vpn redes privadas virtuaisave.dee.isep.ipp.pt/~jml/ingre/priv/slides/vpn.pdfvpn redes privadas...
TRANSCRIPT
12-12-2018
1
VPN
Redes Privadas Virtuais
VPN - Virtual Private Network
Rede Privada Virtual
“… é uma extenção de uma rede privada que
encorpora ligações através de redes públicas
ou partilhadas como a Internet.”
(Microsoft, 2001)
12-12-2018
2
VPN
VPN - Virtual Private Network
Permite o acesso a serviços privados
centrais a partir de redes fisicamente
separadas.
Permite aumentar a segurança.
Alternativa à (para a) implementação de
WANs.
12-12-2018
3
Túnel
Túnel é um caminho lógico “fechado”
implementado sobre uma rede “aberta”.
Implementa uma ligação ponto-a-ponto
entre os seus extremos.
Os dados são encapsulados
(“enterrados”) num protocolo de nível
superior.
Tunelamento
12-12-2018
4
Túnel
Simula uma conexão ponto-a-ponto através de uma rede pública.
Utiliza um protocolo de tunelamento.
Usa-se para
Carregar dados sobre uma rede incompatível.
Criar um canal seguro sobre uma rede insegura.
Criar um caminho lógico através de infra-estrutura com limitações.
Encapsulamento natural
Os dados são encapsulados dentro de pacotes
de um protocolo da camada inferior.
12-12-2018
5
Túnel: protocolos
Um túnel envolve diversos protocolos
Carrier / Delivery / Carregador (CP)
Usado pela camada de rede que suporta o túnel.
Passenger / Payload / Passageiro (PP)
Usado pelos dos dados a carregar sobre o túnel.
nível(PP) <= nível(CP)
Protocolos adicionais
Encapsulamento / tunelamento
GRE, IPSec, L2F, PPTP, L2TP
Autenticação
Encriptação
Controlo
Protocolos de Tunelamento
O protocolo de tunelamento permite o
encapsulamento do protocolo passageiro no
protocolo carregador.
GRE (Generic Routing Encapsulation) da Cisco.
L2TP (Layer 2 Tunneling Protocol) da IETF (Internet
Engineering Task Force).
PPTP (Point-to-Point Tunneling Protocol) da
Microsoft.
IPsec (Tunneled mode)
12-12-2018
6
Tipos de comunicações
• Host To Host
• Host To Security Gateway
• Security Gateway To Security Gateway
• Security Gateway = Firewall
• Also refered to as Network (i.e. Network To Network)
Host To Host
Host A Host B
IPsec (SA)
Other Hosts
12-12-2018
7
Host To Security Gateway
Host A Security
Gateway
IPsec (SA)
Other Hosts IPC-NAT ROUTE
Internal
Network
OR No IPsec
Security Gateway to Security Gateway
Security
Gateway
IPsec (SA)
IPC-NAT ROUTE
Internal
Network
OR
Security
Gateway
Internal
Network
12-12-2018
8
Tipos de túneis
Um túnel podem ser:
Túnel Voluntário
Túnel Compulsório
Túnel Voluntário
O computador de cada utilizador:
Solicita a criação do túnel
É o cliente do túnel
Implementa o encapsulamento (normalmente)
Actua como um dos extremos do túnel
Exemplos
VPN do DEE
VPN do IPP
12-12-2018
9
Túnel voluntário
Túnel Compulsório
O túnel é configurado e gerido pelo administrador da rede ou operador.
Os utilizadores são encaminhados para o servidor de acesso que funciona como extremo do túnel.
O computador do utilizador não funciona como cliente nem como extremo do túnel.
A utilização do túnel é transparente para o utilizador.
12-12-2018
10
Tunelamento compulsório
GRE
GRE: Generic Routing Encapsulation
Cisco
Protocolo de tunelamento
Permite encapsular diversos pacotes da camada de rede em túneis IP.
IP / GRE / IP ou IP sobre IP
IPv6 / GRE / IPv4
IP / PPP / GRE / IP
XXX / GRE / IP
Várias normas de implementação de túneis usam GRE.
12-12-2018
11
GRE
Protocolo stateless
Trata cada pacote de forma independente.
Eficiente
Apenas adiciona um pequeno cabeçalho (mín: 32 bits)
Um extremo não tem conhecimento sobre o
estado ou disponibilidade do outro extremo.
Adequado à implementação de túneis em que os
extremos são geridos por entidades distintas.
GRE - Cabeçalho
Bits 0–4 5–7 8–12 13–15 16–31
C R K S s Recur Flags Version Protocol Type
Checksum (optional) Offset (optional)
Key (optional)
Sequence Number (optional)
Routing (optional)
12-12-2018
12
GRE – Header Fields (1)
C, Checksum Present. 1 bit.
The Checksum field is present and contains valid information if set.
R, Routing Present. 1 bit.
If set then the Routing field is present and contains valid information.
