You are on page 1of 28

Viviane Pereira de Oliveira

VPN - Virtual Private Network

Centro Universitrio Amparense


Amparo SP
2007

Viviane Pereira de Oliveira

VPN Virtual Private Network

Projeto de Monografia apresentado ao Centro


Universitrio Amparense (UNIFIA), para obteno
de grau de Tecnlogo em Desenvolvimento de
Software.
Orientador: Prof. Ms. Andr M. Panhan.

Centro Universitrio Amparense


Amparo-SP
2007

FACULDADES INTEGRADAS DE AMPARO

RA: 4606173

Aluna: Viviane Pereira de Oliveira

Trabalho de Graduao Curso de Tecnologia em Desenvolvimento de Software.


Ttulo: Virtual Private Network (Rede Privada Virtual)

Parecer da Coordenao de Tecnologia em Desenvolvimento de Software

O presente trabalho, constitudo de 28 pginas, aps anlise e argio da Banca


Examinadora, recebeu o seguinte parecer:
Orientador (a): Professor Ms. Andr M. Panhan

Parecer: __________________ Assinatura: ________________________


Membro: ___________________________________________________
Parecer: ___________________ Assinatura: _______________________
Membro: ___________________________________________________
Parecer: ___________________ Assinatura: _______________________

Amparo, ____/____/ 2007

Dedicatria

Dedico este trabalho todas as


pessoas que colaboraram para que
este se tornasse realidade.

Agradecimento

Agradeo a DEUS primeiramente por ter me dado


confiana, f, sade e oportunidade de estar
concluindo meus estudos, agradeo tambm
minha Me e minha irm durante este perodo, e ao
meu orientador pelo seu auxilio durante a
elaborao deste projeto.

Sumrio
Introduo ...............................................................................................................................10
A CESSO REMOTO ANTES DAS VPNS. ................................................................................................................................10
REDE PRIVADA DAS EMPRESAS.........................................................................................................................................11
O QUE VPN? .....................................................................................................................................................................11
COMO FUNCIONA?...............................................................................................................................................................12

Protocolos Utilizados.............................................................................................................14
PPTP POINT TO-POINT TUNNELING PROTOCOL........................................................................................................15
LAYER TWO FORWARDING (L2F) .....................................................................................................................................16
LAYER TWO TUNNELING PROTOCOL L2TP .................................................................................................................18
SECURITY PROTOCOL IPSEC..........................................................................................................................................19
Autenticao e Integridade ....................................................................................................................................21
Vantagens para as Vpns.........................................................................................................................................22

Criptografia..............................................................................................................................22
CHAVE SIMTRICA OU CHAVE PRIVADA .........................................................................................................................22
CHAVE A SSIMTRICA OU CHAVE PBLICA .....................................................................................................................22

Algoritmos para Criptografia ................................................................................................23


DES - DATA ENCRYPTION STANDARD.............................................................................................................................23
TRIPLE-DES .........................................................................................................................................................................23

Aplicaes VPN ......................................................................................................................23


A CESSO REMOTO.................................................................................................................................................................23
Acesso remoto aps as VPNs..............................................................................................................................23

Beneficio para Empresas.......................................................................................................24


Concluso................................................................................................................................25
Referncias: ............................................................................................................................26
Glossrio .................................................................................................................................27

Resumo
A presente monografia pretende dar uma viso funcional do que uma Virtual
Private Network(VPN), comearemos com um histrico sobre VPNs, a importncia de sua
utilizao em uma empresa, como funciona, uma breve descrio dos protocolos que so
utilizados, autenticao e integridade, sero apresentados tambm dois tipos de criptografia
que uma VPN pode utilizar (vale lembrar que os tipos de criptografia apresentados so
apenas alguns dos tipos de criptografia utilizados), aplicaes VPN e os benefcios gerados
a uma empresa.

ndices de figuras

Figura 1 Tnel formado por uma conexo VPN .....................................................................12


Figura 2 Conexo VPN entre duas redes interligadas. ...........................................................13
Figura 3 Passos numa conexo usando PPTP. ......................................................................13
Figura 4 Criao do tnel PPTP nas imediaes da LAN. ......................................................16
Figura 5 Tunelamento utilizando L2F.......................................................................................17
Figura 6 Arquitetura L2TP ........................................................................................................19

LISTA DE SIGLAS
AH - Authentication Header.
CHAP - Challenge Handshake Authentication Protocol.
DSL - Digital Subscriber Line, formato de transmisso de dados. NO um modem, mas
sim a maneira como esses dados so transmitidos.
ESP - Encapsulation Security Payload.
IPSEC - Security Protocol.
ISDN - Integrated Service Digital Network (Rede Digital com Integrao de Servios),
modalidade de conexo discada.
IPX - Internet Packet Exchange.
ISAKMP - Internet Security Association and Key Management Protocol.
ISP Internet Service Provider (Provedor de Acesso Internet)
L2F - Layer Two Forwarding.
L2TP - Layer Two Tunneling Protocol.
NAS - Servidor de Acesso a Rede.
NetBEUI - Protocolo de transporte do NetBIOS. Nada mais que um pacote NetBIOS puro
dentro de um pacote de rede em modo broadcast. O NetBEUI, por ser to simples, no
roteavel, ou seja, no pode ser facilmente usado em inter-redes.
PoPs - Points-of-Presence
PPTP Point-to-Point Tunneling Protocol.
PPP - Point-to-Point Protocol.
PSTN Public Switched Telephone Network (Rede Telefnica Comutada Publica).
RADIUS - Remote Authentication Dial-in User Service.
RAS - Remote Access Server e o servio usado para RECEBER as ligaes discadas dos
outros computadores. Antigamente era muito usado para fazer conexo ponto-a-ponto entre
computadores remotos.
VPN - VIRTUAL PRIVATE NETWORK.

