Só um comentário

Por André Ortega, 06/07/2009 06:11

No segundo post sobre VPN, vamos identificar como ela funciona.
Uma VPN IPSec tem 5 fases: Identificação do tráfego interessante, IKE fase 1, IKE fase 2, transferência de dados e fim do túnel IPSec.

1) Tráfego interessante: É o tráfego que deve ser criptografado, geralmente identificado através de Access-lists.

2) IKE fase 1: Basicamente tem a função de negociar as políticas que serão utilizadas, autenticar os peers e fechar um túnel seguro, por onde serão configurados os demais parâmetros. Pode trabalhar em Main Mode ou Agressive Mode. Podemos dizer que é um “primeiro túnel”, para proteger as mensagens de negociação para o túnel principal.

• Main Mode: utiliza 6 troca de mensagens, e por isso é mais lento que o Agressive Mode.
  Mensagem 1 e 2: Usadas para garantir a segurança do meio e verificar se os peers estão de acordo.
  Mensagem 3 e 4: Utilizam o DH para gerar uma shared secret que é enviado para o outro peers, que devolve com sua identidade. Esta chave é usada para gerar outras chaves do processo.
  Mensagem 4 e 5: Faz a verificação da identidade do peer remoto.
• Agressive Mode: Utiliza apenas 3 trocas de mensagens, fazendo a identificação do peer antes de criar um canal seguro. É o modo de operação padrão.

• Opções do IKE fase 1:
       Algoritmo de criptografia: DES, 3DES, AES
       Algoritmo Hash: MD5, SHA-1
       Método de autenticação: Pré Share, RSA Signature
       Key Exchange: DH group 1, group 2, group 5
       IKE SA lifetime: até 86400 segundos

3) IKE fase 2: É a negociação do “segundo túnel”. São definidos os parâmetros do IPSec e transform sets, são estabelecidos IPSecs SAs, que são renegociados de tempos em tempos e pode também ocorrer a troca do DH (opcional).

O Security Association (SA) é uma conexão entre os dois peers que determina quais serviços do IPSec estão disponíveis naquela conexão (tipo de algoritmo de criptografia e autenticação utilizada, enderço IP, tempo de vida da key e outros…). São unidirecionais e assim, para um túnel VPN são criados dois SAs.

O IPSec pode trabalhar de duas madeiras: Túnel e Transporte. O modo túnel é o padrão, e com ele o pacote inteiro é criptografado e um novo cabeçalho é criado. Já no modo transporte o cabeçalho não é alterado, sendo criptografado apenas os dados.

• Opções do IKE fase 2:
      Algoritmo de criptografia: DES, 3DES, AES
     Authentication: MD5, SHA-1
      SA lifetime: até 28.000 segundos

4) Transferência de dados: Após finalizada o IKE fase 2 o tráfego começa a ser enviado pelo túnel, de forma segura (criptografado).

5) Fim do túnel IPSec: O túnel é finalizado quando a SA é deletada (manualmente) ou ocorre o timeout, que pode ser configurado para ocorrer após um determinado espaço de tempo sem transmissão de dados ou após uma quantidade específica de dados transmitidos.

Até a próxima.

Seja o primeiro a comentar

Por André Ortega, 03/07/2009 12:40

Configurar uma VPN IPSec pode não ser uma tarefa fácil. São muitos protocolos e termos envolvidos, e diversas linhas de configuração. Para facilitar um pouco essa tarefa vamos publicar alguns post (simplificando o máximo possível)sobre o assunto, sendo este primeiro post a parte teórica da coisa.

O IPSec é um framework padrão do IETF, definido pela RFC 4301, que proporciona confidencialidade, integridade e autenticação dos dados. Com o IPSec podemos criar um túnel entre dois pontos, por onde os “dados sensíveis” são enviado protegidos. Os “dados sensíveis” são definidos por quem está configurando a VPN, e normalmente são selecionados através de uma access-list.

Nos roteadores e firewalss Cisco são utilizados os seguintes protocolos, para o funcionamento do IPSec:

ESP (Encapsulation Security Payload): É um protocolo IP, tipo 50 (não é UDP nem TCP), que prove integridade, autenticação e confidencialidade dos dados. É usado para criptografar o payload dos pacotes IPs. É o principal protocolos usado pelo IPSec atualmente, e pode ser configurado no modo Túnel ou Transporte. No Túnel o pacote inteiro é encapsulado e protegido, sendo um novo cabeçalho IP adicionado ao pacote. Já no modo Transporte, são criptografados apenas os “dados”, não sendo alterado o cabeçalho original.

