|
Os requisitos de segurança
necessários em relação aos usuários que acessam sua rede e aos dados que
trafegam entre os diversos nós são:
- Autenticação;
- Controle de Acesso;
- Confidencialidade;
- Integridade de Dados.
A autenticação dos usuários
permite ao sistema enxergar se a origem dos dados faz parte da comunidade
que pode exercer acesso a rede.
O controle de
acesso visa negar acesso a um usuário que não esta autorizado a acessar a
rede como um todo, ou simplesmente restringir o acesso de usuários. Por
exemplo, se uma empresa possui áreas como administrativa-financeira e
desenvolvimento de produtos, é correto imaginar que um funcionário de uma
divisão não deva acessar e possivelmente obter dados da rede da outra
divisão.
A confidencialidade visa previnir que
os dados sejam lidos e/ou copiados durante a travessia pela rede pública.
Desta forma, pode-se garantir uma maior privacidade das comunicações
dentro da rede virtual.
A Integridade de dados
garante que os dados não serão adulterados durante a travessia pela rede
pública. Os dados podem ser corrompidos ou virús podem ser implantados com
o fim de dificultar a comunicação.
Os
habilitadores das tecnologias de segurança são de conhecimento comum e são
apresentados abaixo.
- CHAP - Challenge Handshake Authentication Protocol;
- RADIUS - Remote Authentication Dial-in User Service;
- Certificados digitais;
- Encriptação de Dados.
Os três primeiros visam
autenticar usuários e controlar o acesso a rede. O último visa prover
confidencialidade e integridade aos dados transmitidos. Para prover estas
características, o IPSec faz uso de 3 mecanismos adicionais:
- AH - Authentication Header;
- ESP - Encapsulation Security Payload;
- ISAKMP - Internet Security Association and Key Management Protocol.
3.5.1 Autenticação e
Integridade .htm)
Entende-se
por autenticação como a garantia de legitimidade do usuário que utiliza a
conexão. Já a integridade caracteriza a garantia de que os dados
transmitidos cheguem íntegros no receptor, sem a possibilidade de terem
sido modificados no meio do caminho.
Para
prover estes dois requisitos nos datagramas IP, é utilizado o AH
(Authentication Header ou Cabeçalho de Autenticação). Neste mecanismo, a
segurança é garantida com a inclusão de informações de autenticação,
construídas através de um algoritmo que utiliza o conteúdo dos campos do
datagrama IP. Para a construção destas informações, todos os campos do
datagrama IP são utilizados, com exceção daqueles que não sofrem
alterações durante o transporte. Por exemplo, no IPv6, o campo
time-to-live (TTL) do IPv4 não é utilizado, pois é modificado ao longo da
transferência.
Dependendo do usuário, o uso da
autenticação pode ser suficiente não sendo necessária a confidencialidade.
3.5.2 Negociação dos
Níveis de Segurança
O
ISAKMP é um protocolo que combina autenticação, gerenciamento de chaves e
outros requisitos de segurança necessários às comunicações privadas numa
VPN Internet. Neste mecanismo, duas máquinas em uma conexão negociam os
métodos de autenticação e segurança dos dados, executam a autenticação
mútua e geram a chave para criptografia dos dados. Além disso, este
protocolo também gerencia a troca de chaves criptografadas utilizadas para
decifrar os dados e define procedimentos e formatos de pacotes para
estabelecer, negociar, modificar e excluir as SAs (Security Associations).
Essas Associações de Segurança contêm todas as
informações necessárias para execução de serviços variados de segurança na
rede, tais como serviços da camada IP (autenticação de cabeçalho e
encapsulamento), serviços das camadas de transporte, ou serviço de
auto-proteção durante a negociação do tráfego. Elas Também definem pacotes
para geração de chaves e autenticação de dados. Esses formatos provêm
consistência para a transferência de chaves e autenticação de dados que
independem da técnica usada na geração da chave, do algoritmo de
criptografia e do mecanismo de autenticação.
O
ISAKMP oferece suporte para protocolos de segurança em todas as camadas da
pilha da rede. Com a centralização do gerenciamento dos SAs, o ISAKMP
minimiza as redundâncias funcionais dentro de cada protocolo de segurança
e também pode reduzir o tempo gasto durante as conexões através da
negociação da pilha completa de serviços de uma só vez.
3.5.3
Confidencialidade
A
confidencialidade permite que somente os usuários autorizados possam ter
acesso às informações dos pacotes trafegados, não possibilitando que
usuários interceptadores consigam acessar as informações destes pacotes,
mesmo que consigam capturá-los.
No IPsec, o
serviço que garante esta proteção é o ESP (Encapsulating Security
Payload). O ESP também provê a autenticação da origem dos dados,
integridade da conexão e serviço anti-reply. A confidencialidade independe
dos demais serviços e pode ser implementada de 2 modos: transporte e
túnel. No modo de transporte, o pacote da camada de transporte é
encapsulado dentro do ESP, e, no modo túnel, todo o datagrama IP é
encapsulado dentro da cabeçalho do ESP.
