REDES VIRTUAIS PRIVADAS SOBRE TECNOLOGIA IP. Edgard Jamhour

Documentos relacionados
REDES VIRTUAIS PRIVADAS SOBRE TECNOLOGIA IP. Edgard Jamhour

Administração de Sistemas (ASIST)

Redes de Computadores I Seminário Novas Tecnologias em Redes. VPN-Virtual Private Network. Anderson Gabriel

Exercícios de Revisão Redes de Computadores Edgard Jamhour. TLS/SSL, VPN PPTP e IPsec

Configurar um server do Point-to-Point Tunneling Protocol (PPTP) no roteador do Rv34x Series

Redes de Computadores

Nível de segurança de uma VPN

MPLS. Multiprotocol Label Switching

Redes de Computadores

TRABALHO DE GESTÃO DE INFORMAÇÃO VIRTUAL PRIVATE NETWORK VPN

Configuração do Wide Area Network (WAN) em RV215W

Auditoria e Segurança de Sistemas -VPN (Virtual Private Network)

Formação em Segurança Cibernética. Sessão 8 Criptografia II

Exercícios de Revisão Redes de Computadores Edgard Jamhour. Criptografia, VPN, IPsec Protocolos de Roteamento

Exercícios de Revisão Redes de Computadores Edgard Jamhour. SSL, VPN PPTP e IPsec

Protocolo PPP. Principais Componentes: Método para encapsular datagramas em enlaces seriais (Substitui o SLIP). Link Control Protocol (LCP)

Redes de Computadores

Auxilio a Resolução da Lista de Exercícios

Execícios de Revisão Redes e Sistemas Distribuídos II Edgard Jamhour. Filtros de Pacotes Criptografia, Certificados Digitais VPN

Instituto Superior de Tecnologia em Ciências da Computação de Petrópolis VPN Virtual Private Network

Curso Técnico Integrado em Telecomunicações

VPN - VIRTUAL PRIVATE NETWORK REDES VIRTUAIS PRIVADAS

Este documento não se restringe a versões de software e hardware específicas.

Monday, November 16, 2009 EAP. Extensible Authentication Protocol

EXERCÍCIOS DE REVISÃO. Segundo Bimestre. Primeiro Bimestre

Configurando o PPTP através da PAT para um Microsoft PPTP Server

PROTOCOLOS DE COMUNICAÇÃO

Redundância para Servidores de VPN Faculdade de Tecnologia SENAC Pelotas

Virtual Private Network (VPN)

Configuração dos ajustes do Internet em WRP400

Series Router de Cisco rv (RV320) Adaptadores dos Serviços integrados do Cisco 500 Series (ISA570)

EXERCÍCIOS DE REVISÃO. Segundo Bimestre. Primeiro Bimestre

Tecnologias Atuais de Redes

Padrão aberto baseado em RFC (IETF). Dois modos de funcionamento: Dois Protocolos (Mecanismos) Autenticação, Integridade e Confidencialidade

Graduação Tecnológica em Redes de Computadores. Tecnologias de Interligação de Redes

Implementação da Estrutura de Segurança em Redes Virtuais Privadas.

Prof. Samuel Henrique Bucke Brito

Redes de Computadores Laboratório 2. Estabelecimento de enlaces ponto-a-ponto

Modelo de Referência OSI

Exercícios de Revisão Redes de Computadores Edgard Jamhour. SSL, VPN PPTP e IPsec

Eliminação de erros do intercâmbio de pacotes IKEv2 e do nível de protocolo

Redes de Computadores REVISÃO - ENADE. Semestre: 2 Bimestre:2 Data: / / Disciplina: Redes de Computadores. Professor: Jéfer Benedett Dörr

L2 que constrói uma ponte sobre através de um exemplo da configuração de rede L3

Protocolos ponto-a-ponto e a camada de enlace

Configuração do L2TP no VPN Router do Sem fio WRVS4400N

Prof. Carlos Messani

INTERCONEXÃO DE REDES DE COMUTADORES

Redes de Computadores

Ajustes dos clientes VPN em RV110W

Segurança em Redes de Computadores

Configuração de PPPoE e de conexão com o Internet PPTP no roteador da Segurança do gigabit do Sem fio-n WRVS4400N

AULA EXPOSITIVA SOBRE: CONCEITOS E IMPLEMENTAÇÃO DE FIREWALL, VPN E SSH (REDES PRIVADAS E SERVIÇOS DE ACESSO REMOTO)

