ANLISE DE SEGURANA DO ACESSO REMOTO VPN

Emilio Tissato Nakamura Instituto de Computao Universidade Estadual de Campinas CP 6176 13083-970 Campinas-SP emilio.nakamura@ic.unicamp.br Paulo Lcio de Geus Instituto de Computao Universidade Estadual de Campinas CP 6176 13083-970 Campinas-SP (19)788-5865 paulo@ic.unicamp.br

RESUMO
As redes privadas virtuais (Virtual Private Network VPN) possuem uma importncia cada vez maior para os negcios das organizaes, porm possuem srias implicaes de segurana. O acesso remoto VPN, onde o cliente pode acessar as informaes remotamente atravs de um software cliente, possui implicaes de segurana especficas que precisam ser consideradas, onde a principal delas a possibilidade de utilizar o cliente como uma ponte entre a Internet e a rede da organizao. Este artigo visa analisar as possibilidades de ataques que podem ser exploradas contra os clientes VPN, e apresenta algumas sugestes de defesa contra esses riscos.

ABSTRACT
The importance of Virtual Private Network (VPN) to organizations businesses has been steadily increasing despite its serious security implications. The remote access VPN, which may be used to provide information access remotely through a client software, has specific security concerns that need to be considered. The main problem is the possibility to use the client as a bridge between the Internet and the organization network. This paper presents an analysis of possible attacks against the VPN clients and presents some defense suggestions against those risks.

1 INTRODUO O ambiente cooperativo pode ser caracterizado pelo alto nvel de conectividade entre as organizaes, onde a necessidade cada vez maior de segurana implica na utilizao de diversas tecnologias, sejam elas para permitir a continuidade dos negcios, ou para prover a segurana necessria para essas conexes. As redes privadas virtuais (Virtual Private Network VPN) constituem uma das tecnologias que possibilitam, alm da economia com os custos de comunicao, que essa comunicao seja realizada com segurana. A efetividade da segurana porm colocada sob questionamento, uma vez que o backbone da comunicao uma rede pblica, e o que est em jogo so as informaes e os recursos da organizao. Este artigo tem como objetivo analisar as possibilidades de ataques contra as organizaes que podem ser realizadas quando o acesso remoto VPN utilizado, e apresentar as sugestes de medidas que podem ser tomadas para que os riscos de ataques sejam minimizados.

Alm disso, a VPN possui tambm importantes aspectos econmicos, principalmente com relao desnecessidade de se manter uma infra-estrutura de comunicao prpria. No caso do acesso remoto VPN, no mais necessrio que a prpria organizao mantenha a sua estrutura de acesso remoto, j que os usurios passam a utilizar os provedores de acesso, ao invs de discarem para a prpria organizao.

INTERNET ORGANIZAO

PARCEIRO

2 O ACESSO REMOTO VPN A VPN possibilita a conectividade em nveis globais a custos relativamente baixos, permitindo assim que as comunicaes das organizaes sejam realizadas de modo a tornar possvel a adoo de um modelo de negcio mais rpido e mais dinmico.
Fig. 1 Acessos organizao via VPN, que utiliza uma rede pblica como a Internet, eliminando a necessidade de uma conexo dedicada ou de uma estrutura de acesso remoto.

O acesso remoto VPN possui a vantagem de poder ser utilizado pelos clientes ou pelos pequenos parceiros que ainda no possuem uma conexo direta com a Internet, e que portanto necessitam utilizar os provedores de acesso. Alm desses

