[VPN] Tipos e Configurações | Minissérie Sobre VPN [4/5]
As VPNs oferecem uma conectividade flexível e escalável. As conexões do tipo ponto-a-ponto, por exemplo, podem fornecer uma conexão segura, rápida e confiável aos funcionários remotos. Esta é a opção mais comum, combinada com o acesso remoto por banda larga, a fim de estabelecer uma VPN segura sobre a Internet pública. Nesta etapa veremos quais os principais tipos e configurações de uma VPN e o que a torna uma solução boa e viável a nível de segurança.
Esta matéria, vem hoje abordar alguns temas mais complexos sobre os conceitos de VPN. É interessante que o usuário os conheça antes de realmente optar por sua utilização. Porém, se chegou até aqui e apenas deseja instalar ou configurar o serviço em seu dispositivo, acesse a Parte Final desta minissérie, clicando aqui.
Índice
O Tunelamento
No decorrer desta minissérie, já vimos vários conceitos e termos relacionados a utilização de VPN, dentre estes os mais comum é o Tunelamento e a Criptografia.
A técnica de tunelamento consiste no encapsulamento de um protocolo dentro de outro. Ela permite que um pacote seja enviado com segurança através de uma rede pública como a Internet.
A idéia é a mesma de um túnel rodoviário: uma entrada, uma saída e, quem está do lado de fora, não consegue ver quem está passando pelo interior.
Todas as comunicações em uma rede têm uma origem e são enviadas para um destino, e as informações emitidas em uma rede são chamadas de dados ou pacote de dados (dependendo da camada). Se um computador desejar enviar dados para outro computador, os dados devem primeiro ser “empacotados” através de um processo chamado encapsulamento. (VENTURA, 2002).
O encapsulamento é o processo que empacota as informações necessárias de um protocolo antes de trafegar pela rede.
As redes virtuais privadas baseiam-se na tecnologia de tunelamento cuja existência é anterior às VPNs. O uso do tunelamento nas VPNs incorpora um novo componente a esta técnica: antes de encapsular o pacote que será transportado, este é criptografado de forma a ficar ilegível caso seja interceptado durante o seu transporte. O pacote criptografado e encapsulado viaja através da Internet até alcançar seu destino onde é desencapsulado e decriptografado, retornando ao seu formato original.
Uma característica importante é que pacotes de um determinado protocolo podem ser encapsulados em pacotes de protocolos diferentes.
Observe a figura abaixo. Note que o processo de tunelamento envolve encapsulamento, transmissão ao longo da rede intermediária e desencapsulamento do pacote.
Protocolos de tunelamento
Para se estabelecer um túnel é necessário que as suas extremidades utilizem o mesmo protocolo de tunelamento. O túnel pode ocorrer na camada 2 ou 3 do Modelo OSI.
- Tunelamento em Nível 2 – Enlace – (PPP sobre IP):
O objetivo é transportar protocolos de nível 3, tais como o IP e IPX na Internet. Os protocolos utilizam quadros como unidade de troca, encapsulando os pacotes da camada 3 (como IP/IPX) em quadros PPP (Point-to-Point Protocol). Como exemplos podemos citar:- PPTP (Point-to-Point Tunneling Protocol) da Microsoft permite que o tráfego IP, IPX e NetBEUI sejam criptografados e encapsulados para serem enviados através de redes IP privadas ou públicas como a Internet.
- L2TP (Layer 2 Tunneling Protocol) da IETF (Internet Engineering Task Force) permite que o tráfego IP, IPX e NetBEUI sejam criptografados e enviados através de canais de comunicação de datagrama ponto a ponto tais como IP, X25, Frame Relay ou ATM.
- L2F (Layer 2 Forwarding) da Cisco é utilizada para VPNs discadas.
- Tunelamento em Nível 3 – Rede – (IP sobre IP):
Encapsulam pacotes IP com um cabeçalho adicional deste mesmo protocolo antes de enviá-los através da rede.- O IP Security Tunnel Mode (IPSec) da IETF permite que pacotes IP sejam criptografados e encapsulados com cabeçalho adicional deste mesmo protocolo para serem transportados numa rede IP pública ou privada. O IPSec é um protocolo desenvolvido para IPv6, devendo, no futuro, se constituir como padrão para todas as formas de VPN caso o IPv6 venha de fato substituir o IPv4. O IPSec sofreu adaptações possibilitando, também, a sua utilização com o IPv4.
Funcionamento dos Túneis
Nas tecnologias orientadas à camada 2 (enlace), um túnel é similar a uma sessão, onde as duas extremidades do túnel negociam a configuração dos parâmetros para estabelecimento do túnel, tais como endereçamento, criptografia e parâmetros de compressão. Na maior parte das vezes, são utilizado s protocolos que implementam o serviço de datagrama. A gerência do túnel é realizada através protocolos de manutenção. Nestes casos, é necessário que o túnel seja criado, mantido e encerrado. Nas tecnologias de camada 3, não existe a fase de manutenção do túnel. (RNP, 1998).
Uma vez que o túnel é estabelecido os dados podem ser enviados. O cliente ou servidor do túnel utiliza um protocolo de tunelamento de transferência de dados que acopla um cabeçalho preparando o pacote para o transporte. Só então o cliente envia o pacote encapsulado na rede que o roteará até o servidor do túnel. Este recebe o pacote, desencapsula removendo o cabeçalho adicional e encaminha o pacote original à rede destino. O funcionamento entre o servidor e o cliente do túnel é semelhante. (RNP, 1998).
