VPN
VPN é uma conexão onde o acesso e a troca de dados somente é permitido a usuários e/ou redes que façam parte de uma mesma comunidade de interesse.
Utilizando técnica chamada de tunelamento, pacotes são transmitidos na rede pública – como por exemplo a Internet – em um túnel privado que simula uma conexão ponto-a-ponto.
Esta tecnologia possibilita que o tráfego de várias fontes viaje via diferentes túneis sobre a mesma infra-estrutura. Permite que diferentes protocolos de rede se comuniquem através de uma infra-estrutura incompatível. Também possibilita diferenciamento do tráfego de várias fontes, permitindo distintas rotas de destino e qualidade de serviço.
Vejamos abaixo os componentes básico de uma VPN :
Iniciador do túnel
Concentrador de acessos em um provedor
Roteador
Laptop de um usuário remoto
Rede pública
Terminador do túnel
Gateway no provedor de destino
Roteador
Switch
Alternativas ao VPN
A alternativa para usar a Internet como um VPN hoje está em alugar circuitos, ou serviços dedicados de comunicações similares, operadores públicos de rede (a companhia de telefone local na maioria dos casos), e criar uma rede completamente particular. Entretanto, esta alternativa tem um custo associado, em que o cliente agora tem de administrar a rede e todo seu elementos associados, invistir capital mudando infra-estrutura da rede, aluguel de pessoal treinado, e assumir responsabilidade completa e contínua manutenção do serviço de rede.
Tipos de VPN
O fator de confusão vem dentro da maioria das discussões básicas com respeito ao VPNs, principalmente porque há realmente vários tipos diferentes de VPNs, e contando com o requerimento funcional, vários métodos diferentes de construir cada tipo de VPN estão disponível. Para simplificar a descrição dos tipos diferentes de VPNs, eles estão dentro de categorias que residem em diferentes camadas do protocolo TCP/IP; Link Layer, Network Layer, Transport Layer e Aplication Layer.
Link Layer
A maioria dos métodos de construir os VPNs está em usar os sistemas de transmissão e plataformas de rede para a conectividade física e lógica, ainda é capaz de construir redes distintas na camada de rede. Uma VPN Link-Layer é para ser uma (ou preferivelmente exato) analogia funcional fechada para uma rede de dados convencional.
MPOA
MPOA fornece conectividade virtual direta de circuito entre dispositivos ATM que podem pertencer a diferentes rotas de sub-redes. Em outras palavras, MPOA pode deixar estações que são de diferentes ELANs se comunicar diretamente através uma de uma rede ATM sem requerer a intervenção de um roteador. ELANs são sub-conjuntos de VLANs, MPOA habilita um backbone ATM para conectar os VLANs sem a necessidade de um roteador externo. MPOA pode ser considerado um aumento além da RUA que integra funcionalidade do roteamento dentro o LAN-ATM. Todo tráfego inter-VLAN poderia ser capaz de influênciar esta capacidade, e a latência da rede poderia ser reduzida.
VPN with ATM
Na nuvem ATM usa-se ma coisa chamada LAN Emulation (LANE) para fornecer serviços de backbone aos dispositivos de margem, ou neste caso, os Switches Ethernet mostrados na Figura . Sem detalhe, LAN Emulation no ATM fornece total suporte para as aplicações baseadas em rede existentes sem mudanças. Softwares avançados de emulação LAN fornecem transparência no fundamento da rede para mudar para o ATM. Em adição, LANE fornece os seguintes benefícios:
- Alta capacidade.
- Superior alocação e gerenciamento da capacidade da rede .
- Facílimo gerenciamento da troca constante de um grupo LAN.
- Acesso a múltiplas VLANs na mesma interface física.
- Fácil evolução para novas aplicações.
Network Layer VPNs
A camada de rede TCP/IP do protocolo consiste no sistema de roteamento IP—como a informação é levada de um aponte na rede para outra. Há uns poucos métodos para construir VPNs dentro da camada de rede.
Controled Route Leaking
"Controled route Leaking" (ou rota filtro) é um método que pôde também ser chamado "privacidade através da obscuridade" porque isto consiste nada mais no controlando propagação de rota ao ponto que unicamente redes certas recebem rotas para outras redes que estão dentro sua própria comunidade de interesse.
Por Exemplo, em Figura 1, se os roteadores SP "linkados" roteam informações recebidas de em site da Rede "A" para unicamente outros sites na Rede "A," então os sites não na Rede "B" (por exemplo, sites da Rede "B") poderia ter nenhum conhecimento explícito de qualquer outra Rede que onde anexado a infrestutura do provedor de serviço (como mostrado em Figura ). Dado esta falta de conhecimento explícito de qualquer localização que não outros membros do mesmo VPN, privacidade de serviços é implementada pela inabilidade de qualquer do VPN responder para pacotes que contêm endereçamento do exterior da comunidade do VPN de interesse.
Virtual Private Dial Network
L2TP e PPTP
Ao contrário do GRE, estes são protocolos utilizados em VPDNs (Virtual Private Dial Networks), ou seja, proporcionam o acesso de usuários remotos acessando a rede corporativa através do pool de modems de um provedor de acesso.
Vale aqui uma discussão preliminar a respeito da diferença entre túneis "iniciados pelo cliente" e túneis "iniciados pelo provedor de acesso" :
Túneis "iniciados pelo cliente" são também chamados de "voluntários", onde os túneis são criados por requisições do usuário para ações específicas e túneis "iniciados pelo provedor de acesso" são chamados de "compulsórios", já que são criados pelo provedor não proporcionando ao usuário nenhuma escolha e/ou intromissão.
L2TP é um protocolo de túnelamento "compulsório". Essencialmente um mecanismo para repassar o usuário a outro nó da rede.
