VPNs utilizando a Camada de Aplicao SSL/TLS

Daniel F. Pereira, Remulo A. C. Ferreira

1

Especializao em Segurana Computacional Instituto de Educao Superior da Amaznia (IESAM) Belm PA Brasil
{daniel,remulo}@faznet.net

Abstract. This article describes a way to provide secure communication over an insecure network like the Internet. The communication is based on the use of a VPN (virtual private network), which through the use of cryptographic protocols allows for the encryption of data traffic by providing a secure channel. Resumo. Este artigo descreve uma forma de prover comunicao segura atravs de uma rede no segura como a Internet. A comunicao baseia-se no uso de uma VPN (Rede Virtual Provada), que por meio da utilizao de protocolos criptogrficos permite a encriptao dos dados trafegados provendo um canal seguro.

1. Introduo
Uma anlise do cenrio atual sugere que a utilizao da Internet seja cada vez mais comum na vida das pessoas e principalmente nas empresas. quase incomum no utiliz-la. Como sua utilizao torna-se inevitvel, comum o trfego de informaes pessoais ou sigilosas. Essas informaes podem ser facilmente visualizadas por qualquer usurio na Internet, utilizando ferramentas adequadas como ferramentas de anlise de redes e por isso podem cair em mos erradas. Uma maneira de proteger as informaes na Internet utilizarmos formas seguras de envio e recebimento de informaes, isso possvel atravs de uma VPN que cria um canal virtual privado evitando que as mensagens sejam traduzidas para pessoas no autorizadas o que torna uma rede insegura em rede segura.

2. VPN
Uma Rede Privada Virtual (Virtual Private Network - VPN) uma rede de comunicaes privada feita como um canal sobre outra rede de comunicaes pblica (como por exemplo, a Internet). O trfego de dados levado pela rede pblica utilizando protocolos padro, no necessariamente seguros. De acordo com Silva (2006), VPNs seguras usam protocolos de criptografia nas informaes do canal, tambm conhecido como tnel, fornecendo as suas premissas bsicas: Confidencialidade, Integridade, Autenticidade e No Repdio. Assim garantindo a privacidade das comunicaes requeridas. Seu intuito de assegurar a comunicao segura atravs de um canal inseguro por meio do tnel criptografado.

O tnel criptografado formado pelo encapsulamento dos pacotes normais em pacotes criptografados definindo uma rota entre os destinos e endereos onde no destino verificado o autor do envio e as suas permisses para entrada, aps sua confirmao e o ingresso do pacote ao endereo de destino, o pacote decriptografado. As VPNs podem ser implementadas por meio de canais em diferentes camadas como Fsica (Fibra tica, Radio Freqncia), Enlace (Frame-Relay, X.25), Host-Rede (IPSec), e Aplicao (SSL/TLS). Neste trabalho destacamos o SSL/TLS.

3. SSL/TLS
O SSL (Secure Sockets Layer) e o TLS (Transport Layer Security), so protocolos criptogrficos que provem comunicao segura em uma rede no segura como na Internet para servios como email (SMTP), navegao por pginas (HTTP) e outros tipos de transferncia de dados na camada de aplicao. O protocolo SSL prov a privacidade e a integridade de dados entre duas aplicaes que estejam se comunicando pela Internet. O SSL uma soluo proprietria da Netscape, em 1997 foi criado um grupo de trabalho na IETF (Internet Engineering Task Force) para criar um padro aberto para garantir conexes seguras pela Internet. Esse novo padro foi batizado de TLS (Transport Layer Security) e baseado no SSL v3 da Netscape. Existem algumas diferenas entre os dois protocolos a ponto de eles no operarem entre si. Apenas o TLS pode se necessrio, utilizar as definies do SSL v3 para se comunicar com outras aplicaes SSL. Porm o SSL no consegue se comunicar com um sistema puramente TLS devido autenticao das partes envolvidas e da criptografia dos dados transmitidos entre as partes. Esse protocolo ajuda a prevenir que intermedirios entre as duas pontas da comunicao tenham acesso indevido ou falsifiquem os dados trocados em uma comunicao ponto a ponto, como preve as premissas da criptografia. Algumas diferenas entre TLS e SSL: TLS padronizado pelas RFC 2246 (v1.0) e RFC 4346 (v1.1) TLS usa o algoritmo keyed-Hashing for Message Authentication Code (HMAC) enquanto o SSL apenas Message Authentication Code (MAC). O algoritmo HMAC produz hashes mais seguros que o algoritmo MAC No TLS nem sempre necessrio recorrer raiz de uma AC (Autoridade de Certificao) para usar uma certificao. Pode ser usada uma autoridade intermediria Diferenas em alguns campos dos cabealhos

