Virtual Private Network (VPN)

Documentos relacionados
Nível de segurança de uma VPN

Exercícios de Revisão Redes de Computadores Edgard Jamhour. SSL, VPN PPTP e IPsec

WEP, WPA e EAP. Rodrigo R. Paim

Códigos de Autenticação de Mensagens. Instituto de Computação - UNICAMP

TRABALHO DE GESTÃO DE INFORMAÇÃO VIRTUAL PRIVATE NETWORK VPN

Digitel NRX Cliente VPN IPSec TheGreenBow. Guia de Configuração.

Protocolo PPP. Principais Componentes: Método para encapsular datagramas em enlaces seriais (Substitui o SLIP). Link Control Protocol (LCP)

Configurando o roteador para roteador do IPsec com sobrecarga e Cisco Secure VPN Client NAT

Segurança do Ambiente Físico Para garantir adequada segurança do ambiente físico, é necessário combinar as seguintes medidas: o De prevenção; o Detecç

Administração de VPNs IPSec

Autenticação: mais uma tentativa. Autenticação: mais uma tentativa. ap5.0: falha de segurança. Autenticação: ap5.0. Assinaturas Digitais (mais)

Roteadores de Serviços Integrados CISCO ISR G2

Segurança na Internet partes 3 & 4. Criptografia com Chave Pública. Distribuição da Chave Secreta

UNIP UNIVERSIDADE PAULISTA

Tecnologias Atuais de Redes

Router VPN DrayTek. Cliente VPN IPSec TheGreenBow. Guia de Configuração.

Exemplo de configuração da opção de DHCP 82 do controlador do Wireless LAN

Firewalls. Carlos Gustavo A. da Rocha. ASSR

RADIUS. Porque utilizar o RADIUS

Firewall. Prof. Marciano dos Santos Dionizio

GatePRO. Cliente VPN IPSec TheGreenBow. Guia de Configuração.

SIMOS (IMPLEMENTING CISCO SECURE MOBILITY) 1.0

Instituto Politécnico de Beja, Escola Superior de Tecnologia e Gestão, Licenciatura em Engenharia Informática 1. Tecnologias WAN.

Centro Universitário Fundação Santo André. Disciplina Redes de Computadores Módulo 07

Centro Universitário Fundação Santo André. Disciplina Redes de Computadores Módulo 07

M3D4 - Certificados Digitais Aula 2 Certificado Digital e suas aplicações

Redundância para Servidores de VPN Faculdade de Tecnologia SENAC Pelotas

Graduação Tecnológica em Redes de Computadores. Infraestrutura I - Redes Locais

Lista de exercícios - 1º bimestre 2016 REDES

VPN VPN VPN. Resumo do seminário Próxima apresentação. ESP Encapsulation Security Payload

Manual de Utilização de Certificados Digitais. Microsoft Outlook 2003

Capítulo 8. Segurança de redes

Prof. Marcelo Cunha Parte 6

Redes sem Fio WPANs (IEEE ) Wireless Personal Area Networks. Ricardo Kléber. Ricardo Kléber

PIX/ASA 7.x: Adicionar/remova uma rede em um exemplo existente da configuração de túnel L2L VPN

Protocolos de Rede. Protocolos em camadas

Guia de Configurações do Wi-Fi

A IMPORTÂNCIA DA SEGURANÇA DE REDES NO CENÁRIO ATUAL: ESTUDO COM O MÉTODO DELPHI

SERVIÇO NACIONAL DE APRENDIZAGEM COMERCIAL FACULDADE DE TECNOLOGIA SENAC PELOTAS TECNÓLOGO EM REDES. Professor Eduardo Maroñas Monks

Sistemas de Troca de Mensagens

Investigação e Avaliação do Impacto da Aplicação de Mecanismos de Segurança em Voice over Internet Protocol (VoIP)

Neste manual apresentaremos a configuração de uma VPN IPSec com dois equipamentos, (DI-LB604 e um DI-804HV). Vamos simular uma Filial e uma Matriz

Segurança de Redes de Computadores

# $ % & ' ( ) * ' ( ) *! " " Orientador +, -

Transcrição:

Virtual Private Network (VPN) Daniel Gurgel CCNP CCDP CCIP RHCE gurgel@secrel.net.br

Introdução a VPN Networks Provem conexão segura na Internet com usuários e escritórios remotos. Depois de conectados, fornecem os mesmos recursos de segurança oferecidos por linhas privadas.

Benefícios das VPNs Redução de custos VPNs permitem que as organizações estabeleçam conexões entre si da mesma forma que em linha alugadas. Segurança Usam algoritmos para encriptação e autenticação para proteger que os dados sejam acessados de forma não autorizada Escalabilidade Usando a estrutura da Internet, é possível adicionar um novo peer sem alterar a infraestrutura da organização.

VPN Site-to-Site Site-to-Site Atuam como uma extensão da rede, conectando redes entre si. O VPN gateway é responsável por encapsular e encriptar todo o tráfego sainte para um destino. O VPN Gateway pode ser um roteador, um firewall ou um Cisco ASA (Adaptative Security Appliance).

VPN Site-to-Site

VPN Remote Access Remote Access Tem a função de conectar hosts ou usuários remotos utilizando a infraestrutura da Internet.

Componentes Hardware e software podem ser usados para estabelecer a conexão: VPNs através do IOS em roteadores Clientes VPNs Cisco ASA

IPSEC IPSEC é um protocolo padrão que atua na camada de rede, protegendo os dados transmitidos entres dois ou mais peers (hosts, roteadores ou gateways). O IPSEC prover as seguintes funções: Confidencialidade: Pacotes são encriptados antes de serem transmitidos na rede.

IPSEC Integridade dos Dados: O receptor pode verificar se os dados não foram alterados. Isso é feito através de checksums. Autenticação: Garante que a conexão seja estabelecida entre o peer desejado. Anti Relay: Verifica se cada pacote é único e não duplicado. Isto é feito comparando o número de sequência dos pacotes recebidos.

Confidenciabilidade IPSEC prover a confiabilidade encriptando os dados, tornando os mesmos de forma ilegível.

Algoritmos de Criptografia O grau de segurança depende do comprimento da chave do algoritmo de criptografia. Um chave pequena torna o processo de decriptografia mais fácil.

Algoritmos de Criptografia IKE (Internet Key Exchange): Protocolo que fornece para o IPSec a autenticação dos Peers, negociação do IKE, IPSec security associations e estabelecimento de chaves que são usadas pelos protocolos de criptografias. Aparece nas configurações como ISAKMP. IPSEC suporta os seguintes algoritmos de criptografia:

Algoritmos de Criptografia DES, 3DES e AES: Algoritmos que fazem a criptografia dos dados. O DES utiliza chaves de 56 bits, o 3DES usa 168 bits e o AES pode trabalhar com chaves de 128, 192 e 256 bits, sendo o mais forte (também é o que consome mais processamento ). Utilizam chave simétrica. MD5 e SHA-1: Algoritmos usados para autenticar os pacotes. Para isso o SHA-1 utiliza um algoritmo que produz um digest de 160 bits, sendo mais seguro que o MD5, que cria um digest de 128 bits.

Algoritmos de Criptografia DH (Diffie-Hellman): Protocolo de criptografia com utilização de chaves públicas que foi criado em 1976 por Whitfield Diffie e Martin Hellman. O Diffie-Hellman (DH) Key Exchange realiza uma troca de chaves públicas simétricas compartilhadas para criptografar e descriptografar um canal.

Algoritmos de Criptografia Grupos Diffie-Hellman (DH) determinam a força da chave utilizada no processo de troca de chaves. Os números mais altos do grupo são mais seguras, mas exigem mais tempo para calcular a chave. Group 1-768-bit Diffie-Hellman group. Group 2-1024-bit Diffie-Hellman group. Group 5-1536-bit Diffie-Hellman group.

Integridade dos Dados Para garantir a integridades dos dados, IPSEC utiliza um algoritmo para adicionar um hash a mensagem, garantindo assim que não houve alteração dos dados. Dois tipos comuns de algoritmos HMAC (Hash-based Message Authentication Code) utilizados pelos IPSEC são...

Integridade dos Dados Message Digest Algorithm 5 (MD5): Usa uma chave secreta de 128 bits. A mensagem e a chave são combinadas, em seguida o algoritmo é executado, formando um hash de 128 bits. O hash é adicionado a mensagem original e então enviado ao host remoto. Secure Hash Algorithm-1 (SHA-1): Utiliza uma chave secreta de 160 bits. A mensagem e a chave são combinadas, em seguida o algoritmo é executado, formando um hash de 160 bits. O hash é adicionado a mensagem original e então enviado ao host remoto.

