Redes Seguras: Uma visão sobre VPNs e soluções de código aberto para implementá-las

Transcrição

1 Redes Seguras: Uma visão sobre VPNs e soluções de código aberto para implementá-las Jonathan Giusti Reveilleau, Carlos Adriani Lara Schaffer Curso de Ciência da Computação Instituto de Ciências Exatas e Geociências Universidade de Passo Fundo UPF Caixa Postal Passo Fundo RS Brasil 50031@upf.br, schaeffer@upf.br Abstract. This paper presents the design of VPN - Virtual Private Network, which is a means of transmitting sensitive or private data for infrastructure network common to all: the Internet. In the current context of data traffic, due to the global reach of the Internet, becomes one of the only acceptable and further secure forms to guarantee of authenticity, integrity and privacy as well as access control and security against known attacks. As an alternative to high cost of proprietary VPN systems, open source tools that combine all these premises reliably will be presented. Resumo. Este artigo apresenta a concepção de VPN Virtual Private Network, (Rede Privada Virtual), que é um meio de trafegar dados importantes ou privados pela infraestrutura de rede comum à todos: a Internet. No contexto atual da trafegabilidade de dados, devido ao alcance global da internet, se torna uma das únicas formas aceitáveis e ainda seguras de garantia de autenticidade, integridade e privacidade, além de controle de acesso e segurança contra ataques conhecidos. Como alternativa aos altos custos dos sistemas de VPN proprietários, serão apresentadas algumas ferramentas de código aberto que aliam todos estas premissas de maneira confiável. 1 Introdução A atual dinâmica mundial permite que muitos negócios tenham de expandir e levar em conta o mercado e a logística globais. As organizações têm instalações espalhadas pelo país e pelo mundo, possuem informações sigilosas que exigem cuidados para protegêlas, e a necessidade de comunicação e transferência de dados entre as unidades dessas empresas é indiscutível. Utilizar redes de longa distância, linhas dedicadas, redes de pacotes, entre outros, notoriamente seriam alternativas mais vantajosas que a internet quando se trata de comunicação rápida, confiável e segura, porém, uma rede privada nessas condições somente se fossem alguns poucos equipamentos com um mínimo de segurança. Aumentando o número de equipamentos e consequentemente a segurança, a rede seria inviabilizada por uma questão de custos. Em se tratando de grandes distâncias e globalmente falando, se torna muito caro e complicado. Com a popularização da internet, com seu alcance mundial, e motivadas pelo lado financeiro e prático da questão, essas empresas começaram a pensar em uma forma de utilizar a infraestrutura de rede pública para conectar suas redes privadas, o que em termos de custo era muito interessante, mas em termos de privacidade não. Dados

2 privados precisam ser transmitidos pela internet, um meio inseguro, e estes dados não devem ser interceptados e nem modificados até chegarem ao seu destino. A segurança é a mais importante função de uma VPN, que atualmente é a única opção quando se quer aliar essa segurança com integridade de dados. Os pacotes de dados são transmitidos através da internet por uma técnica cuja existência é anterior às VPNs chamada tunelamento, onde é criado um túnel privado que simula uma conexão ponto-a-ponto. Contudo, a aplicação de uma VPN sobre a internet exige alguns serviços de segurança combinados, não basta apenas criar túneis criptografados para garantir segurança. A aplicação correta de serviços como firewall, proxies, sistemas de detecção de intrusos, backup, autenticação, antivírus, certificação, honeypots e outros deve ser atentamente levada em consideração. Qualquer modelo de segurança que possa ser aplicado em um modelo de VPN pode ser invadido ou corrompido por melhor que seja. Isso ocorre devido ao fato de que sistemas são operados por seres humanos, passíveis de falhas. Existem diversos tipos de ataques que uma empresa pode sofrer, principalmente utilizando a internet, e não há como prever esses tipos de ataque. Segundo STALLINGS (1999a apud GUIMARÃES; LINS; et al, 2006), qualquer metodologia ou abordagem adotada em uma organização deve considerar três aspectos de segurança da informação: Ataques de Segurança: são quaisquer ações que possam comprometer a disponibilidade, integridade, sigilo e autenticidade de uma informação pertencente a uma organização; Mecanismos de Segurança: são mecanismos projetados para detectar, prevenir ou se recuperar de um ataque de segurança; Serviços de Segurança: são funções que aumentam o nível de segurança dos sistemas de processamento de dados e das transmissões de informação de uma organização. Estes serviços podem utilizar um ou mais mecanismos de segurança. 2 Conceitos Gerais de VPN Uma definição simples, mais aproximada e menos formal sobre VPN: Uma VPN é uma rede privada construída sobre uma infraestrutura pública, como a internet (FERGUSON; HUSTON, 1998). Através dessa definição, uma VPN pode ser descrita como sendo um ambiente de comunicação com acesso controlado, permitindo conexões seguras, fazendo uso de uma infraestrutura de rede pública como a internet. É uma conexão que tem a aparência e algumas vantagens de uma conexão dedicada, com a diferença de ser implementada sobre uma rede compartilhada. A internet utiliza para comunicação o protocolo IP, para encaminhamento de pacotes de dados, e esse protocolo não tem mecanismos de segurança confiáveis, o que torna o tráfego de dados totalmente inseguro. Então, para resolver esse problema, é necessário adicionar protocolos e mecanismos para garantir a segurança das informações contidas em um datagrama IP.

