Anda di halaman 1dari 70

FACULDADE PROFESSOR MIGUEL ÂNGELO DA SILVA SANTOS – FeMASS

CURSO DE GRADUAÇÃO EM SISTEMAS DE INFORMAÇÃO

Implementação de acesso remoto seguro utilizando redes privadas virtuais

POR:
TONY MACHADO KRISTIANSEN

MACAÉ
2018
FACULDADE PROFESSOR MIGUEL ÂNGELO DA SILVA SANTOS – FeMASS
CURSO DE GRADUAÇÃO EM SISTEMAS DE INFORMAÇÃO

Tony Machado Kristiansen

IMPLEMENTAÇÃO DE ACESSO REMOTO SEGURO UTILIZANDO


REDES PRIVADAS VIRTUAIS

Trabalho Final apresentado ao curso de graduação


em Sistemas de Informação, da Faculdade Professor
Miguel Ângelo da Silva Santos (FeMASS), para
obtenção do grau de BACHAREL em Sistemas de
Informação.

Professor Orientador: Anselmo Pestana.


MACAÉ/RJ
2018
TONY MACHADO KRISTIANSEN

IMPLEMENTAÇÃO DE ACESSO REMOTO SEGURO UTILIZANDO


REDES PRIVADAS VIRTUAIS

Trabalho de Conclusão de Curso apresentado ao curso de


graduação em Sistemas de Informação, da Faculdade Professor
Miguel Ângelo da Silva Santos (FeMASS), para obtenção do
grau de BACHAREL em Sistemas de Informação.

Aprovada em ___ de _______ de 20___

BANCA EXAMINADORA

___________________________________________________________________
Anselmo Pestana
Faculdade Professor Miguel Ângelo da Silva Santos (FeMASS)
1º Examinador
___________________________________________________________________
Isac Mendes Lacerda
Faculdade Professor Miguel Ângelo da Silva Santos (FeMASS)
2º Examinador
DEDICATÓRIA

Gostaria de agradecer a minha família pelo apoio e suporte durante todo o tempo que me
dediquei aos estudos.
AGRADECIMENTO

Gostaria de agradecer a minha família pela ajuda e suporte durante a elaboração do trabalho e
sem a ajuda deles eu não iria conseguir desenvolver este trabalho de conclusão de curso.
Gostaria de lembrar que o meu pai, apesar de estar falecido, mas ainda está vivo em minha
memória e agradecer por tudo o que ele fez por mim.
EPÍGRAFE

Meus filhos terão computadores, sim, mas antes


terão livros. Sem livros, sem leitura, os nossos filhos
serão incapazes de escrever - inclusive a sua própria
história.
Bill Gates
RESUMO

A literatura demonstra que cada vez mais as empresas valorizam as informações e


paralelamente surge a necessidade de investir em tecnologias que protejam e mantenham as
informações em confidencialidade. Este trabalho tem como objetivo descrever a importância
das redes privadas virtuais, bem como os possíveis modelos de implementação, abordando as
justificativas de sua aplicação, apresentando os recursos, vantagens e desvantagens que a
tecnologia oferece. Neste cenário, visando a implementação do serviço de VPN, será aplicado
o software open vpn em ambiente windows. Como resultado espera-se que o leitor tenha o
entendimento das variadas formas que esta tecnologia pode ser utilizada em diversos
ambientes de infraestrutura de informação. Uma infraestrutura de tecnologia de informação
implantada com segurança sempre deixa os clientes satisfeitos e seguros, podendo realizar as
suas transações e se comunicando com os seus fornecedores de uma forma segura e confiável.

Palavras-chave: Redes. Criptografia. Privadas. Virtuais.


ABSTRACT

The literature shows that more and more companies value information and, at the same time,
the need to invest in technologies that protect and maintain confident information increases.
The course completion work aims to describe the importance of virtual private networks, as
well as possible models of implementation, approaching the justifications for its application,
showing resources, vantages and disadvantages that the technology offers. In this scenario, in
order to implement the VPN service, the open vpn software will be applied in windows
environment. As a result, the reader is expected to understand the many ways this technology
can be used in various information infrastructure environments. A securely deployed
information technology infrastructure always leaves customers satisfied and safe, being able
to carry out their transactions and communicating with their suppliers in a safe and reliable
way.

