Virtual Private Network (VPN)

Transcrição

1 Virtual Private Network (VPN) Daniel Gurgel CCNP CCDP CCIP RHCE

2 Introdução a VPN Networks Provem conexão segura na Internet com usuários e escritórios remotos. Depois de conectados, fornecem os mesmos recursos de segurança oferecidos por linhas privadas.

3 Benefícios das VPNs Redução de custos VPNs permitem que as organizações estabeleçam conexões entre si da mesma forma que em linha alugadas. Segurança Usam algoritmos para encriptação e autenticação para proteger que os dados sejam acessados de forma não autorizada Escalabilidade Usando a estrutura da Internet, é possível adicionar um novo peer sem alterar a infraestrutura da organização.

4 VPN Site-to-Site Site-to-Site Atuam como uma extensão da rede, conectando redes entre si. O VPN gateway é responsável por encapsular e encriptar todo o tráfego sainte para um destino. O VPN Gateway pode ser um roteador, um firewall ou um Cisco ASA (Adaptative Security Appliance).

5 VPN Site-to-Site

6 VPN Remote Access Remote Access Tem a função de conectar hosts ou usuários remotos utilizando a infraestrutura da Internet.

7 Componentes Hardware e software podem ser usados para estabelecer a conexão: VPNs através do IOS em roteadores Clientes VPNs Cisco ASA

8 IPSEC IPSEC é um protocolo padrão que atua na camada de rede, protegendo os dados transmitidos entres dois ou mais peers (hosts, roteadores ou gateways). O IPSEC prover as seguintes funções: Confidencialidade: Pacotes são encriptados antes de serem transmitidos na rede.

9 IPSEC Integridade dos Dados: O receptor pode verificar se os dados não foram alterados. Isso é feito através de checksums. Autenticação: Garante que a conexão seja estabelecida entre o peer desejado. Anti Relay: Verifica se cada pacote é único e não duplicado. Isto é feito comparando o número de sequência dos pacotes recebidos.

10 Confidenciabilidade IPSEC prover a confiabilidade encriptando os dados, tornando os mesmos de forma ilegível.

11 Algoritmos de Criptografia O grau de segurança depende do comprimento da chave do algoritmo de criptografia. Um chave pequena torna o processo de decriptografia mais fácil.

12 Algoritmos de Criptografia IKE (Internet Key Exchange): Protocolo que fornece para o IPSec a autenticação dos Peers, negociação do IKE, IPSec security associations e estabelecimento de chaves que são usadas pelos protocolos de criptografias. Aparece nas configurações como ISAKMP. IPSEC suporta os seguintes algoritmos de criptografia:

13 Algoritmos de Criptografia DES, 3DES e AES: Algoritmos que fazem a criptografia dos dados. O DES utiliza chaves de 56 bits, o 3DES usa 168 bits e o AES pode trabalhar com chaves de 128, 192 e 256 bits, sendo o mais forte (também é o que consome mais processamento ). Utilizam chave simétrica. MD5 e SHA-1: Algoritmos usados para autenticar os pacotes. Para isso o SHA-1 utiliza um algoritmo que produz um digest de 160 bits, sendo mais seguro que o MD5, que cria um digest de 128 bits.

14 Algoritmos de Criptografia DH (Diffie-Hellman): Protocolo de criptografia com utilização de chaves públicas que foi criado em 1976 por Whitfield Diffie e Martin Hellman. O Diffie-Hellman (DH) Key Exchange realiza uma troca de chaves públicas simétricas compartilhadas para criptografar e descriptografar um canal.

15 Algoritmos de Criptografia Grupos Diffie-Hellman (DH) determinam a força da chave utilizada no processo de troca de chaves. Os números mais altos do grupo são mais seguras, mas exigem mais tempo para calcular a chave. Group bit Diffie-Hellman group. Group bit Diffie-Hellman group. Group bit Diffie-Hellman group.

16 Integridade dos Dados Para garantir a integridades dos dados, IPSEC utiliza um algoritmo para adicionar um hash a mensagem, garantindo assim que não houve alteração dos dados. Dois tipos comuns de algoritmos HMAC (Hash-based Message Authentication Code) utilizados pelos IPSEC são...

