Embed Size (px)
Citation preview
FUNDAÇÃO EDSON QUEIROZ UNIVERSIDADE DE FORTALEZA – UNIFOR
ENSINANDO E APRENDENDO
GARDEL MOREIRA MENEZES
Viabilização de comunicação criptografada usando VPN com ADSL
Fortaleza - 2004
GARDEL MOREIRA MENEZES
Viabilização de comunicação criptografada usando VP N com ADSL
Monografia apresentada para obtenção dos créditos da disciplina Trabalho de Conclusão do Curso do Centro de Ciências Tecnológicas da Universidade de Fortaleza, como parte das exigências para graduação no Curso de Informática. Orientador: Adbeel Góes Filho
Fortaleza - 2004
VIABILIZAÇÃO DE COMUNICAÇÃO CRIPTOGRAFADA USANDO VPN COM ADSL
Gardel Moreira Menezes
PARECER _____________________ Data: ____/____/_________ BANCA EXAMINADORA:
___________________________________ Professor Adbeel Góes Filho
___________________________________ Professor Fernando Parente
RESUMO
Este trabalho mostra a viabilização de implementação de VPN usando a tecnologia ADSL. Abrangendo não so as vantagens financeiras como tecnicas das soluções. Inicialmente explora as especificações e recursos utilizados nas criações das VPNs. Seguindo com uma abordagem sobre a tecnologia xDSL. Depois de oferecer uma visão sobre estas duas tecnologias, demonstra problemas e soluções na combinação das duas. Finalizando trabalho com ums estudo de caso mostrando a aplicação e o ganho obtido com a plicação destas soluções combinadas.
AGRADECIMENTOS
À Deus, pelas oportunidades que me tem concedido na viva. Aos meus pais, Aluisio e Maria, por me permitir a conclusão de um sonho. A minha irmã Gardênia e ao amigo Nazildo, pelo eterno incentivo e cobrança. Ao meu amigo Antônio Luiz pela compreensão e apoio. Ao Professor Adbeel pela prestatividade.
SUMÁRIO
Lista de figuras 02 Lista de tabelas ` 03 Introdução 04 1. VPN 07
1.1. Definição 08 1.2. Para que precisamos de VPN 10 1.3. Vantagens da VPN 12
1.3.1. O baixo custo da VPN 13 1.3.2. Escalabilidade 13
1.4. Desvantagens da VPN 15 1.5 Tunelamento 16
1.5.1. Protocolos de Tunelamento 17 1.5.1.1. PPTP 19 1.5.1.2. L2F 21 1.5.1.3. L2TP 22 1.5.1.4. IPSEC 23
1.5.1.4.1. Algoritmos criptográficos 24 1.5.1.4.2. Associações de Segurança (SA) 24 1.5.1.4.3. Modo transporte e modo túnel 25 1.5.1.4.4. Solução IPSec para VPN 25
1.6. Soluções para VPNs 28 2. xDSL 32
2.1. HDSL (High Data Rate Digital Subscriber Line) 34 2.2. ADSL (Assymmetric Digital Subscriber Line) 34 2.3. RADSL (Rate Adaptative Digital Subscriber Line) 35 2.4. IDSL (ISDN Digital Subscriber Line) 36 2.5. VDSL - Very high bit-rate Digital Subscriber Line 37 2.6 Comparativo entre a família xDSL 39
3. Possibilidades de VPN com ADSL 46 4. Estudo de caso 52 Conclusão 53 Referências 54 Glossário 50
2
LISTA DE FIGURAS
Figura 1 - O domínio da VPN 11
Figura 2 - Explosão combinacional 14
Figura 3 - As inseguranças relativas a VPN 16
Figura 4 - Exemplo de túnel 16
Figura 5 – VPN CLIENT-to-LAN e LAN-to-LAN 19
Figura 6 - Encapsulamento de um datagrama IP feito pelo PPTP 20
Figura 7 - Esquema de um Túnel PPTP 21
Figura 8 - Esquema de um Túnel L2F 22
Figura 9 - Esquema de um Túnel L2TP 23
Figura 10 - IPSec em modo túnel utilizando os serviços do cabeçalho AH 26
Figura 11 - IPSec em modo túnel utilizando os serviços do cabeçalho ESP 26
Figura 12 - Ambiente empírico 40
Figura 13 - VPN usando IPs fixos 42
Figura 14 - VPN usando ADSL entre um ponto dinâmico e um fixo 43
Figura 15 - VPN usando ADSL entre pontos dinâmicos 44
Figura 16 – Rede no formato com o link de rádio 46
Figura 17 – Rede no formato com Velox 50
3
LISTA DE TABELAS
Tabela 1 – Analise de implementação de VPN 27
Tabela 2 – Comparativo xDSL 36
4
INTRODUÇÃO
O mundo tecnológico mudou bastante nos últimos anos. E no mesmo sentido em
que a tecnologia mudou, as possibilidades com ela evoluíram. Muitas empresas
passaram de um estágio onde se preocupavam somente com o contexto local ou
regional de suas estruturas físicas, para também se preocupar com o contexto
global das mesmas, tanto no que diz respeito à comunicação entre suas filiais,
quanto com sua logística. Muitas empresas têm se espalhado facilmente por
diferentes regiões geográficas e tem algo que todas precisam: uma maneira de
manter a comunicação entre elas de forma rápida, segura e confiavel, não
importando onde elas estejam.
Até recentemente, isto significava o uso de linhas privadas (LP) para manter a
comunicação entre seus parques tecnológicos, o que possibilitava as empresas
expandirem suas redes privadas para locais geograficamente distantes. Um
exemplo comum desta realidade seria a comunicação entre filiais de uma empresa
que necessitam usar uma base de dados comuns que é mantido na matriz, e toda
atualização deve ficar disponível para acesso das outras filiais. Isto provoca a
necessidade das mesmas estarem conectas o tempo todo. Para viabilizar esta
necessidade, cria-se uma WAN (Wide Area Network ou rede de longa distância)
Termo que designa uma rede de comunicação de dados que cobre áreas
geograficamente extensas como um Estado, um país ou um continente.
5
Uma WAN apresenta grandes vantagens quando comparada a uma rede pública
como a Internet, no que diz respeito à disponibilidade, performance e segurança.
Entretanto, manter uma WAN pode se tornar muito cara, e normalmente o custo
aumenta com a distância, um exemplo seria usando LPs como será demonstrado
no decorrer do trabalho.
Com o crescimento da popularidade da Internet, as empresas têm vislumbrado
nisto uma forma de expandir suas próprias redes. Inicialmente as intranets, que
são redes internas baseadas no protocolo IP (Internet Protocol), as quais são
protegidas por senha, desenvolvidas para uso apenas pelos profissionais das
empresas. Agora, varias empresas estão criando suas próprias VPNs (Virtual
Private Network) para suprir as necessidades de seus usuários remotos, ou
escritórios distantes.
Como foi citado anteriormente, VPN começa a ser uma grande possibilidade de
comunicação facilitada e mais barata para as empresas que têm necessidade de
comunicação entre regiões geográficas separadas. Diante desse contexto, várias
formas de conexão de banda larga, isto é, com velocidades de transmissão de
dados acima do conhecido sistema de acesso discado, têm surgido, e entre elas a
tecnologia ADSL tem tomado grande destaque pelo fato de ser barata, rápida e
disponível.
Entretanto, a tecnologia ADSL impõe algumas dificuldades na criação e
manutenção de VPN. Neste trabalho, fazemos um estudo sobre essas tecnologias
e apresentamos algumas soluções para suas limitações.
O trabalho está dividido em quatro capitulos. No primeiro, são abordados os
aspectos mais tecnicos de uma VPN. Explicando sua definição, quais tecnologias
são usadas em conjunto com ela. Dando uma visão geral sobre os protocolos de
tunelamento e criptografia.
6
No capitulo dois é feito uma estudo sobre a tecnologia xDSL, mostrando sua
familia e suas definições e aplicações no mercado. No terceiro capitulo é abordado
as possibilidades, com suas dificuldades e soluções, geradas a partir de uma
solução combinado VPN com ADSL.
No ultimo capitulo é feito um estudo de caso, em uma empresa de medio porte,
onde pode se observar beneficios na adoção de uma implementação usando a
combinação das duas tecnologias.
7
1. VPN (Virtual Private Network)
“O maravilhoso sobre VPN é que entre a grande quantidade de
definições existentes, dá a possibilidade para as empresas
dizerem que seus produtos são VPNs. Mas não importa a
definição que você escolha, pois a confusão de frases não faz
sentido. A idéia é criar uma rede privada via um túnel e/ou
criptografada sobre uma rede pública. Esteja certo, é muito mais
barato que usar suas próprias conexões via frame relay, mas
trabalha tão bem quanto. È como tirar cera do nariz no Times
Square fazendo de conta que ninguém esta em volta” (Wired
Magazine, Fevereiro 1998, Wired's "Hype List - Deflating this
month's overblown memes," pagina 80)
Partindo desta definição, buscaremos entender o que é uma VPN, como ela pode
ser aplicada observando suas dificuldades e beneficios. Buscando abordar
tambem as tecnologias utilizadas em conjunto como os protocolos e tunelamento
e os de criptografia.