usurios externos, existe ainda o grande nmero de funcionrios que trabalham de suas prprias residncias, e de telecommuters, que esto sempre viajando e possuem pontos de conexes diferentes a cada momento. O acesso remoto VPN objetiva solucionar os problemas de conexes desses usurios, e devido ao seu grande potencial de uso, a sua importncia para o mundo atual bastante grande. O tunelamento criao do tnel virtual entre o cliente, nesse caso, e a rede da organizao iniciado a partir de um software cliente instalado no equipamento do usurio. Outros tipos de VPN, como os que conectam redes diferentes (gateways VPN), no sero considerados neste artigo. 2.1 Como Funciona O software cliente na qual se baseou a anlise funciona da seguinte maneira, lembrando que as outras solues de acesso remoto VPN funcionam de modo similar: o usurio precisa instalar em seu equipamento um software, o cliente VPN, que o responsvel pela inicializao do tunelamento, que baseado no IP Security (IPSec). A configurao desse software feita atravs de um arquivo que contm todos os parmetros de tunelamento necessrios, que deve ser importado para o software mediante a utilizao de uma chave simtrica. Essa chave e o arquivo de configurao so gerados pela entidade certificadora, e a chave simtrica utilizada no processo de importao aumenta o nvel de segurana do processo, ao evitar que o arquivo de configurao seja capturado e utilizado indiscriminadamente. A segurana desse processo ser analisada posteriormente. Resumidamente, os passos do funcionamento do acesso remoto VPN so: 1. O usurio instala o software cliente; 2. A entidade certificadora gera um arquivo contendo os parmetros necessrios para a conexo IPSec, entre eles o certificado digital, a chave assimtrica e os algoritmos criptogrficos a serem utilizados; 3. A entidade certificadora gera uma chave simtrica que deve ser utilizada pelo usurio para a importao do arquivo de parmetros no software cliente; 4. O usurio deve configurar o software cliente atravs da importao do arquivo de parmetros utilizando a chave simtrica, gerados pela entidade certificadora; 5. O usurio recebe o arquivo de parmetros e a chave simtrica; 6. O usurio utiliza a chave simtrica para importar o arquivo de parmetros; 7. O usurio configura o software cliente atravs da importao do arquivo de parmetros, e assim est apto a iniciar um tunelamento IPSec para a rede da organizao;

8. A conexo IPSec negociada entre o usurio e a rede da organizao de acordo com os parmetros do usurio e do servidor, que possui uma lista dos recursos que cada usurio pode acessar. Um ponto interessante que, uma vez configurado o software cliente VPN, atravs da importao dos parmetros do tnel IPSec, a autenticao feita baseada no equipamento, e no necessariamente no usurio. Isso cria algumas aberturas na segurana da rede da organizao, como ser visto adiante.

3 A SEGURANA DO ACESSO REMOTO VPN Ataques do tipo Denial of Service (DoS) certamente so um grande fardo que podem resultar em grandes prejuzos. Porm, nesta anlise o enfoque est em garantir a segurana da rede interna da organizao, ou seja, garantir que o uso do acesso remoto VPN no resulte em uma brecha de segurana e conseqentes quebras de confidencialidade ou de integridade dos recursos da organizao. O enfoque da anlise ser dado em cima desta possibilidade, em pontos que incluem o protocolo IPSec, as configuraes do software cliente, a possibilidade do cliente ser utilizado como ponte para a rede da organizao, o compartilhamento de arquivos do Windows e a utilizao de modems. sabido, contudo, que ataques DoS so muitas vezes armados como parte de um ataque ativo a um recurso. 3.1 IPSec A segurana da conexo baseada fundamentalmente no IPSec, que reconhecidamente um protocolo seguro, e padro de facto das VPNs. A autenticao do cliente, a autenticao do servidor e a confidencialidade e integridade dos dados so providas por esse protocolo e pelos algoritmos criptogrficos negociados pelo mesmo. Porm, no se deve esquecer que o fato de um protocolo ser seguro no garante a segurana do sistema, j que essa segurana depende da correta implementao do protocolo. Diversos casos de erros na implementao que comprometiam a segurana foram descobertos, principalmente em algoritmos criptogrficos. Portanto, uma falha na implementao do IPSec pode comprometer o sistema, e deve ser verificado atravs de insistentes testes e anlises de todas as possibilidades de conexes possveis. Mesmo a implementao e o projeto do cliente VPN podem ter problemas que podem comprometer totalmente a segurana. Ataques tericos contra o IPSec foram demonstrados em [BEL 97], porm implementar

essas tcnicas seria bastante improvvel, devido complexidade dos cenrios necessrios, que exigem anlise constante e rpida de todos os pacotes da conexo. 3.2 Segurana do Certificado Digital e da Chave Assimtrica Foi visto que o certificado digital e a chave assimtrica, alm dos parmetros necessrios para a criao do tnel IPSec, so armazenados em um arquivo, que deve ser importado pelo cliente. Os riscos existentes com relao apropriao indevida do certificado digital e da chave assimtrica esto relacionados com a captura desse arquivo de configurao da VPN, e tambm com o uso no autorizado ou com o roubo do equipamento do usurio. Esses riscos sero vistos a seguir. 3.2.1 Capturando o Arquivo de Configurao da VPN Um ataque visando a captura do arquivo de configurao no surtiria efeito, pois para que ele possa ser utilizado, necessrio utilizar uma chave simtrica para import-lo no software cliente do usurio. Assim, o ataque teria sucesso apenas se o hacker capturar tambm a chave de importao do arquivo. Essa abordagem, de tornar imprescindvel a utilizao de dois elementos (arquivo de configurao e chave de importao), aumenta o nvel de segurana do esquema, j que mais difcil o hacker obter esses dois elementos distintos que se relacionam entre si. A grande questo est no modo em que esses elementos so enviados ao cliente. essencial que um canal seguro seja utilizado para a transferncia do arquivo de configurao e da chave de importao. Caso no seja possvel utilizar um canal seguro, o nvel de segurana do processo de transferncia pode ser incrementado utilizando-se dois canais diferentes, como por exemplo, o telefone e o e-mail, um para a transferncia do arquivo de configurao, e o outro para a transferncia da chave de importao. 3.2.2 Roubo ou Utilizao Equipamento do Usurio Indevida do

