Segurança e VPN : Negociação IPSec/Protocolos IKE

Como as Virtual Private Networks Funcionam

22 Maio 2008 - Tradução Manual
Outras Versões: Versão em PDFpdf | Tradução por Computador (13 Setembro 2013) | Inglês (13 Outubro 2008) | Feedback


Índice

Introdução
Antes de Iniciar
     Convenções
     Pré-requisitos
     Componentes Usados
     Informações Complementares
O que forma uma VPN?
Analogia: Cada LAN É um IsLANd
Tecnologias de VPN
Produtos VPN
Discussões relacionadas da comunidade de suporte da Cisco
Informações Relacionadas

Introdução

Este documento abrange os itens fundamentais das VPNs, como os componentes básicos das VPNs, tecnologias, tunelamento e segurança das VPNs.

Antes de Iniciar

Convenções

Para obter mais informações sobre convenções em documentos, consulte Convenções de dicas técnicas da Cisco.

Pré-requisitos

Não existem pré-requisitos específicos para este documento.

Componentes Usados

Este documento não se restringe a estas versões de software e hardware.

  • CatOS 12.4

  • IOS 13.1

Este documento não está restrito às versões específicas de software e de hardware.

Informações Complementares

O mundo mudou muito nas últimas décadas. Em vez de simplesmente lidar com as preocupações locais ou regionais, muitas empresas agora têm que pensar em mercados globais e logísticas. Muitas empresas possuem instalações em todo o país ou até mesmo em todo o mundo. Mas há uma coisa que todas as empresas necessitam: uma maneira de manter comunicações rápidas, seguras e confiáveis, não importa onde os escritórios estejam localizados.

Até recentemente, comunicação confiável significava o uso de linhas alugadas para manter uma WAN (Wide Area Network). As linhas alugadas, da fibra ISDN (Integrated Services Digital Network, executada a 144 Kbps) à OC-3 (Optical Carrier-3, executada em 155 Mbps), fornecem a uma empresa uma forma de expandir sua rede privada além da área geográfica imediata. Uma WAN possui vantagens óbvias em relação a uma rede pública como a Internet, em relação à confiabilidade, desempenho e segurança, mas a manutenção de uma WAN, particularmente ao utilizar linhas alugadas, pode tornar-se bastante cara (muitas vezes fica mais caro conforme a distância entre os escritórios aumenta). Adicionalmente, as linhas alugadas não são uma solução viável para organizações onde parte da força de trabalho é altamente móvel (como no caso da equipe de marketing) e precisa, muitas vezes, conectar-se à rede corporativa remotamente e acessar dados sensíveis.

Conforme a popularidade da Internet cresceu, os negócios passaram a utilizá-la como meio de estender suas próprias redes. Primeiro, vieram as intranets, que são sites desenhados para o uso apenas pelos funcionários da empresa. Agora, muitas empresas estão criando suas próprias VPNs (Virtual Private Networks) para acomodar as necessidades dos funcionários remotos e escritórios distantes.

how_vpn_works_01.gif

Uma VPN típica pode ter uma LAN (Local Area Network) principal nas matrizes corporativas de uma empresa, outras LANs nos escritórios ou instalações remotas e usuários individuais conectando em campo.

Basicamente, uma VPN é uma rede privada que utiliza uma rede pública (em geral, a Internet) para conectar os sites ou usuários remotos. Em vez de utilizar uma conexão dedicada com o mundo real, como a linha alugada, uma VPN utiliza conexões “virtuais” roteadas através da Internet da rede privada da empresa ao site ou funcionário remoto.

O que forma uma VPN?

Há dois tipos comuns de VPNs.