8
1.1. Definição
Como a Wired Magazine publicou no trecho acima, existem várias definições de
VPN, entretanto não ajudam muito para este contexto. Então, faz sentido
começarmos este estudo sobre VPN tentando viabilizar uma definição que seja
senso comum sobre VPN. Vamos tentar explicar, da maneira que seria a mais
simples e lógica, analisando palavra por palavra e depois de compreendê-las em
separado, encontrarmos sentido na união de todas, assim, atingindo uma resposta
mais clara.
Vamos começar estudando a palavra Rede (Network). Este é o termo mais fácil de
definir e entender, desde que é aceito quase sem grandes contradições no
mercado. Uma rede consiste de um número de dispositivos que podem se
comunicar entre si, através de algum meio de comunicação. Dispositivos desta
natureza incluem computadores, impressoras, roteadores, entre outros, e podem
estar separados geograficamente. Os métodos que eles podem usar para se
comunicar são inúmeros. Para facilitar, vamos concordar que rede é uma coleção
de dispositivos que podem se comunicar de alguma forma, e podem transmitir e
receber dados entre eles.
O termo “privado” já é bem claro, e está muito relacionado ao conceito de
virtualização quando nos referimos a VPN. A forma mais simples de definirmos
seria: privado - a comunicação entre dois (ou mais) dispositivos é, de alguma
forma, secreta.- e os dispositivos que não fazem parte deste tipo de comunicação
“privado” não tem acesso ao conteúdo desta transmissão segura. A privacidade e
a segurança dos dados sempre serão pontos extremamente importantes para
serem levados em consideração no planejamento de um VPN.
Outro aspecto importante de privacidade numa VPN está na sua definição técnica,
na descrição da privacidade de seu endereçamento IP e seu sistema de
9
roteamento. Isto significa que o endereçamento dos usuários que necessitam da
VPN é diferente daqueles que não fazem parte desta comunidade de interesse.
O termo mais complicado para deixarmos bem claro seria “Virtual”.
Virtual /adj./ 1. Alternativa comum para {lógico}; geralmente usado
para se referir a objetos artificiais (como memória virtual
endereçável mais do que a memória física) simulados por um
sistema de computador como uma forma conveniente de gerenciar
o acesso a recursos compartilhados. 2. Simulado; desempenha as
funções de alguma coisa que não está realmente ali. (“The New
Hacker’s Dictionary,” Third Edition. Compiled by Eric S. Raymond,
published by MIT Press, 1993)
A definição que mais se enquadra na realidade de VPN é a 2. O aspecto de
virtualização é similar ao que descrevemos como “privado”; entretanto, o cenário é
um pouco diferente. A comunicação privada é agora conduzida através da
infraestrutura de uma rede que é usada por mais de uma companhia. E mais, o
recurso privado é na realidade construído usando a fundação de uma partição
lógica de algum recurso comum compartilhado. Também faz uso de circuitos
físicos dedicados e serviços de comunicação. A rede privada não tem um sistema
físico de comunicações “privado”. A rede “privada” é uma criação virtual, e não
física. Esta rede compartilhada pode ser a Internet.
A combinação destes termos gera VPN – uma rede privada, onde a privacidade é
introduzida por um tipo de virtualização. Uma VPN pode ser construída entre dois
sistemas, ou entre duas organizações, entre vários sistemas dentro da mesma
organização, ou entre várias organizações através da Internet, entre aplicações
individuais, ou qualquer combinação dos elementos citados acima.
10
VPN não significa comunicações isoladas necessariamente, mas sim a
segmentação controlada de comunicações para comunidades de interesse através
da infraestrutura compartilhada.
A definição comum e formal para VPN é: Uma VPN é um ambiente de
comunicações no qual o acesso é controlado para permitir conexões a pontos
apenas dentro de uma comunidade de interesse, e é construída por alguma forma
de partição de um meio de comunicação comum, onde o mesmo oferece serviços
de rede em um meio de comunicação não exclusivo.
De uma maneira mais simples, menos formal e bem aproximada seria: Uma VPN
é uma rede privada construída dentro de uma infraestrutura rede publica, como a
Internet.
1.2. Para que precisamos de uma VPN?
Existem vários motivos para se construir uma VPN, mas o motivo mais comum
para construí-la é a necessidade que as empresas normalmente têm de virtualizar
alguma parte das comunicações. Em outras palavras, é tornar algumas partes (ou
toda) das comunicações da empresa invisível aos observadores externos.
A principal motivação para se ter uma VPN está na economia no uso dos meios de
comunicação para transferência de dados. Os sistemas de comunicação
apresentam desde componentes caros até componentes baratos para viabilizar a
comunicação, mas atrelando a seu valor, sua capacidade de transmissão. Os mais
caros conseguem uma maior banda de comunicação do sistema. Do ponto de
vista econômico, normalmente é financeiramente atrativo juntar um conjunto de
serviços de comunicação em uma plataforma comum de alta capacidade,
tornando possível a aquisição/uso de componentes de alto custo, rateando este
gasto entre um numeroso grupo de clientes. Quando um grupo de redes virtuais é
implementado em um meio físico comum de comunicação fica mais barato de
11
operacionalizar, pois se cada empresa quiser ter sua própria estrutura física de
comunicação exclusiva, a operacionalização dela tornar-se-ia muito cara.
O Domínio da VPN
34%
21%
16%29% Atualmente usam VPN
Planejam usar VPNnos proximos 6 meses
Planejam usar VPNentre os proximos 6meses e um ano
Planejam usar VPNdaqui a ano ou mais
Mais da metade dos gerentes de TI que planejam usar VPN nunca implemetaram uma, ou planejam implementar nos proximos 6 meses
fonte: InternetWeek – Pesquisa: O uso de VPN com 200 Gerentes de TI
Figura 1. O domínio da VPN
Então, se a agregação dos requisitos de comunicação leva a um melhor custo-
benefício na infra-estrutura de comunicações, por que não juntarmos todos estes
serviços em um sistema único de comunicação? Por que ainda é necessária
alguma forma de particionamento dentro deste sistema de comunicação comum
que resulta nesta rede “privada virtual”?
Como resposta a essas duas indagações, trazemos à tona uma segunda
motivação para VPN que é a privacidade na comunicação, onde as características
e integridade de serviços de comunicação em um ambiente estão isoladas dos
outros ambientes que compartilham o mesmo meio. O nível de privacidade está
extremamente relacionado à avaliação de risco feita pela organização – se a
necessidade de privacidade é baixa, então a simples abstração de discrição e
obscuridade da rede será suficiente. Entretanto, se a necessidade de privacidade
12
for alta, então o cuidado terá que ser maior em sua implementação para que o
tráfego dos dados esteja bem protegido quando passar por este meio comum.
Uma alternativa à Internet como meio para a VPN hoje em dia é o aluguel de
circuitos, ou serviços de comunicação dedicada, do operador de rede pública (ex:
Telemar, Embratel) e criar uma rede completamente privada. Ao contrário do
desenvolvimento de uma infra-estrutura pública, o modelo de desenvolvimento
tem que ser fechado (ou privado), ambiente de rede onde a infra-estrutura,
esquema de endereçamento, gerenciamento, e serviços sejam dedicados a um
fechado grupo de assinantes. Este modelo se aproxima daquele de um ambiente
corporativo fechado, onde a rede é dedicada para somente uma entidade, com um
cliente único. Esse precursor da VPN pode ser chamado de PDN (Private Data
Network), e é construída usando a estrutura de cabos da própria empresa, e
circuitos alugados para conectar a locais geograficamente separados.
Entretanto, esta alternativa tem um custo associado a ela, pois o cliente agora tem
que gerenciar a rede e todos os elementos associados a ela, investir capital em
sua estrutura física e lógica, contratar equipe qualificada e assumir completa
responsabilidade pelo funcionamento do serviço de rede.
1.3. Vantagens da VPN
As duas principais vantagens de VPN são o baixo custo e sua escalabilidade, dois
pontos que fazem a diferença.
1.3.1. O baixo custo da VPN
Um ponto que barateia a VPN é a eliminação da necessidade de linhas privadas
de longa distância. Com VPNs, uma organização precisa de uma pequena
conexão dedicada com o provedor do serviço. Esta conexão pode ser uma linha
13
privada local (muito mais barata que uma a longa distância), ou pode ser uma
conexão de banda larga, como o serviço ADSL, que será tratado mais adiante.
Outra forma de reduzir os custos usando VPNs é que diminui a necessidade de
ligações à longa distancia (DDD/DDI) para acesso remoto. Os clientes de VPN
precisam apenas ligar para o provedor de acesso mais próximo. Em algumas
situações uma ligação à distancia (DDD) pode ser necessária, mas, em sua
maioria, uma ligação local é o suficiente.
Um terceiro ponto a ser levado em consideração é o fato da diminuição do custo
com suporte. Com VPNs, o provedor do serviço, melhor do que a empresa, pode
prover suporte para acesso via dial-up (acesso discado), por exemplo. Assim, os
provedores do serviço podem, em teoria, tornar o valor do suporte bem barato, já
que o custo é rateado entre todas as empresas que são clientes.
