VPN - Virtual Private Networks

http://www.cefet-rj.br/Ensino/Engenharia/redeslocais/trabalhos/0200/vpn/vpn.html#t12

Seminário da Disciplina de Redes Locais de Computadores
9
° Período de Engenharia de Telecomunicações
Prof. Lourival

Ana Paula Cossich Pereira Zanaroli
Maria Beatriz Marques Fiuza Lima
Rodrigo de Araújo Lima Rangel

Novembro/2000

Sumário


1. Introdução
    1.1 Redes Privadas Corporativas
    1.2 Redes Privadas Virtuais (VPNs)
    1.3 Apresentação
2. Tecnologia VPN
    2.1 Fatores Principais
    2.2 Compatibilidade
          2.2.1 Endereços de Internet
          2.2.2 Gateways IP
          2.2.3 Tunelamento
    2.3 Segurança
    2.4 Disponibilidade
    2.5 Interoperabilidade
3. Protocolos Utilizados
    3.1 Protocolos de Tunelamento
    3.2 Point-to-Point Tunneling Protocol (PPTP)
          3.2.1 Conexão
          3.2.2 Arquitetura PPTP
          3.2.3 Mecanismos de Segurança do PPTP
          3.2.4 Formato dos Datagramas
    3.3 Layer Two Forwading (L2F)
          3.3.1 Negociação do Protocolo
          3.3.2 Autenticação
          3.3.3 Formato do Datagrama
    3.4 Layer Two Tunneling Protocol (L2TP)
          3.4.1 Operação
          3.4.2 Autenticação
          3.4.3 Formato do Datagrama
    3.5 IP Security Protocol (IPsec)
          3.5.1 Autenticação e Integridade
          3.5.2 Negociação dos Níveis de Segurança
          3.5.3 Confidencialidade
          3.5.4 Vantagens para as VPNs
          3.5.5 O Futuro da Segurança
4. Soluções VPN
5. Benefícios
    5.1 Benefícios para as Empresas
    5.2 Benefícios para os Provedores de Acesso (ISPs)
    5.3 Conclusões
6. Bibliografia

Índice de Figuras


Figura 1: Arquitetura típica de uma WAN tradicional
Figura 2: Arquitetura de uma VPN
Figura 3: Esquema de um túnel VPN
Figura 4: Esquema de um Túnel PPTP
Figura 5:Conexão PPP
Figura 6: Datagramas PPTP
Figura 7: Sessão VPN utilizando L2F, PPP e IP
Figura 8: Sistema Triplo de Autenticação CHAP
Figura 9: Pacote L2F
Figura 10: Arquitetura L2TP
Figura 11: Formato do cabeçalho L2TP
Figura 12: Modos de Operação do IPsec
Figura 13: Comparativo de custos
Figura 14: Estimativa de Potencial de Renda Expandido com as VPNs

1. Introdução 


1.1 Redes Privadas Corporativas 
    Nos dias de hoje, os negócios corporativos se deparam com a necessidade de atender a uma grande variedade de comunicações entre um grande número de sites (localidades, geralmente corporativas) distribuídos, ao mesmo tempo em que se procura reduzir os custos de sua infraestrutura de comunicação. É comum que, atualmente, empregados procurem acessar remotamente os recursos das redes internas de suas empresas para trabalhos em campo, sejam na localidade dos clientes, em escritórios remotos, ou durante uma viagem de negócios. Além disso, também é comum parceiros de negócios atuando em projetos conjuntos compartilharem informações em suas extranets. Enfim, todas estas tendências conduzem a uma necessidade de se estabelecer uma infraestrutura de redes privadas corporativas.
    Porém, estes negócios estão revelando que as antigas soluções usadas para redes WAN entre as redes corporativas principais e seus escritórios filiais, tais como linhas dedicadas e circuitos de Frame Relay, não estão proporcionando a flexibilidade requerida para a criação de novos links de parcerias e para o atendimento de grupos de projeto atuando em campo. Enquanto isso, o crescimento do uso de ligações telefônicas (tanto fixas como móveis) e acesso em computadores remotos aumentam consideravelmente os gastos em modems de acesso remoto, servidores e tarifas de ligações à longa distância.
    As redes privadas baseadas em WANs tradicionais utilizavam circuitos de linhas dedicadas alugadas partindo de cada site para um quartel-general corporativo comum, e os preços destes circuitos eram estimados de acordo com a distância, tornando-os muito caros para localidades geograficamente dispersas. Apesar desta desvantagem, estas redes garantiam altíssimos níveis de segurança e de desempenho de rede. Ainda assim, estas WANs tradicionais exigiam pessoal técnico altamente especializado nas localidades e que as corporações administrassem suas próprias redes. Além disso, estas redes não permitiam uma confortável adaptabilidade e algumas empresas se sentiam relutantes em realizar novas implementações na infraestrutura apesar da potencial economia de custo com estas implementações.
    A figura abaixo mostra a concepção de uma típica WAN corporativa onde todo o tráfego passa necessariamente pelo quartel-general da empresa (cross-connection), em outras palavras, cada escritório remoto ou companhia parceira se conecta diretamente ao quartel-general numa topologia tipo estrela.


Figura 1: Arquitetura típica de uma WAN tradicional
Voltar ao Índice de Figuras

1.2 Redes Privadas Virtuais (VPNs) 
    Diante deste impasse tecnológico e econômico, as empresas buscaram alternativas para solucionar grande parte destes problemas e descobriu-se que uma maneira de minimizar os custos seria utilizar a infraestrutura existente da Internet para trafegar dados corporativos. Desta idéia surgiu o conceito de redes privadas virtuais ou VPNs - Virtual Private Networks.
    Ao invés de depender de linhas dedicadas alugadas ou Circuitos Virtuais Permanentes (PVCs) de Frame Relay, uma VPN baseada em Internet utiliza o backbone distribuído e aberto da Internet para transmitir dados entre localidades corporativas. Esta rede opera da seguinte forma: as empresas se conectam à VPN de pontos de conexão locais - chamados de pontos de presença ou PoPs (Points-of-Presence) - pertencentes a seu provedor de acesso a Internet (ISP - Internet Service Provider); A partir daí, é o ISP quem garante que os dados são transmitidos para os destinos apropriados via Internet, ou seja, deixa-se todos os detalhes da conexão para a rede do ISP e a infraestrutura da Internet. Porém, pelo fato da Internet ser uma rede pública e aberta, faz-se necessária a inclusão de técnicas de criptografia, para que os dados corporativos (em muitos casos, sigilosos) trafegados entre os nós da VPN não sejam interceptados nem corrompidos por terceiros.   

Figura 2: Arquitetura de uma VPN

 

 

    Por esta característica, as VPNs são soluções que eliminam ou minimizam muitos dos problemas de se criar uma rede privada corporativa. Elas permitem que gerenciadores de rede conectem escritórios filiais e equipes de projetos à rede corporativa principal de forma econômica e provêem acesso remoto para os empregados ao mesmo tempo em que se reduz a necessidade de equipamento e suporte nas localidades. Além disso, VPNs não se limitam a ambientes corporativos. Como uma vantagem adicional, uma VPN pode prover conectividade com segurança para funcionários utilizando estações móveis, bastando que estes se conectem ao PoP de um ISP local.

