1. Objetivo
O objetivo deste artigo é descrever alguns modelos de utilização nos projetos de TI a segurança da VPN – Virtual Private Network e esclarecer o que seria uma comunicação dos dados com confidencialidade, autenticação e integridade necessárias para garantir a privacidade das comunicações sem que haja problemas de invasões na sua rede, principalmente quando você vai interagir com outros sistemas externos.
Com a introdução desta forma de comunicação na sua REDE, a VPN passa a ter o protocolo assegurado nas comunicações seguras através de uma rede insegura.
2. VPN
Virtual Private Network (Rede Privada Virtual) – VPN é uma rede privada construída usando a infraestrutura de uma rede pública. Através de uma rede pública, geralmente a Internet, é possível interligar redes privadas distintas ou até mesmos computadores únicos e criar uma rede particular através de “túneis virtuais” por onde trafega a informação. As redes VPN’s têm a vantagem do custo reduzido em relação a uma rede com links dedicados, WAN, principalmente quando as distâncias físicas entre os pontos da rede são grandes, entretanto, por usar uma rede pública na sua infra-estrutura os dados podem ser visualizados por qualquer computador da rede pública. Par
a manter a privacidade e segurança em uma VPN, utiliza-se criptografia, a qual garante a segurança dos dados transmitidos. Através do uso de criptografia os dados podem trafegar com segurança pela rede. Além da vantagem financeira, as VPN’s podem ser facilmente expandidas, sem gastos adicionais com infra-estrutura, além do suporte a computadores móveis.
2.1 Aplicações para redes privadas virtuais – Acesso Remoto Via Internet.
O acesso remoto a redes corporativas através da Internet pode ser viabilizado com a VPN através da ligação local a algum provedor de acesso (Internet Service Provider – ISP). A estação remota disca para o provedor de acesso, conectando-se à Internet e o software de VPN cria uma rede virtual privada entre o usuário remoto e o servidor de VPN corporativo através da Internet. Conforme ilustrado na figura 1.
2.2 Aplicações para redes privadas virtuais – Conexão de WAN
São conexões entre LANs através de circuitos dedicados de longa distância interligados. O software de VPN assegura esta interconexão formando a WAN corporativa. Pode-se também ser utilizados em circuito de acesso remoto em uma das pontas, devendo a WAN corporativa estar, preferencialmente, conectada via circuito dedicado local. Conforme ilustrado na figura 2.
2.3 Aplicações para redes privadas virtuais – Conexão de Computadores Numa Intranet.
Em algumas organizações, existem dados confidenciais cujo acesso é restrito a um pequeno grupo de usuários. Nestas situações, redes locais departamentais são implementadas fisicamente separadas da LAN corporativa. Esta solução, apesar de garantir a “confidencialidade” das informações, cria dificuldades de acesso a dados da rede corporativa por parte dos departamentos isolados.
As VPNs possibilitam a conexão física entre redes locais, restringindo acessos indesejados através da inserção de um servidor VPN entre elas. Observe que o servidor VPN não irá atuar como um roteador entre a rede departamental e o resto da rede corporativa uma vez que o roteador possibilitaria a conexão entre as duas redes permitindo o acesso de qualquer usuário à rede departamental sensitiva. Com o uso da VPN o administrador da rede pode definir quais usuários estarão credenciados a atravessar o servidor VPN e acessar os recursos da rede departamental restrita. Adicionalmente, toda comunicação ao longo da VPN pode ser criptografada assegurando a “confidencialidade” das informações. Os demais usuários não credenciados sequer enxergarão a rede departamental. Conforme ilustrado na figura 3.
2.4 Segurança
O principal problema das VPN’s é a segurança. Segundo Monteiro (2002), os principais aspectos da segurança são:
• Autenticidade: Verifica se quem recebe ou envia a informação tem autorização para fazê-lo;
• Confidencialidade: Protege as informações através do uso de criptografia;
• Integridade: Assegura que os dados não se alterem durante o tráfego;
• Controle de acesso: Restringe o acesso a pessoas autorizadas;
• Disponibilidade: Mantém os dados sempre disponíveis;
• Não-repúdio: Impede que algum envolvido na transação negue sua participação no evento.
