2. Transporte Subjacente
• Esta figura mostra um pacote IPSec, que é
composto por um pacote IP original, utilizado
para transmitir informações pela Internet, e
alguns dos cabeçalhos utilizados pelo IPSec.
3. VANTAGENS E DESVANTAGENS
• As vantagens em utilizar uma VPN estão
relacionadas à
segurança, transparência, facilidade de
administração e redução de custos.
• A VPN garante o fornecimento de funções vitais
de segurança, como
autenticidade, confidencialidade, integridade e
controle de acesso, reduzindo os riscos de
ataques externos, como IP Spoofing, man-inthe-middle e injeção de pacotes na comunicação.
4. VANTAGENS E DESVANTAGENS
• A transparência não deixa que os usuários, as
aplicações e os computadores percebam a
localização física dos recursos que estão sendo
utilizados, permitindo que eles sejam acessados
em lugares remotos como se estivessem
presentes localmente, facilitando o
gerenciamento das redes e diminuindo a
necessidade de treinamentos para os
administradores.
5. VANTAGENS E DESVANTAGENS
• A redução de custos é uma das maiores
vantagens de se implementar uma VPN, pois
usando conexão local de Internet, não é
necessário, por exemplo, o uso de linhas
dedicadas e servidores para acesso remoto, que
são relativamente mais caros de se manter
comparando-se a uma VPN.
6. VANTAGENS E DESVANTAGENS
• Uma VPN apresenta como desvantagens o fato
de sua implementação poder consumir muito
tempo, a dificuldade na localização de seus
defeitos, a relação de confiança entre as redes
interconectadas e a disponibilidade da Internet.
7. VANTAGENS E DESVANTAGENS
• Em razão dos dados trafegarem de forma
encriptada em uma VPN, a localização de
defeitos, como a não sincronização das
chaves, falhas de autenticação, pacotes perdidos
e a sobrecarga do gateway VPN, pode ser um
problema.
8. VANTAGENS E DESVANTAGENS
• Em razão de uma VPN depender da Internet
para conectar suas redes, é necessário que ela
esteja sempre disponível, o que nem sempre é
possível, devido às falhas existentes nos
provedores de serviços de Internet.
9. VPN
• Falando um pouco mais de VPN, existem três
tipos de conexões VPN que iremos conhecer:
▫ Redes VPN de acesso remoto
▫ Redes VPN site a site
▫ Redes VPN do tipo ponto a ponto
10. Rede VPN Acesso Remoto
• Habilita um usuário que esteja trabalhando em
casa ou em trânsito a acessar um servidor em
uma rede privada, usando a infraestrutura
fornecida por uma rede pública, como a
Internet.
• Do ponto de vista do usuário, a VPN é uma
conexão ponto a ponto entre o computador
cliente e um servidor da organização.
11. Rede VPN Acesso Remoto
• A infraestrutura da rede pública ou
compartilhada é irrelevante porque ela aparece
logicamente como se os dados fossem enviados
por meio de um link privado dedicado.
• Essa rede também é chamada de rede discada
privada virtual (VPDN).
12. Rede VPN Acesso Remoto
• É uma conexão usuário-LAN utilizada por
empresas cujos funcionários precisam se
conectar a uma rede privada de vários lugares
distantes.
• Normalmente, uma empresa que precisa instalar
uma grande rede VPN de acesso remoto
terceiriza o processo para um provedor de
serviços corporativo (ESP)
13. Rede VPN Acesso Remoto
• O ESP instala um servidor de acesso à rede
(NAS) e provê os usuários remotos com um
programa cliente para seus computadores.
• Os trabalhadores que executam suas funções
remotamente podem discar para um 0800 para
ter acesso ao NAS e usar seu software cliente de
VPN para alcançar os dados da rede corporativa.
14. Redes VPN site a site
• Uma conexão VPN site a site (algumas vezes
chamada de conexões VPN roteador a roteador)
habilita que uma organização mantenha
conexões roteadas entre escritórios
independentes ou com outras organizações em
uma rede pública, enquanto ajuda a manter a
segurança das comunicações.