K, Key Present. 1 bit.
If set then the Key field is present and contains valid information.
S, Sequence Number present. 1 bit.
The Sequence Number field is present and contains valid information.
s, Strict Source Route. 1 bit.
Defined in other documents.
Recur, Recursion Control. 3 bits, unsigned integer.
The number of additional encapsulations which are permitted.
Flags. 5 bits.
These bits are reserved and must be transmitted as 0.
Version. 3 bits.
GRE protocol version. Must be cleared to 0.
GRE – Header Fields (2)
Protocol. 16 bits.
The Ethernet protocol type field for the packet.
Checksum. 16 bits.
Optional. Contains the checksum of the GRE header and the payload packet.
Offset. 16 bits.
Optional. Indicates the byte offset from the start of the Routing field to the first
byte of the active Source Route Entry.
Key. 32 bits.
Optional. May be used by the receiver to authenticate the source of the packet.
Sequence Number. 32 bits, unsigned.
Optional. May be used by the receiver to establish the order of the packets.
Routing. Variable length.
Optional. This field is a list of SREs.
12-12-2018
13
Encapsulamento GRE
IP Header
Protocol = ?
Dest = Pivate IP
GRE Header
Protocol = IP
IP Header
Protocol = GRE
Dest = Public_IP
Datagrama Passageiro
Datagrama Carregador
PPP
Point-to-Point Protocol , RFC1661
Data link layer protocol (L2)
Utiliza o Link Control Protocol (LCP) para establecer, configurar, e testar a ligação.
Utilização típica:
Um utilizador obtém uma ligação para um servidor remoto, usando:
ISDN, ADSL, PSTN, rsh, ssh, TCP, …
O PPP é executado em ambos os extremos
A ligação PPP é usada para carregar um protocolo de rede como o IP
12-12-2018
14
PPTP
Point-to-Point Tunneling Protocol
Microsoft, Ascend, 3Com, +
Túnel com IP como protocolo carregador.
IP / PPP / GRE / IP
Canal adicional TCP para controlo do túnel.
Implementação MS-Windows:
Encriptação por MPPE (Microsoft Point-to-Point Encriptation)
Autenticação por PAP, CHAP, MS-CHAP ou EAP-TLS
L2TP
Layer 2 Tunneling Protocol
IETF (Internet Engineering Task Force).
RFC 2661, L2TPv3: RFC 3931
Protocolo de tunelamento
12-12-2018
15
Pacote L2TP
Bits 0–15 Bits 16–31
Flags and Version Info Length (opt)
Tunnel ID Session ID
Ns (opt) Nr (opt)
Offset Size (opt) Offset Pad (opt)......
Payload data
Routed IP Tunnels
Possible Topologies:
Network <-> Network
Network <-> Host
Host <-> Network
Host <-> Host
When doing VPNs with networks, an iptables
script will have to created to set up IP
Masquerading and some firewalling rules
Uses “TUN” mode
12-12-2018
16
Bridged Ethernet tunnel
Really just operates like a transparent Ethernet bridge. Hence, special IP tables, NAT magic, or routing is required.
Uses “TAP” mode
Bridge tools (bcrtl) are required
Need to create a script to bind eth1 and tap0 together into a bridged device called br0
Then assign an IP to br0
IPsec
IPsec = IP Security Protocol
Surgiu para fornecer segurança no nível de IP.
Norma desenvolvida pela IETF desde 1992;
Primeira versão lançada em 1995;
Versão melhorada, com administração
dinâmica dos parâmetros de segurança (IKE),
em 1998;
Requisito em IPv6
Permite criar redes privadas virtuais (VPNs)
Implementa segurança
(Confidencialidade, Autenticação, …
12-12-2018
17
Solução com IPsec
Confidencialidade dos dados;
Verificação de integridade;
Autenticidade dos dados transmitidos;
Controlo de acesso;
Segurança contra reutilização de
pacotes.
Alta segurança quando usado com
algoritmos fortes;
Não substitui as soluções já existentes de
segurança, mas adiciona funcionalidades.
IPsec
Opera na camada de rede;
Processa todos os datagramas IP;
Protege todas as aplicações de modo transparente;
Pode ser implementado em qualquer nó da rede;
Permite políticas específicas
para cada ligação;
Opcional no IPv4;
Norma integrante do IPv6.
12-12-2018
18
Ligações IPsec
• Modo de Transporte (Transport mode)
• Não encripta o pacote completo.
• Usa o Cabeçalho IP original
• Rápido
• Modo Túnel (Tunnel Mode)
• Encripta o pacote completo, incluindo o cabeçalho IP (ESP)
• Cria um novo cabeçalho IP
• Mais pesado
Pacote TCP/IP típico
Frame Header (Layer 2)
IP Header (Layer 3)
TCP/UDP Header (Layer 4)
Application Layers (5-7) / Data
IP Hdr TCP/UDP Data
ou
Frame Hdr
12-12-2018
19
Modo de Transporte
http://www.gtsllcus.com/services.php
Modo Túnel
http://www.gtsllcus.com/services.php
12-12-2018
20
Protocolos de Segurança
IKE – IPsec Key Exchange
Usado na fase inicial para negociar a Associação de
Segurança (SA)
A Associação de Segurança (SA) define o protocolo de
segurança (AH / ESP) a utilizar nas comunicações.
