virtual private network – vpn · vale ressaltar que nesta topologia, ... vpn, ou seja, os dados...
TRANSCRIPT
Virtual Private Network – VPN
Aprenda a construir redes privadas virtuais em plataformas Linux e Windows
Lino Sarlo da Silva
Novatec Editora Ltda.
21
Capítulo 1Fundamentos da Rede Privada Virtual
Introdução à VPNO que vem a ser uma rede privada? A resposta é relativamente simples: dois ou mais computa-
dores interligados formam uma rede de computadores (network). Esses equipamentos juntos,
compartilhando informações, formam uma rede privada (Local Area Network), onde somente
os equipamentos pertencentes a este grupo podem ter seus dados compartilhados.
Essas ligações são feitas via hubs ou switches interligados às placas de rede existentes
em cada equipamento. Chamamos de barramento de dados ou informações a ligação física
entre eles, e a velocidade desse barramento varia em função das placas de redes e dos hubs ou switches.
Esta abordagem resolve o problema de pequenas empresas com poucos equipamentos
interligados, mas vamos colocar mais variáveis em nossa arquitetura. Suponha agora que
essa pequena empresa cresceu e abriu uma filial em outro bairro, com outro conjunto de
computadores também compartilhando seus dados (Wide Area Network).
O dono dessa pequena empresa acharia interessante interligar todos esses equipamentos, e
poder de uma filial consultar dados de venda da outra filial, sem ter que esperar alguém trazer os
dados no final do dia, ou à noite. Agora ele teria que entrar em contato com algum fornecedor
de serviço de comunicação, operadora de telefonia, e alugar um serviço, que ligaria essas duas
filiais, colocando roteadores que fariam o papel de rotear ou entregar os dados (pacotes) de um
grupo de usuários de uma filial (rede) para o outro grupo de usuários (outra rede) .
Este microempresário vai começar a perceber que tem que contratar ou promover um
administrador para a sua rede, porque vai precisar de um equipamento um pouco mais
confiável para ser o seu distribuidor de endereços de rede. Esse administrador de rede pode
começar a orientar esse microempresário, que talvez esteja na hora de ele ter um servidor
de correio, para facilitar a vida dos funcionários na troca de correspondência eletrônica,
sem depender de um serviço externo de correio eletrônico.
22 Virtual Private Network • VPN
As preocupações com segurança física desse equipamento, servidor de DHCP e Correio
Eletrônico, que agora já ganhou mais memória, disco e processador, começam a ser impor-
tantes e há a necessidade de um no-break, e se começa a discutir uma forma de contingência
caso esta máquina pare para uma manutenção preventiva ou falha.
Nesta hora, é importante verificar a real necessidade das informações eletrônicas e se
elas são essenciais para o funcionamento do negócio da empresa.
Mas o tempo passou e nosso microempresário já pode abrir outra filial, só que seu
negócio cresceu muito e ele resolveu expandi-lo para outro Estado, por questões estraté-
gicas. Porém, ele está cada vez mais preso à tecnologia, e sua necessidade computacional
também cresceu. Sua preocupação em segurança pode até não ser grande, mas certamente
é do administrador de rede.
Nosso microempresário é uma pessoa de visão e percebeu que se interligasse sua rede
à rede de seu fornecedor, poderia solicitar matéria-prima à medida que fosse necessário,
sem ter grande volume em estoque. Entretanto, há um empecilho: o seu maior fornecedor
está em outro país. Como ele vai ligar as suas três redes com a de seu fornecedor, mantendo
a segurança mínima que ele tinha?
Há alguns anos, ele teria que fazer malabarismos financeiros para conseguir sustentar
um custo de ligação direta, privada, entre dois países, para ligar suas filiais a seu fornecedor,
ou talvez ele nem pudesse arcar com tal custo.
Note que estamos olhando essa microempresa hipotética com bastante coerência lógica,
o que pode não ser o caso de inúmeras pequenas empresas que criaram verdadeiras ilhas,
em que cada filial, com autonomia, montou sua rede, seu servidor de correio, seu esquema
de distribuição de endereços de rede ou nomes e seu protocolo de rede.
Outra questão importante: suponha que nossa empresa hipotética tenha vendedores
que viajam a trabalho para fechar negócios, que precisam se conectar à rede da empresa
no decorrer de uma reunião ou no hotel, para compartilhar o andamento de um negócio.
Esses vendedores terão que fazer conexão discada para dentro de um serviço de discagem
na empresa e pagar o custo da ligação interurbana. Podemos imaginar o custo em relação
à prestadora de serviço telefônico.
Vivemos hoje num ambiente globalizado, onde a liderança nos negócios está justamente
na capacidade de se ultrapassar as fronteiras, antes obstáculo para o crescimento corporati-
vo. Grandes corporações querem seus funcionários espalhados pelos continentes, seja por
questões estratégicas, seja por necessidade diante de aquisições de empresas estrangeiras.
Embora o telefone e a videoconferência sejam bastante usados por pessoas em trânsito,
outro requerimento fica cada vez mais evidente: cada funcionário precisa ter contato com
seu escritório onde quer que esteja.
23Capítulo 1 • Fundamentos da Rede Privada Virtual
Podemos concluir que uma rede privada só pode ser viável para interligação de poucos
equipamentos com um mínimo de segurança. Quando aumentamos o número de equipa-
mentos, inviabilizamos nossa rede privada por uma simples questão de custo.
Claro que existem grandes empresas conectadas em rede privada, porque não existia
o conceito que estamos abordando neste livro. Neste caso, grandes bancos e empresas de
grande porte sempre tiveram esse custo alto em infra-estrutura porque é necessário para o
negócio da empresa e funcional do ponto de vista de conexão.
Por outro lado, uma rede pública compartilha tudo com todos, ou seja, uma rede pública
como a Internet interliga pessoas de diferentes idades, nacionalidades, estilos de vida, en-
fim, pode não haver nada em comum entre as pessoas que usam o serviço. Como o serviço
telefônico público, basta pegar o telefone e ligar, se discar um número errado, alguém pode
atender do outro lado da linha e começar um diálogo com o interlocutor. A Internet, e sua
capilaridade, é um exemplo clássico de rede pública, não há um dono da informação, nem
um administrador para a rede, o que temos são milhares de computadores interligados sem
nenhuma segurança no meio.
Com estas duas abordagens, rede privada x rede pública, surgiu um paradigma novo:
usar a rede pública como se fosse uma rede privada com segurança, criando-se, assim, a
Virtual Private Network (ou Rede Privada Virtual). O termo Virtual entra, porque depende
de uma conexão virtual, temporária, sem presença física no meio. Essa conexão virtual
consiste em troca de pacotes, sendo roteados entre vários equipamentos. Essa conexão
virtual pode ser feita das seguintes formas:
Entre duas máquinas, servidores ou estações, interligadas via Internet, conforme a
figura1.1.
Figura 1.1 – VPN – Servidor a Servidor.
Entre um ou vários usuários remotos e uma rede, conforme a figura 1.2.
24 Virtual Private Network • VPN
Figura 1.2 – VPN – Usuário remoto à Filial.
Neste caso, o usuário faz uma conexão discada para um Internet Service Provider (ISP),
ou provedor de acesso à Internet, recebe autorização para utilizar a a rede por esse prove-
dor e recebe um endereço IP, válido e dinâmico, para trafegar. Por meio deste canal com a
Internet é possível estabelecer uma VPN entre o usuário remoto e o gateway da VPN que
protege uma filial ou empresa.
Normalmente esta conexão não é transparente, porque é necessária uma fase de esta-
belecimento de sessão entre o equipamento do usuário e o servidor ao qual se deseja esta-
belecer a VPN. O usuário pode acessar qualquer página da Internet de uma forma insegura
e somente utilizará o túnel VPN, estabelecido na fase de sessão, quando for acessar uma
máquina dentro da rede protegida pelo gateway da VPN.
Entre duas redes, conforme a figura 1.3.
Figura 1.3 – VPN – Entre Filiais.
25Capítulo 1 • Fundamentos da Rede Privada Virtual
Este é o típico caso de ligação entre duas filiais, ou entre duas empresas, formando
uma extranet. Cabe ao gateway da VPN definir quais usuários irão trafegar pela Internet e,
dentre estes, quais irão inscrever-se no túnel VPN. Diferentemente de usuários remotos, o
tráfego protegido pelo túnel VPN é totalmente transparente ao usuário de dentro da rede,
ou seja, ele pode até não saber que os dados estão sendo enviados de uma forma segura.
Vale ressaltar que nesta topologia, o tráfego seguro ocorre somente entre os gateways da
VPN, ou seja, os dados que trafegam dentro da rede de cada filial ou empresa não estão
protegidos pela VPN. Na grande maioria dos casos, essa topologia é suficiente, mas caso
queira aumentar o grau de segurança de um determinador servidor, pode-se colocar outro
gateway de VPN dentro da rede, formando-se assim uma nova barreira entre este servidor
e a rede da empresa ou filial.
Entre duas redes com acesso remoto, conforme a figura1.4.
Figura 1.4 – VPN – Situações mistas.
Esta topologia se aplica a empresas maiores, com duas ou mais filiais, ou entre empresas,
e permite acesso de usuários remotos a determinados sites ou filiais.
Os usuários remotos fazem uma conexão discada para um provedor de acesso à Internet
e por meio deste canal com a Internet é possível estabelecer uma VPN entre os gateways
da VPN que protegem uma filial. Cabe ao gateway estabelecer a permissão ou negação dos
usuários remotos ou de outra filial para dentro da rede protegida por esse gateway.
Neste exemplo, o usuário Remoto-01 pode fechar uma rede virtual com o gateway da
Filial-B, mas não poderá acessar dados protegidos pelo gateway da Filial-A. Por outro lado,
o usuário Remoto-02 só poderá estabelecer uma rede com a Filial-A e não com a Filial-B.
Poderíamos permitir, por exemplo, que a Filial-A tenha uma rede com a Filial-B ou que o
usuário Remoto-02 pudesse estabelecer um túnel entre a Filial-B.
