Carregando Pesquisa
Facebook Twitter
Apostilas Artigos Aulas Tutoriais Blog Ferramentas de Rede Vídeos Fórum Downloads Colabore Fale Conosco
» tutoriais
:: Projeto de Gateway VPN

José Mauricio dos Santos Pinheiro em 27/12/2004

 

As redes de computadores surgiram com o objetivo de facilitar o compartilhamento mais eficiente de recursos como aplicações, equipamentos e dados, independente da localização física desses recursos ou dos próprios usuários das redes.

Configurar uma rede privada e segura dentro de uma edificação pode ser uma tarefa relativamente simples, mas a configuração de uma rede corporativa envolvendo outras redes, situadas em pontos remotos, pode se tornar algo um tanto difícil e complexo.

Redes Privadas Virtuais

Na maioria dos casos, os administradores e projetistas se vêem frente à necessidade de utilizar linhas dedicadas para conectar redes geograficamente separadas. Contudo, este tipo de solução e outras, oferecem dificuldades operacionais importantes, tais como: alto custo, dificuldades de escalabilidade e baixa flexibilidade.

Uma solução para este tipo de problema é o uso da infra-estrutura aberta e distribuída da Internet para transmissão das informações. Nesse caso, os dois principais aspectos da segurança de uma rede - a proteção do acesso à informação e a proteção da transmissão dessa mesma informação - devem ser observados e garantidos através da autenticação dos usuários e da criptografia. A esse tipo de solução chamamos Rede Privada Virtual - VPN (Virtual Private Network).

Como a Internet é uma rede pública, cabe as Redes Privadas Virtuais prover a segurança necessária, através de recursos de criptografia, para se obter a privacidade desejada para as redes corporativas. Isto inclui o ciframento, a verificação e a assinatura dos dados que trafegam entre as localidades, protegendo-os contra escuta, alteração e impostura por parte de elementos não autorizados.

Túnel Virtual

Um conceito envolvido na definição de VPN é o conceito de túnel, que possui relação estreita com o termo "virtual" da VPN. O tunelamento permite esconder dos elementos da rede privada (local ou remota), as infra-estruturas do provedor de Internet e da própria Internet.

O tunelamento cria uma conexão especial entre dois pontos onde a extremidade iniciadora encapsula os pacotes da rede privada para o trânsito através da Internet. Para as VPN’s sobre redes IP esse encapsulamento pode significar cifrar o pacote original adicionando um novo cabeçalho IP ao pacote. Na extremidade receptora, um gateway remove o cabeçalho IP convencional do pacote usado como meio de transporte na Internet e, se necessário, decifra o pacote repassando o original para o seu destino.

Conceito de firewall

Um firewall pode ser definido como uma coleção de componentes ou mesmo um sistema colocado entre duas redes de comunicação que possui as seguintes propriedades:

Todo o tráfego de dentro para fora dessa rede e vice-versa deve passar elo firewall;

Só o tráfego definido pela política de segurança da rede é permitido a passar pelo firewall;

O próprio sistema do firewall deve ser altamente resistente a qualquer tentativa de invasão.

Dessa forma, o firewall é um mecanismo utilizado para proteger uma rede interna (confiável) de uma outra rede externa (não confiável). Um firewall assegura que não há possibilidades de acesso à rede externa (por exemplo, Internet) a partir da rede interna, nem vice-versa, a não ser que se passe por esse ponto. Ele verifica e filtra todas as conexões vindas da rede externa para a rede interna e vice-versa através de um único ponto de acesso seguro.