  • Remote-Access - Também chamada de uma VPDN (Virtual Private Dial-up Network), é uma conexão do usuário à LAN utilizada pela empresa que possui funcionários que precisam conectar-se à rede privada de diversos locais remotos. Geralmente, uma corporação que deseja configurar uma VPN de acesso remoto grande fornece alguma forma de conta dial-up de Internet aos usuários, utilizando o ISP (Internet Service Provider). Os teleswitches podem, então, discar um número 1-800 para alcançar a Internet e utilizam o software cliente de VPN para acessar a rede corporativa. Um bom exemplo de uma empresa que precisa de uma VPN de acesso remoto seria uma empresa grande, com centenas de vendedores em campo. As VPNs de acesso remoto permitem conexões seguras e criptografadas entre a rede privada de uma empresa e os usuários remotos através de um provedor de serviços de terceiro.

  • Site-to-Site - Através do uso de equipamento dedicado e criptografia em larga escala, uma empresa pode conectar vários sites fixos através de uma rede pública, como a Internet. Cada site precisa apenas de uma conexão local à mesma rede pública, economizando, assim, dinheiro em linhas alugadas privadas de longa distância. As VPNs Site-to-site podem ser adicionalmente categorizados em intranets ou extranets. Uma VPN site-to-site construída entre escritórios da mesma empresa é considerada uma VPN intranet, enquanto uma VPN construída para conectar a empresa a seu parceiro ou cliente é referida como uma VPN extranet.

Uma VPN bem desenhada pode beneficiar muito uma empresa. Por exemplo, ela pode fazer o seguinte:

  • Estender a conectividade geográfica

  • Reduzir os custos operacionais em oposição às WANs tradicionais

  • Reduzir os tempos de trânsito e custos de viagem para usuários remotos

  • Aprimorar a produtividade

  • Simplificar a topologia de rede

  • Fornecer oportunidades de rede global

  • Oferecer suporte ao teleswitch

  • Fornecer ROI (Return On Investment) mais rápido que a WAN tradicional

Quais recursos são necessários em uma VPN bem desenhada? Ela deve incorporar o seguinte:

  • Segurança

  • Confiabilidade

  • Escalabilidade

  • Gerenciamento de Rede

  • Gerência de Política

Analogia: Cada LAN É um IsLANd

Imagine que você vive em uma ilha em um oceano enorme. Há milhares de outras ilhas ao seu redor, algumas muito próximas e outras muito longe. A maneira normal de se viajar é pegando um barco da sua ilha para qualquer outra ilha que desejar visitar. Claro, viajar em um barco significa que você quase não tem privacidade. Tudo que você pode fazer pode ser visto pelas outras pessoas.

Digamos que cada ilha representa uma LAN privada e o oceano é a Internet. Viajar de barco é como conectar-se a um servidor da Web ou a outro dispositivo através da Internet. Você não tem controle sobre os cabos e roteadores que formam a Internet, assim como você não tem controle sobre as outras pessoas no barco. Isso deixa você suscetível aos problemas de segurança, se estiver tentando conectar entre duas redes privadas utilizando um recurso público.

Continuando nossa analogia, sua ilha decide construir uma ponte para outra ilha, para que haja uma maneira mais fácil, segura e direta das pessoas viajarem entre as duas. É caro construir e manter a ponta, apesar da ilha à qual você está se conectando estar muito próxima. Mas a necessidade de um caminha confiável e seguro é tão grande que você constrói de qualquer maneira. Sua ilha deseja conectar-se a uma segunda ilha muito mais distante, mas você decide que o custo é simplesmente muito grande para ser suportado.

Esta situação é muito similar a ter uma linha alugada. As pontes (linhas alugadas) são separadas do oceano (Internet), mas ainda assim podem conectar as ilhas (LANs). Muitas empresas escolheram esta rota pois necessitam de segurança e confiabilidade para conectar os escritórios remotos; no entanto, se os escritórios estiverem muito longe, o custo pode ser proibitivamente alto – assim como tentar construir uma ponte que una uma grande distância.

Como a VPN se adequa a esta analogia? Nós poderíamos fornecer a cada habitante de nossas ilhas seu próprio pequeno submarino, com as incríveis propriedades a seguir.

