Pesquisar no site

Contato

Tecnologiadarede

fassisaraujo@gmail.com

VPN - Virtual Private Networks

07/10/2010 23:16

Virtual Private Networks

 

Introdução

Quando temos uma conexão dedicada entre dois pontos, não temos muitas preocupações em termos de segurança, já que o circuito ponto a ponto nos pertence e não é compartilhado com mais ninguém. Entretanto, com a crescente oferta de banda e melhora de performance dos links da internet, muitas empresas enxergaram um modo barato de interconectar dois pontos remotos. O problema é que a internet é um meio publico, ou seja, além de não pertencer à sua empresa, è compartilhado por milhões de pessoas.

Muitas empresas têm instalações espalhadas por todo o país ou ao redor do mundo, e há uma coisa que todos eles precisam: uma forma de manter uma comunicação rápida, segura e confiável onde seus escritórios estejam.

Até recentemente, isso significou o uso de linhas dedicadas para manter uma rede de área ampla (WAN). Linhas dedicadas, variando desde ISDN (integrated services digital network, 128 Kbps) para OC3 (Optical Carrier-3, 155 Mbps) fibra, desde que uma empresa com uma forma de expandir a sua rede privada além de sua área geográfica imediata. A WAN tem clara vantagem sobre uma rede pública como a Internet, quando ele veio para, desempenho, confiabilidade e segurança. Mas manter uma rede WAN, especialmente quando usamos linhas dedicadas, pode se tornar muito caro e muitas vezes aumenta o custo a medida que a distância entre os de escritórios aumenta.

Como a popularidade da Internet cresceu, as empresas se voltaram para ele como um meio de ampliar suas próprias redes. Primeiro veio as intranet, que são protegidos por senha sites projetados para uso somente por funcionários da empresa. Agora, muitas empresas estão criando suas próprias VPN (rede privada virtual) para acomodar as necessidades de funcionários conectados remotamente ou de escritórios distantes.

Basicamente, uma VPN é uma rede privada que usa uma rede pública (geralmente a Internet) para conectar pontos remotos ou usuários. Uma VPN usa conexões virtuais roteadas através da Internet a partir da rede privada da empresa para o ponto remoto ou empregado.

O que faz uma VPN?

Uma VPN bem projetada pode beneficiar muito uma empresa. Por exemplo, pode:

  • Estender a conectividade geográfica.
  • Melhorar a segurança.
  • Reduza os custos operacionais versus WAN tradicionais.
  • Reduzir custos de tempo de trânsito e transporte para os usuários remotos.
  • Melhorar a produtividade.
  • Simplificar a topologia da rede.
  • Proporcionar oportunidades de networking global.
  • Prestar apoio teletrabalhador.
  • Fornecer banda larga compatibilidade de rede.
  • Fornecer mais rápido ROI (retorno sobre o investimento) do que a tradicional WAN.

Que recursos são necessários em uma VPN bem projetada? Ele deve incorporar:

  • Segurança
  • Confiabilidade
  • Escalabilidade
  • gerenciamento de rede
  • gestão da Política

 

VPN de acesso remoto

Existem dois tipos comuns de VPN. Remoto acesso, também chamado de virtual private network-dial up (VPDN), é um-para-LAN conexão do usuário usado por uma empresa que tem funcionários que precisam se conectar à rede privada de vários locais remotos. Normalmente, uma empresa que pretende configurar uma VPN de acesso remoto grande vai terceirizar para um provedor de serviços da empresa (ESP). O ESP configura um servidor de acesso à rede (NAS) e fornece a usuários remotos com o software cliente de desktop para seus computadores. O tele pode discar um número toll-free para chegar ao NAS e usar seu software de cliente VPN para acessar a rede corporativa.

Um bom exemplo de uma empresa que precisa de um acesso VPN remoto seria uma grande empresa com centenas de vendedores em campo. VPNs permite segurança de acesso remoto, criptografando as conexões entre empresa privada e uma rede de usuários remotos através de um parceiro prestador de serviços terceirizado.