1.3.2. Escalabilidade
O custo de linhas privadas para uma organização tradicional pode ser a principio
razoável, mas este custo pode crescer exponencialmente com a expansão da
empresa. Uma companhia com dois escritórios, por exemplo, pode preparar
apenas uma linha dedicada para conectar os dois pontos. E um terceiro escritório
precisa ficar on-line com os outros dois. Então, duas novas linhas adicionais serão
necessárias para conectar diretamente este terceiro escritório com os outros dois.
14
Figura 2 - Explosão combinacional
Entretanto, com o crescimento da empresa, mais pontos serão necessários para
serem inseridos na rede, assim fazendo o numero de linhas privadas crescerem
bastante. Levando em consideração que estamos analisando uma estrutura
corporativa, a situação ideal para o processo de adição de mais um ponto na
estrutura, é que este ponto tenha uma LP dedicada aos outros pontos existentes,
para evitar que a queda de um ponto provoque a queda de outros. Assim, quatro
escritórios precisam de seis linhas dedicadas para total conectividade; cinco
escritórios necessitam de 10 linhas e assim por diante. Os matemáticos chamam
isto de explosão combinacional, e numa WAN tradicional esta explosão limita a
flexibilidade para o crescimento. A VPN vem como uma ótima solução para isto,
pois ela faz uso do meio publico já existente, assim possibilitando uma expansão
com uma maior facilidade e menor custo, pois não será necessário adquirir novas
linhas privadas sempre que for adicionado um ponto a rede.
LP
15
Comparada com linhas privadas, as VPNs baseadas em Internet oferecem um
alcance global bem melhor, oferecendo acesso aos pontos que tem conexão com
a internet, onde às vezes linhas privadas não alcançam.
1.4. Desvantagens de VPN
Com todo o impacto que cercou historicamente VPNs, os principais perigos, ou
pontos fracos do modelo da VPN são facilmente esquecidos. Quatro pontos
podem ser destacados neste aspecto:
a) Requer um profundo conhecimento de segurança de rede publica para se
adotar todas as devidas precauções na implementação de uma VPN.
b) A disponibilidade e a performance da VPN de uma organização entre
pontos geográficos diferentes envolvem fatores que estão fora do controle
da organização. Como por exemplo: quando ha problema da operadora do
serviço, ou algum problema físico no meio publico apresenta problema.
c) Tecnologias de VPNs de diferentes fabricantes podem não trabalhar bem
quando juntadas a novos padrões.
d) VPNs precisam acomodar protocolos diferentes de IP e tecnologia de rede
interna existente.
16
As inseguranças relativas a VPN
23%
15%
13%10%
8%
31%Não estão familiarizados osuficiente com VPN
Segurança
Interoperabilidade
Performance
Tecnologia não madura
Outras
Gerentes de TI que não tem planos de usar VPN citaram os seguintes fatores:
fonte: InternetWeek – Pesquisa: O uso de VPN com 200 Gerentes de TI (múltiplas respostas)
Figura 3 - As inseguranças relativas a VPN
1.5 Tunelamento
As redes virtuais privadas baseiam-se na tecnologia de tunelamento cuja
existência é anterior às VPNs.
Figura 4 - Exemplo de tunel
17
Ele pode ser definido como processo de encapsular um protocolo dentro de outro.
O uso do tunelamento nas VPNs incorpora um novo componente a esta técnica:
antes de encapsular o pacote que será transportado, este é criptografado de forma
a ficar ilegível caso seja interceptado durante o seu transporte. O pacote
criptografado e encapsulado viaja através da Internet até alcançar seu destino
onde é desencapsulado e decriptografado, retornando ao seu formato original.
Uma característica importante é que pacotes de um determinado protocolo podem
ser encapsulados em pacotes de protocolos diferentes. Por exemplo, pacotes de
protocolo IPX podem ser encapsulados e transportados dentro de pacotes TCP/IP.
O protocolo de tunelamento encapsula o pacote com um cabeçalho adicional que
contém informações de roteamento que permitem a travessia dos pacotes ao
longo da rede intermediária. Os pacotes encapsulados são roteados entre as
extremidades do túnel na rede intermediária. Túnel é a denominação do caminho
lógico percorrido pelo pacote ao longo da rede intermediária Após alcançar o seu
destino na rede intermediária, o pacote é desencapsulado e encaminhado ao seu
destino final. A rede intermediária por onde o pacote trafegará pode ser qualquer
rede pública ou privada.
Note que o processo de tunelamento envolve encapsulamento, transmissão ao
longo da rede intermediária e desencapsulamento do pacote.
1.5.1. Protocolos de Tunelamento
Para se estabelecer um túnel é necessário que as suas extremidades utilizem o
mesmo protocolo de tunelamento. O tunelamento pode ocorrer na camada 2 ou 3
(respectivamente enlace e rede) do modelo de referência OSI (Open Systems
Interconnection).
Estes protocolos podem ser divididos em dois grupos:
18
• Protocolos de camada 2 (PPP sobre IP): transportam protocolos de camada
3, utilizando quadros como unidade de troca. Os pacotes são encapsulados
em quadros PPP;
• Protocolos de camada 3 (IP sobre IP): encapsulam pacotes IP com
cabeçalhos deste mesmo protocolo antes de enviá-los .
Nos túneis orientados à camada 2 (enlace), um túnel é similar a uma seção, onde
as duas extremidades do túnel negociam a configuração dos parâmetros para
estabelecimento do túnel (endereçamento, criptografia, parâmetros de
compressão etc.). A gerência do túnel é realizada através de protocolos de
manutenção. Nestes casos, é necessário que o túnel seja criado, mantido e
encerrado. Nas tecnologias de camada 3 (rede), não existe a fase de manutenção
do túnel.
Para técnicas de tunelamento VPN Internet, quatro protocolos se destacaram, em
ordem de surgimento:
• PPTP - Point to Point Tunneling Protocol;
• L2F - Layer Two Forwading;
• L2TP - Layer Two Tunneling Protocol;
• IPsec - IP Security Protocol.
O PPTP, o L2F e o L2TP são protocolos de camada 2 e têm sido utilizados para
soluções Client-to-Lan (cliente para rede); o IPsec é um protocolo de camada 3
mais enfocado em soluções LAN-to-LAN.
19
Figura 5 – VPN CLIENT-to-LAN e LAN-to-LAN
1.5.1.1 POINT-TO-POINT TUNNELING PROTOCOL (PPTP)
PPTP é um protocolo definido por vários fornecedores que foi amplamente
adotado para uso na criação de soluções de VPNs. O PPTP oferece serviços de
encapsulamento para suporte de protocolos não-TCP/IP. O PPTP usa MPPE
(Microsoft Point-to-Point Encryption) para obter serviços de criptografia e é
compatível com o suporte a VPNs disponível para versões anteriores do Windows.
O PPTP é uma boa alternativa para o IPSec e L2TP para organizações que não
desejam instalar e gerenciar uma infra-estrutura de chaves públicas para VPNs.
Os clientes têm a opção de usar uma VPN baseada em segredo compartilhado
simples para evitar as despesas associadas à manutenção de infra-estruturas de
chaves públicas. Isso também protege os investimentos existentes no PPTP como
20
uma solução de VPNs. O PPTP oferece criptografia por software eficiente e é uma
opção para VPN apropriada para processadores 486 e Pentium antigos.
A idéia básica do PPTP é dividir as funções do acesso remoto de tal modo que
indivíduos e empresas possam utilizar a infra-estrutura da Internet para prover
uma conectividade segura entre clientes remotos e redes privadas. O PPTP tem
como finalidade principal prover um mecanismo para o tunelamento de tráfego
PPP (Point-to-Point Protocol) sobre redes IP. Antes do envio de um datagrama
IP, o PPTP cifra e encapsula este datagrama em um pacote PPP que, por sua
vez, é encapsulado em um pacote GRE (Generic Routing Encapsulation), como
mostrado na Figura 4.
Figura 6 - Encapsulamento de um datagrama IP feito pelo PPTP.
Da mesma forma que outros protocolos de segurança, o PPTP também requer
a negociação de parâmetros antes de, efetivamente, proteger um tipo de tráfego
entre duas entidades. Porém, o seu procedimento de negociação é feito
sem qualquer proteção, permitindo que um invasor modifique parâmetros ou
obtenha dados como o endereço IP dos extremos do túnel, nome e versão
do software utilizado, nome do usuário e, em alguns casos, o hash
criptográfico da senha do usuário (Chapman, Cooper e Zwicky, 2000).
Encrypte
IP Heade
r
GRE Heade
r
PPP Heade
r
PPP Payload (IP datagrama or IPX datagrama)
21
Figura 7 Esquema de um Túnel PPTP
1.5.1.2. L2F (Layer 2 Forwarding)
Foi um dos primeiros protocolos utilizado por VPNs. Como o PPTP, o L2F foi
projetado como um protocolo de tunelamento entre usuários remotos e
corporações. Uma grande diferença entre o PPTP e o L2F, é o fato do mesmo não
depender de IP e, por isso, é capaz de trabalhar diretamente com outros meios
físicos de transmissão de dados como FRAME RELAY ou ATM.
