|
|
» tutoriais |
::
Projeto de Gateway VPN
|
José
Mauricio dos Santos Pinheiro em 27/12/2004
|
As redes de computadores
surgiram com o objetivo de facilitar o compartilhamento
mais eficiente de recursos como aplicações, equipamentos
e dados, independente da localização física desses
recursos ou dos próprios usuários das redes.
Configurar uma rede
privada e segura dentro de uma edificação pode ser
uma tarefa relativamente simples, mas a configuração
de uma rede corporativa envolvendo outras redes, situadas
em pontos remotos, pode se tornar algo um tanto difícil
e complexo.
Redes Privadas
Virtuais
Na maioria dos casos,
os administradores e projetistas se vêem frente à
necessidade de utilizar linhas dedicadas para conectar
redes geograficamente separadas. Contudo, este tipo
de solução e outras, oferecem dificuldades operacionais
importantes, tais como: alto custo, dificuldades de
escalabilidade e baixa flexibilidade.
Uma solução para este
tipo de problema é o uso da infra-estrutura aberta
e distribuída da Internet para transmissão das informações.
Nesse caso, os dois principais aspectos da segurança
de uma rede - a proteção do acesso à informação e
a proteção da transmissão dessa mesma informação -
devem ser observados e garantidos através da autenticação
dos usuários e da criptografia. A esse tipo de solução
chamamos Rede Privada Virtual - VPN (Virtual Private
Network).
Como a Internet é
uma rede pública, cabe as Redes Privadas Virtuais
prover a segurança necessária, através de recursos
de criptografia, para se obter a privacidade desejada
para as redes corporativas. Isto inclui o ciframento,
a verificação e a assinatura dos dados que trafegam
entre as localidades, protegendo-os contra escuta,
alteração e impostura por parte de elementos não autorizados.
Túnel Virtual
Um conceito envolvido
na definição de VPN é o conceito de túnel, que possui
relação estreita com o termo "virtual" da
VPN. O tunelamento permite esconder dos elementos
da rede privada (local ou remota), as infra-estruturas
do provedor de Internet e da própria Internet.
O tunelamento cria
uma conexão especial entre dois pontos onde a extremidade
iniciadora encapsula os pacotes da rede privada para
o trânsito através da Internet. Para as VPN’s sobre
redes IP esse encapsulamento pode significar cifrar
o pacote original adicionando um novo cabeçalho IP
ao pacote. Na extremidade receptora, um gateway remove
o cabeçalho IP convencional do pacote usado como meio
de transporte na Internet e, se necessário, decifra
o pacote repassando o original para o seu destino.
Conceito de firewall
Um firewall pode ser
definido como uma coleção de componentes ou mesmo
um sistema colocado entre duas redes de comunicação
que possui as seguintes propriedades:
Todo o tráfego de
dentro para fora dessa rede e vice-versa deve passar
elo firewall;
Só o tráfego definido
pela política de segurança da rede é permitido a
passar pelo firewall;
O próprio sistema
do firewall deve ser altamente resistente a qualquer
tentativa de invasão.
Dessa forma, o firewall
é um mecanismo utilizado para proteger uma rede interna
(confiável) de uma outra rede externa (não confiável).
Um firewall assegura que não há possibilidades de
acesso à rede externa (por exemplo, Internet) a partir
da rede interna, nem vice-versa, a não ser que se
passe por esse ponto. Ele verifica e filtra todas
as conexões vindas da rede externa para a rede interna
e vice-versa através de um único ponto de acesso seguro.
Os firewalls podem
se apresentar ainda em três tipos:
Filtros de
pacotes – é o tipo mais
comum de firewall e tem como objetivo permitir
ou negar a entrada de um determinado pacote de
informações em uma rede, levando em consideração
o endereço IP ou a porta de origem e de destino;
Inspeção de
pacotes com informações de estado
- além de desempenhar as funções do filtro de
pacotes, inspecionam o estado da conexão, ou seja,
apenas aquelas conexões previamente estabelecidas
e válidas que cumprem as condições configuradas
pelo firewall têm acesso à rede;
Aplicativos
de Firewall e de Proxy
- são os mais complexos, pois varrem todos os
dados que passam por eles, descartando os perigosos
ou não autorizados, não permitindo que a rede
interna fique exposta.
