Nesta parte iremos conhecer os habilitadores tecnológicos das VPNs. São eles os
métodos de segurança, que tornam as comunicações seguras e confiáveis e o
tunelamento, tecnologia que permite a existência do "virtual" no nome VPN por
criar o caminho virtual por onde os dados são canalizados desde a origem até o destino
na rede pública.
SEGURANÇA
A segurança é uma variável de peso em implementações de
VPNs. Pela sua própria definição, a VPN utiliza a infraestrutura de uma uma rede
pública, ou seja, seus dados estão sendo transmitidos junto com dados de diversos outros
usuários. Estes outros usuários podem ser simplesmente simples internautas transmitindo
e-mails ou seus concorrentes. Você não quer que seus dados confidenciais transitem pela
Internet onde podem ser fuçados por outros.
Assim são necessárias as seguintes atitudes em relação aos usuários que
acessam sua rede e aos dados que trafegam entre os diversos nós de sua WAN :
- Autenticação
- Controle de Acesso
- Confidencialidade
- Integridade de Dados
A autenticação dos usuários permite ao sistema enxergar se
a origem dos dados faz parte da comunidade que pode exercer acesso a rede. Será o laptop
de algum funcionário ou um roteador de um filial? Ou será alguém se passando por um
usuário que faz parte da comunidade?
O controle de acesso visa negar acesso a um usuário que não
esta autorizado a acessar a rede como um todo, ou simplesmente restringir o acesso de
usuários. Por exemplo, se uma empresa possui áreas como administrativa-financeira e
desenvolvimento de produtos, é correto imaginar que um funcionário de uma divisão não
deva acessar e possivelmente obter dados da rede da outra divisão.
A confidencialidade visa privinir que os dados sejam lidos
e/ou copiados durante a travessia pela rede pública. Desta forma, pode-se garantir uma
maior privacidade das comunicações dentro da rede virtual.
Integridade de dados garante que os dados não serão
adulterados durante a travessia pela rede pública. Os dados podem ser corrompidos ou
virús podem ser implantados com o fim de dificultar a comunicação.
Os habilitadores das tecnologias de segurança são de
conhecimento comum e apresentamos os mesmos abaixo :
- CHAP Challenge Handshake Authentication Protocol
- RADIUS Remote Authentication Dial-in User Service
- Certificados digitais
- Encriptação de Dados
Os três primeiros visam autenticar usuários e controlar o
acesso a rede. O último visa prover confidencialidade e integridade aos dados
transmitidos.
TUNELAMENTO
Enviar porções específicas do tráfego através de túneis
é a maneira mais comum de se implementar VPNs. Túneis simulam a conexão ponto-a-ponto
requerida para a transmissão de pacotes através da rede pública. Podemos citar algumas
das vantagens advindas da utilização de túneis em VPNs :
- Permite tráfego de dados de várias fontes para diversos
destinos em uma mesma infraestrutura
- Permite trafegar diferentes protocolos em uma mesma
infraestrutura a partir de encapsulamento
- Permite garantia de QoS pois o tráfego de dados pode ser
direcionado para destinos específicos
Vamos observar os três protocolos de tunelamento mais comuns
:
GRE
GRE quer dizer Generic Routing Protocol e os túneis criados
a partir deste protocolo são configurados entre os roteadores fonte e roteadores destino,
respectivamente onde entram e onde saem os pacotes de dados.
Os pacotes a serem enviados pelo túnel são encapsulados em
um pacote GRE ( com um header ) onde existe o endereço do roteador de destino. Ao
chegarem no roteador de destino, os pacotes são desencapsulados ( são retirados os
headers GRE ) e os pacotes seguem seu caminho determinado pelo endereço de seu header
original.
Os túneis implementados a partir do protocolo GRE são
utilizados na interligação de redes ( LAN-to-LAN ) e na interligação de diferentes
nós de uma mesma rede pública. Podemos ver abaixo um diagrama explicativo sobre o
funcionamento deste protocolo:
L2TP e PPTP
Ao contrário do GRE, estes são protocolos utilizados em
VPDNs (Virtual Private Dial Networks), ou seja, proporcionam o acesso de usuários remotos
acessando a rede corporativa através do pool de modems de um provedor de acesso.
Vale aqui uma discussão preliminar a respeito da diferença
entre túneis "iniciados pelo cliente" e túneis "iniciados pelo provedor
de acesso" :
Túneis "iniciados pelo cliente" são também
chamados de "voluntários", onde os túneis são criados por requisições do
usuário para ações específicas e túneis "iniciados pelo provedor de acesso"
são chamados de "compulsórios", já que são criados pelo provedor não
proporcionando ao usuário nenhuma escolha e/ou intromissão.
L2TP é um protocolo de túnelamento
"compulsório". Essencialmente um mecanismo para repassar o usuário a outro nó
da rede.
No momento da interligação do usuário remoto com o
provedor de acesso, após a devida autenticação e carga de uma configuração, um túnel
é estabelecido até um ponto de terminação ( um roteador por exemplo )
pré-determinado, onde a conexão PPP é encerrada.
Já o PPTP, um protocolo "voluntário", permite que
os próprios sistemas dos usuários finais estabeleçam um túnel a uma localidade
arbitrária sem a intermediação do provedor de acesso.
Enquanto L2TP e PPTP soam bastante parecido,
existem diferenças sútis quanto a sua aplicação. Existem diferenças na determinação
de quem possuí o controle sobre o túnel e porque precisa ter.
Na situação onde é utilizado o protocolo PPTP, o usuário
remoto tem a possibilidade de escolher o destino do túnel. Este fato é importante se os
destinos mudam com muita frequência, e nenhuma modificação se torna necessária nos
equipamentos por onde o túnel passa. É também siginificativo o fato de que túneis PPTP
são transparentes aos provedores de acesso. Nenuma ação se torna necessária além do
serviço comum de prover acesso a rede.
Usuários com perfis diferenciados com relação a locais de
acesso diferentes cidades, estados e países se utilizam com mais frequencia
do protocolo PPTP pelo fato de se tornar desnecessária a intermediação do provedor no
estabelecimento do túnel. É somente necessário sabero número local para acesso que o
software no laptop realiza o resto.
Onde se utiliza L2TP, temos um comportamento diferente de
usuários e de provedores. Agora o controle está nas mãos do provedor e ele está
fornecendo um serviço extra ao somente provimento do acesso. Esta é uma certa
desvantagem para o usuário e vantagem para o provedor : este serviço extra pode ser
cobrado.
A escolha de qual protocolo utilizar é um baseado na
determinação da posse do controle: se o controle deve ficar nas mãos do provedor ou do
usuário final. |