do meio utilizado.

O IPSec implementa uma forma de tunelamento na camada da rede (IP) e parte das
especificações da pilha de protocolos IPV. Fornece autenticação em nível da rede, a
verificação de integridade de dados transmitidos com criptografia e chaves fortes de 128
bits. Implementa um alto grau de segurança nas transações das informações. O
protocolo IPSEC dificulta de maneira permanente uma eventual tentativa de ataques
vindos por parte de hacker, tornando muito difícil fazer um grampo entre linha de
comunicação e obter qualquer informação útil do trafego da rede.

Neste trabalho é realizado um estudo contextual da VPN e do IPSec, sua atuação

na área de redes de comunicação intra e entre empresas, bem como sua evolução e
estado atual de sua aplicabilidade.

Palavras-chave: VPN; IPSEC; IP, PROTOCOLOS; VANTAGENS, SEGURANÇA

INTRODUÇÃO

Atualmente as relações entre empresas tem cada vez mais foco no mercado e
logística global. Para atender a esta mudança, várias empresas têm instalações em
diferentes lugares, necessitando assim de um modo de comunicação rápida, segura e
confiável, entre seus pontos de atuação.

Desta forma passou a ter um critério maior de segurança com os dados

trafegados na rede onde de mínima ou nenhuma segurança, para um alto nível de
segurança sendo este nível exigido por várias aplicações, pois na Internet, passaram-se a
ser feitas trocas de informações vitais e sigilosas para uma vasta gama de usuários.

Anteriormente, muitas dessas aplicações citadas utilizavam linhas de

comunicação dedicadas, de forma a garantir uma maior privacidade ao seu usuário.
Entretanto, no caso de redes geograficamente distantes, os custos de comunicação
poderiam ser reduzidos drasticamente com o uso da Internet. Para assegurar o uso dessa
solução, a segurança tornou-se então um fator essencial a ser adicionado à Internet. Para
tal, o uso da tecnologia VPN (Virtual Private Network) sobre IP vem sendo cada vez
mais implementada nos dias de hoje.

Neste sentido, a IETF desenvolveu o IPSec, que faz uso de cabeçalhos de

segurança que são acrescentados ao IPv4 (compatível) e IPv6 (obrigatório). Esses
cabeçalhos geram todo um conjunto de mecanismos de segurança, dando suporte assim
às necessidades de implementação de VPNs.
1 VPN

Redes Privadas Virtuais (VPN) são redes de comunicação que usam diferentes
tecnologias para assegurar conexões diretas, ou tuneladas, em uma rede não segura.
Para isso, uma conexão virtual é estabelecida entre usuários de diferentes locais
geográficos e redes privadas ou públicas e os pacotes são transmitidos como em uma
comunicação de conexão privada.

A conexão por tunelamento garante uma maior segurança pois, antes da

transmissão, o pacote de informação é encapsulado dentro de outro pacote com um novo
cabeçalho (“Header”), que fornece um caminho lógico, geralmente chamado de túnel,
para que a informação passe pela rede pública ou compartilhada. À medida que cada
pacote chega ao fim do túnel estabelecido, ele é desencapsulado e encaminhado para o
destino final.

Assim sendo, é possível enviar um pacote com um endereço de IP privado, e não

rastreável, dentro de outro pacote com um endereço único global de IP, estendendo a
utilização da rede privada com a internet, sendo necessário que ambas as pontas do
túnel utilizem o mesmo protocolo de tunelamento.

Os protocolos de tunelamento são utilizados nas camadas de enlace (“Data Link

Layer”, DLL) ou de redes (“network layer”), sendo os tipos mais comuns de protocolos
de tunelamento o IPsec, L2TP, PPTP e SSL .

Assim a VPN pode ser definida mais claramente como uma rede privada que utiliza
uma rede pública, normalmente a Internet, para interconectar usuários ou sites remotos.
Ela é feita com conexões virtuais direcionadas via internet que ligam uma rede privada
corporativa à outra rede privada, onde as ligações podem ser entre escritórios ou um
funcionário que trabalha à distância.

VANTAGENS

O uso mais comum de comunicação entre grandes redes, incluindo as das empresas,
era através da utilização de linhas dedicadas para manter uma rede de longa distancia
(Wide Area Network - WAN). Estas comunicações utilizam desde linhas telefônicas
(128 kbps) até fibra óptica (155 Mbps). A rede WAN introduz inúmeras das vantagens
que atualmente estão presentes na VPN, porém possui um custo mais elevado devido à
necessidade de conexão direta entre locais distantes. Inicialmente, vieram as intranets
que controlavam o acesso com senha, agora as empresas já estão criando suas próprias
VPNs.

