Redes de Computadores

Transcrição

1 Introdução Redes de Computadores Virtual Private Network (VPN) Trabalho sob a Licença Atribuição-SemDerivações-SemDerivados 3.0 Brasil Creative Commons. Para visualizar uma cópia desta licença, visite Aula 27 Os protocolos Internet (TCP/IP) não são seguros Necessidade de inserir garantias para segurança da informação Duas correntes ideológicas fim a fim : a segurança é uma questão dos processos que se comunicam (camada de aplicação ou camada de transporte) infraestrutura de rede :autentica e/ou cifra os datagramas sem envolver as aplicações IP security Aplicação TCP/UDP Hardware Redes de Computadores 2 IPv4 IP Security () Características do é uma especificação de um conjunto de serviços Nem todos querem pagar o preço computacional necessário a criptografia Fornece uma estrutura e um mecanismo deixando a escolha do usuário o tipo de cifragem, autenticação e métodos de hashing Descrito nas RFCs 2401, 2402 e 2406 Benefícios de Transparente para as aplicações (abaixo do nível de transporte TCP/UDP) Oferece seguranca para usuários individuais Principais serviços: Confidencialidade, integridade e autenticidade Proteção contra ataques de reprodução (reply) É um protocolo orientado a conexão ( à la TCP ) Security Association (SA) na terminologia Objetivo é amortizar os custos de configuração da segurança SA é uma conexão é unidirecional (simplex) Possui um identificador associado a ela Comunicação bidirecional necessita duas SAs Dois modos de operação: Transporte e túnel Dois protocolos de segurança: Authentication Header (AH) e Encapsulating Security (ESP) Redes de Computadores 3 Redes de Computadores 4 1

2 Modo de transporte (operação) Modo de túnel (operação) Protege apenas a carga útil (payload) de um datagrama IP Corresponde a T-PDU (cabeçalho TCP/UDP + dados) Emprego típico Proteção de dados fim a fim Emissor autentica e/ou cifra os dados e receptor verifica integridade e/ou decifra Camada de transporte (TCP/UDP) 1 2 IPv4/v6 3 IP-H IPSec-H PDU-transporte PDU-transporte Área de dados datagrama IP IPSec-T H = Header; T = Tail Redes de Computadores 5 Protege o datagrama IP inteiro Cria um novo datagrama IP com um cabeçalho com informações diferentes do datagrama IP original Emprego típico Usado entre dois sistemas intermediários (roteador) ou entre um sistema intermediário e um sistema final Camada de transporte (TCP/UDP) 1 IPv4/v IP-H IPSec-H Datagrama IP Area de dados datagrama IP IPSec-T H = Header; T = Tail Redes de Computadores 6 IP-H PDU-transporte Dados datagrama Protocolo Authentication Header (AH) Descrição dos campos do protocolo AH Objetivos: Autenticar a origem e assegurar a integridade da mensagem Não oferece confidencialidade Procedimento: Calcula uma função de resumo (hash) com o corpo da mensagem usando uma função de hashing e uma chave simétrica Chave é negociada antes de se instalar a SA Insere o resumo no cabeçalho AH antes da área de dados (payload) O cabeçalho IP é adicionado indicando 51 como tipo de protocolo Redes de Computadores 7 TCP, UDP, ICMP etc Tamanho do cabeçalho AH em palavras de 32 bits Identificador da conexão Fornece a ordem dos datagramas enviados (mesmo em retransmissões é único) Resumo da área de dados original + campos do IP Redes de Computadores 8 2

3 Protocolo Encapsulating Security Payload (ESP) Descrição dos campos do protocolo ESP Objetivo: Fornecer autenticação de origem, integridade e confidencialidade Procedimento: Uma rabeira ESP é adicionada a área de dados do datagrama A área de dados e a rabeira são cifrados, formando uma nova área de dados Um cabeçalho ESP é adicionado a nova área de dados novo datagrama Gera informação de autenticação (MAC) do novo datagrama Agrega autenticação no final da rabeira Insere cabeçalho IP indicando 50 como tipo de protocolo Identificador da conexão Fornece a ordem dos datagramas enviados (mesmo em retransmissões é único) Resumo da área de dados original + rabeira + cabeçalho ESP Tamanho da área De padding TCP, UDP, ICMP etc Redes de Computadores 9 Redes de Computadores 10 Security Association (SA) Gerenciamento de Chaves Estabelecido através de um protocolo de sinalização Define uma conexão entre dois pontos Identificada por: Um SPI (Security Parameter Index) que age como um identificador de circuito virtual ou par de endpoints (sockets) Tipo do protocolo usado para a segurança (AH ou ESP) O endereço IP de destino Security Association Database (SAD) Armazenamento local (em cada ponto) das informações da AS Indexada pelo SPI Relacionado com a determinação e a distribuição de chaves Dois tipos: Manual: configurado pelo administrador da rede Automática: gerado sob demanda Oakley Key Determination Protocol (Internet Key Excahnge ike) Baseado em Diffie-Hellman SKEME Protocolo para troca de chaves Internet Security Association and Key Management Protocol (ISAKMP) Define formatos de pacotes Redes de Computadores 11 Redes de Computadores 12 3

