LAN 20x – Cisco CCNA Routing & Switching

• Módulo 16:

VPNs e Túneis GRE

LAN 20x - Cisco CCNA Routing & Switching

16. VPNs e Túneis GRE

VPNs

LAN 20x - Cisco CCNA Routing & Switching

16. VPNs e Túneis GRE

Tópicos Fundamentais

• VPN: Virtual Private Network ou Rede Privada Virtual

• Conecta hosts usando a Internet como um serviço de WAN.

• Oferecem os mesmos recursos de segurança oferecidos por linhas privadas:

 Privacidade.

 Autenticação.

 Integridade de dados.

 Antireplay.

LAN 20x - Cisco CCNA Routing & Switching

16. VPNs e Túneis GRE

Tópicos Fundamentais

IPsec é a tecnologia usada nas VPNs. Fornece as seguintes características:

• Redução de custos: Conexões mais baratas.

• Segurança: Criptografia

• Escalabilidade: Disponível em qualquer lugar que

a Internet esteja disponível.

• Conexões vários-para-vários (many-to-many)

Há dois tipos de VPNs:

• Site-to-site

• Remote-access

LAN 20x - Cisco CCNA Routing & Switching

16. VPNs e Túneis GRE

Dispositivos VPN

• Roteadores

• ASA (Adaptive Security Appliances)

• Firewalls PIX

• Concentradores VPN

LAN 20x - Cisco CCNA Routing & Switching

16. VPNs e Túneis GRE

IPSec

• IPsec é uma suíte (pacote) de protocolos para prover serviços de segurança em redes IP:

 Autenticação
 Integridade dos dados
 Confidencialidade

• Permite o uso de várias opções diferentes de protocolos.

• O IPsec é parte obrigatória do IPv6, e opcional para o uso com IPv4.

IPSec Negociação Criptografia Autenticação Proteção

AH DES MDS DH1

ESP 3DES SHA-1 DH2
AH+ESP AES DH5
DH7

LAN 20x - Cisco CCNA Routing & Switching

16. VPNs e Túneis GRE

Algorítmos de criptografia

Há dois tipos de algorítmos de criptografia:

Simétricos:

 Usam a mesma chave tanto para criptografar quanto para decriptografar dados.

Assimétricos:

 Usam diferentes chaves para criptografar e decriptografar dados - uma chave criptografa e outra
chave diferente decriptografa.

Os principais algoritomos de criptografia usados nos dias de hoje são:

DES: Chaves de 56 bit (simétrico).

3DES: Usa três chaves DES para criar uma chave the 168 bit (simétrico).

AES: Chaves de 128, 192 e 256 bit (simétrico).

LAN 20x - Cisco CCNA Routing & Switching

16. VPNs e Túneis GRE

Integridade no IPSec – Função Hash

Hashing é um mecanismo usado para garantir integridade dos dados.

• A informação a ser transmitida passa por um processo criptográfico.

• O resultado obtido é único e chamado de resumo ou hash, e possui

sempre o mesmo tamanho, independente do volume de dados tratado.

• Para verificação de integridade, o destinatário calcula o hash novamente.

O resultado deve ser rigorosamente igual ao hash original. Qualquer alteração na informação fará
com que o hash seja diferente, indicando a ocorrência de modificações

• O nome formal da função hash é HMAC (Hashed Message Authetication Code).

 MD5: Usa uma chave compartilhada de 128 bits, gerando um valor hash de 128 bits.

 SHA-1: Considerado melhor que o MD5, mas exige mais tempo de processamento. Define
tamanhos diferentes de chaves.

LAN 20x - Cisco CCNA Routing & Switching

16. VPNs e Túneis GRE

Troca de Chaves no IPSec

• Como transferir a chave compartilhada para o outro dispositivo ?

• O IPSec utiliza uma troca dinâmica de chaves através de um processo chamado IKE (Internet Key
Exchange).

• O IKE utiliza um processo chamado troca de chaves DH (Diffie-Hellman).

• A troca de chave DH permite que os dispositivos criem e troquem chaves de modo seguro.

Opções DH

Opção Tamanho da Chave

DH-1 768-bit

DH-2 1024-bit

DH-5 1536-bit

LAN 20x - Cisco CCNA Routing & Switching

16. VPNs e Túneis GRE

Protocolos de segurança ESP e AH

• O IPSec usa dois protocolos para executar as principais funções VPN: AH (IP Authentication
Header) e ESP (Encapsulating Security Payload).

• A outra função da VPN é o gerenciamento de chaves através do IKE (Internet Key Exchange).

