Konsep VPN cara kerja VPN serta skenario skenario dari VPN
Full description
el Valor presente netoDescripción completa
Descripción completa
VPN PFSENSE Vocabulario IPSEC: es un marco de seguridad que opera en la capa de red mediante la ampliación de la cabecera del paquete IP (usando números de protocolo adicional, no opciones).…Descripción completa
Tema2-VPNDescripción completa
about vpn accessDeskripsi lengkap
Livro fala sobre os conceitos de VPN e como configurar.
Se g u r a n ç a n o A c e s s o Re R e m o t o V PN PN Edmar R oberto Santana de Rezende 1 Orientador: Prof. Dr. Pau lo Lício de Geu s
1
Financiado por Robert Bosch Ltda
1 de 31
Apresentação Motivação Redes Privadas Virtuais (VPN) Análise dos Protocolos Cenários Soluções Considerações adicionais Implementação Conclusões e Trabalhos futuros 2 de 31
Motivação Empresa Robert Bosch Ltda Trabalho: “Um Modelo de Segurança de Redes para Ambientes Cooperativos” - Emilio Tissato Nakamura
Cliente Remoto Internet
Gateway VPN
Rede Privada
3 de 31
R e d e s Pr P r i v a d a s V i r t u a i s (V ( V PN PN ) Conceitos básicos: Criptografia • Confidencia Confidencialidade lidade,, integridad integridade e e autentic autenticidad idade e da comunic comunicação ação
Tunelamento • Encapsula Encapsulament mento, o, transmis transmissão são e desenc desencapsul apsulamen amento to dos dados
Gateway VPN A
Rede Privada A
Internet
Gateway VPN B
Rede Privada B
4 de 31
R e d e s Pr P r i v a d a s V i r t u a i s (V ( V PN PN ) Tipos de VPN: Gateway-to-gateway VPN VPN • Trans Transpa pare rent nte e ao usu usuár ário io • Túne Túnell ini inici ciad ado o nos nos gateways VPN
Internet
Gateway VPN A
Gateway VPN B
Rede Privada A
Rede Privada B
Client-to-gateway VPN VPN • Túnel Túnel inicia iniciado do pelo pelo usu usuári ário o remoto • Soft Softwa ware re Clie Client nte e VP VPN N
Internet
Cliente VPN
Gateway VPN
Rede Privada
5 de 31
R e d e s Pr P r i v a d a s V i r t u a i s (V ( V PN PN ) Acesso Remoto Tradicional Pool de modens Servidor de acesso à rede Altos custos
Internet
Cliente Remoto
Rede de Telefonia Pública
Pool de Servidor de modens Acesso à Rede
Rede Privada
Acesso Remoto VPN Redução de custos com infra-estrutura e ligações Maior escalabilidade Implicações de segurança
Internet
Cliente Remoto Provedor de Acesso à Internet
Gateway VPN
Rede Privada
6 de 31
A n á l i s e d o Pr Pr o t o c o l o s PPTP Negociação de parâmetros e canal de controle sem proteção Estrutura bastante simples
Cabeçalho Cabeçalho Cabeçalho IP GRE PPP
Dados (Datagrama IP)
Cifrado
L2TP Não existem mecanismos de proteção do túnel L2TP Deve ser combinado com outros protocolos para suprir a ausência de segurança
Cabeçalho Cabeçalho Cabeçalho Cabeçalho IP UDP L2TP PPP
Dados (Datagrama IP)
Cifrado
7 de 31
A n á l i s e d o Pr Pr o t o c o l o s L2TP/IPSec Overhead considerável • Desempenho • Segurança
Novo Cabeçalho Cabeçalho Cabeçalho Cabeçalho Cabeçalho Cabeçalho IP ESP UDP L2TP PPP IP Original
Dados
ESP Trailer
ESP Auth
Cifrado
Sem bons resultados na prática (resets e timeouts )
Autenticado
IPSec Atende às necessidades de segurança Carente de padronização em aspectos de funcionalidade
Novo Cabeçalho Cabeçalho Cabeçalho Cabeçalho IP ESP TCP/UDP IP Original
Soluções XAUTH Autenticação apenas unidirecional Utiliza mecanismos do Mode-Config
Initiator
Responder
P r r opos t t a d a F as e e
Fase 1 Main Mode
1
ta ta ac e i ta Pro pos ta D i if f f fi ie -H e e el l l lm an lman H e l lm ie - H e f i f f D i f Aut e en t i ic aç ão c
icação en t ic A u t e
XAUTH
Requer modificações no IKE
. . .