Figura 1 - Exemplo de aplicação
de firewall
Gateway VPN
A colocação de uma
VPN dentro da estrutura de segurança de uma rede de
computadores apresenta-se como um problema delicado.
Deve-se estar atento a todos os aspectos envolvidos,
pois uma configuração errada pode comprometer a segurança
da rede como um todo. No caso da colocação de um serviço
de VPN em uma rede já existente, esse fato pode implicar
na revisão da topologia de segurança, com o objetivo
de assegurar as premissas de segurança adotadas.
Algumas regras para
a colocação de um gateway VPN são as seguintes:
Não deve comprometer
a política geral de segurança da rede;
Sua localização
não deve se constituir num único ponto de falha;
Deve aceitar somente
tráfego criptografado da rede não confiável
Deve aceitar tanto
tráfego criptografado como não criptografado da
rede confiável;
Deve defender-se
de ataques vindos da Internet;
Os demais equipamentos
devem filtrar o tráfego após o deciframento por
parte do gateway VPN.
A combinação desses
aspectos deve resultar em uma topologia que seja o
reflexo da política de segurança anteriormente estabelecida.
Para isso devem ser analisadas todas as alterações
de tráfego introduzidas com a adição da funcionalidade
VPN, efetuando-se as alterações de configuração necessárias
nos equipamentos.
Gateway VPN no Firewall
Como o gateway VPN
deve receber tráfego da rede não há sentido em que
ele aceite qualquer outro tipo de tráfego além daquele
de controle, que não seja criptografado. Essa rejeição
ou descarte de outros tipos de tráfego é parte fundamental
da política de autodefesa do próprio gateway VPN.
O posicionamento do
gateway VPN em relação ao firewall é crucial, pois
os firewalls não podem aplicar regras de filtragem
a pacotes criptografados. Podemos analisar então algumas
configurações de posicionamento da VPN dentro do firewall:
Em frente ao firewall
Um gateway VPN em
frente a um firewall, como o ponto de conexão à Internet,
apresenta um ponto único de falha, podendo ser explorado
por um atacante.
Figura 2 - Exemplo de Gateway
VPN em frente ao firewall
Essa configuração
permite a passagem tanto de tráfego criptografado
quanto de não criptografado a partir da rede insegura
(em alguns casos pacotes criptografados podem ser
filtrados após o processo de deciframento), ou seja,
o gateway VPN estaria recebendo um tráfego sem qualquer
tipo de análise que não estaria sendo destinado a
ele. É algo perigoso, pois o gateway VPN pode conter
erros de implementação que podem ser explorados para
um ataque. Além disso, nunca se sabe se o gateway
está ou não comprometido.
Atrás do firewall
Nesta configuração
a proteção é fornecida pelo firewall uma vez que
todo o tráfego vindo da Internet passe primeiramente
por ele. Em função disso, o mesmo deve possuir uma
rota específica para redirecionar o tráfego da VPN.
Ocorre, porém, que
o firewall não consegue efetuar qualquer tipo de
filtragem no tráfego criptografado endereçado a
VPN. Em conseqüência, ocorrerá uma entrada de tráfego
sem controle pela rede interna após o deciframento
da informação.
As principais desvantagens
dessa configuração estão na queda de performance
na comunicação, em razão de todo o conteúdo de uma
VPN passar antes pelo firewall e também por que
esta configuração implica em um único ponto de falha,
gerando conseqüências semelhantes às citadas no
item anterior.
Figura 3 – Exemplo de Gateway
VPN atrás do Firewall
Dentro do firewall
O gateway VPN dentro
do firewall é a opção que parece mais natural, pois
toda a segurança da rede é feita por uma única máquina
apenas. Essa opção de arquitetura deve considerar
o possível aumento de complexidade das regras de
filtragem, pois muitas vezes é necessário lidar
com cenários complexos de acesso de clientes VPN.