Alm disso, ainda possvel roubar o disco rgido de desktops de maneira relativamente simples. Alguns equipamentos possuem at mesmo uma gaveta removvel para o posicionamento do disco rgido, tornando assim mais fcil a ao de quem tem a inteno de roub-lo. Outra oportunidade perigosa ocorre quando um equipamento contendo o software cliente VPN enviado para a assistncia tcnica. possvel recuperar e copiar diversos tipos de informaes desse equipamento, o que pode comprometer a segurana do sistema. O que tambm pode ocorrer com o cliente VPN algum usar o equipamento emprestado em momentos de ausncia do dono para fazer a conexo VPN. Esses problemas podem ser minimizados de uma maneira simples, atravs da utilizao de uma senha de acesso no software cliente VPN. O seu nvel de segurana, no entanto, depende do mtodo de armazenamento da senha e do algoritmo criptogrfico utilizado pelo software. Uma anlise com relao a isso importante, pois diversos casos de senhas fceis de serem descobertas j foram relatados, como so os casos das utilizadas em documentos do Word ou do Excel, e at mesmo das senhas de login da rede Microsoft e dos protetores de tela. Alm dos problemas com os algoritmos, diversos mtodos de recuperao de senhas so conhecidos. Um desses mtodos pode ser visto em [SHA 98], onde so descritos sofisticados ataques algbricos e estatsticos utilizados para localizar chaves de criptografia escondidas em uma grande string ou em grandes arquivos. 3.3 Uma Possibilidade Perigosa Cliente VPN como Gateway Uma caracterstica que abre um grande leque de possibilidades de ataques a utilizao do cliente VPN como um gateway entre a Internet e a rede interna. Isso pode ocorrer porque o equipamento do usurio passa a ter duas conexes, uma com a Internet e outra, via tunelamento IPSec, com a rede da organizao. Deste modo, o hacker pode utilizar uma conexo (Internet) para passar para a outra (tnel IPSec), alcanando assim a rede da organizao. O nvel de segurana envolvido aqui portanto bastante preocupante, j que o cliente est disponvel (porm no aberto) a todo o universo da Internet. Essa ponte pode ser caracterizada porque o cliente VPN age sobre a pilha TCP/IP do cliente, de modo que todo pacote endereado rede da organizao transformado em um pacote IPSec, que so pacotes vlidos e autenticados. Ser analisada a seguir como isso possvel, e se um ataque dessa natureza pode mesmo ser

Uma outra possibilidade o roubo do equipamento do usurio. Roubando-se o equipamento, o acesso rede interna torna-se praticamente automtico, pois o software cliente j est apropriadamente configurado para o seu uso. Essa uma possibilidade que deve ser analisada com cuidado, j que tem sido observado um aumento significativo na criminalidade envolvendo roubos de notebooks.

utilizado contra a organizao. Ser visto que necessrio que o hacker seja capaz de rotear pacotes atravs desse cliente VPN, ou que ele tenha o controle sobre essa mquina, seja ele fisicamente, atravs de vrus ou cavalos-de-tria, ou ainda atravs de ataques para domin-la.