1.3 Apresentação Voltar ao Sumário
    
Este trabalho tem como objetivo principal mostrar os conceitos técnicos do funcionamento de uma VPN. Neste primeiro tópico, foram mostradas o panorama de redes privadas corporativas e o que motivou o surgimento das VPNs, com sua breve definição.
    No próximo tópico, serão abordadas todas as informações pertinentes a tecnologia VPN: objetivos, funções e características destas redes.
    No terceiro tópico, nosso estudo será enfocado nos protocolos utilizados no tráfego de uma VPN, mostrando detalhadamente suas características.
    E, finalizando, respectivamente no quarto e no quinto tópico serão mostrados o que existe atualmente em termos de soluções utilizando a tecnologia VPN e os benefícios obtidos com a utilização desta tecnologia.

2. Tecnologia VPN Voltar ao Sumário


2.1 Fatores Principais Voltar ao Sumário
    Quando se fala em implantação de Redes Privadas Corporativas sobre o backbone Internet, dois fatores fundamentais são levados em conta: o desempenho e a segurança. A importância destes dois fatores se baseia no fato do TCP/IP e a Internet não terem sido originalmente desenvolvidos com essas duas preocupações em mente, já que o número de usuários e tipos de aplicações existentes originalmente não exigiam fortes medidas de segurança nem desempenho garantido.
    Mas se as VPNs construídas sobre Internet devem servir como confiáveis substitutas para as linhas dedicadas e outros enlaces de WAN, é preciso implementar tecnologias de segurança e desempenho para estas redes Internet.
    Assim, podemos dar uma definição mais completa do que é uma Rede Privada Virtual:

  • Virtual, pelo fato de ser uma rede dinâmica, com conexões realizadas de acordo com as necessidades da organização e também pelo fato de ser uma rede construída logicamente, não dependendo da estrutura física da rede usada (no caso, a Internet). Diferente de linhas dedicadas, uma VPN não mantém conexões permanentes entre os nós que compõem a rede corporativa. Quando uma comunicação entre dois nós se torna necessária, ela é criada; quando não é mais necessária, ela é desfeita, deixando a largura de banda e outros recursos de rede disponíveis para outros usos.
  • Privada, pela necessidade de garantir comunicações corporativas seguras, pois o protocolo IP foi inicialmente concebido como um protocolo aberto. Então, usuários e ISPs precisam tomar medidas necessárias para proteger a integridade dos dados transitando tanto dentro da corporação quanto pela rede pública.
  • Rede, porque utilizando a infraestrutura da Internet (uma GAN de fato) não há outras soluções que estejam à altura do potencial de uma VPN em prover cobertura global e a habilidade de criar extranets, de forma viável e econômica.

    A seguir, serão analisados os principais fatores na criação de uma VPN: os fatores de desempenho: compatibilidade, disponibilidade e interoperabilidade; e o fator segurança.

2.2 Compatibilidade Voltar ao Sumário
    Para que as VPNs possam usar o backbone Internet, é vital que elas sejam compatíveis com o Protocolo Internet (IP, na camada 3 do modelo de referência ISO-OSI), utilizando endereços IP oficiais. Entretanto, como grande parte das empresas utiliza redes privadas com endereços IP não-oficiais (ou "privados") ou que nem mesmo usam o IP, poucas destas redes podem ser aproveitadas com a Internet.
    Muitas organizações preferem utilizar endereços IP "privados" para poderem criar subredes, pois obter uma grande faixa de endereços IP oficiais para facilitar o endereçamento de subredes é uma tarefa inviável. O uso de subredes simplifica a administração de endereços e o gerenciamento de roteadores e switchs, porém desperdiça endereços oficiais.
    Esta prática é tão comum que uma convenção foi proposta para sancionar certos endereços para uso privado: a RFC 1597 - "Alocação de Endereços para Redes Privadas". Esta convenção especifica três grupos de endereços a serem utilizados de acordo com as necessidades de cada corporação. Estes grupos de endereços IP são bloqueados por roteadores na Internet para evitar ambiguidade de endereço entre várias redes privadas. Se houver ambiguidade, isto é, se dois nós possuírem o mesmo endereço (um oficial e outro não-oficial), sérios problemas podem ocorrer para ambas as partes.
    Para tornar estas redes privadas compatíveis com a Internet, existem três opções:

  • Converter em endereços de Internet;
  • Instalar gateways IP especiais;
  • Empregar técnicas de tunelamento.

2.2.1 Endereços de Internet Voltar ao Sumário
    Endereços de Internet são endereços IP oficiais administrados e fornecidos pela InterNIC, orgão que controla sua utilização. Este controle permite que não haja conflito de endereços na Internet, mas se uma organização quiser escolher uma série de endereços a seu critério para uso privado em sua rede corporativa, eles funcionarão perfeitamente desde que sejam totalmente isolados da Internet para evitar ambiguidade. Portanto, este tipo de utilização privada de endereços não funcionará com VPNs baseadas em Internet.
    A opção de converter os endereços privados em endereços autênticos é viável para corporações que possuem redes privadas IP e eventualmente pode ser apropriada nos casos de redes que não trabalham com o IP. O que é necessário em ambos os casos é a compatibilidade interna de roteadores e switches.
    Porém, nem sempre é necessário converter toda uma rede corporativa em endereços oficiais para se fazer uso de VPNs. Uma opção mais econômica é converter somente os servidores e clientes da rede privada destinados para a VPN. Nesta configuração, todos os servidores VPN ganham um endereço de Internet permanente enquanto que os clientes podem temporariamente utilizar endereços oficiais de um conjunto disponível.
    Durante uma sessão VPN, um endereço de Internet é "emprestado" a um cliente da rede privada para que ele possa utilizar a sessão. Este "empréstimo" é garantido pelo DHCP (Dynamic Host Configuration Protocol) e/ou NAT (Network Address Translation), que permitem que clientes normalmente identificados por endereços privados ganhem temporariamente um endereço oficial. Ao final da Sessão VPN, o endereço de Internet é desassociado do cliente e retornado para o conjunto do DHCP ou NAT para uso de outros usuários.

2.2.2 Gateways IP Voltar ao Sumário
    Gateways IP são elementos de rede que operam traduzindo de um protocolo qualquer para IP e vice-versa. Normalmente, um gateway atende clientes de um determinado servidor e este último possui um sistema operacional de rede que utiliza um protocolo "nativo" (tal qual uma língua nativa). O papel do gateway é converter o tráfego do protocolo nativo para o IP e vice-versa, servindo de "intérprete" entre os clientes que só "entendem" IP e o servidor que opera em seu protocolo nativo.
    Gateways IP utilizados para acesso a Internet podem ser usados sem nenhumas modificações para VPNs baseadas em Internet. A aplicação do gateway pode ser rodada no próprio servidor que utiliza um sistema operacional de rede com um protocolo nativo ou em um servidor separado, possivelmente um dispositivo dedicado com um sistema operacional diferente.