Este protocolo utiliza conexões PPP para a autenticação de usuários remotos,
mas também inclui suporte para TACACS+ e RADIUS para uma autenticação
desde o inicio da conexão. Na verdade, a autenticação é feita em dois níveis:
primeiro, quando a conexão é solicitada pelo usuário ao provedor de acesso;
depois, quando o túnel se forma, o gateway da corporação também irá requerer
uma autenticação.
22
Figura 8 - Esquema de um Túnel L2F
A grande vantagem desse protocolo é que os túneis podem suportar mais de uma
conexão, o que não é possível no protocolo PPTP. Além disso, o L2F também
permite tratar de outros pacotes diferentes de IP, como o IPX e o NetBEUI por ser
um protocolo baseado na camada 2 do modelo OSI.
1.5.1.3. LAYER TWO TUNNELING PROTOCOL (L2TP)
L2TP é uma minuta de especificação da IETF para encapsulamento e transmissão
de tráfego não-IP por redes TCP/IP. Ele usa o IPSec para obter criptografia
opcional. Suporta atribuição dinâmica de endereços IP para gerenciamento
simplificado de VPNs.
Computador Remoto ISP
NAS
INTERNET
GATEWAY
REDE PRIVADA
PPP
TUNEL L2F
PPP
DATAGRAMAS IP
23
Figura 9 - Esquema de um Túnel L2TP
Os clientes têm a opção de usar esse padrão emergente para suportar protocolos
IP assim como protocolos não-IP (como IPX ou AppleTalk) através de conexões
de VPNs baseadas em IPSec.
1.5.1.4. IP SECURITY (IPSEC)
O protocolo IP Security é um padrão proposto pelo IETF para criptografar o tráfego
de IP. O Windows 2000 integra rigorosamente o IPSec com o gerenciamento de
diretivas do sistema para reforçar a criptografia entre sistemas de modo
transparente ao usuário final. O IPSec pode ser usado para comunicações
particulares e da VPN. Para encapsulamento de protocolos não-IP ou para
atribuição dinâmica de endereços IP em VPNs, é necessário usar o L2TP ou o
PPTP.
Os clientes podem ter comunicações gerenciadas por diretivas de grupo e seguras
por criptografia que protegem as informações enviadas por redes. Como o IPSEC
é integrado ao sistema operacional, é mais fácil de ser configurado e gerenciado
Computador Remoto ISP
NAS
INTERNET
LNS NAS
REDE PRIVADA
PPP
TUNEL E CANAL DE CONTROLE L2TP
PPP
DATAGRAMAS IP
24
do que soluções complementares. Além disso, TODO o tráfego pode ser
criptografado, em vez de apenas o tráfego entre dispositivos da rede como
roteadores e caixas de criptografia.
1.5.1.4.1. Algoritmos criptográficos
Diversos algoritmos criptográficos podem ser utilizados pelo AH e ESP, porém
existe um conjunto mínimo cuja implementação é obrigatória. São eles: HMAC-
MD5-96 E HMAC-SHA-1-96 para os serviços de autenticação e integridade do
AH e ESP; DES-CBC para a confidencialidade provida pelo ESP; e,
algoritmos nulos de autenticação e confidencialidade utilizados pelo ESP
quando um dos seus serviços não é requisitado. No entanto, este conjunto
obrigatório não é suficiente para prover segurança de forma adequada a
todos os tipos de informação (Sena, Geus e Augusto, 2002). Estudos têm
mostrado que particularidades do MD5 permitem acelerar o processo para
gerar mensagens que produzam o mesmo hash, utilizando máquinas de baixo
custo (Schneier, 1996). Em relação ao DES, o tamanho de chave utilizada, 56
bits, é atualmente vulnerável a ataques de força-bruta tornando-o inadequado
para preservar informações cujo sigilo é de extrema significância (Bellovin,
1997). Sendo assim, a implementação de outros algoritmos mais capazes
seria de extrema importância, porém se algoritmos mais seguros não estão
padronizados, nem todas as implementações os conterão.
1.5.1.4.2. Associações de Segurança (SA)
Para que duas entidades consigam enviar e receber pacotes utilizando os
serviços do IPSec é necessário o estabelecimento de Associações de
Segurança (Security Association – SA), que especificam os algoritmos a
serem utilizados, as chaves criptográficas, os tempos de vida destas chaves,
entre outros parâmetros. Existem duas formas de estabelecimento de
associações de segurança: estática e dinâmica. No primeiro, os parâmetros
25
são inseridos manualmente em ambos os extremos da comunicação. No
segundo, os parâmetros são negociados por protocolos como o IKE, sem a
intervenção do administrador. A escalabilidade do IPSec está relacionada ao
estabelecimento dinâmico de SAs que devem ser definidas por conexão ou, no
máximo, por usuário, para prover maior segurança.
1.5.1.4.3. Modo transporte e modo túnel
Ambos os cabeçalhos, AH e ESP, possuem dois modos de operação: transporte e
túnel. No modo transporte, os cabeçalhos de segurança utilizados por um pacote
são inseridos após o cabeçalho IP. Este modo, em geral, é utilizado para
proteção fim-a-fim da comunicação entre dois hosts e representa uma solução
adequada para auxiliar na segurança de pacotes em redes locais. O modo túnel
tem seu uso recomendado na proteção do tráfego entre um host e um
gateway. Antes de ser enviado, o pacote original é inserido completamente
na porção de dados de um novo pacote que contém os cabeçalhos de
segurança e cujos endereços correspondem aos extremos do túnel. No modo
transporte, os cabeçalhos de segurança provêm proteção primária para os
protocolos das camadas superiores. No modo túnel, os cabeçalhos protegem o
pacote IP encapsulado, provendo proteção para todos os campos do
cabeçalho IP original.
1.5.1.4.4. Solução IPSec para o acesso remoto VPN
Uma solução bastante utilizada atualmente para o acesso remoto VPN é o uso
do IPSec em modo túnel. Nesse cenário, o túnel IPSec é estabelecido entre
o cliente remoto e o gateway VPN da organização, constituindo um canal
seguro para o tráfego dos dados sobre a rede pública intermediária. Todo o
tráfego IP é encapsulado pelo IPSec, sendo o pacote IP original transmitido
através do túnel, tirando-se proveito de todos os serviços de segurança
oferecidos pelo IPSec. A Figura 8 mostra o uso do IPSec em modo túnel
26
utilizando apenas os serviços do protocolo AH, garantindo a integridade e a
autenticidade tanto do pacote IP original, quanto do pacote IPSec utilizado
para prover o tunelamento.
Figura 10 – IPSec em modo túnel utilizando os serviços do cabeçalho AH.
Na Figura 9 é mostrado o modo túnel do IPSec utilizando os serviços do
cabeçalho ESP, provendo confidencialidade a todo o pacote IP original, e
integridade e autenticação ao pacote IP original e parte do pacote IPSec
utilizado para prover o tunelamento.
Figura 11 – IPSec em modo túnel utilizando os serviços do cabeçalho ESP.
No entanto, é importante notar que o uso do IPSec somente com os
serviços de autenticação e integridade, ou somente com o serviço de
confidencialidade, pode causar uma falsa sensação de segurança na
comunicação, tornando o túnel IPSec vulnerável a alguns tipos de ataques.
Uma análise detalhada dessas vulnerabilidades pode ser encontrada em
(Bellovin, 1996; Sena, Geus e Augusto, 2002). Apesar dos problemas
New Tunnel Header
Auth Header
Original IP
Header
TCP UDP
Header Aplication Data
Signed
New Tunnel Header
Original IP
Header
TCP UDP
Header Aplication Data
Signed
ESP Header
ESP Trailer
ESP Auth
Encrypted
27
apresentados constituírem uma ameaça à segurança do túnel IPSec, quando
utilizado de forma adequada esse protocolo provê um excelente nível de
segurança para a comunicação, sendo uma das principais tecnologias
atualmente disponíveis para a implementação de VPNs. Contudo, alguns
aspectos relacionados à utilização do IPSec para o acesso remoto VPN
ainda carecem de padronização. O modo túnel do IPSec não provê suporte à
atribuição e configuração de endereços IP, o que se faz necessário no caso do
acesso remoto VPN, já que um dos extremos do túnel é um host remoto que não
possui endereço IP fixo e que após o estabelecimento do túnel precisa
estar associado a um endereço IP da rede interna. Além disso, muitos dos
esquemas de autenticação existentes, comumente usados para autenticação
de usuários, são de natureza assimétrica, e não são suportados pelo IKE
(Internet Key Exchange), utilizado pelo IPSec. Apesar do IKE prover um
suporte poderoso para a autenticação de máquina, ele apresenta somente um
suporte limitado para formas de autenticação de usuário e não provê
suporte para autenticação assimétrica de usuário. Outra característica desejável
ao IPSec seria o suporte à múltiplos protocolos, uma vez que esse protocolo
só é capaz de transportar pacotes IP em seu modo túnel. Todos esses itens
são requisitos importantes para o acesso remoto VPN. As plataformas
Windows atuais não possuem suporte para a solução desses problemas e
as soluções proprietárias existentes não apresentam interoperabilidade entre si.