Configurar ajustes do no roteador do RV34x Series

CST em Redes de Computadores

Configurar a Conectividade do Virtual Private Network (VPN) de AnyConnect no roteador do RV34x Series

Padrão aberto baseado em RFC (IETF). Dois modos de funcionamento: Dois Protocolos (Mecanismos) Autenticação, Integridade e Confidencialidade

Capítulo 4 A camada de REDE

Data and Computer Network Endereçamento IP

Vamos conhecer o RouterOS dos equipamentos Mikrotik

Redes de Computadores

Rede Wireless da FEUP

Ferramentas para Coexistência e Transição IPv4 e IPv6. Módulo 7

Licença de uso do material

Firewall - Inspeção com estado. (Stateful Inspection)

CURSO TÉCNICO EM INFORMÁTICA

Graduação Tecnológica em Redes de Computadores. Redes Sem Fio

Ajustes da política do Virtual Private Network (VPN) em RV120W e em RV220W

Configurando o assistente de instalação VPN no RV160 e no RV260

Redes de Computadores. Redes de Computadores. Redes de Computadores. ü Contador de caracteres. ü Stuffing de caracteres.

Nível de Enlace. Laboratório MídiaCom - UFF Profa. Débora Christina Muchaluat Saade

Edite a conexão de WAN no Roteadores RV016, RV042, RV042G e RV082 VPN

IPSEC. IP Security Protocol. *Utilize este material para fins educativos e não comerciais*

Assistente de configuração em RV215W

Agenda. Motivação Serviços Funcionalidades Básicas DNS NTP Servidores HTTP Proxies SMB CIFS ( SAMBA )

Fluxograma do Troubleshooting de PPP

Formação para Sistemas Autônomos OSPF. Formação para Sistemas Autônomos

Roteamento IPv4 básico com OSPF. Por Patrick Brandão TMSoft

GUIA DE CONFIGURAÇÃO. Conexões VPN SSL (Rede a Rede)

Modelo em Camadas Arquitetura TCP/IP/Ethernet. Edgard Jamhour

Redes Virtuais Privadas

UNIVERSIDADE DA BEIRA INTERIOR Faculdade de Engenharia Departamento de Informática

Sumário Capítulo 1 Introdução à Certificação Cisco... 1 Capítulo 2 Redes de Computadores... 21

IPSec/GRE com o NAT no exemplo de configuração do IOS Router

Redes de Computadores RES 12502

Configurar ajustes MACILENTOS DHCP no roteador RV34x

ATENÇÃO O TCP/IP não é um protocolo. TCP/IP é um conjunto de diversos protocolos em 04 camadas próprias que se relaciona com o modelo OSI.

Transcrição:

REDES VIRTUAIS PRIVADAS SOBRE TECNOLOGIA IP Edgard Jamhour

VPN: VIRTUAL PRIVATE NETWORK Estende os privilégios de acesso a uma rede privada através da uma rede pública.

ISOLAMENTO DE REDE Internet Pública VPN A VPN B Membros da VPN A não podem enviar pacotes para membros da VPN B

ISOLAMENTO DE REDE Por Criptografia/Autenticação Por Roteamento Seletivo Exemplos: IPsec, PPTP, SSL, etc. Exemplos: ATM, Frame Relay, MPLS 1. Segurança embutida nos pacotes 2. Segurança controlada pelo usuário final 3. Isolamento de rede feito por firewalls 4. Sem garantias de QoS 1. Segurança feita pela rede 2. Segurança controlada pelo provedor 3. Isolamento de rede feito por roteamento 4. Pode ter garantias de QoS

MPLS VPN: ARQUITETURA HUB X SPOKES Todos os sites (Spokes) enviam tráfego apenas para o Hub A comunicação entre Hub e Spoke usa endereçamento próprio, independente da Internet Implementado com as tecnologias MPLS, GRE, VRP pelo Provedor

TIPOS DE VPN rede Insegura ENTRE DUAS MÁQUINAS rede Insegura ENTRE UMA MÁQUINA E UMA REDE (VPN DE ACESSO) rede Insegura ENTRE DUAS REDES (INTRANET OU EXTRANET VPN)

VPN = TUNELAMENTO pacote protegido rede Insegura rede Insegura pacote desprotegido rede Insegura

CONCEITOS BÁSICOS DE UMA VPN O que caracteriza uma tecnologia como VPN: TUNELAMENTO: Permite transportar pacotes com IP privado ou com outros protocolos de rede através da Internet pública. AUTENTICAÇÃO/INTEGRIDADE: Permite controlar quais usuários podem acessar a VPN Reduz o risco de ataques por roubo de conexão e spoofing. CRIPTOGRAFIA: Garante a confidencialidade dos dados transportados através da VPN.