2.2.3 Tunelamento Voltar ao Sumário
    Tunelamento é, em geral, a melhor opção para tornar redes privadas compatíveis com a Internet. Protocolos de Tunelamento e técnicas de encapsulamento vêm sendo usadas há anos para integrar diferentes tipos de protocolos em um mesmo backbone e ultimamente, estas tecnologias vêm sendo otimizadas para uso em VPNs.
    A técnica de tunelamento funciona da seguinte forma: numa conexão entre dois nós, o nó de origem encapsula os pacotes de outros protocolos em pacotes IP para transmissão via Internet; O processo de encapsulamento consiste em adicionar um cabeçalho IP padrão e o pacote original ser tratado como área de dados; Na recepção, o nó de destino desencapsula o pacote original do pacote IP recebido (remove o cabeçalho IP). Este mesmo encapsulamento provê proteção contra usuários não-autorizados, usando técnicas de criptografia.
    A figura a seguir traduz o funcionamento desta técnica. Imagine que clientes de uma rede privada num escritório filial desejam acessar informações em um servidor na rede interna de sua matriz no exterior e toda a corporação (matriz e suas filiais) emprega túneis de VPN em suas comunicações. Os clientes fazem a requisição a um agente local através de um PoP de um servidor compatível com VPN. Este servidor de origem cria o cabeçalho de túnel especificando os endereços de Internet dos servidores de origem e destino como endereços de origem e destino do cabeçalho. Ao chegar ao servidor de destino (o PoP da Intranet da matriz), este desencapsula a mensagem original retirando o cabeçalho de túnel e a entrega para o servidor da Intranet.


Figura 3: Esquema de um túnel VPN
Voltar ao Índice de Figuras

    Os túneis podem ser estáticos ou dinâmicos. Túneis estáticos, que permanecem ativos por longos períodos de tempo, são mais apropriados para VPNs Site-para-Site (ou LAN-para-LAN) enquanto que túneis dinâmicos, ativos apenas quando o trafégo é necessário, são mais seguros para VPNs Cliente-para-LAN.
    Em VPNs LAN-para-LAN, um gateway de segurança (no PoP) em cada extremidade atua como interface entre o túnel e a LAN. Apesar disso, os clientes em cada LAN privada podem utilizar o túnel transparentemente para comunicarem entre si.
    Em VPNs Cliente-para-LAN, usuários móveis se conectam com LANs corporativas através de túneis dinâmicos criados a partir de sua estação móvel. Estes túneis só são possíveis através de softwares especiais no computador do usuário móvel, projetados para garantir a proteção dos dados da LAN corporativa.
    Quanto a abertura da sessão de túnel, existem duas classificações: tunelamento voluntário e tunelamento compulsório. No tunelamento voluntário, é o usuário quem solicita a configuração e criação do túnel. Neste caso, o próprio usuário atua como extremidade do túnel. Já no tunelamento compulsório, quem cria o túnel é um servidor de acesso remoto, localizado entre o usuário e o servidor de destino e que age como extremidade do túnel. O termo compulsório vem do fato do cliente ser compelido a utilizar um túnel criado pelo servidor.
    Para a utilização de túneis, diversos protocolos foram desenvolvidos. Estes protocolos de tunelamento serão vistos com detalhes mais a frente.

2.3 Segurança Voltar ao Sumário
    Segurança é em geral a primeira preocupação de uma empresa interessada em utilizar VPNs baseadas em Internet. Acostumadas com a privacidade garantida pelas redes corporativas, muitas empresas podem considerar a Internet muito "pública" para a criação de uma rede privada. Mas tomando as devidas precauções, a Internet pública pode ser tornada tão privada quanto a rede pública de telefonia comutada.
    A maior preocupação é de que as informações privadas (confidenciais) poderiam ser acessadas (interceptadas) enquanto em trânsito ou diretamente de servidores ou nós da rede. Devido a essa possibilidade, inúmeras medidas robustas de segurança estão agora disponíveis para manter os dados transmitidos estritamente confidenciais assim como evitar que usuários não autorizados consigam acessar os recursos internos das redes privadas.
    Numa VPN, existem três objetivos quanto à segurança:

  • Prover segurança adequada: um mínimo sistema de segurança deve validar usuários através de senhas para proteger os recursos acessíveis da VPN contra acesso não autorizado. Além disso, com a implementação de criptografia protege-se os dados em trânsito. Outros níveis de segurança podem ser disponíveis e quanto mais níveis houver, mais segura a VPN se tornará;
  • Prover fácil administração: todas as provisões de segurança escolhidas devem ser fáceis de serem inicialmente implementadas e de serem mantidas ao longo do tempo. As funções administrativas do sistema de segurança precisam também ser protegidas contra adulteração por parte de usuários.
  • Ser transparente aos usuários: até mesmo usuários legítimos podem tentar burlar métodos de segurança por serem difíceis de usar, portanto o sistema de segurança deve dispor de uma interface amigável com o usuário de forma a tornar a conexão com a VPN tão fácil quanto se conectar a uma LAN.

2.4 Disponibilidade Voltar ao Sumário
    A disponibilidade é um fator que abrange o tempo de funcionamento da rede e sua fluidez (throughput), e redes privadas asseguram determinados níveis de serviço quanto a esses dois parâmetros. Diferente das redes privadas, a Internet não possui tal garantia de serviços nos dias de hoje, mas depende dos parâmetros de disponibilidade da mesma forma que redes privadas.
    Evidentemente, a Internet existe em uma escala muito maior e sua expansão ocorre de forma desenfreada e descontrolada sem o benefício de uma organização supervisionando seu crescimento, mas por outro lado, a Internet possui redundância e elasticidade muito mais robustas do que uma típica rede privada. Esta robustez permite evitar catástrofes em larga escala, deixando os problemas de serviço isolados em suas localidades de origem. Portanto, é razoável dizer que a Internet oferece confiabilidade suficiente para a grande maioria de aplicações de negócios, em termos de tempo de funcionamento.
    Mas em uma VPN Internet, os negócios compartilham a mesma capacidade da Internet comum, isto é, possuem o mesmo throughput. E numa rede privada, o throughput é excedido na maioria das vezes.
    A curto prazo, as corporações podem maximizar o throughput de VPN selecionando serviços de WAN apropriados e utilizando técnicas de compactação de dados. Por exemplo, uma linha ISDN banda larga até o PoP local utilizando compressão de 4:1 ofereceria um throughput de até 512kbps. Além disso, a tecnologia de modems digitais na maioria dos PoPs combinado com a superior qualidade das chamadas locais (em comparação com as de longas distâncias) permite que os modems analógicos domésticos operem em taxas de transmissão mais altas, proporcionando um melhor serviço de VPN para os usuários.
    A longo prazo, o avanço tecnológico permitirá garantia de níveis de serviço na própria infraestrutura de Internet. Diversos padrões emergentes, como o RSVP (Resource Reservation Protocol), adicionarão suporte a qualidade de serviço (QoS). Esta qualidade de serviço tem por fim prover uma quantidade garantida de largura de banda, uma latência mínima (nunca excedida) ou uma combinação de ambas. Outros avanços, como o RTP (Real Time Protocol), expandirão as capacidades das VPNs. Embora ainda não vigentes, estes futuros avanços dão conforto para as corporações que consideram a utilização de VPNs em sua estratégia.