Os firewalls podem se apresentar ainda em três tipos:

Filtros de pacotes – é o tipo mais comum de firewall e tem como objetivo permitir ou negar a entrada de um determinado pacote de informações em uma rede, levando em consideração o endereço IP ou a porta de origem e de destino;

Inspeção de pacotes com informações de estado - além de desempenhar as funções do filtro de pacotes, inspecionam o estado da conexão, ou seja, apenas aquelas conexões previamente estabelecidas e válidas que cumprem as condições configuradas pelo firewall têm acesso à rede;

Aplicativos de Firewall e de Proxy - são os mais complexos, pois varrem todos os dados que passam por eles, descartando os perigosos ou não autorizados, não permitindo que a rede interna fique exposta.

Figura 1 - Exemplo de aplicação de firewall

Gateway VPN

A colocação de uma VPN dentro da estrutura de segurança de uma rede de computadores apresenta-se como um problema delicado. Deve-se estar atento a todos os aspectos envolvidos, pois uma configuração errada pode comprometer a segurança da rede como um todo. No caso da colocação de um serviço de VPN em uma rede já existente, esse fato pode implicar na revisão da topologia de segurança, com o objetivo de assegurar as premissas de segurança adotadas.

Algumas regras para a colocação de um gateway VPN são as seguintes:

Não deve comprometer a política geral de segurança da rede;

Sua localização não deve se constituir num único ponto de falha;

Deve aceitar somente tráfego criptografado da rede não confiável

Deve aceitar tanto tráfego criptografado como não criptografado da rede confiável;

Deve defender-se de ataques vindos da Internet;

Os demais equipamentos devem filtrar o tráfego após o deciframento por parte do gateway VPN.

A combinação desses aspectos deve resultar em uma topologia que seja o reflexo da política de segurança anteriormente estabelecida. Para isso devem ser analisadas todas as alterações de tráfego introduzidas com a adição da funcionalidade VPN, efetuando-se as alterações de configuração necessárias nos equipamentos.

Gateway VPN no Firewall

Como o gateway VPN deve receber tráfego da rede não há sentido em que ele aceite qualquer outro tipo de tráfego além daquele de controle, que não seja criptografado. Essa rejeição ou descarte de outros tipos de tráfego é parte fundamental da política de autodefesa do próprio gateway VPN.

O posicionamento do gateway VPN em relação ao firewall é crucial, pois os firewalls não podem aplicar regras de filtragem a pacotes criptografados. Podemos analisar então algumas configurações de posicionamento da VPN dentro do firewall:

Em frente ao firewall

Um gateway VPN em frente a um firewall, como o ponto de conexão à Internet, apresenta um ponto único de falha, podendo ser explorado por um atacante.

Figura 2 - Exemplo de Gateway VPN em frente ao firewall

Essa configuração permite a passagem tanto de tráfego criptografado quanto de não criptografado a partir da rede insegura (em alguns casos pacotes criptografados podem ser filtrados após o processo de deciframento), ou seja, o gateway VPN estaria recebendo um tráfego sem qualquer tipo de análise que não estaria sendo destinado a ele. É algo perigoso, pois o gateway VPN pode conter erros de implementação que podem ser explorados para um ataque. Além disso, nunca se sabe se o gateway está ou não comprometido.

Atrás do firewall

Nesta configuração a proteção é fornecida pelo firewall uma vez que todo o tráfego vindo da Internet passe primeiramente por ele. Em função disso, o mesmo deve possuir uma rota específica para redirecionar o tráfego da VPN.

Ocorre, porém, que o firewall não consegue efetuar qualquer tipo de filtragem no tráfego criptografado endereçado a VPN. Em conseqüência, ocorrerá uma entrada de tráfego sem controle pela rede interna após o deciframento da informação.

As principais desvantagens dessa configuração estão na queda de performance na comunicação, em razão de todo o conteúdo de uma VPN passar antes pelo firewall e também por que esta configuração implica em um único ponto de falha, gerando conseqüências semelhantes às citadas no item anterior.

Figura 3 – Exemplo de Gateway VPN atrás do Firewall

Dentro do firewall

O gateway VPN dentro do firewall é a opção que parece mais natural, pois toda a segurança da rede é feita por uma única máquina apenas. Essa opção de arquitetura deve considerar o possível aumento de complexidade das regras de filtragem, pois muitas vezes é necessário lidar com cenários complexos de acesso de clientes VPN.