O QUE É TUNELAMENTO? Tunelar significa encapsular o pacotes do protocolo A dentro do campo de dados do protocolo B, de forma que apenas o protocolo B é interpretado pela rede. Usualmente o tunelamento implica em duplicar camadas do modelo de redes. L2 L3 L4 L7 dados Pacote Original L2 L3 L3 L7 L4 L7 dados dados Tunelamento L3 L2 L3 L2 L7 L3 L7 dados Tunelamento L2

TUNELAMENTO Pilha Normal SSL Tunelamento Camada 3 Tunelamento Camada 2 Aplicação APLICAÇÃO APLICAÇÃO APLICAÇÃO APLICAÇÃO SSL S.O. TRANSPORTE TRANSPORTE TRANSPORTE TRANSPORTE REDE REDE REDE REDE REDE ENLACE REDE Placa de Rede ENLACE ENLACE ENLACE ENLACE FISICA FISICA FISICA FISICA

PROTOCOLOS PARA VPN (L2 E L3) L2F: Layer 2 Fowarding Protocol (Cisco) Não é mais utilizado. PPTP: Tunelamento de Camada 2 Point-to-Point tunneling Protocol Usa MPPE (Microsoft Point-to-Point Encryption) para segurança Usa GRE (Generic Routing Encapsulation) para tunelamento L2TP: Tunelamento de Camada 2 Level 2 Tunneling Protocol (L2TP) Combinação do L2F e PPTP L2PTv3: (2005) IPSec: Tunelamento de Camada 3 IETF (Internet Engineering Task Force)

VPN DE CAMADA 4 Transport Layer Security (SSL/TLS) Usado por OpenVPN e SoftEther VPN Software Livre (GNU GPL) Usado pelo SSTP (Secure Socket Tunneling Protocol) Desenvolvido pela Microsoft Datagram Transport Layer Security (DTLS) Usado por Cisco AnyConnect VPN e OpenConnectVPN Secure Shell (SSH) VPN Implementado por SSH Pouco escalável mas versátil e de fácil implementação

PROTOCOLOS PARA VPN Protocolo Tunelamento Criptografia Autenticação Aplicação PPTP Camada 2 Sim Sim Transporta qualquer protocolo suportado pelo PPP L2TP Camada 2 Não Sim Transporta qualquer protocolo suportado pelo PPP IPsec Camada 3 Sim Sim Transporta apenas pacotes IP IPsec e L2TP Camada 2 Sim Sim Transporta qualquer protocolo suportado pelo PPP

PONTO-A-PONTO VS MULTI-PONTO Serviço Multiponto: Múltiplas entidades conectadas ao mesmo meio Permite envio de mensagens em broadcast Quadros precisam incluir o endereço do destinatário Serviço Ponto-a-Ponto: Apenas duas entidades conectadas entre si Usuários em conexões ponto-a-ponto diferentes não se comunicam por broadcast Não precisa de endereçamento um modem para cada usuário (linha) RAS: Remote Acess Server ou NAS: Remote Acess Server MODEM PSTN MODEM Rede Remota MODEM MODEM Tecnologia Multi-Ponto

PPP: POINT TO POINT PROTOCOL Permite criar conexão de rede através de enlaces ponto-a-ponto. O PPP é um protocolo do nível de enlace destinado a transportar mensagens ponto a ponto. O PPP supõem que o link físico transporta os pacotes na mesma ordem em que foram gerados. IP IPX O PPP permite transportar diversos protocolos de rede. link físico

ARQUITETURA PPP Link Control Protocol (LCP) Configura parâmetros do link como tamanho dos quadros. Protocolos de Autenticação (CHAP, PAP, EAP) Determina o método para validar a senha do usuário no servidor. Pode variar de texto aberto até criptografia. Internet Protocolo Control Protocol (IPCP) Configura parâmetros de rede de forma similar ao DCHP Tipo específico de NCP (Network Control Protocol) para IP Existem outros para IPx, Netbios, etc. DHCP é para redes Multiponto IPCP é para redes Ponto-a-Ponto PAP: Autenticação sem segurança EAP: Extensible Authentication Protocol (Usado em Wireless)

AUTENTICAÇÃO CHAP: PPP CHAP: Chalenge Handshake Authentication Protocol Autenticação One-Way Depende de um segredo Pré-compartilhado FASE LCP 4. VALIDAÇÃO Segredo + CS Suplicant 2. Challenge String (CS) 3. MD5 [Password + CS] Authenticator MD5 5 Digest 4. OK ou Failure COMPARAÇÃO

FRAME PPP: LINKS PONTO A PONTO O Frame PPP segue uma variante da estrutura do HDLC (High-level Data Link Control) IP TCP Dados IPv4 0x7E 0xFF 0x03 0x0021 FLAG ADDRESS CONTROL PROTOCOL DADOS FCS FLAG 8 bits 8 bits 8 bits 16 bits 16 bits 8 bits

EXEMPLO: ICMPV4 TRANSPORTADO POR PPP PPP identifica o protocolo com 2 bytes IPv4 identifica o protocolo com apenas 1 byte

PPTP: POINT-TO-POINT TUNNELING PROTOCOL Publicado pela Microsoft em 1999 (RFC 2637) Microsoft, Ascend (Nokia), 3Com e outros Cria túneis baseados em GRE (Generic Routing Encapsulation) O canal de controle para criação de túneis PPTP é baseado em TCP (Porta 1723) Mecanismos de segurança utilizados: MPPE (Microsoft Point-to-Point Encryption) MS-CHAP v1 (inseguro) MS-CHAP v2 (vulnerável a ataques de dicionário) PPTP com MPPE é considerado VULNERÁVEL Nativo para várias versões de Microsoft Windows Versões mais recentes do Windows usam SSTP SSTP (Secure Socket Layer Tuneling Protocol) Suporta EAP-TLS para autenticação

PPP VS PPTP PPP inseguro IP PSTN R A S IP Ambiente da Empresa Rede Ethernet Destino IP PPTP PPP linha telefônica PPP Eth meio compartilhado Eth seguro Ambiente da Empresa IP PPTP PSTN N A S Internet PPTP P N S IP Eth Rede Ethernet IP Eth IP IP IP PPP PPP XYZ XYZ linha telefônica NAS: Network Access Server PNS: PPTP Network Server

TOPOLOGIAS PPTP filtro de pacotes Internet Pública filtro de pacotes Usuários conectados a VPN A não podem enviar pacotes para membros da VPN B Servidor PPTP B Servidor PPTP A

EXEMPLO Cliente e servidor possuem endereços PÚBLICOS pré-definidos: IP C e IP S. Após a conexão eles recebem endereços PRIVADOS LOGIN + SENHA EXEMPLO: 192.168.0.1.. 192.168.0.254 IP C IP VPN + ROTAS IP S RANGE IP IP privado1 IP privado2... INTERNET SERVIDOR PPTP SERVIDOR RADIUS

REDE VIRTUAL = TOPOLOGIA EM ESTRELA Apenas pacotes enviados para endereços virtuais são protegidos. O servidor PPTP funciona como um HUB IP A IP S IP 2 IP 4 IP A IP 2 VPN IP S IP B IP 3 VPN INTERNET VPN SERVIDOR PPTP IP C IP 4 IP 1 VPN IP S IP c IP 2 IP 4

PPTP = GRE VERSÃO 2 Pacotes de PPTP são identificados pelo IP como GRE 47 = 0x2F GRE (Generic Routing Encapsulation) é uma técnica de tunelamento usada no core das redes ISP

MSCHAP V1: PPTP CHAP não gera uma chave para criptografia MS-CHAP é uma extensão do CHAP para gerar uma chave de criptografia a partir de um segredo pré-compartilhado A negociação é feita usando a porta de controle TCP 1723 1. Pedido de Login (Identificação) 2. Challenge String (CS1) 3. Challenge String (CS2) + MD4 (CS1+Password) > 1024 4. OK + MD4(CS1, CS2, Password) TCP:1723 5) chave (CS2 + password) chave (CS1 + password) RSA s RC4 40 ou 128 bits (negociado) 6) chave (CS1 + password) chave(cs2 + password) RSA s RC4 40 ou 128 bits (negociado)