26 Virtual Private Network • VPN
Todas essas políticas de acesso são configuradas no gateway que irá permitir ou não o
ingresso destes usuários. Sendo o gateway uma peça importante na construção das VPNs,
podemos, caso seja necessário, colocar dois gateways e dois roteadores trabalhando em
alta- disponibilidade, evitando-se assim que a filial fique inacessível caso o gateway pare para
manutenção preventiva ou falha de equipamento. O gateway precisa ter seu dimensionamento
adequado, porque além de atender aos pedidos de ingresso na VPN, são tarefas dele manter
a privacidade das informações e proteger os usuários de dentro da rede.
Além do baixo custo numa solução usando a rede pública como meio, outro fator impor-
tante levou ao seu crescimento: o uso cada vez maior de empresas utilizando as ferramentas
disponíveis para Internet dentro da empresa, criando Intranets.
A maioria das empresas notou que desenvolvendo sistemas baseados em Web (HTTP)
poderiam disseminar seu uso muito mais rapidamente entre os funcionários, sem precisar ins-
talar programas e ter que investir em estações cada vez mais rápidas e com mais memória.
Usando um navegador (browser como o Internet Explore ou Netscape), cada funcionário
usa o sistema disponível dentro de suas permissões para a atividade a qual foi contratado.
O investimento, que antes tinha que ser pulverizado entre as estações, para suportar os
programas, passou a ser centralizado em poucos servidores, que distribuem as atividades de
aplicação, banco de dados e arquivos.
Com ferramentas cada vez mais sofisticadas, a programação para Web ficou mais sim-
ples e mais barata, uma vez que não há a necessidade de distribuição de mídias contendo
programas e manuais. Todo material necessário está disponível na Internet ou Intranet (via
navegador). Outra vantagem da intranet é a flexibilidade entre os usuários, cada qual pode
ter acesso a determinados menus e funcionalidades, mas se um funcionário mudar de de-
partamento ou cidade, ele simplesmente vai continuar usando os mesmos recursos, só que
em outra estação.
Mas a intranet é um ambiente controlado, dentro de uma empresa, com seus usuários
comportados e identificados. Empresários e gerentes começaram a se perguntar: por que
não podemos usar um navegador em casa para tomada de decisões, em férias ou viajando
a negócios? Como garantir as mesmas qualidades, antes na rede interna, na rede pública? As
premissas da VPN se encaixam como uma luva, garantindo uma rede virtual segura entre os
usuários e autenticando estes dentro dessa VPN.
Como o propósito é estabelecer uma rede virtual sob a rede pública, no caso a Internet,
parte-se da premissa que sempre será em relação a um endereço de rede do protocolo Internet,
ou seja, endereçamento IP. Algumas empresas não utilizam o padrão IP como protocolo de
rede interna, neste caso é necessário colocar o protocolo nativo da rede que se quer montar a
VPN dentro do padrão TCP/IP. Para isto, existem diversas técnicas para encapsular o protocolo
nativo dentro de um protocolo IP. Essas técnicas serão apresentadas no Capítulo 3.
27Capítulo 1 • Fundamentos da Rede Privada Virtual
Riscos protegidos pela VPNA segurança, seja da informação em sua forma digital, seja de um bem ou patrimônio, vai
depender do valor do que se quer proteger. Quando pensamos em bens patrimoniais, pode-
mos mensurar o valor por meio de comparações com o mercado, localização física em caso
de bens imóveis, estado do patrimônio e diversos outros fatores, palpáveis para medição.
Quando falamos de informação digital, e-mails, dados importantes de um projeto,
transferência de dinheiro, ou seja, toda informação sensível para o negócio da empresa,
mensurar o valor deste dado é uma tarefa muito complicada, que envolve muitos aspectos.
Sem dúvida alguma, o dono da informação pode determinar qualitativamente o ativo que
está trafegando de uma forma insegura, mas não terá idéia quantitativamente das perdas
envolvidas com a captura de um dado sensível.
A pergunta mais comum que se escuta na área de segurança é: como valorizar o que
estamos querendo proteger, o ativo da empresa? É importante ter muita cautela na hora
de responder a essa pergunta e fazer uma análise do tráfego da informação considerada
sensível. Se pensarmos de uma forma extremista, podemos implementar um nível de segu-
rança tão elevado que talvez seja necessário um cartão magnético para entrar no elevador
da empresa.
Ensina o bom senso olhar a empresa como um conjunto maior e separá-lo em sub-
conjuntos, ou seja, grupo de pessoas dentro da empresa que compartilha determinadas
informações.
O próximo passo seria analisar o fluxo da informação, de onde sai e para onde vai, quem
pode ter acesso a essa informação e quanto essa informação é importante para o negócio
da empresa. Identificado cada grupo, pode-se estabelecer uma VPN entre esses grupos e
cada membro pode se inscrever em uma ou mais VPNs se for o caso.
Agora que estamos isolando em conjuntos menores, temos que dar suporte a esses
conjuntos. Vamos imaginar dois grupos de pessoas, um da área de vendas e outro, de
produção.
O grupo de vendas está em trânsito, viajando a trabalho e vendendo o produto da em-
presa, muitas vezes, em outro Estado. Para aumentar a produtividade e reduzir os custos de
montagem, a linha de produção precisa trabalhar com estoque mínimo e saber rapidamente
o que está sendo vendido para começar seu trabalho de produção e reduzir o tempo de
entrega.
Esses dois conjuntos estão interligados em uma VPN, logo, usando a rede pública como
a Internet. As mensagens são enviadas de um equipamento, passando por um provedor de
acesso, vários computadores, roteadores, switches etc., antes de chegar ao seu destino. Mas o
que pode acontecer se no meio do caminho alguém capturar a informação e modificá-la?
28 Virtual Private Network • VPN
Suponha que um determinado vendedor fez uma venda de 100 peças e alguém modificou
essa informação para 100 mil peças, pode-se calcular o prejuízo da empresa. E o contrário?
Se o invasor colocar 10 peças? Certamente a empresa terá sua imagem abalada, porque o
prazo de entrega será dilatado quando o erro for descoberto.
Não podemos esquecer que essa informação de vendas será enviada pela Internet,
logo, essa informação será fragmentada em pequenos pacotes que serão enviados de um
computador para o outro. Desta forma, podemos concluir que algumas premissas numa
VPN devem ser consideradas, sendo elas:
Privacidade
A equipe de vendas tem que enviar a informação e somente membros da equipe de produ-
ção podem recebê-la. Nenhuma outra pessoa, mesmo de dentro da empresa, pode receber
a informação, exceto pessoas autorizadas, que fazem parte do grupo.
Como esta conexão é feita por meio da infra-estrutura da Internet, compartilha-se a
mesma conexão virtual com um grupo de pessoas que está no submundo da rede, tentando
capturar dados que não lhe pertencem. Logo, mesmo dificultando, não se pode garantir 100%
de privacidade, mas é importante garantir que, mesmo em posse da informação capturada,
o dado não seja visível.
Deve-se usar técnicas modernas de criptografia e mecanismos matemáticos, embara-
lhando a informação de tal forma que levaria centenas ou milhares de anos para que o dado
criptografado volte à sua forma original.
O elemento-chave na força de uma criptografia é o tamanho da chave, e não o algoritmo.
A maioria dos algoritmos são complexos e de conhecimento público.
A idéia de privacidade que temos numa VPN nada mais é do que a técnica que usamos
para criptografar os dados de origem e enviá-los criptografados até o destinatário. No nosso
destino, o dado é descriptografado, voltando à sua forma original.
Integridade
A informação recebida pela equipe de produção tem que ser a mesma informação enviada
pelo vendedor, ou seja, nenhuma modificação no pacote original deve ser feito no decorrer
da transmissão. Esta integridade do dado é obtida por meio de funções de hash.
Usando funções de hash no documento ou mensagem que serão enviados pela Internet
e se o documento permanecer inalterado, executando a mesma função de hash no destino,
será produzido o mesmo resultado da mensagem. Se alguém ou algum equipamento alterar
o conteúdo da mensagem ou documento, o resultado será diferente.
29Capítulo 1 • Fundamentos da Rede Privada Virtual
Autenticidade
O grupo de produção, que recebeu a informação, tem que ter certeza de que a informação
foi enviada por membros do grupo de vendas. Esta certeza é obtida por meio de assinaturas
digitais.
Consegue-se isto calculando o hash da mensagem original e cifrando-o com a chave
privada do autor. Ao resultado destas duas operações chamamos assinatura digital, e esta é
adicionada ao final da mensagem. Quando o destinatário recebe a mensagem, usa a chave
pública do originador para decifrar a assinatura digital, descobrindo o “hash”, que permite
saber se a mensagem foi alterada de alguma maneira.
Esta operação só é possível se a assinatura digital tiver sido cifrada com a chave privada
do autor, que é única e de propriedade do autor, por meio da qual certifica quem escreveu
a mensagem, ou seja, a sua autenticidade. Ao mesmo tempo o autor passa a não conseguir
negar que a enviou.
Não-repúdio
O grupo de produção tem a garantia de que a informação recebida pela equipe de vendas
não será negada no futuro, ou seja, há garantia da fonte da mensagem, de forma que, pos-
teriormente, a equipe de vendas não poderá afirmar que não foi ela quem a enviou.
O não-repúdio é uma etapa posterior à autenticidade (ou um atributo opcional da auten-
ticidade), que só pode ser obtida via criptografia assimétrica, a qual veremos mais adiante
no item de criptografia.
Facilidade
Esta última premissa, embora envolva menos aspectos técnicos, é a garantia de que o sistema
de segurança escolhido e implantado na empresa foi feito de forma consistente e adequada
para todas as aplicações da empresa, sem restringir desnecessariamente a capacidade de
indivíduos e organizações de empreender suas tarefas diárias.