• Enquanto o IPSec criptografa os dados, o IKE suporta negociação automática de associações de

segurança (SAs), e geração automatizada de chaves criptográficas.

Resumo das Funções Suportadas por AH e ESP

• Autenticação
 Chaves Compartilhadas / Certificados Digitais

• Integridade
 HMAC-MD5 / HMAC-SHA-1 AH + ESP

• Criptografia
 DES / 3DES / AES

LAN 20x - Cisco CCNA Routing & Switching

16. VPNs e Túneis GRE

Configuração

rt-0(config)# crypto isakmp policy 1 -> Define a politica IKE e atribui a prioridade dela.
rt-0(config-isakmp)# encryption 3des -> Define metodo de criptografia
rt-0(config-isakmp)# authentication pre-share -> Define metodo de autenticacao
rt-0(config-isakmp)# group 2 -> Define o DH (comprimento da chave)
rt-0(config-isakmp)# exit
rt-0(config)# crypto isakmp key P@ssw0rd address 90.90.90.2 -> Define a senha da chave compartilhada
rt-0(config)# crypto ipsec transform-set VPN_A-B esp-3des esp-sha-hmac
rt-0(config)# access-list 101 permit ip 10.0.0.0 0.0.0.255 192.168.0.0 0.0.0.255
rt-0(config)# crypto map SiteB 10 ipsec-isakmp -> Define mapa que será associado a interface.
rt-0(config-crypto-map)# description VPN to Site B | 90.90.90.2
rt-0(config-crypto-map)# set peer 90.90.90.2
rt-0(config-crypto-map)# set transform-set VPN_A-B
rt-0(config-crypto-map)# match address 101
rt-0(config-crypto-map)# exit
rt-0(config)# interface Serial0/0/0
rt-0(config-if)# crypto map SiteB

LAN 20x - Cisco CCNA Routing & Switching

16. VPNs e Túneis GRE

VPNs SSL

• Usado para criptografar dados trocados entre o navegador e o servidor web.

• Utiliza porta 443.

• Permite tipicamente apenas tráfego de web.

• Solução Cisco é conhecida como Web VPN.

Web VPN usando SSL

LAN 20x - Cisco CCNA Routing & Switching

16. VPNs e Túneis GRE

Túneis GRE
Generic Routing Encapsulation

LAN 20x - Cisco CCNA Routing & Switching

16. VPNs e Túneis GRE

Tópicos Fundamentais

• GRE (Generic Routing Encapsulation) é um protocolo de tunelamento desenvolvido pela Cisco.

• Suporta o tunelamento de IP, IPv6 e multicast, o que permite o uso de protocolos de roteamento dinâmico.
 O pacote IP é encapsulado por inteiro e trasmitido através do túnel GRE, com o endereço de destino
do final do túnel.
 Ao chegar no roteador de destino, o encapsulamento é removido e os pacotes IP continuarão seu
caminho para o destino determinado pelo cabeçalho original.

• Cria links virtuais ponto-a-ponto em redes IP, mas não criptografa os dados.
 Para cripotografar os dados em túneis GRE deve-se usar o IPSec.

LAN 20x - Cisco CCNA Routing & Switching

 16. VPNs e Túneis GRE

Configuração

S0/0/0 S0/0/0

Passo 1: Criar o túnel GRE entre os roteadores de borta A e B
Roteador A:
interface tunnel 0
ip address 172.16.0.1 255.255.255.252
tunnel source s0/0/0
tunnel destination 210.0.0.2
ip route 210.0.0.2 255.255.255.255 210.1.1.1
Roteador B:
interface tunnel 0
ip address 172.16.0.2 255.255.255.252
tunnel source s0/0/0
tunnel destination 210.1.1.2
ip route 210.1.1.2 255.255.255.255 210.0.0.1
Passo 2: Configurar o protocolo de roteamento:
Roteador A:
router eigrp 20
=> Endereço IP do túnel network 172.16.0.0 0.0.0.255
network 192.168.1.0 0.0.0.255
no auto-summary
Roteador B:
router eigrp 20
network 172.16.0.0 0.0.0.255
=> Endereço IP do túnel network 10.10.20.0 0.0.0.255
network 10.10.20.0 0.0.0.255
no auto-summary

LAN 20x - Cisco CCNA Routing & Switching

16. VPNs e Túneis GRE

Exercícios:

• Exercícios de Revisão 16

• Laboratórios:
 LAN-20x Lab 16 – Site-to-Site VPN
 LAN-20x Lab 16-1 –Túnel GRE

LAN 20x - Cisco CCNA Routing & Switching