3.5.4 Vantagens para as VPNs
Uma das
razões da forte emergência do IPSec como um padrão é que este virtualmente
gerencia a segurança da VPN por si próprio. Com o IPSec, não há a
necessidade de mais gerência a ser realizada pelo administrador. O
roteador realiza a criptografia, e esta é transparente.
Além disso, o IPSec possui padrão aberto,
sendo muito importante sua larga proliferação em VPNs. O IPSec cria o meio
VPN onde seus usuários não precisam se preocupar com o tipo de equipamento
que eles utilizam, porque a linha de interoperabilidade é inerente aos
produtos. Conforme a rede vá se difundindo, a compatibilidade entre os
múltiplos vendedores, fornecedores de VPN, se tornará uma grande vantagem.
3.5.5 O Futuro
da Segurança
Os
grupos de pesquisa do IETF representam o futuro da segurança na rede. Não
é bom o suficiente a utilização do IPSec sozinho, mesmo o quão refinada
seja a sua especificação. Há um consenso com relação à vários aspectos da
política de rede, a interoperabilidade entre diferentes vendedores de
implementações IPSec, e o suporte a autenticações padrões adicionais que
ainda são críticas.
Os usuários ainda
precisarão dos meios para efetivamente gerenciar suas VPNs. Estes
benefícios, em forma de ferramentas de gerenciamento VPN e padrões, ainda
estão emergindo como extensões do protocolo IPSec.
4. Soluções VPN
Há quatro componentes principais
quanto a segurança de uma VPN baseada na Internet: a Internet, os Gateways
de segurança, os servidores da política de segurança e as autoridades de
certificação.
A Internet provê as ferramentas
básicas para uma VPN. Os Gateways de segurança se situam entre a rede
pública e a rede privada, prevenindo intrusões não-autorizadas. Estes
podem ainda prover facilidades de tunelamento e criptografar dados
privados antes que os mesmos sejam transmitidos na rede pública. Em geral,
um gateway de segurança para uma VPN se encaixa nas seguintes categorias:
roteadores, firewalls, hardware de VPN integrado, e software VPN.
Devido aos roteadores terem que examinar e
processar cada pacote que deixa a LAN, o ideal é incluir o pacote de
criptografia nos roteadores. Geralmente, os vendedores de serviços
baseados em VPN oferecem 2 tipos de produtos: software agregado ou placa
de circuito adicional com co-processador baseado num mecanismo de
criptografia. O último é melhor para situações que necessitem de um
throughput maior.
Se dentro da empresa, há a
utilização de um produto de somente um fornecedor, a adição de suporte de
criptografia a estes roteadores reduz os custos do upgrade da VPN. Por
outro lado, acrescentar tarefas de criptografia a um equipamento que já
funciona como roteador, aumenta os riscos, pois perde-se a confiabilidade,
ou seja, numa falha do roteador, falha também a VPN.
A utilização de firewalls para criar VPNs é
uma solução funcional, para algumas redes. VPNs baseadas em firewalls
possuem melhor performance em redes pequenas que possuem pequenos volumes
de tráfego (na ordem de 1 a 2 Mbps num link WAN) e que possua uma certa
estaticidade, não necessitando de frequentes reconfigurações.
Muitos vendedores de firewalls incluem a
facilidade de tunelamento em seus produtos. Os firewalls devem processar
todo o tráfego IP baseados nas definições de seus próprios filtros. Devido
ao alto processamento desenvolvido pelos firewalls, eles são alocados para
funções de tunelamento em grandes redes. A combinação de tunelamento e
criptografia com firewalls é provavelmente a melhor opção somente em redes
com baixo volume de tráfego. Porém, como os roteadores, eles também podem
ser um único ponto de falhas.
Outra solução
VPN é a utilização de um hardware específico para funções de tunelamento,
criptografia, e autenticação de usuário. Estes equipamentos operam
geralmente como pontes de criptografia, situadas entre a rede dos
roteadores e os links WAN. Apesar da maioria destes equipamentos de
tunelamento serem projetados para configurações de LAN-para-LAN, alguns
produtos ainda suportam tunelamento de cliente-para-LAN.
A integração de várias funções num único
produto pode ser particularmente atrativa para negócios que não possuam
ferramentas para instalar e administrar um número de equipamentos de redes
diferentes. Uma pronta instalação pode certamente tornar mais fácil o
"setup" de uma VPN do que a instalação do software no firewall e a
reconfiguração do roteador, bem como a instalação de um servidor RADIUS,
por exemplo.