Introduo
Com o avano na rea da tecnologia da informao, e com a necessidade das
empresas se comunicarem e ter informaes de forma cada vez mais rpida e confivel
para melhorar o processo de tomada de decises. Atualmente, a Tecnologia da Informao
TI, evoluiu consideravelmente, desde os primeiros computadores centrais ou mainframes
at os atuais sistemas distribudos. Este tipo de viso moderna, no entanto busca obter
vantagens principalmente em trs aspectos: Confiabilidade ou tolerncia falhas;
Disponibilidade; Custo.
Com o enorme e explosivo crescimento da Internet, e o constante aumento de sua
rea de abrangncia, e a expectativa de melhorias na qualidade dos meios de comunicao
associado a um grande aumento na velocidade de acesso, a internet passou a ser vista
como um meio conveniente para as comunicaes corporativas. Para que a passagem de
dados sensveis pela Internet se torne mais confivel, necessrio que o uso da tecnologia
torne esse meio inseguro em um meio confivel. O uso da Virtual Private Network (VPN)
sobre a Internet parece ser um a alternativa vivel e adequada, mas veremos que no
apenas em acessos pblicos que essa tecnologia pode e deve ser empregada.
Este tipo de implantao de VPN pressupe que no ha. necessidade de
modificaes nos sistemas atualmente utilizados pelas corporaes, j que todas as
necessidades de privacidade que passam a ser exigidas sero supridas pelos recursos
adicionais que sejam disponibilizados nos sistemas de comunicao.
O conceito de VPN surgiu da necessidade de se utilizar redes de comunicao no
confiveis para trafegar informaes de forma segura.

Acesso remoto antes das VPNs.


A conexo de usurios mveis ou remotos era tradicionalmente conseguida
utilizando servios comutados. Pequenos escritrios que no pudessem arcar com os
custos de uma conexo permanente Intranet corporativa utilizariam linhas discadas.
As tarifas de longa distncia so os maiores custos deste tipo de conectividade.
Outros custos incluem investimentos em Servidores de Acesso Remoto na matriz e pessoal
especializado para configurar e manter os servidores. [3]

Rede Privada das Empresas


Atualmente com a necessidade de informao a qual as empresas precisam,
algumas destas se deparam com a necessidade de atender uma enorme variedade de
comunicaes, em tempos que se procura reduzir custos e infra-estrutura de comunicao.
comum hoje que funcionrios acessem remotamente sua rede interna em escritrios
remotos ou em qualquer outro tipo de trabalho, como por exemplo, compartilhar informaes
em extranets com parceiros de negcios.
Com isso, as antigas solues usadas em redes WANs, como linhas dedicados e
circuitos de Frame Relay, j no proporcionam a flexibilidade requerida para o surgimento
de novos links de parceria e atendimento de grupos de projeto atuando em campo.
E com isso esse tipo de soluo h um aumento considervel nos custos com
ligaes telefnicas, acesso a computadores remotos aumentam gastos em modens de
acesso, servidores e tarifas de ligaes longa distncia.

O que VPN?
Rede de acesso restrito, onde algumas partes so conectadas utilizando a rede
pblica da Internet e assim substituindo a tecnologia de links dedicados ou rede de pacotes
(como Frame Relay e X.25) para a conexo de redes remotas.
Tendo motivo o lado financeiro, onde os links dedicados so caros, e do outro lado
est a Internet, por ser uma rede de alcance mundial tem pontos de presena espalhados
por todo o mundo.
Conexes com a Internet podem ter um custo mais baixo que links dedicados,
principalmente quando as distncias so grandes, esse tem sido o motivo pelo quais as
empresas cada vez mais utilizam a infra-estrutura da Internet para conectar a rede privada.
Com toda essa infra-estrutura de conexo entre hosts da rede privada uma tima
soluo em termos de custos, mas, no em termos de privacidade, pois a Internet uma
rede pblica, onde os dados em trnsito podem ser lidos por qualquer equipamento. Ento
como fica a questo da segurana e a confidencialidade das informaes da empresa?
Criptografia! Essa a resposta! Com a incorporao da criptografia na comunicao entre
hosts da rede privada de forma que, se ocorrer de os dados serem capturados durante a
transmisso, no possam ser decifrados. Estes tneis virtuais habilitam o trfego dos dados
criptografados atravs da Internet e esses dispositivos, so capazes de entender os dados
criptografados formando uma rede virtual segura sobre a rede Internet. [1]

