Seminário
da Disciplina de Redes Locais de Computadores 9° Período de
Engenharia de Telecomunicações Prof.
Lourival Ana Paula
Cossich Pereira Zanaroli Maria Beatriz Marques Fiuza Lima Rodrigo de
Araújo Lima Rangel
1.1 Redes Privadas
Corporativas Nos dias de
hoje, os negócios corporativos se deparam com a necessidade de atender a
uma grande variedade de comunicações entre um grande número de sites
(localidades, geralmente corporativas) distribuídos, ao mesmo tempo em que
se procura reduzir os custos de sua infraestrutura de comunicação. É comum
que, atualmente, empregados procurem acessar remotamente os recursos das
redes internas de suas empresas para trabalhos em campo, sejam na
localidade dos clientes, em escritórios remotos, ou durante uma viagem de
negócios. Além disso, também é comum parceiros de negócios atuando em
projetos conjuntos compartilharem informações em suas extranets. Enfim,
todas estas tendências conduzem a uma necessidade de se estabelecer uma
infraestrutura de redes privadas corporativas.
Porém, estes negócios estão revelando que as
antigas soluções usadas para redes WAN entre as redes corporativas
principais e seus escritórios filiais, tais como linhas dedicadas e
circuitos de Frame Relay, não estão proporcionando a flexibilidade
requerida para a criação de novos links de parcerias e para o atendimento
de grupos de projeto atuando em campo. Enquanto isso, o crescimento do uso
de ligações telefônicas (tanto fixas como móveis) e acesso em computadores
remotos aumentam consideravelmente os gastos em modems de acesso remoto,
servidores e tarifas de ligações à longa distância.
As redes privadas baseadas em WANs
tradicionais utilizavam circuitos de linhas dedicadas alugadas partindo de
cada site para um quartel-general corporativo comum, e os preços destes
circuitos eram estimados de acordo com a distância, tornando-os muito
caros para localidades geograficamente dispersas. Apesar desta
desvantagem, estas redes garantiam altíssimos níveis de segurança e de
desempenho de rede. Ainda assim, estas WANs tradicionais exigiam pessoal
técnico altamente especializado nas localidades e que as corporações
administrassem suas próprias redes. Além disso, estas redes não permitiam
uma confortável adaptabilidade e algumas empresas se sentiam relutantes em
realizar novas implementações na infraestrutura apesar da potencial
economia de custo com estas implementações. A
figura abaixo mostra a concepção de uma típica WAN corporativa onde todo o
tráfego passa necessariamente pelo quartel-general da empresa (cross-connection), em outras palavras, cada escritório remoto ou
companhia parceira se conecta diretamente ao quartel-general numa
topologia tipo estrela.
Figura 1: Arquitetura
típica de uma WAN tradicional
1.2 Redes Privadas
Virtuais (VPNs) Diante
deste impasse tecnológico e econômico, as empresas buscaram alternativas
para solucionar grande parte destes problemas e descobriu-se que uma
maneira de minimizar os custos seria utilizar a infraestrutura existente
da Internet para trafegar dados corporativos. Desta idéia surgiu o
conceito de redes privadas virtuais ou VPNs - Virtual Private
Networks. Ao invés de depender de linhas
dedicadas alugadas ou Circuitos Virtuais Permanentes (PVCs) de Frame Relay, uma VPN baseada em Internet utiliza o backbone distribuído e aberto
da Internet para transmitir dados entre localidades corporativas. Esta
rede opera da seguinte forma: as empresas se conectam à VPN de pontos de
conexão locais - chamados de pontos de presença ou PoPs (Points-of-Presence) - pertencentes a seu provedor de acesso a Internet
(ISP - Internet Service Provider); A partir daí, é o ISP quem garante que
os dados são transmitidos para os destinos apropriados via Internet, ou
seja, deixa-se todos os detalhes da conexão para a rede do ISP e a
infraestrutura da Internet. Porém, pelo fato da Internet ser uma rede
pública e aberta, faz-se necessária a inclusão de técnicas de
criptografia, para que os dados corporativos (em muitos casos, sigilosos)
trafegados entre os nós da VPN não sejam interceptados nem corrompidos por
terceiros.
Figura 2: Arquitetura de
uma VPN
Por esta característica, as VPNs
são soluções que eliminam ou minimizam muitos dos problemas de se criar
uma rede privada corporativa. Elas permitem que gerenciadores de rede
conectem escritórios filiais e equipes de projetos à rede corporativa
principal de forma econômica e provêem acesso remoto para os empregados ao
mesmo tempo em que se reduz a necessidade de equipamento e suporte nas
localidades. Além disso, VPNs não se limitam a ambientes corporativos.
Como uma vantagem adicional, uma VPN pode prover conectividade com
segurança para funcionários utilizando estações móveis, bastando que estes
se conectem ao PoP de um ISP local.
1.3 Apresentação Este trabalho tem como
objetivo principal mostrar os conceitos técnicos do funcionamento de uma
VPN. Neste primeiro tópico, foram mostradas o panorama de redes privadas
corporativas e o que motivou o surgimento das VPNs, com sua breve
definição. No próximo
tópico, serão abordadas todas as informações pertinentes a tecnologia VPN:
objetivos, funções e características destas redes. No terceiro tópico, nosso
estudo será enfocado nos protocolos utilizados no tráfego de uma VPN,
mostrando detalhadamente suas características. E, finalizando,
respectivamente no quarto e no quinto tópico serão mostrados o que existe
atualmente em termos de soluções utilizando a tecnologia VPN e os
benefícios obtidos com a utilização desta tecnologia.
2. Tecnologia VPN
2.1 Fatores Principais Quando se
fala em implantação de Redes Privadas Corporativas sobre o backbone
Internet, dois fatores fundamentais são levados em conta: o desempenho e a
segurança. A importância destes dois fatores se baseia no fato do TCP/IP e
a Internet não terem sido originalmente desenvolvidos com essas duas
preocupações em mente, já que o número de usuários e tipos de aplicações
existentes originalmente não exigiam fortes medidas de segurança nem
desempenho garantido. Mas se as VPNs
construídas sobre Internet devem servir como confiáveis substitutas para
as linhas dedicadas e outros enlaces de WAN, é preciso implementar
tecnologias de segurança e desempenho para estas redes
Internet. Assim, podemos dar uma definição mais
completa do que é uma Rede Privada Virtual:
Virtual, pelo fato de ser uma rede dinâmica,
com conexões realizadas de acordo com as necessidades da organização e
também pelo fato de ser uma rede construída logicamente, não dependendo
da estrutura física da rede usada (no caso, a Internet). Diferente de
linhas dedicadas, uma VPN não mantém conexões permanentes entre os nós
que compõem a rede corporativa. Quando uma comunicação entre dois nós se
torna necessária, ela é criada; quando não é mais necessária, ela é
desfeita, deixando a largura de banda e outros recursos de rede
disponíveis para outros usos.