O tunelamento é importante, porque um túnel IP pode guardar qualquer tipo de dados de usuários, e o usuário móvel pode utilizar a VPN para acessar a rede da organização, seja ela com base em IP, IPX, AppleTalk ou em outros protocolos. (NAKAMURA; GEUS, 2007).
Tipos de VPNs
Diversos tipos de VPNs podem ser utilizados para o acesso às informações. Os túneis VPN podem ser criados tanto na própria rede da organização (via um gateway), o que ocorre comumente em ambientes cooperativos, quanto no próprio equipamento do usuário, o que é uma situação comum em acesso remoto. (NAKAMURA; GEUS, 2007).
Existem vários tipos de implementação de VPNs. Cada uma tem suas especificações próprias, assim como características que devem ter uma atenção especial no momento de sua implementação. Entre os tipos de VPN, destacam-se três principais:
- Intranet VPN (gateway-to-gateway VPN e client-to-gateway VPN): Exige uma tecnologia de ponta para as conexões de grande velocidade, que são características das LANs, além de uma confiabilidade que seja suficiente para assegurar a prioridade em aplicações de missão crítica. A confiabilidade vem garantir a prioridade de aplicações críticas, como por exemplo, sistemas financeiros, banco de dados. A facilidade de gerenciamento também é muito importante, visto que numa rede interna, tem-se constantes mudanças de usuários, seus direitos, etc.
- Extranet VPN: pode requerer a utilização de um protocolo de tunelamento para assegurar a interoperabilidade entre as várias soluções dos parceiros, pois o controle de tráfego é importante para que os gargalos sejam evitados e para que a rápida resposta às requisições de informações críticas seja garantida. São implementadas para conectar uma empresa à seus sócios, fornecedores, clientes, etc. Para isso é necessário uma solução aberta, para garantir a interoperabilidade com as várias soluções que as as empresas envolvidas possam ter em suas redes privadas.
- Acesso Remoto VPN (remote-access VPN): Conecta uma empresa à seus empregados que estejam distante fisicamente da rede. Neste caso torna-se necessário um software cliente de acesso remoto. Os usuários móveis e funcionários à distância utilizam amplamente as VPNs de acesso remoto.Quanto aos requisitos básicos, o mais importante é a garantia de QoS (Quality of Service), isto porque, geralmente quando se acessa remotamente de um laptop, você está limitado à velocidade do modem. Outro item não menos importante é uma autenticação rápida e eficiente, que garanta a identidade do usuário remoto. E por último, um fator importante, é a necessidade de um gerenciamento centralizado desta rede, já que ao mesmo tempo, pode-se ter muitos usuários remotos logados, o que torna necessário que todas as informações sobre os usuários, para efeitos de autenticação por exemplo, estejam centralizadas num único lugar.
Conclusão
O estudo dos conceitos repassados nesta etapa da Minissérie Sobre VPN, embora possa assustar alguns, faz-se necessário para uma melhor compreensão do assunto, afinal o tema “túnel virtual” é comumente utilizado para se referir a utilização de VPNs.
O conceito de tunelamento foi utilizado, inicialmente, com o objetivo de possibilitar a comunicação entre organizações que utilizam um determinado protocolo, empregando um meio que tem como base um outro protocolo diferente. Sua utilização com o tempo, foi ampliada para diversas situações e necessidades corporativas. (NAKAMURA; GEUS, 2007).
A escolha para implementação do melhor tipo de VPN a ser utilizado, varia em cada corporação. Por isso, assim como indicado nos artigos anteriores, o ideal é sempre verificar e especificar em documentação a real necessidade, custos e riscos no projeto final.
Aos usuários domésticos, vale a dica de ponderar a sua capacidade e largura de banda da rede, já que, dependendo do tipo escolhido, pode pesar em muito na utilização de sua banda.
A próxima etapa desta minissérie, finaliza os “Conceitos de utilização de VPN” e sugere alguns softwares/aplicativos para utilização pelos usuários domésticos.
PARTE 3 – FUNÇÕES | VISUALIZAR TODOS | PARTE FINAL – DICAS E APLICAÇÕES
Viu algum erro ou gostaria de adicionar alguma sugestão a essa ou outra matéria? Colabore, clique aqui.
Fontes
Livros e Materiais Didáticos
- NAKAMURA, Emilio Tissato; GEUS, Paulo Lício de. Segurança de Redes em Ambientes Cooperativos. 2007. Brasil. Editora NOVATEC.
- MIRANDA, Ivana Cardial de. Seminário VPN – Redes Privadas Virtuais, 2002, Rio de Janeiro. Orientador Otto Carlos Muniz Bandeira Duarte.
- FALBRIARD, C. Protocolos e aplicações para redes de computadores. São Paulo: Érika, 2002. GUIMARÃES, A. G.; LINS, R. D.; OLIVEIRA, R. Segurança com redes privadas virtuais VPNs. Rio de Janeiro: Brasport, 2006.
Internet
Pentester, Especialista em Segurança de Redes e Testes de Invasão, Programador, Consultor e Professor de T.I.. Geek Inveterado, Apaixonado por Segurança da Informação e Louco por GNU/Linux. Dedica grande parte do seu tempo para criar soluções que ajudem dezenas de milhares de pessoas com dicas e artigos em Tecnologia e Segurança da Informação. Possui algumas Certificações em Ethical Hacking, Cabling System, Security+, SIEM Netwitness, SIEM SNYPR Securonix e Proficiência em Soluções de Vulnerability Management da Tenable.