  • É rápido.

  • É fácil de levá-lo a qualquer lugar que deseje.

  • Está apto a esconder-se completamente de quaisquer outros barcos ou submarinos.

  • É confiável.

  • Custa pouco para adicionar submarinos à sua frota depois de adquirir o primeiro.

Apesar de estarem viajando no oceano juntamente com outro tráfego, os habitantes das duas ilhas poderiam viajar sempre que desejassem, com privacidade e segurança. Isso é essencialmente como a VPN funciona. Cada membro remoto de sua rede pode comunicar-se de uma forma segura e confiável, utilizando a Internet como meio para conectar-se com a LAN privada. Uma VPN pode crescer para acomodar mais usuários e diferentes locais mais facilmente do que uma linha alugada. Na verdade, a escalabilidade é a principal vantagem das VPNs em relação às linhas alugadas típicas. Diferente das linhas alugadas, onde o custo aumenta em proporção às distâncias envolvidas, os locais geográficos de cada escritório importam pouco na criação de uma VPN.

Tecnologias de VPN

Uma VPN bem desenhada utiliza vários métodos para manter sua conexão e seus dados seguros.

  • Confidencialidade de Dados - É, talvez, o serviço mais importante fornecido por qualquer implementação de VPN. Como os dados privados estão viajando por uma rede pública, sua confidencialidade é vital e pode ser obtida através da criptografia de dados. Este é o processo de pegar todos os dados que um computador está enviando a outro e codificá-los em um formato que apenas o outro computador estará apto a decodificar.

    A maioria das VPNs utilizam um dos seguintes protocolos para fornecer criptografia.

    • IPSec - Internet Protocol Security Protocol (IPSec) fornece recursos de segurança aprimorados, como algoritmos de criptografia mais fortes e autenticação mais abrangente. O IPSec possui dois modos de criptografia: túnel e transporte. O modo túnel criptografa o cabeçalho e a carga útil de cada pacote, enquanto o modo transporte criptografa apenas a carga útil. Apenas os sistemas que estão em conformidade com o IPSec podem tirar vantagens desse protocolo. Além disso, todos os dispositivos devem utilizar uma chave comum ou certificado e devem ter configurações de políticas de segurança bastante semelhantes.

      Para os usuários das VPNs de acesso remoto, alguns formatos de pacotes de software de terceiros fornecem a conexão e criptografia no PC dos usuários. IPSec oferece suporte à criptografia de 56 bits (DES único) ou 168 bits (DES triplo).

    • PPTP/MPPE - O PPTP foi criado pelo PPTP Forum, um consórcio que inclui a US Robotics, Microsoft, 3COM, Ascend e ECI Telematics. O PPTP oferece suporte a VPNs de vários protocolos, com criptografia de 40 e 128 bits, utilizando um protocolo denominado Microsoft Point-to-Point Encryption (MPPE). É importante observar que o PPTP não fornece criptografia de dados.

    • L2TP/IPSec - Comumente denominado L2TP por IPSec, fornece a segurança do protocolo IPSec pelo tunelamento do Layer 2 Tunneling Protocol (L2TP). L2TP é o produto de uma parceria entre os membros do PPTP forum, Cisco e Internet Engineering Task Force (IETF). Primariamente utilizado para VPNs de acesso remoto com os sistemas operacionais Windows 2000, visto que o Windows 2000 fornece um cliente nativo IPSec e L2TP. Internet Service Providers também podem fornecer conexões L2TP para usuários de discagem e criptografam esse tráfego entre o ponto de acesso e o servidor de rede do escritório remoto.

  • Integridade de Dados - Enquanto é importante que seus dados sejam criptografados em uma rede pública, é igualmente importante verificar se eles não foram alterados durante o trânsito. Por exemplo, o IPSec possui um mecanismo que assegura que a parte criptografada do pacote ou todo o cabeçalho e parte dos dados do pacote não sejam alterados. Se for detectada alteração, o pacote será eliminado. A integridade de dados também pode envolver a autenticação do par remoto.

