ads:
UNIVERSIDADE DE TAUBATÉ
Pedro Celestino
REDES VIRTUAIS PRIVADAS
Taubaté – SP
2005
ads:
Livros Grátis
http://www.livrosgratis.com.br
Milhares de livros grátis para download.
UNIVERSIDADE DE TAUBATÉ
Pedro Celestino
REDES VIRTUAIS PRIVADAS
Professor Orientador: Prof. Dr. Luiz Octávio Mattos dos Reis
Taubaté – SP
2005
Dissertação
apresentada para obtenção do Título de
Mestre em Automação do Departamento
de Pós
G
raduação em Engenharia Mecânica da Universidade
de Taubaté.
Área de Concentração: Automação Industrial e
Robótica
ads:
Pedro Celestino
Título: Redes Virtuais Privadas
Universidade de Taubaté, Taubaté, SP
Data : 03/12/2005.
Resultado_________________
Banca Examinadora
Prof.Dr. _____________________________ Instituição______________
Assinatura _______________________
Prof.Dr. _____________________________ Instituição______________
Assinatura _______________________
Prof.Dr. _____________________________ Instituição______________
Assinatura _______________________
Prof.Dr. _____________________________ Instituição______________
Assinatura _______________________
Prof.Dr. _____________________________ Instituição______________
Assinatura _______________________
Dedico este trabalho ao meu orientador
Prof. Dr.Luiz Oc
tavio Mattos dos Reis,
pelo incentivo
conferido ao meu trabalho
durante sua pesquisa e execução.
Aos meus queridos pais (in memorian),
com a certeza de estarem orgulhosos p
or
mais esse patamar alcançado e
agradecendo a eles tudo o que sou e que
tenho hoje. Aos meus filhos Flávio,
Ricardo e Fernanda, que sirva como
exemplo de vida, objetivando a realização
Agradecimentos
À Professora
Márcia Rejane pela ajuda nas
correções e em particular a minha assistente e
grande amiga Nadya Moscoso Cicarelli
pela
correção ortográfica.
1
RESUMO
Com as redes de computadores, surge também a possibilidade de
administrar remotamente as organizações inteligentes, no entanto a troca de
informações segura tornou-se um problema para as instituições que trafegam
dados estruturados através das redes de computadores. Um dos maiores
desafios é a busca de soluções economicamente viáveis e ao mesmo tempo
seguras. Protocolos de segurança, algoritmos criptográficos meios de
comunicação seguros, são itens essenciais para que a informação possa
trafegar em ambientes livres de interferências externas. Uma das soluções é a
Rede Virtual Privada. Neste trabalho, serão apresentados os principais
destaques desta tecnologia, utilizando o protocolo IPSec, com o propósito de
apresentar mais uma solução atrativa para as organizações, pois trata-se de
uma solução economicamente viável e segura.
PALAVRAS- CHAVES: Redes de Computadores, Segurança em Redes,
Criptografia, IPSec, Windows
Celestino, Pedro. REDES VIRTUAIS PRIVADAS. 2005 - Dissertação de
Mestrado em Engenharia de Automação – Departamento de Engenharia
Mecânica – Universidade de Taubaté, Taubaté.
2
ABSTRACT
Along with the computers networks emerges the possibility of managing
remotely the intelligent organizations although the safe change of information
has become a problem to the institutions which transport structured data
through nets of computers. One of the largest challenges is the search for safe
and economically viable solutions. Protocols of safety, cryptographic algorithms,
safe means of communication are essential items so that the information can
travel in environmentals free of external interferences. One of the alternatives is
the Virtual Private Networks. In this work , the main prominences of this
technology will be presented using the protocol IPSec with the purpose of
presenting a more atractive tool to the organizations due to its safety and
economical viability.
KEY WORDS: Computers Networks, Security in Networks,
Cryptography,Windows.
Celestino, Pedro. PRIVATE VIRTUAL NETWORK. 2005 - dissertation of
Mestrado in Engineering of Automation - Department of Mechanical
Engineering - University of Taubaté, Taubaté
3
SUMÁRIO
RESUMO ........................................................................................................... 1
ABSTRACT........................................................................................................ 2
1 - CAPÍTULO I – Considerações iniciais e Metodologia ................................... 9
1.1 - INTRODUÇÃO............................................................................................9
1.1.1 - Revisão da Literatura..............................................................................10
1. 2 - OBJETIVOS.............................................................................................11
1.2.1 - Objetivo principal .................................................................................. 12
1.2.2 - Objetivos essenciais ............................................................................. 12
1.2.3 – Metodologia da pesquisa ..................................................................... 12
1.2.4 – Estruturação do texto ........................................................................... 13
2 - Capitulo II – Redes Computacionais........................................................... 14
2.1 - REDES DE COMPUTADORES................................................................14
2.2 - TIPOS DE REDE ......................................................................................15
2.2.1 - Ponto-a- ponto ...................................................................................... 15
2.2.2 - Cliente-servidor..................................................................................... 16
2.3 - Classificações......................................................................................... 16
2.3.1 - LAN – Local Area Network.................................................................... 17
2.3.2 - WAN – Wide Area Network................................................................... 17
2.4 - Protocolos.................................................................................................18
2.4.1 - TCP/IP - Histórico da Internet ............................................................... 19
2.4.2 - Protocolo TCP/IP .................................................................................. 20
2.5 - Aspectos de Segurança............................................................................21
2.5.1 - Perigos e malefícios............................................................................. 22
2.5.2 - Ataques................................................................................................. 22
2.5.3 - Interceptação ........................................................................................ 23
2.5.4 – Interrupção........................................................................................... 24
2.5.5 - Modificação.......................................................................................... 24
2.5.6 - Fabricação ........................................................................................... 25
2.5.7 - Métodos de defesas.............................................................................. 25
2.5.8 - Firewall.................................................................................................. 26
2.5.9 - Firewall e VPN ...................................................................................... 27
2.5.10 - CRIPTOGRAFIA ................................................................................. 29
2.5.11 - Criptografia Simétrica.......................................................................... 30
2.5.12 - Criptografia Assimétrica...................................................................... 31
2.5.13 - Função Hash....................................................................................... 32
2.5.14 - Assinatura digital................................................................................. 32
2.5.15- Certificado digital ................................................................................. 33
2.6 – Redes Privadas (VPN) .............................................................................34
2.6.1- Definição de VPN................................................................................... 34
2.6.2 - Elementos de uma VPN........................................................................ 35
2.6.3 - Tunelamento......................................................................................... 35
2.6.4 - Autenticação de dados.......................................................................... 36
2.6.5 - Protocolos de tunelamento e encriptação............................................. 36
2.6.6 - Vantagens e Desvantagens.................................................................. 37
2.6.7 - Comparação com outras tecnologias.................................................... 37
2.6.8 - VPN x Frame Relay .............................................................................. 38
2.6.9 - VPN x Servidor de Acesso Remoto ..................................................... 39
2.6.10 - Topologias .......................................................................................... 39
4
2.6.10.1 - Host-host.......................................................................................... 39
2.6.10.2 - Host-Rede........................................................................................ 40
2.6.10.3 - Rede-Rede....................................................................................... 40
2.6.11 – Protocolo PPTP.................................................................................. 41
2.6.11.1 - Arquitetura PPTP ............................................................................. 42
2.6.11.2 - Mecanismos de Segurança do PPTP .............................................. 43
2.6.11.3 - Formato dos Datagramas ................................................................ 43
2.6.11.4 - L2TP ................................................................................................ 44
2.6.11.5 - Operação ......................................................................................... 44
2.6.11.6 - Autenticação .................................................................................... 45
2.6.11.7 - Formato do Datagrama.................................................................... 45
3 - Capitulo III - IPSec ...................................................................................... 47
3.1 - Introdução.................................................................................................47
3.2 – Protocolo..................................................................................................47
3.3 - Associação de segurança (AS).................................................................49
3.4 – AH Authentication Header........................................................................50
3.5 - ESP Encapsulating Security Payload .......................................................52
3.6 - Geração de Chaves..................................................................................53
3.7 - Métodos de autenticação..........................................................................53
3.8 - Conclusão quanto a utilização do IPSEc ..................................................55
4 – Capitulo IV – Desenvolvimento de uma rede aplicada a uma empresa
privada. ............................................................................................................ 56
4.1 Justificativa do emprego da VPN: ...............................................................56
4.2 - Etapas Estabelecidas de implantação para previsão de custos...............58
5 - Capitulo V - Considerações sobre a pesquisa. .......................................... 59
6 - Capitulo VI – Conclusão e resultados obtidos na aplicação........................ 60
Apêndice I - VPN EM WINDOWS 2000 ........................................................... 71
Apêndice II - Instalação de configuração de Cliente VPN.................................77
REFERÊNCIAS BIBLIOGRÁFICAS................................................................. 80
SITES VISITADOS........................................................................................... 81
5
LISTA DE ABREVIATURAS E SIGLAS
Sigla Significado da sigla
AES Advanced Encryption Standard – padrão de encriptação
AH Authentication Header – Cabeçalho de autenticação
ARPANET
Advanced Research Projects Agency Network
AS Security Association – AS – Associação segura
ATM Asynchronous Transfer Mode – Modo de transferência assíncrono
CAST Carlisle Adams and Stafford Tavares
DAS Dual Attachment Station – Estação de anexo dual
DES Data Encryption Standard – Encriptação padrão de dados
DoS Denial of Service – Negação ao Serviço
DSL Digital Subscriber Line – Subscritor de linha digital
ESP Encapsulating Security Payload – Encapsulamento de Segurança
FTP File Transfer Protocol – Protocolo deTransferência de arquivos
ICP Internet Control Protocol – Protocolo de controle da internet
IETF Internet Engineering Task Force – Força tarefa de engenharia
IKE Internet Key Exchange – Chave de troca da Internet
IP Internet Protocol – Protocolo de Internet
IPSec Internet Protocol Security – Protocolo de internet Seguro
IPX/SPX Interwork Packet Exchange / Sequenced Packet Exchange
ISP Internet Service Provider – Provedor de serviço de internet
ITU-T
International Telecomunication Union – Telecommunication
Standardization Sector – União Internacional de telecomunicações
– Setor de Padronização de telecomunicações
L2TP Layer Two Tunneking Protocol – Protocolo da segunda camada
LAN Local Area Network – Rede de alcance local
MAN Metropolitan Area Network – Rede de alcance Metroplolitano
Net Bios Network Basic Input/Output System
NetBeui Network Basic Input/ Output System- Extended User Interface
PAP Password Authentication Protocol – Protocolo de autenticação
PKI Public Key Infrastructure – Infraestrutura de chave Pública
POP Post Office Protocol - Point of Presence – Ponto de Presença
PPP Point-to-point Protocol – Protocolo ponto a ponto
PPTP Point to Point Tunnel Protocol – Protocolo Ponto a Ponto Tunelado
RADIOS
Remote Authentication Dial-In User Service – Serviço de
autenticação a distância
RNP Rede Nacional de Ensino e Pesquisa
RSA Rivest-Shamir-Adelman -
SMTP
Simple Mail Transfer Protocol – protocolo simples de transferência
de correio.