2.5 Interoperabilidade Voltar ao Sumário
    A interoperabilidade surge como um resultado dos três fatores anteriores essenciais a uma VPN. Embora existam padrões para prover compatibilidade, segurança e disponibilidade, alguns outros detalhes não levados em conta impossibilitam uma interoperabilidade entre diversos fabricantes. Pelo fato de técnicas de tunelamento, autenticação, criptografia e outros padrões serem relativamente novos e emergentes, muitos ainda não são totalmente robustos, o que propicia os fabricantes a adicionarem recursos desejáveis por conta própria.
    Uma forma de assegurar interoperabilidade é selecionar soluções e produtos de um único fabricante. Se ainda assim, um único fabricante não atende todas as exigências, o melhor é limitar ainda mais os aspectos de interoperabilidade, enfocando apenas os essenciais, e utilizar os equipamentos que estejam em conformidade com as normas vigentes. Em ambos os casos, o importante é selecionar um fabricante ou um pequeno grupo de fabricantes comprometidos com os padrões de VPN. Além disso, é vital adquirir equipamentos que permitam maior adaptabilidade (upgrade) com o menor custo possível, para acompanhar os avanços tecnológicos.

3. Protocolos Utilizados Voltar ao Sumário


3.1 Protocolos de Tunelamento Voltar ao Sumário
    Os Protocolos de Tunelamento são os protocolos responsáveis pela abertura e gerenciamento de sessões de túneis em VPNs. Estes protocolos podem ser divididos em dois grupos:

  • Protocolos de camada 2 (PPP sobre IP): transportam protocolos de camada 3, utilizando quadros como unidade de troca. Os pacotes são encapsulados em quadros PPP;
  • Protocolos de camada 3 (IP sobre IP): encapsulam pacotes IP com cabeçalhos deste mesmo protocolo antes de enviá-los .

    Nos túneis orientados à camada 2 (enlace), um túnel é similar a uma sessão, onde as duas extremidades do túnel negociam a configuração dos parâmetros para estabelecimento do túnel (endereçamento, criptografia, parâmetros de compressão, etc.). A gerência do túnel é realizada através de protocolos de manutenção. Nestes casos, é necessário que o túnel seja criado, mantido e encerrado. Nas tecnologias de camada 3 (rede), não existe a fase de manutenção do túnel.
    Para técnicas de tunelamento VPN Internet, quatro protocolos se destacaram, em ordem de surgimento:

  • PPTP - Point to Point Tunneling Protocol;
  • L2F - Layer Two Forwading;
  • L2TP - Layer Two Tunneling Protocol;
  • IPsec - IP Security Protocol.

    O PPTP, o L2F e o L2TP são protocolos de camada 2 e têm sido utilizados para soluções Client-to-Lan; O IPsec é um protocolo de camada 3 mais enfocado em soluções LAN-to-LAN.

3.2 Point-to-Point Tunneling Protocol (PPTP) Voltar ao Sumário
    O Protocolo de Tunelamento Ponto-a-Ponto (PPTP), desenvolvido por um forum de empresas (Microsoft, Ascend Communications, 3Com, ECI Telematics e US Robotics), foi um dos primeiros protocolos de VPN a surgirem. Ele tem sido uma solução muito utilizada em VPNs discadas desde que a Microsoft incluiu suporte para Servidores Windows NT 4.0 e ofereceu um cliente PPTP num service pack para Windows 95, o que praticamente assegura seu uso continuado nos próximos anos.
    O protocolo mais difundido para acesso remoto na Internet é o PPP (Point-to-Point Protocol), o qual originou o PPTP. O PPTP agrega a funcionalidade do PPP para que o acesso remoto seja tunelado através da Internet para um site de destino. O PPTP encapsula pacotes PPP usando uma versão modificada do protocolo de encapsulamento genérico de roteamento (GRE), que dá ao PPTP a flexibilidade de lidar com outros tipos de protocolos diferentes do IP, como o IPX e o NetBEUI.
    Devido a sua dependência do PPP, o PPTP se baseia nos mecanismos de autenticação do PPP, os protocolos PAP e CHAP.
    Entretanto, este protocolo apresenta algumas limitações, tais como não prover uma forte criptografia para proteção de dados e não suportar qualquer método de autenticação de usuário através de token.

3.2.1 Conexão Voltar ao Sumário
    Numa conexão PPTP, existem três elementos envolvidos: o Cliente PPTP, o Servidor de Acesso a Rede (NAS - Network Acess Server) e o Servidor PPTP.
    O cliente se conecta a um NAS, através de um PoP em um ISP local. Uma vez conectado, o cliente pode enviar e receber pacotes via Internet. O NAS utiliza TCP/IP para todo o tráfego de Internet.
    Depois do cliente ter feito a conexão PPP inicial com o ISP, uma segunda chamada dial-up é realizada sobre a conexão PPP existente. Os dados desta segunda conexão são enviados na forma de datagramas IP que contém pacotes PPP encapsulados. É esta segunda conexão que cria o túnel com o servidor PPTP nas imediações da LAN corporativa privada. O esquema desta conexão pode ser visualizado a seguir.


Figura 4: Esquema de um Túnel PPTP
Voltar ao Índice de Figuras

3.2.2 Arquitetura PPTP Voltar ao Sumário
    A comunicação segura criada pelo PPTP tipicamente envolve três processos, cada um deles exigindo que os anteriores sejam satisfeitos. Esses três processos são:

  • Conexão e Comunicação PPP: o cliente PPTP usa o PPP para se conectar ao ISP utilizando uma linha telefônica ou ISDN padrão. O PPP é utilizado aqui para estabelecer a conexão e criptografar os dados;
  • Conexão de Controle PPTP: Utilizando a conexão estabelecida pelo PPP, o PPTP cria um controle de conexão desde o cliente até o servidor PPTP na Internet. Esta conexão utiliza o TCP e é chamada de túnel PPTP;
  • Tunelamento de Dados PPTP: O PPTP cria os datagramas IP contendo os pacotes PPP criptografados e os envia através do túnel até o servidor PPTP. Neste servidor, os datagramas são então desmontados e os pacotes PPP descriptografados para que finalmente sejam enviados até a rede privada corporativa.

    No primeiro processo, o PPP, protocolo que permite enviar dados multi-protocolares encapsulados através de redes TCP/IP, é utilizado para desempenhar três funções: iniciar e terminar conexões físicas, autenticar usuários e criar datagramas PPP contendo pacotes criptografados.