Privada, pela necessidade de garantir
comunicações corporativas seguras, pois o protocolo IP foi inicialmente
concebido como um protocolo aberto. Então, usuários e ISPs precisam
tomar medidas necessárias para proteger a integridade dos dados
transitando tanto dentro da corporação quanto pela rede pública.
Rede, porque utilizando a infraestrutura da
Internet (uma GAN de fato) não há outras soluções que estejam à altura
do potencial de uma VPN em prover cobertura global e a habilidade de
criar extranets, de forma viável e econômica.
A seguir, serão analisados os
principais fatores na criação de uma VPN: os fatores de desempenho:
compatibilidade, disponibilidade e
interoperabilidade; e o fator segurança.
2.2
Compatibilidade Para que as
VPNs possam usar o backbone Internet, é vital que elas sejam compatíveis
com o Protocolo Internet (IP, na camada 3 do modelo de referência ISO-OSI), utilizando endereços IP oficiais. Entretanto, como grande parte
das empresas utiliza redes privadas com endereços IP não-oficiais (ou
"privados") ou que nem mesmo usam o IP, poucas destas redes podem ser
aproveitadas com a Internet. Muitas
organizações preferem utilizar endereços IP "privados" para poderem criar
subredes, pois obter uma grande faixa de endereços IP oficiais para
facilitar o endereçamento de subredes é uma tarefa inviável. O uso de
subredes simplifica a administração de endereços e o gerenciamento de
roteadores e switchs, porém desperdiça endereços oficiais.
Esta prática é tão comum que uma convenção foi
proposta para sancionar certos endereços para uso privado: a RFC 1597 -
"Alocação de Endereços para Redes Privadas". Esta convenção especifica
três grupos de endereços a serem utilizados de acordo com as necessidades
de cada corporação. Estes grupos de endereços IP são bloqueados por
roteadores na Internet para evitar ambiguidade de endereço entre várias
redes privadas. Se houver ambiguidade, isto é, se dois nós possuírem o
mesmo endereço (um oficial e outro não-oficial), sérios problemas podem
ocorrer para ambas as partes. Para tornar estas
redes privadas compatíveis com a Internet, existem três opções:
Converter em endereços de Internet;
Instalar gateways IP especiais;
Empregar técnicas de tunelamento.
2.2.1 Endereços de Internet
Endereços
de Internet são endereços IP oficiais administrados e fornecidos pela
InterNIC, orgão que controla sua utilização. Este controle permite que não
haja conflito de endereços na Internet, mas se uma organização quiser
escolher uma série de endereços a seu critério para uso privado em sua
rede corporativa, eles funcionarão perfeitamente desde que sejam
totalmente isolados da Internet para evitar ambiguidade. Portanto, este
tipo de utilização privada de endereços não funcionará com VPNs baseadas
em Internet. A opção de converter os endereços
privados em endereços autênticos é viável para corporações que possuem
redes privadas IP e eventualmente pode ser apropriada nos casos de redes
que não trabalham com o IP. O que é necessário em ambos os casos é a
compatibilidade interna de roteadores e switches.
Porém, nem sempre é necessário converter toda
uma rede corporativa em endereços oficiais para se fazer uso de VPNs. Uma
opção mais econômica é converter somente os servidores e clientes da rede
privada destinados para a VPN. Nesta configuração, todos os servidores VPN
ganham um endereço de Internet permanente enquanto que os clientes podem
temporariamente utilizar endereços oficiais de um conjunto
disponível. Durante uma sessão VPN, um endereço
de Internet é "emprestado" a um cliente da rede privada para que ele possa
utilizar a sessão. Este "empréstimo" é garantido pelo DHCP (Dynamic Host
Configuration Protocol) e/ou NAT (Network Address Translation), que
permitem que clientes normalmente identificados por endereços privados
ganhem temporariamente um endereço oficial. Ao final da Sessão VPN, o
endereço de Internet é desassociado do cliente e retornado para o conjunto
do DHCP ou NAT para uso de outros usuários.
2.2.2 Gateways IP Gateways IP
são elementos de rede que operam traduzindo de um protocolo qualquer para
IP e vice-versa. Normalmente, um gateway atende clientes de um determinado
servidor e este último possui um sistema operacional de rede que utiliza
um protocolo "nativo" (tal qual uma língua nativa). O papel do gateway é
converter o tráfego do protocolo nativo para o IP e vice-versa, servindo
de "intérprete" entre os clientes que só "entendem" IP e o servidor que
opera em seu protocolo nativo. Gateways IP
utilizados para acesso a Internet podem ser usados sem nenhumas
modificações para VPNs baseadas em Internet. A aplicação do gateway pode
ser rodada no próprio servidor que utiliza um sistema operacional de rede
com um protocolo nativo ou em um servidor separado, possivelmente um
dispositivo dedicado com um sistema operacional diferente.
2.2.3 Tunelamento
Tunelamento
é, em geral, a melhor opção para tornar redes privadas compatíveis com a
Internet. Protocolos de Tunelamento e técnicas de encapsulamento vêm sendo
usadas há anos para integrar diferentes tipos de protocolos em um mesmo
backbone e ultimamente, estas tecnologias vêm sendo otimizadas para uso em
VPNs. A técnica de tunelamento funciona da
seguinte forma: numa conexão entre dois nós, o nó de origem encapsula os
pacotes de outros protocolos em pacotes IP para transmissão via Internet;
O processo de encapsulamento consiste em adicionar um cabeçalho IP padrão
e o pacote original ser tratado como área de dados; Na recepção, o nó de
destino desencapsula o pacote original do pacote IP recebido (remove o
cabeçalho IP). Este mesmo encapsulamento provê proteção contra usuários
não-autorizados, usando técnicas de
criptografia. A figura a seguir traduz o
funcionamento desta técnica. Imagine que clientes de uma rede privada num
escritório filial desejam acessar informações em um servidor na rede
interna de sua matriz no exterior e toda a corporação (matriz e suas
filiais) emprega túneis de VPN em suas comunicações. Os clientes fazem a
requisição a um agente local através de um PoP de um servidor compatível
com VPN. Este servidor de origem cria o cabeçalho de túnel especificando
os endereços de Internet dos servidores de origem e destino como endereços
de origem e destino do cabeçalho. Ao chegar ao servidor de destino (o PoP
da Intranet da matriz), este desencapsula a mensagem original retirando o
cabeçalho de túnel e a entrega para o servidor da
Intranet.
