Conceitos de VPN e IPsec

Objetivos do módulo
Título do Módulo: Conceitos de VPN e IPsec

Objetivo do Módulo: VPNs e IPsec são usados para proteger a conectividade de acesso
remoto e de site para site..

Título do tópico Objetivo do Tópico

Tecnologia VPN Benefícios da tecnologia VPN.
Tipos de VPNs Diferentes tipos de VPNs
IPSec Como a estrutura IPsec é usada para proteger o tráfego
de rede.

© 2016 Cisco e/ou suas afiliadas. Todos os direitos reservados.

Documento confidencial da Cisco 2
Tecnologia VPN

© 2016 Cisco e/ou suas afiliadas. Todos os direitos reservados.

Documento confidencial da Cisco 3
Tecnologia VPN
Redes Privadas Virtuais
• Redes privadas virtuais (VPNs) para
criar conexões de rede privadas de
ponta a ponta.
• Uma VPN é virtual, pois carrega
informações dentro de uma rede
privada, mas essas informações são
realmente transportadas por uma rede
pública.
• Uma VPN é privada, pois o tráfego é
criptografado para manter os dados
confidenciais enquanto são
transportados pela rede pública.

© 2016 Cisco e/ou suas afiliadas. Todos os direitos reservados.

Documento confidencial da Cisco 4
Tecnologia VPN
Benefícios de VPN
• As VPNs modernas agora oferecem suporte a recursos de criptografia, como IPsec
(Internet Protocol Security) e VPNs Secure Sockets Layer (SSL) para proteger o
tráfego de rede entre sites.
• Os principais benefícios das VPNs são mostrados na tabela.
Benefício Descrição

Redução de Organizações podem usar VPNs para reduzir os custos de conectividade, ao mesmo
custos tempo em que aumentam a largura de banda da conexão remota.
Segurança Os protocolos de criptografia e autenticação protegem os dados contra acesso não
autorizado.
Escalabilida As VPNs permitem que as organizações usem a Internet, facilitando a adição de
de novos usuários sem adicionar infraestrutura significativa.
Compatibilid As VPNs podem ser implementadas em uma ampla variedade de opções de links
ade WAN, incluindo tecnologias de banda larga. Os funcionários remotos podem usar
essas conexões de alta velocidade para obter acesso seguro às redes corporativas.
© 2016 Cisco e/ou suas afiliadas. Todos os direitos reservados.
Documento confidencial da Cisco 5
Tecnologia VPN
VPNs site a site e acesso remoto
Uma VPN site a site é encerrada em gateways VPN. O tráfego da VPN é
criptografado apenas entre os gateways. Os hosts internos não sabem que uma VPN
está sendo usada.

© 2016 Cisco e/ou suas afiliadas. Todos os direitos reservados.

Documento confidencial da Cisco 6
Tecnologia VPN
VPNs site a site e acesso remoto (Cont.)
Uma VPN de acesso remoto é criada dinamicamente para estabelecer uma conexão
segura entre um cliente e um dispositivo de terminação da VPN.

© 2016 Cisco e/ou suas afiliadas. Todos os direitos reservados.

Documento confidencial da Cisco 7
Tecnologia VPN
VPNs para empresas e provedores de serviços
As VPNs podem ser gerenciadas e
implantadas como:
• VPNs corporativas - São uma
solução comum para proteger o
tráfego corporativo na Internet. As
VPNs de acesso remoto e site a site
são criadas e gerenciadas pela
empresa usando VPNs IPsec e
SSL.
• VPNs do provedor de serviços -
São criadas e gerenciadas pela rede
do provedor. O provedor usa
Multiprotocol Label Switching
(MPLS) na Camada 2 ou 3 para
criar canais seguros entre os sites
de uma empresa.
© 2016 Cisco e/ou suas afiliadas. Todos os direitos reservados.
Documento confidencial da Cisco 8
Tipos de VPNs

© 2016 Cisco e/ou suas afiliadas. Todos os direitos reservados.