O SSL/TLS, foram desenvolvidos com o objetivo principal de prover segurana e privacidade em uma comunicao, sua atuao realizada nos nveis de aplicao e transporte na arquitetura TCP/IP, No nvel suportado por um protocolo de transporte, como o TCP, est o SSL RECORD PROTOCOL, usado para encapsular os diversos protocolos de nvel de aplicao e prover os servios de fragmentao, compresso, autenticao de mensagem e encriptao. No nvel superior alem do protocolo de aplicao propriamente dito so inseridos protocolos auxiliares para prover os recursos de segurana que permite ao servidor e ao

cliente autenticarem-se mutuamente, negociarem um algoritmo de encriptao e chaves criptogrficas antes do protocolo de aplicao transmitir ou receber os primeiros dados. Todas as mensagens de handshake so trocadas usando MAC (message authentication code) para dar segurana desde o incio do processo. Seu projeto leva em conta a existncia de diversos programas de aplicao e diversas plataformas com diferentes sistemas operacionais e busca estabelecer um processo de negociao e emprego de funes de autenticao mtua, encriptao de dados e integridade para transaes seguras entre aplicaes na Internet, de forma mais simples e transparente. A Figura 1 representa o funcionamento do protocolo SSL:

Figura 1 Funcionamento do SSL Fonte Nguerra (s/d) O SSL/TLS em VPNs surge como uma alternativa aos mtodos de mercado (IPSec, Frame-Relay), devida a sua implementao rpida e de baixo custo. Dado a popularizao de equipamentos embarcados com linux, j possvel ver sua adoo em equipamentos, podendo ser implementado em servidores com o OpenVPN.

4. OpenVPN
OpenVPN, uma soluo completa de Cdigo Aberto para uso de VPN baseada no protocolo SSL. O programa pode acomodar uma larga escala de configuraes incluindo acesso remoto, segurana em redes sem fio, e solues em escala de empresa de acesso remoto com balanceamento de carga, e controles de acesso refinados. Sua distribuio feita sob a licena GPL e disponvel para os SOs Windows, GNU/Linux, OpenBSD e MacOS. Para se comunicarem, todas as mquinas tem que possuir a aplicao e no caso dos clientes, opcionalmente, o OpenVPN-Gui4 onde haver o controle da conexo de maneira mais amigvel. A seguir algumas caractersticas do OpenVPN:

Pode criar tunel para qualquer sub-rede IP ou adaptador ethernet, por um porte UDP ou TCP; Usa todas as caracteristicas de encriptao, autenticao e certificao da biblioteca OpenSSL, para proteger o trfego privado pela internet; Qualquer cifragem, tamanho de chave, para datagrama de autenticao, suportado pela biblioteca OpenSSL; Pode-se escolher entre encriptao convencional, baseado em chave esttica ou certificados baseados em encripatao de chave pblica;

Referncias
FEILNER, M. OpenVPN - Building And Integrating Virtual Private Networks. Birmingham UK, Packt Publishing, 2006. NGUERRA. NGUERRA Internet e Comrcio Eletrnico http://www.nguerra.com.br, Acessado em 15/11/2007 OpenVPN. OpenVPN Disponvel 15/11/2007 Disponvel em:

em: http://www.openvpn.net, Acessado em

OpenVPN-Gui. OpenVPN-Gui Disponvel em: http://www.openvpn.se, Acessado em 15/11/2007 SILVA, L. VPN - Virtual Private Network. 2 Edio. So Paulo, Novatec, 2005.