VPN - VIRTUAL PRIVATE NETWORK

REDES VIRTUAIS PRIVADAS

Alfredo Alves da Silva Neto, Técnico em Eletrônica,CCNA-M4 pela academia Cisco Poli - UPE – 2009 -MCTIP – MCTS – MCT –MCSA Infra Estrutura de Servidores e Virtualização Graduado em Gestão de SI - IPESU Recife,PE 2011alves_servtec@yahoo.com.br

O QUE É VPN?

� As VPNs (Virtual Private Networks) são redes quepossibilitam um acesso privado de comunicação,utilizando-se redes públicas já existentes, como aInternet. O termo refere-se a combinação detecnologias que asseguram a comunicação entredois pontos, através de um "túnel" que simula umacomunicação ponto-a-ponto inacessível à "escutasclandestinas" e interferências.

COMO SURGIU?

� O conceito de VPN surgiu da necessidade de seutilizar redes de comunicação não confiáveis paratrafegar informações de forma segura.

� As redes públicas são consideradas não confiáveis,tendo em vista que os dados que nelas trafegamestão sujeitos a interceptação e captura. Emcontrapartida, estas tendem a ter um custo deutilização inferior aos necessários para oEstabelecimento de redes proprietárias,envolvendo a contratação de circuitos exclusivos eindependentes.

� Com o explosivo crescimento da Internet, o constanteaumento de sua área de abrangência, e a expectativade uma rápida melhoria na qualidade dos meios decomunicação associado a um grande aumento nasvelocidades de acesso e backbones, esta passou a servista como um meio conveniente para as comunicaçõescorporativas. No entanto, a passagem de dadossensíveis pela Internet somente se torna possível com ouso de alguma tecnologia que torne esse meioaltamente inseguro em um meio confiável. Com essaabordagem, o uso de VPN sobre a Internet parece seruma alternativa viável e adequada. No entanto,veremos que não é apenas em acessos públicos que atecnologia de VPN pode e deve ser empregada.

Para que serve?

� Uma VPN aproveita os serviços das redes IPespalhadas mundialmente, inclusive a Internet, ouaté mesmo os provedores de serviços baseadosem IP backbones privados, os quais apesar delimitados em alcance, poderão oferecer um umamelhor performance de serviço que a Internet, emdetrimento do aumento de custos. Fazendo-seentão, uma mistura de serviços prestados pelaInternet e serviços prestados por IP´s backbonesprivados, uma corporação poderá tirar vantagenssobre a performance do serviço e a redução doscustos.

FIGURA 01:

FIGURA 02:

FIGURA 03:

VPN - VIRTUAL PRIVATE NETWORK

FUNÇÕES BÁSICAS :

� A utilização de redes públicas tende a apresentarcustos muito menores que os obtidos com aimplantação de redes privadas, sendo este,justamente o grande estímulo para o uso de VPNs.No entanto, para que esta abordagem se torneefetiva, a VPN deve prover um conjunto de funçõesque garanta Confidencialidade, Integridade eAutenticidade.

CONFIDENCIALIDADE

� Tendo em vista que estarão sendo utilizados meiospúblicos de comunicação, a tarefa de interceptaruma seqüência de dados é relativamente simples.É imprescindível que os dados que trafeguemsejam absolutamente privados, de forma que,mesmo que sejam capturados, não possam serentendidos.

INTEGRIDADE

� Na eventualidade dos dados serem capturados, énecessário garantir que estes não sejamadulterados e re-encaminhados, de tal forma quequaisquer tentativas nesse sentido não tenhamsucesso, permitindo que somente dados válidossejam recebidos pelas aplicações suportadas pelaVPN.

AUTENTICIDADE

� Somente usuários e equipamentos que tenhamsido autorizados a fazer parte de uma determinadaVPN é que podem trocar dados entre si; ou seja,um elemento de uma VPN somente reconhecerádados originados em por um segundo elementoque seguramente tenha autorização para fazerparte da VPN.

Dependendo da técnica utilizada na implementaçãoda VPN, a privacidade das informações poderá sergarantida apenas para os dados, ou para todo opacote (cabeçalho e dados). Quatro técnicaspodem ser usadas para a implementação desoluções VPN:

� Modo TransmissãoSomente os dados são criptografados, nãohavendo mudança no tamanho dos pacotes.Geralmente são soluções proprietárias,desenvolvidas por fabricantes.