Documento confidencial da Cisco 9
Tipos de VPNs
VPNs de acesso remoto
• As VPNs de acesso remoto permitem que
usuários remotos e móveis se conectem
com segurança à empresa.
• As VPNs de acesso remoto geralmente
são ativadas dinamicamente pelo usuário
quando necessário e podem ser criadas
usando IPsec ou SSL.
• Conexão VPN sem cliente -A conexão é
protegida usando uma conexão SSL do
navegador da web.
• Conexão VPN baseada no cliente - O
software cliente VPN, como o Cisco
AnyConnect Secure Mobility Client, deve
ser instalado no dispositivo final do
usuário remoto.
© 2016 Cisco e/ou suas afiliadas. Todos os direitos reservados.
Documento confidencial da Cisco 10
Tipos de VPNs
VPNs SSL (A secure sockets layer VPN)
Uma VPN de camada de soquetes segura
O SSL usa a infraestrutura de chave pública e os certificados digitais para autenticar
pares. O tipo de método de VPN implementado se baseia nos requisitos de acesso
dos usuários e nos processos de TI da organização. A tabela compara implantações
de acesso remoto IPsec e SSL.

Recurso IPSec SSL

Suporte a aplicativos Extensivo – Todos os aplicativos
baseados em IP
Força de autenticação Forte –Usa autenticação bidirecional
com chaves compartilhadas ou
certificados digitais
Força de criptografia Forte – Tamanho da chave 56 – 256
bits
Complexidade da conexão Média –Requer cliente VPN instalado
em um host
Opção de conexão Limitada – Somente dispositivos
específicos com configurações
específicas podem conectar-se
Limitado – Somente aplicativos baseados na
Web e compartilhamento de arquivos
Moderada – autenticação unidirecional ou
bidirecional
Moderada a forte - Tamanho da chave 40 –
256 bits
Baixa – Requer navegador da web em um
host
Extensiva – Qualquer dispositivo com um
navegador da Web pode
© 2016 Cisco e/ou suas afiliadas. Todos os direitos reservados.
Documento confidencial da Cisco 11
Tipos de VPNs
VPNs site a site
• As VPNs site a site conectam redes
através de uma rede não confiável, como
a Internet.
• Os hosts finais enviam e recebem tráfego
TCP / IP não criptografado normal por
meio de um gateway VPN.
• O gateway VPN encapsula e criptografa
o tráfego de saída de um site e envia o
tráfego através do túnel VPN para o
gateway VPN no site de destino. O
gateway VPN de recebimento retira os
cabeçalhos, descriptografa o conteúdo e
retransmite o pacote para o host de
destino dentro de sua rede privada.

© 2016 Cisco e/ou suas afiliadas. Todos os direitos reservados.

Documento confidencial da Cisco 12
Tipos de VPNs
GRE sobre IPsec - Generic Routing Encapsulation)
• O encapsulamento de roteamento genérico (GRE) é um protocolo de
encapsulamento VPN site a site não seguro.
• Um túnel GRE pode encapsular vários protocolos da camada de rede, além de
tráfego de difusão seletiva e de difusão.
• O GRE não suporta, por padrão, criptografia; e, portanto, não fornece um túnel
VPN seguro.
• Um pacote GRE pode ser encapsulado em um pacote IPsec para encaminhá-lo
com segurança ao gateway VPN de destino.
• As VPNs IPsec padrão (não GRE) só podem criar túneis seguros para o tráfego
unicast.
• Encapsular o GRE no IPsec permite que as atualizações do protocolo de
roteamento multicast sejam protegidas por meio de uma VPN.

© 2016 Cisco e/ou suas afiliadas. Todos os direitos reservados.

