Implementações
de VPN
Uma ligação segura
pode ser estabelecida utilizando VPN’s que podem ser
divididas em ponto-a-ponto (site-to-site) e de acesso
remoto (remote access) (ver figura 3). Em uma rede
privada virtual o compartilhamento da infra-estrutura
ocorre inclusive no que se refere a circuitos dedicados.
Os principais tipos de VPN’s são:
1. VPN formada por circuitos virtuais
discados;
2. VPN formada por circuitos virtuais dedicados;
3. VPN utilizando a Internet;
4. VPN IP fornecida por um provedor com backbone IP.
1. Conexão por Acesso
Discado
A implementação de
um acesso discado VPN é semelhante a uma conexão
dial-up entre dois computadores em localidades diferentes.
A diferença é que os pacotes são
transferidos por um túnel e não através
da simples conexão discada convencional. Por
exemplo, um usuário em trânsito conecta-se
com um provedor Internet através da rede pública
de telefonia (RTPC) e através dessa conexão
estabelece um túnel com a rede remota, podendo
transferir dados com segurança.
Figura 6 - Acesso discado
2. Conexão por Link de Acesso Dedicado
O acesso por link dedicado, interligando
dois pontos de uma rede, é conhecido como LAN-to-LAN.
No link dedicado as redes são interligadas
por túneis que passam pelo backbone da rede
pública. Por exemplo, duas redes se interligam
através de hosts com link dedicado, formando
assim um túnel entre elas.
Figura 7 – Acesso
por link dedicado
3. Conexão via Internet
O acesso é proporcionado por
um provedor de acesso Internet (ISP) conectado à
rede pública. A partir de túneis que
passam pela Internet, os pacotes são direcionados
até o terminador do túnel em um nó
da rede corporativa. Atualmente a maneira mais eficiente
de conectar redes por meio da Internet é através
de um link dedicado de acesso como o ADSL. Basta que
as redes disponham de uma conexão dedicada
como esta para que a VPN possa ser montada.
Figura 8 – Acesso pela Internet
4. Conexão por VPN
IP
Existem alguns tipos de VPN IP disponibilizadas
pelas próprias operadoras de serviços
de telecomunicações. A diferença
entre uma e outra está nos tipos de serviços
disponibilizados para o usuário:
• VPN IP baseada na rede da operadora
(network-based IP VPN) – totalmente gerenciada pelo
provedor de serviços. A tecnologia (ou lógica)
fica sob responsabilidade da operadora. No cliente
é instalado apenas um roteador e configurado
o serviço;
• VPN IP com gestão de CPE’s
(Managed CPE-based IP VPN) – o provedor de serviços
instala e gerencia os CPE’s (Customer Premises Equipments)
que são os elementos de rede que ficam nas
instalações do cliente, além
de todos os outros dispositivos de conectividade;
• VPN IP solução in-house
– nesse caso a empresa adquire equipamentos de um
fabricante e o link para a conectividade com a operadora,
sendo de sua responsabilidade a implantação
e o gerenciamento da VPN.
A VPN IP oferece ainda a possibilidade
de se realizar a comutação dos túneis
aumentando a flexibilidade de configuração
da rede corporativa. Pode-se configurar diversos destinos
baseados no usuário. Neste caso, um usuário
de um setor da empresa pode ser interligado somente
com o servidor específico daquele setor, enquanto
que um fornecedor que deseja consultar os estoques
atuais de produtos, deve ter acesso apenas ao servidor
que contêm esta base de dados.
Figura 9 – VPN IP
Segurança
A utilização da Internet como infra-estrutura
de conexão entre hosts de uma rede privada
é uma solução em termos de custos,
mas não em termos de privacidade. A Internet
é uma rede pública, logo os dados em
trânsito podem ser interceptados e lidos.
Incorporando técnicas de criptografia na comunicação
entre hosts da rede privada de forma que, se os dados
forem capturados durante a transmissão, não
possam ser decifrados, esses problemas de segurança
são minimizados. Como mencionado, são
criados túneis virtuais que habilitam o tráfego
de dados criptografados pela Internet, capazes de
manipular os dados criptografados, formando uma rede
virtual segura sobre a rede pública.
Os dispositivos responsáveis pelo gerenciamento
da VPN devem ser capazes de garantir a privacidade,
a integridade e a autenticidade dos dados transmitidos.