Key words: Virtual. Private. Network. Cryptography.


LISTA DE FIGURAS

1. Redes – Sabe o que é o modelo OSI?..........................................................................22


2. Etapas para conexão de redes privadas virtuais...........................................................25
3. Processo de encriptação e decifragem.........................................................................26
4. Criptografia simétrica e híbrida...................................................................................27
5. Criptografia híbrida.....................................................................................................28
6. Conexão ponto-a-ponto................................................................................................31
7. Conexão entre os roteadores........................................................................................32
8. Host-to-gateway...........................................................................................................33
9. Hub and spoke..............................................................................................................34
10. Full-mesh.....................................................................................................................35
11. Partial-mesh.................................................................................................................36
12. Certificados digitais.....................................................................................................41
13. Em frente ao firewall...................................................................................................44
14. Gateway RPV atrás do firewall...................................................................................45
15. A combinação do firewall e gateway em um único equipamento...............................46
16. Gateway RPV em paralelo ao firewall........................................................................47
17. Gateway do lado do firewall........................................................................................48
18. Em conjunto com outros equipamentos de uma DMZ................................................49
19. DMZ separada.............................................................................................................50
20. Topologia da empresa.................................................................................................52
21. Organograma proposto para a empresa.......................................................................53
22. Servidor VPN..............................................................................................................54
23. Conexão com cliente OpenVPN.................................................................................56
24. Computador cliente.....................................................................................................57
25. Webmin – Menu para a gestão de certificados...........................................................58
26. Webmin - Menu de configuração de VPN’s...............................................................59
27. Webmin - Estatísticas das VPN’s...............................................................................59
LISTA DE ABREVIATURAS E SIGLAS

RPV – redes privadas virtuais


VPN – virtual private network
13

SUMÁRIO

1 Capítulo 1 - Introdução………….....…........……………....….…………..……..........15
1.1 Quais são os benefícios de se implementar redes privadas virtuais?...............16
2 Capítulo 2 – Referencial teórico..................................................................................19
2.1 Surgimento do OpenVPN................................................................................19
2.2 Conceitos básicos de rede................................................................................20
2.2.1 Modelo OSI...................................................................................20
2.3 Protocolos de rede...........................................................................................24
2.3.1 Modelo TCP/IP..............................................................................23
2.3.2 TCP: Serviço de Transporte Confiável.........................................23
2.3.3 UDP: Serviço de Transporte não Confiável..................................24
2.4 Redes Privadas Virtuais...................................................................................24
2.5 Conceitos de criptografia.................................................................................25
2.6 Criptografia assimétrica com SSL/TLS...........................................................26
2.7 Criptografia simétrica e híbrida.......................................................................27
2.8 Criptografia híbrida.........................................................................................27
2.9 Hash one-way..................................................................................................28
2.10 Encriptando o tráfego................................................................................28
2.11 Segurança da informação..........................................................................28
2.12 Segurança de RPV.....................................................................................29
2.13 Implementação de redes privadas virtuais.................................................30
2.13.1 Requisitos de rede..........................................................................30
2.13.2 Aplicações para VPN.....................................................................31
2.13.3 Host-to-Gateway............................................................................32
2.13.4 Topologia.......................................................................................33
2.13.5 Hub-and-spoke...............................................................................34
2.13.6 Full-Mesh......................................................................................35
2.13.7 Partial-Mesh..................................................................................35
2.13.8 Tipos de redes privadas virtuais....................................................36
14