Existem alguns trabalhos em andamento, no sentido de criar uma solução
padrão para os problemas envolvendo o uso do IPSec em um ambiente de
acesso remoto, que estão sendo discutidos atualmente no IPSec Working
Group, grupo do IETF (Internet Engineering Task Force) que desenvolve
mecanismos de segurança para o protocolo IP (Gleeson, 2000).
1.6. Soluções para VPNs
28
Existe quatro componentes básicos para a implementação de uma VPN baseada
na Internet: a Internet, gateways seguros, servidores com políticas de segurança e
certificados de autenticidade.
A Internet provê a "sustentação" de uma VPN e os gateways seguros são
colocados na fronteira entre a rede privada e a rede pública para prevenirem a
entrada de intrusos, e ainda são capazes de fornecer o tunelamento e a
criptografia antes da transmissão dos dados privados pela rede pública. Os
gateways seguros podem ser: roteadores, firewalls, hardwares específicos e
softwares.
Como roteadores necessitam examinar e processar cada pacote que deixa a LAN,
parece natural incluir a criptografia dos pacotes nos roteadores. Por isso existe no
mercado dois produtos que desempenham esta função em roteadores: softwares
especiais (software adicionado ao roteador) ou placas com co-processadores que
possuem ferramentas de criptografias (hardware adicionado ao roteador). A
grande desvantagem dessas soluções é que, se o roteador cair, a VPN também
cairá.
Os firewalls, assim como os roteadores, também devem processar todo o tráfego
IP, neste caso, baseando-se em filtros definidos pelas mesmas. Por causa de todo
o processamento realizado nos firewalls, elas não são aconselhadas para
tunelamento de grandes redes com grande volume de tráfego. A combinação de
tunelamento e criptografia em firewalls será mais apropriada para redes pequenas
com pouco volume de tráfego (1 a 2Mbps sobre um link de LAN). Da mesma
forma que os roteadores, as firewalls podem ser um ponto de falha de VPNs.
A utilização de hardware desenvolvido para implementar as tarefas de
tunelamento, criptografia e autenticação é outra solução de VPN. Esses
dispositivos operam como pontes, implementando a criptografia, tipicamente
colocadas entre o roteador e os links de WANs. Apesar da maioria desses
29
hardwares serem desenvolvidos para configurações LAN-to-LAN, alguns produtos
podem suportar túneis client-to-LAN. A grande vantagem desta solução é o fato de
várias funções serem implementadas por um dispositivo único. Assim, não há
necessidade de se instalar e gerenciar uma grande quantidade de equipamentos
diferentes, fazendo com que esta implementação seja muito mais simples que a
instalação de um software em um firewall, a reconfiguração de um roteador ou
ainda a instalação de um servidor RADIUS, por exemplo.
Uma VPN desenvolvida por software também é capaz de criar e gerenciar túneis
entre pares de gateways seguros ou, entre um cliente remoto e um gateway
seguro. Esta é uma solução que apresenta um custo baixo, mas desaconselhada
para redes que processam grande volume de tráfego. Sua vantagem, além do
baixo custo, é que esta implementação pode ser configurada em servidores já
existentes e seus clientes. Além disso, muitos desse softwares se encaixam
perfeitamente para conexões client-to-LAN.
A política de segurança dos servidores também é outro aspecto fundamental para
implementação de VPNs. Um servidor seguro deve manter uma lista de controle
de acesso e outras informações relacionadas aos usuários, que serão utilizadas
pelos gateways para a determinação do tráfego autorizado. Por exemplo, em
alguns sistemas, o acesso pode ser controlado por um servidor RADIUS.
Por último, certificados de autenticidade são necessários para verificar as chaves
trocadas entre sites ou usuários remotos. As corporações podem preferir manter
seu próprio banco de dados de certificados digitais para seus usuários através de
um servidor de certificado ou, quando o número de usuários for pequeno, a
verificação da chaves poderá requerer o intermédio de uma terceira parte, a qual
mantém os certificados digitais associados a chaves criptográficas, pois a
manutenção de um servidor para isso será muito onerosa.
30
Vejamos as vantagens e desvantagens de cada solução para a implementação de
VPNs: apenas software, software auxiliado por hardware e hardware específico.
O encapsulamento aumenta o tamanho dos pacotes, conseqüentemente, os
roteadores poderão achar que os pacotes estão demasiadamente grandes e
fragmentá-los, degradando assim a performance da rede. A fragmentação de
pacotes e a criptografia poderão reduzir a performance de sistemas discados a
níveis inaceitáveis mas a compressão de dados poderá solucionar este problema.
No entanto, a combinação de compressão com encapsulamento, irá requerer um
poder computacional mais robusto para atender às necessidades de segurança.
Por isso, uma VPN implementada através de hardware, devido ao seu poder
computacional irá alcançar uma melhor performance. Este tipo de implementação
também fornece uma melhor segurança - física e lógica - para a rede, além de
permitir um volume de tráfego maior. A desvantagem desta implementação é um
custo mais alto e o uso de hardware especializado.
Já uma VPN implementada através de software terá critérios menos rígidos de
segurança mas se encaixa perfeitamente para atender ás necessidades de
conexão de pequenos volumes que não precisam de grandes requisitos de
segurança e possuem um custo menor.
Quanto a performance de VPNs implementadas por software assistido por
hardware, está dependerá da performance dos equipamentos aos quais o
software está relacionado.
A tabela 1 resume os aspectos a serem considerados para a escolha do tipo de
solução para a implementação de uma VPN.
Solução Apenas software Software assistido
por Hardware
Hardware
especializado
31
Performance Baixa médio-baixa alta
Segurança Plataforma
fisicamente e
logicamente insegura
Plataforma fisicamente
e logicamente insegura
Fisicamente e
logicamente
seguro
Aplicações
possíveis
dial-up a uma taxa
de 128Kbps para
dados ISDN
ISDN à velocidades T1 Velocidades dial-
up até 100Mbps
Produtos Firewalls,
Softwares de VPNS
Cartões de criptografia
para roteadores, PCs
(Personal
Communication
Services)
Hardware
especializado
Fonte: www.abusar.org
Tabela 1 – Analise de implementação de VPN
Agora que temos uma visão geral sobre VPN, iremos abordar nos capítulos a
seguir como podemos fazer uso desta tecnologia combinada com outras, como a
xDSL.
32
2. xDSL
Na área entre o assinante e a central telefônica, também chamada de local loop, a
atual infra-estrutura de transmissão de voz utilizada pelas concessionárias de
serviços públicos de telecomunicações é formada por um par de fios metálicos
trançados e requer uma largura de banda de 300 a 3.400 Hz.
A tecnologia DSL, termo abreviado de Digital Subscriber Line, ou ainda Linha
Digital de Assinante, desenvolvida pela Bellcore, utiliza técnicas digitais de
processamento de sinais com freqüências de até 2,2 MHz sem interferir na faixa
de voz, que são capazes de otimizar a utilização da largura de banda do par
metálico com velocidades que, dependendo do comprimento do par e da
freqüência do sinal, variam de 128 Kbps a 52 Mbps.
Além de melhorar tremendamente o acesso remoto para usuários Internet e
disponibilizar serviços de alta velocidade para interconexão de redes locais, estão
sendo vislumbradas diversas outras aplicações nas redes xDSL como, por
exemplo, videoconferência, home shopping, ensino a distância, sistemas
interativos,vídeo sob demanda (incluindo televisão de alta definição), etc.
DSL não é uma tecnologia, mas uma família de tecnologias que conta, até o
momento, com oito membros , em diferentes estágios de maturidade, as mais
conhecidas são:
33
HDSL - High Data Rate Digital Subscriber Line
ADSL - Assymmetric Digital Subscriber Line
RADSL - Rate Adaptive Digital Subscriber Line
IDSL - ISDN Digital Subscriber Line
SDSL - Single Line ou Symmetric Digital Subscriber Line
VDSL - Very High Data Rate Digital Subscriber Line
VADSL - Very High Speed Assymmetric Digital Subscriber Line
As velocidades envolvidas situam-se numa faixa que vai de 128 Kbits por segundo
(caso do IDSL) a 51 megabits por segundo (caso do VDSL, a mais sofisticada). De
todas, o ADSL é a que mais sobressai no presente, exibindo provas incontestáveis
de prestígio: a América On-line, maior provedor de serviços on-line do mundo,
anunciou no final do ano passado o início de testes de campo, para clientes
residenciais interessados no acesso de alta velocidade aos seus serviços;
Microsoft, Compaq e Intel, três líderes em suas áreas, formaram recentemente um
consórcio para padronizar e promover a adoção dessa tecnologia.
Para os usuários amadores da Internet, a velocidade não será a única novidade
trazida pelas tecnologias DSL. Elas representarão também o fim do acesso
discado. Hoje, um computador doméstico só se torna parte integrante da rede
enquanto dura seu acesso a um provedor, realizado através de um modem
analógico ligado à rede telefônica; quando a conexão ao provedor se desfaz, o
computador fica tão isolado da Internet quanto um forno de microondas. Com o
acesso feito por meio de um modem DSL, o computador doméstico ficará ligado a
um circuito permanentemente "vivo" (como as conhecidas "linhas privadas") que o
fará integrar durante todo o tempo a Grande Rede.
