VPN
Na aula desta semana falaremos sobre VPN. O objetivo deste tutorial é apresentar os tipos básicos de Redes Privadas Virtuais (VPNs) esclarecendo os significados variados que tem sido atribuído a este termo
Faça bom proveito e continue acessando o meu Blog.
Duração Estimada: 15 minutos
VPN: O que é
A figura representa uma empresa que tem uma sede e um conjunto de filiais dispersas geograficamente.
Existe uma rede local em cada um destes pontos e a empresa pretende interligá-las através de uma rede privada que possibilite acesso a uma intranet corporativa e aplicativos na rede da matriz.
Uma Rede Privada é aquela que, ao contrário das redes públicas, só pode ser utilizada por uma empresa, grupo de pessoas ou dispositivos autorizados.
A comunicação na empresa é feita hoje por telefone, fax ou email via Internet.
As motivações para implantar uma rede privada são:
- Segurança: garantir autenticação, integridade dos dados e confidencialidade das comunicações;
- Qualidade de serviço: ter uma garantia quanto a disponibilidade e performance do serviço;
- Não existência de rede pública para prover o serviço;
- Reduzir custos.
Esta rede privada poderá ser usada também para o tráfego telefônico interno entre sede e filiais e poderá incorporar conexões com fornecedores ou clientes e dar acesso remoto a funcionários realizando trabalhos externos como vendedores ou assistência técnica.
Como implantar?
O primeiro ponto a ressaltar é que em uma rede privada o plano de endereçamento e roteamento da rede é completamente independente dos planos das outras redes.
Será necessário compatibilizar o endereçamento das várias redes locais utilizando as faixas de endereçamento IP para redes privadas. Consulte a seção de endereçamento IP e o Tutorial “O que é IP” do Teleco.
O segundo ponto é a escolha da solução para interligar os vários locais.
A rede privada poderia ter toda a infra-estrutura implantada para seu uso exclusivo ou ser formada por circuitos dedicados alugados de operadoras de Teleco.
Esta solução garante a segurança através de segregação das comunicações e permite maior controle da qualidade. O custo no entanto tende a ser alto e só se justifica em casos especiais.
A alternativa preferida para implantar esta rede, conhecida como WAN (Wide Area Network) nas empresas é o estabelecimento de uma rede privada virtual (VPN) que apresenta custos mais baixos.
VPN
Em uma rede privada virtual o compartilhamento da infra-estrutura ocorre inclusive no que se refere a circuitos dedicados.
Os principais tipos de VPNs são:
- VPN formada por circuitos virtuais;
- VPN utilizando a Internet;
- VPN/IP oferecida por um provedor com backbone IP.
As seções seguintes detalham estas alternativas.
VPN: FR ou ATM
As VPNs implementadas utilizando-se circuitos virtuais com Frame Relay (FR) ou ATM existem há muito tempo sendo largamente utilizadas pelas corporações.
A diferença entre este tipo de VPN e as redes privadas formadas com circuitos dedicados é que estes circuitos são circuitos virtuais que propiciam uma melhor utilização da capacidade da infra-estrutura de telecomunicações e tem portanto um preço de aluguel menor.
O backbone virtual que interliga os roteadores nos vários locais poderá ter uma configuração em malha ou estrela.
A segurança é garantida pela utilização de circuitos virtuais que segregam as comunicações.
A manutenção da qualidade de serviço exige conhecimento de FR ou ATM.
Para implantar este backbone virtual que interligue os roteadores através de circuitos dedicados e/ou virtuais (FR, ATM) a empresas tem as seguintes opções:
- Contratar os circuitos e assumir a responsabilidade por projetar e operar o backbone;
- Contratar um serviço de “managed router”, oferecido por algumas prestadoras de serviço, em que a configuração e gerenciamento da rede, inclusive roteador é por conta do provedor de serviço, que pode em alguns casos utilizar roteadores virtuais.
VPN: Internet
O objetivo principal de se estabelecer uma VPN na Internet é aumentar a segurança na passagem de dados através da Internet que é uma rede pública e não segura.
Ao implantar uma VPN utilizando a Internet a qualidade de serviço será a da Internet uma vez que o usuário não tem como exercer controle da mesma.
O mecanismo utilizado para aumentar a segurança é conhecido como tunelamento (Tunneling) que consiste no encapsulamento de um protocolo em outro protocolo.