Fase 2 Quick Mode
P r r opos t t a d a F as e e 2 ta ta ac e i ta Pro pos ta C onf i ir r m aç ão 12 de 31
Soluções Autenticação Híbrida Insere um novo método de autenticação no IKE Utiliza o XAUTH
Initiator
Responder
P r ro pos t t a d a F as e e 1 ta ta ac e i ta Pro pos ta Fase 1 Main Mode
D i i f ff f i i e - H e e e l ll l man
lman H e l lm ie - H e f i f f D i f Aut e en t i ic a c ç ão H í í br i id a d
ida íbr id icação H b en t ic A u t e
XAUTH
Requer modificações no IKE
. . . P r r opos t ta d a F as e e Fase 2 Quick Mode
2
ta ta ac e i t Pro pos ta C onf i ir r m aç ão 13 de 31
Soluções
Initiator
CRACK Insere um novo método de autenticação no IKE
Responder
P r ro pos t t a d a F as e e 1 ta c e i ta Pro pos ta a D i i f ff f i ie -H e e el l l l man Fase 1 Main Mode
lman H e l lm ie - H e f i f f D i f Aut e en t i ic a c ç ão C R RA C K K AC K icação CR en t ic A u t e Aut e en t i ic a c ç ão C R RA C K K
. . .
Requer modificações no IKE
Fase 2 Quick Mode
P r ro pos t t a d a F as e e 2 ta ta ac e i ta Pro pos ta C onf i ir r maç ão
14 de 31
Soluções PIC
Initiator
Responder
PIC
Troca de chaves baseada no ISAKMP Autenticação do usuário baseada no EAP
. . . P r r opos t t a d a F as e e 1 ta ta ac e i t Pro pos ta Fase 1 Main Mode
D i if f f fi ie -H e e e l ll l man
lman H e l lm ie - H e f i f f D i f Aut e en t i ic aç ão c
icação en t ic A u t e
Não requer modificações no IKE
Fase 2 Quick Mode
P r ro pos t t a d a F as e e 2 ta ta ac e i ta Pro pos ta C onf i i r rm aç ão 15 de 31
Soluções Configuração Conf iguração do sistem siste m a rem oto Mode-Config DHCP DH CP sobr sobre e IP IPSe Secc Túnel IPsec com tráfego interno encapsulado
Endereço virtual Cliente Remoto
Internet
Presença virtual do cliente
Gateway VPN Máquinas locais
Rede Privada
16 de 31
Soluções Mode-Config Define uma nova troca ISAKMP (Transaction Exchange ) Requer modificações no IKE Endereço IP atribuído pelo ISP (55.66.77.88) (10.1.0.20) Presença virtual do cliente
(10.1.0.20) Endereço IP virtual Cliente Remoto
Provedor de Acesso à Internet
Internet
Gateway VPN Máquinas locais
Rede Privada (10.1.0.0/24)
17 de 31
Soluções DHCP sobre IPSec Combina as funcionalidades de ambos os protocolos Não requer modificações no IKE Endereço IP atribuído pelo ISP (55.66.77.88) Servidor DHCP (10.1.0.20) Presença virtual do cliente
(10.1.0.20) Endereço IP virtual Cliente Remoto
Provedor de Acesso à Internet
Internet
Gateway VPN (Relay DHCP) Túnel IPSec
Máquinas locais Rede Privada (10.1.0.0/24)
18 de 31
Soluções Configuração da política de segurança Anti-vírus e firewall pessoal gerenciáveis Cliente VPN como ponte para a rede da organização Atacante
Internet
Cliente Remoto
Gateway VPN
Provedor de Acesso à Internet
Túnel IPSec Rede Privada
19 de 31
Soluções Passagem por intermediário NAT Tra Traversal (NAT-T) • Util Utiliz iza a enca encap psula sulame ment nto o UDP UDP • Somente Somente os os extremos extremos do túnel túnel necessi necessitam tam de de suporte suporte Cabeçalho Cabeçalho IP ESP
Cabeçalho Cabeçalho IP TCP/UDP Original
Dados
ESP Trailer
ESP Auth
Cabeçalho Cabeçalho Cabeçalho Cabeçalho IP UDP NAT-T ESP
Cabeçalho Cabeçalho IP TCP/UDP Original
Dados
ESP Trailer
ESP Auth
20 de 31
C o n s i d e ra raç ões adic ionais Posicionamento do gateway VPN na topologia de segurança Em frente ao firewall Atrás do firewall Combinado ao firewall Em paralelo ao firewall Ao lado do firewall Gate Gatewa wayy VP VPN N na na DMZ DMZ
21 de 31
C o n s i d e ra raç ões adic ionais Rede Interna
Em frente ao firewall Difícil diferenciar tráfego VPN de tráfego não VPN
Firewall
Internet
Gateway VPN
Atrás do firewall
Rede Privada
Não há filtragem do tráfego VPN
Rede Interna
Firewall
Internet
Gateway VPN
Rede Privada
22 de 31
C o n s i d e ra raç ões adic ionais Rede Interna
Combinado ao firewall Sobrecarga Falhas no gateway VPN podem comprometer o firewall