Este assunto requer bastante cuidado e normalmente é negligenciado. As empresas
devem não somente desenvolver medidas de segurança sólidas, mas também encontrar
uma forma de assegurar que os usuários concordem totalmente com elas.
Este comprometimento só é obtido se for implantada uma política top down. A experi-
ência comprova que é muito importante convencer os executivos, desde o presidente da
empresa até os usuários finais, da importância da política de segurança adotada. Por meio
desse comprometimento os administradores de segurança terão todos os recursos para
educar e punir os usuários. Se eles acharem que as medidas de segurança são complicadas,
obsoletas ou que consomem muito do seu tempo, provavelmente irão descobrir como es-
capar delas, o que, conseqüentemente, colocará em risco todo o ambiente de segurança.
30 Virtual Private Network • VPN
Quanto mais transparente for o ambiente de segurança, mais fáceis serão o seu uso
para os usuários finais e maiores as probabilidades de eles o utilizarem. O ideal é que o
usuário não perceba que seu universo computacional está totalmente seguro e as políticas
de segurança sejam tão difundidas e embutidas no sistema que qualquer pessoas saiba o
que fazer sem recorrer a manuais ou guias.
Conceitos necessários
Serão apresentados os conceitos necessários para continuar nossa jornada na construção
e manutenção das VPNs. Não entrarei em detalhes técnicos neste ponto, porém todas as
questões técnicas serão abordadas na Parte II, Tecnologia necessária. A idéia neste mo-
mento é mencionar os componentes lógicos da VPN e fazer algumas comparações com
o mundo real, para servir de base aos menos familiarizados.
Já falamos das premissas básicas da VPN, sendo elas: privacidade, integridade e au-
tenticidade. Agora vamos detalhar cada uma delas.
Para garantir uma rede virtual privada é necessário que ninguém, nem nenhum equi-
pamento da Internet, consiga participar da rede virtual sem o consentimento prévio do
administrador da rede. Se estamos construindo uma VPN utilizando a infra-estrutura da
Internet, só podemos ter privacidade nesta infra-estrutura de duas formas:
• Se a empresa que fornece a infra-estrutura garantir a privacidade e confiarmos nesta
empresa;
• Usar a criptografia para embaralhar a informação de forma que alguém de posse
da informação não consiga utilizá-la.
Empresas que administram a infra-estrutura da Internet, no caso dos backbones e prove-
dores de acesso à Internet, podem oferecer redes privadas por segmentação de rede, como
é o caso do MPLS (MultiProtocol Label Switching) que veremos mais detalhadamente no
Capítulo 3. O MPLS adiciona label no início de cada pacote e direciona os pacotes baseado
nas informações desses labels; com isto, permite a criação de VPNs garantindo um isola-
mento completo do tráfego com a criação de tabelas de rótulos, usadas para roteamento,
exclusivas de cada VPN. Outros exemplos são ATM, Frame Relay e links dedicados. A tabela
1.1 ilustra as particularidades de cada modalidade.
31Capítulo 1 • Fundamentos da Rede Privada Virtual
Tabela 1.1 – Tipos de VPNs
Características Frame Relay IPSec MPLSIsolamento de Tráfego (VPN) Sim Sim SimAcesso Discado Sim Sim SimBanda Assimétrica Sim Não NãoVoz c/ QoS IP Não Sim SimFornecimento de CPE Sim Sim SimGerência Pró-ativa Sim Sim SimEndereçamento Privado Sim Sim SimConexão Internacional Sim Sim NãoUtilização de VC/Tunel Sim Sim NãoCriptografia de dados Não Sim NãoUtilização de TAGs Não Não Sim
Analisando essa tabela, pode-se observar que a criptografia dos dados não é um fator
relevante para MPLS nem Frame Relay, porque o tráfego da informação é controlado nos
circuitos e roteadores, sendo garantida a privacidade na comunicação isolando o tráfego
de cada empresa por VPN.
Pode-se combinar mais de uma solução, ou seja, a rede pode ser privada por MPLS entre
filiais e entre empresas parceiras montando-se extranets, e pode também ser criptografa-
da por IPSec dentro da empresa montando-se intranets e permitindo acesso discado dos
profissionais em trânsito.
Criptografia
A privacidade no mundo virtual seguro está diretamente ligada a técnicas de criptografia
utilizadas, diferentemente da privacidade real a que estamos acostumados; tentar impedir que
alguém capture um pacote que trafega em vários equipamentos como roteadores, switches
e computadores é extremamente difícil, se não impossível, e só nos resta garantir uma certa
privacidade na informação, embaralhando a informação de uma forma bem eficiente.
Criptografia é o estudo de códigos e cifras, cujo nome vem do grego kryptos, que sig-
nifica oculto, e graphen, que significa escrever. Já a palavra cifra vem do hebraico saphar, que significa dar números. A maioria das cifrações é sistemática, baseada em técnicas de
sistemas numéricos.
Os espartanos foram os primeiros a utilizar um sistema de criptografia militar, por volta
do século V a.C. Eles cifravam e ocultavam a mensagem usando um pedaço de madeira,
no formato de um bastão, que se chamava skytalh (escútala) e uma tira de papel ou pano
enrolada nesse bastão onde a mensagem era escrita. A tira era desenrolada e enviada
ao destinatário, que tinha outro bastão idêntico ao de origem. O receptor enrolava a
32 Virtual Private Network • VPN
tira no bastão que ele tinha e lia a mensagem. Se a tira ou a escútala fosse de tamanho
diferente, a mensagem havia sido alterada e aparecia torta no destino.
O imperador romano Julio César, há mais de 2.000 anos, inventou o método de crip-
tografia por substituição. Ele passou a enviar mensagens a seus interlocutores trocando
letras do alfabeto por três letras subseqüentes (A->D, B->E, C->F e assim por diante).
Por exemplo, a mensagem:
Transmita esta mensagem à tropa ficaria: Wudqvplwd hvwd phqvdjhp d wursd
Isto foi possível, porque ele combinou com seu interlocutor antes a forma pela qual
iria trocar cada caractere do alfabeto, ou seja, o segredo que iria utilizar para embaralhar
a informação, Cada lado sabia como criptografar e descriptografar a informação. Como
podemos perceber, esta técnica é extremamente simples, mas o importante aqui é o
segredo ou chave de criptografia e como fazer com que os dois lados saibam como
utilizá-la.
A Pedra de Rosetta, de Basalto Negro, encontrada em 1799 na cidade do Egito, da
qual leva o nome, continha mensagem gravada em três línguas diferentes embaralhadas
ao mesmo tempo, em grego, em hieróglifos e em demótico (escrita do Egito), mas a
mensagem era a mesma. Uma vez que isto foi percebido, pôde-se relacionar as letras
gregas e demóticas aos símbolos hieroglíficos, desvendando-se a história da civilização
egípcia.
Chamamos de plaintext o texto original e ciphertext o texto embaralhado ou crip-
tografado.
Ao longo dos anos, várias formas de embaralhar a informação foram usadas, e junto
vieram várias maneiras de descobrir como elas foram embaralhadas.
É importante resaltar que o segredo da criptografia não está no algoritmo empre-
gado, e sim na chave de criptografia. Os melhores sistemas criptográficos são aqueles
de domínio público, podendo portanto ser extensamente analisados pelos cientistas e
validados quanto a possíveis falhas ou fraquezas, sendo posteriormente revistos num
processo permanente de melhoria.
Existem dois tipos de chaves: chave simétrica ou chave secreta, e chave assimétrica
ou chave pública.
Chaves simétricas
A chave é compartilhada pelos dois pontos, ou seja, o destinatário sabe qual é a chave
que utilizará para voltar a informação à sua forma original, conforme a figura 1.5.
O segredo reside na chave e o problema é conseguir fazer com que o emissor e o desti-
natário de uma mensagem criptografada, e somente eles, possam conhecer a chave secreta,
33Capítulo 1 • Fundamentos da Rede Privada Virtual
assim como combinar futuras alterações nessa chave. Isto requer que as duas partes possam
e comunicar de um modo seguro.
Figura 1.5 – Algoritmo de chave simétrica.
A grande vantagem neste tipo de chave é sua velocidade em relação à chave assimétrica.
Este conceito surgiu em 1972 pela IBM, com apelido de Lucifer Cipher, e em 1977 foi revisto
e publicado pelo National Institute of Standards (NIST), Federal Information Processing
Standards (FIPS 46-1) e American National Standards Institute (ANSI X9.32), já com o nome
de Data Encryption Standard (DES). O DES trabalha com chaves de comprimento de 64
bits, sendo 56 bits para a chave e 8 bits de paridade.
Com esse comprimento, seria viável criar equipamentos e chips, para efetuar a criptografia
e descriptografia de uma forma bem mais rápida do que soluções baseadas em software. O
segredo desta solução é baseado no tempo que será necessário para quebrar a chave, ou
seja, descobrir cada valor dos 56 bits, aproximadamente 256 possibilidades, que compõe a
chave, e realizando-se cada teste em 100 ms, o tempo para descobrir a chave certa seria de
aproximadamente 228 milhões de anos.
Diminuindo-se o tempo de cada teste para 1 ms, o tempo total cairia para 2.280 anos,
aproximadamente. Supondo 1 ns para cada teste (1 bilhão de testes por segundo), ainda
assim o tempo total seria de 2 anos. Todo este esforço em tempo total, integral, sem nenhuma
interrupção, com os recursos de hardware disponíveis naquela época.
É fácil supor que se quisermos aumentar o grau de segurança, bastaria aumentar o
comprimento da chave no DES, mas só na teoria. O governo americano impôs uma série
de restrições ao uso de um comprimento maior que 56 bits fora dos EUA, justificando seu
uso para fins militares.
Até pouco tempo, não era fácil encontrar disponíveis, via Internet, implementações em
software do DES em sites americanos. Livros ou publicações americanas que continham
programas-fonte implementando criptografia podiam ser importados, mas só texto escrito,
não se podia importar disquetes ou CDs sobre o assunto.
