• Módulo 16:
VPNs
Tópicos Fundamentais
Privacidade.
Autenticação.
Integridade de dados.
Antireplay.
Tópicos Fundamentais
• Segurança: Criptografia
• Site-to-site
• Remote-access
Dispositivos VPN
• Roteadores
• Firewalls PIX
• Concentradores VPN
IPSec
• IPsec é uma suíte (pacote) de protocolos para prover serviços de segurança em redes IP:
Autenticação
Integridade dos dados
Confidencialidade
Algorítmos de criptografia
Simétricos:
Usam a mesma chave tanto para criptografar quanto para decriptografar dados.
Assimétricos:
Usam diferentes chaves para criptografar e decriptografar dados - uma chave criptografa e outra
chave diferente decriptografa.
3DES: Usa três chaves DES para criar uma chave the 168 bit (simétrico).
MD5: Usa uma chave compartilhada de 128 bits, gerando um valor hash de 128 bits.
SHA-1: Considerado melhor que o MD5, mas exige mais tempo de processamento. Define
tamanhos diferentes de chaves.
• O IPSec utiliza uma troca dinâmica de chaves através de um processo chamado IKE (Internet Key
Exchange).
• A troca de chave DH permite que os dispositivos criem e troquem chaves de modo seguro.
Opções DH
DH-1 768-bit
DH-2 1024-bit
DH-5 1536-bit
• O IPSec usa dois protocolos para executar as principais funções VPN: AH (IP Authentication
Header) e ESP (Encapsulating Security Payload).
• A outra função da VPN é o gerenciamento de chaves através do IKE (Internet Key Exchange).
• Autenticação
Chaves Compartilhadas / Certificados Digitais
• Integridade
HMAC-MD5 / HMAC-SHA-1 AH + ESP
• Criptografia
DES / 3DES / AES
Configuração
rt-0(config)# crypto isakmp policy 1 -> Define a politica IKE e atribui a prioridade dela.
rt-0(config-isakmp)# encryption 3des -> Define metodo de criptografia
rt-0(config-isakmp)# authentication pre-share -> Define metodo de autenticacao
rt-0(config-isakmp)# group 2 -> Define o DH (comprimento da chave)
rt-0(config-isakmp)# exit
rt-0(config)# crypto isakmp key P@ssw0rd address 90.90.90.2 -> Define a senha da chave compartilhada
rt-0(config)# crypto ipsec transform-set VPN_A-B esp-3des esp-sha-hmac
rt-0(config)# access-list 101 permit ip 10.0.0.0 0.0.0.255 192.168.0.0 0.0.0.255
rt-0(config)# crypto map SiteB 10 ipsec-isakmp -> Define mapa que será associado a interface.
rt-0(config-crypto-map)# description VPN to Site B | 90.90.90.2
rt-0(config-crypto-map)# set peer 90.90.90.2
rt-0(config-crypto-map)# set transform-set VPN_A-B
rt-0(config-crypto-map)# match address 101
rt-0(config-crypto-map)# exit
rt-0(config)# interface Serial0/0/0
rt-0(config-if)# crypto map SiteB
VPNs SSL
Túneis GRE
Generic Routing Encapsulation
Tópicos Fundamentais
• Suporta o tunelamento de IP, IPv6 e multicast, o que permite o uso de protocolos de roteamento dinâmico.
O pacote IP é encapsulado por inteiro e trasmitido através do túnel GRE, com o endereço de destino
do final do túnel.
Ao chegar no roteador de destino, o encapsulamento é removido e os pacotes IP continuarão seu
caminho para o destino determinado pelo cabeçalho original.
• Cria links virtuais ponto-a-ponto em redes IP, mas não criptografa os dados.
Para cripotografar os dados em túneis GRE deve-se usar o IPSec.
Configuração
S0/0/0 S0/0/0
Passo 1: Criar o túnel GRE entre os roteadores de borta A e B Passo 2: Configurar o protocolo de roteamento:
Roteador A: Roteador A:
interface tunnel 0 router eigrp 20
ip address 172.16.0.1 255.255.255.252 => Endereço IP do túnel network 172.16.0.0 0.0.0.255
tunnel source s0/0/0 network 192.168.1.0 0.0.0.255
tunnel destination 210.0.0.2 no auto-summary
ip route 210.0.0.2 255.255.255.255 210.1.1.1
Roteador B:
Roteador B:
router eigrp 20
interface tunnel 0 network 172.16.0.0 0.0.0.255
ip address 172.16.0.2 255.255.255.252 => Endereço IP do túnel network 10.10.20.0 0.0.0.255
tunnel source s0/0/0 network 10.10.20.0 0.0.0.255
tunnel destination 210.1.1.2 no auto-summary
ip route 210.1.1.2 255.255.255.255 210.0.0.1
Exercícios:
• Exercícios de Revisão 16
• Laboratórios:
LAN-20x Lab 16 – Site-to-Site VPN
LAN-20x Lab 16-1 –Túnel GRE