Figura 3: Esquema de um
túnel VPN
Os túneis podem ser estáticos ou
dinâmicos. Túneis estáticos, que permanecem ativos por longos períodos de
tempo, são mais apropriados para VPNs Site-para-Site (ou LAN-para-LAN)
enquanto que túneis dinâmicos, ativos apenas quando o trafégo é
necessário, são mais seguros para VPNs Cliente-para-LAN.
Em VPNs LAN-para-LAN, um gateway de segurança
(no PoP) em cada extremidade atua como interface entre o túnel e a LAN.
Apesar disso, os clientes em cada LAN privada podem utilizar o túnel
transparentemente para comunicarem entre si.
Em VPNs Cliente-para-LAN, usuários móveis se
conectam com LANs corporativas através de túneis dinâmicos criados a
partir de sua estação móvel. Estes túneis só são possíveis através de
softwares especiais no computador do usuário móvel, projetados para
garantir a proteção dos dados da LAN
corporativa. Quanto a abertura da sessão de
túnel, existem duas classificações: tunelamento voluntário e tunelamento
compulsório. No tunelamento voluntário, é o usuário quem solicita a
configuração e criação do túnel. Neste caso, o próprio usuário atua como
extremidade do túnel. Já no tunelamento compulsório, quem cria o túnel é
um servidor de acesso remoto, localizado entre o usuário e o servidor de
destino e que age como extremidade do túnel. O termo compulsório vem do
fato do cliente ser compelido a utilizar um túnel criado pelo servidor.
Para a utilização de túneis, diversos
protocolos foram desenvolvidos. Estes protocolos de tunelamento serão
vistos com detalhes mais a frente.
2.3 Segurança Segurança é
em geral a primeira preocupação de uma empresa interessada em utilizar
VPNs baseadas em Internet. Acostumadas com a privacidade garantida pelas
redes corporativas, muitas empresas podem considerar a Internet muito
"pública" para a criação de uma rede privada. Mas tomando as devidas
precauções, a Internet pública pode ser tornada tão privada quanto a rede
pública de telefonia comutada. A maior
preocupação é de que as informações privadas (confidenciais) poderiam ser
acessadas (interceptadas) enquanto em trânsito ou diretamente de
servidores ou nós da rede. Devido a essa possibilidade, inúmeras medidas
robustas de segurança estão agora disponíveis para manter os dados
transmitidos estritamente confidenciais assim como evitar que usuários não
autorizados consigam acessar os recursos internos das redes privadas.
Numa VPN, existem três objetivos quanto à
segurança:
Prover segurança adequada: um mínimo sistema
de segurança deve validar usuários através de senhas para proteger os
recursos acessíveis da VPN contra acesso não autorizado. Além disso, com
a implementação de criptografia protege-se os dados em trânsito. Outros
níveis de segurança podem ser disponíveis e quanto mais níveis houver,
mais segura a VPN se tornará;
Prover fácil administração: todas as provisões
de segurança escolhidas devem ser fáceis de serem inicialmente
implementadas e de serem mantidas ao longo do tempo. As funções
administrativas do sistema de segurança precisam também ser protegidas
contra adulteração por parte de usuários.
Ser transparente aos usuários: até mesmo
usuários legítimos podem tentar burlar métodos de segurança por serem
difíceis de usar, portanto o sistema de segurança deve dispor de uma
interface amigável com o usuário de forma a tornar a conexão com a VPN
tão fácil quanto se conectar a uma LAN.
2.4 Disponibilidade A
disponibilidade é um fator que abrange o tempo de funcionamento da rede e
sua fluidez (throughput), e redes privadas asseguram determinados níveis
de serviço quanto a esses dois parâmetros. Diferente das redes privadas, a
Internet não possui tal garantia de serviços nos dias de hoje, mas depende
dos parâmetros de disponibilidade da mesma forma que redes
privadas. Evidentemente, a Internet existe em
uma escala muito maior e sua expansão ocorre de forma desenfreada e
descontrolada sem o benefício de uma organização supervisionando seu
crescimento, mas por outro lado, a Internet possui redundância e
elasticidade muito mais robustas do que uma típica rede privada. Esta
robustez permite evitar catástrofes em larga escala, deixando os problemas
de serviço isolados em suas localidades de origem. Portanto, é razoável
dizer que a Internet oferece confiabilidade suficiente para a grande
maioria de aplicações de negócios, em termos de tempo de funcionamento.
Mas em uma VPN Internet, os negócios
compartilham a mesma capacidade da Internet comum, isto é, possuem o mesmo
throughput. E numa rede privada, o throughput é excedido na maioria das
vezes. A curto prazo, as corporações podem
maximizar o throughput de VPN selecionando serviços de WAN apropriados e
utilizando técnicas de compactação de dados. Por exemplo, uma linha ISDN
banda larga até o PoP local utilizando compressão de 4:1 ofereceria um
throughput de até 512kbps. Além disso, a tecnologia de modems digitais na
maioria dos PoPs combinado com a superior qualidade das chamadas locais
(em comparação com as de longas distâncias) permite que os modems
analógicos domésticos operem em taxas de transmissão mais altas,
proporcionando um melhor serviço de VPN para os usuários.
A longo prazo, o avanço tecnológico permitirá
garantia de níveis de serviço na própria infraestrutura de Internet.
Diversos padrões emergentes, como o RSVP (Resource Reservation Protocol),
adicionarão suporte a qualidade de serviço (QoS). Esta qualidade de
serviço tem por fim prover uma quantidade garantida de largura de banda,
uma latência mínima (nunca excedida) ou uma combinação de ambas. Outros
avanços, como o RTP (Real Time Protocol), expandirão as capacidades das
VPNs. Embora ainda não vigentes, estes futuros avanços dão conforto para
as corporações que consideram a utilização de VPNs em sua estratégia.
2.5 Interoperabilidade A
interoperabilidade surge como um resultado dos três fatores anteriores
essenciais a uma VPN. Embora existam padrões para prover compatibilidade,
segurança e disponibilidade, alguns outros detalhes não levados em conta
impossibilitam uma interoperabilidade entre diversos fabricantes. Pelo
fato de técnicas de tunelamento, autenticação, criptografia e outros
padrões serem relativamente novos e emergentes, muitos ainda não são
totalmente robustos, o que propicia os fabricantes a adicionarem recursos
desejáveis por conta própria. Uma forma de
assegurar interoperabilidade é selecionar soluções e produtos de um único
fabricante. Se ainda assim, um único fabricante não atende todas as
exigências, o melhor é limitar ainda mais os aspectos de
interoperabilidade, enfocando apenas os essenciais, e utilizar os
equipamentos que estejam em conformidade com as normas vigentes. Em ambos
os casos, o importante é selecionar um fabricante ou um pequeno grupo de
fabricantes comprometidos com os padrões de VPN. Além disso, é vital
adquirir equipamentos que permitam maior adaptabilidade (upgrade) com o
menor custo possível, para acompanhar os avanços tecnológicos.