 

 

 

 

 

VPN ponto-a-ponto

Através do uso de equipamentos dedicados e criptografia em grande escala, uma empresa pode conectar múltiplos locais fixos através de uma rede pública como a Internet. VPNs ponto a ponto podem ser de dois tipos:

 

  • Baseados em intranet - Se uma empresa tem um ou mais locais remotos que desejam ingressar em uma única rede privada, eles podem criar uma VPN intranet para conectar LAN a LAN.
  • Baseados em extranet - Quando uma empresa tem uma relação estreita com outra empresa (por exemplo, um parceiro, fornecedor ou cliente), eles podem construir uma VPN extranet que conecta LAN para LAN, e que permite que todas as diversas empresas para trabalhar em um ambiente compartilhado.

 

 

Segurança da VPN:

Uma VPN bem concebido utiliza vários métodos para manter sua conexão de dados segura:

  • Firewalls
  • Criptografia
  •  IPSec
  • AAA Server

 

Vamos começar com o firewall.

Firewall

Você pode configurar firewalls para restringir o número de portas abertas, que tipo de pacotes são passados através de protocolos e que são permitidos. Alguns produtos de VPN, tais como roteadores Cisco 1700 , pode ser atualizado para incluir capacidades de firewall, executando o adequado Cisco IOS sobre eles. Você já deve ter um bom firewall no lugar antes de implementar uma VPN, mas um firewall também pode ser usado para encerrar as sessões de VPN.

 

 

 

Criptografia

Criptografia é o processo de tomada de todos os dados que um computador envia para outro e codificá-los de forma que somente o outro computador será capaz de decodificar. A maioria dos sistemas de criptografia de computadores pertencem a uma das duas categorias:

  • criptografia de chave simétrica
  • criptografia de chave pública

Em criptografia de chave simétrica, cada computador tem uma chave secreta (código) que pode ser usada para criptografar um pacote de informações antes de ser enviado pela rede para outro computador. A chave simétrica exige que você saiba quais computadores irão se comunicar uns com os outros para que você possa instalar a chave em cada um. Criptografia de chave simétrica é basicamente o mesmo que um código secreto que cada um dos dois computadores precisa saber a fim de decodificar as informações. O código fornece a chave para decodificar a mensagem. Pense assim: Você cria uma mensagem codificada para enviar a um amigo em que cada letra é substituída pela letra que é de dois para baixo do que no alfabeto. Assim, "A" se torna "C" e "B" torna-se "D". Você já disse um amigo de confiança que o código é "Shift por 2". Seu amigo recebe a mensagem e a decodifica. Qualquer pessoa que vê a mensagem verá somente um disparate.

Criptografia de chave pública utiliza uma combinação de uma chave privada e uma chave pública.  A chave privada é conhecida apenas para o seu computador, enquanto a chave pública é dada pelo seu computador para qualquer computador que deseja se comunicar de forma segura com ele. Para decodificar uma mensagem criptografada, um computador deve usar a chave pública, fornecida pelo computador de origem, e sua chave privada. A criptografia de chave pública utilitário muito popular é chamado Pretty Good Privacy (PGP).

IPSec

Internet Protocol Security (IPSec) fornece recursos de segurança, tais como melhores algoritmos de criptografia e de autenticação mais abrangente.

IPSec tem dois modos de criptografia: túnel e transporte. Túnel criptografa o cabeçalho e o payload de cada pacote, enquanto que o transporte só criptografa a carga. Apenas os sistemas que são compatíveis com IPSec podem tirar vantagem desse protocolo. Além disso, todos os dispositivos têm de utilizar uma chave comum e os firewalls de cada rede deve ter políticas de segurança muito similares criados. IPSec pode criptografar os dados entre vários dispositivos, tais como:

  • Roteador para roteador
  • Firewall para roteador
  • PC ao roteador
  • PC para servidor

 

 servidores AAA

AAA (autenticação, autorização e contabilidade) servidores são utilizados para um acesso mais seguro em um ambiente de VPN de acesso remoto. Quando uma solicitação para estabelecer uma sessão vem de um cliente dial-up, a solicitação será intermediada por proxy para o servidor AAA.

 AAA em seguida, verifica o seguinte:

  • Quem você é (autenticação)
  • O que você está autorizado a fazer (autorização)
  • O que você realmente faz (contabilidade)

As informações contábeis é especialmente útil para monitorar o uso do cliente para auditoria de segurança, cobrança ou relatórios.

Tecnologia VPN

Dependendo do tipo de VPN (acesso remoto ou ponto-a-ponto), você terá que colocar no lugar certo, componentes para construir a sua VPN.