Estes dispositivos so responsveis pelo gerenciamento da VPN e deve ser capaz


de garantir a privacidade, integridade, autenticidade dos dados:
Privacidade dos dados: se houver interceptao dos dados durante sua
transmisso no podero ser decodificados.
Integridade dos dados: no podero sofre mudanas durante a transmisso alm
de no poderem ser decodificados.
Autenticidade: garantir que o dispositivo remoto o qual o tnel foi estabelecido um
dispositivo autorizado e no um equipamento qualquer.
Sua implementao se da por vrios dispositivos como: servidor de acesso remoto,
roteador, softwares instalados em servidores ou micros e/ou equipamentos especficos,
VPNs podem ser LAN-to-LAN (entre redes) ou Dial-VPN (acesso remoto).
VPN LAN-to-LAN utilizada para conectar redes corporativas, como, matriz e filial ou
empresa, cliente e fornecedor, fazendo se necessrio o uso de um dispositivo VPN em cada
site, onde eles podem ser servidores ou roteadores.
Dial-VPN o dispositivo VPN usado o mesmo da soluo LAN-to-LAN, mas o tipo de
dispositivo utilizado pelo usurio remoto instalado no servidor de acesso ao provedor no
qual ele se conecta ou no computador do usurio. [6]
Como Funciona?
Uma VPN pode ser elaborada de duas formas: A primeira um simples host em
trnsito que se conecta a provedor Internet e atravs dessa conexo, estabelece um tnel
com a rede remota. A figura 1 demonstra essa forma.

Figura 1 Tnel formado por uma conexo VPN


Figura disponvel em http://www.portalchapeco.com.br/~jackson/vpn.htm

A segunda forma de se elaborar uma VPN a interligao de duas redes atravs


de hosts com link dedicado ou discado via internet, formando assim um tnel entre as duas
redes. A figura 2 ilustra essa forma.

Figura 2 Conexo VPN entre duas redes interligadas.


Figura disponvel em http://www.portalchapeco.com.br/~jackson/vpn.htm

Os seguintes protocolos utilizados no tnel virtual, (IPSec) Internet Protocol Security,


(L2TP) Layer 2 Tunneling Protocol, (L2F) Layer 2 Forwarding e o (PPTP) Point-to-Point
Tunneling Protocol. O protocolo escolhido ser o responsvel pela conexo e a criptografia
entre os hosts da rede privada. Eles podem ser normalmente habilitados atravs de um
servidor Firewall ou RAS que esteja trabalhando com um deles agregado.
A figura 3 ilustra o caminho que os dados percorrem na arquitetura de rede do
Windows sobre uma conexo VPN usando um modem analgico.

Figura 3 Passos numa conexo usando PPTP.


Figura disponvel em http://www.portalchapeco.com.br/~jackson/vpn.htm

Um datagrama IP, IPX, ou NetBEUI submetido por seu protocolo apropriado


interface virtual que representa a conexo VPN, esta, usa o NDIS, que por sua vez, submete
o pacote ao NDISWAN que codifica ou comprime e submete ento ao protocolo PPTP, e
este, ao formar o pacote resultado, envia pela interface serial que usada pelo modem
analgico.
Uma VPN bem planejada pode trazer benefcios para a empresa. Por exemplo, ela pode:

Ampliar a rea de conectividade

Aumentar a segurana

Reduzir custos operacionais (em relao a uma rede WAN)

Reduzir tempo de locomoo e custo de transporte dos usurios remotos

Aumentar a produtividade

Simplificar a topologia da rede

Proporcionar melhores oportunidades de relacionamentos globais

Prover suporte ao usurio remoto externo

Prover compatibilidade de rede de dados de banda larga.

Prover retorno de investimento mais rpido do que a tradicional WAN

Quais recursos so necessrios para um projeto de rede VPN? Ele deve incorporar:

Segurana

Confiabilidade

Escalabilidade

Gerncia da rede

Gerncia de diretrizes. [8]

Protocolos Utilizados.
So responsveis pela abertura e gerenciamento de sesses de tneis em VPNs.
Eles podem ser divididos em dois grupos:
Protocolos de camada 2 (PPP sobre IP): transportam protocolos de camada 3,
utilizando quadros como unidade de troca. Os pacotes so encapsulados em quadros PPP;
Protocolos de camada 3 (IP sobre IP): encapsulam pacotes IP com cabealhos deste
mesmo protocolo antes de envi-los.
Tneis orientados camada 2 (enlace), um tnel similar a uma sesso, onde as
duas extremidades do tnel negociam a configurao dos parmetros para estabelecimento
do tnel (endereamento, criptografia, parmetros de compresso, etc.). A gerncia do tnel

realizada atravs de protocolos de manuteno. Nestes casos, necessrio que o tnel


seja criado, mantido e encerrado. Nas tecnologias de camada 3 (rede), no existe a fase de
manuteno do tnel.
Para tcnicas de tunelamento VPN Internet, quatro protocolos se destacaram, em
ordem de surgimento:

PPTP - Point to Point Tunneling Protocol;

L2F - Layer Two Forwarding;

L2TP - Layer Two Tunneling Protocol;

IPsec - IP Security Protocol.


O PPTP, o L2F e o L2TP so protocolos de camada 2 e tm sido utilizados para

solues Client-to-Lan; O IPsec um protocolo de camada 3 mais enfocado em solues


LAN-to-LAN. [6]

PPTP Point to-Point Tunneling Protocol


O Protocolo de Tunelamento Ponto-a-Ponto (PPTP), desenvolvido por um frum de
empresas (Microsoft, Ascend Communications, 3Com, ECI Telematics e US Robotics), foi
um dos primeiros protocolos de VPN a surgirem. Ele tem sido uma soluo muito utilizada
em VPN discadas desde que a Microsoft incluiu suporte para Servidores Windows NT 4.0 e
ofereceu um cliente PPTP num service pack para Windows 95, o que praticamente assegura
seu uso continuado nos prximos anos.
O protocolo mais difundido para acesso remoto na Internet o PPP (Point-to-Point
Protocol), o qual originou o PPTP. O PPTP agrega a funcionalidade do PPP para que o
acesso remoto seja tunelado atravs da Internet para um site de destino. O PPTP encapsula
pacotes PPP usando uma verso modificada do protocolo de encapsulamento genrico de
roteamento (GRE), que d ao PPTP a flexibilidade de lidar com outros tipos de protocolos
diferentes do IP, como o IPX e o NetBEUI.
Devido a sua dependncia do PPP, o PPTP se baseia nos mecanismos de
autenticao do PPP, os protocolos PAP e CHAP.
Entretanto, este protocolo apresenta algumas limitaes, tais como no prover uma
forte criptografia para proteo de dados e no suportar qualquer mtodo de autenticao
de usurio atravs de token.
Numa conexo PPTP, existem trs elementos envolvidos: o Cliente PPTP, o
Servidor de Acesso a Rede (NAS - Network Acess Server) e o Servidor PPTP.

O cliente se conecta a um NAS, atravs de um PoP em um ISP local. Uma vez


conectado, o cliente pode enviar e receber pacotes via Internet. O NAS utiliza TCP/IP para
todo o trfego de Internet. [6]
Depois de o cliente ter feito conexo PPP inicial com o ISP, uma segunda chamada
dial-up realizada sobre a conexo PPP existente. Os dados desta segunda conexo so
enviados na forma de datagramas IP que contm pacotes PPP encapsulados. esta
segunda conexo que cria o tnel com o servidor PPTP nas imediaes da LAN corporativa
privada. O esquema desta conexo pode ser visualizado a seguir:

Figura 4 Criao do tnel PPTP nas imediaes da LAN.


Figura disponvel em http://www.abusar.org/vpn/vpnport.htm

Layer Two Forwarding (L2F)


O Protocolo de Encaminhamento de Camada 2 (L2F), desenvolvido pela Cisco
Systems, surgiu nos primeiros estgios da criao da tecnologia VPN. Assim como o PPTP,
o L2F foi desenvolvido para criao de tneis em trfegos de usurios para suas redes
corporativas.
Uma grande diferena entre o PPTP e o L2F a de que este ltimo no possui
tunelamento dependente do IP, sendo capaz de trabalhar diretamente com outros meios,
como Frame Relay e ATM. Tal qual o PPTP, o L2F usa o PPP (Point-to-Point Protocol) para
autenticao de usurios remotos, mas pode incluir tambm suporte para autenticao via
RADIUS. Outra grande diferena com o PPTP a de que o L2F permite que os tneis
possam dar conta de mais de uma conexo.
H tambm dois nveis de autenticao do usurio: uma pelo ISP antes do
estabelecimento do tnel e outra quando a conexo efetuada no gateway da corporao.

Pelo fato de ser um protocolo de camada 2, o L2F oferece aos usurios mesma
flexibilidade que o PPTP em lidar com outros protocolos diferentes do IP, tais como IPX e
NetBEUI.
Quando um usurio deseja se conectar ao gateway da intranet corporativa, ele
primeiro estabelece uma conexo PPP com o NAS do ISP. A partir da, o NAS estabelece
um tnel L2F com o gateway. Finalmente, o gateway autentica o nome de usurio e senha
do cliente, e estabelece a conexo PPP com o cliente.
A figura a seguir mostra como funciona o tunelamento com L2F. O NAS (Servidor de
Acesso a Rede) do ISP local e o gateway da Intranet estabelecem um tnel L2F que o NAS
utiliza para encaminhar os pacotes PPP at o gateway. A VPN de acesso se estende desde
o cliente at o gateway.

Figura 5 Tunelamento utilizando L2F.


Figura disponvel em http://www.abusar.org/vpn/vpnport.htm

A autenticao feita quando uma sesso VPN - L2F estabelecida, o cliente, o


NAS e o gateway da intranet usam um sistema triplo de autenticao via CHAP (Challenge
Handshake Authentication Protocol). O CHAP um protocolo de autenticao por
contestao/resposta na qual a senha enviada como uma assinatura de 64 bits ao invs
de texto simples. Isto possibilita a transmisso segura da senha do usurio entre a estao
do cliente e o gateway de destino.
Primeiro, o NAS contesta o cliente e o cliente responde. Em seguida, o NAS
encaminha esta informao de CHAP para o gateway, que verifica a resposta do cliente e

devolve uma terceira mensagem de CHAP (sucesso ou fracasso na autorizao) para o


cliente. [6]

Layer Two Tunneling Protocol L2TP


O Protocolo de Tunelamento de Camada 2 (L2TP) vem sendo desenvolvido pela
IETF como um substituto aparente para o PPTP e o L2F, corrigindo as deficincias destes
antigos protocolos para se tornar um padro oficial internet. Ele utiliza o PPP para prover
acesso dial-up que pode ser tunelado atravs da Internet at um Site. Porm, o L2TP
define seu prprio protocolo de tunelamento, baseado no que foi feito com o L2F. Seu
transporte vem sendo definido para uma variedade de pacotes, incluindo X.25, Frame Relay
e ATM. Para fortalecer a criptografia dos dados, so utilizados os mtodos de criptografia do
IPsec.
O L2TP opera de forma similar ao L2F. Um Concentrador de Acesso L2TP (LAC)
localizado no PoP do ISP troca mensagens PPP com usurios remotos e se comunica por
meio de requisies e respostas L2TP com o Servidor de Rede L2TP (LNS) para criao de
tneis. O L2TP passa os pacotes atravs do tnel virtual entre as extremidades da conexo
ponto-a-ponto. Os quadros enviados pelo usurio so aceitos pelo PoP do ISP,
encapsulados em pacotes L2TP e encaminhados pelo tnel. No gateway de destino, os
quadros L2TP so desencapsulados e os pacotes originais so processados para a
interface apropriada. O L2TP utiliza dois tipos de mensagem: mensagens de controle e
mensagens de dados. As mensagens de controle so usadas para gerenciar, manter e
excluir tneis e chamadas. As mensagens de dados so usadas para encapsular os pacotes
PPP a serem transmitidos dentro do tnel. As mensagens de controle utilizam um confivel
canal de controle para garantir entrega das mensagens.
Devido ao uso do PPP para links dial-up, o L2TP inclui mecanismos de autenticao
dentro do PPP. Outros sistemas de autenticao tambm podem ser usados, como o
RADIUS. O L2TP no inclui processos para gerenciamento de chaves criptogrficas
exigidas para a criptografia em suas especificaes de protocolo. Para dar conta disso, O
L2TP faz uso do IPsec para criptografia e gerenciamento de chaves em ambiente IP.[6]

Figura 6 Arquitetura L2TP


Figura disponvel em: http://www.abusar.org/vpn/vpnport.htm

Security Protocol IPSEC

O Protoc olo de Segurana IP (IPSec) atualmente um dos protocolo mais


importante para VPNs. O IPsec vem sendo desenvolvido h anos pelo IETF como um forte
recurso do IPv6, porm, muitas de suas caractersticas esto sendo aproveitadas ainda no
IPv4.
O IPSec um protocolo de camada 3 projetado essencialmente para oferecer
transferncia segura de informaes pela Internet pblica. Realizando funes de segurana
de dados como criptografia, autenticao e integridade, O IPsec protege os pacotes IP de
dados privados e os encapsula em outros pacotes IP para serem transmitidos. Alm disso, o
IPsec tambm realiza a funo de gerenciamento de chaves.
O IPsec pode operar de duas formas: no modo de transporte e no modo de tnel. No
modo de transporte, que o seu modo "nativo", o IPsec transmite diretamente os dados
protegidos de host para host. Este modo utilizado em dispositivos que j incorporam o
IPsec em sua pilha TCP/IP.
No modo tnel, o trfego IP gerado pelos hosts, estes sem suporte ao IPsec, so
capturados por um dispositivo de segurana ou um gateway que encapsulam os pacotes IP
com encriptao IPsec. Estes pacotes encriptados so encapsulados novamente em
pacotes IP e finalmente enviados pela rede pblica at o outro gateway, que se encarregar

de desencapsular e desencriptar a informao para que ela possa ser recebida no host de
destino.
Os requisitos de segurana necessrios em relao aos usurios que acessam sua
rede e aos dados que trafegam entre os diversos ns so:

Autenticao;

Controle de Acesso;

Confidencialidade;

Integridade de Dados.

A autenticao dos usurios permite ao sistema enxergar se a origem dos dados faz
parte da comunidade que pode exercer acesso rede.
O controle de acesso visa negar acesso a um usurio que no est autorizado a
acessar a rede como um todo, ou simplesmente restringir o acesso de usurios. Por
exemplo, se uma empresa possui reas como administrativo-financeira e desenvolvimento
de produtos, correto imaginar que um funcionrio de uma diviso no deva acessar e
possivelmente obter dados da rede da outra diviso.
A confidencialidade visa prevenir que os dados sejam lidos e/ou copiados durante a
travessia pela rede pblica. Desta forma, pode-se garantir uma maior privacidade das
comunicaes dentro da rede virtual.
A integridade de dados garante que os dados no sero adulterados durante a
travessia pela rede pblica. Os dados podem ser corrompidos ou vrus podem ser
implantados com o fim de dificultar a comunicao.
Os habilitadores das tecnologias de segurana so de conhecimento comum e so
apresentados abaixo.