A VPN é utilizada principalmente por:

• Ser uma rede com grande área de conectividade

• Ter um alto nível de segurança de comunicação

• Ter custos operacionais menores do que a de uma rede WAN

• Ter um acesso facilitado para usuários remotos, aumentando a produtividade

• Diminuição do tempo e custo de comunicação das empresas na interconexão dos

usuários
Implementações

As redes de VPN, principalmente utilizadas por empresas e organizações, podem

ser divididas pelo tipo de uso da rede, das seguintes formas:

Acesso remoto:

Conexão do tipo usuário-rede, utilizada geralmente para casa ou para algum

dispositivo móvel do usuário que quer se conectar a rede privada da empresa. Este tipo
de VPN permite conexões seguras e encriptadas entre a rede privada corporativa e o
usuário remoto.

Rede interna, ou Intranet:

Conexão VPN utilizada para conectar locais fixos, como filiais de uma empresa.
Este tipo de VPN de conexão entre redes de áreas locais (LAN-to-LAN), permite que
múltiplas conexões de diferentes locais sejam unidas em uma única rede privada.
Rede externa, ou Extranet:

VPN que conecta redes de trabalho entre empresas, como consumidores e

fornecedores, garantindo um ambiente compartilhado seguro, tornando a relação de
negócios mais fácil, prática e segura.

Substituição de rede de longa distancia (WAN):

Manter uma rede WAN funcionando pode custar caro, pois as redes estão dispersas
em diferentes regiões. Uma rede VPN geralmente tem menos custos operacionais e
administrativos, oferecendo uma melhor escalabilidade do que as redes privadas
tradicionais que usam linhas alugadas, assim a rede VPN tem um grande potencial
como alternativa de uso de uma WAN.
Tipos de VPN

As VPN’s podem ser baseadas em conexões do tipo:

• Hospedeiro - Hospedeiro:

Comunicação entre hospedeiros (hosts), conectados ou não em uma rede, separados

fisicamente. Utilizada para sincronismo de dados.

• Hospedeiro - Ponte de ligação:

Conexão do hospedeiro a uma rede. Muito utilizada por empresas cujas transações
são realizadas em diferentes locais, fora da empresa, para atualizar informações e emitir
pedidos.

• Ponte de ligação - Ponte de ligação:

Conexão constante entre Pontes de ligação (Gateways) de VPN de duas empresas

distantes entre si. Dessa forma elas podem compartilhar recursos com um custo menor.

Essas conexões podem ser divididas em quatro tipos básicos de comunicação:

• Linha Virtual Alugada (Virtual Leased Line,VLL)

Utiliza o Espinha Dorsal IP (backbone IP) como entidade de enlace e transporte

fim-a-fim, conectando dois usuários por um túnel IP que emula um circuito físico ou
linha privada,podendo começar e terminar em uma mesma estação.

• Rede Privada Virtual Roteada (Virtual Private Routed Network, VPRN)

Atua na terceira camada estabelecendo conexões entre os roteadores e construindo

tabelas de roteamento para os clientes se conectarem com o servidor e também pode ser
usado no controle de tráfego. Devido à sua complexa implementação, ele é mais usado
no meio empresarial e centros de processamento de dados.
 • Rede Privada Virtual Discada (Virtual Private Dial Network, VPDN)

Permite ao usuário remoto se conectar por demanda através de um túnel para outro
site. O usuário é conectado a um IP público e seus pacotes são enviados pelo túnel
através da rede pública para o site desejado dando a impressão de uma conexão direta.
A característica chave dessa conexão, é necessidade de uma autenticação do usuário.

• Segmento de Rede Virtual Privada Local (Virtual Private LAN Segment, VPLS)

Permite que sites distantes entre si compartilhem uma conexão através de pseudo-
fios . Oferece suporte a broadcast e multicast.
Protocolos

Protocolo de Tunelamento ponto a ponto (PPTP, Point-to-Point Tunneling

Protocol):

No protocolo PPTP, existem 3 elementos envolvidos: o servidor de acesso, o

cliente, e o servidor PPP (Point-to-Point Protocol). Ele encapsula pacotes PPP
utilizando uma versão de protocolo de encapsulamento genérico (GRE), garantindo
flexibilidade na utilização com outros tipos de protocolos. Porém, não apresenta forte
criptografia e não suporta autenticação por token.