  • Autenticação da Origem de Dados - É extremamente importante verificar a identidade da origem dos dados enviados. É necessário proteger-se de vários ataques que dependem de falsificar a identidade do emissor.

  • Anti Replay - Esta é a capacidade de detectar e rejeitar pacotes repetidos. Fazer isso ajuda a evitar a falsificação.

  • Tunelamento de Dados/Confidencialidade do Fluxo de Tráfego - O tunelamento é o processo de encapsulamento de todo um pacote em outro pacote e envio deste por uma rede. O tunelamento de dados é útil nos casos onde é desejável ocultar a identidade do dispositivo que origina o tráfego. Por exemplo, um único dispositivo utilizando o IPSec encapsula o tráfego pertencente a um número de hosts e inclui seu próprio cabeçalho na parte superior dos pacotes existentes. Ao criptografar o pacote original e o cabeçalho (e rotear o pacote com base no cabeçalho da camada adicional 3 incluído na parte superior), o dispositivo de tunelamento oculta efetivamente a origem real do pacote. Apenas o correspondente confiado estará apto a determinar efetivamente a origem real, após retirar o cabeçalho adicional e decriptografar o cabeçalho original. Como observado em RFC 2401 leavingcisco.com, "...a divulgação das características externas de comunicação também podem ser uma preocupação em algumas circunstâncias. A confidencialidade do fluxo de tráfego é o serviço que endereça essa preocupação, resguardando os endereços de origem e destino, comprimento da mensagem ou freqüência de comunicação. No contexto do IPSec, utilizar o ESP no modo de túnel, especialmente em um gateway de segurança, pode fornecer algum nível de confidencialidade do fluxo de tráfego".

    Todos os protocolos de criptografia listados acima também utilizam o tunelamento como um meio de transferir os dados criptografados na rede pública. É importante perceber que o tunelamento em si não fornece segurança de dados. O pacote original é simplesmente encapsulado em outro protocolo e pode ainda estar visível com um dispositivo de captura de pacote, se não estiver criptografado. É mencionado aqui, no entanto, visto que é uma parte integral de como as VPNs funcionam.

    O tunelamento requer três protocolos diferentes.

    • Protocolo passageiro - Os dados originais (IPX, NetBeui, IP) sendo carregados.

    • Protocolo de encapsulamento - O protocolo (GRE, IPSec, L2F, PPTP, L2TP) que cerca os dados originais.

    • Protocolo da operadora - O protocolo utilizado pela rede sobre a qual as informações estão viajando.

    O pacote original (Protocolo passageiro) é encapsulado no protocolo de encapsulamento, que é inserido no cabeçalho do protocolo da operadora (geralmente, IP) para a transmissão pela rede pública. Observe que o protocolo de encapsulamento também, muitas vezes, carrega a criptografia dos dados. Como é possível observar, os protocolos como IPX e NetBeui, que normalmente seriam transferidos pela Internet, podem ser transmitidos com segurança.

    Para as VPNs site-to-site, o protocolo de encapsulamento é, geralmente, IPSec ou Generic Routing Encapsulation (GRE). O GRE inclui informações sobre que tipo de pacote você está encapsulando e informações sobre a conexão entre o cliente e o servidor.

    Para as VPNs de acesso remoto, o tunelamento em geral ocorre utilizando o Point-to-Point Protocol (PPP). Parte da pilha TCP/IP, PPP é a portadora de outros protocolos de IP ao comunicar-se pela rede entre o computador host e um sistema remoto. O tunelamento PPP utilizará um dos PPTP, L2TP ou Layer 2 Forwarding (L2F) da Cisco.

