Administração de Sistemas (ASIST)

Documentos relacionados
Configurar um server do Point-to-Point Tunneling Protocol (PPTP) no roteador do Rv34x Series

Configuração do Wide Area Network (WAN) em RV215W

REDES VIRTUAIS PRIVADAS SOBRE TECNOLOGIA IP. Edgard Jamhour

Redes de Computadores I Seminário Novas Tecnologias em Redes. VPN-Virtual Private Network. Anderson Gabriel

REDES VIRTUAIS PRIVADAS SOBRE TECNOLOGIA IP. Edgard Jamhour

Instituto Superior de Tecnologia em Ciências da Computação de Petrópolis VPN Virtual Private Network

Redes de Computadores

Configuração de PPPoE e de conexão com o Internet PPTP no roteador da Segurança do gigabit do Sem fio-n WRVS4400N

Redes de Computadores

Configuração do L2TP no VPN Router do Sem fio WRVS4400N

Administração de Sistemas (ASIST)

Este documento não se restringe a versões de software e hardware específicas.

Redes de Computadores

Redes de Computadores

L2 que constrói uma ponte sobre através de um exemplo da configuração de rede L3

Implementação da Estrutura de Segurança em Redes Virtuais Privadas.

Auditoria e Segurança de Sistemas -VPN (Virtual Private Network)

Ajustes da política do Virtual Private Network (VPN) em RV120W e em RV220W

Ajustes dos clientes VPN em RV110W

Configurar a Conectividade do Virtual Private Network (VPN) de AnyConnect no roteador do RV34x Series

Exercícios de Revisão Redes de Computadores Edgard Jamhour. Criptografia, VPN, IPsec Protocolos de Roteamento

Series Router de Cisco rv (RV320) Adaptadores dos Serviços integrados do Cisco 500 Series (ISA570)

Redes de Computadores

Execícios de Revisão Redes e Sistemas Distribuídos II Edgard Jamhour. Filtros de Pacotes Criptografia, Certificados Digitais VPN

TRABALHO DE GESTÃO DE INFORMAÇÃO VIRTUAL PRIVATE NETWORK VPN

Nível de segurança de uma VPN

Virtual Private Network (VPN)

Nome: Nº de aluno: 3ª Ficha de Avaliação 20/5/2014

VPN - VIRTUAL PRIVATE NETWORK REDES VIRTUAIS PRIVADAS

Formação em Segurança Cibernética. Sessão 8 Criptografia II

Protocolo PPP. Principais Componentes: Método para encapsular datagramas em enlaces seriais (Substitui o SLIP). Link Control Protocol (LCP)

Auxilio a Resolução da Lista de Exercícios

Use o cliente VPN macio do musaranho para conectar com o server do IPSec VPN em RV130 e em RV130W

Edite a conexão de WAN no Roteadores RV016, RV042, RV042G e RV082 VPN

Nome: Nº de aluno: Exame 1ª chamada (perguntas impar) / Repescagem 1º teste / Repescagem 2º teste SRC /07/04 1º teste

Configurar a conexão do Virtual Private Network (VPN) do Cliente-à-local no roteador do RV34x Series

Análise de descarga de QuickVPN TCP

Configuração dos ajustes do Internet em WRP400

Nome: Nº de aluno: Indique se vai realizar exame ou 2º teste: Exame: 2º teste: PARTE 1 (7 valores)

CST em Redes de Computadores

Rede de computadores Protocolos UDP. Professor Carlos Muniz

Exemplos de configuração para agregação de banda larga do Cisco 7200

Redes Virtuais Privadas

Exercícios de Revisão Redes de Computadores Edgard Jamhour. SSL, VPN PPTP e IPsec

Protocolos e Arquiteturas de Redes. Thiago Leite

Redes de Computadores

TE239 - Redes de Comunicação Lista de Exercícios 2

Configurando o assistente de instalação VPN no RV160 e no RV260

Configurar o Path MTU Discovery CAPWAP

Configurar Virtual Private Network (VPN) avançado Setup no Firewall RV110W

Configurar ajustes MACILENTOS DHCP no roteador RV34x

Configurar o acesso do telnet/ssh ao dispositivo com VRF

Redes de Computadores

Configurando ajustes e Failover avançados do VPN de Site-para-Site no RV160 e no RV260

Resumo P2. Internet e Arquitetura TCP/IP

EXERCÍCIOS DE REVISÃO. Segundo Bimestre. Primeiro Bimestre

Configurando perfis IPSec (auto modo fechando) no RV160 e no RV260

Graduação Tecnológica em Redes de Computadores. Tecnologias de Interligação de Redes

IPSEC. IP Security Protocol. *Utilize este material para fins educativos e não comerciais*

Instituto Politécnico de Beja, Escola Superior de Tecnologia e Gestão, Licenciatura em Engenharia Informática 1. Tecnologias WAN.

Limitação de largura de banda para usuários PPTP no Roteadores RV016, RV042, RV042G e RV082 VPN

Eliminação de erros do intercâmbio de pacotes IKEv2 e do nível de protocolo

Firewalls. André Zúquete Segurança Informática e nas Organizações 1

Administração de Redes

REDES DE COMPUTADORES

MPLS. Multiprotocol Label Switching

Índice. Introdução. Que é L2TP?

Capítulo 4 - Sumário

Introdução às camadas de transporte e de rede

Ajustes da política do Internet Key Exchange (IKE) no Roteadores RV180 e RV180W VPN

Administração de Redes 2015/16. Virtual Local Area Networks (VLAN)

Configurar um perfil da segurança de protocolo do Internet (IPSec) em um roteador do RV34x Series

Assistente de configuração em RV215W

Planificação Anual da disciplina de Comunicação de dados 12º 1PE

Introdução. Engenharia Informática

Configurando o PPTP através da PAT para um Microsoft PPTP Server

Número: Professor: JM JF PA _. Exame2ª Época - 13/02/2009-2h

Configurar um cliente VPN do Teleworker no roteador do RV34x Series

Segurança em Redes de Computadores

UNIVERSIDADE DA BEIRA INTERIOR Faculdade de Engenharia Departamento de Informática

Sumário. Protocolos em Redes de Dados- Aula 13 -Mobilidade p.4. Terminologia. Mobile IP. Encaminhamento em redes ad hoc

Data and Computer Network Endereçamento IP

Tutorial Aceda remotamente à sua rede Meo de casa por VPN

Exercícios de Revisão Redes de Computadores Edgard Jamhour. TLS/SSL, VPN PPTP e IPsec

Especificação do Projecto

Configuração de gerenciamento do usuário e do domínio na série do VPN Router RV320 e RV325

Configurando Perfis de discagem para construir uma ponte sobre usando o ISDN

EXERCÍCIOS DE REVISÃO. Segundo Bimestre. Primeiro Bimestre

UNIVERSIDADE DA BEIRA INTERIOR Faculdade de Engenharia Departamento de Informática

1. Objectivos. 2. O equipamento Linksys WRT54GL. Mestrado em Engenharia Electrotécnica e de Computadores Lab3. Encaminhamento IP

Configurando o VPN de Site-para-Site no RV160 e no RV260

Transcrição:

Administração de Sistemas (ASIST) Redes privadas virtuais Novembro de 2014 1

Rede privada virtual ( VPN Virtual Private Network ) Uma VPN é um túnel seguro (autenticação, confidencialidade e integridade) criado através de uma infra-estrutura de rede existente (WAN), usado para simular uma ligação física dedicada entre dois pontos. Criado o túnel, os nós encaminham a informação através dele como se tratasse de uma ligação física ponto-a-ponto. O endereçamento usado na VPN e nas LAN interligadas é totalmente independente do endereçamento na rede WAN. As VPN são uma forma económica de interligar de forma privada dois locais fisicamente distantes, mas acessíveis através da internet. Rede Local (LAN) Router VPN (LAN-LAN) Router Rede Local (LAN) Rede WAN ( internet ) Posto de trabalho VPN (HOST-LAN) Router Rede Local (LAN) 2