SPI Service Provider Interface – Interface de provedor de serviço
TACACS
Terminal Access Controller Access Control System – Sistema
controlador de acesso terminal
TCP/IP
Transmission Control Protocol/Internet Protocol – Protocolo de
controle de transmissão / protocolo Internet
VPN Virtual privates network – Redes Virtuais Privadas
WAN Wide Area Network - Rede de Grande Área
MD-5 Message Digest 5 – Resumo de Mensagem 5
SHA-1 Secure Hash Algorithm – Algoritmo Hash seguro
3DES Triple Data Encryption Standard – Encriptador triplo padrão
6
Lista de Figuras
FIGURA 2. 1 - APLICAÇÃO VPN..................................................................... 14
FIGURA 2. 2 - - APLICAÇÃO VPN .................................................................. 15
FIGURA 2. 3 - CLIENTE SERVIDOR............................................................... 16
FIGURA 2. 4 - REDE CLIENTE-SERVIDOR.................................................... 16
FIGURA 2. 5 - EXEMPLO DE UMA LAN (CORTESIA CISCO) ...................... 17
FIGURA 2. 6 - EXEMPLO DE UMA WAN (CORTESIA CISCO)...................... 18
FIGURA 2. 7 - CAMADAS MODELO OSI ........................................................ 20
FIGURA 2. 8 - ATAQUE PASSIVO.................................................................. 23
FIGURA 2. 9 - ATAQUE POR INTERCEPTAÇÃO........................................... 23
FIGURA 2. 10 - ATAQUE POR INTERRUPÇÃO............................................. 24
FIGURA 2. 11 - ATAQUE POR MODIFICAÇÃO.............................................. 24
FIGURA 2. 12 - ATAQUE POR FABRICAÇÃO................................................ 25
FIGURA 2. 13 - FIREWALL.............................................................................. 26
FIGURA 2. 14 - FIREWALL (CORTESIA PROF. DR.JOSÉ MAURÍCIO
SANTOS PINHEIRO)................................................................................ 27
FIGURA 2. 15 - GATEWAY VPN ..................................................................... 28
FIGURA 2. 16 - GATEWAY VPN COM ROTEADOR....................................... 28
FIGURA 2. 17 - GATEWAY COM FIREWALL ................................................. 29
FIGURA 2. 18 - CRIPTOGRAFIA..................................................................... 30
FIGURA 2. 19 - PROCESSO DE CRIPTOGRAFIA SIMÉTRICA..................... 30
FIGURA 2. 20 - ILUSTRAÇÃO DE CIFRAGEM E DECIFRAGEM................... 30
FIGURA 2. 21 - PROCESSO DE CRIPTOGRAFIA ASSIMÉTRICA ................ 31
FIGURA 2. 22 - PROCESSO DE ASSINATURA DIGITAL. ............................. 33
FIGURA 2. 23 - TÚNEL VIRTUAL ENTRE 2 REDES ...................................... 35
FIGURA 2. 24 - AUTENTICAÇÃO HASH ........................................................ 36
FIGURA 2. 25 – IPSEC.................................................................................... 36
FIGURA 2. 26 - TOPOLOGIA HOST-HOST .................................................... 40
FIGURA 2. 27 - TOPOLOGIA HOST-REDE .................................................... 40
FIGURA 2. 28 - TOPOLOGIA REDE-REDE .................................................... 41
FIGURA 2. 29 - ENCAPSULAMENTO PPTP (CORTESIA MICROSOFT) ...... 41
FIGURA 2. 30 - PROTOCOLO PPP ................................................................ 42
FIGURA 2. 31- DATAGRAMA PPP.................................................................. 44
FIGURA 2. 32 - TÚNEL L2TP .......................................................................... 45
FIGURA 2. 33 - FORMATO DO DATAGRAMA L2TP...................................... 46
FIGURA 3. 1 - IPSEC – MODO TRANSPORTE .............................................. 48
FIGURA 3. 2 - IPSEC – MODO TÚNEL........................................................... 48
FIGURA 3. 3- CABEÇALHO DO PROTOCOLO AH ........................................ 51
FIGURA 3. 4 - CABEÇALHO DO PROTOCOLO ESP..................................... 52
FIGURA 4. 1- VPN ENTRE A MATRIZ , DUAS FILIAIS E UM ACESSO
REMOTO .................................................................................................. 57
FIGURA 6. 1 - CÂMERA DE VÍDEO COM IP DE ALTA DEFINIÇÃO
(CORTESIA PANASONIC) ....................................................................... 61
FIGURA 6. 2 – FOTO DA IMPLEMENTAÇÃO EXPERIMENTAL DA VPN COM
WIN XP E WIN98 2E ................................................................................ 64
FIGURA 6. 3 - FOTO DA IMPLEMENTAÇÃO EXPERIMENTAL DA VPN COM
WIN XP E WIN98 2E ................................................................................ 64
FIGURA 6. 4 - FOTO DA IMPLEMENTAÇÃO EXPERIMENTAL DA VPN COM
WIN XP E WIN98 2E ................................................................................ 65
7
FIGURA 6. 5 – FOTO DA IMPLEMENTAÇÃO EXPERIMENTAL DA VPN COM
WIN XP E WIN98 2E ................................................................................ 65
FIGURA 6. 6 – FOTO DA IMPLEMENTAÇÃO EXPERIMENTAL DA VPN COM
WIN XP E WIN 98 2E................................................................................ 66
FIGURA 6. 7 – FOTO DA IMPLEMENTAÇÃO EXPERIMENTAL DA VPN COM
WIN XP E WIN 98 2E................................................................................ 66
FIGURA 6. 8 – FOTO DA IMPLEMENTAÇÃO EXPERIMENTAL DA VPN COM
WIN XP E WIN 98 2E................................................................................ 67
FIGURA 6. 9 - FOTO DA IMPLEMENTAÇÃO EXPERIMENTAL DA VPN COM
WIN XP E WIN 98 2E................................................................................ 67
FIGURA 6. 10 – FOTO DA IMPLEMENTAÇÃO EXPERIMENTAL VPN COM
ACESSO POR NOTEBOOK WIN XP (CONFIGURAÇÃO REDE – REDE)
.................................................................................................................. 68
FIGURA 6. 11 – FOTO DA IMPLEMENTAÇÃO EXPERIMENTAL VPN COM
ACESSO POR NOTEBOOK WIN XP (CONFIGURAÇÃO REDE – REDE)
.................................................................................................................. 68
FIGURA 6. 12– FOTO DA IMPLEMENTAÇÃO EXPERIMENTAL VPN COM
ACESSO REMOTO POR NOTEBOOK WIN XP (CONFIGURAÇÃO REDE
– SERVIDOR)........................................................................................... 68
FIGURA 6. 13 – FOTO DA IMPLEMENTAÇÃO EXPERIMENTAL VPN:
MONITORAMENTO POR CÂMERA......................................................... 69
FIGURA 6. 14 – FOTO DA IMPLEMENTAÇÃO EXPERIMENTAL VPN:
CÂMERA GERENCIADA PELO SERVIDOR DE VPN.............................. 69
FIGURA 6. 15 - FOTOS DA IMPLEMENTAÇÃO EXPERIMENTAL VPN:
ACESSO REMOTO OBTENDO INFORMAÇÕES VISUAIS EM TEMPO
REAL GERENCIADAS PELO SERVIDOR ............................................... 70
8
Lista de Tabela
TABELA 6. 1 - DISPOSITIVOS PERIFÉRICOS USADOS EM VPN................ 62
9
1 - CAPÍTULO I – Considerações iniciais e Metodologia
1.1 - INTRODUÇÃO
Atualmente, em função da necessidade crescente de estruturação dos
sistemas existentes, conta-se com a possibilidade de administrar as
organizações através das redes de computadores, uma vez que muitas
Instituições possuem filiais em diferentes polos; dificultando, portanto a
propagação de dados e informações primordiais ao bom funcionamento das
mesmas. Segundo Gabriel Torres “As redes de computadores surgiram da
necessidade da troca de informações, onde é possível ter acesso a um dado
que está fisicamente localizado distante” . No entanto há necessidade de trocar
informações de forma segura pois as informações são confidenciais e sigilosas.
Segundo (CYCLADES,2000) a Rede Virtual Privada ou Virtual Private Network
(VPN) é uma das maneiras de interligar diferentes redes de organização, onde
se utiliza para isso a rede Internet. Sua principal característica é criar um “túnel
virtual” de comunicação que possibilita a interligação das redes, de modo que
os dados possa trafegar de forma segura, ou seja, criptografados através dos
túneis, aumentado assim a segurança e a recepção dos dados.
De acordo com Cyclades “A principal motivação para a implementação
de VPNs é financeira [...], despertando cada vez mais o interesse das
organizações com diversas filiais, que necessitam de uma forma econômica de
comunicação, a adotarem essa tecnologia, ressaltam também Alan Tamer
Vasques e Rafael Priante Schuber em seu trabalho de conclusão de curso.
Afirmações de diversos profissionais de Tecnologia da Informação
ressaltam que a VPN apresenta a vantagem de expansão sem investimento em
infra-estrutura extra, permitindo inclusive suporte a usuários móveis, sem a
utilização de modem ou servidores de acesso remoto, colaborando com a
flexibilidade e redução de gastos com equipamentos periféricos.
10
1.1.1 - REVISÃO DA LITERATURA
Inicialmente compartilhavam-se os dados através de disquetes, portanto
toda vez que o arquivo era modificado havia necessidade de ser novamente
distribuído, tornando difícil a administração das organizações. Com o advindo
das redes de computadores LAN – Local Área Network (Torres), foram criadas
as primeiras normas para redes que permitiam a interligação de computadores
possibilitando a integração entre vários fabricantes. Nesta época as LANS
poderiam ser comparadas a ilhas, pois a possibilidade de troca de dados era
limitada a pequenas distancias, a medida que as necessidades aumentavam
outras redes eram criadas até que não foram suficientes. Imediatamente
surgiram as Redes Metropolitanas e Redes Globais que interligavam redes de
menor porte, LAN a nível de cidades, por fim as Redes Globais ganharam
espaço pois interligavam Redes Locais a uma escala planetária.
Nos anos 40 os computadores eram dispositivos eletromecânicos, em meados
de 1947 com a invenção dos transistores computadores menores e mais
confiáveis começaram a surgir. Nos anos 50 utilizavam-se os grandes
computadores com perfuradores de cartão, nesta época desenvolveram os
primeiros circuitos integrados permitindo integração de milhares de transistores
em única pastilha de silício. A partir dos anos 60 foram criados os primeiros
mainframes com terminais para usuários. Em 1970 surgiram os primeiros
microcomputadores. A Apple desenvolve o primeiro computador pessoal
imediatamente a IBM lança seu primeiro PC. Nos anos 80 inicia-se a
comunicação ponto a ponto ou dial-up através de modens, posteriormente
estabeleceram-se as primeiras BBS (Boletim Board Sistem). Os militares nesta
mesma época já desenvolviam projetos de defesa em experimentos
estritamente militares que interligavam as diversas redes, formando a Rede
Global. Daí por diante inicou-se todo um estudo de configuração de redes de
computadores e suas diversas topologias, definindo-se as hierarquias de rede.
Mais adiante surgem os primeiros protocolos de comunicação denominados
inicialmente de protocol suítes, na verdade eram conjuntos de protocolos que
permitiam a comunicação de um host para outro através da rede. Define-se
assim como construir as redes físicas, como os computadores são interligados,
de que forma a informação pode ser enviada e como os erros podem ser
11
tratados. Os responsáveis pela criação e manutenção dos protocolos são os
Comitês: INSTITUTE OF ELETRICAL AND ELETRONIC ENGINEERS (IEEE),
AMERICAN NATIONAL STANDARS INSTITUTE (ANSI),
TELECOMMUNICATIONS INDUSTRIES ASSOCIATINOS (TIA), ELETRONIC
INDUSTRIES ALLIANCE (EIA) e INTERNATIONAL TELECOMMUNICATIONS
UNION (ITU), conhecido anteriormente como COMITE CONSULTATIF
INTERNATIONAL TELEPHONIQUE ET TELEGRAPHIQUE (CCITT).
A partir daí foram regulamentadas as redes locais compostas de
computadores, placas de interface de rede, dispositivos periféricos e
dispositivos de rede. Estas redes tinham a finalidade de operar numa área
geograficamente limitadas, permitindo acesso múltiplo em meios físicos de alta
velocidade e controle privado. Outras tecnologias começam a ser
implementadas como: ISDN, DSL, e FRAME RELAY. Intensifica-se assim a
necessidade de trafegar informações de forma segura, e economicamente
viáveis iniciando-se desta forma os primeiros estudos sobre Redes Virtuais
Privadas (CYCLADES,2000). Foram implementados os protocolos de
comunicação PPTP, L2TP e IPSec. As questões quanto a segurança de rede
foram intensificadas aplicando-se conceitos de criptografia, funções Hash,
chaves publicas e privadas.
Toda essa tecnologia deve ser implementada pelos sistemas operacionais, nos
sistemas considerados abertos, como linux e sistemas proprietários como OS2
da IBM, e Windows da Microsoft . Vasques e Schuber, em seu trabalho de
graduação, abordam os principais itens de uma Rede Privada Virtual,
implementada em sistema operacional Linux, utilizando o protocolo IPSec, com
objetivo de posicioná-la como uma alternativa segura e economicamente
atrativa para organizações privadas e estatais. Outros trabalhos foram
desenvolvidos em ambiente Windows 98, (2000) NT e XP
(Luiz Carlos dos Santos http://www.clubedasredes.eti.br/soft0006.htm).
O presente trabalho, aborda conceitos necessários a uma alternativa
economicamente viável e atrativa, utilizando sistema operacional Windows
98/2000 e XP contribuindo com mais uma alternativa para implementação de
Redes Virtuais Privadas, considerando o elevado número de computadores
disponíveis nas organizações onde o sistema operacional residente é
Windows.
12
1. 2 - OBJETIVOS
1.2.1 - Objetivo principal
O objetivo é apresentar a implementação de Redes Virtuais Privadas,
utilizando IPSec, ressaltando a viabilidade de construir sistemas de informação
de grande amplitude geográfica, minimizando os custos e interligando as
organizações através de suas redes de computadores preservando a
autenticidade, confidencialidade, integridade, controle de acesso,
disponibilidade e não-repúdio.
1.2.2 - Objetivos essenciais
Afim de contemplar o objetivo principal estabeleceu-se os seguintes
objetivos essenciais:
Analisar a tecnologia VPN, assim como o IPSec e os seus
respectivos conceitos;
Configurar uma VPN em Windows 2000 Professional utilizando o
protocolo IPSec;
Verificar a funcionalidade da VPN configurada, no sentido de avaliar
aspectos de segurança na interligação de duas redes;
Aprimorar os conhecimentos nestas tecnologias.
1.2.3 – Metodologia da pesquisa
Esta monografia, foi realizada após ampla pesquisa bibliográfica, em
sites especializados sobre o assunto, com propósito de fornecer subsídios
suficientes à implementação da tecnologia em estudo.
Há também a possibilidade de implementação, utilizando-se o sistema
operacional Linux Red Hat por ser um aplicativo gratuito que também
implementa o protocolo do IPSec.
13
1.2.4 – Estruturação do texto
Capítulo I trata da introdução do trabalho, onde são evidenciados os
objetivos gerais e específicos e a metodologia utilizada.