Firewall
Internet
Gateway VPN
Rede Privada
Em paralelo ao firewall Entrada alternativa para a rede interna Não há filtragem do tráfego VPN
Rede Interna Firewall
Internet
Gateway VPN
Rede Privada
23 de 31
C o n s i d e ra raç ões adic ionais Rede Interna
Ao lado do firewall
Firewall
Solução mais adequada
Internet
Gateway VPN
Gateway VPN na DMZ
Rede Privada
Gateway VPN
Rede Interna
DMZ 2
Rede Interna
Filtro externo
DMZ 2 Gateway VPN
Filtro Rede Interna interno
Firewall Firewall Internet
Internet
Internet
DMZ
Firewall
DMZ 1 DMZ 1 Gateway Servidor Servidor VPN Web FTP
Servidor Servidor Web FTP Servidor Servidor Web FTP
Rede Privada
Rede Privada
Rede Privada
24 de 31
Implementação FreeS/WAN sobre Linux Autenticação ! Certificados digitais Configuração do sistema remoto ! DHCP sobre IPSec Configuração da política de segurança ! Scripts executados após o estabelecimento de túneis Passagem por intermediário ! NAT-T
Suporte a clientes Windows Clientes Windows 2000 e Windows XP 25 de 31
Implementação Autenticação dos extremos do túnel Certificados digitais (Patch X.509) • Iden Identi tida dade dess Cori Coring nga a • Listas Listas de de Revoga Revogação ção de de Certific Certificado adoss (CRL) (CRL) • Protocolo Protocolo de de Status Status de Certif Certificado icado Online Online (OCSP) (OCSP) V PN PN CA
#0
Usuário 1
#2
VPN CA
V PN PN CA
VPN CA
#0
Gatewa Gateway y
#1
VPN CA VPN CA
Usuário 1 V PN PN CA
#0
Usuário 2
#3
Internet Gateway VPN
VPN CA VPN CA
Túneis IPSec Usuário 2 Rede Privada
26 de 31
Implementação Configuração do sistema remoto DHCP sobre IPSec Cliente Remoto
Gateway VPN
a) ISAKMP SA (Main Mode) a) Cliente Remoto <=> Gateway VPN
DHCP DISCOVER
10.3.0.2 Relay DHCP
Cliente Remoto
Servidor DHCP
Gateway VPN
10.1.0.0/16
b) DHCP SA (Quick Mode, curto tempo de vida) b) Cliente Remoto : UDP/bootpc <=> Gateway VPN : UDP/bootps --- 0.0.0.0/0
Relay DHCP Cliente Remoto
Servidor DHCP
Gateway VPN
10.1.0.0/16
c) IPSec SA (Quick Mode) c) 10.3.0.2 --- Cliente Remoto <=> Gateway VPN --- 10.1.0.0/16
27 de 31
Implementação Configuração da política de segurança prepluto=script | leftupdown=script |
postpluto=script rightupdown=script
Passagem por intermediário NAT Traversal (Patch NAT-T)
Suporte a clientes Windows Clientes Windows 2000 e Windows XP • Suporte Suporte nativ nativo o ao IPSec IPSec + ferrame ferramentas ntas de configur configuração ação • Altern Alternati ativa: va: SSH Sentin Sentinel el 28 de 31
Conclusões Acesso Acesso Remoto Remoto VPN é uma uma alternativa alternativa viável Redução de custos + Segurança
Protocolo ! IP IPSe Secc em modo modo túne túnell • Aspect Aspectos os care carente ntess de de padro padroniza nização ção
Soluções Autenticação dos extremos do túnel • Aute Autent ntic icaç ação ão leg legad ada a (PIC (PIC)) certificados digitais (ICP)
! Autenticação
baseada em
Configuração do sistema remoto • DHCP HCP sob sobrre IP IPSec Sec
Passagem por intermediário • NAT NAT Trav Traver ersa sall (NAT (NAT-T -T)) 29 de 31
Conclusões Implementação FreeS/WAN ! alternativa de baixo custo Funcionalidades: • Suport Suporte e a certif certifica icados dos digita digitais is • DHCP HCP sob sobrre IP IPSec Sec • NAT-T
Compatibilidade com clientes VPN: • FreeS/WAN • Siste Sistema mass Wind Window owss 200 2000 0 e XP XP • Clie Client ntes es VPN VPN come comerc rcia iais is:: – – – –
PGPnet Safe SafeNe Net/ t/So Soft ft-P -PK K Safe SafeNe Net/ t/So Soft ftRe Remo mote te SSH SSH Senti entin nel 30 de 31
T r a b al alhos fut uros Escalabilidade e Gerência Crescimento do nº de clientes • Limita Limitaçõe çõess nos nos equipa equipamen mentos tos • Proces Processam sament ento o criptog criptográf ráfico ico inten intenso so
Configuração da política de segurança Configuração remota Políticas de alto nível
mecanismos inexistentes inexistentes ! implementação em baixo nível