VPN LAN-LAN e VPN HOST-LAN Embora utilizando os mesmos protocolos podem classificar-se as VPN em: - LAN-LAN este tipo de VPN é criada pelo administrador por configuração dos dois nós nos extremos da ligação, tipicamente a VPN é permanente, sendo automaticamente estabelecida e mantida quando os nós arrancam. O administrador define regras de encaminhamento ( routing ) para que o tráfego entre as duas LANs passe pela VPN em lugar de usar diretamente a WAN. Os utilizadores das duas LAN utilizam a VPN de forma totalmente transparente como qualquer outra ligação física da infra estrutura de rede. Uma vez que ambas as extermidades da VPN são administradas pela mesma entidade, a autenticação e confidencialidade recorre normalmente a certificados de chave pública ou uma chave pré-partilhada. - HOST-LAN também designada VPN de utilizador, é criada por iniciativa de um utilizador dirigindo um pedido a um servidor VPN, após autenticação o posto de trabalho recebe um endereço e dados de configuração (por exemplo via DHCP) correspondentes à LAN remota. No posto de trabalho é criada uma interface de rede virtual que é equivalente a uma interface física colocada na LAN remota. 3

Layer 2 Tunneling Protocol - L2TP O L2TP apresenta todas as funcionalidades necessárias à implementação de redes privadas virtuais, contudo carece de garantias de autenticação e confidencialidade. Para implementar uma VPN o L2TP tem de ser aliado a um protocolo que garanta a comunicação segura, frequentemente o IPsec. Os nós extremos dos túneis L2TP são designados LCCE ( L2TP Control Connection Endpoint ) de acordo com o tipo de dados transportados assumem outras designações mais específicas: L2TP Access Concentrator (LAC) quando são transportadas tramas de nível 2, opera como um comutador de rede. L2TP Network Server (LNS) quando são transportados pacotes de nível 3, opera como um encaminhador de rede ( router ). 4

Layer 2 Tunneling Protocol - L2TP O L2TP permite criar túneis para encaminhamento de dados através de redes existentes, na atual versão 3 (L2TPv3) pode encapsular a informação diretamente em datagramas IP ou em datagramas UDP. Embora a utilização direta de IP seja mais eficiente, causa problemas quando existem dispositivos NAPT, por essa razão o UDP é mais usado. Tipicamente o objetivo do túnel é o transporte de pacotes, nesse caso opta-se por estabelecer uma sessão PPP através dele para controlar esse processo. PPP L2TP (túnel) UDP IP L2TP (controlo do túnel) 5

L2TP sessões e topologias Um túnel L2TP pode comportar múltiplas sessões, cada uma funcionando como um canal independente, um LCCE pode por isso ser simultaneamente LAC e LNS (em sessões distintas). A topologia das sessões L2TP podem adotar 3 modelos de referência: LAC-LNS, LAC-LAC e LNS-LNS. Nó LAC LNS Rede Nó Rede Comunicação de nível 2 LAC LNS Comunicação de nível 2 Comunicação de nível 2 LAC LNS Nó Rede Um nó de rede ligado a um LAC pode ser um encaminhador de rede ( router ), nesse caso o conjunto torna-se equivalente a um LNS. 6

VPN L2TP/IPsec O L2TP assegura a gestão túneis de comunicação independentes usados para transportar dados, possui todas as funcionalidades para implementar uma VPN desde que seja aliado a mecanismos que garantam a confidencialidade e autenticação. O IPsec em modo de transporte ou túnel é um dos mecanismos mais usado para garantir a confidencialidade e a autenticação de dos túneis L2TP, mas pode ser complementado com a utilização do PPP através dos túneis: 1 Utilização do IKE para negociar as SA 2 Criação das SA e estabelecimento da ligação segura IPsec 3 Negociação e estabelecimento do túnel L2TP 4 Autenticação de utilizador via PPP (opcional, VPN HOST-LAN) 7

VPN L2TP/IPsec Embora o IPsec garanta a autenticação dos nós e a confidencialidade, não é muito adequado para autenticação de utilizadores (no contexto das VPN HOST-LAN). Nesse caso muitas vezes opta-se por estabelecer uma ligação PPP através de um túnel L2TP permitindo então a autenticação segura do utilizador através de password, por exemplo usando CHAP, ou mesmo PAP (uma vez que o túnel está protegido pelo IPsec. PPP (opcional, através do túnel) L2TP (túnel) UDP IPsec IP IKE UDP 8

PPTP Point-to-Point Tunneling Protocol O PPTP é um protocolo de VPN considerado menos seguro do que o L2TP/IPsec usa uma ligação de controlo TCP e os dados são encapsulados em pacotes GRE ( Generic Routing Encapsulation ) para criar um túnel através do qual se estabelece uma sessão PPP. PPP (com autenticação e confidencialidade) GRE (túnel) IP PPTP TCP 9