15. Redes VPN site a site
• Quando as redes são conectadas pela
Internet, como mostra a figura a seguir, um
roteador habilitado por VPN encaminha os
pacotes para outro roteador habilitado por VPN
em uma conexão VPN.
• Para os roteadores, a conexão VPN
aparece, logicamente, como um link de camada
de link de dados dedicado.
16. Redes VPN site a site
• Uma conexão VPN site a site conecta duas redes
privadas.
• O servidor VPN fornece uma conexão roteada
com a rede à qual o servidor VPN está
conectado.
• O roteador de chamada realiza sua própria
autenticação para o roteador de resposta e, para
autenticação mútua, o roteador de resposta
realiza sua própria autenticação para o roteador
de chamada.
17. Redes VPN site a site
• Geralmente, em uma conexão VPN site a site, os
pacotes enviados de qualquer um dos roteadores
pela conexão VPN não são originados nos
roteadores.
19. Redes VPN do tipo ponto a ponto
• Por meio do uso de equipamentos dedicados e
criptografia em grande escala, uma empresa
pode conectar múltiplos pontos fixos em uma
rede pública como a Internet.
• VPNs do tipo ponto a ponto podem ser de dois
tipos:
▫ Baseada em intranet
▫ Baseada em extranet
20. Baseado na Intranet
• Se uma empresa tem
um ou mais locais
remotos que quer ver
ligados por uma rede
privada, pode criar uma
rede do tipo VPN
intranet para conectar
redes LAN entre si.
21. Baseado na Extranet
• Quando uma empresa tem uma estreita relação
com outra (parceiros, fornecedores ou
clientes), pode construir uma rede do tipo VPN
extranet que conecta uma rede LAN a outra
LAN, permitindo às empresas o trabalho em
ambiente compartilhado.
23. Segurança de uma rede VPN:
Firewalls
• Uma rede VPN bem projetada utiliza vários
métodos para manter sua conexão e segurança
dos dados:
▫
▫
▫
▫
Firewalls
Criptografia
IPSec
Servidor AAA
24. Firewall
• Um firewall provê uma potente barreira entre
sua rede privada e a Internet. Podemos colocar
firewalls para restringir o número de portas
abertas, o tipo de pacote que pode passar e que
protocolos são permitidos por ele.
• Alguns produtos para rede VPN, como o
roteador Cisco 1700, podem ser atualizados para
incluir habilidades de firewalls, executando
neles um IOS Cisco apropriado.
25. Criptografia
• As formas de segurança em comunicação de
dados, devemos lembrar que Criptografia é o
processo de codificação de todos os dados que
um computador envia para outro, de forma que
só o destinatário possa decodificá-los A maioria
dos sistemas de criptografia de computadores
pertence a uma destas duas categorias:
▫ criptografia com chave simétrica
▫ criptografia com chave pública
26. IPSec
• O Internet Protocol Security (IPSec) fornece
recursos aperfeiçoados de segurança, como um
melhor algoritmo de criptografia e autenticação
mais abrangente
28. IPSec
• No IPSec há duas formas de criptografia: túnel e
transporte.
• A forma de túnel criptografa o cabeçalho e o
conteúdo de cada pacote, ao passo que a modalidade
transporte somente criptografa os conteúdos.
• Somente sistemas compatíveis com IPSec podem
tirar vantagem desse protocolo.
• Todos os equipamentos precisam usar uma chave
comum, e o firewall de cada rede precisa ter
instaladas políticas de segurança semelhantes.
29. IPSec
• O IPSec pode criptografar dados entre vários
equipamentos, como:
▫
▫
▫
▫
roteador para roteador
firewall para roteador
PC para roteador
PC para servidor
30. Servidores AAA
• Servidores AAA (autenticação, autorização e
contabilização, na sigla em inglês) são usados
para dar mais segurança ao acesso a ambientes
de redes VPN de acesso remoto.