  • AAA - A autenticação, autorização e contabilidade são utilizados para obter o acesso mais seguro em um ambiente de VPN de acesso remoto. Sem a autenticação dos usuários, qualquer um em um laptop/PC com o software cliente de VPN pré-configurado pode estabelecer uma conexão segura na rede remota. Com a autenticação do usuário, entretanto, um nome de usuário e senha válidos também deverão ser inseridos antes de concluir a conexão. Os nomes de usuários e senhas podem ser armazenados no dispositivo de terminação de VPN ou em um servidor AAA externo, que pode fornecer autenticação a vários outros bancos de dados, como Windows NT, Novell, LDAP, etc.

    Quando um pedido para estabelecer um túnel chega de um cliente dial-up, o dispositivo de VPN solicita um nome de usuário e senha. Isso pode ser autenticado localmente ou enviado ao servidor AAA externo, que verifica o seguinte:

    • Quem você é (Autenticação)

    • O que você pode fazer (Autorização)

    • O que você realmente faz (Contabilidade)

    As informações de contabilidade são especialmente úteis para acompanhar o uso do cliente para fins de auditoria de segurança, faturamento ou geração de relatórios.

  • Não repudiação - Em determinadas transferências de dados, especialmente aquelas relacionadas às transações financeiras, não repudiação é um recurso altamente desejável. Isso é útil para evitar situações onde uma parte nega ter participado de uma transação. Assim como um banco solicita sua assinatura antes de honrar seu cheque, a não repudiação funciona anexando uma assinatura digital à mensagem enviada, pressupondo a possibilidade do emissor negar a participação na transação.

Há alguns protocolos que podem ser utilizados para construir uma solução de VPN. Todos esses protocolos fornecem alguns subconjuntos dos serviços listados acima. A escolha de um protocolo depende do conjunto desejado de serviços. Por exemplo, uma organização pode estar confortável com a transferência dos dados em texto, mas extremamente preocupada com a manutenção da integridade, enquanto outra organização pode crer que a manutenção da confidencialidade dos dados é absolutamente essencial. Suas escolhas de protocolos podem ser diferentes. Para obter mais informações sobre os protocolos disponíveis e seus pontos fortes relativos, consulte Que Solução de VPN É Adequada para Você?

Produtos VPN

Dependendo do tipo de VPN (remote-access ou site-to-site), será necessário ativar alguns componentes para construir a VPN. Isso pode incluir o seguinte:

  • Cliente de software de área de trabalho para cada usuário remoto

  • Hardware dedicado, como Cisco VPN Concentrator ou um Cisco Secure PIX Firewall

  • Servidor VPN dedicado para serviços de dial-up

  • Network Access Server (NAS) utilizado pelo provedor de serviços para o acesso à VPN do usuário remoto

  • Rede privada e centro de gerenciamento de políticas

Como não há padrão amplamente aceito para a implementação de uma VPN, muitas empresas desenvolveram soluções turn-key próprias. Por exemplo, a Cisco oferece várias soluções de VPN, incluindo o seguinte:

  • VPN Concentrator - Incorporando as técnicas de criptografia e autenticação mais avançadas disponíveis, os Cisco VPN Concentrators são construídos especificamente para criar uma VPN remote-access ou site-to-site e, idealmente, são implementados onde o requisito é para um dispositivo único para manipular um número muito grande de túneis VPN. O VPN Concentrator foi especificamente desenvolvido para endereçar o requisito para um dispositivo de VPN remote-access construído para a finalidade. Os concentradores fornecem alta disponibilidade, alto desempenho e escalabilidade e incluem componentes denominados módulos Scalable Encryption Processing (SEP), que permitem que os usuários aumentem facilmente a capacidade e o throughput. Os concentradores são oferecidos em modelos adequados para pequenos negócios, com 100 ou menos usuários de acesso remoto, a organizações corporativas de grande porte, com até 10.000 usuários remotos simultâneos.