porm possvel mediante um ataque a esse equipamento. Uma possibilidade de forar o roteamento a utilizao de uma funcionalidade do TCP/IP, o source routing. Atravs dele possvel criar pacotes com informaes de roteamento, ou seja, possvel enviar um pacote para o equipamento do cliente VPN com informaes sobre qual rota esse pacote deve seguir, que nesse caso seria para a rede da organizao. Essa uma funcionalidade com enormes implicaes de segurana, j que permite que um hacker envie pacotes com informaes de roteamento para qualquer destino desejado, sendo que essa rota normalmente seria proibida. Alm disso, o source routing utilizado tambm para que firewalls sejam driblados, e para que uma rota de retorno dos pacotes seja definida, o que pode ser utilizado em ataques mais sofisticados, que dependem de uma resposta da vtima, e que so geralmente utilizados em conjunto com o IP Spoofing. Um ponto com relao ao source routing que essa funcionalidade pode ser utilizada tanto por hosts roteadores quanto por hosts que no atuam como roteadores. Por isso a preocupao que se deve ter tambm com o Windows NT Workstation e com o Windows 9x [MIC 99-4]. No Windows NT essa opo no podia ser desabilitada, o que possvel somente agora, atravs do Service Pack 5 [MIC 99-1]. Mesmo assim, foi descoberto uma vulnerabilidade no Windows que permitia a utilizao do source routing, mesmo ela estando desabilitada [NAI 99]. O patch de correo da vulnerabilidade est disponvel, menos para o Windows 9x e o Windows NT 4.0 Server, Terminal Server Edition [MIC 99-2]. 3.3.2 Ataques ao Sistema Operacional, aos Aplicativos e aos Servios Uma outra possibilidade de invadir a rede interna atravs do controle da mquina do usurio. Existem diversos ataques conhecidos que tiram proveito de falhas nos sistemas operacionais, nos aplicativos ou nos servios. Uma dessas inmeras falhas poderia ser utilizada para que o hacker assumisse o controle da mquina ou roubasse arquivos que seriam utilizados no ataque rede interna. Esse mesmo tipo de ataque poderia ainda ser utilizado para se alterar tabelas de roteamento, que teve a sua possibilidade descrita na seo anterior. Geralmente o Windows 9x e o Windows NT Workstation no disponibilizam muitos servios, e portanto so menos susceptveis a ataques. Um port scanning revelou as seguintes portas abertas nos sistemas operacionais da Microsoft em uma instalao padro:

ORGANIZAO

Hacker

INTERNET

Cliente VPN

Tnel IPSec Ponte atravs do cliente VPN

Fig. 2 Utilizando o cliente VPN como uma ponte entre a Internet e a rede da organizao.

3.3.1 Roteamento de Pacotes atravs do Cliente VPN Um dos mtodos para fazer com que o cliente VPN atue como um gateway entre a Internet e a rede da organizao atravs do roteamento de pacotes por esse cliente. Caso esse cliente possua a capacidade de roteamento, ento um hacker pode enviar pacotes para o cliente da Internet, que por sua vez rotearia esses pacotes para a rede da organizao. A capacidade de roteamento depende do sistema operacional em uso pelo cliente. Pode-se afirmar que os usurios que utilizam o Windows 9x ou o Windows NT Workstation esto imunes a esse tipo de ataque, pois esses sistemas operacionais no possuem essa capacidade. O mesmo no se pode dizer daqueles que utilizam o Windows NT Server, o Linux ou os sabores de Unix em geral, que so capazes de rotear pacotes. Porm, pela lgica, esses clientes no devem rotear pacotes para a rede interna da organizao, ou seja, rotas padres para a rede interna devem ser evitadas a todo custo. Portanto, primeiramente uma rota com destino rede interna da organizao deve ser includa, o que pode ser considerado difcil,

3.5 Problemas com Modems Windows 9x porta 139; Windows NT Workstation portas 135 e 139; Windows NT Server (funcionando como servidor proxy) portas 7, 9, 13, 17, 19, 135, 139, 1080. As portas 135 e 139 podem ser exploradas para ataques do tipo DoS, que o nico mtodo de ataque possvel conhecido para essas portas. Com isso, pode-se considerar que mquinas com Windows 9x ou Windows NT Workstation em sua instalao tpica, sem nenhum servio adicional e, principalmente, sem estar contaminado com um vrus ou cavalo-de-tria, possuem menores chances de serem explorados em um ataque do que o Linux, o Unix ou o Windows NT Server. 3.3.3 Vrus e Cavalos-de-Tria Os vrus e os cavalos-de-tria so uma das maiores ameaas ao esquema de segurana da VPN. Esse pode ser considerado o ponto mais crtico dentro do sistema de segurana do acesso remoto VPN, j que os usurios (o elo mais fraco da segurana de uma organizao) podem contaminar seus prprios equipamentos atravs da execuo de programas maliciosos, que geralmente adotam doses de engenharia social, como a que se iniciou com o vrus Melissa, que induzia o usurio a abrir o e-mail contaminado. Um cavalo-de-tria instalado, combinado com a possibilidade de existncia da conexo com a Internet e com o tnel VPN, torna possvel o mais perigoso dos ataques contra a rede interna da organizao, j que o hacker pode ter acesso a todos os dados da rede interna da organizao acessveis atravs da VPN. Mesmo a necessidade de uma chave para a inicializao do tnel perde a sua efetividade, j que um cavalo-de-tria, como o Back Orifice, pode capturar tudo o que o usurio digita, alm de ser possvel ainda capturar a tela do usurio. 3.4 Problemas com Compartilhamento de Arquivos do Windows Um outro ponto a ser considerado so os compartilhamentos de arquivos do Windows. Uma configurao equivocada do sistema operacional pode permitir que seus arquivos sejam acessveis no apenas pelos demais equipamentos da sua rede, mas tambm pela Internet (atravs da opo NetBEUI over TCP/IP). Com isso, as informaes residentes na mquina do cliente podem ficar disponveis atravs desse compartilhamento. Essas informaes podem ser confidenciais, tendo sido armazenadas no equipamento do cliente depois de uma conexo segura atravs de IPSec. O perigo dos modems foi analisado por Brian McWilliams em [McW 97], onde foi utilizado a tcnica de war dialing. Atravs dele, possvel discar para diversos nmeros de telefones em busca de conexes abertas, que podem servir de ponto de entrada para sistemas de computadores ou de telecomunicaes. Caso um equipamento com o software cliente VPN responda a uma dessas chamadas, ele pode ser explorado para que uma conexo rede da organizao seja iniciada.