2.14 Rede privada virtual em ambiente Windows............................................37


2.14.1 História..........................................................................................37
2.14.2 Interface gráfica do Windows.......................................................37
2.14.3 Instalação da tecnologia em plataforma Windows........................38
2.15 O sistema operacional Linux como ambiente de instalação para a rede privada
virtual...............................................................................................................38
2.15.1 Ambiente Linux.............................................................................38
2.16 Conexão ponto-a-ponto..............................................................................39
2.17 Point-to-Point Tunneling Protocol (PPTP)................................................40
2.18 Certificados digitais...................................................................................41
2.19 Posicionamento do gateway de redes privadas virtuais como opção de
segurança.........................................................................................................42
2.20 Firewall......................................................................................................42
2.21 Firewall e VPN..........................................................................................43
2.22 Em frente ao firewall.................................................................................44
2.23 Quando o gateway de RPV está atrás do firewall.....................................45
2.24 A combinação do firewall e gateway em um único equipamento.............45
2.25 Em paralelo ao firewall..............................................................................46
2.26 Gateway da VPN na DMZ.........................................................................48
2.27 Em conjunto com outros equipamentos de uma DMZ..............................48
2.28 Gateway de RPV em uma DMZ separada.................................................49
3 Capítulo 3 - estudo de caso: proposta de implementação de VPN..............................51
3.1 Apresentação da empresa................................................................................51
3.2 Especificações de hardware.............................................................................53
3.3 Características do OpenVPN...........................................................................54
3.4 Configuração do OpenVPN.............................................................................54
3.5 Aplicação web para gerenciamento da rede VPN – Webmin......................... 57
4 Capítulo 4: considerações finais.................................................................................60
5 Referências bibliográficas..........................................................................................68
15

1 – Capítulo 1: Introdução

Segundo, durante anos quando as empresas queriam trocar informações entre os seus
segmentos, elas utilizavam tecnologias mais antigas como telefone, fax e correio. Com a
aceleração dos negócios as empresas verificaram a necessidade de utilizar outras técnicas para
fazerem a comunicação para ganhar tempo e tornar esse processo mais prático. Depois foram
surgindo outras tecnologias como as chamadas de Groupware, um software colaborativo que
apoia o trabalho em grupo, ou coletivamente, como os CRM’s (customer relationship
manager) e ERP (enterprise resource planning) (FEILNER E GRAF, 2009).
Esses programas são utilizados para tornar o trabalho em equipe mais eficiente.
Acontece muito no cenário atual funcionários que acessam a rede interna da empresa de locais
remotos, até das suas próprias casas. É interessante que esses funcionários tenham acesso aos
recursos internos de tecnologia da informação para que possam acessar a rede interna da
empresa de forma eficiente e segura. E todos os computadores que estão nessa rede deverão
atingir um nível alto de segurança que a empresa exige com a implementação da tecnologia.
Para se ter ideia da quantidade de formas possíveis de se integrar dispositivos na rede interna
da empresa, até os smartphones podem ser incluídos na rede privada virtual. Esses fatores têm
demandado soluções de rede sofisticadas a em todo o mundo. É possível por exemplo integrar
empresas clientes e prestadoras de serviço para se comunicarem com muito mais segurança e
eficiência. Antigamente quando era necessário realizar tal conexão, as empresas precisavam
se conectar fisicamente entre os segmentos da empresa, o que era muito caro. Essa prática
continuou sendo utilizada até meados dos anos 90, depois quando a internet cresceu e se
tornou mais barata, os profissionais da área de tecnologia de informação, os gerentes e
administradores se conscientizaram de que deve existir soluções melhores para esse tipo de
problema.
Baseado no avanço tecnológico e barateamento dos meios de comunicação aliados a
necessidade de recursos de segurança surgiu a tecnologia das redes privadas virtuais que hoje
é utilizada “como conexão entre corporações através da internet e podem ser úteis para
usuários móveis ou remotos, bem como filiais distantes de uma empresa”. (CHIN, 1998)
16

Este trabalho tem como objetivo geral a elaboração de um estudo sobre o uso das redes
privadas virtuais em empresas de qualquer porte, com uma proposta de implementação.
Como objetivos específicos serão apresentadas as seguintes etapas:
 Especificação de conceitos de rede como informações preparatórias para posterior
aprofundamento em redes privadas virtuais;
 Descrição da história do OpenVPN e como surgiu;
 Demonstração das vantagens e desvantagens de utilização do OpenVPN;
 Demonstração das etapas necessárias para estabelecer uma conexão de redes privadas
virtuais e como isto pode ser feito com êxito;
 Apresentação de conceitos de segurança e suas aplicações em redes privadas virtuais.