4 Virtual Private Network (VPN) VPN: tipos de acesso Necessidade: Prover acesso remoto a recursos da rede corporativa Interligar redes geograficamente dispersas como fossem uma só Soluções: Criar rede privada fisicamente (infraestrutura própria ou aluguel de linhas) Não resolve problema do usuário remoto (pode estar em diversos lugares) Usar a infraestrutura pública da Internet para prover uma rede privada (VPN) Uma VPN Conexão privada e segura sobre a rede pública (Internet) Usa protocolos para tunelamento, cifragem, autenticidade e integridade Necessita de uma ponta origem e outra ponta destino Dois tipos básicos Remoto: estende o acesso a rede corporativa para usuários remotos Iniciado no dispositivo do próprio usuário (voluntária) OU Realizado pelo provedor de serviço (Network Access Server NAS) Intranet/Extranet: conecta locais fixos dispersos (filiais a matriz) pertencentes a rede corporativa (Intranet) ou com redes parceiros externos (extranet) Estabelecida de forma compulsória Configuração de roteadores ou rede do provedor de acesso Redes de Computadores 13 Redes de Computadores 14 Tipos de VPN VPN e Site X Trusted VPN Serviço oferecido por provedores de telecomunicação Executa segregação de tráfego via circuitos virtuais (Frame relay, ATM, MPLS) Não realiza, necessariamente, cifragem dos dados Permite o estabelecimento de SLAs e QoS Secure VPN Executa cifragem de dados e autenticação Criação de túneis seguros sobre a infraestrutura de rede pública (Internet) Usa protocolos em diferentes camadas Nível 2: PPTP, L2F, L2TP, GRE Nivel 3: Nível de aplicação: SSL, OpenVPN, etc Cabeçalho IP Site A M1 Cabeçalho Roteador R A Payload seguro M1 para M2 Internet R A para R B Emprega o modo túnel Usuário remoto Site B Roteador R B M2 Redes de Computadores 15 Redes de Computadores 16 4

5 Problemas com e NAT IPv6 e segurança Cabeçalhos não possuem informação de porta Impossível passar através de redes intermediárias que usam NAT Demultiplexação feita pelo NAT exige conhecimento da porta No protocolo ESP essa informação está cifrada Soluções: sobre UDP OpenVPN (nível aplicação, portanto, encapsulada em TCP/UDP) IPv6 Possui nativamente o em sua pilha Importante: ter suporte nativo não significa que ele é automaticamente configurado O protocolo de segurança a ser usado deve ser configurado Suporte a AH e a ESP através de cabeçalhos de extensão Pontos interessantes O IPv6 dispensa o uso de NAT (NAP-T, na verdade) e, assim, comunicação volta a ser fim-a-fim Cabeçalhos de extensão de segurança são manipulados somente pela origem e pelo destino Redes de Computadores 17 Redes de Computadores 18 Estrutura do pacote Internet Protocol version 6 Acaabooouu... (parte teórica) 40 bytes Zero ou mais variável IPv6 Header Header extensão... Header extensão Transporte (TPDU) A. Carissimi -5-juil.-17 Cabeçalho (header) de tamanho fixo de 40 bytes Simplificado em relação ao IPv4 (menos campos) Seguido por headers de extensão (opcionais) Hop-by-hop, routing, fragment, authentication, encapsulating security, destination options Não é necessário a presença de todos, porém os que existirem deverão respeitar essa ordem 05/07/2017 Mas vocês ainda tem trabalho pela frente... Prova 2: 10 de julho de 2017 Prova de recuperação: 19 de julho de 2017 (que todos estejamos de férias!!!) Redes de Computadores 19 Sistemas Operacionais I 20 5

6 Leituras complementares Princípio de funcionamento Tanenbaum, A.; Wethreall, D. Redes de Computadores (5 a edição), Editora Pearson Education, Capítulo 8 (seções e 8.6.3) Carissimi, A.; Rochol, J; Granville, L.Z; Redes de Computadores. Série Livros Didáticos. Bookman Capítulo 8 (seção 8.4.2) Kurose, J.F.; Ross, K.W. Redes de Computadores e a Internet: uma abordagem top-down. 5 a edição. Addison-Wesley. São Paulo Capítulo 8 (seção 8.6.1) Emprega Ipsec (ESP) no modo túnel Os datagramas de comunicação entre as máquinas 100 e 200 são tunelados sobre um datagrama IP enviado, no caso, pelos roteadores responsáveis por implementar a VPN. Redes de Computadores 21 Redes de Computadores 22 Modo de transporte Modo túnel Cabeçalho é inserido logo após o cabeçalho IP Cabeçalho é colocado na frente do cabeçalho IP e o resultado é encapsulado em novo datagrama IP Particularmente útil quando o túnel seguro não inicia/termina nos sistemas finais (ex. entre firewalls) Redes de Computadores 23 Redes de Computadores 24 6

7 VPN e Cliente VPN Site A M1 IP Roteador R A M1 para M2 Internet R A para R B Roteador R B Site X Usuário remoto Redes de Computadores 25 M2 Site B Estudo de caso: VPN baseada em Emprega o protocolo ESP em modo túnel para criar uma rede privativa na Internet (VPN) Implementa tanto VPN para acesso remoto como intranet/extranet Normalmente: cria uma rede IP paralela a rede corporativa utiliza os endereços privativos ou não roteáveis /8 ; /12 e /16 Redes de Computadores 26 7