� Modo TransporteSomente os dados são criptografados, podendo

haver mudança no tamanho dos pacotes. É umasolução de segurança adequada, paraimplementações onde os dados trafegam somenteentre dois nós da comunicação.

� Modo Túnel CriptografadoTanto os dados quanto o cabeçalho dos pacotessão criptografados, sendo empacotados etransmitidos segundo um novo endereçamento IP,em um túnel estabelecido entre o ponto de origeme de destino.

� Modo Túnel Não CriptografadoTanto os dados quanto o cabeçalho sãoempacotados e transmitidos segundo um novoendereçamento IP, em um túnel estabelecido entreo ponto de origem e destino. No entanto, cabeçalhoe dados são mantidos tal como gerados na origem,não garantindo a privacidade.

QUAIS AS VANTAGENS COMPETITIVAS DAS

EMPRESAS COM O USO?

� Como visto anteriormente, as VPN´s permitemestender as redes corporativas de uma empresa àpontos distantes da mesma, como outrosescritórios, filiais, parceiros e até mesmo umaresidência. Porém, ao invés de se utilizar de umgrande número linhas dedicadas para ainterconexão entre seus diversos pontos, o queonera muito o custo da rede (aluguel de linhasdedicadas, manutenção de diversos links paracada conexão, manutenção de equipamentos paradiferentes conexões, uso de vários roteadores,monitoramento de tráfico nas portas de acessoremoto, grande número de portas, etc.).

� Uma VPN aproveita os serviços das redes IPespalhadas mundialmente, inclusive a Internet, ouaté mesmo os provedores de serviços baseadosem IP backbones privados, os quais apesar delimitados em alcance, poderão oferecer um umamelhor performance de serviço que a Internet, emdetrimento do aumento de custos. Fazendo-seentão, uma mistura de serviços prestados pelaInternet e serviços prestados por IP´s backbonesprivados, uma corporação poderá tirar vantagenssobre a performance do serviço e a redução doscustos.

VANTAGENS:

� Redução de custos com links de dados;

� Escalabilidade;

� Disponibilidade;

� Acessibilidade;

� Gerenciamento e manutenção com baixo custo;

REDE PRIVADA CONVENCIONAL VERSUS VPNS:

COMPARAÇÃO DOS CUSTOS ENTRE UMA REDE TRADICIONAL E UMA VPN

EXEMPLO DE VPN EM UMA EMPRESA:

Figura 04:

FIGURA 05:

� Modelo implementado em uma Empresa X:

Situação anterior:

� Bancos de dados descentralizados, falhas nassincronizações dos bancos, relatórios de vendasinconsistentes e falhas no gerenciamento dasinformações vitais da empresa;

SOLUÇÃO:

� Instalados tuneis criptografados (VPNs)convergindo com a matriz da Empresa ecentralizando o Banco de Dados gerando umainformação única e eficaz, com links decontingência para garantir a disponibilidade dossistemas ERP, CRM,CFTV RDS etc.

LISTA DOS TUNEIS VPN DO GRUPO DE REDES

DA EMPRESA X:

FIGURA 6:TELA DE EXEMPLO DE UM ROUTER VPN:

FIGURA 07:MODELO CENTRALIZADO:

SOLUÇÕES COM VPN

� Existe componentes básicos para a implementaçãode uma VPN baseada na Internet: a Internet,gateways seguros, servidores com políticas desegurança e chaves criptográficas ou certificadosde autenticidade.� A Internet provê a "sustentação" de uma VPN e os

gateways seguros são colocados na fronteira entrea rede privada e a rede pública para prevenirem aentrada de intrusos, e ainda são capazes defornecer o tunelamento e a criptografia antes datransmissão dos dados privados pela rede pública.Os gateways seguros podem ser: roteadores,firewalls, hardwares específicos e softwares.

� Como roteadores necessitam examinar e processarcada pacote que deixa a LAN, parece naturalincluir-se a criptografia dos pacotes nos roteadores.Por isso existe no mercado dois produtos quedesempenham esta função em roteadores:softwares especiais (software adicionado aoroteador) ou placas com co-processadores quepossuem ferramentas de criptografias (hardwareadicionado ao roteador). A grande desvantagemdessas soluções é que, se o roteador cair, a VPNtambém cairá.