Nada muito sério, se não fosse a máquina construída pela Eletronic Frontier Foundation
(EFF) chamada de DES Cracker, dedicada à quebra do DES, que em 1998 quebrou uma
chave DES em 3 dias. No ano posterior, essa mesma máquina, um pouco modificada, com
100 mil computadores da Internet em paralelo, usando a força bruta, ou seja, tentando re-
solver todas as combinações possíveis do algoritmo, quebraram a chave DES em 22 horas
34 Virtual Private Network • VPN
e 15 minutos. Na época, estimou-se o tempo de processamento em torno de 256 bilhões
de chaves por segundo.
A quebra do DES por força bruta já havia sido anunciada há muito tempo pela comuni-
dade científica, mas o efeito psicológico das últimas quebras do DES tem gerado uma certa
falta de confiança e temor generalizado entre os usuários do algoritmo. Outras variantes do
DES já haviam sido desenvolvidas, entre elas o Duplo DES, que usa 112 bits para o tamanho
da chave, e o Triplo DES, ou 3-DES, que usa três chaves DES, combinadas entre si, para
embaralhar a informação.
Há vários outros algoritmos para chaves simétricas, tais como: Blowfish, CAST-64,
CAST-80, CAST-128, RC2, RC4, RC5, IDEA etc., que podem ser usados, uma vez que com os
recursos de hardware disponíveis atualmente, uma quebra por força bruta nessas variantes
ainda não é visualizada a curto prazo.
Desde sua instituição oficial, até 1997, quase trinta anos se passaram em que o algoritmo
do DES foi e tem sido submetido a todas as espécies de análise e ataques. Com exceção
dessas quebras por força bruta, nitidamente acadêmicas, pode-se dizer, com certeza, que
nenhuma ameaça de fácil concretização foi imposta publicamente ao DES, apesar dos
esforços de pesquisadores do mundo inteiro. Apesar das críticas e dúvidas em torno do
padrão, desde sua criação o DES cumpriu seu papel, tendo prestado plenamente o serviço
para o qual foi criado. O governo americano teve que se render ao mercado e terminou
com as sanções impostas.
Preocupado com a necessidade de manter um padrão de algoritmo de criptografia seguro,
em 1997 o NIST (National Institute of Standard and Technology) iniciou um projeto chamado
AES (Advanced Encryption Standard), convidando a comunidade mundial especializada no
assunto a submeter suas propostas de novos algoritmos de criptografia, dos quais o vencedor
iria substituir o DES como modelo de algoritmo de criptografia-padrão.
Durante quatro anos cientistas da computação e matemáticos do mundo todo disputa-
ram entre si a publicação do seu algoritmo. Este concurso realizou-se em três fases: num
primeiro momento foram selecionados 15 algoritmos, dentre os quais, numa segunda etapa,
permaneceram somente 5 algoritmos. Os algoritmos concorrentes deveriam possuir blocos
de leitura de 128 bits com chaves simétricas de 128, 192 ou 256 bits, código publicado para
testes e liberação para padronizações do Instituto Nacional de Padrões e Tecnologia, caso
fosse escolhido como vencedor.
Em agosto de 1998, o NIST anunciou um grupo de 15 candidatos, que foram apresentados
na Primeira Conferência dos Candidatos AES: CAST-256, CRYPTON, DEAL, DFC, E2, FROG,
HPC, LOKI97, MAGENTA, MARS, RC6 TM , RIJNDAEL, SAFER+, SERPENT e TWOFISH.
Em março de 1999, a Segunda Conferência dos Candidatos AES foi realizada com o ob-
jetivo de discutir os resultados da análise dos algoritmos candidatos. Por meio das análises
35Capítulo 1 • Fundamentos da Rede Privada Virtual
e comentários recebidos, o NIST selecionou 5 dos 15 algoritmos candidatos, que foram:
MARS, RC6, RIJNDAEL, SERPENT e TWOFISH.
Próximo ao final da segunda etapa, o NIST patrocinou a Terceira Conferência dos candi-
datos AES, que ocorreu em Nova Iorque, onde os criadores dos algoritmos foram convidados
a participar das discussões, responder a críticas e comentar o seu trabalho. Além disso, foi
disponibilizado um fórum de discussão público de análise dos finalistas AES.
Em maio de 2000, o NIST iniciou a análise de todas as informações disponíveis para
selecionar o algoritmo vencedor e, em 2 de dezembro de 2001, anunciou que o algoritmo
selecionado era o Rijndael.
O algoritmo Rijndael, dos belgas Joan Daemen e Vicente Rijmen, obteve a maior soma
de pontos votados pelos Engenheiros de Sistemas do NIST e do público em geral, por meio
de cartas e correspondências manuais ou eletrônicas.
Esta nova geração de criptografia agrega fatores como combinação de segurança, de-
sempenho, eficiência, facilidade de implementação e flexibilidade em diversas plataformas
de hardware e software.
Chaves assimétricas
É mais conhecida como chave pública. Este conceito é bem mais amplo que o de chave
simétrica e deve ser visto com mais calma. Basicamente a chave é dividida em duas partes:
uma parte é privada e única para o usuário e não pode ser compartilhada com ninguém; a
outra parte deve ser de domínio público e disseminada para qualquer pessoa que queira
enviar dados criptografados para esse usuário.
Normalmente, a parte privada fica armazenado usando-se um algoritmo de chave si-
métrica como o DES ou 3-DES, porque o tamanho da chave é bem maior que o das chaves
simétricas, algo em torno de 1.024 bits, mas não se pode comparar os tamanhos das chaves,
como veremos a seguir.
Quando queremos enviar uma informação criptografada para alguém, usamos a parte
pública da chave do nosso destinatário para criptografar e enviamos o dado. Nosso desti-
natário utilizará a parte privada da chave para descriptografar a mensagem e retorná-la à
forma original. Caso ele queira enviar algo para nós, irá criptografar com nossa chave pública
e enviar pela Internet, onde iremos usar nossa chave privada para retornar a informação à
forma original.
Existem dois algoritmos que fazem este trabalho, sendo eles:
Diffie-Hellman
Leva o nome de seus inventores, Whitfield Diffie e Martin Hellman. Esse algoritmo não tem
por objetivo criptografar os dados nem prover assinatura digital. O objetivo do algoritmo é
36 Virtual Private Network • VPN
prover uma maneira rápida e eficiente de troca de chaves de criptografia, entre dois sistemas,
baseada nas duas partes da chave (pública e privada) de cada interlocutor.
O usuário A gera uma chave composta da chave privada dele e a chave pública do usu-
ário B. O usuário B faz o inverso, ou seja, gera uma chave composta da chave privada dele
mais a chave pública do usuário A, conforme figura 1.6.
Por meio de um processo matemático, a chave gerada pelo usuário A serve para cripto-
grafar os dados a serem enviados ao usuário B e a chave gerada pelo usuário B serve para
descriptografar, conforme figura 1.7a, inversamente, a chave gerada pelo usuário B serve
para criptografar os dados a serem enviados ao usuário A, e a chave gerada pelo usuário A
serve para descriptografar, conforme ilustra a figura 1.7b.
A grande desvantagem deste algoritmo, na verdade de todos os algoritmos de cripto-
grafia, está no momento de pegar a chave pública do outro usuário, sendo feita de forma
insegura, outro usuário pode responder ao peido se fazendo passar pelo usurio ao qual
queremos enviar dados seguros.
Figura 1.6 – Diffie-Hellman.
Figura 1.7a – Usuário A enviando para usuário B.
Figura 1.7b – Usuário B enviando para usuário A.
37Capítulo 1 • Fundamentos da Rede Privada Virtual
Esta deficiência nos algoritmos de criptografia se deve ao fato de eles estarem preocu-
pados com a criptografia e não com a autenticação. Não é do escopo deles suportar um
meio de distribuição seguro ou um meio de certificação de chaves.
RSA
Outro método de chave assimétrica leva o nome de seus inventores, Ron Rivest, Adi Sha-
mir e Leonard Adleman. Este algoritmo está embutido nos navegadores Internet Explorer
e Netscape, e em centenas de produtos do mercado. Esse algoritmo não faz a geração da
chave, mas usa as chaves previamente geradas por meio da infra-estrutura de chave públi-
ca, criptografando e descriptografando com o par de chaves de cada usuário. Repare que
há dois conceitos em questão, a distribuição de chaves que não faz parte do algoitmo de
criptografia e o algoritmo em questão, coforme ilustra a figura 1.8:
Figura 1.8 – Usuário A enviando para usuário B.
Figura 1.9 – Usuário B enviando para usuário A.
No primeiro exemplo, o usuário A quer enviar alguma informação para o usuário B, neste
caso, ele pega a chave pública do usuário B, criptografa a informação e envia pela Internet. O
usuário B, que recebe a informação, usa sua chave privada para descriptografar a informação e
retorná-la à sua forma original. No sentido inverso, o usuário B quer enviar algo para o usuário
A, neste caso ele usa a chave pública do usuário A e envia os dados. O usuário A usa sua chave
privada para retornar com a informação à sua forma original, conforme ilustra a figura 1.9.
As chaves públicas ficam disponíveis na Internet, administradas por órgãos certificado-
res, ou Certificate Authority, ou podem ficar em um servidor LDAP se forem utilizadas só
em uma intranet. Esses órgãos são responsáveis por manter esta base de chaves públicas
e garantir, na inclusão de um chave pública, a verdadeira identidade do emissor da chave,
bem como a data de validade dessas chaves.
38 Virtual Private Network • VPN
O método RSA, embora totalmente transparente ao usuário, pode ser de 100 a 10 mil vezes
mais lento em função da complexidade do algoritmo e comprimento das chaves. Podemos
combinar as duas formas, simétrica e assimétrica, para tanto, basta utilizarmos o método
RSA para enviar uma chave DES ou 3-DES, e em posse da chave simétrica estabelecer uma
conexão pelo tempo de sessão, ou de tempos em tempos, gerando uma nova chave DES e
usando o algoritmo RSA para compartilhar a chave.
