Redes de Computadores

Transcrição

1 Introdução Inst tituto de Info ormátic ca - UF FRGS Redes de Computadores Virtual Private Network (VPN) Aula 29 Os protocolos Internet (TCP/IP) não seguros Necessidade de inserir garantias para segurança da informação Duas correntes ideológicas fim a fim : a segurança é uma questão dos processos que se comunicam (camada de aplicação ou camada de transporte) infraestrutura de rede :autentica e/ou cifra os datagramas sem envolver as aplicações IP security Aplicação TCP/UDP Hardware IPv4 Redes de Computadores 2 IP Security y( () Características do é uma especificação de um conjunto de serviços Nem todos querem pagar o preço computacional necessário a criptografia Fornece uma estrutura t e um mecanismo deixando d a escolha do usuário o tipo de cifragem, autenticação e métodos de hashing Descrito nas RFCs 2401, 2402 e 2406 Benefícios de Transparente para as aplicações (abaixo do nível de transporte (TCP, UDP)) Oferece seguranca para usuários individuais Principais serviços: Confidencialidade, integridade e autencidade Proteção contra ataques de reprodução (reply) É um protocolo orientado a conexão ( à la TCP ) Security Association (SA) na terminologia Objetivo é amortizar os custos de configuração da segurança SA é uma conexão é unidirecional (simplex) Possui um identificador associado a ela Comunicação bidirecional necessita duas SAs Dois modos de operação: Transporte e túnel Dois protocolos os de segurança: Authentication Header (AH) e Encapsulating Security (ESP) Redes de Computadores 3 Redes de Computadores 4

2 Modo de transporte (operação) Modo de túnel (operação) Protege apenas a carga útil (payload) de um datagrama IP Corresponde a T-PDU (cabeçalho TCP/UDP + dados) Emprego típico Proteção de dados fim a fim Emissor autentica e/ou cifra os dados e receptor verifica integridade e/ou decifra Camada de transporte (TCP/UDP) 1 2 IPv4/v6 3 IPSec-H Área de dados datagrama IP IPSec-T H = Header; T = Tail Redes de Computadores 5 Protege o datagrama IP inteiro Cria um novo datagrama IP com um cabeçalho com informações diferentes do datagrama IP original Emprego típico Usado entre dois sistemas intermediários (roteador) ou entre um sistema intermediário e um sistema final Camada de transporte (TCP/UDP) 1 IPv4/v IPSec-H Dados datagrama Datagrama IP Area de dados datagrama IP IPSec-T H = Header; T = Tail Redes de Computadores 6 Protocolo Authentication Header (AH) Descrição dos campos do protocolo AH Objetivos: Autenticar a origem e assegurar a integridade da mensagem Não oferece confidencialidade i d Procedimento: Calcula uma função de resumo com o corpo da mensagem usando uma função de hashing e uma chave simétrica Chave é negociada antes de se instalar a SA Insere o resumo no cabeçalho AH antes da área de dados (payload) O cabeçalho IP é adicionado indicando 51 como tipo de protocolo Redes de Computadores 7 TCP, UDP, ICMP etc Tamanho do cabeçalho AH em palavras de 32 bits Identificador da conexão Fornece a ordem dos datagramas enviados (mesmo em retransmissões é único) Resumo da área de dados original + campos do IP Redes de Computadores 8