� As firewalls, assim como os roteadores, tambémdevem processar todo o tráfico IP, neste caso,baseando-se em filtros definidos pelas mesmas.Por causa de todo o processamento realizado nafirewalls , elas não são aconselhadas paratunelamento de grandes redes com grande volumede tráfico. A combinação de tunelamento ecriptografia em firewalls será mais apropriada pararedes pequenas com pouco volume de tráfico (1 a2Mbps sobre um link de WAN). Da mesma formaque os roteadores, as firewalls podem ser umponto de falha de VPNs.

� Por último, certificados de autenticidade sãonecessários para verificar as chaves trocadas entresites ou usuários remotos. As corporações podempreferir manter seu próprio banco de dados decertificados digitais para seus usuário através de umservidor de certificado ou, quando o número de usuáriosfor pequeno, a verificação da chaves poderá requerer ointermédio de uma terceira parte, a qual mantém oscertificados digitais associados a chaves criptográficas,pois a manutenção de um servidor para isso será muitoonerosa.

A ESCOLHA DO TIPO DE SOLUÇÃO PARA UMA VPN.

O FUTURO DA VPN: IPSEC X MPLS

� O IPSec tem sido considerado a melhor evolução paraambientes IP por incluir fortes modelos de segurança -criptografia , autenticação e troca de chaves - mas nãofoi desenvolvido para suportar outros tipos de pacotesalém do IP. No caso de pacotes multi-protocolos, devemser usados protocolos PPTP ou L2TP que suportamoutros tipos de pacotes de dados.

� O MPLS segue como tendência como protocolo pararedes WAN devido ao melhor valor agregado porincorporar dados e voz entre outros serviçossimultaneamente e o mesmo pode substituir o IPSECcomo protocolo seguro pois pode operar tanto nacamada 2 como intermediar a camada 3 do modeloOSI, O gestor de SI deve se fazer valer no que melhoratende as necessidades da Empresa.

CONCLUSÃO

� A segurança é o ponto mais importante a ser considerado naescolha de uma solução de VPN. OS protocolos hojeexistente oferecem um bom nível de segurança.� O conjunto de protocolos IPSec é o mais completo a nível

tecnológico existente atualmente para a criação de VPNsrealmente seguras, além de ser integrado às especificaçõesdo IPv6, o que o fará tornar-se o padrão de fato na Internet.� Um número cada vez maior de fabricantes estão anunciando

suporte ao IPSec, tanto a nível de hardware como desoftware. Alguns exemplos são a 3Com, Sonicwall e Microsofta partir da versão 2003 Windows Server.� Como a racionalização de custos é uma necessidade

mundial, as VPNs são uma opção tentadora para os gerentesde rede, e devem ter seu espaço no mercado ocupado deforma acentuada em um futuro próximo, já sendo possívelvermos no mercado várias ofertas de provedores oferecendoo serviço na Internet.

ACRÔNIMOS

� ATM asynchronous transfer mode

� CHAP challenge handshake authentication protocol

� GRE generic routing encapsulation

� IETF Internet Engineering Task Force

� IKE Internet key exchange

� IPSec Internet protocol security protocol

� IPX Internet packet exchange

� ISDN integrated services digital network

� ISP Internet service provider

� L2F layer 2 forwarding

� L2TP layer 2 tunneling protocol

� LAN local area network

� MPPE Microsoft point-to-point encryption

� NetBEUI network basic input/output system extended user interface

� PAP password authentication protocol

� POP point of presence

� PPP point-to-point protocol

� PPTP point-to-point tunneling protocol

� PVC permanent virtual circuit

� TCP/IP transmission control protocol/Internet protocol

� VPN virtual private network

� WAN wide area network

� xDSL digital subscriber line

PERGUNTAS?

REFERÊNCIAS

� "Virtual Private Networks: A Partnership Between Service Providers and Network Managers" e "What's a VPN Anyway?"

� "Virtual Private Networks (VPNs)"

� "Redefining the Virtual Private Network (VPN)"

� "Hey, look! It's Paul Ferguson's home page!"

� "VPN Virtual Private Network"

� Site:� “http://www.gta.ufrj.br/grad/98_2/andre/index.html”

Acessado em 18/09/2010

Obrigado!