3 2.1 Criptografia Figura 1. VPN A palavra Criptografia significa escrita secreta, vem do grego kryptós, "escondido", e gráphein, "escrita", e é o estudo dos princípios e técnicas pelas quais a informação pode ser transformada da sua forma original para outra ilegível, de maneira que possa ser lida apenas por seu destinatário. O texto original é chamado de plaintext e o texto cifrado é chamado de ciphertext. Atualmente, não há outra forma de se conseguir privacidade, autenticidade, integridade, não-repúdio e controle de acesso sem o uso de criptografia. A criptografia pode ser genericamente classificada em três diferentes dimensões (GUIMARÃES; LINS; et al, 2006): Quanto aos tipos de cifras, que podem ser de substituição, onde cada elemento do texto é simplesmente substituído (mapeado) por outro elemento, ou de transposição, onde os elementos do texto são simplesmente embaralhados. Quanto à simetria das chaves, que pode ser simétrica (secreta), ou assimétrica (pública). Quanto ao modo de operação de cifra, que comumente são quatro: Modo Electronic Code Book (ECB), modo de encadeamento de blocos de cifras, modo de feedback de cifra, modo de cifra de fluxo Criptografia Simétrica A criptografia simétrica ou de chave secreta, como o próprio nome diz, é baseada na simetria das chaves, ou seja, a mesma chave utilizada para cifrar será utilizada para decifrar a mensagem. Como desvantagem existe o fato de que como apenas uma chave é utilizada por cada par de entidades comunicantes, a segurança deve ser rigorosa, e se houver muitas entidades querendo se comunicar de forma segura, serão necessárias muitas cópias dessa chave, e a gerência da mesma ficará cada vez mais difícil.

4 Desenvolvido por James Yonan e publicado como software livre, O OpenVPN é uma solução de VPN SSL que permite que as pontas da VPN se autentiquem via chave privada ou usuário/senha. Acomoda uma ampla gama de configurações, permite autenticação ponto-a-ponto através de chaves secretas compartilhadas, certificados digitais ou autenticação com usuário e senha. Quando utilizado em modo multiclientserver ele permite que cada cliente utilize a autenticação pública com certificados digitais, fazendo isto através de assinaturas digitais e autoridades certificadoras. Utiliza extensivamente a criptografia OpenSSL, e também os protocolos SSLv3/TLSv1. Ele contém muitos recursos de controle se segurança, não é um cliente VPN baseado em web, não é compatível com IPsec ou PPTP/L2TP. Todo pacote do OpenVPN consiste em apenas um binário tanto para conexões do lado do cliente quanto para conexões do lado do servidor. Possui como características principais: Túnel de qualquer sub-rede IP; Utiliza criptografia, autenticação e certificação de recursos da biblioteca OpenSSL para proteger o tráfego da rede privada, uma vez que transita pela internet; Pode criar túneis onde o endereço do ponto final é dinâmico, como por exemplo com DHCP ou clientes dial-in; Pode criar túneis sobre NAT; Pode criar túneis escaláveis, com balanceamento de carga, utilizando um ou mais sistemas aceitando conexões dinâmicas para milhares de clientes VPN; Utiliza duas interfaces para conexão: A TUN, que simula a camada 3 ou rede (OSI), e a TAP, que simula a camada 2 ou enlace (OSI); É executado no chamado user space, a área do S.O. menos privilegiada e utilizada para execução de diversos aplicativos. 4. Considerações Finais As premissas básicas das VPNs são: privacidade, autenticidade e integridade. Só são conseguidas se forem utilizadas as técnicas de tunelamento e criptografia, aliadas aos mecanismos de transmissão dos protocolos que podem ser utilizados. É necessário esse conjunto para que pacotes de dados possam ser transmitidos via infraestrutura de rede pública com alguma segurança. Não se pode garantir segurança máxima porque não vivemos num paraíso onde as pessoas direcionam todo o seu conhecimento para o bem, e os hosts e roteadores em que os dados passarão a maior parte do trajeto são desconhecidos e em um território pouco familiar. Implementar uma VPN requer uma análise criteriosa dos requisitos, principalmente aqueles relacionados com segurança, custos, qualidade e facilidade de uso, que variam de negócio pra negócio. Para a realização deste trabalho foi montada uma estrutura numa das salas de aula do Laboratório Central de Informática da Universidade de Passo Fundo, contendo quatro microcomputadores e dois roteadores, simulando duas redes distintas como se