AH – Authentication Header Cabeçalho de autenticação;
ESP – Encapsulation Security Payload Encapsulamento de Segurança da Carga útil; ESP pode incluir Autentição.
IKE
IKE – IPsec Key Exchange
RFC 2409
Protocolo da camada de aplicação.
• UDP port 500
• Usa ISAKMP
• Internet Security Association and Key Management Protocol
Norma para administração de chaves no IPsec.
Negociação de parâmetros;
Troca de chaves;
Autenticidade dos pontos.
12-12-2018
21
Negociação IKE
• Duas fases
• Fase 1 – Estabelece SA's para ambos os
sentidos.
• Usando Certificados ou Segredos pré-partilhados ?
• Main Mode ou Aggressive Mode ?
• Fase 2 – Negociação dos Protocolos de
segurança:
• How shall I encrypt you data today?
• AH ou ESP ?
• Modo Túnel ou Transporte ?
AH – Cabeçalho de Autenticação
Oferece:
Autenticação da fonte;
Integridade de dados.
Adiciona um cabeçalho ao datagrama IP;
Protocolo IP 51;
RFC 2402.
IP Hdr AH TCP/UDP Data
Transport Mode
IP Hdr AH TCP/UDP Data
IP Hdr AH Data New IP Hdr AH TCP/UDP Org. IP Hdr
Tunnel Mode
Não oferece:
Sigilo.
12-12-2018
22
AH - Cabeçalho de Autenticação
Datagrama:
Modo de transporte:
Modo Túnel:
AH – Cabeçalho de Autenticação
Cabeçalho AH no datagrama IP.
12-12-2018
23
Cabeçalho AH
Next Header:
Código do protocolo encapsulado pelo IPsec, de acordo com os códigos definidos pela IANA – Internet Assigned Numbers Authority (UDP=17, TCP=6, etc ...)
Length:
comprimento do cabeçalho em múltiplos de 32.
Security Parameter Index:
identificador de 32 bits da SA partilhada entre o emissor e o receptor.
Authentication Data:
ICV – Integrity Check Value.
Código de verificação de integridade de tamanho variável. Depende do protocolo utilizado.
Cabeçalho AH
Sequence Number:
32 bits.
Número incremental.
Começa a contagem quando a SA é criada.
Permite que apenas 232-1 pacotes sejam transmitidos na mesma
SA. Após esse número, uma nova SA deve ser criada.
Host A Host B
negoceiam SA e definem SPI
SPI=x e SN=1
SPI=x e SN=2
...
SPI=y trans.
SPI=x recep. SPI=x trans.
SPI=y recep.
SPI=y e SN=1
12-12-2018
24
ESP
ESP – Encapsulating Security Payload
Encapsulamento de Segurança de Carga Útil
Protocolo IP 50;
RFC 2406.
Oferece:
Sigilo.
Integridade de dados.
Autenticação da fonte (opcional)
Adiciona um header e um trailer.
Mais complexo. Exige mais processamento;
Pacote ESP
HEADER
AUTH
12-12-2018
25
Campos ESP
Header:
SPI e Sequence Number: Mesmas funções do AH
O algoritmo de criptografia pode ser qualquer, mas o
DES Cipher-Block Chaining é o default.
Padding:
Torna os dados múltiplos da dimensão de um bloco,
conforme requerido pelo algoritmo de criptografia.
O trailler também é criptografado.
Auth:
ICV (Integrity Check Value) calculado de forma
idêntica ao cabeçalho AH. Este campo é opcional.
ESP
Datagrama:
Modo de transporte:
Modo Túnel:
12-12-2018
26
Suporte IPsec
• OpenBSD, FreeBSD, NetBSD
• Linux
• Solaris
• Windows 2000+ (Native)
• Windows NT/95/98/Me (Add-on)
• Cisco IOS (PIX and Routers)
• Others ....
OpenVPN
Aplicação Open Source (GPL)
Flexível, fácil de configurar e operar
Permite gerir túneis sobre TCP ou UDP.
Carrega pacotes nível 3 ou nível 2.
Suporta múltiplos túneis no mesmo porto TCP/UDP.
Multi-plataforma: (Linux, *BSD/OSX, Windows, Android, Solaris)
Encriptação baseada em OpenSSL – múltiplas opções
Autenticação por chaves partilhadas ou certificados digitais (PKI)
Compressão
Traffic-shaping
Atravessa com facilidade firewalls restritivas
12-12-2018
27
OpenVPN - Modes
Routed IP tunnels (layer 3)
More efficient then bridged Ethernet tunnels
Easier to configure
Bridged Ethernet tunnels (layer 2)
Can tunnel IP and non-IP traffic
IPX, NetBEUI, etc
Both sides of VPN see network broadcasts
Required for some LAN games
OpenVPN
OpenVPN manage user space VPNs.