Documento confidencial da Cisco 13
Tipos de VPNs
GRE sobre IPsec (Cont.)
Os termos usados para descrever o encapsulamento do túnel GRE sobre IPsec são
protocolo de passageiro, protocolo de operadora e protocolo de transporte.
• Protocolo de passageiro – Este é o pacote original que deve ser encapsulado
pelo GRE. Pode ser um pacote IPv4 ou IPv6, uma atualização de roteamento e
muito mais.
• Protocolo de transportadora – GRE é o protocolo de transportadora que
encapsula o pacote de passageiro original.
• Protocolo de transporte – Este é o protocolo que realmente será usado para
encaminhar o pacote. Pode ser IPv4 ou IPv6.

© 2016 Cisco e/ou suas afiliadas. Todos os direitos reservados.

Documento confidencial da Cisco 14
Tipos de VPNs
GRE sobre IPsec (Cont.)
Por exemplo, Filial e HQ precisam trocar informações de roteamento OSPF por uma
VPN IPsec. O GRE sobre IPsec é usado para oferecer suporte ao tráfego do
protocolo de roteamento na VPN IPsec. Especificamente, os pacotes OSPF (isto é,
protocolo de passageiro) seriam encapsulados por GRE (isto é, protocolo de
operadora) e subsequentemente encapsulados em um túnel VPN IPsec.

© 2016 Cisco e/ou suas afiliadas. Todos os direitos reservados.

Documento confidencial da Cisco 15
Tipos de VPNs
VPNs Multiponto Dinâmica VPNs
As VPNs IPsec de site a site e o GRE sobre IPsec não são suficientes quando a
empresa adiciona muitos outros sites. Dynamic Multipoint VPN (DMVPN) é uma
solução de software da Cisco para criar vários VPNs de uma forma fácil, dinâmica e
escalável.
• O DMVPN simplifica a configuração do túnel da VPN e oferece uma opção
flexível para conectar um site central a sites de filial.
• Ele usa uma configuração de hub e spoke para estabelecer uma topologia de
malha completa.
• Os sites Spoke estabelecem túneis VPN seguros com o site do hub.
• Cada site é configurado usando o encapsulamento de roteamento genérico
multiponto (mGRE). A interface do túnel mGRE permite que uma única interface
GRE suporte dinamicamente vários túneis IPsec.
• Os sites Spoke também podem obter informações um sobre o outro e,
alternativamente, construir túneis diretos entre si (túneis spoke-to-spoke).
© 2016 Cisco e/ou suas afiliadas. Todos os direitos reservados.
Documento confidencial da Cisco 16
Tipos de VPNs
Interface de Túnel Virtual IPsec
A interface de túnel virtual IPsec (VTI) simplifica o processo de configuração
necessário para oferecer suporte a vários sites e acesso remoto.
• As configurações de IPsec VTI são aplicadas a uma interface virtual em vez de
mapear estático as sessões IPsec para uma interface física.
• O IPsec VTI é capaz de enviar e receber tráfego criptografado de unicast e
multicast de IP. Portanto, os protocolos de roteamento são suportados
automaticamente sem a necessidade de configurar túneis GRE.
• A IPsec VTI pode ser configurada entre sites ou em uma topologia de hub e
spoke.

© 2016 Cisco e/ou suas afiliadas. Todos os direitos reservados.

Documento confidencial da Cisco 17
Tipos de VPNs
VPNs MPLS do provedor de serviços
Hoje, os provedores de serviços usam o MPLS em sua rede principal. O tráfego é
encaminhado pelo backbone MPLS usando rótulos. O tráfego é seguro porque os
clientes do provedor de serviços não conseguem ver o tráfego um do outro.
• O MPLS pode fornecer aos clientes soluções de VPN gerenciadas; portanto,
proteger o tráfego entre sites do cliente é de responsabilidade do provedor de
serviços.
• Existem dois tipos de soluções VPN MPLS suportadas pelos provedores de
serviços:
• VPN MPLS de camada 3 - O provedor de serviços participa do roteamento do cliente
estabelecendo um par entre os roteadores do cliente e os roteadores do provedor.
• VPN MPLS de camada 2 - O provedor de serviços não está envolvido no roteamento do
cliente. Em vez disso, o provedor implanta um Serviço de LAN Privada Virtual (VPLS) para
emular um segmento de LAN de multiacesso Ethernet pela rede MPLS. Nenhum roteamento
está envolvido. Os roteadores do cliente pertencem efetivamente à mesma rede
multiacesso.
© 2016 Cisco e/ou suas afiliadas. Todos os direitos reservados.
Documento confidencial da Cisco 18
IPsec