Teoricamente é uma
configuração que uniformiza a administração e o
gerenciamento dos componentes da rede. Entretanto,
não é uma solução viável devido às limitações na
habilidade de roteamento, de execução da criptografia
de chave pública e no chaveamento entre sessões
cifradas ao mesmo tempo em se realiza controle de
acesso e geração de logs.
Figura 4 – Exemplo de Gateway
VPN dentro do Firewall
Essa solução também
se constitui num único ponto de falha mais grave
que os anteriores, pois um ataque a VPN pode comprometer
a toda a estrutura do firewall.
Paralelo ao firewall
O gateway VPN paralelo
ao firewall, por sua vez, sugere a separação do
tráfego da VPN do tráfego da Internet com base em
duas conexões com a rede não confiável: uma para
o firewall, outra para o gateway VPN. Nesta estrutura
a VPN é configurada para aceitar somente tráfego
criptografado.
Uma das vantagens
da separação do tráfego é que, devido o fluxo das
informações transmitidas para a VPN não passar pelo
firewall, nenhuma configuração extra é necessária
para permitir a passagem de pacotes VPN.
Apesar desse arranjo
evitar um ponto único de falha, o equipamento VPN
deve estar apto a defender-se sozinho de ataques
externos.
Figura 5 – Exemplo de Gateway
VPN paralelo ao Firewall
Ao lado do firewall
Um
gateway VPN na interface dedicada de um firewall
é considerado ao lado. Pode-se descrever a colocação
do gateway VPN ao lado do firewall da seguinte forma:
o firewall repassa o tráfego criptografado a VPN,
que o decifra e o reenvia ao firewall, que por sua
vez o analisa e o envia à rede segura.
Este arranjo protege
o equipamento VPN de ataques da rede não confiável,
enquanto filtra tráfego não criptografado. A interface
externa do gateway VPN deve ser configurada para
aceitar somente pacotes criptografados. Todos os
pacotes que entram pela interface interna (obviamente
destinados ao prolongamento remoto da rede privada)
devem ser criptografados antes de serem enviados
a Internet.
Estudos indicam
que essa configuração é a mais confiável de todas
as apresentadas anteriormente.
Figura 6 - Exemplo de Gateway
VPN ao lado do Firewall
Rede de Perímetro
Efetivamente, o
firewall é o ponto divisor entre a rede interna
e a externa, no qual o tráfego que entra e sai por
ele é vigiado, filtrado e, algumas vezes, modificado.
Entretanto, existe ainda uma terceira rede que não
corresponde nem à rede externa, nem à interna. Essa
rede é a chamada "rede de perímetro".
Uma rede de perímetro, também conhecida como zona
desmilitarizada - DMZ - é uma rede configurada separadamente
da rede privada da organização e da Internet.
A DMZ permite o
acesso de usuários externos aos servidores específicos
localizados na rede de perímetro, ao mesmo tempo
em que evita o acesso à rede corporativa interna.
Ela tem como papel principal ser uma espécie de
uma rede "tampão" entre as redes externa
e interna.
Os equipamentos
situados na DMZ têm como função fornecer serviços
aos usuários externos, de tal modo que estes não
necessitem acessar a rede interna, proporcionando
um certo grau de isolamento da rede interna (confiável)
em relação ao tráfego que vêm da rede externa (não
confiável).
Os equipamentos
colocados na DMZ devem ser configurados de modo
a funcionar com o mínimo de recursos possíveis ao
oferecer um determinado serviço. Além disso, o comprometimento
de um equipamento qualquer situado na DMZ não deve
servir para o comprometimento de equipamentos e/ou
serviços da rede interna, ou seja, qualquer tentativa
de ataque deve ficar confinada aos equipamentos
situados na DMZ.
|
|
|
|
|
|
|
|