Portable.
Familiar daemon-style usage.
No kernel modifications required.
State-of-the-art cryptography layer
provided by the OpenSSL library.
Easy config dynamic addresses or NAT.
Supports Linux, Windows, Mac OS X,
xBSD, and Solaris.
12-12-2018
28
OpenVPN example
Server
openvpn --config server.cfg
Server.cfg
dev tun
ifconfig 10.8.0.1 10.8.0.2
secret static.key
openvpn --config client.cfg
Client.cfg
remote myremote.mydomain
dev tun
ifconfig 10.8.0.2 10.8.0.1
secret static.key
Client
openvpn --genkey --secret static.key
scp static.key [email protected]:
Companies with VPN
12-12-2018
29
3 - Acesso via Internet
O acesso é proporcionado por um
provedor de acesso Internet (ISP).
A partir de túneis que passam pela
Internet, os pacotes são direcionados até o
terminador do túnel em um nó da rede
corporativa.
12-12-2018
30
3 - Acesso via Internet
Atualmente a maneira mais eficiente de conectar redes por meio da Internet é através de um link dedicado de acesso como o ADSL.
Basta que as redes disponham de uma conexão dedicada como esta para que a VPN possa ser montada.
VPN entre duas máquinas
12-12-2018
31
4 - VPN IP
Tipos de VPN IP
Existem alguns tipos de VPN IP
disponibilizadas pelas próprias
operadoras de serviços de
telecomunicações.
A diferença entre uma e outra está nos
tipos de serviços disponibilizados para
o usuário:
12-12-2018
32
VPN baseada na rede da operadora
Totalmente gerenciada pelo provedor de
serviços.
A tecnologia (ou lógica) fica sob
responsabilidade da operadora.
No cliente é instalado apenas um roteador
e configurado o serviço.
VPN IP com gestão de CPE’s
CPE = (Customer Premises Equipments)
Managed CPE-based IP VPN
O provedor de serviços instala e gere os CPE’s
que são os elementos de rede que ficam nas
instalações do cliente, além de todos os outros
dispositivos de conectividade;
12-12-2018
33
VPN In-House / ISP
Nesse caso a empresa adquire
equipamentos de um fabricante e o link
para a conectividade com a operadora,
sendo de sua responsabilidade a
implantação e o gerenciamento da VPN.
12-12-2018
34
VPN IP
A VPN IP oferece ainda a possibilidade de se
realizar a comutação dos túneis aumentando a
flexibilidade de configuração da rede corporativa.
Pode-se configurar diversos destinos baseados
no usuário.
VPN IP
Neste caso, um usuário de um setor da
empresa pode ser interligado somente com o
servidor específico daquele setor,
enquanto que um fornecedor que deseja
consultar os estoques atuais de produtos, deve
ter acesso apenas ao servidor que contêm esta
base de dados.
12-12-2018
35
Outras Aplicações para VPN na Internet
Acesso remoto via Internet.
Conexão de LANs via Internet.
Conexão de computadores numa Intranet.
Acesso remoto via Internet - Fonte: RNP
12-12-2018
36
Acesso remoto via Internet
A estação remota disca para o provedor de
acesso, conectando-se à Internet e o
software de VPN cria uma rede virtual
privada entre o usuário remoto e o servidor
de VPN corporativo através da Internet.
Conexão de LANs via Internet - Fonte: RNP
12-12-2018
37
Conexão de LANs via Internet - Fonte: RNP
Uma solução que substitui as conexões
entre LANs através de circuitos dedicados
de longa distância é a utilização de
circuitos dedicados locais interligando-as à
Internet.
O software de VPN assegura esta
interconexão formando a WAN corporativa.
Conexão numa Intranet - Fonte: RNP
12-12-2018
38
Conexão de Computadores numa Intranet
Em algumas organizações, existem dados confidenciais cujo acesso é restrito a um pequeno grupo de usuários.
Nestas situações, redes locais departamentais são implementadas fisicamente separadas da LAN corporativa.
Conexão de Computadores numa Intranet
Esta solução, apesar de garantir a
"confidencialidade" das informações, cria
dificuldades de acesso a dados da rede
corporativa por parte dos departamentos
isolados.
12-12-2018
39
Conexão de Computadores numa Intranet
O servidor VPN não irá atuar como um
roteador entre a rede departamental e o
resto da rede corporativa uma vez que o
roteador possibilitaria a conexão entre as
duas redes permitindo o acesso de
qualquer usuário à rede departamental
sensitiva.
Segurança
Autenticação
O establecimento de um túnel pode ser
retringido a utilizadores autenticados.
Encriptação
A comunicação ao longo de um túnel pode ser
encritada assegurando a confidencialidade
das informações.
12-12-2018
40
Benefícios das VPNs Seguras
Autenticação de usuários.
Gerenciamento de endereço.
Criptografia de dados.
Gerenciamento de chaves.
Suporte a múltiplos protocolos.
Autenticação de Usuários
Verificação da identidade do usuário,
restringindo o acesso às pessoas
autorizadas. Deve dispor de mecanismos
de auditoria, provendo informações
referentes aos acessos efetuados - quem
acessou, o quê e quando foi acessado.
12-12-2018
41
Criptografia de Dados
Os dados devem trafegar na rede pública
ou privada num formato cifrado e, caso
sejam interceptados por usuários não
autorizados, não deverão ser
decodificados, garantindo a privacidade da
informação.
Criptografia de Dados
O reconhecimento do conteúdo das
mensagens deve ser exclusivo dos
usuários autorizados.
12-12-2018
42
Gestão de Chaves
O uso de chaves que garantem a
segurança das mensagens criptografadas.
As chaves deves ser mantidas em segredo
compartilhado exclusivamente entre as
partes envolvidas.
A gestão de chaves deve garantir a troca
periódica das mesmas, visando manter a
comunicação de forma segura.
Suporte a Múltiplos Protocolos
Com a diversidade de protocolos
existentes, torna-se bastante desejável que
uma VPN suporte protocolos usados nas
redes públicas, tal como IP (Internet
Protocol).
12-12-2018
43
IPSEC – Internet Protocol Security
O IPSec é um protocolo padrão de camada
3 projetado pelo IETF que oferece
transferência segura de informações fim a
fim através de rede IP pública ou privada.
IPSEC – Internet Protocol Security
Essencialmente, ele pega pacotes IP
privados, realiza funções de segurança de
dados como criptografia, autenticação e
integridade, e então encapsula esses
pacotes protegidos em outros pacotes IP
para serem transmitidos.
12-12-2018
44
IPSEC – Internet Protocol Security
As funções de gerenciamento de chaves
também fazem parte das funções do
IPSec.
IPSEC – Internet Protocol Security
Tal como os protocolos de nível 2, o IPSec
trabalha como uma solução para
interligação de redes e conexões via linha
discada.
12-12-2018
45
IPSec
IPSec foi projetado para suportar múltiplos
protocolos de criptografia possibilitando
que cada usuário escolha o nível de
segurança desejado.
IPSEC – Internet Protocol Security
Requisitos de segurança
Autenticidade
Integridade
Confidencialidade
12-12-2018
46
IPSEC – Internet Protocol Security
Para implementar estas características, o
IPSec é composto de 3 mecanismos
adicionais:
AH - Autentication Header.
ESP - Encapsulation Security Payload.
ISAKMP - Internet Security Association and
Key Management Protocol.
IPSec em servidores Linux
O IPSec segue normas em projetos de
VPN e é muito utilizado para se fazer VPN
entre servidores Linux e roteadores que
provêem serviços de VPN.
12-12-2018
47
Protocolos de Segurança para VPN
IPSec (IP Security)
SSL (Secure Sockets Layer)
TLS (Transport Layer Secure)
Uma evolução do SSL.
SSL protocol stack / TLS
SSL
Handshake
protocol
SSL Change Cipher Spec
SSL Alert Protocol
Transport layer (usually TCP)
Network layer (usually IP)
SSL Record Protocol
HTTP Telnet
SSL protocols: Other protocols:
12-12-2018
48
TLS handshake protocol
Client Server
ClientHello
ServerHello
Cert if icate
Cert if icate Request
ServerHelloDone
Cert if icate
Cert if icate Verify
Change Cipher Spec
Finished
Change Cipher Spec
Finished
Establish protocol version, session ID,
cipher suite, compression method,
exchange random values
Optionally send server certificate and
request client certificate
Send client certificate response if
requested
Change cipher suite and f inish
handshake
TLS record protocol
Application data abcdefghi
abc def ghi Record protocol units
Compressed units
MAC
Encrypted
TCP packet
Fragment/combine
Compress
Hash
Encrypt
Transmit
12-12-2018
49
Segurança na camada de rede com IPSec
HTTP SMTP FTP
NNTP, ...
TCP / UDP
IP / IPSec
PPP / SSH
Application FTP SMTP HTTP … DNS …
Transport TCP UDP
Network IP
Data Link PPP
Application SSH
Transport TCP
Network IP
Data Link Ethernet ATM
Physical Cables, NICs, and so on
12-12-2018
50
Tunelamento
Tunelamento
Um quadro Ethernet, contendo um IP na sua
carga útil, saído de um host 1 na rede Ethernet é
recebido por um roteador multiprotocolo,
extremidade numa rede WAN.
O roteador remove esse pacote IP, encapsula
dentro de um pacote camada de rede da WAN,
enviando-o até o roteador multiprotocolo na outra
extremidade da rede WAN.