CHAP - Challenge Handshake Authentication Protocol;

RADIUS - Remote Authentication Dial-in User Service;

Certificados digitais;

Encriptao de Dados.

Os trs primeiros visam autenticar usurios e controlar o acesso rede. O ltimo


visa prover confidencialidade e integridade aos dados transmitidos. Para prover estas
caractersticas, o IPSec faz uso de 3 mecanismos adicionais:

AH - Authentication Header;

ESP - Encapsulation Security Payload;

ISAKMP - Internet Security Association and Key Management Protocol. [6]

Autenticao e Integridade

Entende-se por autenticao garantir a legitimidade do usurio que utiliza a conexo.


A integridade caracteriza-se por garantir que os dados transmitidos cheguem ntegros no
receptor, sem a possibilidade de terem sido alterados durante sua travessia.
Para prover estes dois requisitos nos datagrama IP, utilizado o AH (Authentication
Header ou Cabealho de Autenticao). Neste mecanismo, a segurana garantida com a
incluso de informaes de autenticao, construdas atravs de um algoritmo que utiliza o
contedo dos campos do datagrama IP. Para a construo destas informaes, todos os
campos do datagrama IP so utilizados, com exceo daqueles que no sofrem alteraes
durante o transporte.
O ISAKMP um protocolo que combina autenticao, gerenciamento de chaves e
outros requisitos de segurana necessrios s comunicaes privadas numa VPN Internet.
Neste mecanismo, duas mquinas em uma conexo negociam os mtodos de autenticao
e segurana dos dados, executam a autenticao mtua e geram a chave para criptografia
dos dados. Alm disso, este protocolo tambm gerencia a troca de chaves criptografadas
utilizadas para decifrar os dados e define procedimentos e formatos de pacotes para
estabelecer,

negociar,

modificar

excluir

as

SAs

(Security

Associations).

Essas Associaes de Segurana contm todas as informaes necessrias para


execuo de servios variados de segurana na rede, tais como servios da camada IP
(autenticao de cabealho e encapsulamento), servios das camadas de transporte, ou
servio de auto-proteo durante a negociao do trfego. Elas Tambm definem pacotes
para gerao de chaves e autenticao de dados. Esses formatos provm consistncia para
a transferncia de chaves e autenticao de dados que independem da tcnica usada na
gerao da chave, do algoritmo de criptografia e do mecanismo de autenticao.
O ISAKMP oferece suporte para protocolos de segurana em todas as camadas da pilha
da rede. Com a centralizao do gerenciamento dos SAs, o ISAKMP minimiza as
redundncias funcionais dentro de cada protocolo de segurana e tambm pode reduzir o
tempo gasto durante as conexes atravs da negociao da pilha completa de servios de
uma s vez. [7]

Vantagens para as Vpns.


A vantagem de se tornar padro o uso do IPSec que ele gerencia virtualmente a
segurana da VPN, sem a necessidade de mais gerencia do administrador, sendo no
entanto a criptografia gerada pelo roteador.
O IPSec possui padro aberto, sendo muito isso muito importante para sua
proliferao em VPNs. O IPSec responsvel por criar o meio VPN, onde o usurio no
precisa se preocupar que tipo de equipamento utilizado, pois sua interoperabilidade
inerente aos produtos. [7]
Criptografia
A criptografia implementada por um conjunto de mtodos de tratamento e
transformao dos dados que sero transmitidos pela rede pblica. Um conjunto de regras
aplicado sobre os dados, empregando uma seqncia de bits (chave) como padro a ser
utilizado na criptografia. Partindo dos dados que sero transmitidos, o objetivo criar uma
seqncia de dados que no possa ser entendida por terceiros, que no faam parte da
VPN, sendo que apenas o verdadeiro destinatrio dos dados deve ser capaz de recuperar
os dados originais fazendo uso de uma chave.
So chamadas de Chave Simtrica e de Chave Assimtrica as tecnologias utilizadas
para criptografar dados. [4]

Chave Simtrica ou Chave Privada


Tcnica onde se utiliza a mesma chave para criptografar e decriptografar os dados
fundamental manter esta chave em segredo para a eficcia do processo.

Chave Assimtrica ou Chave Pblica


Tcnica utilizada para criptografia, onde as chaves utilizadas para criptografar e
decriptografar so diferentes, mas, no entanto relacionadas. A chave que se utiliza para
criptografar os dados formada por duas partes, uma pblica e a outra privada, por
exemplo, uma mensagem cifrada com a chave pblica pode somente ser decifrada pela sua
chave privada correspondente. Do mesmo modo, uma mensagem cifrada com a chave
privada pode somente ser decifrada pela sua chave publica correspondente.