No Anexo A – Referências, há links específicos sobre criptografia, caso queira aprofun-
dar-se mais neste assunto.
Padronização e interoperabilidade
Não seria necessário nenhuma padronização se trabalhássemos dentro de um grupo fe-
chado, compartilhando as mesmas informações com as mesmas pessoas, mas já vimos
que a rede pública, no caso a Internet, é uma grande mistura de pessoas com diferentes
objetivos e necessidades. Com o crescimento da Internet, é cada vez mais fundamental
definir um conjunto mínimo de requerimentos para programação na Web, requerimentos
para criptografia, para conexões etc., como nossa padronização de sinalização nas estradas,
ou identificação das pessoas pelo CPF ou RG. A padronização não surgiu com a Internet,
muito pelo contrário. Imagine um posto de gasolina colocar uma bomba, cuja medição é
em galões? Isso é diferente do nosso padrão de entendimento natural, embora comum em
outros países.
Como nosso objetivo é construir VPNs, logo, usando a Internet como nossa infra-estru-
tura básica de transmissão de dados, nossa primeira premissa é utilizar o protocolo TCP/IP
como padrão para VPN, mesmo que a rede interna não utilize o TCP/IP. Neste caso, temos
que fazer com que os dados que irão entrar na rede VPN passem por algum tipo de ajuste,
ou seja, sejam enquadrados no protocolo TCP/IP. Esse ajuste é explicado no Capítulo 3.
Outro cuidado importante que se deve ter em mente é na escolha do protocolo que será
utilizado na VPN.
O protocolo nada mais é do que o padrão que iremos adotar para estabelecer a VPN,
ou seja, quais as regras que queremos colocar para estabelecer esta rede virtual. Utilizar
protocolos específicos ou limitados a determinadas plataformas não permite a flexibilidade
de no futuro ampliarmos a capilaridade das VPNs. Mesmo para pequenas empresas, que
hoje só possuem uma filial, com um conjunto reduzido de usuários que utilizará a VPN, a
escolha de um protocolo padronizado para VPN pode ser de grande valia no futuro.
Outra premissa importante, é a interoperabilidade entre as soluções. No caso de VPN,
talvez o maior exemplo que se tem na história seja do Automotive Industry Action Group
(AIAG), um grupo representando a indústria automotiva americana definiu em 1994 o pro-
tocolo TCP/IP como protocolo-padrão de rede entre todas as empresas da área automotiva,
como: montadoras, fornecedoras de matéria-prima, fornecedoras de peças, prestadoras de
39Capítulo 1 • Fundamentos da Rede Privada Virtual
serviço, parceiros de negócio etc., num total de mais de 1.300 empresas do setor. Um ano
depois, foi criado pelo AIAG o Automotive Network eXchange (ANX), uma gigantesca rede
de VPNs interligando todas as empresas participantes do grupo e fornecedores de solução
de VPNs.
Embora possa parecer que não faz sentido interligar concorrentes como a General
Motors e a Ford, há vários interesses entre as principais montadoras que justificaram essa
interligação. Para que essa ligação fosse possível, várias padronizações e premissas deveriam
ser cumpridas, dentre elas, as principais são: o protocolo da VPN deveria ser o IPSec, ou
IP Security, um protocolo definido pelo Internet Engineering Task Force que padroniza as
questões de privacidade, autenticidade e integridade de cada pacote enviado e recebido
pela rede TCP/IP.
Segundo, apesar de todos estarem conectados com todos, a confidencialidade deveria
ser preservada aos participantes. Terceiro ponto, disponibilidade integral, ou seja, mesmo
usando a Internet como meio, a rede nunca poderia ficar inoperante. Deveria ser construída
de forma que mesmo uma empresa estivesse fora da rede virtual, as demais empresas conti-
nuassem a se comunicar. Isto foi feito utilizando-se vários provedores de acesso, roteadores
redundantes, redes redundantes e gateways de VPN redundantes.
Uma série de outros padrões e premissas foram definida, cada uma com sua importân-
cia. É fácil imaginar que com tantas variáveis seria necessário que um grupo de pessoas
ficasse responsável por certificar a interoperabilidade entre os pontos; assim ficou a cargo
do International Computer Security Association (ICSA) fazer o papel de certificador para
soluções de VPN, no que se refere a interoperabilidade.
Utilizar um produto de um fabricante que tenha o selo ICSA nos dá a garantia de que o
produto foi testado e aprovado para se interligar com outros fabricantes de VPN, o que não
necessariamente é uma premissa importante para pequenas instalações, mas para empresas
que querem expandir-se no futuro, e interligar sua rede à de fornecedores ou parceiros é
uma premissa importantíssima. De acordo com o Business Case da AIAG e com o Projeto
Piloto, o benefício dessa grande VPN trouxe uma economia de U$ 71,00 por carro, ou U$
1 bilhão de dólares por ano à indústria automotiva americana.
Depois deste projeto inovador, vários outros grupos aderiram às VPNs, como a indústria
de equipamentos eletrônicos, o setor de aviação, as grandes corporações, enfim, o cresci-
mento da utilização de VPN está diretamente interligado ao crescimento da própria Internet,
uma vez que a Internet serve como suporte à construção de VPNs.
Em virtude desse crescimento da Internet e conseqüentemente de VPNs, várias organi-
zações foram criadas, cada qual com seus objetivos, defendendo suas necessidades. Iremos
abordar as principais delas, embora existam várias outras, mas que fogem completamente
do escopo do assunto tratado. Essas organizações visam definir um conjunto de normas e
especificações, para facilitar o entendimento de quem está usando a Internet.
40 Virtual Private Network • VPN
• World Wide Web Consortium (W3C) tem por objetivo definir padrões para a Web.
Dentro deste grupo, temos as definições de HTML, XML, cookies, entre outros.
• Internet Engineering Task Force (IETF) visa definir normas para Internet como
um todo, estabelecendo padrões de conexão entre diferentes pontos, padrões de
criptografia, autenticação, entre outros. Há um subgrupo, dentro desta organização,
responsável pelo Internet Security Protocol (IPSec). Por ser uma peça-chave na VPN,
trataremos o IPSec separadamente no Capítulo 4.
• International Computer Security Association (ICSA) fornece selo de interoperabili-
dade entre os fornecedores de solução VPN, ou seja, testa a solução do fabricante e
verifica se o fornecedor atende aos requerimentos mínimos de VPN.
• National Institute of Standards and Technology (NIST), entre as suas propostas de
padronizações, encontram-se as de hash e criptografia.
• American National Standards Institute (ANSI) define requerimentos mínimos para
linguagens de programação, entre outros.
A maioria dessas organizações produz documentos de domínio público, para aprecia-
ção, recebendo sugestões de melhorias, críticas e adendos. Uma vez disponibilizados, esses
documentos são revistos a cada intervalo de tempo, ou caso ocorra um erro grave, uma
nova definição deve ser disponibilizada em referência à anterior.
Cada documento recebe um número dentro da organização, no caso do IETF, esses
documentos são chamados de RFCs (Request For Comment). Passado a maturidade de cada
documento, cada fabricante, ou interessado na definição, pode desenvolver seu produto
com base na definição proposta.
Firewall
Poderíamos escrever um livro explicando o que é um firewall, mas certamente não é o
objetivo desta obra. No Anexo A – Referências, há links que poderão ajudá-lo caso queira
se aprofundar no assunto.
No momento, podemos dizer que esta parede de fogo, como traduz o nome, na verdade
é como se fosse um segurança na porta de um local, verificando a identidade de quem deseja
passar pela porta, negando o acesso de quem não está autorizado a entrar e liberando os
demais, baseado numa política de segurança que alguém especificou.
Todo firewall está associado a um conjunto de regras especificadas, cuja ação pode ser
para bloquear, negar, rejeitar ou aceitar um tráfego específico ou porta que passe por ele.
Este tráfego, aceito ou não, pode ser registrado num banco de dados, para análise futura, ou
em tempo real. Existem no mercado muitos tipos de firewall, com várias funcionalidades
agregadas, conforme o preço de cada um.
41Capítulo 1 • Fundamentos da Rede Privada Virtual
Existem firewalls baseados em software e/ou hardware. Existem diversas publicações
de VPNs e artigos que falam que se você não tem um firewall para proteger sua rede inter-
na, não caminhe em direção à montagem de uma VPN. Não que seja obrigatório, ou que o
firewall resolverá todos os seus problemas de segurança, na verdade ele é apenas mais um
componente do conjunto, mas o risco envolvido em colocar uma rede interna numa rede
pública, como Internet, sem um firewall não justifica o esforço.
É como ter uma porta que pode ser aberta para algumas pessoas sem uma pessoa para
fazer o controle de acesso, ou não haver chave nessa porta. Temos uma situação de risco
muito alto. Voltando ao nosso exemplo da porta, se tivermos uma pessoa para controlar
quem pode ou não entrar, sendo uma pessoa, alguém mal-intencionado, poderia confundi-lo,
suborná-lo ou eliminá-lo, tornando a porta frágil para o acesso de qualquer um. Se colocar-
mos uma máquina para essa função, teremos mais garantias de segurança, mas ficaremos
dependentes do fabricante da máquina e talvez da junção máquina/porta.
Podemos voltar à solução do segurança e colocar dois seguranças na porta, e um ficaria
com a função de auxiliar o outro, caso ele queira se ausentar ou passe mal. Na solução com
firewall, descobrimos que podemos usar o mesmo princípio: colocando dois firewalls,
aumentamos nossa segurança e garantimos uma certa continuidade no tráfego mesmo que
um servidor pare de funcioar por falha. Essa solução se chama Alta Disponibilidade (High
Availability). Outra opção seria um firewall com fontes redundantes, portas redundantes
etc. Cada modelo e solução dependem da necessidade diretamente ligada ao valor da in-
formação, e quanto se está disposto a pagar pela segurança destes dados.
Normalmente, um firewall está entre a rede interna (LAN) e a rede externa (Internet).