2.1. HDSL (High Data Rate Digital Subscriber Line)
34
Os modems HDSL (High-bit-rate Subscriber Line) foram os primeiros a serem
introduzidos no mercado e marcaram uma revolução para as operadoras de
telefonia e também para os clientes comerciais. Estes modems permitem
velocidade de até 2 Mbit/s sobre dois pares de fios da rede telefônica até uma
distancia de 3 Km. A comunicação é simétrica: pode se enviar e receber
simultaneamente a 2 Mbit/s. A CTBC Telecom foi a primeira Operadora no Brasil a
utilizar o serviço comercialmente. Esta tecnologia é muito boa para conectar
PABX's à central pública, ou para a interligação de redes locais e acesso 2 Mbit/s
para Provedores Internet. Boa para o cliente, pois dá a ele um serviço rápido,
veloz e com qualidade muito superior aos acessos analógicos e boa para as
operadoras pois representa uma economia de custos: pode se enviar 30 canais de
voz (linhas telefônicas) em apenas 2 pares de rede, em vez dos 30 pares
necessários no sistema analógico. A rede física é responsável pelos maiores
investimentos para implantação do serviço de telefonia. Esta tecnologia já está
consolidada e cresce velozmente em todo mundo.
2.2. ADSL (Assymmetric Digital Subscriber Line)
A tecnologia ADSL, ou Linha Digital de Assinante Assimétrica, ao contrário da
HDSL, permite a transmissão de dados em apenas um par de fios, ou seja foi
concebida visando o aproveitamento dos acessos telefônicos existente até os
assinantes. Ela permite que o usuário faça uma chamada telefônica ao mesmo
tempo em que usa a Internet em alta velocidade: até 9 Mbit/s para receber
(download) e até1. 5 Mbit/s para enviar (upload). O nome assimétrico é devido as
diferentes taxas de velocidades para transmissão e recepção.
2.3. RADSL (Rate Adaptative Digital Subscriber Line)
A tecnologia RADSL, muito semelhante à ADSL, é adaptativa, ou seja, o modem
ajusta automaticamente a velocidade de conexão de acordo com a qualidade da
35
linha e a distância em relação à central. Se a distância é muito grande, a taxa de
bits é reduzida. Esta tecnologia é útil principalmente quando a distância em
relação à central é muito grande, pois muitas tecnologias DSL são limitadas a
curtas distâncias. A técnica de modulação utilizada é CAP.
O ajuste de velocidade é feito como mostrado na figura abaixo. A banda de
freqüências até 4 kHz é reservada para voz. A banda acima deste valor é dividida
entre download e upload, como no ADSL, mas o limite entre estas bandas é
variável. Conforme as condições da linha variam, o limite superior da banda de
upload é deslocado - e, com isso, é também deslocado o limite inferior da banda
de download. Quando maior a banda de upload, menor a de download, e vice-
versa.
Separação de bandas nas linhas RADSL.
As velocidades oferecidas vão de 640 kbps a 2,2 Mbps para download e de 272
kbps a 1,088 Mbps para upload. O limite de distância até a central é de 5500 m.
2.4. IDSL (ISDN Digital Subscriber Line)
ISDN é a sigla para Integrated Services Digital Network. Essa tecnologia também
recebe o nome de RDSI - Rede Digital de Serviços Integrados. Trata-se de um
serviço disponível em centrais telefônicas digitais, que permite acesso à internet e
baseia-se na troca digital de dados, onde são transmitidos pacotes por
multiplexagem (possibilidade de estabelecer várias ligações lógicas numa ligação
física existente) sobre condutores de "par-trançado".
A tecnologia ISDN já existe há algum tempo, tendo sido consolidada entre os anos
de 1984 e 1986. Através do uso de um equipamento adequado, uma linha
telefônica convencional é transformada em dois canais de 64 Kbps, onde é
possível usar voz e dados ao mesmo tempo, sendo que cada um ocupa um canal.
36
Também é possível usar os dois canais para voz ou para dados. Visto de modo
grosso, é como se a linha telefônica fosse transformada em duas.
Um computador com ISDN também pode ser conectado a outro que utilize a
mesma tecnologia, um recurso interessante para empresas que desejem conectar
diretamente filiais com a matriz, por exemplo.
A tecnologia ISDN possui um padrão de transmissão que possibilita aos sinais que
trafegam internamente às centrais telefônicas serem gerados e recebidos em
formato digital no computador do usuário, sem a necessidade de um modem. No
entanto, para que um serviço ISDN seja ativado em uma linha telefônica é
necessário a instalação de equipamentos ISDN no local de acesso do usuário e a
central telefônica deve estar preparada para prover o serviço de ISDN.
2.5. VDSL - Very high bit-rate Digital Subscriber Line
As linhas ADSL dominam a preferência dos usuários de banda larga, juntamente
com o cable modem, principalmente entre usuários residenciais, mas alguns
usuários necessitam de velocidades ainda mais altas. Por isso, foi desenvolvida a
tecnologia VDSL, também assimétrica, que utiliza uma banda muito larga e
oferece velocidades altíssimas, que podem chegar a 52 Mbps para download e 16
Mbps para upload.
A diferença que permite que as linhas VDSL alcancem velocidades tão altas é o
uso de fibras óticas. Estas fibras permitem que os dados trafeguem a velocidades
muito mais altas que nos pares trançados utilizados pelo telefone e por outras
tecnologias DSL.
Como as fibras óticas ainda não cobrem toda a área coberta pelos pares
trançados, nem todos os usuários são capazes de utilizar esta tecnologia. Além
37
disso, a distância máxima permitida entre usuário e central é de aproximadamente
1200 m, ou seja, muito menor que os outros tipos de DSL.
Assim como no caso do ADSL, existe uma disputa entre os sistemas CAP e DMT
para se tornar o padrão de modulação da tecnologia VDSL. Duas parcerias foram
formadas entre grandes empresas de telecomunicações, cada uma defendendo
um padrão. A VDSL Alliance, formada por Alcatel e Texas Instruments, entre
outros, defende o padrão DMT, e a VDSL Coalition, liderada por Lucent e
Broadcom, defende o padrão CAP.
A tecnologia VDSL, muito recente, ainda está em desenvolvimento. O
desempenho alcançado ainda está muito aquém do esperado, mas no futuro,
espera-se que seja possível alcançar na prática as velocidades são esperadas na
teoria.
2.6 Comparativo entre a família xDSL
O quadro abaixo faz um comparativo sucinto da família xDSL, mostrando suas
taxas de transmissões e suas diferenças básicas.
Pares
de fio
Telefone
e dados
Transmissão Taxa de
dados
HDSL
High-bit-rate DSL
2 Não Simétrica 2 Mbit/s
Uma das primeiras tecnologias DSLs a ser usada amplamente. Utilizada para o provimento de serviço de linhas dedicadas de 2Mbit/s.
ADSL
Asymetric DSL
1 Sim Assimétrica
1,5-8 Mbit/s 64-640 kbit/s
Mais popular. Utilizado para acesso a Internet.
38
RADSL
Rate-adaptive DSL
1 Sim Assimétrica 1-7 Mbit/s 128k-1 Mbit/s
Variação do ADSL que permite o ajuste da taxa de transmissão de acordo com a necessidade do cliente
IDSL
ISDN DSL
1 Não Simétrica até 144 kbit/s
Empregado em acessos ISDN
SDSL
Symetric DSL
1 Não Simétrica 768 kbit/s Implementação do HDSL utilizando 1 par de fios
VDSL Sim Assimetrica 52 Mbps / 16 Mbps
Uso de fibra óptica
Tabela 2 – Comparativo xDSL
Fonte: www.teleco.com.br
Apesar de toda esta tecnologia empregada no sistema xDSL, os cable modems
representam uma ameaça para o sucesso do xDSL pois possui uma padronização
definida, o que não ocorre com o xDSL.
Porém, uma vantagem do xDSL é o fato de utilizarem a onipresente infra-estrutura
de fios de cobre das companhias telefônicas em atividade (o que não é pouco). Do
ponto de vista dessas companhias, podem representar a redenção de um
patrimônio que muitos supunham a caminho da obsolescência.
39
3. POSSIBILIDADE DE VPN COM ADSL
Depois de abordarmos VPN e xDSL, podemos agora estudar a combinação
destas duas teologias, podendo assim identificar, analisar e propor soluções.
Varias são as possibilidades de criar VPN, como já vimos anteriormente,
entretanto manter esta VPN pode tornar-se um desafio, de acordo com o porte da
implementação da mesma.
Pelo motivo da tecnologia ADSL está em alta no nosso estado, decidimos ver
todas as possibilidades usando esta tecnologia que tem como principal fonte
representativa o Velox da TELEMAR. A grade dificuldade encontrada nos
exemplos abaixo é o fato de que o endereço IP de cada ponto ADSL fica mudando
(IP Dinâmico).
Para deixarmos mais claro, criamos uma estrutura tecnológica empírica (Figura
10).