Além dos ataques de hackers e crackers, uma rede está sujeita a vandalismos realizados por membros desta, sendo assim muito importante dispor de uma boa segurança. Dentre os métodos de segurança possíveis estão criptografia e o uso de Firewall.
2.5 Tipos de VPN
• IPSec (IP Security)
Protocolo que opera ao nível de network do modelo OSI
Há dois modos de IPSec, Transporte e Túnel :
No modo de transporte apenas parte do pacote IP é criptografado
– No modo Túnel todo o pacote é criptografado, sendo encasulado em outro pacote IP para trafegar na rede, este modo é utilizado em VPN’s
– Cabeçalho: parte do pacote que contém a assinatura digital, proporciona autenticidade e integridade dos dados
– ESP: proporciona confidencialidade, integridade da mensagem e alguns algoritmos de criptografia.
• SSL/TLS
-Transport Layer Security
– Protocolo de criptografia que proporciona comunicação segura na internet
– TSL proporciona privacidade e autenticidade
– SSL foi lançado em 1996 e deu origem ao TSL em Janeiro de 1999
• OpenVPN
– Criado por James Yonan, utiliza a biblioteca de OpenSSL para criptografia, também pode utilizar pacotes HMAC para maiores níveis de segurança
– Utiliza SSL/TSL e não é compatível com IPSec
– Geralmente utiliza protocolos comuns de rede (TCP e UDP)
• PPTP (Point-to-Point Tunneling Protocol)
– É um método utilizado para implementer VPN’s
– Conexões PPTP são autenticadas com Microsoft MSCHAP-v2 ou EAP-TSL
– Foi primeiramente implementada pela Cisco e depois vendida para a Microsoft
– É um dos protocolos mais populares, devido à sua facilidade de configuração e compatibilidade com conexões dial-up do Windows
– É utilizada em VPN’s desde o Windows 95
• L2TP (Layer 2 Tunneling Protocol)
– Protocolo de tunelamento utilizado emVPN’s
– Publicado em 1999
– Usado para o tráfego tunelado entre dois computadores de uma rede, geralmente a Internet
– Por sua falta de segurança, o L2TP geralmente é utilizado com IPSec
– L2TP é muito usado para tunelamentos com pontos finais em redes ADSL
• L2TPv3 (Layer 2 Tunneling Protocol versão 3)
– Também utilizado em CPN’s
– Semelhante ao L2TP, com algumas modificações
• VPN-Q
– Usada para ataques
– Usada em tarefas administrativas
– Não é utilizada como rede
• MPVPN (Multi Path Virtual Private Network)
– Marca registrada possuida pela Ragula Systems Development Company
• Trusted VPN’s
– Não usam protocolos de tunelamento criptografado
– A segurança depende do provedor da rede
– MPLS (Multi-Protocol Label Switching
3. Criptografia
O único método disponível que oferece proteção tanto no armazenamento, quanto no transporte de informações por uma rede pública ou pela Internet, é a criptografia.
A criptografia é tão antiga quanto à própria escrita. Foi depois da segunda Guerra Mundial, que ela começou a crescer e hoje em dia e largamente usada. A criptografia formou a base para a computação moderna. Quando se fala sobre criptografia, fala-se também sobre chaves, pois elas são quem fecham e abrem a criptografia dos dados, existem dois métodos para se trabalhar com chaves criptográficas, eles são:
3.1 Criptografia de chaves simétricas
Esse método, conhecido também como criptografia tradicional, funciona bem em aplicações limitadas, onde o remetente e o destinatário se preparam antecipadamente para o uso da chave. Para que esse método funcione, todas as pessoas envolvidas devem conhecer a chave, pois quando uma mensagem criptografada chega à caixa de entrada, ela só pode ser aberta por quem possui a chave.
Esse método não é muito eficiente em conexões inseguras, no entanto, quando é utilizada sobre conexões segura a criptografia simétrica se torna bem eficiente.
Existem vários algoritmos de chaves simétricas, entre elas estão às seguintes:
3.2 DES (Data Encryption Standard). O DES utiliza uma chave de 56 bits e opera em blocos de 64 bits. Foi projetado inicialmente para ser utilizado em componentes de hardware, nos dias atuais, ele é usado na Internet em conexões Web segura, pois o SSL se utiliza do DES. Ele é um algoritmo seguro para a maioria das aplicações, entretanto, em aplicações altamente secretas, ele não deve ser usado, pois existe o perigo de violação.