Dentre as diversas possibilidades
e facilidades da VPN, o administrador de rede deve decidir quais
funcionalidades deseja implementar num único equipamento, de acordo com o
cenário vigente. Pequenos negócios sem uma ampla equipe de suporte
(principalmente no que tange à segurança) serão beneficiados com produtos
que integrem todas as funcionalidades de uma VPN, assim como de outros
serviços de rede. Alguns produtos, especialmente os mais caros, incluem
duplas fontes de alimentação, para garantir confiabilidade.
Deve ainda se considerar a integração do
controle de outras funções relativas à rede, como reserva de recursos e
controle de banda. Algumas empresas incluem tais benefícios em seus
produtos, e isto é uma tendência muito forte em um futuro bem próximo. A
integração do controle de tráfego com autenticação e controle de acesso
também fazem sentido ao longo do tempo, conforme a política de
gerenciamento de rede for se tornando mais predominante.
Os softwares de VPN também disponibilizam a
criação e administração de túneis, tanto entre um par de gateways de
segurança quanto entre um cliente remoto e um gateway de segurança. Estes
softwares de sistema VPN são em geral, uma boa escolha de baixo custo para
sistemas que sejam relativamente pequenos e que não exijam um
processamento de tráfego muito alto. Tais soluções podem rodar em
servidores já existentes e compartilhar recursos com eles. Muitos destes
sistemas funcionam muito bem para conexões de clientes-para-LANs.
Além do gateway de segurança, outro componente
de uma VPN é o servidor de segurança. Este servidor mantém as listas de
controle de acesso e outras informações referentes ao usuário que o
gateway utiliza para determinar que tráfego é autorizado. Por exemplo, em
alguns sistemas, o acesso pode ser controlado através de servidor RADIUS.
E por último, as autoridades de certificação
são necessárias para verificar quais as ferramentas compartilhadas entre
os sites e podem ainda ser utilizadas para verificar usuários usando
certificados digitais. As empresas podem ainda escolher em manter sua
própria base de dados dos certificados digitais para usuários por meio de
um servidor de certificação corporativa. Se uma rede VPN corporativa
cresce até uma extranet, então um certificado de autenticação externo pode
ainda ser utilizado para verificar os usuários dos parceiros de
negócios.
5. Benefícios
5.1 Benefícios para as Empresas
De
acordo com estudos realizados recentemente, as corporações que utilizam
soluções VPN podem economizar até 60% em comparação com as redes privadas
dedicadas.
As soluções VPN permitem que as
empresas possam:
- eliminar linhas alugadas de longa distâncias, pois como a
infraestrutura utilizada é a Internet, não há necessidade de se manter
WANs com linhas dedicadas;
- eliminar chamadas de longa distância para modems analógicos e
equipamentos de acesso ISDN;
- pagar apenas pela banda utilizada, sem o inconveniente ou a
preocupação de se desperdiçar largura de banda em linhas dedicadas de
alta capacidade. Além disso, se a banda se tornar insuficiente, basta
uma simples requisição de aumento ao provedor para melhorar a capacidade
do acesso;
- utilizar um número menor de equipamentos, pois uma única solução VPN
pode prover tanto acesso VPN como acesso a Internet, o que elimina o uso
de bancos de modems separados, adaptadores de terminais, servidores de
acesso remoto, etc.;
- diminuir a estrutura de rede na extremidade do usuário e as
responsabilidades de gerenciamento.
Além dos benefícios econômicos,
as VPNs também oferecem vantagens técnicas, por prover seus serviços com a
robustez inerenta à infraestrutura de Internet. Entre estas vantagens
podemos citar:
- Facilidade de acesso devida a presença de ISPs em qualquer
localidade, criando uma cobertura de rede a nível mundial;
- Aumento de throughput devido à diminuição de ruídos na linha com o
acesso local;
- Garantia de confiabilidade extremo a extremo pela redundância na
rede e a tolerância de falhas;
- Simplificação de treinamento devida a familiaridade com o usuário.
Para exemplificar melhor, vejamos
agora uma comparação de custos entre redes corporativas tradicionais e
VPNs corporativas. As redes tradicionais são baseadas em diversos links
dedicados E1 (2Mbps) de SDH, acarretando altos custos mensais fixos,
custos de instalação e utilização de diversos equipamentos. Além disso,
para os usuários remotos, equipamentos provedores de acesso devem ser
mantidos e diversas linhas telefônicas locais precisam ser alugadas.
Enquanto isso, VPNs utilizam um único link com
menor banda (apresentando taxas de 512kbps ou 768kbps conforme se queira)
e custo variável. Essas VPNs necessitam de somente um roteador no lado do
cliente reunindo todos os serviços (Internet e WAN) em um só,
proporcionando acesso remoto através de um provedor de Internet, com uma
diminuição considerável nos custos de suporte e manutenção. A figura
abaixo mostra um quadro comparativo. |