O roteador remove o pacote IP recebido e envia
a um host 2 na rede Ethernet remota.
12-12-2018
51
VPN segura
No caso de VPN segura, é acrescentada a
criptografia, antes do tunelamento.
Tunelamento VPN =
[ pacote xxx ]
+ [ Criptografia do pacote xxx]
+ [ Encapsulamento do pacote
criptografado sobre o pacote
encapsulador]
VPN
Um túnel constitui uma ligação privada implementada sobre uma rede pública.
Esta ligação pode interligar duas ou mais redes numa única rede privada virtual.
12-12-2018
52
GRE
Os túneis implementados a partir do
protocolo GRE são utilizados na:
interligação de redes LAN-to-LAN
interligação de diferentes nodos de uma
mesma rede pública.
GRE
Ao chegarem no roteador de destino, os
pacotes são desencapsulados (retirada
dos cabeçalhos GRE) e seguem até o
destino determinado pelo endereço de seu
cabeçalho original.
12-12-2018
53
GRE
Os túneis criados a partir do protocolo
GRE (Generic Routing Protocol) são
configurados entre os roteadores fonte
e destino, respectivamente chegada e
saída dos pacotes de dados.
Usando o Tunelamento IP
IP tunnels are often used in conjunction
with IPSec protocol to create a VPN
between two or more remote networks
across a public network such as the
Internet.
12-12-2018
54
1 - Acesso Discado
1 - Acesso Discado
A implementação de um acesso discado VPN é semelhante a uma conexão dial-up entre dois computadores em localidades diferentes.
A diferença é que os pacotes são transferidos por um túnel e não através da simples conexão discada convencional.
12-12-2018
55
1 - Acesso Discado
Por exemplo, um usuário em trânsito conecta-se com um provedor Internet através da Rede Pública de Telefonia Comutada (RTPC) e através dessa conexão estabelece um túnel com a rede remota, podendo transferir dados com segurança.
2 - Acesso via Link Dedicado
12-12-2018
56
2 - Acesso via Link Dedicado
O acesso por link dedicado, interligando dois pontos de uma rede, é conhecido como LAN-to-LAN.
No link dedicado as redes são interligadas por túneis que passam pelo backbone de rede pública.
Tunelamento IP
IP tunneling is the process of embedding
one IP packet inside of another, for the
purpose of simulating a physical
connection between two remote networks
across an intermediate network.
12-12-2018
57
GRE
And it gives to the clients the flexibility of
reconfiguring their IP architectures without
worrying about connectivity.
GRE creates a virtual point-to-point link
with routers at remote points on an IP
internetwork.
Tunelamento Nível 3
Usa tunelamento nivel 3.
Tem como objetivo transportar
protocolos de nível 3 encapsulados em
pacotes IP.
12-12-2018
58
Tunelamento Nível 2
O objetivo é transportar protocolos de nível
3, tal como o IP da Internet, encapsulados
em quadros da camada 2.
L2TP
No momento da conexão do usuário remoto
com o provedor de acesso e após a devida
autenticação e configuração, um túnel é
estabelecido até um ponto de terminação
predeterminado (um roteador, por exemplo),
onde a conexão PPP é encerrada.
12-12-2018
59
Implementações de VPN
1. VPN formada por circuitos virtuais discados.
2. VPN formada por circuitos virtuais dedicados.
3. VPN utilizando a Internet. (o que interessa).
4. VPN IP fornecida por um provedor com backbone IP.
12-12-2018
60
PPP encapsulando IP
Utilizam-se quadros PPP (Point-to-Point
Protocol), como unidades de troca de
informação, encapsulando os pacotes IP
Quadros PPoE encapsulando pacotes IP
12-12-2018
61
Protocolos L2TP e PPTP
Figura 2 – Transporte da informação
12-12-2018
62
Tunelamento compulsório
No caso da Internet, o cliente faz uma
conexão para um túnel habilitado pelo
servidor de acesso no provedor (ISP).
Tunelamento compulsório
No tunelamento compulsório com múltiplos
clientes, o túnel só é finalizado no
momento em que o último usuário do túnel
se desconecta.
12-12-2018
63
OpenVPN on Windows XP/2000
Double click installer
Can be configured as a Windows Service
that starts on boot
Some simple configuration changes in the
.ovpn config file
Just need to put the shared key or
certificates in
12-12-2018
64
VPN
Virtual Private Networks
VPN
VPN: Virtual Private Network
Extends a private network across a public
network.
Enables users to send and receive data
across shared or public networks as if
their computing devices were directly
connected to the private network.
12-12-2018
65
VPN
VPN Advantages
Greater scalability
Easy to add/remove users
Reduced long-distance
telecommunications costs
Mobility
Security
12-12-2018
66
VPN Disadvantages
Lack of standards
Understanding of security issues
Unpredictable Internet traffic
Difficult to accommodate products from
different vendors
VPN Topology: How it works
Operates at layer 2 or 3 of OSI model
Layer 2 frame – Ethernet
Layer 3 packet – IP
Tunneling
allows senders to encapsulate their data in IP packets that hide the routing and switching infrastructure of the Internet
to ensure data security against unwanted viewers, or hackers.