3. Protocolos
Utilizados
3.1 Protocolos de
Tunelamento Os
Protocolos de Tunelamento são os protocolos responsáveis pela abertura e
gerenciamento de sessões de túneis em VPNs. Estes protocolos podem ser
divididos em dois grupos:
Protocolos de camada 2 (PPP sobre IP):
transportam protocolos de camada 3, utilizando quadros como unidade de
troca. Os pacotes são encapsulados em quadros PPP;
Protocolos de camada 3 (IP sobre IP):
encapsulam pacotes IP com cabeçalhos deste mesmo protocolo antes de
enviá-los .
Nos túneis orientados à camada 2
(enlace), um túnel é similar a uma sessão, onde as duas extremidades do
túnel negociam a configuração dos parâmetros para estabelecimento do túnel
(endereçamento, criptografia, parâmetros de compressão, etc.). A gerência
do túnel é realizada através de protocolos de manutenção. Nestes casos, é
necessário que o túnel seja criado, mantido e encerrado. Nas tecnologias
de camada 3 (rede), não existe a fase de manutenção do
túnel. Para técnicas de tunelamento VPN
Internet, quatro protocolos se destacaram, em ordem de surgimento:
PPTP - Point to Point Tunneling Protocol;
L2F - Layer Two Forwading;
L2TP - Layer Two Tunneling Protocol;
IPsec - IP Security Protocol.
O PPTP, o L2F e o L2TP são
protocolos de camada 2 e têm sido utilizados para soluções Client-to-Lan;
O IPsec é um protocolo de camada 3 mais enfocado em soluções
LAN-to-LAN.
3.2 Point-to-Point
Tunneling Protocol (PPTP) O
Protocolo de Tunelamento Ponto-a-Ponto (PPTP), desenvolvido por um forum
de empresas (Microsoft, Ascend Communications, 3Com, ECI Telematics e US
Robotics), foi um dos primeiros protocolos de VPN a surgirem. Ele tem sido
uma solução muito utilizada em VPNs discadas desde que a Microsoft incluiu
suporte para Servidores Windows NT 4.0 e ofereceu um cliente PPTP num
service pack para Windows 95, o que praticamente assegura seu uso
continuado nos próximos anos. O protocolo mais
difundido para acesso remoto na Internet é o PPP (Point-to-Point Protocol), o qual originou o
PPTP. O PPTP agrega a funcionalidade do PPP
para que o acesso remoto seja tunelado através da Internet para um site de
destino. O PPTP encapsula pacotes PPP usando uma versão modificada do
protocolo de encapsulamento genérico de roteamento (GRE), que dá ao PPTP a
flexibilidade de lidar com outros tipos de protocolos diferentes do IP,
como o IPX e o NetBEUI. Devido a sua
dependência do PPP, o PPTP se baseia nos mecanismos de autenticação do
PPP, os protocolos PAP e CHAP. Entretanto,
este protocolo apresenta algumas limitações, tais como não prover uma
forte criptografia para proteção de dados e não suportar qualquer método
de autenticação de usuário através de token.
3.2.1 Conexão Numa
conexão PPTP, existem três elementos envolvidos: o Cliente PPTP, o
Servidor de Acesso a Rede (NAS - Network Acess Server) e o Servidor PPTP.
O cliente se conecta a um NAS, através de um
PoP em um ISP local. Uma vez conectado, o cliente pode enviar e receber
pacotes via Internet. O NAS utiliza TCP/IP para todo o tráfego de
Internet. Depois do cliente ter feito a
conexão PPP inicial com o ISP, uma segunda chamada dial-up é realizada
sobre a conexão PPP existente. Os dados desta segunda conexão são enviados
na forma de datagramas IP que contém pacotes PPP encapsulados. É esta
segunda conexão que cria o túnel com o servidor PPTP nas imediações da LAN
corporativa privada. O esquema desta conexão pode ser visualizado a
seguir.
Figura 4:
Esquema de um Túnel PPTP
3.2.2 Arquitetura
PPTP A
comunicação segura criada pelo PPTP tipicamente envolve três processos,
cada um deles exigindo que os anteriores sejam satisfeitos. Esses três
processos são:
Conexão e Comunicação PPP: o cliente PPTP usa o PPP para se
conectar ao ISP utilizando uma linha telefônica ou ISDN padrão. O PPP é
utilizado aqui para estabelecer a conexão e criptografar os dados;
Conexão de Controle PPTP: Utilizando a conexão estabelecida
pelo PPP, o PPTP cria um controle de conexão desde o cliente até o
servidor PPTP na Internet. Esta conexão utiliza o TCP e é chamada de
túnel PPTP;
Tunelamento de Dados PPTP: O PPTP cria os datagramas IP
contendo os pacotes PPP criptografados e os envia através do túnel até o
servidor PPTP. Neste servidor, os datagramas são então desmontados e os
pacotes PPP descriptografados para que finalmente sejam enviados até a
rede privada corporativa.
No primeiro processo, o PPP,
protocolo que permite enviar dados multi-protocolares encapsulados através
de redes TCP/IP, é utilizado para desempenhar três funções: iniciar e
terminar conexões físicas, autenticar usuários e criar datagramas PPP
contendo pacotes criptografados.
Figura 5:
Conexão PPP
No segundo processo, o PPTP
especifica uma série de mensagens de controle a serem trocadas entre o
cliente PPTP e o servidor PPTP. Estas mensagens estabelecem, mantêm e
terminam os túneis PPTP. Elas são enviadas em pacotes de controle dentro
de um datagrama TCP através de uma conexão TCP especialmente criada para
trocar mensagens de controle. Após o túnel
PPTP ter sido estabelecido, os dados do usuário são finalmente
transmitidos entre o cliente PPTP e o servidor PPTP. É importante frisar
que o cliente PPTP não necessariamente identifica o usuário numa
extremidade da comunicação. Podem haver usuários utilizando máquinas sem
suporte ao PPTP e nestes casos, a comunicação PPTP começa a partir do
NAS.