Algoritmos para Criptografia


DES - Data Encryption Standard
um padro de criptografia simtrica, adotada pelo governo dos EUA em 1977.
O DES utiliza chaves simtricas de 56 bits para encriptar blocos de 64 bits de dados.
Apesar de este mtodo fornecer mais de 72.000 trilhes de possveis combinaes de
chaves, que levariam pelo menos 10 anos para que um computador comum rodasse todas
estas combinaes, utilizando-se um conjunto de mquinas podem quebr-lo em menos de
um minuto. [3]
Triple -DES
O Triple-DES uma variao do algoritmo DES, sendo que o processo tem trs
fases: A seqncia criptografada, sendo em seguida decriptografada com uma chave
errada, e novamente criptografada. [3]

Aplicaes VPN
Acesso remoto
Profissionais de negcios que viajam freqentemente ou que trabalham em casa
utilizam VPN para acessar a rede interna da empresa e realizar suas tarefas. No importa
onde eles esto os acessos seguro empresa est a apenas uma ligao telefnica para
um ISP. Esta soluo tambm til para os casos em que importantes funcionrios da
empresa precisam estar longe por um bom perodo de tempo. [3]
Acesso remoto aps as VPNs.
Usurios remotos podem estabelecer conexes discadas para ISP locais, e
conectar, via Internet, a um servidor VPN na sede da empresa. Utilizando as conexes
rpidas existentes atualmente (DSL ou a cabo), colaboradores podem acessar os recursos
corporativos em velocidades maiores do que 500 kbps. Na maior parte das vezes, isto
como se o funcionrio estivesse dentro da sede da empresa, permitindo um trabalho rpido
e eficiente.
Neste tipo de aplicao, os benefcios proporcionados pela VPN incluem a
substituio das ligaes de longa distncia ou servios 0800, a eliminao da necessidade
de Servidores de Acesso Remoto modens, e o acesso a todos os dados e aplicativos da
empresa (no somente e-mail e servidores de transferncia de arquivos). Estudos mostram

que as economias geradas nas ligaes de longa distncia pagam os custos de instalao
da VPN em alguns meses, o que seguido pela diminuio recorrente das despesas. [3]

Beneficio para Empresas


Empresas que utilizam VPN mostram uma reduo nos gatos de at 60% com
relao a empresas que utilizam redes privadas dedicadas.
Corporaes que utilizam VPN permitem que elas possam:

Eliminar gastos com linhas alugadas de longa distancia, j que a infraestrutura utilizada a rede pblica internet, sendo assim, torna-se
desnecessrio manter WANs com linhas dedicadas .

Eliminao de gastos com chamadas de longa distancia para modens e


equipamentos de acesso ISDN.

Eliminar desperdcio de largura de banda em linhas dedicadas de alta


capacidade, pagando-se somente o que utilizado, e caso a banda se torne
insuficiente basta requisitar aumento ao provedor.

Alem dos benefcios econmicos citados acima, o uso de VPN oferece tambm
vantagens tcnicas por disponibilizar servios robustos infra-estrutura de internet.
Podendo citar como vantagens:

Acessibilidade: devida presena de ISPs em qualquer localidade cria-se uma


cobertura de rede a nvel mundial.

Throughput: aumento de fluidez devido diminuio de rudos na linha com


acesso local.

Garante-se confiabilidade extremo a extremo da conexo: devido redundncia


e a tolerncia falhas.

Facilidade de treinamento: devido a sua familiaridade com o usurio.

Alem de proporcionar acesso remoto atravs de um provedor de internet, com


diminuio considervel nos custos de manuteno e suporte. [6]

Concluso
Por se utilizar da infra-estrutura da Internet para interligar redes privadas, utilizar
criptografia e garantir atravs de seus protocolos de tunelamento sigilo dos dados que so
trafegados diariamente na rede, alm de sua implementao ser mais barata do que adquirir
servios de redes de operadoras de telecomunicaes, a VPN vem sendo cada vez mais
utilizada pelas corporaes, sejam elas de grande ou mdio porte.
Uma soluo VPN capaz de estimular e impulsionar o desenvolvimento tecnolgico
alm de possuir benefcios econmicos e tcnicos pelo seu uso.

Referncias:
[1] O que VPN? Disponvel em:
http://www.portalchapeco.com.br/~jackson/vpn.htm. Acessado em 06/04/2006. Internet.
[2] Como funciona a VPN? Disponvel em
http://www.clubedasredes.eti.br/rede0004.htm. Acessado em 06/04/2006. Internet.
Chin, Liou Kuo, Rede Privada Virtual VPN. Disponvel em
http://www.rnp.br/newsgen/9811/vpn.html#ng-introducao. Acessado em 04/04/2006. Internet.
[3] Eduardo Rapoport VPN - Virtual Private Network
Rede Privada Virtual. Departamento de Engenharia Eletrnica e de Computao (DEL)
Escola Politcnica/Universidade Federal do Rio de Janeiro Julho/2003. Disponvel em
http://www.gta.ufrj.br/~rezende/cursos/eel879/trabalhos/vpn/. Acessado em 06/05/2007.
Internet.
[4] Ivana Cardial de Miranda VPN - Virtual Private Network
Rede Privada Virtual. Disponvel em
http://www.gta.ufrj.br/~ivana/VPN_Ivana.htm. Acessado em 06/05/2007. Internet.
[5] Luiz Carlos dos Santos. (06/2000). Disponvel em
http://www.abusar.org/como_func.html. Revisado em (31/01/2001). Acessado em
06/05/2007. Internet.
[6] Virtual Private NetWork. Disponvel em
www.esab.edu.br/jornal/cabecalho_mono.cfm?target=monografias/VPN%20%20Virtual%20Private%20Network/vpn.htm. Acessado em 06/05/2007. Internet