5 fossem redes de empresas distantes geograficamente. Os microcomputadores utilizavam Sistema Operacional baseado em Linux Ubuntu Para tal foi utilizada a ferramenta OpenVPN, já disponibilizada pelo sistema operacional e com boa documentação sobre o assunto. A implementação da VPN se mostrou relativamente fácil (seguindo os passos da documentação do S.O.), e os testes demonstraram que a ferramenta é segura e eficaz. Não foram executados testes com a ferramenta FreeS/WAN, mas a bibliografia utilizada neste trabalho traz testes realizados e estudos de caso, demonstrando que os passos de instalação e configuração da ferramenta, comparados aos utilizados para implementar com OpenVPN são mais complexos e pouco amistosos. Porém segundo GUIMARÃES; LINS; et al, (2006 p.139), o padrão IPSec é o mais indicado para interligação de redes corporativas, pois alia transparência, simplicidade, flexibilidade, fácil manutenção e fácil implementação. 5. Referências 3Link Company Limited (2006) Vitual Private Network (VPN) Boletim Tecnológico Diretoria de Informática/TJPE Sessão de Projetos e Novas Tecnologias (2006) Dicas da Hora - Assinatura Digital, Maio. Departamento de Engenharia Eletrônica e de Computação - Universidade Federal do Rio de Janeiro UFRJ (2003) VPN - Virtual Private Network Junho FERGUSON, Paul; HUSTON, Geoff (1998) What Is a VPN? Part II. The Internet Protocol Journal - Volume 1, No. 2 CISCO, /web/about/ac123/ac147/archived_issues/ipj_1-2/what_is_a_vpn.html, Abril. FERGUSON, Paul; HUSTON, Geoff (1998) What Is a VPN? Part I. The Internet Protocol Journal - Volume 1, No. 1 CISCO, /web/about/ac123/ac147/archived_issues/ipj_1-1/what_is_a_vpn.html, Abril. GUIMARÃES, Alexandre; LINS, Rafael Dueire; OLIVEIRA, Raimundo (2006) Segurança Com Redes Privadas Virtuais VPNs Rio de Janeiro: Editora Brasport. HowStuffWorks Brasil (Como Tudo Funciona) Como funciona uma VPN Março. Instituto de Matemática e Estatística - IME/USP (2001) Informação, Comunicação e a Sociedade do Conhecimento - Segurança, Criptografia, Privacidade e Anonimato Março. Introdução a redes Cisco (2006) Guia de configuração MARCELO, Antonio (2007) OpenVPN Guia Rápido do Administrador de Redes Rio de Janeiro: Editora Brasport. OpenVPN Technologies (2010) Junho ORTIZ, Eduardo Bellicanta (2003) VPN: Implementando Soluções com Linux. Ed. Érica, São Paulo-SP.

6 RICCI, Bruno (2007) Rede Segura: VPN Linux Rio de Janeiro: Editora Ciência Moderna. RNP Rede Nacional de Ensino e Pesquisa - Boletim bimestral sobre tecnologia de redes (1998) vol 2, Rede Privada Virtual Março. SILVA, Lino Sarlo (2003) Virtual Private Network VPN Aprenda a Construir Redes Privadas em Plataformas Linux e Windows São Paulo: Editora Novatec. STALLINGS, William (1999) Data & Computer Communications, Sixth Edition, Ed. Prentice Hall, USA. The Linux FreeS/WAN Project (2004) Junho TOWNSLEY, W., VALENCIA, A., RUBENS, A., PALL, G., ZORN, G., PALTER, B. (1999) Layer Two Tunneling Protocol L2TP, IETF RFC Universidade Federal do Rio de Janeiro - UFRJ - Departamento de Engenharia Elétrica (2008) Redes Privadas Virtuais, Maio. Universidade Federal do Rio de Janeiro UFRJ Departamento de Engenharia Elétrica (2008) Redes Privadas Virtuais Abril. Universidade Federal do Rio de Janeiro UFRJ Departamento de Engenharia Elétrica (1999) VPN - Virtual Private Network vpn.html#1, Abril. Universidade Federal do Rio de Janeiro UFRJ Grupo de Teleinformática e Automação (2002) Rede Privada Virtual semin2002_1/ivana/, Junho. Universidade Federal do Rio de Janeiro UFRJ Departamento de Informática Protocolos de Segurança IP IPSec trabalhos_vf_2009_2/gabriel/modosdeoperacao.html. Junho