Figura 5: Conexão PPP
Voltar ao Índice de Figuras

    No segundo processo, o PPTP especifica uma série de mensagens de controle a serem trocadas entre o cliente PPTP e o servidor PPTP. Estas mensagens estabelecem, mantêm e terminam os túneis PPTP. Elas são enviadas em pacotes de controle dentro de um datagrama TCP através de uma conexão TCP especialmente criada para trocar mensagens de controle.
    Após o túnel PPTP ter sido estabelecido, os dados do usuário são finalmente transmitidos entre o cliente PPTP e o servidor PPTP. É importante frisar que o cliente PPTP não necessariamente identifica o usuário numa extremidade da comunicação. Podem haver usuários utilizando máquinas sem suporte ao PPTP e nestes casos, a comunicação PPTP começa a partir do NAS.

3.2.3 Mecanismos de Segurança do PPTP Voltar ao Sumário
    Para garantir a segurança na transmissão, o PPTP faz uso dos seguintes mecanismos:

  • Controle de acesso e autenticação: a autenticação de usuários remotos é feita utilizando os mesmos métodos do PPP - através dos protocolos PAP, CHAP ou de uma versão da Microsoft, o MS-CHAP;
  • Criptografia de dados: o PPTP utiliza os métodos de criptografia e compressão do PPP;
  • Filtragem de pacotes PPTP: este recurso do PPTP permite que apenas os pacotes PPTP dos usuários autenticados entrem no servidor PPTP da rede privada;
  • Utilização de firewalls: o PPTP também oferece recursos para trabalhar com firewalls, através do servidor PPTP.

3.2.4 Formato dos Datagramas Voltar ao Sumário
    Existem dois tipos básicos de datagramas PPTP: os datagramas de mensagens de controle e os datagramas de mensagens de dados. As mensagens de controle são enviadas em datagramas TCP e as mensagens de dados em datagramas IP. Os formatos são mostrados abaixo.


Figura 6: Datagramas PPTP
Voltar ao Índice de Figuras

3.3 Layer Two Forwading (L2F) Voltar ao Sumário
    O Protocolo de Encaminhamento de Camada 2 (L2F), desenvolvido pela Cisco Systems, surgiu nos primeiros estágios da criação da tecnologia VPN. Assim como o PPTP, o L2F foi desenvolvido para criação de túneis em tráfegos de usuários para suas redes corporativas.
    Uma grande diferença entre o PPTP e o L2F é a de que este último não possui tunelamento dependente do IP, sendo capaz de trabalhar diretamente com outros meios, como Frame Relay e ATM. Tal qual o PPTP, o L2F usa o PPP (Point-to-Point Protocol) para autenticação de usuários remotos, mas pode incluir também suporte para autenticação via TACACS e RADIUS. Outra grande diferença com o PPTP é a de que o L2F permite que os túneis possam dar conta de mais de uma conexão.
    Há também dois níveis de autenticação do usuário, uma pelo ISP antes do estabelecimento do túnel e outra quando a conexão é efetuada no gateway da corporação. Pelo fato de ser um protocolo de camada 2, o L2F oferece aos usuários a mesma flexibilidade que o PPTP em lidar com outros protocolos diferentes do IP, tais como IPX e NetBEUI.

3.3.1 Negociação do Protocolo Voltar ao Sumário
    Quando um usuário deseja se conectar ao gateway da intranet corporativa, ele primeiro estabelece uma conexão PPP com o NAS do ISP. A partir daí, o NAS estabelece um túnel L2F com o gateway. Finalmente, o gateway autentica o nome de usuário e senha do cliente, e estabelece a conexão PPP com o cliente.
    A figura a seguir mostra como funciona o tunelamento com L2F. O NAS (Servidor de Acesso a Rede) do ISP local e o gateway da Intranet estabelecem um túnel L2F que o NAS utiliza para encaminhar os pacotes PPP até o gateway. A VPN de acesso se estende desde o cliente até o gateway.


Figura 7: Sessão VPN utilizando L2F, PPP e IP
Voltar ao Índice de Figuras

3.3.2 Autenticação Voltar ao Sumário
    Quando uma sessão VPN - L2F é estabelecida, o cliente, o NAS e o gateway da intranet usam um sistema triplo de autenticação via CHAP (Challenge Handshake Authentication Protocol). O CHAP é um protocolo de autenticação por contestação/resposta na qual a senha é enviada como uma assinatura de 64 bits ao invés de texto simples. Isto possibilita a transmissão segura da senha do usuário entre a estação do cliente e o gateway de destino.
    Primeiro, o NAS contesta o cliente e o cliente responde. Em seguida, o NAS encaminha esta informação de CHAP para o gateway, que verifica a resposta do cliente e devolve uma terceira mensagem de CHAP (sucesso ou fracasso na autorização) para o cliente. A figura a seguir ilustra este processo.


Figura 8: Sistema Triplo de Autenticação CHAP

 

3.3.3 Formato do Datagrama Voltar ao Sumário
    O cabeçalho possui os seguintes campos:

  • Ver: versão do L2F;
  • Protocol: protocolo carregado dentro do pacote L2F;
  • Sequence Number: quando o bit "S" (bit 3) for igual a 1, este campo identifica o número do pacote numa seqüência;
  • Multiplex ID: identifica uma conexão dentro de um túnel;
  • Client ID: campo utilizado para auxiliar a demultiplexação em túneis;
  • Length: indica o tamanho do pacote em octetos, sem levar em conta o campo de checksum;
  • Offset: quando o bit "F" (bit 0) for igual a 1, este campo identifica aonde começa a área de dados do pacote indicando o número de bytes após o cabeçalho.
  • Key: o campo de chave está presente se o bit "K" (bit 1) for igual a 1. Serve como chave durante toda a sessão para resistir a ataques de "spoofing".
  • Checksum: o campo de checksum está presente se o bit "C" (bit 12) for igual a 1.

Figura 9: Pacote L2F
Voltar ao Índice de Figuras

3.4 Layer Two Tunneling Protocol (L2TP) Voltar ao Sumário
    O Protocolo de Tunelamento de Camada 2 (L2TP) vem sendo desenvolvido pela IETF como um substituto aparente para o PPTP e o L2F, corrigindo as deficiências destes antigos protocolos para se tornar um padrão oficial internet. Ele utiliza o PPP para prover acesso dial-up que pode ser tunelado através da Internet até um Site. Porém, o L2TP define seu próprio protocolo de tunelamento, baseado no que foi feito com o L2F. Seu transporte vem sendo definido para uma variedade de pacotes, incluindo X.25, Frame Relay e ATM. Para fortalecer a criptografia dos dados, são utilizados os métodos de criptografia do IPsec.