Capítulo II introduzirá os conceitos fundamentais de redes de
computadores, como tipos de redes. Conterá ainda informações
relevantes a respeito da segurança em VPNs, onde serão abordados os
principais tipos de ataques e defesas, as ameaças existentes, os métodos
de criptografia, assinaturas e certificados digitais, entre outras e abordará
os conceitos de uma VPN, onde serão observadas as suas principais
características, as vantagens e desvantagens de sua implementação,
além dos principais protocolos.
Capítulo III - faz destaque ao principal protocolo utilizado em VPN
atualmente, o IPSec.
Capitulo IV - apresenta a proposta para desenvolvimento de uma rede
aplicada a uma empresa privada..
Capitulo V - apresenta considerações sobre a pesquisa, considerando
sua aplicação junto a organizações.
Capitulo VI - apresenta as conclusões e resultados obtidos além de
sugerir outros estudos utilizando a tecnologia VPN.
14
2 - Capitulo II – Redes Computacionais
2.1 - REDES DE COMPUTADORES
Para Andrew S. Tanenbaum, rede de computadores é um conjunto de
computadores autônomos interconectados, trocando informações entre si,
através de um fio de cobre, fibras ópticas, rádio, microondas, satélites de
comunicação, entre outros, conforme ilustrado na Figura 2.1.
Um dos objetivos da criação das redes foi compartilhar recursos aos
usuários, como aplicações, equipamentos e dados, independente da
localização física deste recurso ou do próprio usuário.
A confiabilidade (várias fontes alternativas de fornecimento do mesmo
dado), a escalabilidade (possibilidade de aumentar os recursos á medida que
for necessário) e a economia de custos (troca de computadores de grande
porte – mainframes – por computadores pessoais) foram itens fundamentais
para o desenvolvimento das redes.
Um exemplo de rede mundialmente difundida é a Internet, que possui
milhares de computadores interconectados trocando as mais diversas
informações, tais como e-mail arquivos, páginas pessoais e corporativas.
Figura 2. 1 - Aplicação VPN
15
2.2 - TIPOS DE REDE
Pode-se encontrar basicamente dois tipos de redes de computadores:
ponto a ponto e cliente servidor.
2.2.1 - Ponto-a- ponto
Definem-se por ser pequenas redes, identificadas como
descentralizadas, geralmente com até 20 computadores, que utilizam recursos
de outras máquinas, e em dadas situações podem compartilhar seus próprios
recursos na rede.
Um exemplo de rede ponto-a-ponto, apresentado na Figura 2.2,
composta por 4 computadores, e uma impressora compartilhando arquivos
entre si.
Este tipo de configuração de rede pode ser facilmente obtido, no entanto
apresenta uma grande desvantagem quanto a política de segurança, tornando-
se extremamente vulnerável. Outra desvantagem deste tipo de configuração
ocorre quando encontra-se dois ou mais computadores com arquivos com
mesmos nomes, este tipo de problema impede a organização do ambiente de
trabalho.
Figura 2. 2 - - Aplicação VPN
16
2.2.2 - Cliente-servidor
Neste tipo de configuração, também conhecida como centralizada tem
como característica possuir pelo menos um computador dedicado a uma ou
várias tarefas, sendo este chamado de servidor, de acordo com a Figura 2.3.
Esses tipos de servidores são encontrados em aplicações como: impressão,
arquivos, correio eletrônico, paginas de web, sistemas dedicados de
administração quer seja residencial, industrial ou de grandes organizações.
Figura 2. 3 - Cliente servidor
Neste caso a instalação e administração devem ser realizadas por
equipe especializada. Destaca-se ainda por apresentar grande eficiência
reduzindo significativamente os custos administrativos da organização. A maior
vantagem deste tipo de cliente-servidor está diretamente relacionada à questão
de segurança, como ilustrado na Figura 2.4.
Figura 2. 4 - Rede cliente-servidor
2.3 - Classificações
Pode-se classificar as redes em função do tamanho, desta forma vamos
encontrar: Wide Área Network (WAN), Local Área Network (LAN) e
17
Metropolitan Area Network (MAN), porém, serão abordados apenas a (LAN) a
(WAN), por serem mais utilizada.
2.3.1 - LAN – Local Area Network
Redes locais (LAN’s) são basicamente um grupo de computadores
interconectados e opcionalmente conectado a um servidor, de acordo com a
Figura 2.5. Os usuários executam tarefas a partir de seus computadores. Entre
as tarefas pode-se destacar os banco de dados, planilhas e editores de texto.
Normalmente tem-se um grupo destes usuários executando uma operação no
servidor.
Os módulos mais importantes de uma rede local são:
Servidores
Workstations (Clientes/usuários)
Recursos
Figura 2. 5 - Exemplo de uma LAN (cortesia Cisco)
2.3.2 - WAN – Wide Area Network
18
Interligação de computadores geograficamente distantes. As WAN’S
utilizam linhas de transmissão oferecidas por empresas de telecomunicações
como a Embratel, e suas concessionárias.
A necessidade de transmissão de dados entre computadores surgiu com
os mainframes, bem antes do aparecimento dos PC’s. Com os PC’s houve um
aumento da demanda por transmissão de dados a longa distância. Isto levou
ao surgimento de diversos serviços de transmissão de dados. Os serviços são
geralmente de aluguel de linhas privadas (Leased lines) ou discadas (Switched)
permitindo a utilização de diversos protocolos..
As redes WAN’s, conforme ilustrado na Figura 2.6, estão passando por
uma evolução muito grande com a aplicação de novas tecnologias de
telecomunicações com a utilização de fibra ótica (Optical fiber). Novos padrões
surgiram tais como a ATM ( Asynchronous Transfer Mode), DSL, Frame
relay e VPN que disponibiliza a transmissão de dados, som e imagem em uma
única linha e em altíssima velocidade. A velocidade passa a ser determinada
pelos equipamentos que processam as informações (Clientes/Servidores) e
não do meio físico.
Figura 2. 6 - Exemplo de uma WAN (cortesia Cisco)
2.4 - Protocolos
19
Para que os dispositivos de redes possam se comunicar é necessário
que eles falem a mesma “língua”, ou seja, utilizem o mesmo protocolo de
comunicação.
Em função disso, vários protocolos foram criados e são utilizados para
transmissão de dados em uma rede. Dentre os mais comuns, podemos citar o
TCP/IP, o NetBIOS Extendend User Interface (NetBEUI: NetBIOS (abreviatura
de Network Basic Input/ Output System- Extended User Interface) e o Interwork
Packet Exchange / Sequenced Packet Exchange (IPX/SPX).
2.4.1 - TCP/IP - Histórico da Internet
No auge da Guerra Fria os militares americanos preocupados com a
possibilidade de um ataque atômico russo, criaram o Projeto Darpanet que
mais tarde denominou-se ARPANET, que interligava os grandes centros de
computação da época. Esta rede seria para troca de informações dentro do
complexo militar-tecnológico americano, e também uma estrutura capaz de
reaglutinar o governo e as forças armadas caso houvesse o temido holocausto
nuclear. Segundo o raciocínio dos estrategistas; para resistir a um ataque
atômico esta rede não poderia ter um centro de controle global, pois este seria
um alvo preferencial; para continuar funcionando após um ataque, os
computadores deveriam ter várias rotas alternativas; se um canal estivesse fora
do ar os dados seriam enviados por outras rotas, pois os computadores
estariam conectados por uma malha e não por vias únicas; cada máquina da
rede enviaria seus dados pela melhor rota, de acordo com os famosos mapas
da Internet; e o ideal seria que esta comunicação fosse feita pela própria malha
telefônica, já bastante desenvolvida, e que certamente resistiria a um ataque
atômico de surpresa.
Outra recomendação acabou se tornando o coração da Internet: todos
os computadores usariam o mesmo protocolo de comunicação, ou seja,
falariam a mesma língua, criando-se assim o protocolo de comunicação IP.
Todavia com a rápida expansão da ARPANET, o protocolo de comunicação
utilizado já não estava mais suprindo as necessidades desta rede. Foi então
20
que, após intensa atividade de pesquisa na década de 70, surgiu o conjunto de
protocolos que até hoje é a base da Internet, conhecido como TCP/IP.
No Brasil a Internet chegou em 1968, permitindo acesso entre as
comunidades acadêmicas de São Paulo e Rio de Janeiro, em 1989 foi criada a
Instituição, Rede Nacional de Pesquisa (RNP), cuja finalidade era de coordenar
os serviços e acessos à rede Internet no país.
2.4.2 - Protocolo TCP/IP
Protocolo é o conjunto de regras que estabelece a comunicação entre
os computadores. TCP/IP é um protocolo extensamente usado e muito popular.
Com TCP/IP, sistemas de computador diferentes podem trocar dados de
maneira confiável em uma rede interconectada. A configuração desses
protocolos tem como função controlar como a informação é passada de uma
rede a outra, e como manipular o endereçamento contido nos pacotes, a
fragmentação dos dados e a checagem de erros. No entanto a arquitetura
internet baseia-se num modelo com quatro camadas, como ilustrado na Figura
2.7.
Camada de aplicação: fornece a interfase do usuário de rede na forma de
aplicativos e serviços de rede. Exemplo FTP (File Transfer Protocol), Telnet,
SMTP (Simple Mail Transfer Protocol).
Camada de Transporte : A camada de Transporte permite que os
protocolos das camadas superiores estabeleçam uma interface com a
rede de modo a assegurar que será feita uma transmissão confiável
desses segmentos até seus dispositivos de destino.
Figura 2. 7 - Camadas Modelo OSI
Camada de Rede: a camada de rede envolve a comunicação entre
dispositivos de redes logicamente separados formando as inter-redes.
Camada de aplicação
Camada de Transporte
Camada de Rede
Camada Interface
21
Como as inter-redes podem ser amplas e criadas a partir de tipos
diferentes de redes, a camada de rede utiliza algoritmos de roteamento
que podem ser usados para conduzir os pacotes de suas redes de
origem para as de destino. Exemplo protocolo IP (Internet Protocol).
Camada Interface de rede: responsável por converter os pacotes em
frames compatíveis com o tipo de rede que está sendo utilizada, e pelos
endereços IP em endereços físicos da rede.
2.5 - Aspectos de Segurança
A informação digital é um dos principais e mais importante, produto da
era atual. Pode-se manipular e visualizar de diversas maneiras. Assim, à
medida que a informação digital circula pelos mais variados ambientes,
percorrendo diversos fluxos de trabalho, pode ser armazenada para os mais
variados fins, possibilitando ser lida, modificada ou até mesmo apagada.
O controle de acesso às informações é um requisito fundamental nos
sistemas atuais. Vale ressaltar que, atualmente, a grande maioria das
informações disponíveis nas organizações encontram-se armazenadas e são
trocadas entre os mais variados sistemas automatizados. Dessa forma,
inúmeras vezes decisões e ações tomadas decorrem das informações
manipuladas por esses sistemas. Dentro deste contexto, toda e qualquer
informação deve ser correta, precisa e estar disponível, a fim de ser
armazenada, recuperada, manipulada ou processada, além de poder ser
trocada de forma segura e confiável. É oportuno salientar que, nos dias atuais,
a informação constitui uma mercadoria, ou até mesmo um artigo, de suma
importância para as organizações dos diversos segmentos. Por esta razão,
segurança da informação tem sido uma questão de elevada prioridade nas
organizações, compreendendo assim um conjunto de medidas que visam
proteger e preservar informações e sistemas de informações, assegurando-
lhes autenticidade, confidencialidade, integridade, controle de acesso,
disponibilidade e não repúdio. Esses elementos constituem os pilares da
segurança da informação:
22
Autenticidade: - Verifica se a pessoa com quem está se trocando
informações sigilosas é realmente quem deveria ser:
Confidencialidade - Limita o acesso a informações, geralmente através
do uso de criptografia:
Integridade – Assegura que os dados não serão alterados durante uma
transmissão;
Controle de acesso - Limita o acesso e a utilização de recursos apenas
a pessoas autorizadas;
Disponibilidade – Mantém os recursos disponíveis, mesmo em caso de
ataques;
Não-repúdio – Impede que uma entidade (computador, pessoa, etc.)
envolvida em uma transação negue a sua participação no evento.
2.5.1 - Perigos e malefícios
Estar atento aos perigos e malefícios que possam tornar a rede
vulnerável é uma questão de segurança. No entanto ao contrário do que se
pensa, nem sempre o principal inimigo está fora da rede, como um hacker
1
ou
cracker
2
, mas sim dentro dela, como um funcionário mal intencionado, que
geralmente possui livre acesso aos recursos disponíveis.
As ameaças são classificadas em dois tipos;
Passivas, onde o sistema continua a operação sem a percepção de
ter um invasor na rede e geralmente, acontece roubo de informações;
Ativas, onde o invasor prejudica o sistema, atingindo os dados ou
degradando os serviços.
2.5.2 - Ataques
1
Hacker: indivíduo responsável por burlar sistemas, invasor de computadores.
2
Cracker: especializado em burlar sistemas de segurança, burlando senhas de acesso.