PPTP Point-to-Point Tunneling Protocol O facto de usar pacotes GRE, que não possuem números de porto cria problemas com routers que efetuam NAPT, tal como acontece com o IKE usado no IPsec. Os mecanismos de autenticação e confidencialidade são assegurados pelo PPP, o PPTP isoladamente não implementa confidencialidade nem autenticação. Por ser simples garante uma boa performance e não exige certificados de chave pública, pelo que é popular, particularmente nas implementações HOST-LAN. Uma das implementações mais divulgadas usa a autenticação MS-CHAPv2 para produzir a partir da password do utilizador uma chave simétrica para a cifra MPPE ( Microsoft Point-to-Point Encryption ). O MPPE é uma variante do RC4 que suporta chaves de 40, 80 e 128 bits. Usando esta técnica consegue-se validar a autenticidade tanto do utilizador como do servidor. A sua fraqueza reside nas eventuais debilidades da password do utilizador. 10

PPTP + PPP + CHAP + MPPE (RC4) username Cliente username Servidor username password desafio (aleatório) password hash hash chave chave Base de dados de utilizadores Cifra simétrica Comunicação segura Cifra simétrica A chave deriva da password em conjunto com o desafio, uma vez que o desafio é acessível por sniffing um atacante precisa apenas de descobrir a password do utilizador. O atacante tenta de forma massiva várias passwords (ataque de dicionário), procurando desta forma produzir a chave correta. Com as várias chaves que vai produzindo tenta desencriptar a informação que obteve da rede, se conseguir obter um resultado coerente é possível que tenha conseguido adivinhar a password. 11

Ligações VPN MTU ( Maximum Transmission Unit ) Os pacotes IP que atravessam uma VPN são transportados no interior de pacotes de outros protocolos (encapsulamento). Para não haver necessidade de fragmentação (pouco eficiente e nem sempre suportada) o MTU da ligação de VPN tem de ser inferior ao MTU da ligação física (normalmente 1500 bytes). Pacote IP enviado através da VPN Encapsulamento MTU da VPN Cabeçalhos dos protocolos usados para criar o túnel (IP, IPsec, UDP, L2TP, GRE, PPP, ) Pacote IP transportado através do túnel MTU da ligação física (normalmente 1500 bytes) 12

Exemplo PPTP MTU Tomando com exemplo as implementações mais comuns do PPTP, para criar o túnel são usados os seguintes protocolos com cabeçalhos das seguintes dimensões: IP (20 bytes) + GRE (4 bytes) + PPP (8 bytes) + MPPE (2 bytes) Consequentemente as ligações de VPN deste tipo nunca podem ter um MTU superior a 1466 bytes (1500 34). 34 bytes Pacote IP enviado através da VPN Encapsulamento MTU da VPN IP GRE PPP MPPE Pacote IP transportado através do túnel MTU da ligação física (normalmente 1500 bytes) Nas extremidades da VPN o MTU deve ser definido de forma adequada, nas implementações HOST-LAN este dado é fornecido pelo servidor ao cliente. 13

MTU fragmentação de pacotes na VPN Desde que se defina os MTU corretos nas interfaces das extremidades da VPN e se permita a operação normal do protocolo PMTUD (deixar passar as respetivas mensagens ICMP) o facto de o MTU ser ligeiramente inferior a 1500 bytes não tem qualquer inconveniente. Uma outra abordagem ao problema é garantir na VPN o MTU de 1500 bytes recorrendo à fragmentação. Algumas implementações de VPN (por exemplo da CISCO) baseadas em GRE, IPsec e L2TP suportam esta funcionalidade. Os pacotes demasiado grandes são fragmentados antes de serem enviados através da VPN e são reagrupados no extremo oposto. Mesmo sendo aplicada apenas entre os dois routers nas extremidades da VPN, a fragmentação tende a tornar a ligação mais lenta por sobrecarga dos routers e é normalmente preferível definir os valores de MTU adequados nas interfaces e confiar no funcionamento do PMTUD. 14

2024 © DocPlayer.com.br Política de Privacidade | Termos de serviço | Feedback