3.4.1 Operação Voltar ao Sumário
    O L2TP opera de forma similar ao L2F. Um Concentrador de Acesso L2TP (LAC) localizado no PoP do ISP troca mensagens PPP com usuários remotos e se comunica por meio de requisições e respostas L2TP com o Servidor de Rede L2TP (LNS) para criação de túneis. O L2TP passa os pacotes através do túnel virtual entre as extremidades da conexão ponto-a-ponto. Os quadros enviados pelo usuário são aceitos pelo PoP do ISP, encapsulados em pacotes L2TP e encaminhados pelo túnel. No gateway de destino, os quadros L2TP são desencapsulados e os pacotes originais são processados para a interface apropriada.
    O L2TP utiliza dois tipos de mensagem: mensagens de controle e mensagens de dados. As mensagens de controle são usadas para gerenciar, manter e excluir túneis e chamadas. As mensagens de dados são usadas para encapsular os pacotes PPP a serem transmitidos dentro do túnel. As mensagens de controle utilizam um confiável canal de controle para garantir entrega das mensagens.

3.4.2 Autenticação Voltar ao Sumário
    Devido ao uso do PPP para links dial-up, o L2TP inclui mecanismos de autenticação dentro do PPP, os protocolos PAP e CHAP. Outros sistemas de autenticação também podem ser usados, como o RADIUS e o TACACS. Porém, O L2TP não inclui processos para gerenciamento de chaves criptográficas exigidas para a criptografia em suas especificações de protocolo. Para dar conta disso, O L2TP faz uso do IPsec para criptografia e gerenciamento de chaves em ambiente IP.


Figura 10: Arquitetura L2TP
Voltar ao Índice de Figuras

3.4.3 Formato do Datagrama Voltar ao Sumário
Os pacotes L2TP para canal de controle e canal de dados utilizam o mesmo formato de cabeçalho. O formato do cabeçalho é mostrado a seguir:


Figura 11: Formato do cabeçalho L2TP
Voltar ao Índice de Figuras

O cabeçalho possui os seguintes campos:

  • Type (bit 0): identifica o tipo de mensagem. Se o bit for igual a 1 é uma mensagem de controle, se for igual a 0 é uma mensagem de dados;
  • Ver: identifica o número da versão do protocolo;
  • Length: identifica o tamanho do pacote em octetos se o bit "L" (bit 1) for igual a 1;
  • Tunnel ID: indica o identificador do Túnel para controle de conexão;
  • Session ID: indica o identificador de uma sessão dentro de um túnel;
  • Ns: indica o número de seqüência para o atual pacote (mensagem ou controle). Sua presença é definida pelo bit "S" (bit 4);
  • Nr: indica o número de seqüência esperado para o próximo pacote de mensagem de controle. Sua presença também é definida pelo bit "S";
  • Offset Size: especifica o tamanho do offset (espaço entre o cabeçalho e a área de dados). Sua presença é definida pelo bit "O" (bit 6);
  • Priority (bit 7): se for igual a 1, o pacote deve receber tratamento preferencial com relação aos outros;
  • Bits X: reservados para extensões futuras.

3.5 IP Security Protocol (IPsec) Voltar ao Sumário
    O Protocolo de Segurança IP (IPsec) é atualmente um dos protocolo mais importante para VPNs. O IPsec vem sendo desenvolvido há anos pelo IETF como um forte recurso do IPv6, porém, muitas de suas características estão sendo aproveitadas ainda no IPv4.
    O IPSec é um protocolo de camada 3 projetado essencialmente para oferecer transferência segura de informações pela Internet Pública. Realizando funções de segurança de dados como criptografia, autenticação e integridade, O IPsec protege os pacotes IP de dados privados e os encapsula em outros pacotes IP para serem transmitidos. Além disso, o IPsec também realiza a função de gerenciamento de chaves.
    O IPsec pode operar de duas formas: no modo de transporte e no modo de túnel. No modo de transporte, que é o seu modo "nativo", o IPsec transmite diretamente os dados protegidos de host para host. Este modo é utilizado em dispositivos que já incorporam o IPsec em sua pilha TCP/IP.
    No modo túnel, o tráfego IP gerado pelos hosts, estes sem suporte ao IPsec, são capturados por um dispositivo de segurança ou um gateway que encapsulam os pacotes IP com encriptação IPsec. Estes pacotes encriptados são encapsulados novamente em pacotes IP e finalmente enviados pela rede pública até o outro gateway, que se encarregará de desencapsular e desencriptar a informação para que ela possa ser recebida no host de destino.


a) IPsec modo transporte

b) IPsec modo túnel
Figura 12: Modos de Operação do IPsec
Voltar ao Índice de Figuras

    Os requisitos de segurança necessários em relação aos usuários que acessam sua rede e aos dados que trafegam entre os diversos nós são:

  • Autenticação;
  • Controle de Acesso;
  • Confidencialidade;
  • Integridade de Dados.

    A autenticação dos usuários permite ao sistema enxergar se a origem dos dados faz parte da comunidade que pode exercer acesso a rede.
    O controle de acesso visa negar acesso a um usuário que não esta autorizado a acessar a rede como um todo, ou simplesmente restringir o acesso de usuários. Por exemplo, se uma empresa possui áreas como administrativa-financeira e desenvolvimento de produtos, é correto imaginar que um funcionário de uma divisão não deva acessar e possivelmente obter dados da rede da outra divisão.
    A confidencialidade visa previnir que os dados sejam lidos e/ou copiados durante a travessia pela rede pública. Desta forma, pode-se garantir uma maior privacidade das comunicações dentro da rede virtual.
    A Integridade de dados garante que os dados não serão adulterados durante a travessia pela rede pública. Os dados podem ser corrompidos ou virús podem ser implantados com o fim de dificultar a comunicação.
    Os habilitadores das tecnologias de segurança são de conhecimento comum e são apresentados abaixo.

  • CHAP - Challenge Handshake Authentication Protocol;
  • RADIUS - Remote Authentication Dial-in User Service;
  • Certificados digitais;
  • Encriptação de Dados.

    Os três primeiros visam autenticar usuários e controlar o acesso a rede. O último visa prover confidencialidade e integridade aos dados transmitidos. Para prover estas características, o IPSec faz uso de 3 mecanismos adicionais:

  • AH - Authentication Header;
  • ESP - Encapsulation Security Payload;
  • ISAKMP - Internet Security Association and Key Management Protocol.

3.5.1 Autenticação e Integridade Voltar ao Sumário
    Entende-se por autenticação como a garantia de legitimidade do usuário que utiliza a conexão. Já a integridade caracteriza a garantia de que os dados transmitidos cheguem íntegros no receptor, sem a possibilidade de terem sido modificados no meio do caminho.
    Para prover estes dois requisitos nos datagramas IP, é utilizado o AH (Authentication Header ou Cabeçalho de Autenticação). Neste mecanismo, a segurança é garantida com a inclusão de informações de autenticação, construídas através de um algoritmo que utiliza o conteúdo dos campos do datagrama IP. Para a construção destas informações, todos os campos do datagrama IP são utilizados, com exceção daqueles que não sofrem alterações durante o transporte. Por exemplo, no IPv6, o campo time-to-live (TTL) do IPv4 não é utilizado, pois é modificado ao longo da transferência.
    Dependendo do usuário, o uso da autenticação pode ser suficiente não sendo necessária a confidencialidade.