• Quando uma solicitação para estabelecer um
contato vem de um cliente discado, é
encaminhada para um servidor AAA.
31. Servidores AAA
• O servidor AAA verifica o seguinte:
▫ Quem você é (autenticação)
▫ O que você está autorizado a fazer (autorização, ou
determinação de permissões)
▫ O que você de fato faz (contabilização)
• A informação de contabilização é muito útil para
rastrear um usuário - para auditorias de
segurança, cobrança ou confecção de relatórios.
33. Tecnologias das redes VPN
• Dependendo do tipo de rede VPN (acesso remoto ou
ponto a ponto), precisaremos incluir certos
componentes para construir nossa rede VPN, entre
os quais:
▫ Programa cliente para o computador de cada usuário
remoto
▫ Equipamentos dedicados como um concentrador para
redes VPN ou firewall PIX seguro
▫ Servidor VPN dedicado, para serviços de discagem
NAS (network access server) usado pelo provedor de
serviços de um usuário remoto com acesso à rede VPN
▫ Central de gerenciamento de políticas e de redes VPN
34. Tecnologias das redes VPN
• Por não existir um padrão amplamente aceito
para se implementar uma rede VPN, muitas
empresas desenvolveram soluções próprias.
• Nas próximas seções abordaremos algumas
soluções oferecidas pela Cisco, uma das mais
difundidas companhias de tecnologia de redes
de dados.
35. Exercício
1.
2.
3.
4.
Qual a função de uma VPN?
Quais os principais elementos de uma VPN?
Diferencie os principais tipos de VPN?
Comente sobre segurança em redes VPN?
36. Concentradores de redes VPN
• Incorporando as mais avançadas técnicas de
criptografia e autenticação disponíveis, os
concentradores VPN são construídos
especificamente para a criação de VPN de acesso
remoto.
37. Concentradores de redes VPN
• Eles oferecem alta disponibilidade, alto
desempenho e escalabilidade e incluem
componentes, chamados de módulos de
processamento escalável de criptografia
(SEP - scalable encryption processing
), que permitem aos usuários aumentar
facilmente a capacidade de processamento.
38. Concentradores de redes VPN
• Os concentradores são oferecidos em modelos
apropriados para cada tipo, desde pequenos
escritórios com até 100 usuários de acesso
remoto até grandes organizações com até 10 mil
usuários remotos simultâneos.
39.
40. Roteador VPN otimizado
• Roteadores otimizados VPN da Cisco proveem
escalabilidade, roteamento, segurança e QoS
(quality of service - qualidade de serviço).
• Com base no programa Cisco IOS (Internet
Operating System), existe um roteador
apropriado para cada situação, desde acesso de
pequenos escritórios conhecidos como smalloffice/home-office (SOHO) até os agregadores
VPN central-site, para necessidades corporativas
em larga escala.
42. Secure PIX Firewall da Cisco
• Uma incrível peça de tecnologia, o firewall PIX
(private Internet exchange) combina tradução de
endereços da rede dinâmica, servidor
proxy, filtragem de pacote, firewall e
capacidades das redes VPN em um só
equipamento.
43. Secure PIX Firewall da Cisco
• Em vez de usar o IOS Cisco, esse equipamento
possui um sistema operacional altamente
moderno, que substitui a habilidade de gerenciar
uma variedade de protocolos pela extrema
robustez e desempenho focados no IP.
44. Túnel de comunicação
• A maioria das redes VPNs confia no túnel de
comunicação para criar uma rede privada que
passa pela Internet.
• Túnel de comunicação é o processo de colocar
um pacote inteiro dentro de outro e enviar
ambos pela rede.
• O protocolo do pacote externo é entendido pela
rede e dois pontos chamados interfaces do
túnel, pelas quais o pacote entra na rede e sai
dela.
45. Túnel de comunicação
• O envio de dados pelo túnel requer três
diferentes protocolos:
▫ Protocolo de portadora - o protocolo usado
pela rede sobre a qual a informação está viajando.