EXEMPLO DE VPN COM FIREWALL >1023 1723 IP_PPTP Não há regras do firewall para servidores de destino ou IP de origem INTERNET FIREWALL: Liberar conexão TCP no servidor PPTP na porta 1723 Liberar envio de pacotes PPTP (0x2F) para IP de destino IP_PPTP

SSTP (SECURE SOCKET TUNNELING PROTOCOL) Problemas do PPTP Não é encapsulado em protocolos de transporte (TCP ou UDP) Não pode atravessa NAPT Utiliza o MPPE que é considerado inseguro SSTP: Secure Socket Tunneling Protocol Originalmente criado para Windows (2008 em diante) Utiliza SSL/TLS para autenticação e transporte Transporta pacotes PPP na porta TLS 443 (HTTPS) Pode utilizar EAP-TLS para métodos fortes de autenticação IP TCP HTTPS SSTP PPP pacote usuário

SSTP Define 2 tipos de pacotes: SSTP Control Packets SSTP Data Packets cliente SSTP servidor SSTP 1. O cliente faz uma conexão TCP na porta 443 do servidor 2. O handshake TLS/SSL é efetuado 3. O cliente negocia um túnel SSTP com o servidor 4. O cliente negocia uma conexão PPP com o servidor 5. Pacotes são transportados através do canal PPP

CENÁRIO DE USO SSTP CLIENTE REMOTO De forma similar a uma rede PPTP, o STP permite atribuir um endereço da rede privada para um usuário externo. A comunicação feita com o endereço privado é protegida pelo túnel SSTP

CENÁRIO DE USO SSTP SITE A SITE Usando o SSTP cliente como roteador, é possível usar o SSTP para conectar duas redes através a Internet

L2TP: LAYER TWO TUNNELING PROTOCOL Baseado nos Protocolos: PPTP + L2F Oferece as seguintes funções de segurança: Tunelamento, Autenticação, Anti-spoofing e Integridade Não possui suporte nativo para criptografia.

VPNS QUE USAM PPP PPTP: Negociação TCP (Porta 1723) Integridade feita apenas pelo PPP Possui suporte nativo a criptografia L2TP: Negociação UDP (Porta 1701) Possui mecanismo forte de integridade. Não possui suporte nativo a criptografia SSTP: Negociação TCP (Porta 443) Criptografia e integridade são feitos pelo TLS/SSL

TUNELAMENTO L2TP COM IPSEC L2TP e IPsec podem ser combinados para implementar um mecanismo completo de VPN para procotolos de rede diferentes do IP, como IPx e NetBEUI.

TUN/TAP Interfaces TUN/TAP permite redirecionar pacotes enviados ao sistema operacional para programas fora do kernel (espaço usuário) TUN: Simula uma dispositivo que opera em camada 3 e transporta pacotes TAP: Simula um dispositivo que opera em camada 2 e transporta quadros

OPENVPN Software open-source que implementa uma VPN baseada em SSL/TLS Baseado em OpenSSL Escrito por James Yonan Publicado como GNU GPL (General Public License) Suporta autenticação de clientes usando: Chave Estática: segredos pré-compartilhados TLS/SSL + certificados para autenticação e troca de chaves Nome Usuários/ Senha (novo) Protocolo de Transporte: Suporte a NAT UDP: Tipicamente (porta 1195) TCP: Opcional (porta 1194)

OPENVPN EXEMPLO DE TOPOLOGIA Túnel entre o cliente remoto e o servidor de VPN Acesso ao Target (10.10.2.20) que não está associado a VPN

OPENVPN SOBRE UDP NEGOCIAÇÃO DO CANAL SEGURO O canal seguro é criado utilizando-se o handshake SSL

TRANSPORTE DE DADOS UDP E TCP

CONCLUSÃO VPNs podem ser implementadas em diferentes camadas. As VPNs de camada 2 e 3 são implementadas na pilha de rede do sistema operacional. As VPNs de camada 4 pode ser implementadas usando SSL/TLS e não requerem suporte do sistema operacional. As VPNs de camadas 2 e 3 apresentam geralmente menos overhead (bytes adicionais usados para proteger os pacotes) e funcionam de maneira mais transparente para as demais aplicações.

2024 © DocPlayer.com.br Política de Privacidade | Termos de serviço | Feedback