12-12-2018
67
Natural Encapsulation
Sata is encapsulated into units from lower level
protocol.
Tunneling protocol
A tunnel requires several protocols
Carrier / Delivery / Carregador (CP) Used by the network layer that provides the tunnel
Passenger / Payload / Passageiro (PP) Used by the data loaded into the tunnel.
level(PP) <= level(CP)
Additional Protocols
Encapsulation / tunneling
GRE, IPSec, L2F, PPTP, L2TP
Authentication
Encryption
Control
12-12-2018
68
Tunneling Protocols
The tunneling protocol allows to encapsulate the
passenger protocol into the carrier protocol.
GRE (Generic Routing Encapsulation) da Cisco.
L2TP (Layer 2 Tunneling Protocol) da IETF (Internet
Engineering Task Force).
PPTP (Point-to-Point Tunneling Protocol) da
Microsoft.
IPsec (Tunneled mode)
Tunnel Types
• Host To Host
• Host To Security Gateway
• Security Gateway To Security Gateway
• Security Gateway = Firewall
• Also refered to as Network (i.e. Network To Network)
12-12-2018
69
Host To Host
Host A Host B
IPsec (SA)
Other Hosts
Host To Security Gateway
Host A Security
Gateway
IPsec (SA)
Other Hosts IPC-NAT ROUTE
Internal
Network
OR No IPsec
12-12-2018
70
Security Gateway to Security Gateway
Security
Gateway
IPsec (SA)
IPC-NAT ROUTE
Internal
Network
OR
Security
Gateway
Internal
Network
Example of packet encapsulation
12-12-2018
71
VPN Components: Security
Encryption
Technique for scrambling and unscrambling
information
Unscramble – called clear-text
Scrambled information – cipher-text
VPN Components: Security
Authentication
Determine if the sender is the authorized
person and if the data has been redirect or
corrupted
User/System Authentication
Data Authentication
12-12-2018
72
GRE - Header
Bits 0–4 5–7 8–12 13–15 16–31
C R K S s Recur Flags Version Protocol Type
Checksum (optional) Offset (optional)
Key (optional)
Sequence Number (optional)
Routing (optional)
GRE – Header Fields (1)
C, Checksum Present. 1 bit.
The Checksum field is present and contains valid information if set.
R, Routing Present. 1 bit.
If set then the Routing field is present and contains valid information.
K, Key Present. 1 bit.
If set then the Key field is present and contains valid information.
S, Sequence Number present. 1 bit.
The Sequence Number field is present and contains valid information.
s, Strict Source Route. 1 bit.
Defined in other documents.
Recur, Recursion Control. 3 bits, unsigned integer.
The number of additional encapsulations which are permitted.
Flags. 5 bits.
These bits are reserved and must be transmitted as 0.
Version. 3 bits.
GRE protocol version. Must be cleared to 0.
12-12-2018
73
GRE – Header Fields (2)
Protocol. 16 bits.
The Ethernet protocol type field for the packet.
Checksum. 16 bits.
Optional. Contains the checksum of the GRE header and the payload packet.
Offset. 16 bits.
Optional. Indicates the byte offset from the start of the Routing field to the first
byte of the active Source Route Entry.
Key. 32 bits.
Optional. May be used by the receiver to authenticate the source of the packet.
Sequence Number. 32 bits, unsigned.
Optional. May be used by the receiver to establish the order of the packets.
Routing. Variable length.
Optional. This field is a list of SREs.
Encapsulation GRE
IP Header
Protocol = ?
Dest = Pivate IP
GRE Header
Protocol = IP
IP Header
Protocol = GRE
Dest = Public_IP
Passenger Datagram
Carrier Datagram
12-12-2018
74
PPTP
Point-to-Point Tunneling Protocol
Microsoft, Ascend, 3Com, +
Tunnel with IP as the carrier protocol.
IP / PPP / GRE / IP
Additional TCP channel TCP for control.
Voluntary tunneling method
Uses PPP (Point-to-Point Protocol)
Implementation MS-Windows:
Encryption: MPPE (Microsoft Point-to-Point Encriptation)
Authentication: PAP, CHAP, MS-CHAP or EAP-TLS
L2TP
Layer 2 Tunneling Protocol
IETF (Internet Engineering Task Force).
RFC 2661, L2TPv3: RFC 3931
Exists at the data link layer of OSI
Composed from PPTP and L2F (Layer 2
Forwarding)
Compulsory tunneling method
12-12-2018
75
L2TP Packet
Bits 0–15 Bits 16–31
Flags and Version Info Length (opt)
Tunnel ID Session ID
Ns (opt) Nr (opt)
Offset Size (opt) Offset Pad (opt)......