A figura a seguir ilustra este processo para o encapsulamento de um pacote IP.
|
|
|
IP |
Dados |
|
IP |
Cabeçalho do |
IP |
Dados |
As principais alternativas de protocolos de tunelamento para VPNs na Internet são apresentadas a seguir.
IPSec
O IP Security (IPSec) é um conjunto de protocolos definido pelo IETF para prover segurança nas comunicações em redes IP.
O IPSec prove autenticação, integridade e confidencialidade a nível do pacote de dados pela adição de dois cabeçalhos:
- Cabeçalho de autenticação (AH), que prove integridade e autenticação sem confidencialidade;
- Payload de encapsulamento de Segurança (ESP) que prove integridade e confidencialidade ao payload (IP datagram).
Uma IPSec VPN na Internet pode ser criada com AH ou ESP ou ambos. Eles utilizam protocolos de gerenciamento de chaves de criptografia padrões da Internet.
As principais desvantagens na utilização do IPsec são o overhead adicional imposto ao pacote de dados e o fato dele só oferecer suporte a redes IP o que impede a autenticação de usuários com acesso remoto.
PPTP
Point-toPoint Tunneling Protocol (PPTP) é uma extensão do protocolo PPP utilizado em acesso discado a Internet.
É um protocolo proprietário desenvolvido por um grupo liderado pela Microsoft, que possibilita a autenticação de usuários remotos e suporta criptografia.
L2TP
O Layer 2 Tunneling Protocol (L2TP) é um protocolo definido pelo IETF que combina características dos protocolos PPTP e Layer 2 Forwarding (L2F) desenvolvido pela Cisco. Utiliza o IPSec para criptografia dos dados.
É considerado, juntamente com o PPTP um protocolo de tunelamento que opera na camada 2 (Enlace de dados) do modelo OSI (O modelo OSI está apresentado na seção de referência rápida do Teleco). O IPSec é um protocolo que opera na camada 3.
A solução L2TP/IPSec é a solução mais completa possibilitando criptografia e autenticação de usuário com acesso remoto.
Arquitetura
A figura apresenta uma possível arquitetura da rede para a interligação da Matriz e filiais.
Todos estes protocolos de tunelamento podem ser implantados configurando um servidor Windows 2000.
VPN: VPN/IP
A empresa pode optar também por contratar uma VPN oferecida por um provedor com backbone IP.
Neste caso o provedor pode oferecer as seguintes soluções.
VPN/IP com protocolos de tunelamento IPsec, L2TP ou PPTP
Neste caso o provedor poderia garantir níveis de qualidade de serviço estabelecendo prioridades através de serviços diferenciados do protocolo IP (diffserv) em sua rede.
VPN/IP utilizando MPLS
Uma outra solução de VPN desenvolvida para provedores com backbones IP com “Multiprotocol Label switching” (MPLS) garante a Segregação do tráfego em comunidades que compõe as VPNs através dos seguintes mecanismos:
- Distribuição restrita de informação de roteamento baseado no atributo de comunidade do BGP (Border Gateway Protocol);
- Múltiplas tabelas de distribuição nos roteadores (cada VPN tem a sua).
O mecanismo de “Label Switching” do MPLS permite que as várias VPNs utilizem os mesmos endereços locais uma vez que na rede os pacotes são encaminhados utilizando o rótulo (label) de endereçamento do MPLS.
A qualidade de serviço pode ser assegurada através do suporte a classes de serviço do MPLS.
A tendência hoje é esta solução ser adotada pela maior parte dos provedores de VPN que possuem backbone IP.
VPN: Considerações Finais
As soluções de VPN existentes hoje no mercado estão ampliando a utilização de redes privadas pelas empresas devido a diminuição dos custos envolvidos.
A contratação de uma solução VPN junto a um provedor parece ser a tendência da maior parte das empresas por diminuir as exigências de pessoal técnico dedicado.
A solução técnica passa a ser então transparente para a empresa que estará mais preocupada com os níveis de segurança e qualidade de serviço estabelecidos no “Service Level Agreement” (SLA) e com o preço do serviço.
De qualquer forma a empresa terá ainda sob sua responsabilidade o gerenciamento de endereços e usuários suas redes locais interligadas por VPN.
Referências
IETF
The Internet Engineering Task Force
Órgão responsável pelo desenvolvimento de padronização para a Internet (RFC).
Tutorial Teleco: O que é IP?
Informações baseadas no conteúdo do site: