Carregando Pesquisa
YouTube Facebook Twitter
Apostilas Artigos Tutoriais Aulas Blog Ferramentas de Rede Fórum Downloads Colabore Fale Conosco
» tutoriais
:: Projeto de Gateway VPN - 2ª Parte

José Mauricio dos Santos Pinheiro em 27/12/2004

 

Gateway VPN na DMZ

Outra questão a ser considerada refere-se à posição específica do gateway VPN em relação aos equipamentos da DMZ. A solução não é necessariamente única, pois vai depender da própria estrutura das redes que irão se comunicar através da VPN. Algumas alternativas são:

Em conjunto com outros equipamentos da DMZ

O gateway VPN é colocado em conjunto com os outros equipamentos da DMZ. Nessa configuração, os equipamentos podem ser acessados por usuários não participantes da rede interna.

Para o caso de VPN conectando redes através de uma extranet, os usuários destas redes poderiam ter acesso a serviços disponíveis para qualquer usuário externo, porém de modo criptografado. Entretanto, os pacotes provenientes dessas redes não seriam submetidos às regras de filtragem, pois os pacotes originais, antes da passagem pelo gateway VPN, estariam criptografados, impedindo a filtragem de seu conteúdo. Com isso, uma parte da política de segurança, expressa através das regras de filtragem, não seria aplicada a uma parcela do tráfego da rede.

Outra possibilidade é que o tráfego oriundo do gateway VPN pode não estar destinado, a priori, a qualquer dos servidores situados na DMZ, mas sim para algum destino além. Neste caso, o tráfego descriptografado seria passível de filtragem antes de alcançar seu destino. Isto não impediria que um usuário malicioso situado na rede externa enviasse pacotes aos servidores situados na DMZ violando a política de segurança que determina que o tráfego oriundo das redes externas teria outro destino que não algum equipamento situado na DMZ.

Quando o tráfego na VPN envolve uma filial da mesma empresa, ou seja, uma sub-rede da mesma rede, a situação é bastante parecida. Nessa arquitetura temos a mistura do tráfego vindo de uma rede confiável (nesse caso considerando como confiável o tráfego vindo de uma rede que é uma subdivisão da própria rede), com tráfego oriundo de usuários externos. Esse tráfego "confiável" poderia acessar servidores configurados para o acesso de tráfego não confiável. Deste modo pode-se estar restringindo o acesso a informações importantes para membros da rede confiável. Por outro lado, o tráfego poderia ter como destino, servidores situados em outros lugares que não a DMZ, e teríamos, como no caso anterior, a filtragem do conteúdo dos pacotes que estavam anteriormente criptografados.

Em DMZ separada

Na DMZ separada não ocorrem muitos dos problemas mencionados anteriormente, pois temos um isolamento do tráfego descriptografado com relação ao tráfego vindo direto da Internet.

Na DMZ separada, a complexidade de configuração nas regras do filtro é maior, pois temos mais uma interface para administração e aplicação regras. Porém, com o uso de software específico, pode-se ter as regras de filtragem a serem aplicadas em determinada interface, em um único bloco separado, de modo a tornar a administração destas regras mais fácil, controlando-se de modo mais transparente os acessos aos recursos da VPN.

Pode-se aproveitar a existência desta DMZ para incluir também outros serviços necessários aos usuários de extranet ou de redes externas, evitando o acesso desnecessário à rede interna para responder a solicitações de HTTP, FTP e outras, de usuários não totalmente confiáveis (notar que não está sendo realizada novamente a filtragem pós-passagem pelo VPN).

Configuração de Múltiplas DMZ’s

Nesta situação têm-se um filtro externo e um interno exclusivamente para a VPN. As vantagens são a simplificação de endereçamento, a divisão entre o tráfego Internet comum e o tráfego para redes confiáveis via VPN e a possibilidade de uma filtragem exclusiva (no roteador interno) das solicitações de conexões oriunda da faixa de endereços internos atribuídos a máquinas de extranet, parceiros de redes corporativas, de filiais ou de acesso remoto.

Qualquer alteração na regras desse tipo de acesso não acarreta reflexo nas regras de filtragem que estão no outro roteador. É claro que uma configuração deste tipo significa uma duplicação de recursos físicos necessários, o que pode ser contornado quando colocados o filtro externo e a VPN em uma única máquina. Algumas soluções disponíveis podem atender a este tipo de topologia, porém deve-se atentar para o enfraquecimento da segurança quando se tem um único ponto de falha.

No caso de uma extranet ou de parceiros corporativos, há também a possibilidade da alocação dos recursos ou equipamentos necessários nessa DMZ, contudo perde-se a vantagem da possibilidade de filtragem do tráfego recém descriptografado antes que ele alcance qualquer outro equipamento da rede. O tráfego vindo das filiais poderia ser filtrado imediatamente após o seu deciframento, possibilitando a aplicação efetiva das regras, aumentando o nível de segurança em relação ao tráfego vindo das filiais.

Figura 7 - Exemplo de colocação de VPN em DMZ

Conclusão

Uma VPN é uma rede privada criada através da Internet que permite interligar duas ou mais redes de computadores, provendo um mecanismo seguro de comunicação. Nela, criam-se "túneis virtuais" através dos quais a informação é encriptada e transmitida de forma segura. Entretanto, a VPN não deve ser única na rede, pois quanto maior a segurança, maior a dificuldade para acessar as informações. Por esse motivo um firewall fazendo a interação com o gateway VPN torna-se uma boa alternativa.

É necessário um planejamento cuidadoso antes de escolher a melhor opção de configuração para um gateway VPN. As configurações aqui apresentadas são básicas e qualquer outra configuração adotada originada a partir destas deve ter como objetivo principal atender as necessidades de uma conexão segura.

Como alternativa e seguindo a tendência dos firewalls distribuídos, sugere-se ainda a incorporação de mecanismos que permitam a filtragem pós deciframento no próprio gateway VPN, o que permite uma maior flexibilidade no posicionamento do gateway dentro das configurações possíveis de DMZ.

:: ( 1ª Parte ) ::
Projeto de Gateway VPN

Imprima este artigo


José Maurício Santos Pinheiro
Professor Universitário, Projetista e Gestor de Redes, 
membro da BICSI, Aureside, IEC e autor dos livros
 
· Guia Completo de Cabeamento de Redes - (Editora Campus) ·
· Cabeamento Óptico - (Editora Campus) ·

E-mail: jm.pinheiro@projetoderedes.com.br

© www.projetoderedes.com.br - Termos e Condições de Uso