3 Protocolo Encapsulating Security Payload (ESP) Descrição dos campos do protocolo ESP Objetivo: Fornecer autenticação da origem, integridade e confidencialidade Procedimento: Uma rabeira ESP é adicionada a área de dados do datagrama A área de dados e a rabeira são cifrados, formando uma nova área de dados Um cabeçalho ESP é adicionado a nova área de dados novo datagrama Gera informação de autenticação (resumo) do novo datagrama Agrega autenticação no final da rabeira Insere cabeçalho IP indicando 50 como tipo de protocolo UFRGS rmática - U Identificador da conexão Fornece a ordem dos datagramas enviados (mesmo em retransmissões é único) Resumo da área de dados original + TCP, UDP, ICMP etc rabeira + cabeçalho ESP Tamanho da área De padding Redes de Computadores 9 Redes de Computadores 10 Security Association (SA) Gerenciamento de Chaves Estabelecido através de um protocolo de sinalização Define uma conexão entre dois pontos Identificada por: Um SPI (Security Parameter Index) que age como um identificador de circuito virtual ou par de endpoints (sockets) Tipo do protocolo usado para a segurança (AH ou ESP) O endereço IP de destino Security Association Database (SAD) Armazenamento local (em cada ponto) das informações da AS Indexada pelo SPI Relacionado com a determinação e a distribuição de chaves Dois tipos: Manual: configurado pelo administrador da rede Automática: gerado sob demanda Oakley Key Determination Protocol (Internet Key Excahnge ike) Baseado em Diffie-Hellman SKEME Protocolo para troca de chaves Internet Security Association and Key Management Protocol (ISAKMP) Define formatos de pacotes Redes de Computadores 11 Redes de Computadores 12

4 Estudo de caso: VPN baseada em Virtual Private Network (VPN) Emprega o protocolo ESP em modo túnel para criar uma rede privativa na Internet (VPN) Implementa tanto VPN para acesso remoto como intranet/extranet Normalmente: cria uma rede IP paralela a rede corporativa utiliza os endereços privativos ou não roteáveis 10000/ /8 ; / /12 e / /16 uto de Info arissimi -25-nov Necessidade: Prover acesso remoto a recursos da rede corporativa Interligar redes geograficamente dispersas como fossem uma só Soluções: Criar rede fisicamente privativa (infraestrutura própria ou aluguel de linhas) Não resolve problema do usuário remoto (pode estar em diversos lugares) Usar a infraestrutura pública da Internet para prover uma rede privativa (VPN) Uma VPN Conexão privativa e segura sobre a rede pública (Internet) Usa protocolos para tunelamento, cifragem, autenticação e integridade Necessita de uma ponta origem e outra ponta destino Redes de Computadores 13 Redes de Computadores 14 VPN: tipos de acesso Tipos de VPN uto de Info arissimi -25-nov Dois tipos básicos Remoto: estende o acesso a rede corporativa para usuários remotos Iniciado i no dispositivo iti do próprio usuário (voluntária) OU Realizado pelo provedor de serviço (Network Access Server NAS) Intranet/Extranet: conecta locais fixos dispersos (filiais a matriz) pertencentes a rede corporativa (Intranet) ou com redes parceiros externos (extranet) Estabelecida de forma compulsória Configuração de roteadores ou rede do provedor de acesso uto de Info arissimi -25-nov Trusted VPN Serviço oferecido por provedores de telecomunicação Executa segregação de tráfego via circuitos it virtuais i (Frame relay, ATM, MPLS) Não realiza, necessariamente, cifragem dos dados Permite o estabelecimento de SLAs e QoS Secure VPN Executa cifragem de dados e autenticação Criação de túneis seguros sobre a infraestrutura de rede pública (Internet) Usa protocolos em diferentes camadas Nível 2: PPTP, L2F, L2TP, GRE Nivel 3: Nível de aplicação: SSL, OpenVPN, etc Redes de Computadores 15 Redes de Computadores 16

5 VPN e Leituras complementares Site X Site A Roteador R A Internet Datagrama de R A para R B Usuário remoto Site B Roteador R B Tanenbaum, A.; Wethreall, D. Redes de Computadores (5 a edição), Editora Pearson Education, Capítulo 8 (seções e 863) 8.6.3) Carissimi, A.; Rochol, J; Granville, L.Z; Redes de Computadores. Série Livros Didáticos. Bookman Capítulo 8 (seção 8.4.2) Kurose, J.F.; Ross, K.W. Redes de Computadores e a Internet: uma abordagem top-down. 5 a edição. Addison-Wesley. São Paulo Capítulo 8 (seção 8.6.1) M1 Datagrama de M1 para M2 M2 Redes de Computadores 17 Redes de Computadores 18