4 SOLUES Foi visto que os problemas de segurana aparecem principalmente devido existncia de duas conexes no cliente, uma com a Internet e outra, via tnel IPSec, com a rede da organizao. Outros problemas so a segurana do certificado digital armazenado no equipamento do cliente, a possibilidade de ataques atravs de vrus e cavalosde-tria, o compartilhamento de arquivos do Windows, e a utilizao indiscriminada de modems. Todas essas possibilidades de ataques podem ser minimizadas atravs de uma boa poltica de segurana. esse o principal elemento de um sistema de segurana, e atravs da sua correta implementao e gerenciamento que muitos dos problemas podem ser eliminados. Alm da poltica de segurana bem definida, uma defesa mais ativa tambm deve ser utilizada, como por exemplo, a utilizao de port scannings ou de firewalls individuais nos clientes, como sero discutidas nas prximas sees. O papel do firewall dentro do esquema de acesso remoto VPN tambm discutido brevemente.

4.1 Firewall O firewall um elemento essencial na arquitetura de segurana de qualquer organizao. Ele essencial porque atua na borda da rede da organizao, realizando um controle de acesso onde apenas os usurios legtimos podem atravessar essa barreira. Na soluo que inclui no somente o acesso remoto VPN, mas a VPN em geral, o firewall tem a funo de aceitar somente os pacotes relativos aos servios disponveis (internamente e externamente), e os pacotes IPSec relativos VPN. A autenticao dos usurios baseada no IPSec, e como o posicionamento do gateway IPSec com relao ao firewall um tpico extenso e complexo, ele no ser analisado neste artigo. 4.2 Poltica de Segurana

A poltica de segurana fundamental para todas as organizaes, e deve tratar de diversos aspectos tcnicos, operacionais e organizacionais. Alguns dos aspectos que devem ser tratados pela poltica de segurana, com relao ao acesso remoto VPN, so: Segurana fsica, como por exemplo, o estabelecimento de regras para o acesso aos equipamentos, que evitam que eles sejam roubados ou sejam acessados temporariamente de modo indevido; Procedimentos em caso de roubo ou perda. Caso um notebook seja roubado, por exemplo, esse roubo deve ser notificado imediatamente, de modo que o seu certificado digital seja revogado nesse mesmo instante; Utilizao de senha no protetor de tela para evitar que terceiros utilizem o equipamento em horrios oportunos, como a hora do almoo, para ter o acesso rede da organizao via tnel IPSec. Procedimentos a serem tomados em caso de envio do equipamento assistncia tcnica tambm devem ser bem descritos, para se evitar a cpia dos dados do disco rgido; Definio de quais servios podem rodar nesses equipamentos. Foi visto que cada servio funciona como uma porta de entrada que o hacker pode explorar para a realizao de um ataque. Quanto menos portas abertas existirem, menores as possibilidades de ataques. Servios no essenciais devem ser portanto desabilitados; Uma poltica de atualizao dos sistemas operacionais/aplicativos/servios essencial, j que so essas atualizaes que trazem solues para bugs e vulnerabilidades que podem ser explorados pelos hackers; Procedimento para as conexes VPN. Uma das regras necessrias desconectar o cabo de rede no momento da conexo VPN, caso esse equipamento faa parte de uma outra rede. Na realidade, essa prtica deve ser utilizada sempre que um modem utilizado, para evitar que algum da Internet tenha acesso aos outros pontos dessa rede. No esquema do acesso remoto VPN, a desconexo do cabo de rede evita tambm que outros usurios da mesma rede desse cliente consigam entrar na rede interna da organizao via VPN; Uma poltica de preveno contra vrus e cavalosde-tria essencial, tanto com relao educao dos usurios, que precisam saber quais tipos de arquivos podem ser abertos e executados em seu