Payload data
IPsec
IPsec = IP Security Protocol
Surgiu para fornecer segurança no nível de IP.
Norma desenvolvida pela IETF desde 1992;
Primeira versão lançada em 1995;
Versão melhorada, com administração
dinâmica dos parâmetros de segurança (IKE),
em 1998;
Requisito em IPv6
Permite criar redes privadas virtuais (VPNs)
Implementa segurança
(Confidencialidade, Autenticação, …
12-12-2018
76
Solução com IPsec
Confidencialidade dos dados;
Verificação de integridade;
Autenticidade dos dados transmitidos;
Controlo de acesso;
Segurança contra reutilização de
pacotes.
Alta segurança quando usado com
algoritmos fortes;
Não substitui as soluções já existentes de
segurança, mas adiciona funcionalidades.
IPsec
Opera na camada de rede;
Processa todos os datagramas IP;
Protege todas as aplicações de modo transparente;
Pode ser implementado em qualquer nó da rede;
Permite políticas específicas
para cada ligação;
Opcional no IPv4;
Norma integrante do IPv6.
12-12-2018
77
Typical TCP/IP packet
Frame Header (Layer 2)
IP Header (Layer 3)
TCP/UDP Header (Layer 4)
Application Layers (5-7) / Data
IP Hdr TCP/UDP Data
or
Frame Hdr
IPSec Modes
Transport mode
• Não encripta o pacote completo.
• Usa o Cabeçalho IP original
• Rápido
Tunnel mode
• Encripta o pacote completo, incluindo o cabeçalho IP (ESP)
• Cria um novo cabeçalho IP
• Mais pesado
12-12-2018
78
Transport Mode
http://www.gtsllcus.com/services.php
Tunneling Mode
http://www.gtsllcus.com/services.php
12-12-2018
79
Protocolos de Segurança
IKE – IPsec Key Exchange
Usado na fase inicial para negociar a Associação de
Segurança (SA)
A Associação de Segurança (SA) define o protocolo de
segurança (AH / ESP) a utilizar nas comunicações.
AH – Authentication Header Cabeçalho de autenticação;
ESP – Encapsulation Security Payload Encapsulamento de Segurança da Carga útil; ESP pode incluir Autentição.
IKE
IKE – IPsec Key Exchange
RFC 2409
Protocolo da camada de aplicação.
• UDP port 500
• Usa ISAKMP
• Internet Security Association and Key Management Protocol
Norma para administração de chaves no IPsec.
Negociação de parâmetros;
Troca de chaves;
Autenticidade dos pontos.
12-12-2018
80
Negociação IKE
• Duas fases
• Fase 1 – Estabelece SA's para ambos os
sentidos.
• Usando Certificados ou Segredos pré-partilhados ?
• Main Mode ou Aggressive Mode ?
• Fase 2 – Negociação dos Protocolos de
segurança:
• How shall I encrypt you data today?
• AH ou ESP ?
• Modo Túnel ou Transporte ?
AH – Cabeçalho de Autenticação
Oferece:
Autenticação da fonte;
Integridade de dados.
Adiciona um cabeçalho ao datagrama IP;
Protocolo IP 51;
RFC 2402.
IP Hdr AH TCP/UDP Data
Transport Mode
IP Hdr AH TCP/UDP Data
IP Hdr AH Data New IP Hdr AH TCP/UDP Org. IP Hdr
Tunnel Mode
Não oferece:
Sigilo.
12-12-2018
81
AH - Cabeçalho de Autenticação
Datagrama:
Modo de transporte:
Modo Túnel:
IPSec support
• OpenBSD, FreeBSD, NetBSD
• Linux
• Solaris
• Windows 2000+ (Native)
• Windows NT/95/98/Me (Add-on)
• Cisco IOS (PIX and Routers)
• Others ....
12-12-2018
82
OpenVPN - Modes
Routed IP tunnels (layer 3)
More efficient then bridged Ethernet tunnels
Easier to configure
Bridged Ethernet tunnels (layer 2)
Can tunnel IP and non-IP traffic
IPX, NetBEUI, etc
Both sides of VPN see network broadcasts
Required for some LAN games
OpenVPN
OpenVPN manage user space VPNs.
Portable.
Familiar daemon-style usage.
No kernel modifications required.
State-of-the-art cryptography layer
provided by the OpenSSL library.
Easy config dynamic addresses or NAT.
Supports Linux, Windows, Mac OS X,
xBSD, and Solaris.
12-12-2018
83
OpenVPN example
Server
openvpn --config server.cfg
Server.cfg
dev tun
ifconfig 10.8.0.1 10.8.0.2
secret static.key
openvpn --config client.cfg
Client.cfg
remote myremote.mydomain
dev tun
ifconfig 10.8.0.2 10.8.0.1
secret static.key
Client
openvpn --genkey --secret static.key
scp static.key [email protected]:
Companies with VPN