40
Figura 12 - Ambiente empírico
Este ambiente é uma topologia facilmente encontrada em empresas de médio
porte, as quais consistem normalmente de uma matriz, a qual tem um servidor
WEB, um Firewall, um DNS e uma forma de conexão com a Internet usando
banda larga e com IP fixo. Além da matriz, alguns usuários podem acessar
remotamente as informações da rele local usando como conexão um provedor
INTERNET
WWW DNS
FIREWALL
ADSL
ADSL
NAT
NAT
REMOTO
Maquina 1
Servidor B
Servidor A
41
particular via acesso discado. Como também uma filial precisar esta
constantemente atualizando dados contidos nos sistemas da matriz, e para fazer
isto, ela usa uma conexão de banda larga (ADSL) que tem IP dinâmico.
Existem três possibilidades de VPN a serem criadas com esta estrutura:
a) Os dois pontos tem ip fixo
INTERNET
WWW DNS
FIREWALL
NAT
Servidor A
REMOTO Acesso Discado (IP fixo)
42
Figura 13 - VPN usando IPs fixos
Este é, teoricamente a forma mais fácil de se estabelecer um VPN, pois como as
duas pontas da VPN estão com IPs válidos e fixos, os possíveis problemas que
poderiam atingir esta VPN estariam no âmbito físico, com a queda do seu serviço
de acesso, ou um crash do sistema, ou até mesmo aspectos alheios a VPN, mas
que podem afetá-la no final.
b) Um ponto é fixo e o outro dinâmico
43
Figura 14 - VPN usando ADSL entre um ponto dinâmico e um fixo
Dificuldades: Sempre que o endereçamento IP da ponta que usa ADSL for
renovado, a VPN será quebrada, assim cancelando a comunicação entre os
pontos.
Solução: Usar uma máquina que esteja sempre on-line e de IP válido fixo que
possa identificar pelo domínio qual o endereçamento da ponta com ADSL. Para
INTERNET
WWW DNS
FIREWALL
ADSL
NAT
Maquina 1
Servidor A
Acesso ADSL (IP Dinâmico)
44
que isto aconteça corretamente, a ponta que usa ADSL tem que ter uma tarefa
rodando com a finalidade de informar ao DNS sempre que ela mudar de endereço.
c) Os dois pontos são dinâmicos
Figura 15 - VPN usando ADSL entre pontos dinâmicos
Dificuldades: Sempre que o endereçamento IP de uma das pontas renovado, a
VPN será quebrada, assim cancelando a comunicação entre os pontos.
Solução: Usar uma máquina que esteja sempre on-line e de IP valido fixo que
possa identificar pelo domínio qual o endereçamento da ponta com ADSL que teve
INTERNET
WWW DNS
FIREWALL
ADSL
ADSL
NAT
NAT
Maquina 1
Servidor
Servidor
Acesso ADSL
Acesso ADSL (IP Dinâmico)
45
seu endereçamento renovado. Para que isto aconteça corretamente, as pontas
têm que ter uma tarefa rodando com a finalidade de informar ao DNS sempre que
ela mudar de endereço.
Estas as formas básicas de criar VPNs num ambiente como este. Para deixar
mais clara a dificuldade de se manter uma VPN usando uma conexão ADSL, no
próximo capitula faremos um estudo de caso abordando este aspecto.
46
4. Estudo de caso
Empresa: Breitener Energética
Área de atuação: Termoelétrica
Acesso a Internet: Link de rádio de 128Kbps
Parque tecnológico: 1 Servidor Linux (é o servidor responsável por receber a link
da Internet e também Server como servidor WEB e de e-mail), 1 Servidor
Windows 2000 (é o Controlador de Domínio e o servidor de Banco de Dados). 15
estações de trabalho as quais usam como padrão Windows XP Professional.
Topologia inicial:
47
Figura 16 – Rede no formato com o link de rádio
Estudo da situação inicial:
É usado como solução gerencial o Microsiga - AP7 Master, que é uma solução de
gestão empresarial que abrange todos os processos administrativos, de
manufatura e de relacionamento de uma empresa.
No início todos os controles administrativos eram inseridos ou consultados no
Sistema por funcionários que se encontravam internamente na empresa,
entretanto com o passar do tempo os dirigentes da empresa, que normalmente
não estão no Ceará, precisavam ver informações inseridas no AP7. O mesmo tem
um módulo desenvolvido para ser acessado pela internet, sendo que depois de
uma análise de custo /beneficio foi decidido que este módulo era muito caro para a
necessidade.
Estudo de solução:
O setor de informática sabendo do interesse da empresa em disponibilizar estas
informações para o diretores que não se encontravam na área física de sua rede,
propôs uma solução simples, mas eficaz. Prover o acesso a estas informações via
acesso remoto. Isto é, de onde quer que os diretores estejam, os mesmos
poderiam acessar a rede da Empresa e usar os recursos da mesma, assim, não
só disponibilizando as informações do sistema, como também oferecendo a
possibilidade deles acessarem seus arquivos particulares.
Todos os notebooks dos Diretores tem a mesma configuração hardware e
software. Todos usam o sistema operacional Windows XP. Com os protocolos
PPTP (Point-to-Point Tunneling Protocol) ou L2TP (Layer Two Tunneling Protocol)
que são automaticamente instalados em computadores baseados no Windows XP,
podem acessar com segurança aos recursos de uma rede ligando a um servidor
de acesso remoto através de VPNs.
48
No servidor Linux foi configurado que todo acesso que chegasse na porta 1723
(PPTP), fosse redirecionada para o servidor Windows 2000 para o processo e
autenticação, assim criando a VPN.
Para tornar este projeto real, era usado um link de rádio da Secrel de 128Kbps, e
com um endereço IP válido, o que se mostrava suficiente para o acesso dos
usuários internos a internet, como para o acesso remoto dos diretores.
Com o passar do tempo os diretores começaram a reclamar problemas com
relação à conexão. Reclamavam que não estavam conseguindo se conectar. Foi
observado que normalmente era causado com a queda do serviço do link (rádio).
Pois o mesmo apresentava problemas na sua estrutura de recepção, e para
restauração do mesmo, a prestadora do serviço leva em média 4 horas. Este tipo
de ocorrência começou a ter uma certa freqüência (uma vez por semana), não
aceitável por parte dos Diretores da Empresa. Além do fato dos diretores não
poderem acessar os dados corporativos remotamente, os usuários da rede interna
não tinham acesso a internet, conseqüentemente não tendo acesso a seus e-
mails.
No primeiro momento foi pensando em uma forma de acesso alternativo para ter
pelo menos acesso a internet nestas quedas do link (rádio). Foi contratado o Velox
(O Velox utiliza um modem de tecnologia ADSL, que aumenta a capacidade da
sua linha de telefone, permitindo a transmissão simultânea de voz e dados
Adequada para uma rede do porte da Breitener) com velocidade de 256Kbps. Foi
adicionado uma terceira placa de rede no servidor linux, e colocado o link do
Velox.
O Velox foi configurado nas estações para ser a rota padrão secundaria, isto quer
dizer, sempre que o rota padrão não responder (o link de rádio), as estações
tentavam a rota secundaria (o velox).
49
Esta solução foi aplicada e mostrou-se como uma ótima solução, pois mesmo
quando o link da Secrel caia, os usuários da rede continuavam com acesso a
internet, mas persistia o problema dos Diretores não conseguirem acessar
remotamente a rede, pois como o modem do Velox muda periodicamente de
endereço IP, não dava para deixa configurado nos notebooks dos Diretores, já que
na configuração do acesso, era colocado o endereço IP do servidor da Rede.
Solução Final:
Para resolver esta situação, começamos a desenvolver uma solução que consistia
inicialmente em cadastrar o domínio www.breitener.com.br em um servidor DNS
fora da rede, e em seguida prepara um script que ficasse rodando no servidor
linux, com uma única finalidade, verificar a cada um minuto se o endereço IP do
modem tinha mudado ou não. Caso tivesse mudado, ele informava o novo
endereço IP para o servidor DNS que se encontrava fora da rede. Assim, a
configuração nas estações dos diretores poderia ser feito com nome
(www.breitener.com.br), não sendo problema a mudança do endereço do modem.
Infelizmente a solução usando um script no linux não estava sendo tão eficaz, pois
durante o período de teste (uma semana) foram registrada 6 reclamações de
diretores dizendo que não conseguiam estabelecer conexão. Foi identificado que o
serviço parava e não reiniciava automaticamente. A partir deste momento
começamos a tentar desenvolver uma solução, quando encontramos na internet
uma ótima solução para esta nossa realidade. A solução foi um site,
www.noip.com , este site funciona como a nosso solução inicial. A única diferença
é que o site coloca um programa no servidor (ou qualquer outra estação da rede),
que tem a mesma finalidade que tínhamos implementado no script que estava
rodando no linux, atualizar o novo endereço do modem no servidor DNS sempre
que houvesse mudança do endereço, que neste caso o servidor é deles.
Topologia Proposta:
50
Figura 17 – Rede no formato com Velox
Durante dois meses esta solução foi usada. No final do segundo mês foi sugerido
o corte do link de radio, reduzindo o custo de acessibilidade a internet, mantendo a
segurança e a disponibilidade no acesso interno e externo.