23
Assim como as ameaças os ataques podem ser passivos ou ativos,
sendo que qualquer tipo de ataques irá comprometer o fluxo de informações
entre a origem e o destino.Os ataques passivos os dados que trafegam na rede
são apenas observados e ou copiados. A Figura 2.8 ilustra o tráfego de dados
entre a origem e o destino.
Figura 2. 8 - Ataque passivo
Quanto aos ataques ativos podemos destacar a interrupção, modificação
ou a fabricação de dados junto ao tráfego de informações que transitam pela
rede.
2.5.3 - Interceptação
Este tipo de ataque, conforme Soares (1995) tem como objetivo capturar
o que está sendo transmitido sem que o sistema perceba, ou seja, ataca-se a
confidencialidade das informações, como ilustrado na Figura 2.9.
Um dos principais tipos de ataque desta classificação é o man-in-the-
middle, onde o invasor simula ser o parceiro de ambas as partes envolvidas na
conexão, assumindo a identidade de um usuário válido.
Figura 2. 9 - Ataque por Interceptação
A criptografia é uma das formas de se evitar este tipo de ataque.
24
2.5.4 – Interrupção
Neste tipo de ataque o objetivo é a interrupção do serviço oferecido,
atacando-se a disponibilidade das informações, conforme ilustrado na Figura
2.10.
Figura 2. 10 - Ataque por Interrupção
O principal tipo de ataque classificado como interrupção é o Denial of
Service (DoS),que é o envio de requisições em massa para um determinado
computador, de modo que o mesmo não consegue responder todas elas,
ficando sobrecarregado,fazendo com que o serviço pare de funcionar.
2.5.5 - Modificação
É uma forma de ataque onde há alteração da informação que esta sendo
transmitida, ou seja, ataca-se a integridade da mesma, conforme ilustra-se na
Figura 2.11.
Figura 2. 11 - Ataque por modificação
Um exemplo de ataque desta classificação é o Replay, onde parte de
uma transmissão da rede é copiada e reproduzida posteriormente, simulando
um usuário autorizado.
25
2.5.6 - Fabricação
O atacante, como ilustrado na Figura 2.12, tem como finalidade se
passar por um usuário do sistema, a fim de obter informações para transmitir
dados na rede, ou seja, ataca-se a autenticidade das informações.
Figura 2. 12 - Ataque por Fabricação
O tipo ataque mais comum de fabricação é o IP Spoofing, que consiste
na substituição do endereço IP do computador do invasor, fazendo com que ele
se passe por um computador confiável da rede, podendo assim obter
privilégios na comunicação.
2.5.7 - Métodos de defesas
De acordo com Rob Scrimger (professor, administrador e gerente de
rede para várias empresas) “ Há dois aspectos da segurança de uma rede –
proteger o acesso aos dados e proteger a transmissão dos dados”.Neste
contexto, a autenticação dos usuários e a criptografia das informações
destacam-se, servindo como base para a segurança numa VPN. Existem
outros métodos de defesas disponíveis para os mais variados tipos de ataque.
Entretanto, o objetivo deste trabalho limita-se á explicação de ataques que são
úteis á implementação de uma VPN, os quais serão explicados a seguir.
26
2.5.8 - Firewall
É uma combinação de hardware e software, cujo objetivo é controlar o
trânsito de informações entre as redes privadas e a Internet, como se houvesse
uma barreira (barreira de fogo), conforme ilustrado na Figura 2.13, entre os
oponentes, Hackers e vírus, e os recursos computacionais da VPN, de modo
que os acessos não autorizados sejam impedidos.
Figura 2. 13 - Firewall
Os firewalls podem ser de três tipos: filtros de pacotes, inspeção de
pacotes com informações de estado e aplicativos de firewalls e de proxy
3
.
O filtro de pacotes é o tipo mais comum de firewall e tem como objetivo
permitir ou negar a entrada de um determinado pacote de informações em uma
rede,levando em consideração o endereço IP ou a porta de origem e de
destino. Possui como vantagens ser mais barato e rápido que os outros tipos
de firewall, uma vez que ele não se importa com o conteúdo dos pacotes.
Entretanto, por fazer apenas uma filtragem superficial, sua principal
desvantagem é ser mais inseguro que os demais.
A inspeção de pacotes com informações de estado, além de
desempenhar as funções do filtro de pacotes, inspecionam o estado da
conexão, ou seja, apenas aquelas conexões previamente estabelecidas e
válidas, que cumprem as condições configuradas pelo firewall, têm acesso á
rede. Uma de suas vantagens é não ter a necessidade de configurar cada
3
Software utilizado para permitir o acesso de uma rede à Internet, geralmente através de um
firewall.
27
computador dentro da rede, reduzindo os encargos administrativos. Todavia,
suas configurações são complicadas e não fornecem autenticação de usuário.
Os aplicativos de firewall e de proxy são o mais complexos, pois varrem
todos os dados que passam por eles, descartando os perigosos ou não
autorizados e nunca deixando um computador de dentro da rede ficar exposto
a redes externas.
Possui como vantagens oferecer a maior segurança dos três tipos de
firewals, além de de autenticar as atividades dos usuários.Devido ser mais
complexo, ele também é mais lento e mais caro que os demais
2.5.9 - Firewall e VPN
Uma VPN permite interligar duas ou mais redes de computadores,
provendo um mecanismo seguro de comunicação, sendo uma ferramenta
muito útil para proteger os dados de uma empresa. Entretanto, ela não deve
ser única na rede, pois quanto maior a segurança empregada, maior a
dificuldade para acessar os dados. Com isso, o firewall, ilustrado na Figura
2.14, já presente nas empresas sendo uma tecnologia mais consolidada, torna-
se uma boa alternativa, fazendo a interação com o gateway
4
VPN. Porém, é
necessário um planejamento cuidadoso antes de escolher a melhor opção, que
podem ser três: gateway VPN dentro, paralelo ou atrás de um firewall.
Figura 2. 14 - Firewall (Cortesia Prof. Dr.José Maurício Santos Pinheiro)
4
Computador responsável pela ligação entre duas redes.
28
O gateway VPN dentro de um firewall, ilustrado na Figura 2.15, é a
opção que parece mais natural, pois toda a segurança de sua rede é feita em
apenas um computador. Todavia, o mesmo deve ser extremamente seguro,
uma vez que qualquer configuração imprópria nas regras do firewall pode
permitir que o tráfego vindo da Internet penetre a sua rede utilizando endereços
de VPN, sem ser percebido.
Figura 2. 15 - Gateway VPN
O gateway VPN paralelo ao firewall, representado na Figura 2.16, por
sua vez, separa o tráfego de uma VPN do tráfego da Internet. Uma das
vantagens em separa-los é que, devido o fluxo das informações transmitidas à
VPN não passar pelo firewall, nenhuma configuração extra é necessária no
mesmo para permitir a passagem de pacotes VPN. Entretanto, isso faz com
que o gateway VPN torne-se vulnerável a ataques externos, caso os mesmos
não estejam bem seguros.
Figura 2. 16 - Gateway VPN com roteador
29
O gateway VPN atrás de um firewall faz com que todo o tráfego vindo da
Internet, como ilustra a Figura 2.17, passe primeiramente pelo firewall,
deixando a rede mais segura. Em função disso, o mesmo deve possuir uma
rota específica para redirecionar o tráfego da VPN. Esta topologia possui como
uma de suas desvantagens a queda de performance na comunicação, em
razão de todo o conteúdo de uma VPN passar antes pelo firewall.
Figura 2. 17 - Gateway com Firewall
2.5.10 - CRIPTOGRAFIA
A criptografia, conforme ilustra a Figura 2.18, representa a
transformação de informação inteligível numa forma aparentemente ilegível, a
fim de ocultar informação de pessoas não autorizadas, garantindo privacidade.
A palavra criptografia tem origem grega (kriptos = escondido, oculto e
grifo = grafia) e define a arte ou ciência de escrever em cifras ou em códigos,
utilizando um conjunto de técnicas que torna uma mensagem incompreensível,
chamada comumente de texto cifrado, através de um processo chamado
cifragem, permitindo que apenas o destinatário desejado consiga decodificar e
ler a mensagem com clareza, no processo inverso, a decifragem. A criptografia
visa garantir a confidencialidade, integridade, autenticidade e a não recusa ou
não repudio.
30
Figura 2. 18 - Criptografia
Existem dois tipos básicos de criptografia, Criptografia Simétrica e
Criptografia Assimétrica, conforme veremos a seguir:
2.5.11 - Criptografia Simétrica
A Criptografia Simétrica, ilustrada na Figura 2.19 e 2.20, ou de chave
secreta, foi o primeiro tipo de criptografia criado. Funciona transformando um
texto em uma mensagem cifrada, através da definição de uma chave secreta,
que será utilizada posteriormente para decriptografar a mensagem, tornando
novamente um texto simples.
Figura 2. 19 - Processo de criptografia simétrica
Figura 2. 20 - Ilustração de cifragem e decifragem
Vantagem - Rapidez na criptografia e decriptografia das informações.
Desvantagem - A chave secreta deve ser transmitida ou comunicada
para o receptor, tornando-a mais vulnerável a roubo.
Criptografia é
a arte de
escrever em
cifras ou em
códigos
cifragem
decifrage
m
Criptografia é
a arte de
escrever em
cifras ou em
códigos
31
Podem-se citar os seguintes algoritmos simétricos e os respectivos
tamanhos das chaves geradas por cada um deles:
Data Encryption Standard (DES) – 56 bits.
Triple Data Encryption Standard (3DES) – 112 bits.
Advanced Encryption Standard (AES) – 128, 192 ou 256 bits.
Blowfish – até 448 bits.
Carlisle Adams and Stafford Tavares (CAST) – 128 ou 256 bits.
Twofish - 128, 192 ou 256 bits.
Serpente – 128, 192 ou 256 bits.
2.5.12 - Criptografia Assimétrica
A Criptografia Assimétrica, ilustrada na Figura 2.21, também conhecida
como de chave pública, utiliza duas chaves, uma para cifrar o texto ou
mensagem, e outra para decifrar. Pode ser empregada para assinatura digital e
autenticação. É possível combinar a criptografia simétrica com a assimétrica,
somando a segurança com a rapidez.
Vantagens - mais segura que a criptografia simétrica, por não precisar
comunicar o receptor a chave necessária para decriptografar a
mensagem e, pode ser utilizada em assinatura digital.
Desvantagem - costuma ser mais lenta do que a criptografia simétrica
Figura 2. 21 - Processo de criptografia assimétrica
32
2.5.13 - Função Hash
Dada uma mensagem original, a função hash, segundo Marcelo Duffles
Donato Moreira (2005) tem como objetivo produzir um número, conhecido
como resumo, que representa de forma única esta mensagem. Uma
propriedade desta função diz que o caminho inverso deverá ser
computacionalmente inviável, ou seja, não poderá ser possível obter a
mensagem original através de um resumo, o que garante a integridade da
mesma. Os algoritmos que implementam a função hash tem como objetivo
fazer com que o resumo sofra uma grande modificação caso algum caractere
do conteúdo da mensagem seja alterado.
Dentro os principais, podemos destacar o Message Digest 5 (MD-5) e o
Secure Hash Algorithm 1 (SHA –1). A principal diferença entre os dois é que o
primeiro é mais rápido, pois retorna um resumo de 128 bits, enquanto que o
segundo retorna um número de 160 bits e, por isso, é mais seguro. Em 01 de
Janeiro de 2003, o Secure Hash 2 (SHA-2) será o mais novo algoritmo hash a
ser padronizado pelo National Institute of Standards and Technology (NIST),
tendo como principal característica o retorno de um resumo de 256,384 ou 512
bits.
2.5.14 - Assinatura digital
Uma assinatura digital é um código binário baseado em 2 aspectos: o
documento em si e alguma informação que o ligue a uma certa pessoa ou
conjunto de pessoas. Essa ligação é denominada autenticação. As técnicas
mais comuns de autenticação utilizam informações sigilosas (como senhas),
meios físicos (como cartões magnéticos), verificação de informações
biométricas (como impressões digitais) ou através da combinação delas. Um
exemplo desta combinação está na utilização de um cartão de crédito, onde se
utiliza, além do cartão, uma senha para efetuar a transação. A assinatura digital
faz uso da criptografia assimétrica, pois utiliza um par de chaves, uma privada
e outra pública. A chave privada serve para assinar o documento, enquanto
33
que a pública serve para verificar a assinatura. O processo de geração da
assinatura utiliza a função hash para obtenção do resumo do documento, que,
em seguida, cifra-o com a chave privada do emissor e envia-o ao receptor.
Este utilizará a chave pública do emissor para decifrar a mensagem e a função
hash para recalcular o resumo do documento, comparando-o com o resumo
recebido, conforme ilustrado na fig. 2.22. Isto garante a integridade do
documento.
Figura 2. 22 - Processo de assinatura digital.