Teoricamente é uma configuração que uniformiza a administração e o gerenciamento dos componentes da rede. Entretanto, não é uma solução viável devido às limitações na habilidade de roteamento, de execução da criptografia de chave pública e no chaveamento entre sessões cifradas ao mesmo tempo em se realiza controle de acesso e geração de logs.

Figura 4 – Exemplo de Gateway VPN dentro do Firewall

Essa solução também se constitui num único ponto de falha mais grave que os anteriores, pois um ataque a VPN pode comprometer a toda a estrutura do firewall.

Paralelo ao firewall

O gateway VPN paralelo ao firewall, por sua vez, sugere a separação do tráfego da VPN do tráfego da Internet com base em duas conexões com a rede não confiável: uma para o firewall, outra para o gateway VPN. Nesta estrutura a VPN é configurada para aceitar somente tráfego criptografado.

Uma das vantagens da separação do tráfego é que, devido o fluxo das informações transmitidas para a VPN não passar pelo firewall, nenhuma configuração extra é necessária para permitir a passagem de pacotes VPN.

Apesar desse arranjo evitar um ponto único de falha, o equipamento VPN deve estar apto a defender-se sozinho de ataques externos.

Figura 5 – Exemplo de Gateway VPN paralelo ao Firewall

Ao lado do firewall

Um gateway VPN na interface dedicada de um firewall é considerado ao lado. Pode-se descrever a colocação do gateway VPN ao lado do firewall da seguinte forma: o firewall repassa o tráfego criptografado a VPN, que o decifra e o reenvia ao firewall, que por sua vez o analisa e o envia à rede segura.

Este arranjo protege o equipamento VPN de ataques da rede não confiável, enquanto filtra tráfego não criptografado. A interface externa do gateway VPN deve ser configurada para aceitar somente pacotes criptografados. Todos os pacotes que entram pela interface interna (obviamente destinados ao prolongamento remoto da rede privada) devem ser criptografados antes de serem enviados a Internet.

Estudos indicam que essa configuração é a mais confiável de todas as apresentadas anteriormente.

Figura 6 - Exemplo de Gateway VPN ao lado do Firewall

Rede de Perímetro

Efetivamente, o firewall é o ponto divisor entre a rede interna e a externa, no qual o tráfego que entra e sai por ele é vigiado, filtrado e, algumas vezes, modificado. Entretanto, existe ainda uma terceira rede que não corresponde nem à rede externa, nem à interna. Essa rede é a chamada "rede de perímetro". Uma rede de perímetro, também conhecida como zona desmilitarizada - DMZ - é uma rede configurada separadamente da rede privada da organização e da Internet.

A DMZ permite o acesso de usuários externos aos servidores específicos localizados na rede de perímetro, ao mesmo tempo em que evita o acesso à rede corporativa interna. Ela tem como papel principal ser uma espécie de uma rede "tampão" entre as redes externa e interna.

Os equipamentos situados na DMZ têm como função fornecer serviços aos usuários externos, de tal modo que estes não necessitem acessar a rede interna, proporcionando um certo grau de isolamento da rede interna (confiável) em relação ao tráfego que vêm da rede externa (não confiável).

Os equipamentos colocados na DMZ devem ser configurados de modo a funcionar com o mínimo de recursos possíveis ao oferecer um determinado serviço. Além disso, o comprometimento de um equipamento qualquer situado na DMZ não deve servir para o comprometimento de equipamentos e/ou serviços da rede interna, ou seja, qualquer tentativa de ataque deve ficar confinada aos equipamentos situados na DMZ.

:: ( 2ª Parte ) ::
Gateway VPN na DMZ

Imprima este artigo

© www.projetoderedes.com.br - Termos e Condições de Uso