3.2.3 Mecanismos de
Segurança do PPTP Para
garantir a segurança na transmissão, o PPTP faz uso dos seguintes
mecanismos:
Controle de acesso e autenticação: a autenticação de usuários
remotos é feita utilizando os mesmos métodos do PPP - através dos
protocolos PAP, CHAP ou de uma versão da Microsoft, o MS-CHAP;
Criptografia de dados: o PPTP utiliza os métodos de
criptografia e compressão do PPP;
Filtragem de pacotes PPTP: este recurso do PPTP permite que
apenas os pacotes PPTP dos usuários autenticados entrem no servidor PPTP
da rede privada;
Utilização de firewalls: o PPTP também oferece recursos para
trabalhar com firewalls, através do servidor PPTP.
3.2.4 Formato dos Datagramas Existem
dois tipos básicos de datagramas PPTP: os datagramas de mensagens de
controle e os datagramas de mensagens de dados. As mensagens de controle
são enviadas em datagramas TCP e as mensagens de dados em datagramas IP.
Os formatos são mostrados abaixo.
Figura 6:
Datagramas PPTP
3.3 Layer Two Forwading
(L2F) O
Protocolo de Encaminhamento de Camada 2 (L2F), desenvolvido pela Cisco
Systems, surgiu nos primeiros estágios da criação da tecnologia VPN. Assim
como o PPTP, o L2F foi desenvolvido para criação de túneis em tráfegos de
usuários para suas redes corporativas. Uma
grande diferença entre o PPTP e o L2F é a de que este último não possui
tunelamento dependente do IP, sendo capaz de trabalhar diretamente com
outros meios, como Frame Relay e ATM. Tal qual o PPTP, o L2F usa o PPP (Point-to-Point
Protocol) para autenticação de usuários remotos, mas pode
incluir também suporte para autenticação via TACACS e RADIUS. Outra grande
diferença com o PPTP é a de que o L2F permite que os túneis possam dar
conta de mais de uma conexão. Há também dois
níveis de autenticação do usuário, uma pelo ISP antes do estabelecimento
do túnel e outra quando a conexão é efetuada no gateway da corporação.
Pelo fato de ser um protocolo de camada 2, o L2F oferece aos usuários a
mesma flexibilidade que o PPTP em lidar com outros protocolos diferentes
do IP, tais como IPX e NetBEUI.
3.3.1 Negociação do Protocolo
Quando um
usuário deseja se conectar ao gateway da intranet corporativa, ele
primeiro estabelece uma conexão PPP com o NAS do ISP. A partir daí, o NAS
estabelece um túnel L2F com o gateway. Finalmente, o gateway autentica o
nome de usuário e senha do cliente, e estabelece a conexão PPP com o
cliente. A figura a seguir mostra como
funciona o tunelamento com L2F. O NAS (Servidor de Acesso a Rede) do ISP
local e o gateway da Intranet estabelecem um túnel L2F que o NAS utiliza
para encaminhar os pacotes PPP até o gateway. A VPN de acesso se estende
desde o cliente até o gateway.
Figura 7: Sessão
VPN utilizando L2F, PPP e IP
3.3.2 Autenticação Quando uma sessão VPN -
L2F é estabelecida, o cliente, o NAS e o gateway da intranet usam um
sistema triplo de autenticação via CHAP (Challenge Handshake
Authentication Protocol). O CHAP é um protocolo de autenticação por
contestação/resposta na qual a senha é enviada como uma assinatura de 64
bits ao invés de texto simples. Isto possibilita a transmissão segura da
senha do usuário entre a estação do cliente e o gateway de destino.
Primeiro, o NAS contesta o cliente e o cliente
responde. Em seguida, o NAS encaminha esta informação de CHAP para o
gateway, que verifica a resposta do cliente e devolve uma terceira
mensagem de CHAP (sucesso ou fracasso na autorização) para o cliente. A
figura a seguir ilustra este processo.
Figura 8:
Sistema Triplo de Autenticação CHAP
3.3.3 Formato do Datagrama
O
cabeçalho possui os seguintes campos:
Ver: versão do L2F;
Protocol: protocolo carregado dentro do pacote L2F;
Sequence Number: quando o bit "S" (bit 3) for igual a 1, este
campo identifica o número do pacote numa seqüência;
Multiplex ID: identifica uma conexão dentro de um túnel;
Client ID: campo utilizado para auxiliar a demultiplexação em
túneis;
Length: indica o tamanho do pacote em octetos, sem levar em
conta o campo de checksum;
Offset: quando o bit "F" (bit 0) for igual a 1, este campo
identifica aonde começa a área de dados do pacote indicando o número de
bytes após o cabeçalho.
Key: o campo de chave está presente se o bit "K" (bit 1) for
igual a 1. Serve como chave durante toda a sessão para resistir a
ataques de "spoofing".
Checksum: o campo de checksum está presente se o bit "C" (bit
12) for igual a 1.
Figura 9: Pacote
L2F
3.4 Layer Two Tunneling Protocol (L2TP)
O
Protocolo de Tunelamento de Camada 2 (L2TP) vem sendo desenvolvido pela
IETF como um substituto aparente para o PPTP e o L2F, corrigindo as
deficiências destes antigos protocolos para se tornar um padrão oficial
internet. Ele utiliza o PPP para prover acesso dial-up que pode ser
tunelado através da Internet até um Site. Porém, o L2TP define seu próprio
protocolo de tunelamento, baseado no que foi feito com o L2F. Seu
transporte vem sendo definido para uma variedade de pacotes, incluindo
X.25, Frame Relay e ATM. Para fortalecer a criptografia dos dados, são
utilizados os métodos de criptografia do IPsec.
3.4.1
Operação O
L2TP opera de forma similar ao L2F. Um Concentrador de Acesso L2TP (LAC)
localizado no PoP do ISP troca mensagens PPP com usuários remotos e se
comunica por meio de requisições e respostas L2TP com o Servidor de Rede
L2TP (LNS) para criação de túneis. O L2TP passa os pacotes através do
túnel virtual entre as extremidades da conexão ponto-a-ponto. Os quadros
enviados pelo usuário são aceitos pelo PoP do ISP, encapsulados em pacotes
L2TP e encaminhados pelo túnel. No gateway de destino, os quadros L2TP são
desencapsulados e os pacotes originais são processados para a interface
apropriada. O L2TP utiliza dois tipos de
mensagem: mensagens de controle e mensagens de dados. As mensagens de
controle são usadas para gerenciar, manter e excluir túneis e chamadas. As
mensagens de dados são usadas para encapsular os pacotes PPP a serem
transmitidos dentro do túnel. As mensagens de controle utilizam um
confiável canal de controle para garantir entrega das mensagens.