© 2016 Cisco e/ou suas afiliadas. Todos os direitos reservados.

Documento confidencial da Cisco 19
IPSec
Vídeo – Conceitos IPsec
Este vídeo aborda o seguinte:
• O objetivo do IPsec
• Protocolos do IPsec (AH, ESP, SA, IKE)

© 2016 Cisco e/ou suas afiliadas. Todos os direitos reservados.

Documento confidencial da Cisco 20
IPSec
Tecnologias IPsec
IPsec é um padrão IETF que define como uma VPN pode ser protegida em
redes IP. O IPsec protege e autentica pacotes IP entre origem e destino e
fornece estas funções essenciais de segurança:
• Confidencialidade - Usa algoritmos de criptografia para impedir que os
cibercriminosos leiam o conteúdo do pacote.
• Integridade - Usa algoritmos de hash para garantir que os pacotes não tenham
sido alterados entre a origem e o destino.
• Autenticação de origem - Usa o protocolo IKE (Internet Key Exchange) para
autenticar a origem e o destino.
• Diffie-Hellman – Usado para garantir a troca de chaves.

© 2016 Cisco e/ou suas afiliadas. Todos os direitos reservados.

Documento confidencial da Cisco 21
IPSec
Tecnologias IPsec (Cont.)
• O IPsec não está vinculado a nenhuma
regra específica para comunicações
seguras.
• O IPsec pode integrar facilmente novas
tecnologias de segurança sem atualizar
os padrões IPsec existentes.
• Os slots abertos na estrutura IPsec
mostrados na figura podem ser
preenchidos com qualquer uma das
opções disponíveis para essa função
IPsec para criar uma associação de
segurança exclusiva (SA).

© 2016 Cisco e/ou suas afiliadas. Todos os direitos reservados.

Documento confidencial da Cisco 22
IPSec
Encapsulamento do Protocolo IPsec
A escolha do encapsulamento do
protocolo IPsec é o primeiro bloco de
construção da estrutura.
• O IPsec encapsula pacotes usando o
cabeçalho de autenticação (AH) ou o
protocolo de segurança de
encapsulamento (ESP).
• A escolha de AH ou ESP estabelece
quais outros blocos de construção
estão disponíveis.
• AH é apropriado somente quando a
confidencialidade não é necessária ou
permitida.
• O ESP fornece confidencialidade e
autenticação.
© 2016 Cisco e/ou suas afiliadas. Todos os direitos reservados.
Documento confidencial da Cisco 23
IPSec
Confidencialidade
O grau de confidencialidade
depende do algoritmo de
criptografia e do comprimento da
chave usada no algoritmo de
criptografia.

O número de possibilidades para

tentar hackear a chave é uma
função do comprimento da chave
- quanto menor a chave, mais
fácil é quebrar.

© 2016 Cisco e/ou suas afiliadas. Todos os direitos reservados.