3.5.2 Negociação dos Níveis de Segurança Voltar ao Sumário
    O ISAKMP é um protocolo que combina autenticação, gerenciamento de chaves e outros requisitos de segurança necessários às comunicações privadas numa VPN Internet. Neste mecanismo, duas máquinas em uma conexão negociam os métodos de autenticação e segurança dos dados, executam a autenticação mútua e geram a chave para criptografia dos dados. Além disso, este protocolo também gerencia a troca de chaves criptografadas utilizadas para decifrar os dados e define procedimentos e formatos de pacotes para estabelecer, negociar, modificar e excluir as SAs (Security Associations).
    Essas Associações de Segurança contêm todas as informações necessárias para execução de serviços variados de segurança na rede, tais como serviços da camada IP (autenticação de cabeçalho e encapsulamento), serviços das camadas de transporte, ou serviço de auto-proteção durante a negociação do tráfego. Elas Também definem pacotes para geração de chaves e autenticação de dados. Esses formatos provêm consistência para a transferência de chaves e autenticação de dados que independem da técnica usada na geração da chave, do algoritmo de criptografia e do mecanismo de autenticação.
    O ISAKMP oferece suporte para protocolos de segurança em todas as camadas da pilha da rede. Com a centralização do gerenciamento dos SAs, o ISAKMP minimiza as redundâncias funcionais dentro de cada protocolo de segurança e também pode reduzir o tempo gasto durante as conexões através da negociação da pilha completa de serviços de uma só vez.

3.5.3 Confidencialidade Voltar ao Sumário
    A confidencialidade permite que somente os usuários autorizados possam ter acesso às informações dos pacotes trafegados, não possibilitando que usuários interceptadores consigam acessar as informações destes pacotes, mesmo que consigam capturá-los.
    No IPsec, o serviço que garante esta proteção é o ESP (Encapsulating Security Payload). O ESP também provê a autenticação da origem dos dados, integridade da conexão e serviço anti-reply. A confidencialidade independe dos demais serviços e pode ser implementada de 2 modos: transporte e túnel. No modo de transporte, o pacote da camada de transporte é encapsulado dentro do ESP, e, no modo túnel, todo o datagrama IP é encapsulado dentro da cabeçalho do ESP.

3.5.4 Vantagens para as VPNs Voltar ao Sumário
    Uma das razões da forte emergência do IPSec como um padrão é que este virtualmente gerencia a segurança da VPN por si próprio. Com o IPSec, não há a necessidade de mais gerência a ser realizada pelo administrador. O roteador realiza a criptografia, e esta é transparente.
    Além disso, o IPSec possui padrão aberto, sendo muito importante sua larga proliferação em VPNs. O IPSec cria o meio VPN onde seus usuários não precisam se preocupar com o tipo de equipamento que eles utilizam, porque a linha de interoperabilidade é inerente aos produtos. Conforme a rede vá se difundindo, a compatibilidade entre os múltiplos vendedores, fornecedores de VPN, se tornará uma grande vantagem.

3.5.5 O Futuro da Segurança Voltar ao Sumário
    Os grupos de pesquisa do IETF representam o futuro da segurança na rede. Não é bom o suficiente a utilização do IPSec sozinho, mesmo o quão refinada seja a sua especificação. Há um consenso com relação à vários aspectos da política de rede, a interoperabilidade entre diferentes vendedores de implementações IPSec, e o suporte a autenticações padrões adicionais que ainda são críticas.
    Os usuários ainda precisarão dos meios para efetivamente gerenciar suas VPNs. Estes benefícios, em forma de ferramentas de gerenciamento VPN e padrões, ainda estão emergindo como extensões do protocolo IPSec.

4. Soluções VPN Voltar ao Sumário


    Há quatro componentes principais quanto a segurança de uma VPN baseada na Internet: a Internet, os Gateways de segurança, os servidores da política de segurança e as autoridades de certificação.
    A Internet provê as ferramentas básicas para uma VPN. Os Gateways de segurança se situam entre a rede pública e a rede privada, prevenindo intrusões não-autorizadas. Estes podem ainda prover facilidades de tunelamento e criptografar dados privados antes que os mesmos sejam transmitidos na rede pública. Em geral, um gateway de segurança para uma VPN se encaixa nas seguintes categorias: roteadores, firewalls, hardware de VPN integrado, e software VPN.
    Devido aos roteadores terem que examinar e processar cada pacote que deixa a LAN, o ideal é incluir o pacote de criptografia nos roteadores. Geralmente, os vendedores de serviços baseados em VPN oferecem 2 tipos de produtos: software agregado ou placa de circuito adicional com co-processador baseado num mecanismo de criptografia. O último é melhor para situações que necessitem de um throughput maior.
    Se dentro da empresa, há a utilização de um produto de somente um fornecedor, a adição de suporte de criptografia a estes roteadores reduz os custos do upgrade da VPN. Por outro lado, acrescentar tarefas de criptografia a um equipamento que já funciona como roteador, aumenta os riscos, pois perde-se a confiabilidade, ou seja, numa falha do roteador, falha também a VPN.
    A utilização de firewalls para criar VPNs é uma solução funcional, para algumas redes. VPNs baseadas em firewalls possuem melhor performance em redes pequenas que possuem pequenos volumes de tráfego (na ordem de 1 a 2 Mbps num link WAN) e que possua uma certa estaticidade, não necessitando de frequentes reconfigurações.
    Muitos vendedores de firewalls incluem a facilidade de tunelamento em seus produtos. Os firewalls devem processar todo o tráfego IP baseados nas definições de seus próprios filtros. Devido ao alto processamento desenvolvido pelos firewalls, eles são alocados para funções de tunelamento em grandes redes. A combinação de tunelamento e criptografia com firewalls é provavelmente a melhor opção somente em redes com baixo volume de tráfego. Porém, como os roteadores, eles também podem ser um único ponto de falhas.
    Outra solução VPN é a utilização de um hardware específico para funções de tunelamento, criptografia, e autenticação de usuário. Estes equipamentos operam geralmente como pontes de criptografia, situadas entre a rede dos roteadores e os links WAN. Apesar da maioria destes equipamentos de tunelamento serem projetados para configurações de LAN-para-LAN, alguns produtos ainda suportam tunelamento de cliente-para-LAN.
    A integração de várias funções num único produto pode ser particularmente atrativa para negócios que não possuam ferramentas para instalar e administrar um número de equipamentos de redes diferentes. Uma pronta instalação pode certamente tornar mais fácil o "setup" de uma VPN do que a instalação do software no firewall e a reconfiguração do roteador, bem como a instalação de um servidor RADIUS, por exemplo.
    Dentre as diversas possibilidades e facilidades da VPN, o administrador de rede deve decidir quais funcionalidades deseja implementar num único equipamento, de acordo com o cenário vigente. Pequenos negócios sem uma ampla equipe de suporte (principalmente no que tange à segurança) serão beneficiados com produtos que integrem todas as funcionalidades de uma VPN, assim como de outros serviços de rede. Alguns produtos, especialmente os mais caros, incluem duplas fontes de alimentação, para garantir confiabilidade.
    Deve ainda se considerar a integração do controle de outras funções relativas à rede, como reserva de recursos e controle de banda. Algumas empresas incluem tais benefícios em seus produtos, e isto é uma tendência muito forte em um futuro bem próximo. A integração do controle de tráfego com autenticação e controle de acesso também fazem sentido ao longo do tempo, conforme a política de gerenciamento de rede for se tornando mais predominante.
    Os softwares de VPN também disponibilizam a criação e administração de túneis, tanto entre um par de gateways de segurança quanto entre um cliente remoto e um gateway de segurança. Estes softwares de sistema VPN são em geral, uma boa escolha de baixo custo para sistemas que sejam relativamente pequenos e que não exijam um processamento de tráfego muito alto. Tais soluções podem rodar em servidores já existentes e compartilhar recursos com eles. Muitos destes sistemas funcionam muito bem para conexões de clientes-para-LANs.
    Além do gateway de segurança, outro componente de uma VPN é o servidor de segurança. Este servidor mantém as listas de controle de acesso e outras informações referentes ao usuário que o gateway utiliza para determinar que tráfego é autorizado. Por exemplo, em alguns sistemas, o acesso pode ser controlado através de servidor RADIUS.
    E por último, as autoridades de certificação são necessárias para verificar quais as ferramentas compartilhadas entre os sites e podem ainda ser utilizadas para verificar usuários usando certificados digitais. As empresas podem ainda escolher em manter sua própria base de dados dos certificados digitais para usuários por meio de um servidor de certificação corporativa. Se uma rede VPN corporativa cresce até uma extranet, então um certificado de autenticação externo pode ainda ser utilizado para verificar os usuários dos parceiros de negócios.