AH (Authentication Header): Semelhante ao ESP, porém não faz criptografia, e por isso em breve não será mais suportado pelos equipamentos Cisco. É o protocolo IP tipo 51 (não é UDP nem TCP), prove integridade, autenticação e replay detection. Ele é como uma assinatura digital e garante que o pacote não foi alterado. Assim como o ESP, o AH também pode ser configurado como Túnel ou Transporte. O funcionamento é igual ao do ESP.

Quando configurado o IPSec (com ESP ou AH) o tamanho do pacote aumenta, variando de acordo com as opções selecionadas. No máximo são adicionado 58 bytes (quando usando ESP com autenticação) por pacote.

IKE (Internet Key Exchange): Protocolo hibrido que fornece para o IPSec a autenticação dos Peers, negociação do IKE e IPSec security associations, e estabelecimento de chaves que são usadas pelos protocolos de criptografias. Aparece nas configurações como ISAKMP.

DES, 3DES e AES: Algoritmos que fazem a criptografia dos dados. O DES utiliza chaves de 56 bits, o 3DES usa 168 bits e o AES pode trabalhar com chaves de 128, 192 e 256 bits, sendo o mais forte (também é o que consome mais processamento ).

DH (Diffie-Hellman): Protocolo de criptografia com utilização de chaves públicas que foi criado em 1976 por Whitfield Diffie e Martin Hellman. O DH permite que os peers da VPN criem uma chave compartilhada (shared key) segura, mesmo sem que os peers se conheçam ou saibam da chave do ponto remoto. É usado no início do processo IKE, para estabelecer as chaves a serem utilizadas.

MD5 e SHA-1: Algoritmos usados para autenticar os pacotes. Para isso o SHA-1 utiliza um algoritmo que produz um “digest” de 160 bits, sendo mais seguro que o MD5, que cria um “digest” de 128 bits.

Até a próxima.

Seja o primeiro a comentar

Por André Ortega, 31/10/2008 10:04

A Cisco Systems lançou em 2006 uma nova modalidade de VPN do tipo any-to-any, o Group Encrypted Transport VPN (ou GET VPN). O GET VPN é uma excelente alternativa em cenários onde são utilizadas VPN IPSEC point-to-point entre várias localidades.

Cenário com IPSEC VPN point-to-point e GET VPN

No GET VPN um Key Server Primário é configurado (normalmente um roteador da matriz) com as chaves e políticas da VPN, e os demais roteadores são configurados como Group Member. Também pode-se ter vários Key Servers Secundários.

Os roteadores membros do grupo se registram no Key Server, são autenticados e então recebem as políticas referentes a VPN. O GET VPN utiliza o protocolo GDOI – Group Domain of Interpretation, do IETF, para este processo.

O Key Server Primário sincroniza as politicas e chaves da VPN com os Keys Servers Secundários, caso existam, permitindo a redundância e alta disponibilidade. E de tempos em tempos o Key Server Primário refaz o IPSEC Security Association entre os roteadores do grupo.

Esta nova VPN traz inúmeras vantagens em relação aos outros modelos de VPN any-to-any. Com o GET VPN os IPs de origem e destino originais são preservados, melhorando assim o roteamento e evitando o overlay routing. Além disso podemos trabalhar com multicast e QoS avançado na WAN através da VPN, de forma semelhante a uma LAN, sem a necessidade de utilizar túneis (GRE, por exemplo).

IPs originais são conservados no GET VPN

Além disso o GET é altamente escalável e a administração é mais simples, comparado com os demais modelos de VPN any-to-any, pois as politicas e chaves ficam centralizadas.

O GET suporta criptografia DES, 3DES e AES e pode ser utilizado em conjunto com o DMVPN, melhorando o tempo de resposta para tráfego sensível, como voz e vídeo.

Fácil para gerenciar e extensão da capacidade de QoS e multicast na WAN, com GET VPN

Equipamentos:

Está feature está disponível em roteadores da série 800 até roteadores da série 7200 e no 7301 (Group Member). Para Key Server podem ser utilizados roteadores a partir do 1841 até o 7301.

Nos dois casos (Group Member ou Key Server) é necessário IOS Advanced Security (pelo menos), a partir da versão 12.4(11)T. No entanto é recomendada a utilização a partir da versão 12.4(15)T.

O GET VPN também pode ser gerenciado pelo CSM – Cisco Security Manager, a partir da versão 3.1.

Até a próxima.

Fonte: www.cisco.com/go/getvpn