Assim são necessários cuidados especiais
com relação aos usuários que
acessam a rede e com os dados que trafegam entre os
diversos nós da WAN:
• Autenticação dos usuários -
permite ao sistema enxergar se a origem dos dados
faz parte da comunidade que pode exercer acesso a
rede;
• Controle de acesso - visa negar
acesso a um usuário que não está
autorizado a acessar a rede como um todo, ou simplesmente
restringir o acesso de usuários;
• Confidencialidade - visa prevenir
que os dados sejam lidos e/ou copiados durante o trânsito
através da rede pública. Desta forma,
pode-se garantir uma maior privacidade das comunicações
dentro da rede virtual;
• Integridade de dados - garante
que os dados não serão adulterados.
Os dados podem ser corrompidos ou algum tipo de vírus
pode ser implantado com finalidades diversas.
As tecnologias e protocolos de segurança
mais utilizados em redes VPN são os seguintes:
• CHAP – Challenge Handshake Authentication Protocol;
• RADIUS – Remote Authentication Dial-in User Service;
• Certificados Digitais;
• Encriptação de Dados.
Os três primeiros protocolos
visam autenticar usuários e controlar o acesso
na rede. O último visa prover confidencialidade
e integridade aos dados transmitidos.
Custos
Existem vários aspectos que
podem ser observados em termos de custos entre as
redes corporativas tradicionais e redes que utilizam
VPN. Uma rede tradicional é baseada normalmente
na conexão por links dedicados de banda larga
(512Kbps ou mais), custos mensais fixos (instalação,
manutenção, etc) e utilização
de diversos equipamentos. Já as redes baseadas
em VPN utilizam um único link, com uma banda
menor (128Kbps ou 256Kbps, tipicamente) e, conseqüentemente,
com custos de manutenção menores.
A tabela seguinte apresenta uma comparação
entre os dois tipos de redes:
Rede Tradicional |
VPN |
Diversos links de comunicação |
Apenas um link de comunicação |
Custos mensais fixos, tarifas
por km (degrau) |
Custo mensal variável |
Vários equipamentos
contratados para acesso |
Poucos equipamentos de acesso |
Servidores dedicados para acesso |
Acesso remoto via ISP |
Tabela 1 - Comparação
entre Rede tradicional e VPN
As redes VPN também são
facilmente escalonáveis em relação
aos links dedicados. Para se interconectar um ponto
adicional de conexão na rede, o provedor de
serviço providencia a instalação
do link local e respectiva configuração
dos poucos equipamentos na rede do cliente. Do mesmo
modo pode ser providenciado junto ao provedor um aumento
da banda do link visando melhorias no desempenho da
rede.
O gerenciamento dessa rede normalmente é feito
pelo próprio usuário VPN, sendo que
as alterações processadas (endereçamento,
autenticação, privilégios de
acesso, etc) são feitas de forma transparente
ao provedor de serviço, proporcionando uma
maior flexibilidade.
Exemplos de utilização
A implantação de uma
VPN permite a comunicação entre redes
de pontos distintos, como duas filiais de uma empresa,
por exemplo, de forma transparente e segura, formando
uma única rede virtual. Outros casos de aplicação
de VPN’s são os seguintes:
• Empresas com filiais ou escritórios
distantes entre si, onde cada escritório tenha
uma intranet própria e exista a necessidade
de unificar essas redes em uma só rede virtual;
• Funcionários que trabalham
fora da empresa e necessitam de uma conexão
discada para entrar na rede da empresa de forma segura;
• Empresas que desejam interligar
sua rede com seus fornecedores ou clientes de uma
forma mais direta. Permite, por exemplo, que uma empresa
acesse diretamente o Banco de Dados da outra;
• Qualquer empresa ou pessoa que
queira unir duas redes privadas remotas, através
de um meio público com segurança e privacidade.
Conclusão
A principal motivação
para a implantação de Redes Privadas
Virtuais ainda é a financeira: links dedicados
são caros, principalmente quando as distâncias
são grandes. Entretanto, aspectos como segurança
e flexibilidade na instalação, aliados
ao baixo custo de implantação são
outros benefícios importantes que devem ser
igualmente analisados na escolha da tecnologia.
É importante salientar ainda que adotar uma
tecnologia baseada em VPN não é a solução
para a melhoria da qualidade da comunicação
entre duas redes. Se a qualidade dos meios de comunicação
for ruim, continuará ocorrendo o reenvio de
pacotes, o que tornará lenta a comunicação.
Nos casos onde a velocidade é um aspecto fundamental,
outras soluções combinadas com a VPN
poderão ser necessárias para atender
essa necessidade.
De qualquer modo, uma VPN é sempre uma alternativa
interessante para as empresas que desejam garantir
a agilidade e a integridade do seu negócio
pela na transmissão segura e confiável
de suas informações, mantendo seus custos
com comunicações em patamares aceitáveis. |