O gateway VPN é
colocado em conjunto com os outros equipamentos
da DMZ. Nessa configuração, os equipamentos podem
ser acessados por usuários não participantes da
rede interna.
Para o caso de VPN
conectando redes através de uma extranet, os usuários
destas redes poderiam ter acesso a serviços disponíveis
para qualquer usuário externo, porém de modo criptografado.
Entretanto, os pacotes provenientes dessas redes
não seriam submetidos às regras de filtragem, pois
os pacotes originais, antes da passagem pelo gateway
VPN, estariam criptografados, impedindo a filtragem
de seu conteúdo. Com isso, uma parte da política
de segurança, expressa através das regras de filtragem,
não seria aplicada a uma parcela do tráfego da rede.
Outra possibilidade
é que o tráfego oriundo do gateway VPN pode não
estar destinado, a priori, a qualquer dos servidores
situados na DMZ, mas sim para algum destino além.
Neste caso, o tráfego descriptografado seria passível
de filtragem antes de alcançar seu destino. Isto
não impediria que um usuário malicioso situado na
rede externa enviasse pacotes aos servidores situados
na DMZ violando a política de segurança que determina
que o tráfego oriundo das redes externas teria outro
destino que não algum equipamento situado na DMZ.
Quando o tráfego
na VPN envolve uma filial da mesma empresa, ou seja,
uma sub-rede da mesma rede, a situação é bastante
parecida. Nessa arquitetura temos a mistura do tráfego
vindo de uma rede confiável (nesse caso considerando
como confiável o tráfego vindo de uma rede que é
uma subdivisão da própria rede), com tráfego oriundo
de usuários externos. Esse tráfego "confiável"
poderia acessar servidores configurados para o acesso
de tráfego não confiável. Deste modo pode-se estar
restringindo o acesso a informações importantes
para membros da rede confiável. Por outro lado,
o tráfego poderia ter como destino, servidores situados
em outros lugares que não a DMZ, e teríamos, como
no caso anterior, a filtragem do conteúdo dos pacotes
que estavam anteriormente criptografados.
Em DMZ separada
Na DMZ separada
não ocorrem muitos dos problemas mencionados anteriormente,
pois temos um isolamento do tráfego descriptografado
com relação ao tráfego vindo direto da Internet.
Na DMZ separada,
a complexidade de configuração nas regras do filtro
é maior, pois temos mais uma interface para administração
e aplicação regras. Porém, com o uso de software
específico, pode-se ter as regras de filtragem a
serem aplicadas em determinada interface, em um
único bloco separado, de modo a tornar a administração
destas regras mais fácil, controlando-se de modo
mais transparente os acessos aos recursos da VPN.
Pode-se aproveitar
a existência desta DMZ para incluir também outros
serviços necessários aos usuários de extranet ou
de redes externas, evitando o acesso desnecessário
à rede interna para responder a solicitações de
HTTP, FTP e outras, de usuários não totalmente confiáveis
(notar que não está sendo realizada novamente a
filtragem pós-passagem pelo VPN).
Configuração de
Múltiplas DMZ’s
Nesta situação têm-se
um filtro externo e um interno exclusivamente para
a VPN. As vantagens são a simplificação de endereçamento,
a divisão entre o tráfego Internet comum e o tráfego
para redes confiáveis via VPN e a possibilidade
de uma filtragem exclusiva (no roteador interno)
das solicitações de conexões oriunda da faixa de
endereços internos atribuídos a máquinas de extranet,
parceiros de redes corporativas, de filiais ou de
acesso remoto.
Qualquer alteração
na regras desse tipo de acesso não acarreta reflexo
nas regras de filtragem que estão no outro roteador.
É claro que uma configuração deste tipo significa
uma duplicação de recursos físicos necessários,
o que pode ser contornado quando colocados o filtro
externo e a VPN em uma única máquina. Algumas soluções
disponíveis podem atender a este tipo de topologia,
porém deve-se atentar para o enfraquecimento da
segurança quando se tem um único ponto de falha.
No caso de uma extranet
ou de parceiros corporativos, há também a possibilidade
da alocação dos recursos ou equipamentos necessários
nessa DMZ, contudo perde-se a vantagem da possibilidade
de filtragem do tráfego recém descriptografado antes
que ele alcance qualquer outro equipamento da rede.
O tráfego vindo das filiais poderia ser filtrado
imediatamente após o seu deciframento, possibilitando
a aplicação efetiva das regras, aumentando o nível
de segurança em relação ao tráfego vindo das filiais.
Figura 7 - Exemplo de colocação
de VPN em DMZ
Conclusão
Uma VPN é uma rede
privada criada através da Internet que permite interligar
duas ou mais redes de computadores, provendo um
mecanismo seguro de comunicação. Nela, criam-se
"túneis virtuais" através dos quais a
informação é encriptada e transmitida de forma segura.
Entretanto, a VPN não deve ser única na rede, pois
quanto maior a segurança, maior a dificuldade para
acessar as informações. Por esse motivo um firewall
fazendo a interação com o gateway VPN torna-se uma
boa alternativa.
É necessário um
planejamento cuidadoso antes de escolher a melhor
opção de configuração para um gateway VPN. As configurações
aqui apresentadas são básicas e qualquer outra configuração
adotada originada a partir destas deve ter como
objetivo principal atender as necessidades de uma
conexão segura.
Como alternativa
e seguindo a tendência dos firewalls distribuídos,
sugere-se ainda a incorporação de mecanismos que
permitam a filtragem pós deciframento no próprio
gateway VPN, o que permite uma maior flexibilidade
no posicionamento do gateway dentro das configurações
possíveis de DMZ.