3.4.2 Autenticação Devido ao
uso do PPP para links dial-up, o L2TP inclui mecanismos de autenticação
dentro do PPP, os protocolos PAP e CHAP. Outros sistemas de autenticação
também podem ser usados, como o RADIUS e o TACACS. Porém, O L2TP não
inclui processos para gerenciamento de chaves criptográficas exigidas para
a criptografia em suas especificações de protocolo. Para dar conta disso,
O L2TP faz uso do IPsec para criptografia e gerenciamento de chaves em
ambiente IP.
Figura 10:
Arquitetura L2TP
3.4.3 Formato do Datagrama
Os pacotes L2TP para canal
de controle e canal de dados utilizam o mesmo formato de cabeçalho. O
formato do cabeçalho é mostrado a seguir:
Figura 11:
Formato do cabeçalho L2TP
O cabeçalho possui os seguintes campos:
Type (bit 0): identifica o tipo de mensagem.
Se o bit for igual a 1 é uma mensagem de controle, se for igual a 0 é
uma mensagem de dados;
Ver: identifica o número da versão do
protocolo;
Length: identifica o tamanho do pacote em
octetos se o bit "L" (bit 1) for igual a 1;
Tunnel ID: indica o identificador do Túnel
para controle de conexão;
Session ID: indica o identificador de uma
sessão dentro de um túnel;
Ns: indica o número de seqüência para o atual
pacote (mensagem ou controle). Sua presença é definida pelo bit "S" (bit
4);
Nr: indica o número de seqüência esperado para
o próximo pacote de mensagem de controle. Sua presença também é definida
pelo bit "S";
Offset Size: especifica o tamanho do offset
(espaço entre o cabeçalho e a área de dados). Sua presença é definida
pelo bit "O" (bit 6);
Priority (bit 7): se for igual a 1, o pacote
deve receber tratamento preferencial com relação aos outros;
Bits X: reservados para extensões
futuras.
3.5 IP Security Protocol
(IPsec) O
Protocolo de Segurança IP (IPsec) é atualmente um dos protocolo mais
importante para VPNs. O IPsec vem sendo desenvolvido há anos pelo IETF
como um forte recurso do IPv6, porém, muitas de suas características estão
sendo aproveitadas ainda no IPv4. O IPSec é um
protocolo de camada 3 projetado essencialmente para oferecer transferência
segura de informações pela Internet Pública. Realizando funções de
segurança de dados como criptografia, autenticação e integridade, O IPsec
protege os pacotes IP de dados privados e os encapsula em outros pacotes
IP para serem transmitidos. Além disso, o IPsec também realiza a função de
gerenciamento de chaves. O IPsec pode operar
de duas formas: no modo de transporte e no modo de túnel. No modo de
transporte, que é o seu modo "nativo", o IPsec transmite diretamente os
dados protegidos de host para host. Este modo é utilizado em dispositivos
que já incorporam o IPsec em sua pilha TCP/IP.
No modo túnel, o tráfego IP gerado pelos
hosts, estes sem suporte ao IPsec, são capturados por um dispositivo de
segurança ou um gateway que encapsulam os pacotes IP com encriptação
IPsec. Estes pacotes encriptados são encapsulados novamente em pacotes IP
e finalmente enviados pela rede pública até o outro gateway, que se
encarregará de desencapsular e desencriptar a informação para que ela
possa ser recebida no host de destino.
a) IPsec modo
transporte b) IPsec modo túnel
Figura 12: Modos
de Operação do IPsec
Os requisitos de segurança
necessários em relação aos usuários que acessam sua rede e aos dados que
trafegam entre os diversos nós são:
Autenticação;
Controle de Acesso;
Confidencialidade;
Integridade de Dados.
A autenticação dos usuários
permite ao sistema enxergar se a origem dos dados faz parte da comunidade
que pode exercer acesso a rede. O controle de
acesso visa negar acesso a um usuário que não esta autorizado a acessar a
rede como um todo, ou simplesmente restringir o acesso de usuários. Por
exemplo, se uma empresa possui áreas como administrativa-financeira e
desenvolvimento de produtos, é correto imaginar que um funcionário de uma
divisão não deva acessar e possivelmente obter dados da rede da outra
divisão. A confidencialidade visa previnir que
os dados sejam lidos e/ou copiados durante a travessia pela rede pública.
Desta forma, pode-se garantir uma maior privacidade das comunicações
dentro da rede virtual. A Integridade de dados
garante que os dados não serão adulterados durante a travessia pela rede
pública. Os dados podem ser corrompidos ou virús podem ser implantados com
o fim de dificultar a comunicação. Os
habilitadores das tecnologias de segurança são de conhecimento comum e são
apresentados abaixo.
CHAP - Challenge Handshake Authentication Protocol;
RADIUS - Remote Authentication Dial-in User Service;
Certificados digitais;
Encriptação de Dados.
Os três primeiros visam
autenticar usuários e controlar o acesso a rede. O último visa prover
confidencialidade e integridade aos dados transmitidos. Para prover estas
características, o IPSec faz uso de 3 mecanismos adicionais:
AH - Authentication Header;
ESP - Encapsulation Security Payload;
ISAKMP - Internet Security Association and Key Management Protocol.
3.5.1 Autenticação e
Integridade Entende-se
por autenticação como a garantia de legitimidade do usuário que utiliza a
conexão. Já a integridade caracteriza a garantia de que os dados
transmitidos cheguem íntegros no receptor, sem a possibilidade de terem
sido modificados no meio do caminho. Para
prover estes dois requisitos nos datagramas IP, é utilizado o AH
(Authentication Header ou Cabeçalho de Autenticação). Neste mecanismo, a
segurança é garantida com a inclusão de informações de autenticação,
construídas através de um algoritmo que utiliza o conteúdo dos campos do
datagrama IP. Para a construção destas informações, todos os campos do
datagrama IP são utilizados, com exceção daqueles que não sofrem
alterações durante o transporte. Por exemplo, no IPv6, o campo
time-to-live (TTL) do IPv4 não é utilizado, pois é modificado ao longo da
transferência. Dependendo do usuário, o uso da
autenticação pode ser suficiente não sendo necessária a confidencialidade.
3.5.2 Negociação dos
Níveis de Segurança O
ISAKMP é um protocolo que combina autenticação, gerenciamento de chaves e
outros requisitos de segurança necessários às comunicações privadas numa
VPN Internet. Neste mecanismo, duas máquinas em uma conexão negociam os
métodos de autenticação e segurança dos dados, executam a autenticação
mútua e geram a chave para criptografia dos dados. Além disso, este
protocolo também gerencia a troca de chaves criptografadas utilizadas para
decifrar os dados e define procedimentos e formatos de pacotes para
estabelecer, negociar, modificar e excluir as SAs (Security Associations).