No momento da interligação do usuário remoto com o provedor de acesso, após a devida autenticação e carga de uma configuração, um túnel é estabelecido até um ponto de terminação ( um roteador por exemplo ) pré-determinado, onde a conexão PPP é encerrada.
Já o PPTP, um protocolo "voluntário", permite que os próprios sistemas dos usuários finais estabeleçam um túnel a uma localidade arbitrária sem a intermediação do provedor de acesso.
Enquanto L2TP e PPTP soam bastante parecido, existem diferenças sútis quanto a sua aplicação. Existem diferenças na determinação de quem possuí o controle sobre o túnel e porque precisa ter.
Na situação onde é utilizado o protocolo PPTP, o usuário remoto tem a possibilidade de escolher o destino do túnel. Este fato é importante se os destinos mudam com muita freqüência, e nenhuma modificação se torna necessária nos equipamentos por onde o túnel passa. É também significativo o fato de que túneis PPTP são transparentes aos provedores de acesso. Nenhuma ação se torna necessária além do serviço comum de prover acesso a rede.
Usuários com perfis diferenciados com relação a locais de acesso – diferentes cidades, estados e países – se utilizam com mais freqüência do protocolo PPTP pelo fato de se tornar desnecessária a intermediação do provedor no estabelecimento do túnel. É somente necessário saber o número local para acesso que o software no laptop realiza o resto.
Onde se utiliza L2TP, temos um comportamento diferente de usuários e de provedores. Agora o controle está nas mãos do provedor e ele está fornecendo um serviço extra ao somente provimento do acesso. Esta é uma certa desvantagem para o usuário e vantagem para o provedor : este serviço extra pode ser cobrado.
A escolha de qual protocolo utilizar é um baseado na determinação da posse do controle: se o controle deve ficar nas mãos do provedor ou do usuário final.
Transport and Aplicattion-Layer VPNs
Embora VPNs poderem certamente ser implementados nas camadas de transporte e aplicação da pilha do protocolo, esta atribuição não é muito comun. O a maioria dos métodos predominantes de prover virtualização nestas camadas está em usar serviços de encriptação; por exemplo, transações codificadas de e-mail, ou talvez zonas transferencia autenticadas entre diferentes servidores de nomes, como descritos no DNSSec. O protocolo do TLS, quando finalizado e desdobrado, poderia permitir aplicações de se comunicarem na forma em que foram desenhados para prevenir espionagem ou falsificação de mensagens. O significado de um protocolo "padrão" de segurança na camada de transporte , entretanto, é que q! uando implementado, isto poderá fornecer um alto método granular para comunicações de virtualiziação em redes TCP/IP, assim fazendo VPNs um produto penetrante, e nativo para todas plataformas desktops.
Modelos tradicionais de TUNELAMENTO
Enviar porções específicas do tráfego através de túneis é a maneira mais comum de se implementar VPNs. Túneis simulam a conexão ponto-a-ponto requerida para a transmissão de pacotes através da rede pública. Podemos citar algumas das vantagens advindas da utilização de túneis em VPNs :
- Permite tráfego de dados de várias fontes para diversos destinos em uma mesma infra-estrutura
- Permite trafegar diferentes protocolos em uma mesma infra-estrutura a partir de encapsulamento
- Permite garantia de QoS pois o tráfego de dados pode ser direcionado para destinos específicos
GRE
GRE quer dizer Generic Routing Protocol e os túneis criados a partir deste protocolo são configurados entre os roteadores fonte e roteadores destino, respectivamente onde entram e onde saem os pacotes de dados.
Os pacotes a serem enviados pelo túnel são encapsulados em um pacote GRE ( com um header ) onde existe o endereço do roteador de destino. Ao chegarem no roteador de destino, os pacotes são desencapsulados ( são retirados os headers GRE ) e os pacotes seguem seu caminho determinado pelo endereço de seu header original.
Os túneis implementados a partir do protocolo GRE são utilizados na interligação de redes ( LAN-to-LAN ) e na interligação de diferentes nós de uma mesma rede pública. Podemos ver abaixo um diagrama explicativo sobre o funcionamento deste protocolo:
Prós e Contras
O túnel pode também encapsular famílias de protocolo diferentemente numerosas, de modo que isto é possível para umas VPNs baseadas em túnel ao imitar a funcionalidade das redes particulares dedicadas. Outra vez, a necessidade para suportar protocolos múltiplos em um formato que preserva a funcionalidade do protocolo é um requisito crítico para muitas arquiteturas VPN de apoio. Embora podia ser dito que essas vantagens indicam que aquele tunelamento GRE é a panacéia para o projeto do VPN, usando túneis GRE como um mecanismo VPN tem vários obstáculos, principalmente considerando a sobrecarga administrativa, escalonando para números grandes de túneis, e QoS e performance.
Túneis GRE devem ser manualmente configurados, há uns relacionamentos diretos ao número de túneis que devem ser configurados e a sobrecarga administrativa requerida ao configurar e mante-los—cada vez que os pontos finais do túnel devem mudar, e eles devem ser manualmente reconfigurados. Privacidade da rede permanece uma área a se considerar porque o túnel está ainda vulnerável—privacidade não é absoluta. Pacotes que usam GRE, podem ser injetados dentro do VPN vindo de fontes terceiras. Para que assegure um grande grau de integridade e privacidade do VPN, é necessário desdobrar o ingresso nos filtros alinhados na configuração estrutural do túnel. Uma das considerações sérias na VPN e no tunelamento é que não há virtualmente nenhum caminho para determinar o custo da rota através de um túnel, por! que o caminho verdadeiro é mascarado pela natureza do túnel.
Search by Robledo Bordignon
robledo@mindless.com