equipamento, quanto para atualizao dos anti-vrus;

utilizao

Poltica de utilizao de modems, principalmente no deixar o modem em espera, j que uma conexo externa pode comprometer no apenas a segurana da VPN, mas tambm da prpria rede da organizao; Poltica que trata do roteamento, que determina quais mquinas trabalham como roteadores ou se existe mesmo a necessidade de deixar a opo de source routing habilitada, o que uma situao extremamente rara. A poltica de segurana assim imprescindvel para a organizao. Porm, no caso do acesso remoto VPN, uma srie de complicaes vem tona Como implantar uma poltica de segurana em equipamentos de terceiros, que geralmente so utilizados tambm para outros fins? Como controlar, por exemplo, o equipamento de um revendedor que utilizado para controle das vendas, acesso Internet e leitura de e-mails, alm da conexo VPN? Como exigir que uma poltica de segurana seja seguida por esse usurio? Como garantir que essa poltica estar sendo seguida? Essa poltica poderia ser mais facilmente implementada caso os equipamentos pertencessem prpria organizao que disponibiliza o servio, j que permitiria um controle mais refinado do equipamento, podendo-se controlar o que o usurio pode instalar, o que o usurio pode acessar, o que o usurio pode apagar, etc. Porm, essa no uma situao que pode ser considerada normal, sendo portanto necessrio grandes esforos adicionais, como um acompanhamento eficiente e uma auditoria constante. Alm disso, medidas mais proativas tambm devem ser adotadas. Elas auxiliam na segurana da soluo, e algumas delas sero apresentadas a seguir. 4.3 Sem Acesso Simultneo com a Internet e com a VPN Foi visto que as possibilidades de ataques mais concretas so devidas ao fato do cliente VPN possuir uma conexo direta com a Internet e outra com a organizao, via tnel VPN. A utilizao do cliente VPN como gateway depende do source routing, portanto essa opo deve ser imediatamente desabilitada. Essa medida porm no elimina os riscos com os vrus e cavalosde-tria, que devem ser combatidos de outra forma, principalmente atravs de uma poltica de segurana eficiente. Os riscos podem ser eliminados se o cliente aceitar somente conexes IPSec. Isso eliminaria os

riscos de ataques ao sistema operacional/aplicativos/servios do cliente, alm de tornar a conexo VPN segura mesmo se o cliente VPN estiver contaminado com um vrus ou cavalode-tria, j que os comandos enviados ao equipamento contaminado seriam todos descartados. Mesmo se algum conseguir enviar pacotes IPSec ao equipamento, os certificados digitais sero sempre verificados, e como o cliente VPN no troca certificados com o hacker, essa conexo no ser permitida. Portanto, caso o cliente VPN possua essa opo de aceitar somente conexes IPSec, ela deve ser habilitada. Porm, o que se tem observado que essa possibilidade no implementada nos clientes VPN, principalmente devido complexidade envolvida quando uma conexo PPP discada utilizada. Uma alternativa poderia ser configurar o cliente VPN para que ele envie todos os seus pacotes somente atravs desse tnel IPSec, ou seja, todos os pacotes que so enviados atravs de seu modem devem ser transformados em pacotes IPSec para a rede da organizao. Isso faria com que um hacker da Internet consiga enviar pacotes ou comandos para o cliente VPN, porm ele no receberia de volta os pacotes de resposta, que seriam enviados rede da organizao, em vez de serem enviados ao hacker. Assim, o hacker no teria acesso a nenhuma informao da organizao. Essa soluo pode funcionar, porm com o custo de maior trfego na rede da organizao, e a possibilidade de ataques DoS. Do ponto de vista do usurio, a sua largura de banda com o provedor seria esgotado, e do ponto de vista da rede da organizao, seu canal com a Internet poderia ser comprometido caso haja um ataque coordenado, onde diversos clientes VPN enviam ao mesmo tempo uma quantidade muito grande de pacotes para a rede da organizao. Assim a rede da organizao ficaria inacessvel, o que resultaria em prejuzos. Essa situao pode ainda provocar uma possibilidade mais sria, onde o hacker poderia criar pacotes com comandos maliciosos que seriam enviados automaticamente para a rede da organizao via o cliente VPN. O hacker seria impossibilitado de obter respostas, porm a rede da organizao poderia passar a negar servios legtimos (ataque DoS). Uma soluo mais simples atravs da alterao da tabela de roteamento do cliente. A idia aqui a de eliminar o roteamento padro (default gateway), que inserido na tabela no momento da conexo do cliente com o provedor, e inserir apenas duas rotas: uma para o provedor, enviando os pacotes atravs da conexo PPP, e outra para o gateway VPN, enviando os pacotes para o provedor. Desta forma, o cliente seria capaz de enviar pacotes apenas para o provedor e para o gateway VPN, passando por