Autenticação Os peers devem se autenticar para estabelecer a comunicação, seguem dois métodos: Pre-Shared Keys (PSK): A chave é informada manualmente em cada peer para autenticação. Rivest, Shamir, and Aldeman (RSA) signatures: Usa a troca de certificados digitais para autenticação dos peers.

Protocolos de Segurança ESP e AH São cabeçalhos adicionais que fornecem o armazenamento de funções necessárias para o uso de VPNs. Dois protocolos são definidos: ESP: Encapsulating Security Payload (Protocolo 50) AH: IP Authentication (Protocolo 51)

Protocolos de Segurança ESP e AH Recurso Suportado pelo ESP Suportado pelo AH Autenticação Sim (fraco) Sim (Forte) Integridade da mensagem Sim Sim Criptografia Sim Não Anti Relay Sim Não O AH prover a autenticação e a integridade dos dados, porém os pacotes (payload) não são criptografados, provendo então uma fraca segurança. O ESP prover encriptação, autenticação e integridade o ESP criptografa o pacote IP e o cabeçalho ESP, ocultando assim os dados e identidades da origem e destino.

Protocolos de Segurança ESP e AH

Fases para Configuração Uma VPN IPSec tem 5 fases: Identificação do tráfego interessante, IKE fase 1, IKE fase 2, transferência de dados e fim do túnel IPSec. 1) Tráfego interessante: É o tráfego que deve ser criptografado, geralmente identificado através de access-lists. 2) IKE fase 1: Basicamente tem a função de negociar as políticas que serão utilizadas, autenticar os peers e fechar um túnel seguro, por onde serão configurados os demais parâmetros. Pode trabalhar em Main Mode (mais lento) ou Agressive Mode. Podemos dizer que é um primeiro túnel, para proteger as mensagens de negociação para o túnel principal.

Fases para Configuracao Opções do IKE fase 1: Algoritmo de criptografia: DES, 3DES, AES Algoritmo Hash: MD5, SHA-1 Método de autenticação: Pre Share, RSA Signature Key Exchange: DH group 1, group 2, group 5 IKE SA lifetime: até 86400 segundos 3) IKE fase 2: É a negociação do segundo túnel. São definidos os parâmetros do IPSec e transform sets, são estabelecidos IPSecs SAs, que são renegociados de tempos em tempos e pode também ocorrer a troca do DH (opcional).

Fases para Configuracao O Security Association (SA) é uma conexão entre os dois peers que determina quais serviços do IPSec estão disponíveis naquela conexão (tipo de algoritmo de criptografia e autenticação utilizada, endereço IP, tempo de vida da key e outros ). São unidirecionais e assim, para um túnel VPN são criados dois SAs. O IPSec pode trabalhar de duas madeiras: Túnel e Transporte. O modo túnel é o padrão, e com ele o pacote inteiro é criptografado e um novo cabeçalho é criado. Já no modo transporte o cabeçalho não é alterado, sendo criptografado apenas os dados.

Fases para Configuracao Opções do IKE fase 2: Algoritmo de criptografia: DES, 3DES, AES Authentication: MD5, SHA-1 SA lifetime: até 28.000 segundos 4) Transferência de dados: Após finalizada o IKE fase 2, o tráfego começa a ser enviado pelo túnel, de forma segura (criptografado). 5) Fim do túnel IPSec: O túnel é finalizado quando a SA é deletada (manualmente) ou ocorre timeout, que pode ser configurado para ocorrer após um determinado espaço de tempo sem transmissão de dados ou após uma quantidade específica de dados transmitidos.

Verificação Básica RouterX# show crypto ipsec sa Exibe as configurações utilizadas por associações de segurança atuais (SAS) RouterX# show crypto isakmp sa Exibe todos os atuais Internet Key Exchange (IKE associações) de segurança (SAS) de um peer. IPsec Troubleshooting: Understanding and Using debug Commands http://www.cisco.com/en/us/tech/tk583/tk372/technologies_tech_note09186a00800949c5.shtml

2026 © DocPlayer.com.br Política de Privacidade | Termos de serviço | Feedback