5. Benefícios Voltar ao Sumário


5.1 Benefícios para as Empresas Voltar ao Sumário
    De acordo com estudos realizados recentemente, as corporações que utilizam soluções VPN podem economizar até 60% em comparação com as redes privadas dedicadas.
    As soluções VPN permitem que as empresas possam:

  • eliminar linhas alugadas de longa distâncias, pois como a infraestrutura utilizada é a Internet, não há necessidade de se manter WANs com linhas dedicadas;
  • eliminar chamadas de longa distância para modems analógicos e equipamentos de acesso ISDN;
  • pagar apenas pela banda utilizada, sem o inconveniente ou a preocupação de se desperdiçar largura de banda em linhas dedicadas de alta capacidade. Além disso, se a banda se tornar insuficiente, basta uma simples requisição de aumento ao provedor para melhorar a capacidade do acesso;
  • utilizar um número menor de equipamentos, pois uma única solução VPN pode prover tanto acesso VPN como acesso a Internet, o que elimina o uso de bancos de modems separados, adaptadores de terminais, servidores de acesso remoto, etc.;
  • diminuir a estrutura de rede na extremidade do usuário e as responsabilidades de gerenciamento.

    Além dos benefícios econômicos, as VPNs também oferecem vantagens técnicas, por prover seus serviços com a robustez inerenta à infraestrutura de Internet. Entre estas vantagens podemos citar:

  • Facilidade de acesso devida a presença de ISPs em qualquer localidade, criando uma cobertura de rede a nível mundial;
  • Aumento de throughput devido à diminuição de ruídos na linha com o acesso local;
  • Garantia de confiabilidade extremo a extremo pela redundância na rede e a tolerância de falhas;
  • Simplificação de treinamento devida a familiaridade com o usuário.

    Para exemplificar melhor, vejamos agora uma comparação de custos entre redes corporativas tradicionais e VPNs corporativas. As redes tradicionais são baseadas em diversos links dedicados E1 (2Mbps) de SDH, acarretando altos custos mensais fixos, custos de instalação e utilização de diversos equipamentos. Além disso, para os usuários remotos, equipamentos provedores de acesso devem ser mantidos e diversas linhas telefônicas locais precisam ser alugadas.
    Enquanto isso, VPNs utilizam um único link com menor banda (apresentando taxas de 512kbps ou 768kbps conforme se queira) e custo variável. Essas VPNs necessitam de somente um roteador no lado do cliente reunindo todos os serviços (Internet e WAN) em um só, proporcionando acesso remoto através de um provedor de Internet, com uma diminuição considerável nos custos de suporte e manutenção. A figura abaixo mostra um quadro comparativo.


Figura 13: Comparativo de custos

 

5.2 Benefícios para os Provedores de Acesso (ISPs) Voltar ao Sumário
    Muitos dos benefícios das VPN são aparentes para usuários e corporações. Entretanto, os provedores de acesso a Internet (ISPs) também esperam lucrar com seu uso. O potencial de renda com a migração das redes corporativas para VPNs é enorme, e o retorno de investimento é ainda melhor.
    Muitos ISPs experimentam picos de tráfego apenas durante um período limitado do dia. Como resultado, muitos dos recursos necessários para suprir esta demanda de pico permanecem inativos na maior parte do tempo.
    Porém, As VPNs permitem uma utilização de recursos dia e noite com usuários corporativos criando picos de utilização durante o dia e usuários remotos criando picos durante a tarde. Com este balanceamento de negócios e de assinantes, os ISPs podem dobrar o retorno de investimento com as VPNs.


a) Tráfego de Dados Corporativos Aproximado

b) Tráfego de Dados de Consumidores (Internet) Aproximado

c) Soma de Tráfegos de Negócios e de Consumidores
Figura 14: Estimativa de Potencial de Renda Expandido com as VPNs
Voltar ao Índice de Figuras

    Além disso, podemos citar outros benefícios para os ISPs:

  • Habilidade de atrair clientes corporativos;
  • Oportunidade de estabelecer relações estratégicas a longo prazo com grandes corporações;
  • Superioridade competitiva com relação a outros ISPs ou uma oportunidade de estabelecer acordos de serviços mutuamente lucrativos com outros ISPs;
  • Possibilidade de impulsionar a infraestrutura existente com pouco investimento.

5.3 Conclusões Voltar ao Sumário
    Além dos benefícios econômicos e técnicos aplicados aos dias de hoje, as VPNs também têm a capacidade de estimular e impulsionar o desenvolvimento tecnológico.
    Quando se fala em VPNs, imagina-se logo os enormes benefícios que elas oferecem às corporações, aos usuários e aos provedores de Internet, enfim, são apenas visualizados seus efeitos para a realidade presente.
    Porém, não podemos deixar de lado as oportunidades que a tecnologia VPN e sua demanda de QoS reservam para o futuro. As VPNs também têm sua parcela de contribuição no desenvolvimento de novas tecnologias de desempenho e segurança na Internet, proporcionando um esforço muito mais colaborativo e acelerado no tocante a estas questões.


6. Bibliografia Voltar ao Sumário