Pode-se colocar mais um firewall protegendo um determinado servidor mais crítico. A
maioria dos firewalls de mercado tem o conceito de área desmilitarizada. Essa área serve
para se colocar servidores de domínio público, como servidores Web, sem perder a se-
gurança, porque o firewall só deixará passar tráfego HTTP entre este(s) servidor(es) e a
origem do pedido.
Um dos aspectos importantes quando falamos de VPN é a localização do firewall dentro
da rede VPN. Para facilitar o entendimento, vamos analisar disposição do firewall dentro
de uma topologia hipotética, conforme ilustra a figura 1.10.
42 Virtual Private Network • VPN
Figura 1.10 – VPN: Entre Filiais com Firewall.
A filial A, da empresa hipotética, possui um gateway VPN integrado a um firewall, ou
seja, o ponto terminador da VPN é, na verdade, um firewall que tem funcionalidades de
VPN. Neste caso, todas as funcionalidades da VPN, como autenticação, integridade, priva-
cidade etc., estão sendo feitas em conjunto com a política de acesso da filial A, as regras
definidas no firewall da filial A. Do ponto de vista de segurança, esta é a melhor opção,
porque centraliza num único ponto a gerência e o controle da rede VPN, e a segurança da
VPN é integrada à segurança do firewall.
A filial B tem um firewall entre a Internet e o ponto terminador da VPN. Esta topologia
requer uma configuração específica, porque para que o túnel VPN funcione é necessário
que o firewall não analise os pacotes da VPN, nem aplique as regras definidas a filial aos
pacotes que vierem dentro do túnel, porque os pacotes contêm informações privadas que
serão analisadas pelo gateway da VPN. Cabe ao firewall analisar o tráfego que passe fora do
túnel, ou seja, ele protege a filial de acessos não autorizados de pacotes vindos da Internet,
mas não pode analisar o tráfego da rede VPN.
A filial C tem um firewall após o ponto terminador da VPN. Este cenário é o oposto da
filial B, onde o gateway da VPN cuidará da rede virtual, sem aplicar as regras da filial aos
pacotes dentro do túnel. Uma vez dentro da rede interna, os pacotes direcionados ao host
ou servidor protegido pelo firewall serão analisados pelo firewall, ou seja, as regras da filial
serão analisadas somente depois que o pacote entrar dentro da rede interna da empresa.
Cada opção apresentada tem suas particularidades e funcionalidades, mas quanto mais
central for o ponto da segurança, maiores serão os controle e a gerência do ponto, como é
o caso da opção representada pela filial A. Por outro lado, a opção representada pela filial C
protege um host ou uma subrede independentemente da VPN, em que o objetivo é proteger
o host ou a rede, ficando a cargo do gateway proteger o tráfego VPN. Já a opção representada
pela filial B fragiliza o firewall da filial, porque para que a rede funcione adequadamente,
43Capítulo 1 • Fundamentos da Rede Privada Virtual
é necessário que o firewall permita o tráfego VPN sem analisar o conteúdo da informação.
Neste caso específico, uma pessoa mal-intencionada pode se aproveitar da abertura neces-
sária no firewall para explorar as portas e os protocolos utilizados nas redes VPNs.
Sem dúvida, a melhor opção é a representada pela filial A, que, em alguns casos, além
da melhor garantia de segurança, ainda tem, melhor relação custo x benefício, porque a
solução tende a ser menos dispendiosa que os outros cenários.
Embora essa solução seja de fácil gerência e escalabilidade, possui uma desvantagem:
o poder de processamento do firewall pode sofrer queda de desempenho em virtude da
divisão de tarefas (VPN e Firewall).
Packet Filters
Existem firewalls que funcionam como filtro de pacotes, ou seja, só permitem que o pacote
entre dentro da rede interna se o endereço de destino for de um servidor da rede interna;
por outro lado, pode validar se o endereço da origem pertence a um conjunto de endereços
previamente cadastrados no firewall como endereço válido de origem. Este tipo de firewall
é muito eficiente em matéria de velocidade, uma vez que os dados, que representam a
maior parte do pacote, não sero analisados, mas falha, pelo mesmo motivo, ao não analisar
a porção mais importante, o dado.
Figura 1.11 – Firewall do tipo Filtro de Pacotes.
Firewall do tipo Filtro de Pacotes analisa o pacote na camada de Rede do Modelo OSI
TCP/IP. Atualmente, a filtragem de pacotes é implementada na maioria dos roteadores e é
transparente aos usuários. Os firewalls baseados em filtros de pacote são os mais simples
e baratos, mas oferecem proteção limitada. Não atuam no nível de aplicação, ou seja, não
“entendem” o protocolo de aplicação.
Application Gateways
Existem firewalls que funcionam como um analisador e distribuidor (Proxy) de serviços da
aplicação, verificando o tipo de serviço do pacote, como TTP, FTP, Telnet etc. e redirecio-
nando o pacote para o servidor que pode responder ao pedido.
44 Virtual Private Network • VPN
Figura 1.12 – Firewall do tipo Application Gateway.
Firewall do tipo Application Gateway analisa o pacote na camada de Aplicação do mo-
delo OSI TCP/IP. Este tipo de solução é bem mais segura, mas peca pela velocidade, uma
vez que o pacote percorre todas as sete camadas do modelo OSI TCP/IP e somente será
analisado por um processo que entende o serviço. Outra limitação dessa solução é que não
há analisadores para todos os serviços disponíveis na Internet, como o UDP e RPC, sendo
uma solução limitada a determinados serviços.
Um outro problema nesta solução é que o firewall quebra a comunicação entre o cliente
e o servidor, entrando no meio, ou seja, o cliente faz uma conexão com o firewall que irá
comunicar-se com o servidor. Em aplicações cliente/servidor este nó no caminho às vezes
traz algumas dores de cabeça aos desenvolvedores. Muito cuidado com o proxy de FTP,
uma vez que dobra o número de sessões necessárias para a transferência, pelo fato de o
firewall fazer uma conexão com o servidor de FTP e outra com o cliente.
Outro problema é que o FTP usa portas altas nas sessões com os clientes, acima de 1.023,
expondo muito o firewall. Pode-se usar uma configuração para modo passivo, que utiliza
somente as portas 20 e 21, mas nem todos os clientes de FTP suportam este modo.
Stateful Inspection
Um terceiro grupo de firewall, que hoje são considerados as melhores opções de mercado,
são os firewalls que controlam toda sessão aberta entre a origem e o destino, mantendo
uma tabela de controle de status, garantindo com isso que as conexões abertas entre dois
pontos sejam mais rápidas e garantindo maior segurança entre os pontos.
Se o firewall é, na verdade, uma barreira baseada em regras definidas, logo podemos
dizer que o firewall é também um gateway. Sendo um gateway, ele pode funcionar como
um elo importante na construção da VPN. Quase todos os firewalls de mercado já ofere-
cem o serviço de VPN, respondendo pelo padrão IPSecembutido, ou seja, ele na verdade
estabelece uma VPN com outro firewall ou com usuários em trânsito.
45Capítulo 1 • Fundamentos da Rede Privada Virtual
Figura 1.13 – Firewall do tipo Stateful Inspection.
Firewall do tipo Stateful Inspection analisa o pacote nas camadas acima de Rede, até
mesmo do modelo OSI TCP/IP, conforme figura 1.13. Para prover segurança robusta, um
firewall deve rastrear e controlar o fluxo de comunicação que passa através dele. Para po-
der tomar decisões de controle sobre serviços baseados em TCP/IP (por exemplo, aceitar,
rejeitar, autenticar, criptografar e/ou registrar tentativas de comunicação), um firewall pre-
cisa obter, armazenar, recuperar e manipular informação derivada de todas as camadas de
comunicação e de outras aplicações.
Para tanto, não é suficiente examinar pacotes isoladamente. A informação de estado
– derivada de comunicações passadas e de outras aplicações – é um fator essencial para
a tomada de decisão de controle sobre novas tentativas de comunicação. Dependendo
da tentativa de comunicação, tanto o estado da comunicação (derivado de comunicações
passadas) quanto o estado da aplicação (derivado de outras aplicações) podem ser críticos
para a decisão de controle. Logo, para garantir o alto nível de segurança, entende-se que o
firewall deva ser capaz de acessar, analisar e utilizar essas informações.
Appliance
Para construir uma VPN, precisamos de um servidor, que pode ser um firewall, fazendo o
papel de gateway, ou outro equipamento que faça o encapsulamento e respeite as premis-
sas básicas da VPN.
Appliance é um conceito que vem sendo cada vez mais difundido de equipamento
(hardware) com programas (software), compondo uma solução casada e integrada.
Esses equipamentos foram projetados para ser uma solução única de segurança agregan-
do funcionalidades, tais como: roteador e filtro de pacotes, firewall, servidor de antivírus,
serviço de detector de invasão etc.
Algumas funções são feitas em chips dedicados e de fácil gerência. O grande apelo dos
fabricantes é que o sistema operacional foi modificado e não possui serviços desnecessários
a um equipamento de segurança, conseqüentemente não há portas abertas, nem dispositivos
como CDs e disquetes que podem comprometer a segurança de um servidor.
46 Virtual Private Network • VPN
Sendo uma caixa de segurança, não é possível colocar serviços compartilhados, como,
por exemplo, colocar um firewall com servidor Web, ou servidor de antivírus na mesma
máquina, o que seria um grande erro do ponto de vista de segurança, mas por questões
financeiras às vezes é usado.
Desta forma, a maioria dos Appliances já vem com software configurado para suporte à
VPN entre filiais e para usuários remotos. Esta solução tem suas vantagens e desvantagens,
como equipamentos de fax junto com xerox e impressora. Cada fabricante vai apresentar
suas melhores propostas e benefícios.