esse provedor. O envio de pacotes para outros destinos no seria possvel apenas com essas duas rotas. Os problemas envolvidos na alternativa anterior, onde o hacker teria a chance de enviar pacotes maliciosos para o cliente, causando negao de servios, ainda vlido para este caso. Ele apenas no capaz de obter respostas a esses pacotes. 4.4 Port Scannings Atravs da utilizao de port scannings (varredura de portas TCP/IP) nos clientes VPN possvel verificar quais servios esto rodando nos respectivos equipamentos, alm de ser possvel determinar tambm se ele est ou no contaminado com determinados vrus ou cavalos-de-tria. Assim, caso uma contaminao ou servios indevidos ou desnecessrios sejam detectados, as devidas providncias podem ser tomadas. O port scanning poderia ser um requerimento para o estabelecimento de uma conexo VPN entre o cliente e a rede da organizao. Uma regra que poderia ser utilizada que a conexo s seja efetivada depois de uma varredura. Outra regra poderia ser que a varredura seja executada periodicamente, dependendo da poltica de segurana da organizao. Alm do port scanning, que verifica as portas abertas, o scanning de vulnerabilidades tambm poderia ser utilizado, de acordo com as necessidades. Isso minimizaria as possibilidades de ataques, j que vulnerabilidades de sistemas operacionais, aplicativos e servios seriam detectados e corrigidos, teoricamente, antes que os hackers mais comuns tirassem proveitos deles. A dificuldade em se adotar essa prtica est no processo de execuo das varreduras, j que os endereos IPs dos clientes so dinmicos. Varreduras em sistemas no autorizados podem resultar em diversos problemas ticos e legais, e por isso ele deve ser feito com extremo cuidado, e apenas em equipamentos nos quais se tenha a certeza que esto se conectando rede da organizao. 4.5 Firewall Individual A utilizao do firewall individual pode minimizar grande parte dos problemas de segurana. Esse tipo de firewall atua na camada de enlace de dados do equipamento do usurio, e filtra pacotes IP (TCP, UDP, ICMP), e outros como o NetBEUI, IPX, ARP. Atravs dele possvel controlar acessos aos recursos, monitorar todo o trfego gerado ou que chega ao sistema, gerar regras de acordo com uma aplicao especfica que

est funcionando, e gerar registros de todos os acessos do sistema [SIG 99]. possvel criar regras de acordo com as seguintes caractersticas [SIG 99]: Quando um aplicativo especfico est funcionando; Em determinado dispositivo Ethernet ou serial; Quando um nmero de telefone especfico utilizado; Para servios, arquivos ou compartilhamentos especficos; Para endereos IPs especficos; Para direo de fluxo dos pacotes; Para usurios especficos; Para conexes VPN ou conexes discadas. Assim, atravs de um firewall individual possvel obter um controle sobre as conexes do cliente, de modo que uma poltica poderia definir a exigncia de sua utilizao. Isso eliminaria os problemas com cavalos-de-tria, que poderiam ainda infectar o cliente. Porm o cliente no poderia ser controlado atravs dos comandos, que no chegariam a ele, j que eles seriam bloquados pelo firewall individual. Os problemas envolvendo o roteamento atravs do cliente tambm poderia ser contornado. Porm, no se deve esquecer que um vrus sempre pode reescrever essas regras do firewall individual, mesmo que isso exija um trabalho extra para o atacante. Alm disso, basta que a soluo fique conhecida para que ela passe a se tornar tambm alvos dos atacantes. Isso refora novamente a importncia de uma poltica de segurana bem definida.

Internet e a rede interna da organizao. Roteamento, vrus e cavalos-de-tria so os elementos envolvidos nessas conexes mltiplas, que incluem ainda o source routing, relacionado com o roteamento. O uso de ports scannings e scannings de vulnerabilidades regulares realizam uma auditoria de quem deseja se conectar rede via VPN, de modo que servios desnecessrios, equipamentos contaminados com vrus ou cavalos-de-tria, e vulnerabilidades possam ser identificados. O firewall individual incrementa o nvel de segurana do sistema ao atuar na camada de enlace de dados e permitir a criao de diversas regras que impedem a atuao de vrus, cavalos-de-tria e a utilizao do cliente como um gateway. Assim, o acesso remoto VPN traz uma srie de benefcios organizao e a seus usurios, porm incrementa as implicaes de segurana na rede da organizao. Abrir a rede interna para esses usurios requer que os cuidados citados acima sejam tomados para se evitar problemas maiores, que podem aparecer posteriormente. Os problemas discutidos so pertinentes a um ambiente cooperativo, principalmente devido sua conexo com a Internet. Os ambientes cooperativos so um fato no mundo atual, onde a competitividade global exige novas solues em seus processos de negcios. E essas novas solues necessitam de segurana suficiente para que elas sejam justificveis.

REFERNCIAS BIBLIOGRFICAS [BAY 98] Bay Networks. Understanding and Implementing Virtual Private Networking (VPN) Services. http://www.baynetworks.com/products/ Papers/2746.html. 29/01/99. [BEL 97] BELLOVIN, Steven M. Probable Plaintext Cryptanalysis of the IP Security Protocols. AT&T Labs Research. Florham Park, NJ, USA: 1997. Check Point Software Technologies Ltd. http://www.checkpoint.com. 04/01/99.

CONCLUSO O uso de VPNs essencial para as organizaes, por possibilitar as conexes entre seus clientes, fornecedores, parceiros e funcionrios. Sua importncia cresce porque a sua implantao simples e o retorno econmico grande. Porm, as implicaes de segurana que aparecem quando se utiliza uma rede pblica, como a Internet, so bastante relevantes, e incluem ainda a utilizao de um firewall. Alm dos cuidados com possveis problemas na implementao do IPSec, do cliente VPN e no projeto da VPN, uma poltica de segurana bem definida para os clientes que forem utilizar a VPN essencial. Os problemas de segurana que podem existir so de natureza fsica (roubo do equipamento ou acesso fsico a esse equipamento) e principalmente quanto possibilidade de conexes mltiplas (com a Internet e com o tnel VPN), que podem tornar esse cliente um gateway entre a

[CHE 98]

[CHE 98-1] Check Point Software Technologies Ltd. Redefining the Virtual Private Network. March 4, 1998. [CHE 98-2] Check Point Software Technologies Ltd. Virtual Private Network

Security Components A Technical White Paper. March 23, 1998. [FOR 98] Forrester Research Inc. http://www.forrester.com. 04/01/99.

[SIG 99]

SIGNAL 9 SOLUTIONS. ConSeal PC Firewall. 10/08/99. http://www.signal9.com. STUTZ, Michael. Wardialer Goes Corporate. October 7, 1998. 27/08/99. http://www.jammed.com/Lists/ISN/199 8-Oct/ISN-774

[STU 98] [GAR 98] GARFINKEL Simson L. Advanced Telephone Auditing with PhoneSweep: A Better Alternative to Underground War Dialers. 1999. 27/08/99. http://www.mids.org/mn/812/sim.html [ISS 99] ISS Internet Security Systems. ISS XForce White Paper Back Orifice 2000 Backdoor Program. September 1999.b

[McW 97] McWilliams, Brian. Did You Forget to Lock the Back Door?. PC World News Radio. September 19, 1997. 27/08/99. http://www.pcworld.com/news/daily/da ta/0997/970919181153.html [MIC 99-1] Microsoft Corporation. TCP/IP Source Routing Feature Cannot Be Disabled. 18/08/99. http://support.microsoft.com/support/kb /articles/q217/3/36.asp [MIC 99-2] Microsoft Corporation. Microsoft Security Bulletin (MS99-038) Patch Available for Spoofed Route Pointer Vulnerability. September 20, 1999. 22/09/99. http://securityportal.com/topnews/ms99 -038.html [MIC 99-3] Microsoft Corporation. Data in Route Pointer Field Can Bypass Source Routing Disable. September 20, 1999. 22/09/99. http://support.microsoft.com/support/kb /articles/q238/4/53.asp [MIC 99-4] Microsoft Corporation. Microsoft Security Bulletin (MS99-038): Frequently Asked Questions. September 20, 1999. 22/09/99. http://www.microsoft.com/security/bull etins/ms99-038faq.asp [NAI 99] Network Associates, Inc. Security Advisory Windows IP Source Routing Vulnerability. September 20, 1999. 22/09/99. http://securityportal.com/topnews/nai19 990920.html SHAMIR, Adi; SOMEREN, Nicko van. Playing Hide and Seek With Stored Keys. September 22, 1998.

[SHA 98]