Essas Associações de Segurança contêm todas as
informações necessárias para execução de serviços variados de segurança na
rede, tais como serviços da camada IP (autenticação de cabeçalho e
encapsulamento), serviços das camadas de transporte, ou serviço de
auto-proteção durante a negociação do tráfego. Elas Também definem pacotes
para geração de chaves e autenticação de dados. Esses formatos provêm
consistência para a transferência de chaves e autenticação de dados que
independem da técnica usada na geração da chave, do algoritmo de
criptografia e do mecanismo de autenticação. O
ISAKMP oferece suporte para protocolos de segurança em todas as camadas da
pilha da rede. Com a centralização do gerenciamento dos SAs, o ISAKMP
minimiza as redundâncias funcionais dentro de cada protocolo de segurança
e também pode reduzir o tempo gasto durante as conexões através da
negociação da pilha completa de serviços de uma só vez.
3.5.3
Confidencialidade A
confidencialidade permite que somente os usuários autorizados possam ter
acesso às informações dos pacotes trafegados, não possibilitando que
usuários interceptadores consigam acessar as informações destes pacotes,
mesmo que consigam capturá-los. No IPsec, o
serviço que garante esta proteção é o ESP (Encapsulating Security
Payload). O ESP também provê a autenticação da origem dos dados,
integridade da conexão e serviço anti-reply. A confidencialidade independe
dos demais serviços e pode ser implementada de 2 modos: transporte e
túnel. No modo de transporte, o pacote da camada de transporte é
encapsulado dentro do ESP, e, no modo túnel, todo o datagrama IP é
encapsulado dentro da cabeçalho do ESP.
3.5.4 Vantagens para as VPNs
Uma das
razões da forte emergência do IPSec como um padrão é que este virtualmente
gerencia a segurança da VPN por si próprio. Com o IPSec, não há a
necessidade de mais gerência a ser realizada pelo administrador. O
roteador realiza a criptografia, e esta é transparente.
Além disso, o IPSec possui padrão aberto,
sendo muito importante sua larga proliferação em VPNs. O IPSec cria o meio
VPN onde seus usuários não precisam se preocupar com o tipo de equipamento
que eles utilizam, porque a linha de interoperabilidade é inerente aos
produtos. Conforme a rede vá se difundindo, a compatibilidade entre os
múltiplos vendedores, fornecedores de VPN, se tornará uma grande vantagem.
3.5.5 O Futuro
da Segurança Os
grupos de pesquisa do IETF representam o futuro da segurança na rede. Não
é bom o suficiente a utilização do IPSec sozinho, mesmo o quão refinada
seja a sua especificação. Há um consenso com relação à vários aspectos da
política de rede, a interoperabilidade entre diferentes vendedores de
implementações IPSec, e o suporte a autenticações padrões adicionais que
ainda são críticas. Os usuários ainda
precisarão dos meios para efetivamente gerenciar suas VPNs. Estes
benefícios, em forma de ferramentas de gerenciamento VPN e padrões, ainda
estão emergindo como extensões do protocolo IPSec.
4. Soluções VPN
Há quatro componentes principais
quanto a segurança de uma VPN baseada na Internet: a Internet, os Gateways
de segurança, os servidores da política de segurança e as autoridades de
certificação. A Internet provê as ferramentas
básicas para uma VPN. Os Gateways de segurança se situam entre a rede
pública e a rede privada, prevenindo intrusões não-autorizadas. Estes
podem ainda prover facilidades de tunelamento e criptografar dados
privados antes que os mesmos sejam transmitidos na rede pública. Em geral,
um gateway de segurança para uma VPN se encaixa nas seguintes categorias:
roteadores, firewalls, hardware de VPN integrado, e software VPN.
Devido aos roteadores terem que examinar e
processar cada pacote que deixa a LAN, o ideal é incluir o pacote de
criptografia nos roteadores. Geralmente, os vendedores de serviços
baseados em VPN oferecem 2 tipos de produtos: software agregado ou placa
de circuito adicional com co-processador baseado num mecanismo de
criptografia. O último é melhor para situações que necessitem de um
throughput maior. Se dentro da empresa, há a
utilização de um produto de somente um fornecedor, a adição de suporte de
criptografia a estes roteadores reduz os custos do upgrade da VPN. Por
outro lado, acrescentar tarefas de criptografia a um equipamento que já
funciona como roteador, aumenta os riscos, pois perde-se a confiabilidade,
ou seja, numa falha do roteador, falha também a VPN.
A utilização de firewalls para criar VPNs é
uma solução funcional, para algumas redes. VPNs baseadas em firewalls
possuem melhor performance em redes pequenas que possuem pequenos volumes
de tráfego (na ordem de 1 a 2 Mbps num link WAN) e que possua uma certa
estaticidade, não necessitando de frequentes reconfigurações.
Muitos vendedores de firewalls incluem a
facilidade de tunelamento em seus produtos. Os firewalls devem processar
todo o tráfego IP baseados nas definições de seus próprios filtros. Devido
ao alto processamento desenvolvido pelos firewalls, eles são alocados para
funções de tunelamento em grandes redes. A combinação de tunelamento e
criptografia com firewalls é provavelmente a melhor opção somente em redes
com baixo volume de tráfego. Porém, como os roteadores, eles também podem
ser um único ponto de falhas. Outra solução
VPN é a utilização de um hardware específico para funções de tunelamento,
criptografia, e autenticação de usuário. Estes equipamentos operam
geralmente como pontes de criptografia, situadas entre a rede dos
roteadores e os links WAN. Apesar da maioria destes equipamentos de
tunelamento serem projetados para configurações de LAN-para-LAN, alguns
produtos ainda suportam tunelamento de cliente-para-LAN.
A integração de várias funções num único
produto pode ser particularmente atrativa para negócios que não possuam
ferramentas para instalar e administrar um número de equipamentos de redes
diferentes. Uma pronta instalação pode certamente tornar mais fácil o
"setup" de uma VPN do que a instalação do software no firewall e a
reconfiguração do roteador, bem como a instalação de um servidor RADIUS,
por exemplo. Dentre as diversas possibilidades
e facilidades da VPN, o administrador de rede deve decidir quais
funcionalidades deseja implementar num único equipamento, de acordo com o
cenário vigente. Pequenos negócios sem uma ampla equipe de suporte
(principalmente no que tange à segurança) serão beneficiados com produtos
que integrem todas as funcionalidades de uma VPN, assim como de outros
serviços de rede. Alguns produtos, especialmente os mais caros, incluem
duplas fontes de alimentação, para garantir confiabilidade.