2.5.15- Certificado digital
Segundo (http://sis.funasa.gov.br/infcertificado/oquee.htm), certificado
digital é um documento contendo dados de identificação da pessoa ou
instituição que deseja, por meio deste, comprovar, perante terceiros, a sua
própria identidade. Serve igualmente para conferirmos a identidade de
terceiros. Podemos compará-lo a uma espécie de carteira de identidade
eletrônica. De fato é a forma de documento mais moderna, confiável e eficaz
de que dispomos, em virtude da alta tecnologia utilizada para garantir a sua
autenticidade. Graças aos certificados digitais, uma transação eletrônica
realizada via internet torna-se perfeitamente segura, pois permite que as partes
envolvidas apresentem, cada uma, as suas credenciais para comprovar, à
outra parte, a sua real identidade. Tecnicamente, os Certificados Digitais
34
vinculam um par de chaves eletrônicas que pode ser usado para criptografar e
assinar informações digitais. Um Certificado Digital possibilita verificar se um
usuário tem, realmente, o direito de usar uma determinada chave, ajudando a
impedir que as pessoas usem chaves falsificadas para personificar outros
usuários. Usados em conjunto com a criptografia, os Certificados Digitais
fornecem uma solução de segurança completa, assegurando a identidade de
uma ou de todas as partes envolvidas em uma transação.”
A recomendação mais aceita e utilizada para a produção de certificados
digitais é a X.509v3, formulada pela International Telecommunication Union –
Telecommunication Standardization Sector (ITU-T).
2.6 – Redes Privadas (VPN)
A idéia de utilizar uma rede pública como a Internet em vez de linhas
privativas para implementar redes corporativas é denominada de Virtual
Private Network (VPN) ou Rede Privada Virtual.
2.6.1- Definição de VPN
As VPNs são túneis de criptografia entre pontos autorizados, criados
através da Internet ou outras redes públicas e/ou privadas para transferência
de informações, de modo seguro, entre redes corporativas ou usuários
remotos.
Usando uma técnica chamada "tunelamento" (tunneling), os pacotes de
dados são transmitidos através de uma rede pública roteada, Internet, em um
túnel privado que simula uma conexão ponto-a-ponto.
Um túnel pode ser começado, por exemplo, pelo notebook de um
usuário final equipado com um cartão modem analógico para PC e o software
Dial-Up de habilitação para VPN.
35
Também pode ser inicializado em uma rede local (LAN) a partir de uma
filial ou de casa (home office), por um roteador extranet configurado para VPN,
ou por um concentrador de acesso habilitado para VPN a partir de um ponto de
presença (POP) de um provedor de serviços de rede. Um túnel pode ser
finalizado por um terminador ou interruptor de túnel ou por um gateway VPN
em um roteador extranet de um provedor de serviços de rede.
As facilidades de VPN podem ser adicionadas a equipamentos de rede
existentes através de software. Uma vez instaladas, as facilidades podem ser
usadas para múltiplas aplicações VPN, cada qual implicando em significativa
redução da relação custo/benefício.
2.6.2 - Elementos de uma VPN
Uma VPN tem como principais elementos: a criação de um túnel virtual
encriptado
(tunelamento), a autenticação das extremidades e o transporte subjacente.
2.6.3 - Tunelamento
As informações trafegam de forma encriptada, dando a idéia da criação
de um túnel virtual, como mostra a Figura 2.23, onde os dados que estiverem
trafegando pelo mesmo permanecem ininteligíveis para quem não fizer parte
dele. Isto garante que, se a informação for capturada, será muito difícil
entendê-la, a menos que se descubra a chave utilizada.
Figura 2. 23 - Túnel virtual entre 2 redes
36
2.6.4 - Autenticação de dados
Para verificar que os pacotes de dados chegaram inalterados, os
sistemas VPN utilizam a função de hash. Como mencionamos anteriormente
esta função cria uma espécie de impressão digital do dado original, calculando
um único número para a mensagem em questão, chamado de hash, formado
por uma cadeia fixa ou variável de bits. Desta forma, se alguma parte da
mensagem for alterada durante a transmissão, o pacote é descartado.Uma
ilustração da autenticação hash é apresentada na Figura 2.24.
Figura 2. 24 - Autenticação Hash
2.6.5 - Protocolos de tunelamento e encriptação
O protocolo TCP/IP é a base da internet utilizado para a comunicação
entre redes. No entanto, é muito inseguro, por não ter sido projetado para esta
finalidade. Desta forma, uma VPN utiliza a infra-estrutura de rede já existente
do TCP/IP para transmitir os seus pacotes pela Internet, apenas adicionado
alguns cabeçalhos. A Figura 2.25 mostra um pacote IPSec, composto por um
pacote IP original, utilizado para transmitir Informações pela Internet.
Figura 2. 25 – IPSec
Para tunelamento o protocolo padrão da Internet é o IPSec, encriptação
e autenticação. Ele foi projetado para proteger o tráfego da rede levando em
37
consideração os seguintes aspectos: controle de acesso, integridade da
conexão, autenticação da origem dos dados, proteção contra reenvio de
pacotes e privacidade no tráfego de dados.
2.6.6 - Vantagens e Desvantagens
Uma das grandes vantagens decorrentes do uso das VPNs é a redução
de custos com comunicações corporativas, pois elimina a necessidade de links
dedicados de longa distância que podem ser substituídos pela Internet. As
LANs podem, através de links dedicados ou discados, conectar-se a algum
provedor de acesso local e interligar-se a outras LANs, possibilitando o fluxo de
dados através da Internet. Esta solução pode ser bastante interessante sob o
ponto de vista econômico, sobretudo nos casos em que enlaces internacionais
ou nacionais de longa distância estão envolvidos. Outro fator que simplifica a
operacionalização da WAN é que a conexão LAN-Internet-LAN fica
parcialmente a cargo dos provedores de acesso. Por depender da Internet para
conectar-se a escolha adequada do provedor pode apresentar-se como um
problema a ser resolvido. Outro fator importante a ser considerado é o
planejamento na ocasião da implementação definindo-se uma política de
utilização racional. As políticas de segurança definem privilégios de acesso
aceitáveis, que podem depender de diversos fatores, como: cargo na empresa,
projetos em que o funcionário trabalha, necessidades de informação e nível de
confiança. Além disso, as políticas devem ser suficientemente planejadas para
permitir a diferenciação dependendo da organização, servidores, grupos e até
mesmo níveis de usuários. Devemos levar em conta que estamos traçando
uma linha de divisão entre o acesso limitado e a computação colaborativa; as
políticas devem proteger os recursos no maior nível possível, ou seja, aquele
que não prejudique a produtividade dos usuários.
2.6.7 - Comparação com outras tecnologias
É importante analisar o comportamento de uma VPN comparando-a com
outras tecnologias, como as linhas dedicadas e os servidores de acesso
remoto.
38
2.6.8 - VPN x Frame Relay
Segundo Carlos Carnevali Jr (Cisco para a América Latina). Migrar de
uma rede corporativa Frame Relay para IP VPN (Rede Privada Virtual sobre
Protocolo de Internet) oferece vantagens estratégicas e táticas para empresas
de qualquer tamanho, desde multinacionais até pequenas e médias.
“A implementação de uma rede IP VPN é muito mais simples, rápida e efetiva
que uma rede Frame Relay”, afirma Carnevali Jr. As redes IP VPN têm um
alcance geográfico consideravelmente maior, provêm conectividade de redes
entre escritórios em diferentes localidades, assim como entre usuários
remotos e parceiros de negócio, e representam o primeiro passo para o
desdobramento de serviços de valor agregado não disponíveis em redes
Frame Relay, tais como comunicação unificada, vídeos de multidifusão e
extranets.
Salienta ainda Carnevali Jr (CISCO- 2004.) que a migração de Frame Relay
para redes IP VPN está gerando às empresas reduções significativas no custo
de conexão mensal.
Um exemplo dessa tendência é o caso da empresa Lante, líder em consultoria
em Tecnologia da Informação. Os custos mensais eram de US$ 34.500 para
conexões de rede Frame Relay entre a sede e quatro filiais. Quando a empresa
migrou para IP VPN, os custos mensais de conectividade caíram para US$
13.250, uma economia de 61%.
Segundo o instituto Gartner Dataquest, a maioria das grandes empresas
do ranking da revista Fortune 100 gerenciam suas redes IP VPN através de
um provedor de serviço ou planejam fazê-lo em médio prazo. A mesma
tendência é vista em companhias de outros portes, já que 41% das empresas
de médio porte nos Estados Unidos e 23% das empresas canadenses
planejam administrar suas redes externamente. No segmento de pequenas
empresas, a tendência para curto prazo alcança 12% das empresas norte-
americanas e 13,5% das canadenses.
39
2.6.9 - VPN x Servidor de Acesso Remoto
Nas empresas, cada vez mais se procura flexibilizar o trabalho de seus
funcionários, fazendo com que eles possam exercer suas funções em suas
casas, principalmente quando há grande distância entre a empresa e as
residências, ou quando estes estão em viagens de negócio. Tradicionalmente,
existem duas opções disponíveis para solucionar estas questões colocadas
acima: abrir os recursos da rede interna da empresa para a Internet ou manter
um banco de modems para permitir o acesso remoto dos usuários.
A primeira opção causa enormes riscos quanto á segurança, pois se os
recursos ficarem comprometidos, informações secretas da empresa também
ficarão, assim como os servidores da mesma, o que poderá gerar perdas
financeiras. A outra opção eleva bastante os custos, pois são necessários
servidores dedicados, placas multiseriais, linhas telefônicas exclusivas,
ligações interurbanas, caso o funcionário esteja em outra cidade, além de
aumentar os gastos com a administração do banco de modems.
2.6.10 - Topologias
2.6.10.1 - Host-host
Esta talvez seja uma das topologias mais simples de uma VPN, pois
estabelece um canal seguro para duas máquinas (host).
Um exemplo desta topologia é quando se utiliza o protocolo SSL (Security
Sockets Layer) através de um navegador como Internet Explorer. Um outro
exemplo poderia ser dois servidores um na matriz, e outro na filial conforme
ilustra a Figura 2.26.
Um host, segundo R. Yuan (2001) é um computador que possui acesso á
Internet. Esta topologia tem como finalidade comunicar dois hosts separados
fisicamente, fornecendo a segurança necessária para a troca de informações
via internet. Estes hosts podem ou não estar presentes numa rede.
40
Figura 2. 26 - Topologia host-host
2.6.10.2 - Host-Rede
Esta forma de acesso remoto VPN, permite a conexão de um host móvel
a uma rede corporativa, através da Internet, como mostramos na Figura 2.27.
Neste caso é necessário ter as conexões remotas de VPN instaladas.
Figura 2. 27 - Topologia host-rede
2.6.10.3 - Rede-Rede
Este tipo de configuração possui um gateway VPN nas extremidades de
duas ou mais redes fazendo a conexão segura entre elas, segundo a Figura
2.28. Esta topologia é ideal para redes de uma mesma empresa
geograficamente distantes entre si. Podendo ainda ser utilizada para
compartilhar recursos específicos com parceiros de negócios, consumidores,
fornecedores ou até mesmo outras empresas.
41
Figura 2. 28 - Topologia rede-rede
2.6.11 – Protocolo PPTP
Um consórcio entre US Robotics, Microsoft, 3Com, Ascend e ECI
Telematics, foi responsável pelo desenvolvimento do protocolo PPTP (Point to
Point Tunnel Protocol) , afim de fazer conexões
O protocolo PPTP (Point to Point Tunnel Protocol) é um protocolo de
rede virtual privada amplamente usado, incluído no Windows 98, Millennium
Edition, Windows 2000 e Windows XP. Trata-se de um encapsulamento para
transferir quadros de protocolo Point-to-point Protocol, (PPP) em uma rede
intermediária. Ao aproveitar os mecanismos de configuração de protocolo,
criptografia e autenticação do PPP, a conexão PPTP oferece uma maneira de
criar conexões seguras em redes públicas como a Internet, como ilustrado na
Figura 2.29, para conexões de acesso remoto VPN.
Figura 2. 29 - Encapsulamento PPTP (Cortesia Microsoft)
42
2.6.11.1 - Arquitetura PPTP
A comunicação segura criada pelo PPTP envolve três processos, cada
um deles exigindo que os anteriores sejam satisfeitos. Esses três processos
ilustrados na Figura 2.30 são:
Conexão e Comunicação PPP: o cliente PPTP usa o PPP para se
conectar ao ISP utilizando uma linha telefônica ou ISDN padrão. O
PPP é utilizado aqui para estabelecer a conexão e criptografar os
dados;
Conexão de Controle PPTP: Utilizando a conexão estabelecida pelo
PPP, o PPTP cria um controle de conexão desde o cliente até o
servidor PPTP na Internet. Esta conexão utiliza o TCP e é chamada
de túnel PPTP;
Tunelamento de Dados PPTP: O PPTP cria os datagramas IP
contendo os pacotes PPP criptografados e os envia através do túnel
até o servidor PPTP. Neste servidor, os datagramas são então
desmontados e os pacotes PPP descriptografados para que
finalmente sejam enviados até a rede privada corporativa.
No primeiro processo, o PPP, protocolo que permite enviar dados multi-
protocolados encapsulados através de redes TCP/IP, é utilizado para
desempenhar três funções: iniciar e terminar conexões físicas, autenticar
usuários e criar datagramas PPP contendo pacotes criptografados.
Figura 2. 30 - Protocolo PPP
43
No segundo processo, o PPTP especifica uma série de mensagens de
controle a serem trocadas entre o cliente PPTP e o servidor PPTP. Estas
mensagens estabelecem, mantêm e terminam os túneis PPTP. Elas são
enviadas em pacotes de controle dentro de um datagrama TCP através de uma
conexão TCP especialmente criada para trocar mensagens de controle. Após o
túnel PPTP ter sido estabelecido, os dados do usuário são finalmente
transmitidos entre o cliente PPTP e o servidor PPTP. É importante frisar que o
cliente PPTP não necessariamente identifica o usuário numa extremidade da
comunicação. Podem haver usuários utilizando máquinas sem suporte ao
PPTP e nestes casos, a comunicação PPTP começa a partir do NAS.
2.6.11.2 - Mecanismos de Segurança do PPTP
Para garantir a segurança na transmissão, o PPTP faz uso dos
seguintes mecanismos:
Controle de acesso e autenticação: a autenticação de usuários
remotos é feita utilizando os mesmos métodos do PPP;
Criptografia de dados: o PPTP utiliza os métodos de criptografia e
compressão do PPP;
Filtragem de pacotes PPTP: este recurso do PPTP permite que
apenas os pacotes PPTP dos usuários autenticados entrem no
servidor PPTP da rede privada;
Utilização de firewalls: o PPTP também oferece recursos para trabalhar
com firewalls, através do servidor PPTP.
2.6.11.3- Formato dos Datagramas
Existem dois tipos básicos de datagramas PPTP: os datagramas de
mensagens de controle e os datagramas de mensagens de dados. As
mensagens de controle são enviadas em datagramas TCP e as mensagens de
dados em datagramas IP. Os formatos são mostrados na Figura 2.31.
44
Figura 2. 31- Datagrama PPP
Apesar de sua grande utilização este protocolo apresenta uma
desvantagem quanto a sua segurança, pois este protocolo fornece suas chaves
de encriptação utilizando a senha do usuário como base, ou seja, se esta
senha for fraca, como palavras encontradas em dicionários ou números de
telefones, a chave também será. Um dos softwares que implementa a solução
VPN PPTP é o FreeBSD encontrado no site
http://www.sourceforge.net/projects/mpd.
2.6.11.4 - L2TP
Projetado pela Cisco Systems e, posteriormente, homologado pela
Internet Engineering Task Force (IETF) como um substituto aparente para o
PPTP , corrigindo as deficiências deste antigo protocolo para se tornar um
padrão oficial internet. Ele utiliza o PPP para prover acesso dial-up que pode
ser tunelado através da Internet.
2.6.11.5 - Operação
Um Concentrador de Acesso L2TP (LAC) localizado no PoP do ISP troca
mensagens PPP com usuários remotos e se comunica por meio de requisições
e respostas L2TP com o Servidor de Rede L2TP para criação de túneis. O
L2TP passa os pacotes através do túnel virtual, conforme Figura 2.32, entre as
extremidades da conexão ponto-a-ponto. Os quadros enviados pelo usuário
são aceitos pelo PoP do ISP, encapsulados em pacotes L2TP e encaminhados
pelo túnel. No gateway de destino, os quadros L2TP são desencapsulados e os
pacotes originais são processados para a interface apropriada. O L2TP utiliza
dois tipos de mensagem: mensagens de controle e mensagens de dados.
45
As mensagens de controle são usadas para gerenciar, manter e excluir
túneis e chamadas. As mensagens de dados são usadas para encapsular os
pacotes PPP a serem transmitidos dentro do túnel. As mensagens de controle
utilizam um canal confiável de controle para garantir entrega das mensagens.
Figura 2. 32 - Túnel L2TP
2.6.11.6 - Autenticação
Devido ao uso do PPP para links dial-up, o L2TP inclui mecanismos de
autenticação dentro do PPP, os protocolos PAP
5
e CHAP
6
. Outros sistemas de
autenticação também podem ser usados, como o RADIUS
7
e o TACACS
8
.
Porém, o L2TP não inclui processos para gerenciamento de chaves
criptográficas exigidas para a criptografia em suas especificações de protocolo.
Para dar conta disso, O L2TP faz uso do IPsec para criptografia e
gerenciamento de chaves em ambiente IP garantindo assim maior segurança
na VPN.
2.6.11.7 - Formato do Datagrama
Os pacotes L2TP para canal de controle e canal de dados utilizam o
mesmo formato de cabeçalho. O formato do cabeçalho é mostrado na Figura
2.33, a seguir:
5
(PAP Password Authentication Protocol): O protocolo de autenticação de senha é um
protocolo de autenticação simples.
6
(CHAP Challenge-Handshake Authentication Protocol): CHAP é um mecanismo de
autenticação que trabalha com encriptação, através de método desafio-resposta.
7
(RADIUS Protocolo RADIUS Remote Authentication Dial-In User Service): utilizado de forma
integrada a diversos serviços garantindo segurança e restrição no acesso a uma rede.
8
(TACACS Terminal Access Controller Access Control System): utilizado de forma integrada a
diversos serviços garantindo segurança e restrição no acesso a uma rede.
46
Figura 2. 33 - Formato do datagrama L2TP
O cabeçalho possui os seguintes campos:
Type (bit 0): identifica o tipo de mensagem. Se o bit for igual a 1 é
uma mensagem de controle, se for igual a 0 é uma mensagem de
dados;
Ver: identifica o número da versão do protocolo;
Length: identifica o tamanho do pacote em octetos se o bit "L" (bit 1)
for igual a 1;
Tunnel ID: indica o identificador do Túnel para controle de conexão;
Session ID: indica o identificador de uma sessão dentro de um túnel;
Ns: indica o número de seqüência para o atual pacote (mensagem
ou controle). Sua presença é definida pelo bit "S" (bit 4)
Nr: indica o número de seqüência esperado para o próximo
pacote de mensagem de controle. Sua presença também é
definida pelo bit "S";
Offset Size: especifica o tamanho do offset (espaço entre o
cabeçalho e a área de dados). Sua presença é definida pelo bit
"O" (bit 6);
Priority (bit 7): se for igual a 1, o pacote deve receber tratamento
preferencial com relação aos outros;
Bits X: reservados para extensões futuras.
47
3 - Capitulo III - IPSec
3.1 - Introdução
IPSec é um conjunto de padrões utilizados para garantir a comunicação
segura entre dois computadores, mesmo que as informações sejam enviadas
através de um meio não seguro, como por exemplo a Internet. Por isso que a
combinação L2TP/IPSec é uma das opções mais indicadas para a criação de
conexões do tipo VPN.
Trafegar dados através da Internet tornou-se uma preocupação quando
os dados dos setores privados começaram a utilizar a grande rede. Quando a
Internet era utilizada apenas no meio acadêmico e científico utilizava-se o
protocolo TCP/IP, no entanto as questões de segurança se intensificaram
surgindo assim um protocolo mais seguro IPSecurity (Internet Protocol
Security) desenvolvido pela IETF (Internet Engineering Task Force)
3.2 – Protocolo
O Protocolo de Segurança IP (IPsec) é atualmente um dos protocolo
mais importante para VPNs. O IPsec vem sendo desenvolvido há anos pelo
IETF como um forte recurso do IPv6, porém, muitas de suas características
estão sendo aproveitadas ainda no IPv4.
De fato o IPSec é um protocolo de camada 3 projetado essencialmente
para oferecer transferência segura de informações pela Internet Pública.
Realizando funções de segurança de dados como criptografia, autenticação e
integridade, O IPsec protege os pacotes IP de dados privados e os encapsula
em outros pacotes IP para serem transmitidos. Além disso, o IPsec também
realiza a função de gerenciamento de chaves. O IPsec pode operar de duas
formas: no modo de transporte e no modo de túnel.
No modo de transporte, como ilustrado na Figura 3.1 que é o seu modo
"nativo", o IPsec transmite diretamente os dados protegidos de host para
host. Este modo é utilizado em dispositivos que já incorporam o IPSEC
em sua pilha TCP/IP
48
Figura 3. 1 - IPSec – Modo Transporte
No modo túnel, ilustrado na Figura 3.2, o tráfego IP gerado pelos hosts,
estes sem suporte ao IPsec, são capturados por um dispositivo de
segurança ou um gateway que encapsulam os pacotes IP com
encriptação IPsec. Estes pacotes encriptados são encapsulados
novamente em pacotes IP e finalmente enviados pela rede pública até o
outro gateway, que se encarregará de desencapsular e desencriptar a
informação para que ela possa ser recebida no host de destino.
Figura 3. 2 - IPSec – Modo Túnel
São atendidos os requisitos de segurança necessários em relação aos
usuários que acessam sua rede e aos dados que trafegam entre os diversos
nós são:
Autenticação;
Controle de Acesso;
Confidencialidade;
Integridade de Dados.
A autenticação dos usuários permite ao sistema enxergar se a origem
dos dados faz parte da comunidade que pode exercer acesso a rede.
49
O controle de acesso visa negar acesso a um usuário que não esta
autorizado a acessar a rede como um todo, ou simplesmente restringir o
acesso de usuários. Por exemplo, se uma empresa possui áreas como
administrativa e desenvolvimento, é correto imaginar que um funcionário de
uma divisão não deva acessar e possivelmente obter dados da rede da outra
divisão.
A confidencialidade visa prevenir que os dados sejam lidos e/ou
copiados durante a travessia pela rede pública. Desta forma, pode-se garantir
uma maior privacidade das comunicações dentro da rede virtual.
A Integridade de dados garante que os dados não serão adulterados
durante a travessia pela rede pública. Os dados podem ser corrompidos ou
virús podem ser implantados com o fim de dificultar a comunicação. Os
habilitadores das tecnologias de segurança utilizados pelo IPSec são; CHAP
(Challenge Handshake Authentication Protocol), RADIUS (Remote
Authentication Dial-in User Service), além da Encriptação de Dados e dos
Certificados digitais.
3.3 - Associação de segurança (AS)
O conceito de Associação de Segurança - AS, (Security Association -
SA) é um dos conceitos fundamentais do IPSec. Uma associação de
segurança é uma "conexão" que viabiliza o tráfego de serviços seguros. A
segurança dos serviços é garantida pela utilização dos protocolos de
segurança (AH, ESP, ou ainda de ambos). Observa-se que, no caso de se usar
AH e ESP em conjunto, mais de uma AS deve ser definida.
Uma associação de segurança é identificada unicamente por três
parâmetros: o SPI (Security Parameter Index), o endereço IP de destino e o
identificador do protocolo (AH ou ESP).
O SPI é um número que identifica uma AS, sendo definido
durante a negociação que antecede o estabelecimento da
mesma. Assim, todos os membros de uma AS devem conhecer
o SPI correspondente e usá-lo durante a comunicação.
50
O endereço IP de destino pode ser unicast, broadcast ou
ainda multicast. No entanto, para a definição dos mecanismos
de gerenciamento de AS, o IPSec assume um endereço
destino unicast, estendendo as definições para os casos de
broadcast e multicast.
A tecnologia multicast é um serviço de rede no qual um único fluxo de
dados pode ser enviado simultaneamente para diversos receptores. No modo
de transmissão unicast, a fonte replica o fluxo de dados tantas vezes quantos
forem os receptores. Por outro lado, no modo broadcast, os dados são
enviados para toda a rede de modo indiscriminado.
3.4 - AH Authentication Header
O protocolo AH, Authentication Header, adiciona autenticação e
integridade, ou seja, garante a autenticidade do pacote e também que este
não foi alterado durante a transmissão. O AH pode ser usado no modo
transporte ou no modo túnel, como descrito anteriormente e ilustrado na Figura
3.3.
O uso do AH previne ataques do tipo:
Replay, ou seja, quando o atacante intercepta um pacote válido e
autenticado pertencente a uma conexão, replica-o e o reenvia,
"entrando na conversa". A utilização do campo Sequence Number
ajuda na prevenção a este tipo de ataque, pois permite numerar
os pacotes que trafegam dentro de uma determinada AS.
Spoofing, ou seja, quando o atacante assume o papel de uma
máquina confiável para o destino e, dessa forma, ganha
previlégios na comunicação. A utilização de mecanismos de
autenticação previne este tipo de ataque.
"Roubo de conexões" (connection hijacking), ou seja, quando o
atacante intercepta um pacote no contexto de uma conexão e
passa a participar da comunicação. A utilização de mecanismos
de autenticação previnem este tipo de ataque.
51
Próximo
Cabeçalho
Comprimen
to do
Payload
Reservado
SPI
Sequence Number
Dados de Autenticação
Figura 3. 3- Cabeçalho do Protocolo AH
A seguir são descritos os campos que compõe o cabeçalho do protocolo de
segurança AH:
Próximo Cabeçalho: contém o identificador do protocolo do
próximo cabeçalho.
Comprimento do Payload: comprimento do payload
(conteúdo).
Reservado: 16 bits reservados para extensão do protocolo.
SPI (Security Parameter Index): este índice, em conjunto com o
protocolo AH e o endereço fonte, identifica unicamente uma AS
para um determinado pacote.
Sequence Number : contador que identifica os pacotes
pertencentes a uma determinada AS (usado como mecanismo
anti-replay).
Dados de Autenticação: campo de comprimento variável que
contém o ICV (Integrity Check Value) para este pacote, que é
calculado seguindo o algoritmo de autenticação usado, definido
pela AS.
Observa-se que o AH adiciona autenticação, porém os dados continuam
trafegando na rede intactos, e podem ser capturados através de sniffers, por
exemplo. Assim, a confidencialidade é tratada por outro protocolo, o ESP,
descrito a seguir.
52
3.5 - ESP - Encapsulating Security Payload
O protocolo ESP, (Encapsulating Security Payload), ilustrado na Figura
3.4, adiciona autenticação e confidencialidade, garantindo que somente os
destinatários autorizados terão acesso ao conteúdo do pacote. O ESP pode ser
usado no modo transporte ou no modo túnel, como descrito anteriormente.
O uso do ESP previne ataques do tipo:
Replay, através da utilização do campo Sequence Number, de
maneira análoga ao AH;
"Particionamento de pacotes cifrados," que é o que acontece
quando o atacante obtém partes de pacotes cifrados e consegue
montar um pacote que pode ser aceito por um dos membros da
conexão. O uso de autenticação previne este tipo de ataque;
Figura 3. 4 - Cabeçalho do Protocolo ESP
• Sniffer, ou seja, quando o atacante obtém os pacotes que trafegam na
rede. A utilização da criptografia previne este tipo de ataque.
A seguir são descritos os campos que compõem o cabeçalho ESP:
SPI (Security Parameter Index): este índice, em conjunto com o
protocolo AH e o endereço fonte, identifica unicamente uma SA
para um determinado pacote.
SPI
Sequence Number
Dados Cifrados e
Parâmetros
Dados de Autenticação
53
Sequence Number : contador que identifica os pacotes
pertencentes a uma determinada SA (usado como mecanismo
anti-relay)
Dados Cifrados e Parâmetros: contém os dados cifrados e os
parâmetros utilizados pelo algoritmo de criptografia usado,
definido pela AS.
Dados de Autenticação: campo de comprimento variável que
contém o ICV (Integrity Check Value) para este pacote,
calculado seguindo o algoritmo de autenticação usado, definido
pela AS.
Para os casos em que se exige apenas a autenticação, ou ainda, onde a
confidencialidade não deve ser usada, é recomendada a utilização do AH. No
entando, a situação ideal é a utilização de autenticação e confidencialidade, ou
seja, a utilização do AH e ESP em conjunto. Mais especificamente, é
recomendado o uso do ESP "dentro" do AH, permitindo que o destino verifique
a autenticidade do pacote antes de decifrá-lo, ou ainda, verifique autenticidade
e decifre o pacote em paralelo.
3.6 - Geração de Chaves
A Geração de chaves criptográficas simétricas é feita através do
algoritimo DIffie-Hellman, que permite que duas partes derivem de uma chave
criptográfica a partir de trocas de parâmetros publicamente conhecidos. Esses
parâmetros são dois números primos muito grandes que satisfazem certas
propriedades matemáticas e torna praticamente impossível decifrar o segredo
compartilhado a partir do tráfego capturado. Como o algoritmo é passível de
ataques man-in-the middle, os dois gateways devem estar previamente
autenticados, evitando o seqüestro da negociação de uma AS.
3.7 - Métodos de autenticação.
A autenticação via IKE pode ser realizada de três maneiras: segredo
compartilhado, assinaturas digitais e infra-estrutura de chaves públicas (PKI).
No primeiro método, o administrador deve colocar um segredo compartilhado
em cada par de gateway (através de um mecanismo seguro) para que os
54
mesmo se autentiquem mutuamente. Isso gera um problema de escalabilidade
quando o número de gateways cresce muito, e principalmente quando há
presença de algum tipo de mesh. Fica impraticável ao administrador manter
uma política de renovação dos segredos compartilhados periodicamente, bem
como a adição de novos sites implica na reconfiguração dos demais. Para
contornar esse problema, é comum a utilização de vários gateways
compartilhando um segredo. Esse modo é ainda mais perigoso pois o
compromentimento do gateway pode levar o atacante a estabelecer um canal
seguro com qualquer outro gateway que compartilha o mesmo segredo. O uso
deste método portanto não é recomendado para ambientes com alto número
de gateways ou Host utilizando IPSEc.
No segundo método, utilizando assinaturas digitais (DAS ou RSA) cada
gateway a ser autenticado assina o conteúdo com uma chave privada. Se a
assinatura for validada pelo outro gateway por meio de chave pública do
gateway que assinou a mensagem (utilizando portanto os princípios da
criptografia assimétrica) a identidade também poderá ser validada. Um
problema encontrado neste método é a distribuição das chaves públicas, para
que os gateways possam validar as assinaturas digitais. Para resolver o
problema de distribuição de chaves, além de prover uma série de informações
sobre o dispositivo a ser autenticado, pode-se utilizar certificados digitais. O
uso de certificados X.509 normalmente requer a existência de uma infra-
estrutura de chave pública (ICP ou PKI) baseada em uma Autoridade
Certificadora (Certificate Authority – CA) que emite e eventualmente revoga
certificados de usuários de máquinas. A CA pode ser mantida dentro da
empresa ou opcionalmente ser utilizado um centro de confiança oficial (como o
Verisign). Esta sobrecarga adicional impõe um fardo considerável no
desenvolvimento inicial de uma VPN. Contudo, esse investimento é
rapidamente compensado. Se um hacker se apoderar de uma chave privada
basta revogar o certificado e publicar em uma CRL (certificate revocation list),
disponíveis aos gateways via http. Além disso, um certificado tem validade
determinada e expira automaticamente, sendo necessário a emissão de outro.
Para que este processo de autenticação seja seguro, é crucial que exista uma
confiança total no certificado da outra ponta. Isto pode ser feito por meio da
inclusão do certificado da raiz da CA que emitiu os certificados de usuários e
55
máquinas em cada extremo da VPN. A confiança é então transferida para o
certificado CA. Se autoridades multi nível são usadas, então toda cadeia de
confiança deve estar disponível para cada dispositivo VPN. Uma
implementação completa de uma PKI provê todos os meios para que os
gateways se registrem junto a CA, que emitirá seus certificados e manterá todo
processo e autenticação de forma escalável e segura. Apesar da literatura atual
ressaltar as várias vantagens de uma PKI, é importante frisar que existem
várias considerações a respeito de uma infra-estrutura de chaves públicas,
entre elas a segurança do armazenamento da chave privada e a tendência de
utilização de métodos mais fáceis em detrimento da segurança.
3.8 - Conclusão quanto a utilização do IPSEc
Os documentos apresentados pelo IETF a fim de definir o protocolo
IPSEc consitem de vários textos, muitos deles complexos ou extensos, o que
tem ocasionando até o momento uma série de interpretações e
consequentemente diferentes implementações. Um sistema deve ser projetado
de modo que todos os mecanismos de segurança trabalhem em conjunto. A
complexidade é uma das maiores ameaças à segurança, e a dificuldade de se
realizar uma avaliação da eficiência do protocolo não garante que ele seja cem
por cento seguro. Apesar das críticas dos melhores profissionais de segurança,
entre eles Bruce Schneier, apontam o IPSEc como a melhor solução até o
momento. Dessa maneira é possível manter o IPSEc como uma opção segura
e economicamente viável.
56
4 – Capitulo IV – Desenvolvimento de uma rede aplicada a uma empresa
privada.
Considerando que empresa Bellexport Natural Cosméticos Ltda necessita de
segurança na troca de informações entre a matriz, filiais e pontos remotos a
implementação de uma Rede Virtual Privada propiciará, com eficácia, eficiência
e baixo custo uma solução viável.
A implantação da VPN permitirá a comunicação entre redes de pontos
distintos, das duas filiais da empresa, de forma transparente e segura,
formando uma única rede virtual.
4.1 Justificativa do emprego da VPN:
• A empresa em questão tem uma matriz situada na Zona norte de São
Paulo e mais duas filiais, uma delas também localizada na zona norte a
uma distância aproximada de 5 km da primeira e a industria
propriamente dita localizada em Diadema, aproximadamente 30 km de
distância das primeiras. Há em cada uma delas uma intranet e a
necessidade de unificação das redes para procedimentos intervenções
e consultas, tanto no aspecto da produção quanto na segurança da
própria empresa.
• Os Diretores da empresa e funcionários viajam constantemente e
necessitam acessar a rede de forma segura e usar os recursos como se
estivesse ainda em sua mesa de trabalho localizada na matriz e filiais.
• Há também a necessidade de interligar a rede com fornecedores e
clientes de forma mais direta permitindo que uma empresa acesse
diretamente o banco de dados da outra.
57
Tendo em vista essas necessidades optou-se pela solução de VPN
acompanhada de Firewall para o controle do que será acessado, pois tornará a
rede segura mesmo quando a interligação for feita entre empresas diferentes.
A Figura 4.1, ilustra de maneira simples, a VPN que se pretende implementar
entre a Matriz e Filial:
Figura 4. 1 - VPN entre a matriz , duas filiais e um acesso remoto
58
4.2 - Etapas Estabelecidas de implantação para previsão de custos.
Para desenvolver um projeto de rede de forma racional minimizando custos de
implantação torna-se necessário observar as seguintes etapas:
Mapa da rede, incluindo a localização dos segmentos e dispositivos de
interconexão.
Definição de tipo e tamanho de estruturas de cabeamento a ser
utilizado.
Definição dos Hosts importantes.
Definir LANs e WANs importantes para a organização.
Tecnologia empregada: Ethernet, Fast Ethernet, ATM, Frame Relay.
Roteadores e switches
Provedor de acesso
Sistema operacional de servidores e estações (Linux, Windows, IBM)
Implementação da VPN
Firewall
Com vista ao desenvolvimento tecnológico as etapas descritas devem ser
observadas e cotadas em função das necessidades no cliente observando
sempre a relação custo benefício.
59
5 - Capitulo V - Considerações sobre a pesquisa.
Os estudos realizados demonstraram que as corporações que utilizam
soluções VPN podem economizar até 60% em comparação com as redes
privadas dedicadas. As soluções VPN permitem que as empresas possam:
eliminar linhas alugadas de longa distâncias, pois como a infra-estrutura
utilizada é a Internet, não há necessidade de se manter WANs com
linhas dedicadas;
eliminar chamadas de longa distância para modems analógicos e
equipamentos de acesso ISDN;
pagar apenas pela banda utilizada, sem o inconveniente ou a
preocupação de se desperdiçar largura de banda em linhas dedicadas
de alta capacidade. Além disso, se a banda se tornar insuficiente, basta
uma simples requisição de aumento ao provedor para melhorar a
capacidade do acesso;
utilizar um número menor de equipamentos, pois uma única solução
VPN pode prover tanto acesso VPN como acesso a Internet, o que
elimina o uso de bancos de modems separados, adaptadores de
terminais, servidores de acesso remoto, etc.;
diminuir a estrutura de rede na extremidade do usuário e as
responsabilidades de gerenciamento.
Gerenciar aplicativos das organizações e oferecer serviços em qualquer
parte do mundo.
Além dos benefícios econômicos, as VPNs também oferecem vantagens
técnicas, por prover seus serviços com a robustez inerente à infra-estrutura de
Internet. Entre estas vantagens pudemos observar em nosso estudo:
Facilidade de acesso devida a presença de ISPs em qualquer
localidade, criando uma cobertura de rede a nível mundial;
Simplificação de treinamento devida a familiaridade com o usuário.
Usuários remotos tem maior facilidade de acesso a um custo reduzido.
60
6 - Capitulo VI – Conclusão e resultados obtidos na aplicação.
Concluí-se que a VPN apresenta grandes benefícios econômicos e
técnicos aplicados aos dias de hoje, sua parcela de contribuição no
desenvolvimento de novas tecnologias e desempenho quanto a segurança na
utilização da Internet para gerenciar outras organizações é fator primordial,
sendo inúmeros os serviços oferecidos por ela.
Quanto a segurança obtida pode-se constatar que os algoritmos de
criptografia bem como os protocolos específicos geram grandes obstáculos
aos invasores. Atende as condições de segurança quanto a integridade, a
confidencialidade das informações transmitidas, assim como a autenticação e o
controle de acesso, permitindo maior confiança por parte das empresas que
adotam esta solução. Sendo portanto cada vez mais pesquisadas e
incorporadas às organizações, sejam privadas ou governamentais, em diversos
sistemas e ambientes computacionais.
Quanto ao desempenho a simulação realizada com conexão banda larga
256 Mbps, Speedy, usando roteador D-Link configurado como servidor VPN,
observou-se que houve um atraso no processamento de imagens quando o
servidor compartilhava acesso remoto e discado com modem de 56Kbps. No
entanto o atraso ocorrido não comprometeu o sistema quando utilizado para
monitoramento. A pesquisa foi realizada com uma webcam Creative, no
entanto se este mesmo experimento for realizado com câmeras IP BL-C30
panasonic com dispositivo de captura CMOS, conexão wirelles, sensor de
presença sensível a temperatura, com capacidade de até 15 frames de
imagens permitindo que 10 usuários tenham acesso direto às imagens cujos
ângulos de movimento chegam a 186º na horizontal e 50º na vertical, custo
estimado de R$2.500,00 a qualidade esperada será muitíssimo superior. Deixa-
se assim como sugestão para outras pesquisas onde o ensino a distância
poderá ser contemplado com esta tecnologia.