Link de rádio ADSL
Instalação + Equipamento R$ 700,00 R$ 498,00
Valor mensal R$ 474,00 R$ 130,00
Quedas mensais 3 5
Suporte Técnico (local) 24 horas 24 horas
Suporte Técnico (remoto/telefone) 24 horas 24 horas
Tempo para recuperação (média) 3 horas 1 hora
Dificuldades técnicas Estrutura física Conectividade, IP dinâmico
Fonte SecrelNet Velox
Velocidade 128kbps 256kbps
51
A tabela acima mostra um ganho tanto a nível financeiro como de disponibilidade
da rede. Já que agora a Breitener passará a pagar mais barato pelo acesso a
Internet e com um menor tempo de restabelecimento do sinal de Internet. Outro
ponto importante é o fato do mesmo ganhar com velocidade, já que a banda
oferecida pelo Velox é o dobro oferecido pela SecrelNet.
52
CONCLUSÃO
Além dos benefícios econômicos e técnicos aplicados aos dias de hoje, as VPNs
também têm a capacidade de estimular e impulsionar o desenvolvimento
tecnológico.
Quando se fala em VPNs, imagina-se logo os enormes benefícios que elas
oferecem às corporações, aos usuários e aos provedores de Internet, enfim, são
apenas visualizados seus efeitos para a realidade presente.
Porém, não podemos deixar de lado as oportunidades que a tecnologia VPN e sua
demanda de QoS reservam para o futuro. As VPNs também têm sua parcela de
contribuição no desenvolvimento de novas tecnologias de desempenho e
segurança na Internet, proporcionando um esforço muito mais colaborativo e
acelerado no tocante a estas questões.
Com a necessidade de usar esta solução tecnológica as empresas encontraram
na tecnologia ADSL uma forma rápida e barata de conexão e mesmo
apresentando em algumas implementações, dificuldades em sua estabilidade,
apresenta-se como uma das melhores soluções, do pondo de vista custo /
beneficio, no uso de VPN.
53
REFERENCIA
ASCEND COMMUNICATIONS, Virtual Private Networks Resource Guide , Arquivo PDF: http://www.lucent.com/ins/library/pdf/techdocs/vpnrg.pdf. CISCO SYSTEMS, Layer Two Tunnel Protocol , http://www.cisco.com. CISCO SYSTEMS, PACKET - Cisco Systems Users Magazine , Vol.12, N°1, Primeiro Trimestre/2000 GLEESON, B., et al., A Framework for IP Based Virtual Private Network s, RFC 2764, Feb. 2000. HAMZEH, K., et al., Point-to-Point Tunneling Protocol (PPTP), RFC 2637, Jul. 1999. HAMZEH, Kory; PALL, Gurdeep; VERTHEIN, William; TAARUD, Jeff; LITTLE, W.; e ZORN, Glen; Point-to-Point Tunneling Protocol (PPTP) , RFC 2637, Jul. 1999, http://www.ietf.org/rfc/rfc2637.txt. MICROSOFT CORPORATION, Understanding Point-to-Point Tunneling Protocol (PPTP) , Jan. 1997, http://msdn.microsoft.com/library/backgrnd/html/understanding_pptp.htm NORTEL NETWORKS, Virtual Private Networks (VPNs) , Tutorial, IEC Webproforum Tutorials: http://www.webproforum.com. PSINET, Intranets and Virtual Private Networks (VPNs) , Tutorial, IEC Webproforum Tutorials: http://www.webproforum.com, Internet TOWNSLEY,W.; VALENCIA, Andrew; RUBENS, Allan; PALL, Gurdeep; ZORN, Glen; e PALTER, Bill; Layer Two Tunneling Protocol (L2TP) , RFC 2661, Ago. 1999, http://www.ietf.org/rfc/rfc2661.txt..
54
Glossário AH - (Authentication Header). Fornece uma segurança adicional ao
IP. Oferece autenticação, anti-repetição, integridade. Não criptografa os dados. Elimina os problemas como: DOS e IP Spoofing. Não garante a confidencialidade.
ATM - ATM (abreviação de Asynchronous Transfer Mode) é uma tecnologia de rede baseada na transferência de pacotes relativamente pequenos chamados de células de tamanho definido. O tamanho pequeno e constante da célula permite a transmissão de áudio, vídeo e dados pela mesma rede. Implementações mais recentes de redes ATM suportam uma taxa de transferência de 25 até 622 Mbps, que quando comparado com a máxima taxa de 100 Mbps da Ethernet mostra a eficiência do ATM. O ATM cria canais fixos entre 2 pontos para que os dados possam ser transmitidos. Esta filosofia difere da filosofia do TCP/IP no qual as mensagens são divididas em pacotes e cada pacote pode tomar uma rota diferente para alcançar o destino. Esta diferença, oferecida pelo ATM, facilita a monitoração e a cobrança pelo serviço.
ESP - (Encapsulation Security Payload) Fornece integridade e confidencialidade. Criptografa os dados contidos no datagrama.
Banda Larga - É o nome usado para definir qualquer conexão acima da velocidade padrão dos modems analógicos (56 Kbps). Usando linhas analógicas convencionais, a velocidade máxima de conexão é de 56 Kbps. Para obter velocidade acima desta você obrigatoriamente terá de optar por uma outra maneira de conexão do seu micro com o provedor. Atualmente existe inúmeras soluções no mercado. As principais são. - ISDN. A Telemar comercializa esse serviço com o nome DVI. Sua velocidade é de 128 Kbps e tem a desvantagem de contar pulsos telefônicos da mesma forma que linhas convencionais. - ADSL. A Telemar comercializa esse serviço com o nome Velox. Outras operadoras de outras áreas de concessão
55
utilizam esse serviço com o nome Speedy (Telefônica de SP). Possui uma taxa de transferência teórica bem alta (8 Mbps para download e 640 Kbps para upload), mas as operadoras estão liberando esse serviço com velocidade de 256 Kbps para download e 128 Kbps para upload. - Modem para TV a cabo (cable modem). Ë o que, em teoria, possui a maior taxa de transferência possível (30 Mbps). Mas a velocidade depende da operadora. Existem dois tipos de serviço, unidirecional (você precisa usar um modem convencional ao mesmo tempo em seu micro, consumindo pulsos) e bidirecional (a transmissão e a recepção são feitas pela rede da TV por assinatura). - DSS (Direct Satellite System). Usa antenas parabólicas e é eventualmente conjugado ao serviço de TVs por assinatura que usam essas antenas (Sky, DirecTV, etc). Também pode ser unidirecional ou bidirecional. A taxa de transferência máxima teórica desse serviço é de 400Kbps, sendo que a taxa disponível pode ser inferior, pois a taxa depende da operadora. Há ainda a opção de você fazer uma conexão direta (link) com o seu provedor de acesso, por cabo ou por ar. Por cabo você precisará que alguma operadora de telefonia faça a instalação desse cabo (Embratel, Telemar, AT&T, etc). Já por ar, basta a instalação de uma antena, Essa solução é mais barata. Como todas essas opções não utilizam o modem convencional, você deverá substituí-lo por uma placa de rede.
Firewall - Um firewall é uma barreira inteligente entre a sua rede local e a Internet, através da qual só passa tráfego autorizado. Este tráfego é examinado pelo firewall em tempo real e a seleção é feita de acordo com a regra "o que não foi expressamente permitido, é proibido". Para criar as regras com as quais o firewall seleciona o tráfego, selecione os serviços da Internet, os endereços IP e as estações para as quais o tráfego será permitido ou negado.
Frame Relay - Frame Relay é um protocolo de nível de enlace, referente a camada RM-OSI (modelo de referência OSI) , com funções adicionais de nível de rede. Basicamente o Frame Relay executa as funções básicas de enlace e rede, de forma simplificada e sem preocupação com a recuperação de erros. É uma tecnologia de comutação de pacotes simples, rápida e eficiente. É particularmente adequada a tráfego em rajadas, característica principal em comunicação de dados em redes locais. As redes locais requerem velocidades de transmissão e larguras de banda elevadas. Os frames podem chegar fora de ordem. Em determinada transmissão de frames entre um ponto de origem e um ponto destinatário, os frames seguem sempre o
56
mesmo caminho (rota), o que faz deste protocolo um serviço “end-to-end”. Atua com velocidades acima de 64Kbps (normalmente até 2 Mbps), com a aplicabilidade maior na interconexão de ambientes de redes locais geograficamente dispersos.
Gateway - O gateway é um ponto de rede que atua na entrada de outra rede. Na Internet, um ponto de rede pode ser tanto um gateway como um host. Os computadores de usuários da Internet e os computadores que servem páginas para os usuários são hosts. Os computadores que controlam o tráfego dentro da rede de suas companhias ou no seu provedor de Internet local (ISP) são gateways.
MD5 - O md5 é um tipo de "impressão digital" de um arquivo, usado para determinar, por exemplo, se um arquivo baixado de um ftp não se alterou ao chegar ao micro, utilizando-se de um checksum (somas matemáticas baseadas no conteúdo dos dados em processamento, para verificar correção) de 128 bits.
MPPE- É um algoritimo de criptografia. Este algoritimo oferece segurança nos dados nas conexões que usam PPTP.