17 Integridade dos Dados Message Digest Algorithm 5 (MD5): Usa uma chave secreta de 128 bits. A mensagem e a chave são combinadas, em seguida o algoritmo é executado, formando um hash de 128 bits. O hash é adicionado a mensagem original e então enviado ao host remoto. Secure Hash Algorithm-1 (SHA-1): Utiliza uma chave secreta de 160 bits. A mensagem e a chave são combinadas, em seguida o algoritmo é executado, formando um hash de 160 bits. O hash é adicionado a mensagem original e então enviado ao host remoto.

18 Autenticação Os peers devem se autenticar para estabelecer a comunicação, seguem dois métodos: Pre-Shared Keys (PSK): A chave é informada manualmente em cada peer para autenticação. Rivest, Shamir, and Aldeman (RSA) signatures: Usa a troca de certificados digitais para autenticação dos peers.

19 Protocolos de Segurança ESP e AH São cabeçalhos adicionais que fornecem o armazenamento de funções necessárias para o uso de VPNs. Dois protocolos são definidos: ESP: Encapsulating Security Payload (Protocolo 50) AH: IP Authentication (Protocolo 51)

20 Protocolos de Segurança ESP e AH Recurso Suportado pelo ESP Suportado pelo AH Autenticação Sim (fraco) Sim (Forte) Integridade da mensagem Sim Sim Criptografia Sim Não Anti Relay Sim Não O AH prover a autenticação e a integridade dos dados, porém os pacotes (payload) não são criptografados, provendo então uma fraca segurança. O ESP prover encriptação, autenticação e integridade o ESP criptografa o pacote IP e o cabeçalho ESP, ocultando assim os dados e identidades da origem e destino.

21 Protocolos de Segurança ESP e AH

22 Fases para Configuração Uma VPN IPSec tem 5 fases: Identificação do tráfego interessante, IKE fase 1, IKE fase 2, transferência de dados e fim do túnel IPSec. 1) Tráfego interessante: É o tráfego que deve ser criptografado, geralmente identificado através de access-lists. 2) IKE fase 1: Basicamente tem a função de negociar as políticas que serão utilizadas, autenticar os peers e fechar um túnel seguro, por onde serão configurados os demais parâmetros. Pode trabalhar em Main Mode (mais lento) ou Agressive Mode. Podemos dizer que é um primeiro túnel, para proteger as mensagens de negociação para o túnel principal.

23 Fases para Configuracao Opções do IKE fase 1: Algoritmo de criptografia: DES, 3DES, AES Algoritmo Hash: MD5, SHA-1 Método de autenticação: Pre Share, RSA Signature Key Exchange: DH group 1, group 2, group 5 IKE SA lifetime: até segundos 3) IKE fase 2: É a negociação do segundo túnel. São definidos os parâmetros do IPSec e transform sets, são estabelecidos IPSecs SAs, que são renegociados de tempos em tempos e pode também ocorrer a troca do DH (opcional).

24 Fases para Configuracao O Security Association (SA) é uma conexão entre os dois peers que determina quais serviços do IPSec estão disponíveis naquela conexão (tipo de algoritmo de criptografia e autenticação utilizada, endereço IP, tempo de vida da key e outros ). São unidirecionais e assim, para um túnel VPN são criados dois SAs. O IPSec pode trabalhar de duas madeiras: Túnel e Transporte. O modo túnel é o padrão, e com ele o pacote inteiro é criptografado e um novo cabeçalho é criado. Já no modo transporte o cabeçalho não é alterado, sendo criptografado apenas os dados.

25 Fases para Configuracao Opções do IKE fase 2: Algoritmo de criptografia: DES, 3DES, AES Authentication: MD5, SHA-1 SA lifetime: até segundos 4) Transferência de dados: Após finalizada o IKE fase 2, o tráfego começa a ser enviado pelo túnel, de forma segura (criptografado). 5) Fim do túnel IPSec: O túnel é finalizado quando a SA é deletada (manualmente) ou ocorre timeout, que pode ser configurado para ocorrer após um determinado espaço de tempo sem transmissão de dados ou após uma quantidade específica de dados transmitidos.

26 Verificação Básica RouterX# show crypto ipsec sa Exibe as configurações utilizadas por associações de segurança atuais (SAS) RouterX# show crypto isakmp sa Exibe todos os atuais Internet Key Exchange (IKE associações) de segurança (SAS) de um peer. IPsec Troubleshooting: Understanding and Using debug Commands

27