3.3 RC2 e RC4. Mais rápido do que o DES, esses códigos podem se tornar mais seguros com o simples aumento do tamanho das chaves, O RC2 pode substituir perfeitamente o DES com a vantagem de ser 2 vezes mais rápido, já o RC4 fica 10 vezes mais rápido.
3.4 IDEA (International Data Encryption Algorithm). Criado em 1991. Ele foi projetado para ser facilmente programado, é forte e resistente a muitas formas de criptoanálise.
Figura 4 – chave assimétrica
A soma da mensagem mais chave gera uma mensagem criptografada, após a geração, ela é enviada através da rede, e ao chegar ao lado oposto, ela é descriptografada através da chave que está no destino. Conclusão, como vantagens têm, o fato de ser facilmente implementado em hardware além da rapidez, e como desvantagem o fato de que as chaves são iguais, é de difícil distribuição, além de não aceitar a assinatura digital.
3.5 Criptografia de chaves assimétricas
A criptografia de chave pública ou criptografia assimétrica foi criada em 1970. Esse método funciona com uma chave para criptografar, e outra para descriptografar a mesma mensagem. No sistema de chave pública, cada pessoa tem que ter duas chaves, uma que fica publicamente disponível, e outra, que deve ser mantida em segredo. O algoritmo que se mantém até hoje é o RSA, que é patenteado pela RSADSI (RSA Data Security Incorporated) nos Estados Unidos. Para entender como funciona, observe a figura 5 abaixo:
Figura 5 – criptografia assimétrica
As pessoas (A) e (C), escrevem mensagens, utilizando a chave pública da pessoa (B), note que, a partir desse momento somente ela, poderá ler as mensagens; As mensagens são enviadas a pessoa (B) através da Internet; A pessoa (B), recebe as mensagens de (A) e (C), na qual ela usa a chave privada para descriptografar; A pessoa (B), lê as mensagens, e se, tiver que respondê-las, deverá usar as chaves públicas de criptografia de (A) e ou (C). Nesse momento, é importante enfatizar que o sigilo da chave privada é muito importante, pois, a criptografia assimétrica, se baseia no fato de que a chave privada, é realmente privada, por isso, somente seu detentor deve ter acesso.
3.6 Assinatura digital
Se a chave privada for usada para escrita, o sentido das chaves acaba sendo outro, pois, todos que tem a chave pública vão conseguir ler essa mensagem, entretanto, somente quem tem a chave privada vai conseguir escrever, logo, a mensagem deixa de ser secreta, e se torna uma mensagem autêntica, a isso, chamamos de mensagem com Assinatura Digital. Assinatura digital + Criptografia assimétrica. Nesse método, temos certeza de que a pessoa que nos enviou a mensagem é realmente ela, pois, usamos sua chave pública para abrir a mensagem, entretanto, precisamos da nossa chave privada, para abrir o texto que está dentro da mensagem, sendo assim, obtivemos um nível de proteção excelente. Conclusão, como vantagens têm, utilização de chaves distintas, integridade, fácil distribuição e a assinatura digital, e como desvantagem à lentidão.
4. CONCLUSÃO
A utilização da VPN nas empresas é uma realidade e a sua implementação dos protocolos podem assegurar comunicações seguras através de redes inseguras.
As interligações nas suas bases operacionais através de um VPN na internet geram um custo insignificantes na sua implementação e manutenção.
Por este motivo muitos sistemas de comunicação estão sendo substituídos por uma VPN, que além do baixo custo e oferecer uma alta confiabilidade, integridade e disponibilidade dos dados trafegados.
Sistemas de comunicação por VPN estão sendo amplamente utilizados em diversos setores, até mesmo os setores governamentais no mundo inteiro utilizam este recurso, pois oferecem absoluta segurança e muita confiabilidade.
REFERÊNCIAS BIBLIOGRÁFICAS
FOROUZAN, Behrouz A.. Comunicação de Dados e Redes de Computadores – 3ª Ed. São Paulo. BOOKMAN, 2006.
http://pt.wikipedia.org/wiki/Virtual_Private_Network, acessado em 10/02/201