[7] Ana Paula Cossich Pereira Zanaroli, Maria Beatriz Marques Fiuza Lima, Rodrigo de
Arajo Lima Rangel. VPN - Virtual Private Networks Seminrio da Disciplina de Redes
Locais de Computadores 9 Perodo de Engenharia de Telecomunicaes Novembro/2000.
Disponvel em
http://www.abusar.org/vpn/vpnport.htm . Acessado em 06/05/2007. Internet
[8] Jeff Tyson - traduzido por HowStuffWorks Brasil, Como funciona uma VPN? O que faz
uma VPN? Disponivel em: http://informatica.hsw.uol.com.br/vpn1.htm Acessado em
06/205/2007. Internet

Glossrio
Backbone: conexo de alta velocidade que funciona como a espinha dorsal de uma rede de
comunicao, transportando os dados reunidos pelas redes menores que esto a ela
conectados. Localmente, o BACKBONE uma linha - ou conjunto de linhas - qual as
redes locais se conectam para formar uma WAN (Wide Area Network). Na internet ou em
outras WANs, o BACKBONE um conjunto de linhas com as quais as redes locais ou
regionais se comunicam para interligaes de longa distncia.
DES: Data Encryption Standar, algoritmo de chave secreta desenvolvido pela IBM e
submetido ao governo dos EUA como parte do programa Fed-Std-1027. Aprovado para
transaes do governo dos EUA, pode ser usado em transaes conforme a FIPS-140-1.
amplamente utilizado no mercado financeiro.
Extranet: so redes integradas por organizaes que utilizam a rede pblica Internet para o
intercmbio de informao reservada.
Frame Relay: protocolo de transmisso de dados em rede que trafega quadros (FRAMEs)
ou pacotes em alta velocidade (at 1,5 Mbps), com um atraso mnimo e uma utilizao
eficiente da largura de banda.
Gateway: Computador ou material dedicado que serve para interligar duas ou mais redes
que usem protocolos de comunicao internos diferentes, ou, computador que interliga uma
rede local Internet (, portanto o n de sada para a Internet). 1. Sistema que possibilita o
intercmbio de servios entre redes com tecnologias completamente distintas, como
BITNET e INTERNET; 2. Sistema e convenes de interconexo entre duas redes de
mesmo nvel e idntica tecnologia, mas sob administraes distintas. 3 Roteador
(terminologia TCP/IP).
LAN (Local Area Network): Rede de computadores local limitada a curtas distncias.
Link: Conexo estabelecida entre dois pontos de uma rede de comunicao. Diz-se que o
LINK est estabelecido quando as duas pontas esto efetivamente conectadas, o que pode
ser indicado por uma luz de controle (LED) no aparelho de rede. Em broadcasting, o termo
usado para representar a transmisso entre unidades mveis e a sede da emissora, ou
entre a conexo estabelecida com satlites e estaes terrestres para a gerao, por
exemplo, de eventos ao vivo. Na web, LINK o endereo para outro documento no mesmo
servidor ou em outro servidor remoto.
Modem (Modulator/Demodulator): Dispositivo eletrnico que converte os sinais enviados
pelo computador em sinais de udio, que sero enviados ao longo das linhas telefnicas e
recebidos por outro MODEM que ir receber o sinal sonoro e convert-lo de volta em sinais

de computador. O MODEM tambm disca a linha, responde a uma chamada e controla a


velocidade de transmisso. A velocidade do MODEM medida em bits por segundo (bps).
TCP/IP: Transmission Control Protocol/Internet Protocol, protocolos de comunicao bsicos
da internet, utilizados tambm na implementao de redes privativas como intranets e
extranets. E composto de dois nveis. O nvel mais elevado o de controle de transmisso.
Ele gerencia a reunio de mensagens e arquivos em pacotes e vice-versa. O segundo cuida
da parte de endereamento dos pacotes, de modo que cheguem ao lugar de destino.
TripleDES: 3 Data Encryption Standard, algoritmo de encriptao de chave secreta,
desenvolvido pela IBM e submetido ao governo dos EUA como parte do programa Ted-Std1027. Aprovado para transaes do governo dos EUA, amplamente utilizado pela rea de
segurana de redes.
WAN (Wide Area Network): Qualquer rede que cubra uma rea maior que um nico prdio.
WAN uma rede privada de computadores que utiliza linhas dedicadas para conectar
computadores que no se encontram perto fisicamente.