61
Figura 6. 1 - Câmera de vídeo com IP de alta definição (cortesia
Panasonic)
Considerando ainda a evolução tecnológica dos periféricos, em especial os
roteadores torna-se de primordial importância a especificação de equipamentos
utilizados para implementação da VPN utilizando inclusive a tecnologia wirelles.
A tabela a seguir ilustra alguns equipamentos que poderiam ser utilizados de
modo a aprimorar o desempenho do sistema, explicitando inclusive as taxas de
transmissão e principalmente o custo destes periféricos.
62
Dispositivos periféricos
Dispositivo Características necessárias
Estimativa atual
de custo.
Roteador
modelo
Vigor2600VG
e
Vigor2600VG
i
Ponto de Acesso Wireless a 54Mbps (802.11g) (no)
Cliente / Servidor de VPN (16 túneis simultâneos)
Switch integrado (4 x 10/100Mbps Base-TX com detecção
automática de Uplink)
suporta até 253 usuarios
Cliente RADIUS
compatível com Windows, Mac, Unix, Linux.
U$1100,00
Router
Cyclades
PR2000
CPU - Motorola MPC860 a 50MHz (Power PC RISC 32
Bits em configuração Dual, 50 MIPS)
Memória - 16MB SDRAM (expansível até 32MB)
2 MB Flash
Interfaces -1 porta LAN Ethernet 10/100BT
1 porta console dedicada RS-232 (RJ45) até 115.2Kbps
2 portas WAN síncronas até 2Mbps* (sem perda de
pacotes: validado em 1 interface WAN para pacotes
maiores de 200 bytes )ou assíncronas até 230Kbps
V.35/RS-232
1 porta WAN assíncrona até 230Kbps em RS-232
R$ 3600,00
Router
Cyclades
PR1000
CPU - Motorola MPC855T a 50MHz (Power PC RISC 32
bits em configuração Dual, 50MIPS)
Memória - 8MB SDRAM - 2MB Memória Flash
Interfaces -1 LAN Ethernet 10/100BT, 1 WAN 512kbps
(V.35/RS-232) síncrona
R$ 2.500,00
Tabela 6. 1 - Dispositivos periféricos usados em VPN
63
Os protocolos analisados em nosso trabalho, em especial o PPTP, L2TP
mostram boas alternativas de implementação, porém deixam a desejar quanto
a segurança. Por sua vez o IPSec, mostrou-se o protocolo mais completo e
eficiente quanto ao tráfego de informações nas redes. Todavia é importante
que se tenha uma política rígida de segurança, um planejamento cuidadoso
permitindo que haja proteção física e lógica dos servidores. Podemos ainda
afirmar que este trabalho, através de ampla pesquisa bibliográfica utilizada,
contribuiu academicamente para conceituar os principais aspectos de
segurança utilizados em VPNs, além de analisar diversas características das
Redes Virtuais Privadas, como seus elementos, topologias e principais
protocolos. Outra grande contribuição, esta de caráter científico e prático, foi a
implementação de uma VPN utilizando o protocolo IPSec, interligando duas
redes em caráter experimental, conforme Figuras 6.1 a 6.13, mostrando sua
instalação e configuração. Futuramente a empresa Bellexport Natural
Cosméticos Ltda pretende implementar esta solução em sua matriz e filiais.
64
Fica a sugestão para trabalhos futuros de forma a aprimorar os
conhecimentos nesta tecnologia, pode-se por exemplo, implementar uma VPN
em domótica, como estudo de caso, interligando duas ou mais redes, e
permitindo o acesso remoto dos administradores, ou até mesmo no auxílio de
ensino a distância.
Figura 6. 2 – Foto da implementação experimental da VPN com Win XP e
Win98 2e
Figura 6. 3 - Foto da implementação experimental da VPN com Win XP e
Win98 2e
65
Figura 6. 4 - Foto da implementação experimental da VPN com Win XP e
Win98 2e
Figura 6. 5 – Foto da implementação experimental da VPN com Win XP e
Win98 2e
66
Figura 6. 6 – Foto da implementação experimental da VPN com Win XP e
Win 98 2e
Figura 6. 7 – Foto da implementação experimental da VPN com Win XP e
Win 98 2e
67
Figura 6. 8 – Foto da implementação experimental da VPN com Win XP e
Win 98 2e
Figura 6. 9 - Foto da implementação experimental da VPN com Win XP e
Win 98 2e
68
Figura 6. 10 – Foto da implementação experimental VPN com acesso por
notebook win XP (configuração rede – rede)
Figura 6. 11 – Foto da implementação experimental VPN com acesso por
notebook win XP (configuração rede – rede)
Figura 6. 12– Foto da implementação experimental VPN com acesso
remoto por notebook win XP (configuração rede – servidor)
69
Figura 6. 13 – Foto da implementação experimental VPN: monitoramento
por câmera
Figura 6. 14 – Foto da implementação experimental VPN: câmera
gerenciada pelo servidor de VPN
70
Figura 6. 15 - Fotos da implementação experimental VPN: Acesso remoto
obtendo informações visuais em tempo real gerenciadas pelo servidor
Servidor
VPN
Notebook acesso remoto discado
ISP
71
Apêndice I - VPN EM WINDOWS 2000
Instalação e configuração do HOST – VPN
Sistema operacional: Windows 2000
Entramos em Iniciar / Programas / Ferramentas Administrativas /
Roteamento e acesso remoto.
Na tela do Roteamento, clicando com o botão direito do mouse no seu
servidor e selecionamos “Configurar e ativar roteamento e acesso
remoto”:
72
Avançamos a instalação a partir da tela a seguir.
Escolhemos “servidor de rede privada VPN”
73
A tela abaixo indicou a instalação do TCP/IP necessário para cliente
VPN.
Na tela seguinte, marcamos a opção da placa de rede que receberá a
conexão de VPN e seguida avançar.
74
Na próxima tela atribuímos uma faixa de IP automaticamente e clique
em Avançar:
Optamos por não configurar o RADIUS nesta instalação:
75
E finalmente concluímos a instalação do Host.
Sem a necessidade de reiniciar a máquina o windows 2000 carregou as
configurações:
76
Após a instalação, a tela final de Roteamento ficou conforme a figura:
77
Apêndice II - Instalação de configuração de Cliente VPN
Optamos por instalar o cliente VPN numa máquina com Windows 98 2E.
No painel de controle, vá em Adicionar / Remover Programas. Acesse a
aba Instalação do Windows e entre em Comunicações:
78
Escolhemos NetMeeting e rede Particular virtual:
O Windows carregou os arquivos necessários para a conexão e
reiniciou, é necessário o disco de instalação:.
O próximo passo foi escolher VPN adapter:
79
Indicamos o numero de IP de seu Servidor de VPN (nosso Host) ao qual
está máquina se conectará:
O procedimento concluiu se a partir desta etapa sendo criado a conexão
VPN.
Para conectar ao Servidor, entre na “Conexão VPN” e surgira a tela:
Observamos que há dois numeros de IP, ou seja, IP da conexão com
internet e IP de conexão da VPN.
80
REFERÊNCIAS BIBLIOGRÁFICAS
BASTOS,Eri Ramos. Configurando uma VPN IPSec FreeSwan no Linux. [S.I.],
2002. Disponível em: http://www.secforum.com.br/article.php?sid=1033>.
Marcelo Duffles Donato Moreira.
Função Hash e Autenticação em Redes de
Computadores. 2005 Universidade Federal do Rio de Janeiro
BROCARDO, Marcelo Luiz 12AC: um Protocolo Criptográfico para Análise
Segura de Crédito.2001.122 1.Dissertação de Mestrado em ciência da
Computação – Universidade Federal de Santa Catarina, Florianópolis.
BROWNE: Brian el al. Best Practices For VPN Implementation. [S.I], 2001.
Disponível em: http://www.bcr.com/bcrmag/2001/03/p24.asp>.
Torres Gabriel Redes de Computadores - Curso Completo. Axcel Books, 2001.
R. Yuan; W.T. Strayer. Virtual Private Networks – Techologies and Solutinos.
Editora Addison-Wesley, 2001
CYCLADES. Guia Internet de Conectividade 6ª Edição: São Paulo, SENAC,
2000.
167 p.
3COM CORPORATION. 3COM OfficeConnect: Network Assistant. Santa
Clara, EUA:3Com, versão 2.02,2000.
Alan Tamer Vasques e Rafael Priante Schuber : trabalho de conclusão de
curso de bacharelado pela :http://www.abusar.org/tutoriais.html
Soares, Luiz Fernando Gomes, Lemos, Guido e Colcher, Sérgio. Redes de
Computadores – das LANs, MANs e WANs, às Redes ATM. Rio de Janeiro,
Campus, 1995.
KOLENISKOV, Oleg;HATCH, Brian, BuildingbLinux Virtual Private
Networks (VPNs)-
1ª Edição. EUA: New Riders, 2002.385 p.
MODULAR Algo Support, Version 0.8.0. Desenvolvido por Juan Jose Ciarlante.
[S.I.],2002. Disponível em:http://www.irrigacion.gov.ar/juanjo/ipsec>.
NAT Traversal, Version 0.4. Desenvolvido por Mathieu Lafon.[S.I.], 2002.
Disponível em: http://open-source.arkoon.net/>.
X.509 Certificate Support,Version 0.9.15. Desenvolvido por Andreas
Steffen.[S.I.],2002. Disponível em: <htpp://www.strongsec.com
81
"Virtual Private Networking: An Overview" . 29 de Maio de 1998. On-Line.
http://www.microsoft.com/workshop/server/feature/vpnovw.asp. 26 de Junho de
1998.
Maughan, Douglas; Schertler, Mark; Schneider, Mark; Turner, Jeff. "Internet
Security Association and Key Management Protocol (ISAKMP)". 10 de Março
de 1998. On-Line. http://www.imib.med.tu-dresden.de/imib/Internet/Literatur/
ISAKMP/draft-ietf-ipsec-isakmp-09.txt. 28 de Junho de 1998.
"Virtual Private Network" . 1998. On-Line. http://www.stts.com.br/vpn.htm. 28 de
Junho de 1998.
"IPSEC - Internet Protocol Security". Security Project at the TCM Laboratory.
On-Line. http://www.tcm.hut.fi/Tutkimus/IPSEC/ipsec.html. 20 de Junho de
1998.
Werner, José. "Tecnologias para Implantação de Redes Virtuais Privadas" .
Fórum Nacional sobre Segurança de Redes e Telecomunicações. Março/1998.
20 de Junho de 1998.
SITES VISITADOS
http://www_guiadohardware_net2.htm
http://www.ent.com.br/index.asp?cod=1
http://www.cyclades.com.br/
http://www.resellerweb.com.br/
http://www.microsoft.com/mspress/prod/books/sampchap/1252.htm
http://support.microsoft.com/
http://www.cg.org.br/index.html
http://www.ciscoredacaovirtual.com/redacao/busqueda/resultados.asp?busqued
a=vpn&categoria=todos
http://www.networkengines.com/sol/nsapplianceseries.aspx
http://www.portaldigitro.com.br/
http://www.abusar.org/vpn/tec.html
http://search.3com.com/search/pt_LA_AMER/query.html?qp=qp_pt_LA_AMER
&col=intl3&qt=vpn
http://www.vpnc.org/vpn-technologies.html
http://www.alan.pro.br/publicacoes.htm
http://www.secforum.com.br/article.php?sid=1033
http://www.trendnet.com/po/products/TW100-BRV204_v1.htm
http://web.mit.edu/Saltzer/www/publications/protection/Basic.html
82
http://www.ipsec-howto.org/spanish/x161.html
http://www.telemar.com.br/id/id5.htm#vpns
http://www.homenethelp.com/vpn/
Livros Grátis
( http://www.livrosgratis.com.br )
Milhares de Livros para Download:
Baixar livros de Administração
Baixar livros de Agronomia
Baixar livros de Arquitetura
Baixar livros de Artes
Baixar livros de Astronomia
Baixar livros de Biologia Geral
Baixar livros de Ciência da Computação
Baixar livros de Ciência da Informação
Baixar livros de Ciência Política
Baixar livros de Ciências da Saúde
Baixar livros de Comunicação
Baixar livros do Conselho Nacional de Educação - CNE
Baixar livros de Defesa civil
Baixar livros de Direito
Baixar livros de Direitos humanos
Baixar livros de Economia
Baixar livros de Economia Doméstica
Baixar livros de Educação
Baixar livros de Educação - Trânsito
Baixar livros de Educação Física
Baixar livros de Engenharia Aeroespacial
Baixar livros de Farmácia
Baixar livros de Filosofia
Baixar livros de Física
Baixar livros de Geociências
Baixar livros de Geografia
Baixar livros de História
Baixar livros de Línguas
Baixar livros de Literatura
Baixar livros de Literatura de Cordel
Baixar livros de Literatura Infantil
Baixar livros de Matemática
Baixar livros de Medicina
Baixar livros de Medicina Veterinária
Baixar livros de Meio Ambiente
Baixar livros de Meteorologia
Baixar Monografias e TCC
Baixar livros Multidisciplinar
Baixar livros de Música
Baixar livros de Psicologia
Baixar livros de Química
Baixar livros de Saúde Coletiva
Baixar livros de Serviço Social
Baixar livros de Sociologia
Baixar livros de Teologia
Baixar livros de Trabalho
Baixar livros de Turismo