Estes podem incluir:

  • Desktop software cliente para cada usuário remoto
  • Hardware dedicado, como um concentrador VPN ou seguro PIX firewall
  • Servidor Dedicado VPN para serviços dial-up
  • NAS (servidor de acesso à rede) usado pelo provedor de serviços para usuários de acesso remoto VPN
  • VPN e rede de centros de gestão de políticas

Porque não há nenhum padrão amplamente aceito para implementação de uma VPN, muitas empresas têm desenvolvido soluções.

 

 

Tunelamento

A maioria das VPNs dependem de tunelamento para criar uma rede privada que atinge toda a Internet. Essencialmente, o encapsulamento é o processo de colocar todo um pacote dentro de outro pacote e enviá-la através de uma rede. O protocolo do pacote exterior é compreendido pela rede e os dois pontos, interfaces túnel chamado, onde o pacote entra e sai da rede.

Tunneling requer três protocolos diferentes:

  • Carrier protocolo - o protocolo utilizado pela rede que a informação está viajando ao longo.
  • Encapsulating protocolo - o protocolo (GRE, IPSec, L2F, PPTP, L2TP), que está enrolado com os dados originais
  • Passenger protocol - Os dados originais (IPX, NetBEUI, IP) que está sendo realizado

Tunneling tem implicações surpreendentes para VPNs. Por exemplo, você pode colocar um pacote que usa um protocolo não suportado na Internet (como o NetBEUI) dentro de um pacote IP e enviá-lo de forma segura através da Internet. Ou você pode colocar um pacote que usa um IP (não roteável) Endereço privado dentro de um pacote que usa um endereço IP globalmente únicos para estender uma rede privada através da Internet.

Tunelamento: Ponto a Ponto

Em um site a site VPN, GRE (encapsulamento de roteamento genérico) é normalmente o protocolo de encapsulamento que fornece o quadro para saber como pacote do protocolo de transporte de passageiros sobre o protocolo de transporte, que é geralmente baseada em IP. Isso inclui informações sobre o tipo de pacote você encapsular e informações sobre a conexão entre o cliente eo servidor. Em vez de GRE, IPSec em modo túnel é usado às vezes como o protocolo de encapsulamento.        IPSec funciona bem em ambos o acesso remoto e VPNs site-to-site IPSec deve ser suportada em ambas as interfaces do túnel.

No VPN acesso remoto, o tunelamento normalmente ocorre através de PPP. Parte da pilha TCP / IP, PPP é a transportadora para outros protocolos IP na comunicação através da rede entre o computador host e um sistema remoto.

Cada um dos protocolos listados abaixo foram construídos usando a estrutura básica do PPP e são usados por VPNs de acesso remoto.

  • L2F (Layer 2 Forwarding) - Desenvolvido pela Cisco, L2F usarão qualquer esquema de autenticação suportado pelo PPP.
  • PPTP (Point-to-Point Tunneling Protocol) - PPTP foi criada pelo PPTP Forum, um consórcio que inclui EUA Robotics, Microsoft, 3Com, Ascend e ECI Telematics. PPTP suporta 40-bit e encriptação 128-bit e usarão qualquer esquema de autenticação suportado pelo PPP.
  • L2TP é o produto de uma parceria entre os membros do fórum PPTP, Cisco e IETF (Internet Engineering Task Force). Combinando recursos de ambos os protocolos PPTP e L2F, L2TP também suporta IPSec.

L2TP pode ser utilizado como um protocolo de encapsulamento de site a site VPN, assim como VPNs de acesso remoto.

  • Cliente e roteador
  • NAS e o roteador
  • Roteador e o roteador

Conclusão

Vemos que as VPNs resolvem dois problemas : o de segurança, uma vez que os pacotes enviados via VPN são criptografados, ou seja , se forem interceptados não terão valor algum, e resolvem o problema de endereçamento e roteamento de IP, já que, se utilizássemos a internet para conectar dois pontos, não teríamos que rotear pacotes de um ponto ao outro, já que não temos controle sobre os roteadores que se encontram no meio do caminho. Quando um túnel VPN é fechado entre dois pontos, para todos os efeitos, o que temos é uma conexão ponto a ponto, e podemos configurar rotas ou rodar o protocolo de roteamento que bem entendemos, como em uma verdadeira rede privada.

 

 

 

Palavras-chave:

| | |

Voltar