16 - Prática de configuração de VPN

Acesso Remoto para VPN

A tecnologia VPN permite a rede segura privada através de infra-estruturas de rede pública. Isso é feito através da tecnologia que permite que os dispositivos VPN autentiquem sua identidade, verifiquem a integridade dos dados enviados e recebidos e, opcionalmente, garantem a confidencialidade dos dados por meio de criptografia.

As VPNs de hoje são baseadas nos padrões ISAKMP (Internet Security Association e Key Management Protocol) e IPSec (Internet Protocol Security).

Uma associação de segurança é criada quando dois dispositivos VPN decidem o que algoritmos e chaves são usados para troca, autenticação e criptografar dados. Geralmente, ao falar sobre ISAKMP e IPSec juntos, existem duas associações de segurança iniciais que ocorrem – o autenticação dos dispositivos e operações IPSec.

IPSec é um conjunto de protocolos usados na camada de rede para proteger dados. IPSec consiste em dois protocolos, cabeçalho de autenticação (AH) e encapsulamento Carga útil de segurança (ESP)

O AH fornece proteção, colocando-se nos dados do cabeçalho. O cabeçalho de autenticação é usado para validar a integridade do pacote, bem como para validar a origem do pacote. O AH também pode impedir ataques de repetição, onde uma sessão capturada de dados é repetida em um serviço host. O protocolo AH usa um algoritmo de hash para fornecer integridade a esses dados. Usando AH, o ao ponto de recebimento pode ter certeza de que as informações do cabeçalho são válidas e originárias da fonte sem intervenção. AH pode ser usado sozinho para fornecer tráfego autenticado ou em combinação com o ESP para fornecer dados criptografados.

O ESP é o outro protocolo no conjunto IPSec. O ESP é usado para criptografar a carga útil ou dados em um datagrama IP para fornecer confidencialidade dos dados. Ele encapsula o datagrama, enquanto o AH se incorpora ao datagrama. O ESP é também usado para validar a autenticidade da origem e integridade do datagrama. O ESP fornece confidencialidade dos dados através da criptografia da carga útil de pacotes; confidencialidade pode ser usada com ou sem o opcional parâmetros de autenticidade e integridade. Confidencialidade usada sem autenticar ou validar a integridade pode permitir certas outras formas de ataque, recomenda-se validação e integridade no uso de ESP ou AH.

O ESP também pode ser usado para impedir ataques de repetição e impedir o fluxo de tráfego análise

Solução para Intranet

Na LAN corporativa estão as áreas de contabilidade, pesquisa, engenharia e servidores de email, que atendem aos usuários corporativos e à filial escritório. A rede corporativa neste exemplo é uma sub-rede 10.2.2.0 e é conectada à filial através da interface 192.168.5.2 no Roteador central. A filial é a sub-rede 10.2.3.0, que consiste em um pequena força de vendas e departamento de atendimento ao cliente, Corporativo através do roteador da filial na interface 192.168.5.1.

Nós cuidamos do nosso escritório remoto, então vamos dar uma olhada em adicionar um

parceiro de negócios se comunicando pela Internet. Isso vai ser muito semelhante ao cenário anterior. A maioria das empresas faria isso no firewall ou em um concentrador de VPN especial (discutiremos isso mais tarde) por segurança razões - sendo esse o caso, neste cenário, examinaremos a configuração VPN de firewall PIX para PIX (veja a Figura 4.3). Você pode fazer isso no roteador e seguiria os mesmos princípios do cenário anterior. Você poderia use a mesma chave pré-compartilhada com diferentes políticas ISAKMP e IPSec se você desejou; No entanto, é aconselhável não usar a mesma chave para diferentes pares por razões de segurança

Solução para Extranet

Nós cuidamos do nosso escritório remoto, então vamos dar uma olhada em adicionar um parceiro de negócios se comunicando pela Internet. Isso vai ser muito semelhante ao cenário anterior. A maioria das empresas faria isso no firewall ou em um concentrador de VPN especial (discutiremos isso mais tarde) por segurança razões - sendo esse o caso, neste cenário, examinaremos a configuração VPN de firewall PIX para PIX. Você pode fazer isso no roteador e seguiria os mesmos princípios do cenário anterior. Você poderia usar a mesma chave pré-compartilhada com diferentes políticas ISAKMP e IPSec se você desejou; No entanto, é aconselhável não usar a mesma chave para diferentes pares por razões de segurança.

Atividade extra

Nome da atividade: Leitura - Melhores Práticas para Segurança de Redes

Link para ler a atividade: ftp://ftp.registro.br/pub/gts/gts09/03-bp-seguranca.pdf

Referência Bibliográfica