Ha uma ressalva importante, sem ofender os fabricantes de cada solução, é que se deve
ter muito cuidado no projeto da rede com VPN, usando firewall e Appliances, porque embora
ofereça solução nativa, de fácil gerência e escalabilidade, o poder de processamento do
firewall e/ou Appliance pode sofrer queda de desempenho em virtude da divisão de tarefas
(VPN, filtro de pacotes, analisador de tráfego, antivírus etc.). Existem modelos específicos
para cada situação, desde soluções SOHO até para grandes empresas. É aconselhável uma
margem de segurança na ordem de 30% a 40% no dimensionamento.
O que a VPN não protege?A resposta pode parecer pessimista, mas não existe um sistema totalmente seguro e cer-
tamente não vai existir, simplesmente porque não vivemos num paraíso onde as pessoas
direcionam todo seu conhecimento para o bem.
O uso da tecnologia de caráter negativo transcende a questão da segurança. O objetivo
de quem lida com segurança é criar barreiras e dificultar ao máximo pessoas que querem
usar seus conhecimentos para tirar alguma vantagem. Com essas barreiras que podemos
criar, vem a questão custo envolvida em cada solução. Mais uma vez, aconselha o bom
senso, gastar com segurança valores inferiores aos custos decorrentes de uma eventual
perda na ausência de segurança.
Não é razoável investir financeiramente numa solução de segurança mais o custo mensal
para manter essa solução, e proteger dados públicos sem valor, ou informações que não
justificam o investimento feito.
No decorrer do livro, serão apresentados os requisitos mínimos para montar uma VPN,
em diversas arquiteturas de rede, mas cada arquitetura envolve um conjunto de componentes
necessários. Esses componentes podem ser mais ou menos importantes e, conseqüente-
mente, podemos aumentar ou diminuir o investimento de cada componente. Quanto menor
o investimento, maior o risco do dado a ser capturado e modificado.
Vamos voltar às premissas da VPN, privacidade, integridade e autenticidade. A privaci-
dade pode ser obtida por meio da criptografia da informação. Essa criptografia é feita por
meio de algoritmos codificados em uma determinada linguagem. E se esse algoritmo for
modificado, gerando uma criptografia falsa da informação?
47Capítulo 1 • Fundamentos da Rede Privada Virtual
Todas as outras premissas serão cumpridas, mas a privacidade ficou exposta. Se a
privacidade for uma questão fundamental, pode ser usado um equipamento para fazer a
criptografia e armazenar a chave da criptografia, um hardware, desta forma a chave ficará
protegida dentro do hardware, porque quem irá fazer a criptografia será um chip que irá
usar a chave armazenada dentro do equipamento. Mas não se iluda, o custo desta solução
será maior. Outros fatores, ainda referentes à questão de privacidade, são o tipo de algoritmo
usado para criptografia e o tamanho da chave.
A idéia sobre falhas na VPN, na verdade, está diretamente ligada ao risco envolvido
em determinadas configurações em função do investimento feito na solução, mas que na
verdade são riscos calculados. Por exemplo, colocar em um gateway da VPN serviços que
não fazem parte do contexto de segurança, como servidor Web, ou servidor de e-mail. Este
tipo de combinação reduz os custos, mas compromete a segurança, porque o equipamento
está sujeito a ser infectado por vírus ou ataques externos ao servidor Web.
Outra falha na VPN, mas que não se insere na categoria de risco calculado, seria a forma
mais abrangente como a segurança é tratada dentro da empresa. Uma política de segurança
abrangente para toda a empresa, certamente, é o primeiro passo importante a ser dado.
Um levantamento feito nas cem maiores empresas americanas de tecnologia mostrou que
a maioria dos ataques sofridos não foi sobre os componentes da VPN, como firewall, e sim
direcionados a servidores de fax, modems remotos e estações dos funcionários dentro da
empresa, usando senhas-padrão que nunca foram modificadas. Junta-se a este grupo de
risco funcionários insatisfeitos e que tenham sido demitidos da empresa.
Uma política de segurança deve ser implementada na empresa, eliminando-se o uso de
disquete, fonte interminável de vírus e programas maliciosos, restringindo o uso de modem
dentro das estações. O ideal seria bani-los de sua rede, elaborar uma política de troca de
senha periódica para acesso a determinadas informações. Essa mesma política de senha
deve forçar que a senha não seja de fácil entendimento ou baseada em fatores pessoais,
como data de aniversário, nome de pessoas, palavras pertencentes a dicionários e poucos
caracteres. Ou seja, não se deve descuidar da segurança sob nenhum aspecto, porque a
VPN não vai resolver todos os problemas de segurança.
Saindo um pouco do ambiente controlado numa VPN e da política de segurança dentro
da empresa, mas relevante do ponto de vista de segurança, é o aumento da sofisticação
das ferramentas de ataques. Essas ferramentas estão cada vez mais fáceis de localizar e
disponíveis na Internet, mesmo para os menos experientes, que se utilizam delas para fins
danosos. Diferentemente de alguns anos atrás, hoje elas têm comportamentos dinâmicos,
ajustando-se e analisando de forma dinâmica um determinando site, são modulares, dis-
parando vários ataques simultâneos em diferentes brechas, procurando vulnerabilidade, e
trafegam sobre protocolos abertos como HTTP, IRC (programas de bate-papo) e IM (troca
de mensagem).
48 Virtual Private Network • VPN
Outra análise relevante sobre segurança está diretamente ligada ao mercado cada vez
mais heterogêneo, com sistemas operacionais, linguagens de programação, programas de
bate-papo, troca de mensagem, servidores de correio, servidores de páginas, servidores
de transferência de arquivos etc. Isto fez com que chegássemos até aqui, num crescimento
acelerado, mas ao mesmo tempo, no decorrer do desenvolvimento dessa infra-estrutura,
alguns descuidos foram cometidos e hoje vários programas comerciais e livres têm falhas
que podem ser exploradas pela facção maldosa da rede.
Há um grupo na Internet, chamado de CERT Coordination Center, do Instituto de En-
genharia de Software da Universidade Carnegie Mellon, organização que publica essas
vulnerabilidades. E segundo dados publicados na Security & Privacy, da IEEE, só no ano
passado mais de 2.400 falhas foram publicadas e estima-se que esse número chegue a quase
4.000 em 2002.
Não podemos só culpar os desenvolvedores, mas a todos os envolvidos, seja a equipe
comercial que quer vender e não prioriza a questão da segurança, seja a equipe de marke-
ting, que tem a visão de promoção e divulgação, seja o próprio mercado, que quer usar
produtos cada vez mais sofisticados para ficar à frente de seus concorrentes. Quem fica
numa situação vulnerável é o administrador de rede, que deve ficar sempre atento às falhas
e solucioná-las, seja instalando correções disponibilizadas pelo fabricante, ou tirando um
serviço do ar, por falta de segurança sem uma correção publicada.
Os maiores problemas, dentro de um ambiente controlado com firewall, VPN, política de
segurança adequada, são os que estão dentro da própria infra-estrutura montada. Ataques
de infra-estrutura têm por objetivo comprometer componentes da Internet. Os principais
são:
• Denial Of Service (DoS), ou Negação de Serviço. Este talvez seja um dos piores
ataques, pois é impossível ser pró-ativo e não há patch que possa ser aplicado que
aumente a segurança da solução, por suas próprias características. O objetivo do
atacante é deixar o sistema ou os servidores da vítima inoperantes, aumentando
o volume de requisições que se faz aos servidores ou sistema. Imagine colocar a
torcida do Flamengo dentro de uma padaria, o padeiro não conseguirá vender nada,
simplesmente porque ninguém vai conseguir entrar para pedir qualquer coisa. O
princípio é o mesmo, o atacante dispara milhares de pedidos ao mesmo servidor ou
site a troco de nada. O servidor fica tentando atender a todos os pedidos em vão,
sobrecarregando sua capacidade e estressando seus recursos até não suportar mais,
e tem-se a sensação de que o site está inoperante. O que se faz numa situação dessas
é tentar descobrir a origem dessas requisições e colocar filtros nos roteadores de
borda, impedindo que o pedido chegue até o servidor.
• Distributed Denial Of Service (DDoS), ou Negação de Serviço distribuído. O compor-
tamento dos atacantes vem mudando, e hoje eles estão cada vez mais sofisticados,
49Capítulo 1 • Fundamentos da Rede Privada Virtual
fazendo com que suas ferramentas disparem requisições de vários pontos diferentes.
O princípio é o mesmo do DoS, mas o ataque parte de centenas ou milhares de ser-
vidores simultaneamente para um único servidor. Esta variante do DoS é ainda mais
danosa porque o atacante não é único, ou seja, a opção de filtro nos roteadores para
uma origem específica desaparece, só restando a opção de filtro para um conjunto
de endereços de origem, mas se este conjunto for muito grande? Infelizmente não
há muito a ser feito.
• Ataques DNS (Servidores de Nomes). A função de um DNS é traduzir nomes co-
nhecidos em endereços IP, para tráfego na Internet, facilitando nossas vidas, mas
pessoas mal-intencionadas entram em servidores de nomes e trocam endereços de
origem por outro, fazendo um redirecionamento indireto de todos os usuários do
site. Por exemplo, imagine trocar o endereço do site da Microsoft por um da Embratel
ou vice-versa, todo tráfego de um site iria para o outro ou vice-versa. Esta é apenas
uma visão do estrago que pode ser causado. Em posse de um servidor de nomes,
o atacante tem literalmente controle de um ou mais servidores e o que ele poderá
causar é, sem dúvida, catastrófico.
• Worms. A tradução seria verme, que é diferente de um vírus, que tem sua característica
própria, em que seria necessário alguém executar alguma coisa, ou receber por e-
mail. Os worms vão se propagando na rede, sem intervenção humana, e danificando
várias estações em frações de tempo bem pequenos. A título de curiosidade, o Code
Red em 19 julho de 2001 danificou 250 mil sistemas em 9 horas, causando um prejuízo
de U$ 2.6 bilhões; o Sircan (outro worm), outros U$ 1.3 bilhões. Só para comparação,
especialistas dizem que o ataque do dia 11/09 as torres do World Trade Center vai
custar U$ 15.8 bilhões entre remoção e reconstrução de tudo que foi destruído pelo
terrorismo. Pela própria capilaridade dentro de uma rede, eles se espalham rapi-
damente e podem levar ao colapso várias empresas. Outro worm é o W32/Leaves,
que se aloja numa estação e vai fazendo varredura nas portas de diversas estações
ao redor da própria máquina, causando uma negação de serviço por saturação.