Documento confidencial da Cisco 24
IPSec
Confidencialidade (Cont.)
Os algoritmos de criptografia destacados
na figura são todos sistemas de
criptografia de chave simétrica.
• DES usa uma chave de 56-bit.
• O 3DES usa três chaves de
criptografia independentes de 56 bits
por bloco de 64 bits.
• O AES oferece três comprimentos de
chave diferentes: 128 bits, 192 bits e
256 bits.
• SEAL é uma cifra de fluxo, o que
significa que criptografa dados
continuamente, em vez de
criptografar blocos de dados. SEAL
usa uma chave de 160 bits.
© 2016 Cisco e/ou suas afiliadas. Todos os direitos reservados.
Documento confidencial da Cisco 25
IPSec
Integridade
• Integridade de dados significa que os
dados não foram alterados em
trânsito.
• É necessário um método para provar
a integridade dos dados.
• O HMAC (Hashed Message
Authentication Code) é um algoritmo
de integridade de dados que garante
a integridade da mensagem usando
um valor de hash.
• O Message-Digest 5 (MD5) usa uma
chave secreta compartilhada de 128
bits.
• O Secure Hash Algorithm (SHA) usa
uma chave secreta de 160 bits. © 2016 Cisco e/ou suas afiliadas. Todos os direitos reservados.
Documento confidencial da Cisco 26
IPSec
Autenticação
Existem dois métodos de autenticação
de ponto IPsec:
1. Chave pré-compartilhada (PSK) -
O valor (PSK) é inserido
manualmente em cada par..
• Fácil de configurar manualmente
• Não escala bem
• Deve ser configurado em todos os pares
2. Rivest, Shamir, e Adleman (RSA) -
a autenticação usa certificados
digitais para autenticar os pares.
• Cada par deve autenticar seu par oposto
antes que o túnel seja considerado
seguro.
© 2016 Cisco e/ou suas afiliadas. Todos os direitos reservados.
Documento confidencial da Cisco 27
IPSec
Troca de chaves segura com Diffie - Hellman
DH permite que dois pares estabeleçam
uma chave secreta compartilhada em um
canal não seguro.

Variações da troca de chaves DH são

especificadas como grupos DH:
• Os grupos DH 1, 2 e 5 não devem mais ser
usados.
• Os grupos DH 14, 15 e 16 usam tamanhos
de chave maiores com 2048 bits, 3072 bits
e 4096 bits, respectivamente.
• Os grupos DH 19, 20, 21 e 24 com
tamanhos de chave respectivos de 256 bits,
384 bits, 521 bits e 2048 bits oferecem
suporte à Criptografia de curva elíptica
(ECC), que reduz o tempo necessário para
© 2016 Cisco e/ou suas afiliadas. Todos os direitos reservados.
gerar chaves. Documento confidencial da Cisco 28
IPSec
Vídeo – Modo de transporte e Modo túnel IPsec
Este vídeo explicará o processo do pacote IPv4 com o ESP no modo de
transporte e no modo de túnel.

© 2016 Cisco e/ou suas afiliadas. Todos os direitos reservados.

Documento confidencial da Cisco 29
Módulo Prática e Quiz
O que aprendi neste módulo?
• Uma VPN é privada, pois o tráfego é criptografado para manter os dados confidenciais
enquanto são transportados pela rede pública.
• Os benefícios das VPNs são economia, segurança, escalabilidade e compatibilidade.
• As VPNs de acesso remoto permitem que usuários remotos e móveis se conectem com
segurança à empresa, criando um túnel criptografado. As VPNs de acesso remoto podem
ser criadas usando IPsec ou SSL.
• As VPNs site a site são usadas para conectar redes através de uma rede não confiável,
como a Internet.
• Em uma VPN site a site, os hosts finais enviam e recebem tráfego TCP / IP não criptografado
normal por meio de um dispositivo de terminação da VPN. O dispositivo de terminação da
VPN geralmente é chamado de gateway da VPN.
• O GRE é um protocolo de encapsulamento VPN site a site não seguro.
• DMVPN é uma solução de software da Cisco para criar facilmente VPNs múltiplas,
dinâmicas e escalonáveis.
• Como as DMVPNs, o IPsec VTI simplifica o processo de configuração necessário para
oferecer suporte a vários sites e acesso remoto. © 2016 Cisco e/ou suas afiliadas. Todos os direitos reservados.
Documento confidencial da Cisco 30