▫ Protocolo de encapsulamento - os protocolos
(GRE, IPSec, L2F, PPTP, L2TP) que são
empacotados em volta dos dados originais.
▫ Protocolo de passageiro - os dados originais
(IPX, NetBeui, IP) sendo transportados
46. Túnel de comunicação
• O envio de dados pelos túneis tem uma implicação
surpreendente para as redes VPNs.
• Podemos colocar um pacote que usa um protocolo
que não é suportado pela Internet (como o NetBeui)
dentro de um pacote com protocolo IP e enviá-lo de
forma segura pela Internet.
• Podemos também colocar um pacote que usa um
endereço IP privado (não roteável) dentro de um
pacote que usa um endereço IP global exclusivo para
ampliar uma rede privada na Internet.
47. Túnel de comunicação ponto a ponto
• Em uma rede VPN ponto a ponto, GRE
(encapsulamento de roteamento
genérico) é normalmente o protocolo de
encapsulamento que provê a estrutura de
empacotamento do protocolo de passageiro para
transportar sobre o protocolo de portadora, que
é tipicamente baseado em protocolo IP.
48. Túnel de comunicação ponto a ponto
• Incluem-se informações sobre que tipo de pacote
está sendo encapsulado e sobre a conexão entre
o cliente e o servidor.
• Apesar do GRE, o IPSec no modo túnel é
muitas vezes usado como o protocolo de
encapsulamento.
• O IPSec trabalha bem tanto com o acesso
remoto, quanto com as VPNs ponto a ponto.
• O IPSec precisa ser aceito nas duas interfaces do
túnel para ser usado.
49. Túnel de comunicação de dados:
acesso remoto
• Em uma rede VPN de acesso remoto, a
transmissão de dados pelo túnel se dá com uso
de PPP.
• Parte da camada TCP/IP, o PPP é o
transportador para outros protocolos IP quando
se comunicam pela rede entre o host e o sistema
remoto. A transmissão de dados pelo túnel em
rede VPN de acesso remoto se baseia no
protocolo PPP.
50. Túnel de comunicação de dados:
acesso remoto
• Cada um dos protocolos listados abaixo foi
construído usando a estrutura básica do
protocolo PPP e é usado pelas redes VPNs de
acesso remoto.
▫ L2F (Layer 2 Forwarding)
▫ PPTP (Point-to-Point Tunneling Protocol)
▫ L2TP (Layer 2 Tunneling Protocol)
51. L2F (Layer 2 Forwarding)
• L2F (Layer 2 Forwarding) - desenvolvida pela
Cisco, o L2F usa qualquer esquema de
autenticação suportado pelo protocolo PPP.
52. PPTP (Point-to-Point Tunneling
Protocol)
• o PPTP foi criado pelo Forum PPTP, um
consórcio de empresas que inclui a US
Robotics, Microsoft, 3COM, Ascend e a ECI
Telematics.
• O PPTP aceita criptografia de 40-bits de 128-bits
e usa qualquer esquema de autenticação aceito
pelo protocolo PPP.
53. L2TP (Layer 2 Tunneling Protocol)
• L2TP é o produto da parceria entre os membros
do fórum PPTP, Cisco e o IETF (Internet
Engineering Task Force). Combinando
características tanto do PPTP quanto do L2F, o
L2TP também aceita amplamente o IPSec.
54. L2TP (Layer 2 Tunneling Protocol)
• O L2TP pode ser usado como protocolo de
transmissão de dados pelo túnel para VPNs
ponto a ponto e para VPNs de acesso remoto. De
fato, o protocolo L2TP pode criar um túnel
entre:
▫ cliente e roteador
▫ NAS e roteador
▫ roteador e roteador
55. VPN
• Como você viu, redes VPNs são uma boa
maneira de as empresas manterem seus
funcionários e parceiros conectados, não
importando onde eles estejam.
56. Exercício
1. Defina túnel de comunicação?
2. Diferencie os principais equipamentos de uma
VPN?
3. Quais as vantagens e desvantagens dos
protocolos L2F, PPTP e L2TP?