• Ataques a roteadores. Parece ilógico, já que a função de um roteador é direcionar o
tráfego de uma origem para o destino, roteando pacotes, como serviço de correio,
analisando o destino de uma carta e entregando-a. Mas imagine colocar toneladas
de cartas para uma determinada região, certamente o número de funcionários e os
equipamentos irão trabalhar num ritmo acelerado e pode causar danos ao sistema.
Como estamos falando de Internet, milhares de pacotes para o mesmo roteador e
diretamente para ele, sem direcionar para outro servidor, pode causar sua indisponi-
bilidade porque irão utilizar todos os seus recursos. Na verdade, seria uma variante
da negação de serviço, só que no roteador.
Estes são alguns dos mais importantes ataques de infra-estrutura, mas existe um conjunto
de riscos e ataques bem mais amplo. Esse conjunto maior será detalhado no Capítulo 9.
50 Virtual Private Network • VPN
Custos x benefíciosFaz parte da cartilha do vendedor começar pelos benefícios da solução e depois apresentar
os custos de construção e manutenção. Talvez o principal benefício da VPN seja o próprio
custo envolvido, não que a solução seja barata, mas comparativamente com a solução atu-
al, rede privada baseada em linha dedicada, é sem dúvida uma grande vantagem quando
comparamos o custo anual de uma rede dedicada. Mas se iremos utilizar a Internet para
estabelecer as redes virtuais não seria necessário ter uma linha dedicada com um provedor
de acesso? Qual a diferença entre linhas dedicadas?
Existem várias formas de se contratar um serviço de acesso a um provedor. Pode-se
contratar um link E1 (1.54Mbps), ou contratar um link menor, por exemplo, 512Kbps, e
pagar uma taxa extra. Caso o tráfego ultrapasse este limite, pode-se contratar menos, um
link ISDN de 128Kbps ou Digital Subscriber Line (DSL), pode ser por largura da banda,
independentemente da utilização, e no último caso, pode ser por um serviço de acesso
gratuito para usuários remotos.
Ter uma conexão direta com um provedor tem seus custos, mas são infinitamente meno-
res se quisermos ter uma ligação dedicada entre duas filiais. E se as filiais estiverem em outro
Estado ou país? E como resolver o problema de nossos usuários remotos? Uma linha dedicada
para cada um? É fato que não iremos gastar com cabos e interligações entre as filiais, mas
iremos utilizar a Internet, logo, iremos dividir o custo com todos os participantes da Internet,
ou seja, temos que ter um provedor de acesso à Internet. Outro benefício em utilizar a VPN é
a flexibilidade para adicionar participantes, sejam usuários remotos, filiais, empresas externas
ou parceiros, bastam algumas configurações para que este novo participante entre na rede
virtual. Outra grande vantagem é a escalabilidade, ou seja, pode-se ir adicionando filiais ou
usuários remotos à medida que for necessário para o negócio da empresa.
Nos custos envolvidos, há uma relação direta com o nível de segurança e capilaridade que se
deseja alcançar numa solução VPN. Quanto maior a segurança, maior o custo, quanto mais pontos
participarem da VPN, maior o gasto com o(s) provedor(es) de acesso e links contratados.
Na maioria dos casos, montar uma VPN é apenas mais um passo a ser dado dentre inúmeros
que já foram dados até o ponto que se chegou a ventilar o uso de VPN. Montar uma estrutura
de VPN sem um firewall talvez não seja uma boa opção, mas na maioria dos casos a empresa já
investiu num firewall, mesmo que o investimento tenha sido pequeno e optou-se por um mais
simples. Empresas com mais de uma filial provavelmente já tem algum tipo de comunicação entre
elas, mesmo que seja de link direto; neste caso, basta trocar por links de provedores de acesso.
Usuários remotos já dispõem de modems e de algum provedor, mesmo que seja gratuito. A idéia
acerca do que estamos falando é mostrar que o custo envolvido depende muito de até que ponto
a empresa já chegou em matéria de investimento tecnológico e quanto dispõe de recurso para
investir, ou pensando na segurança, quanto se está disposto a pagar pela garantia da informação?
Esta pergunta é muito subjetiva e depende de uma análise mais profunda de cada caso.
51Capítulo 1 • Fundamentos da Rede Privada Virtual
Um outro ponto importante relacionado a custo é que uma vez construída a rede VPN,
há necessidade de manutenção e gerência desta, o que envolve um custo mensal do pes-
soal responsável por esta tarefa, muitas vezes também relacionado à disponibilidade que
se deseja em uma rede VPN, ou seja, permitir que a conexão fique estabelecida em tempo
integral requer uma equipe operando 24 horas durante 7 dias por semana, o que aumenta
bastante o custo de qualquer solução.
Cresce cada vez mais a oferta por serviço de segurança gerenciada, tendo este serviço uma
taxa inicial pela montagem do ambiente de segurança e uma taxa mensal pela manutenção
desse ambiente. O grande apelo dessas empresas que oferecem esse tipo de serviço é que não
há necessidade de a empresa arcar com o custo mensal do pessoal envolvido na manutenção da
segurança, tendo um serviço operando 24 horas durante 7 dias por semana, 365 dias ao ano.
Sendo a segurança da informação um assunto amplo, delicado e envolvendo várias
questões, os profissionais da área precisam estar sempre atualizados, sendo treinados e
participando de grupos relacionados à segurança em nível internacional. Desta forma, a
despesa envolvida em salários, treinamento e atualizações pode aumentar muito o custo
mensal da solução, mas por outro lado, as empresas que oferecem o serviço diluem esse
custo com as empresas que contratam o serviço, barateando o serviço.
Por outro lado, é necessária uma confiança muito grande na empresa que vai prestar o
serviço, uma vez que todas as informações ficarão acessíveis à prestadora do serviço. Como
esta questão é um pouco complexa, foi dedicado o Capítulo 9 para tratar desse assunto.
Por onde começar?Nosso objetivo é utilizar a Internet como meio e construir redes virtuais seguras. Essas
redes são estabelecidos entre dois pontos, podendo ser dois hosts, um host e uma rede,
ou entre duas redes. Antes de propor um roteiro, vale a pena alertar para alguns cuidados
importantes a serem observados, sendo eles:
i. Privacidade e autenticidade. Definir o grau pretendido nestes conceitos, ou seja, qual
é a complexidade a que se pretende chegar em função do valor da informação que
irá trafegar pela VPN. Criptografia pode ser feita por hardware, mas envolve um custo
alto principalmente para usuários remotos. Cada usuário terá o seu modem com esta
funcionalidade, mas para conexão entre duas redes talvez seja interessante. Autenti-
cidade pode ser mais complexa, além da tradicional conta/senha, pode ser usado um
Smart Card ou Token. A tarefa de criptografar e descriptografar uma informação tem
um custo do desempenho envolvido. Para tráfegos muito intensos em uma rede VPN,
os pontos ou gateways devem ser dimensionados adequadamente, principalmente
em links dedicados de bandas largas. A segurança da VPN aumenta o tamanho do
pacote IP, conseqüentemente, pode haver fragmentação do pacote, o que acarreta
configurações específicas em alguns dispositivos e perda de velocidade.
52 Virtual Private Network • VPN
ii. Interoperabilidade. Com uma gama de protocolos para VPN e redes heterogêneas,
utilizar soluções padronizadas facilita a escalabilidade e a gerência da solução. Em
redes pequenas, talvez esta não seja a principal premissa, mas para empresas médias
e grandes, utilizar protocolos e gateways com padrões de mercado irá ajudar muito
em um futuro crescimento da solução.
iii. Network Address Translation (NAT). O NAT serve para esconder uma rede interna e
utilizar poucos endereços IPs para sair na Internet. Essa funcionalidade é, sem dúvida,
importante, mas com VPN, onde o endereço de origem e o de destino são escondi-
dos pelo IPSec, deve-se decidir, a priori, se será utilizado um endereço interno ou
endereço de NAT em uma VPN e tomar cuidados especiais nas configurações dos
dispositivos envolvidos na VPN.
iv. DNS interno. O servidor de nomes transforma nome público em endereço IP. Algu-
mas empresas têm seu próprio servidor de nomes na rede interna, logo, usando uma
VPN para alcançar uma rede interna, alguns cuidados na configuração da solução de
VPN devem ser tomados para que o usuário remoto possa alcançar os servidores de
nomes internos.
v. Gateways da VPN. Tenha em mente, sempre que pensar em um ponto da VPN, que
se esse ponto sofrer alguma avaria ou ficar indisponível, seja por ataque, problema
físico, manutenção preventiva etc., toda a VPN ficará indisponível.
Passando-se da fase dos cuidados envolvidos, talvez um pequeno roteiro, não necessa-
riamente em etapas, pode ajudar, sendo ele:
a) Identificar os usuários, ou grupo de usuários, com os quais se deseja estabelecer a
rede.
b) Identificar quais usuários, ou grupos, vão acessar quais informações ou serviços.
c) A escolha de cada componente da VPN, em função da característica da informação,
é outra tarefa importante. Soluções baseadas em software/hardware, autenticação
por SmartCard ou Token, firewall etc.
d) Desenho da topologia atual e da pretendida é uma ótima idéia, principalmente para
quem vai configurar os equipamentos necessários.
e) A escolha de cada componente da VPN, em função da característica da informação,
é outra tarefa importante. Soluções baseadas em software/hardware, autenticação
por SmartCard ou Token, firewall etc. E dimensionamento adequado, levando-se em
consideração volume de tráfego e alta disponibilidade.