Nesta parte iremos conhecer os habilitadores tecnológicos das VPNs. São eles os métodos de segurança, que tornam as comunicações seguras e confiáveis e o tunelamento, tecnologia que permite a existência do "virtual" no nome VPN por criar o caminho virtual por onde os dados são canalizados desde a origem até o destino na rede pública.
SEGURANÇA
A segurança é uma variável de peso em implementações de VPNs. Pela sua própria definição, a VPN utiliza a infraestrutura de uma uma rede pública, ou seja, seus dados estão sendo transmitidos junto com dados de diversos outros usuários. Estes outros usuários podem ser simplesmente simples internautas transmitindo e-mails ou seus concorrentes. Você não quer que seus dados confidenciais transitem pela Internet onde podem ser fuçados por outros.
Assim são necessárias as seguintes atitudes em relação aos usuários que acessam sua rede e aos dados que trafegam entre os diversos nós de sua WAN :
- Autenticação
- Controle de Acesso
- Confidencialidade
- Integridade de Dados
A autenticação dos usuários permite ao sistema enxergar se a origem dos dados faz parte da comunidade que pode exercer acesso a rede. Será o laptop de algum funcionário ou um roteador de um filial? Ou será alguém se passando por um usuário que faz parte da comunidade?
O controle de acesso visa negar acesso a um usuário que não esta autorizado a acessar a rede como um todo, ou simplesmente restringir o acesso de usuários. Por exemplo, se uma empresa possui áreas como administrativa-financeira e desenvolvimento de produtos, é correto imaginar que um funcionário de uma divisão não deva acessar e possivelmente obter dados da rede da outra divisão.
A confidencialidade visa privinir que os dados sejam lidos e/ou copiados durante a travessia pela rede pública. Desta forma, pode-se garantir uma maior privacidade das comunicações dentro da rede virtual.
Integridade de dados garante que os dados não serão adulterados durante a travessia pela rede pública. Os dados podem ser corrompidos ou virús podem ser implantados com o fim de dificultar a comunicação.
Os habilitadores das tecnologias de segurança são de conhecimento comum e apresentamos os mesmos abaixo :
- CHAP Challenge Handshake Authentication Protocol
- RADIUS Remote Authentication Dial-in User Service
- Certificados digitais
- Encriptação de Dados
Os três primeiros visam autenticar usuários e controlar o acesso a rede. O último visa prover confidencialidade e integridade aos dados transmitidos.
TUNELAMENTO
Enviar porções específicas do tráfego através de túneis é a maneira mais comum de se implementar VPNs. Túneis simulam a conexão ponto-a-ponto requerida para a transmissão de pacotes através da rede pública. Podemos citar algumas das vantagens advindas da utilização de túneis em VPNs :
- Permite tráfego de dados de várias fontes para diversos destinos em uma mesma infraestrutura
- Permite trafegar diferentes protocolos em uma mesma infraestrutura a partir de encapsulamento
- Permite garantia de QoS pois o tráfego de dados pode ser direcionado para destinos específicos
Vamos observar os três protocolos de tunelamento mais comuns :
GRE
GRE quer dizer Generic Routing Protocol e os túneis criados a partir deste protocolo são configurados entre os roteadores fonte e roteadores destino, respectivamente onde entram e onde saem os pacotes de dados.
Os pacotes a serem enviados pelo túnel são encapsulados em um pacote GRE ( com um header ) onde existe o endereço do roteador de destino. Ao chegarem no roteador de destino, os pacotes são desencapsulados ( são retirados os headers GRE ) e os pacotes seguem seu caminho determinado pelo endereço de seu header original.
Os túneis implementados a partir do protocolo GRE são utilizados na interligação de redes ( LAN-to-LAN ) e na interligação de diferentes nós de uma mesma rede pública. Podemos ver abaixo um diagrama explicativo sobre o funcionamento deste protocolo:
L2TP e PPTP
Ao contrário do GRE, estes são protocolos utilizados em VPDNs (Virtual Private Dial Networks), ou seja, proporcionam o acesso de usuários remotos acessando a rede corporativa através do pool de modems de um provedor de acesso.
Vale aqui uma discussão preliminar a respeito da diferença entre túneis "iniciados pelo cliente" e túneis "iniciados pelo provedor de acesso" :
Túneis "iniciados pelo cliente" são também chamados de "voluntários", onde os túneis são criados por requisições do usuário para ações específicas e túneis "iniciados pelo provedor de acesso" são chamados de "compulsórios", já que são criados pelo provedor não proporcionando ao usuário nenhuma escolha e/ou intromissão.
L2TP é um protocolo de túnelamento "compulsório". Essencialmente um mecanismo para repassar o usuário a outro nó da rede.
No momento da interligação do usuário remoto com o provedor de acesso, após a devida autenticação e carga de uma configuração, um túnel é estabelecido até um ponto de terminação ( um roteador por exemplo ) pré-determinado, onde a conexão PPP é encerrada.
Já o PPTP, um protocolo "voluntário", permite que os próprios sistemas dos usuários finais estabeleçam um túnel a uma localidade arbitrária sem a intermediação do provedor de acesso.
Enquanto L2TP e PPTP soam bastante parecido, existem diferenças sútis quanto a sua aplicação. Existem diferenças na determinação de quem possuí o controle sobre o túnel e porque precisa ter.
Na situação onde é utilizado o protocolo PPTP, o usuário remoto tem a possibilidade de escolher o destino do túnel. Este fato é importante se os destinos mudam com muita frequência, e nenhuma modificação se torna necessária nos equipamentos por onde o túnel passa. É também siginificativo o fato de que túneis PPTP são transparentes aos provedores de acesso. Nenuma ação se torna necessária além do serviço comum de prover acesso a rede.
Usuários com perfis diferenciados com relação a locais de acesso diferentes cidades, estados e países se utilizam com mais frequencia do protocolo PPTP pelo fato de se tornar desnecessária a intermediação do provedor no estabelecimento do túnel. É somente necessário sabero número local para acesso que o software no laptop realiza o resto.
Onde se utiliza L2TP, temos um comportamento diferente de usuários e de provedores. Agora o controle está nas mãos do provedor e ele está fornecendo um serviço extra ao somente provimento do acesso. Esta é uma certa desvantagem para o usuário e vantagem para o provedor : este serviço extra pode ser cobrado.
A escolha de qual protocolo utilizar é um baseado na determinação da posse do controle: se o controle deve ficar nas mãos do provedor ou do usuário final.
|