Ele faz uso de alguns protocolos de autenticação, são eles:

PAP (Password Authentication Protocol), que transmite o pacote sem utilizar

encriptação, o que é ruim em caso de ataque; CHAP (Challenge Handshake
Authentication Protocol), que utiliza MD5 (Message-Digest algorithm 5, um algoritmo
de hash) para fazer autenticação por meio de resposta a um desafio emitido pelo
servidor de acesso remoto. Inicialmente o sistema de protocolo do usuário cria um hash
utilizando senha de acesso para responder o desafio, depois esse hash de desafio é
enviado para o servidor.
 O servidor que sabe a senha de acesso, duplica a operação e compara os dois
hashs, caso não exista diferença entre eles, o servidor manda uma mensagem
requisitando a senha de acesso, que é então enviada pelo usuário para o servidor; MS-
CHAP (Microsoft Challenge Handshake Authentication Protocol) se diferencia do
CHAP pelo mecanismo de validação, esse mecanismo só exige a string de hash, criada
utilizando a senha, para validar a resposta do desafio.

Protocolo de Avanço da Camada 2(Layer Two Forwarding, L2F):

Como o PPTP, também utiliza o protocolo PPP para a autenticação de usuários,

mas pode oferecer suporte para outros protocolos.

Ele atua supondo que a rede está atrás de uma Ponte de ligação e, por realizar o
tunelamento independente do IP, pode trabalhar com diferentes tecnologias de
comunicação. Sua autenticação é estabelecida em duas etapas, uma antes de criar o
túnel, e outra após a comunicação com a Ponte de ligação.

Protocolo de Tunelamento da Camada 2 (Layer Two Tunneling Protocol, L2TP):

Foi desenvolvido como uma junção das vantagens do PPTP e L2F. Ele utiliza o
protocolo PPP para encapsular e autenticar as mensagens e tem suporte para a
autenticação das extremidades do túnel.

O Layer 2 Tunneling Protocol (L2TP) é um protocolo definido pelo IETF que combina
características dos protocolos PPTP e Layer 2 Forwarding (L2F) desenvolvido pela
Cisco. Utiliza o IPSec para criptografia dos dados.

É considerado, juntamente com o PPTP um protocolo de tunelamento que opera na

camada 2 (Enlace de dados) do modelo OSI (O modelo OSI está apresentado na seção
de referência rápida do Teleco). O IPSec é um protocolo que opera na camada 3.

A solução L2TP/IPSec é a solução mais completa possibilitando criptografia e

autenticação de usuário com acesso remoto
Protocolo de Camada de Sockets Segura (Secure Socket Layer, SSL)

Criado para garantir sigilo e segurança dos dados transmitidos, manter uma
interoperabilidade entre aplicativos de diferentes plataformas e com a possibilidade de
incorporação de novos métodos de criptografia e chaves públicas, tendo assim uma
extensibilidade de protocolo, o SSL disponibiliza também um esquema de
armazenamento de dados para reduzir o tráfego e melhorar o desempenho.

Atua entre as camadas de Transporte e Aplicação e possui flexibilidade para rodar

em protocolos diferentes.
Segurança na VPN

Para garantir vantagens à VPN e uma boa qualidade de serviço (“Quality of

service”, QoS) é necessário que se tenha uma rede segura, ou seja, que garanta aos
dados transmitidos, principalmente, confidencialidade e integridade, características
essas que geralmente podem ser garantidas por uma comunicação criptografada. Outros
pontos a serem considerados no QoS são:

• A qualidade da rede física, que dificilmente pode mudar a curto e médio prazo.

• A escalabilidade do acesso à rede, que neste caso, é gerada pela facilidade de

aumentar os pontos de acesso a rede VPN.

• A gerência de rede, que é otimizada pela comunicação com protocolos

específicos, como os protocolos de túnel.

• A gerência de diretrizes, ou otimização do processo de comunicação, alcançada

pela simplicidade da ideia de comunicação de protocolos específicos.

Para aumentar a confidencialidade dos dados, a VPN utiliza encriptação nos

dados que são encapsulados e enviados pelo método de tunelamento. Assim, os
cabeçalhos que podem ser lidos livremente e indicam o caminho do túnel podem ser
utilizados, numa rede publica, para a transmissão dados, sem comprometer a
confidencialidade dos dados transmitidos.

A VPN também garante a integridade dos dados, pois tem um sistema de

verificação da integridade. Esse sistema geralmente funciona utilizando uma mensagem
teste, que tem o intuito de descobrir se a mensagem foi adulterada durante a
transmissão.

O padrão de uma VPN não fornece ou obriga uma autenticação forte, de alto
nível, assim, em uma configuração padrão, usuários podem se conectar a uma rede VPN
utilizando somente seus nomes de usuários e senhas, possibilitando que a conexão entre
usuário e a rede privada final seja feita de sua casa ou feita de outra rede insegura.
IPSEC (Internet Protocol Security)

Para começar a entrar no mundo do IPSec devemos entender o contexto deu-se o

desenvolvimento e implementação. Quando deu-se o inicio do desenvolvimento do
conjunto de protocolos TCP/IP ele ainda se limitava ao meio acadêmico. Testes eram
realizados pensando unicamente em funcionalidade. Com crescimento e a expansão da
internet, surgiram vários tipos de aplicações. O setor privado principalmente o
comercial vem realizando investimentos para conseguir mais produtividade e
consequentemente obter lucros. Com todo este cenário surgiram os problemas no
âmbito de segurança que se intensificaram e ficaram críticos.
Dentro deste contexto foi pensando em uma solução o IPSec (IP Security). Uma
das plataformas de segurança de código aberto desenvolvida pelo time da IP Security
dai o nome. Mantido pela IETF (Internet Engineering Task Force) uma solução aos
desafios cotidianos em garantir segurança da informação.
Como o objetivo é garantir a segurança da informação. Foram desenvolvidos
mecanismos de proteção aos pacotes IP e às aplicações que são implementadas sobre
este protocolo. O IPSec aplica em sua estrutura os três pilares da segurança da
informação confidencialidade, integridade e autenticação.
O IPSec é uma das opções para trabalhar com VPN (Virtual Private Network). Conceito
que opera criando túneis virtuais entre os hosts envolvidos, encriptando todos os dados
transmitidos sobre estes túneis. Ele é implementado na camada de rede do modelo
TCP/IP sobre o protocolo IP. Assim seus serviços podem ser utilizados por quaisquer
protocolos da camada superior. Principalmente a camada de transporte (como TCP,
UDP, ICMP, BGP, RIP, etc ). Ele é utilizado em ambientes IPv4 de forma opcional é
IPv6 de forma obrigatória.
O IPSec consegue ser estabelecido em três níveis de infraestrutura de segurança.
VPN para as comunicações host-to-host, subnet-to-subnet e host-to-subnet.
Seu diferencial está relacionado a implementação através da utilização conjunta de
protocolos de segurança de tráfego de dados. Assim prover um serviço de alta
qualidade, baseados em criptografia para o protocolo IP e para as camadas superiores. O
conjunto de serviços implantados inclui controle de acesso, integridade dos dados,
autenticação da origem dos dados e confidencialidade (criptografia).
Protocolos

Os principais protocolos de segurança utilizados nos serviços requisitados, como

autenticação básica, integridade e encriptação de dados, são: autenticação de cabeçalho
(Authentication Header, AH) e encapsulamento para a segurança da mensagem
(Encapsulated Security Payload, ESP).
Autenticação de Cabeçalho:

O protocolo AH, como o próprio nome já diz, autentica. Ele não altera a
mensagem e sim, adiciona um cabeçalho do tipo AH ao pacote IP contendo um hash de
dados e uma sequência numérica. Com isso pode ser verificada a integridade dos dados
e a autenticidade do emissor do pacote.

Encapsulamento para segurança da mensagem (Encapsulated Security Payload,

ESP):

O protocolo ESP utiliza algoritmos de encriptação para dar confidencialidade

aos dados além de autenticar a fonte e garantir a integridade dos dados. Dessa forma o
protocolo de ESP precisa ser utilizado de forma equivalente em ambos os lados da
comunicação, ou seja, o algoritmo de encriptação necessariamente precisa ser o mesmo.
O ESP tem suporte para operar num modo onde há apenas encriptação ou num modo
onde há apenas autenticação.
Operação

Cada protocolo de segurança do IPsec tem dois modos de operação que variam
dependendo da finalidade:

Diferenciação do IP e do Ipsec e seus modos de operação.

O modo de transporte é usado para comunicações de hospedeiros a hospedeiros.

Ele encripta ou autentica somente os dados ignorando o cabeçalho. Os cabeçalhos AH e
ESP são aplicados nos dados do pacote original de IP. Porém, o destinatário e o emissor
da mensagem podem ser rastreados por terceiros pela análise do cabeçalho.

Modo de tunelamento (fim-a-fim):

No modo de tunelamento podem ser rede a rede, hospedeiro a rede e hospedeiro

a hospedeiro. Diferente do modo de transporte, ele encripita ou autentica todo o pacote
(cabeçalho e dados). A seguir os protocolos AH e ESP são aplicados a esse novo pacote.
O cabeçalho do novo pacote envia para o fim do túnel, onde os pacotes são descriptados
para que o conteúdo original seja transmitido para o destino final.

Sistema de Chaves

O IPsec, por padrão, utiliza o IKE para a autenticação e para determinar os

protocolos, chaves e algoritmos, tornando-se útil para: grandes regiões, redes com alta
escalabilidade e implementações de redes VPN. Os tipos de IKE do IPsec podem ser
divididos em dois tipos: automático e manual.

Gerenciamento automático de chaves:

Para garantir o uso da certificação digital, um túnel, autenticado e seguro, é

criado com objetivo de trocar as chaves e estabelecer uma associação segura (Security
Association, SA). O SA pode ser entendido como: parâmetros que controlam algoritmos
identificadores, modos de operação e chaves. Tais parâmetros regulam mecanismos para
proteção do trafego de informação.

A definição do modo de geração das chaves, autenticação, criação e gerenciamento

da SA é feita utilizando o Protocolo da Associação de Segurança de Internet e
Gerenciamento de Chaves (The Internet Security Association and Key Management
Protocol, ISAKMP).

Gerenciamento manual de chaves:

Diferentemente do gerenciamento automático, no manual, as chaves e

parâmetros da SA são manualmente configuradas em ambos os lados, antes da
comunicação VPN começar. Apenas o emissor e o destinatário da comunicação sabem a
chave secreta, que é utilizada.

Caso a autenticação dos dados seja validada, o destinatário garante que a

informação veio do emissor e não foi modificada, porém se uma das chaves for obtida
por terceiros, estes podem se passar pelo usuário. Assim, o gerenciamento manual é
recomendado para locais pequenos com uma quantidade de pontos de conexões estática,
sendo pouco aconselhável em redes escaláveis.
Conclusão

Por se utilizar da infraestrutura da Internet para interligar redes privadas, utilizar

criptografia e garantir através de seus protocolos de tunelamento sigilo dos dados que
são trafegados diariamente na rede, além de sua implementação ser mais barata do que
adquirir serviços de redes de operadoras de telecomunicações, a VPN vem sendo cada
vez mais utilizada pelas corporações, sejam elas de grande ou médio porte. Uma
solução VPN é capaz de estimular e impulsionar o desenvolvimento tecnológico além
de possuir benefícios econômicos e técnicos pelo seu uso.

A atual tendência de crescimento de demanda das empresas globalizadas, por

redes de comunicações que integrassem as diversas filiais e seus funcionários,
impulsiona a utilização e desenvolvimento de novas técnicas de implementação e
protocolos para melhorar a segurança nas redes VPN.

A utilização do IPSEC aumenta a segurança dos dados, pois garante que estes
sejam autenticados e criptografados, o que não acontece sem a utilização deste
framework de segurança. Pode-se verificar que na análise do tamanho dos pacotes, com
a adição do cabeçalho de extensão AH, quando configurado ainda é possível visualizar
o conteúdo do pacote, o pacote com AH aumenta 24 bytes em relação ao pacote sem
IPSEC. Com ESP pode-se visualizar que o pacote foi criptografado, então não é
possível que o conteúdo do pacote seja visualizado, também houve aumente de 24 bytes
em relação ao pacote sem IPSEC.

Utilizando os dois cabeçalhos em paralelo (AH e ESP) os pacotes são

autenticados e criptografados, garantindo a total segurança dos dados transmitidos,
porém houve aumento de 48 bytes, com isso nota-se que a utilização da rede aumenta o
que pode ocasionar lentidão, então para fazer a utilização do IPSEC é ideal que a rede
esteja preparada para isto, pois o uso de banda será maior, necessitando configurações
especiais.
Bibliografia

[1] https://epxx.co/artigos/openvpn_ipsec.html

[2] https://www.gta.ufrj.br/grad/04_1/vpn/Script/RDIIntroducao.html

[3] http://www.develsistemas.com.br/ipsec-protocolo-de-seguranca-para-redes-ip

[4] https://www.securiteinfo.com/cryptographie/IPSec.shtml

[5] https://web.fe.up.pt/~mricardo/05_06/redesip/acetatos/ipsecv4.pdf

[6] https://www.gta.ufrj.br/