    how_vpn_works_02.gif

  • VPN-Enabled Router/VPN-Optimized Router - Todos os roteadores Cisco executando o software Cisco IOS® oferecem suporte a VPNs IPSec. O único requisito é que o roteador deve estar executando uma imagem Cisco IOS com o conjunto de recursos apropriado. A solução Cisco IOS VPN oferece total suporte aos requisitos de VPN de acesso remoto, intranet e extranet. Isso significa que os roteadores Cisco trabalham igualmente bem quando conectados a um host remoto executando o software cliente VPN ou quando conectados a outro dispositivo de VPN, como um roteador, PIX Firewall ou VPN Concentrator. Os roteadores habilitados para VPN são apropriados para VPNs com criptografia moderada e requisitos de tunelamento e fornecem serviços de VPN totalmente através dos recursos do Cisco IOS Software. Exemplos de roteadores habilitados para VPN incluem Cisco 1000, Cisco 1600, Cisco 2500, Cisco 4000, Cisco 4500 e Cisco 4700 series.

    Os roteadores otimizados para VPN da Cisco fornecem escalabilidade, roteamento, segurança e Quality of Service (QoS). Os roteadores são baseados no Cisco IOS Software e há um dispositivo adequado para cada situação, do acesso small-office/home-office (SOHO), através da agregação da VPN de site central, às necessidades de empresas de larga escala. Os roteadores otimizados para VPN são desenhados para corresponder aos requisitos de alta criptografia e tunelamento e utilizam, muitas vezes, hardware adicional, como placas de criptografia, para alcançar o alto desempenho. Exemplos de roteadores otimizados para VPN incluem Cisco 800, Cisco 1700, Cisco 2600, Cisco 3600, Cisco7200 e Cisco7500 series.

    how_vpn_works_03.gif

  • Cisco Secure PIX Firewall - O Private Internet eXchange (PIX) Firewall combina a network address translation dinâmica, servidor proxy, filtragem de pacotes, firewall e recursos de VPN em um único hardware. Em vez de utilizar o Cisco IOS Software, este dispositivo possui um sistema operacional altamente dinâmico, que lida com a capacidade de manipular uma variedade de protocolos para robusteza e desempenho extremos, focalizando no IP. Como ocorre com os roteadores Cisco, os modelos PIX Firewall oferecem suporte a VPN IPSec. Tudo que é requerido é que os requisitos de licenciamento para ativar o recurso VPN sejam correspondidos.

    how_vpn_works_04.gif

  • Cisco VPN Clients - A Cisco oferece clientes VPN de hardware e software. O Cisco VPN Client (software) é fornecido com o Cisco VPN 3000 Series Concentrator sem custos adicionais. Este cliente de software pode ser instalado na máquina host e utilizado para conectar-se com segurança ao concentrador central do site (ou a qualquer outro dispositivo de VPN, como um roteador ou firewall). O VPN 3002 Hardware Client é uma alternativa para implementar o software cliente de VPN em todas as máquinas e fornece conectividade de VPN a vários dispositivos.

A escolha dos dispositivos utilizados para construir a solução de VPN é um problema de desenho, que depende de vários fatores, incluindo o throughput desejado e o número de usuários. Por exemplo, em um site remoto com vários usuários utilizando um PIX 501, é possível considerar a configuração do PIX existente como o terminal VPN do IPsec, desde que você tenha aceito o throughput 3DES de 501 de 3 Mbps brutos e o limite máximo de 5 correspondentes VPN. Por outro lado, um site central agindo como terminal de VPN para um grande número de túneis de VPN, em direção a um roteador otimizado a VPN ou um concentrador VPN poderia ser provavelmente uma boa idéia. A escolha agora dependeria do tipo ( LAN-to-LAN ou remote access) e do número de túneis de VPN em configuração. A ampla variedade de dispositivos Cisco com suporte a VPN fornece aos designers de rede uma grande flexibilidade e uma solução robusta, para corresponder a cada necessidade de desenho.


Discussões relacionadas da comunidade de suporte da Cisco

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas.


Informações Relacionadas


Document ID: 14106