Deve ainda se considerar a integração do
controle de outras funções relativas à rede, como reserva de recursos e
controle de banda. Algumas empresas incluem tais benefícios em seus
produtos, e isto é uma tendência muito forte em um futuro bem próximo. A
integração do controle de tráfego com autenticação e controle de acesso
também fazem sentido ao longo do tempo, conforme a política de
gerenciamento de rede for se tornando mais predominante.
Os softwares de VPN também disponibilizam a
criação e administração de túneis, tanto entre um par de gateways de
segurança quanto entre um cliente remoto e um gateway de segurança. Estes
softwares de sistema VPN são em geral, uma boa escolha de baixo custo para
sistemas que sejam relativamente pequenos e que não exijam um
processamento de tráfego muito alto. Tais soluções podem rodar em
servidores já existentes e compartilhar recursos com eles. Muitos destes
sistemas funcionam muito bem para conexões de clientes-para-LANs.
Além do gateway de segurança, outro componente
de uma VPN é o servidor de segurança. Este servidor mantém as listas de
controle de acesso e outras informações referentes ao usuário que o
gateway utiliza para determinar que tráfego é autorizado. Por exemplo, em
alguns sistemas, o acesso pode ser controlado através de servidor RADIUS.
E por último, as autoridades de certificação
são necessárias para verificar quais as ferramentas compartilhadas entre
os sites e podem ainda ser utilizadas para verificar usuários usando
certificados digitais. As empresas podem ainda escolher em manter sua
própria base de dados dos certificados digitais para usuários por meio de
um servidor de certificação corporativa. Se uma rede VPN corporativa
cresce até uma extranet, então um certificado de autenticação externo pode
ainda ser utilizado para verificar os usuários dos parceiros de
negócios.
5. Benefícios
5.1 Benefícios para as Empresas
De
acordo com estudos realizados recentemente, as corporações que utilizam
soluções VPN podem economizar até 60% em comparação com as redes privadas
dedicadas. As soluções VPN permitem que as
empresas possam:
eliminar linhas alugadas de longa distâncias, pois como a
infraestrutura utilizada é a Internet, não há necessidade de se manter
WANs com linhas dedicadas;
eliminar chamadas de longa distância para modems analógicos e
equipamentos de acesso ISDN;
pagar apenas pela banda utilizada, sem o inconveniente ou a
preocupação de se desperdiçar largura de banda em linhas dedicadas de
alta capacidade. Além disso, se a banda se tornar insuficiente, basta
uma simples requisição de aumento ao provedor para melhorar a capacidade
do acesso;
utilizar um número menor de equipamentos, pois uma única solução VPN
pode prover tanto acesso VPN como acesso a Internet, o que elimina o uso
de bancos de modems separados, adaptadores de terminais, servidores de
acesso remoto, etc.;
diminuir a estrutura de rede na extremidade do usuário e as
responsabilidades de gerenciamento.
Além dos benefícios econômicos,
as VPNs também oferecem vantagens técnicas, por prover seus serviços com a
robustez inerenta à infraestrutura de Internet. Entre estas vantagens
podemos citar:
Facilidade de acesso devida a presença de ISPs em qualquer
localidade, criando uma cobertura de rede a nível mundial;
Aumento de throughput devido à diminuição de ruídos na linha com o
acesso local;
Garantia de confiabilidade extremo a extremo pela redundância na
rede e a tolerância de falhas;
Simplificação de treinamento devida a familiaridade com o usuário.
Para exemplificar melhor, vejamos
agora uma comparação de custos entre redes corporativas tradicionais e
VPNs corporativas. As redes tradicionais são baseadas em diversos links
dedicados E1 (2Mbps) de SDH, acarretando altos custos mensais fixos,
custos de instalação e utilização de diversos equipamentos. Além disso,
para os usuários remotos, equipamentos provedores de acesso devem ser
mantidos e diversas linhas telefônicas locais precisam ser alugadas.
Enquanto isso, VPNs utilizam um único link com
menor banda (apresentando taxas de 512kbps ou 768kbps conforme se queira)
e custo variável. Essas VPNs necessitam de somente um roteador no lado do
cliente reunindo todos os serviços (Internet e WAN) em um só,
proporcionando acesso remoto através de um provedor de Internet, com uma
diminuição considerável nos custos de suporte e manutenção. A figura
abaixo mostra um quadro comparativo.
Figura 13:
Comparativo de custos
5.2 Benefícios para os
Provedores de Acesso (ISPs) Muitos dos
benefícios das VPN são aparentes para usuários e corporações. Entretanto,
os provedores de acesso a Internet (ISPs) também esperam lucrar com seu
uso. O potencial de renda com a migração das redes corporativas para VPNs
é enorme, e o retorno de investimento é ainda melhor.
Muitos ISPs experimentam picos de tráfego
apenas durante um período limitado do dia. Como resultado, muitos dos
recursos necessários para suprir esta demanda de pico permanecem inativos
na maior parte do tempo. Porém, As VPNs
permitem uma utilização de recursos dia e noite com usuários corporativos
criando picos de utilização durante o dia e usuários remotos criando picos
durante a tarde. Com este balanceamento de negócios e de assinantes, os
ISPs podem dobrar o retorno de investimento com as VPNs.
a) Tráfego de Dados Corporativos
Aproximado b) Tráfego de Dados de
Consumidores (Internet) Aproximado c) Soma de
Tráfegos de Negócios e de Consumidores
Figura 14:
Estimativa de Potencial de Renda Expandido com as VPNs
Além disso, podemos citar outros
benefícios para os ISPs:
Habilidade de atrair clientes corporativos;
Oportunidade de estabelecer relações estratégicas a longo prazo com
grandes corporações;
Superioridade competitiva com relação a outros ISPs ou uma
oportunidade de estabelecer acordos de serviços mutuamente lucrativos
com outros ISPs;
Possibilidade de impulsionar a infraestrutura existente com pouco
investimento.
5.3 Conclusões Além dos
benefícios econômicos e técnicos aplicados aos dias de hoje, as VPNs
também têm a capacidade de estimular e impulsionar o desenvolvimento
tecnológico. Quando se fala em VPNs, imagina-se
logo os enormes benefícios que elas oferecem às corporações, aos usuários
e aos provedores de Internet, enfim, são apenas visualizados seus efeitos
para a realidade presente. Porém, não podemos
deixar de lado as oportunidades que a tecnologia VPN e sua demanda de QoS
reservam para o futuro. As VPNs também têm sua parcela de contribuição no
desenvolvimento de novas tecnologias de desempenho e segurança na
Internet, proporcionando um esforço muito mais colaborativo e acelerado no
tocante a estas questões.