Uma pergunta importante surge quando o assunto é redes privadas virtuais: porque utilizar
essa tecnologia? Quais são os benefícios de utilizar essa tecnologia tendo em vista o custo
para implementá-la? O conceito de redes privadas virtuais está diretamente ligado a segurança
de informação. Antigamente quando as empresas precisavam realizar uma conexão segura
entre suas filiais, elas precisavam construir uma infraestrutura para poder conectar as filiais
com segurança. Naquela época se algum intruso quisesse interceptar as informações, ele
precisava grampear os cabos fisicamente, o que não era fácil (MARLETA, 2007)
(TANEMBAUM, 2003). Hoje em dia esse conceito foi substituído por uma tecnologia que
reduziu consideravelmente o custo por criar um software que funcionasse com encriptação de
dados a fim de transferir essas informações. (MARLETA, 2007)

1.1 - Quais são os benefícios de se implementar redes privadas virtuais?

Quando os dados de uma empresa precisam de confidencialidade, ou as informações dessa


empresa precisam estar em conformidade com as normas de segurança da informação para
evitar que pessoas não autorizadas tivessem acesso a informações importantes da empresa. A
fim de garantir essas premissas, três itens precisam fazer parte de qualquer projeto de
segurança: a confidencialidade, a disponibilidade e integridade das informações. Esses três
itens deverão fazer parte de qualquer projeto de segurança e inclusive farão parte das redes
17

privadas virtuais. Não seria adequado configurar a segurança da informação com muito rigor
se essas informações não estivessem disponíveis para as pessoas autorizadas. Da mesma
forma os dados precisam de integridade. Além das informações poderem ser interceptadas e
lidas, estas podem ser alteradas. Isso pode ser prejudicial por exemplo quando uma transação
é feita e em seguida o invasor altera as informações, assim comprometendo a sua integridade.
Quando as redes privadas virtuais são configuradas corretamente, podemos considerar
a rede segura contra invasores maliciosos. Existem empresas que tem escritórios e fábricas
espalhadas por vários lugares até pelo mundo, e como o custo de se implantar uma rede
privada com uso de linhas nesse caso seria muito alto. Por isso o uso de redes privadas
virtuais tem se tornado cada vez mais comum. As redes privadas virtuais funcionam muito
bem e são bastante seguras. Se forem configuradas corretamente, é possível garantir controle
de integridade, sigilo e até uma considerável imunidade contra análise de tráfego.
(TANEMBAUM, 2003).
A temática justifica-se dado o uso cada vez mais frequente por pessoas no mundo,
inclusive no Brasil. De acordo com o artigo “Por que cada vez mais empresas adotam o home
office”, a produtividade aumenta e os custos são reduzidos. Segundo Stefano e Rossi,
[Nos Estados Unidos, 40% dos trabalhadores usam a opção do home office. Uma
pesquisa recente mostra que no Brasil 26% das grandes empresas oferecem a
possibilidade de trabalho remoto em parte da jornada a pelo menos uma parcela dos

funcionários — um ano antes eram 22%.] (STEFANO E ROSSI, 2015)


As informações percorrem vários segmentos nas empresas e com o passar do tempo é
necessário transmiti-las de uma forma eficiente, flexível e confiável. Os métodos antigos se
tornam obsoletos:
 [Antigamente, a troca de informações entre segmentos da empresa era feita
principalmente por e-mail, telefone, e mais tarde por fax. Hoje existem cinco
principais desafios que justificam o uso das soluções modernas de redes
privadas virtuais nas empresas;
 A aceleração dos processos de negócios de uma forma geral e a crescente
demanda por troca de informações de forma rápida e flexível entre todos os
segmentos de uma empresa tem feito o uso de e-mail e até serviços de fax
obsoletos por serem lentos demais para as exigências atuais;
 Tecnologias como Groupware, CRM e ERP são usados para garantir trabalho
18

em equipe produtivo e é esperado que cada funcionário deva cooperar.


 Quase todas as empresas têm segmentos em locais diferentes e frequentemente
tem funcionários de campo e que trabalham em casa. Todos estes devem estar
disponíveis para participar nas trocas de informações internas sem atraso;
 Todas as redes de computadores precisam atender a padrões de segurança de
alto nível para garantir integridade, disponibilidade e estabilidade dos dados;
 Acessos seguros e flexíveis para dispositivos celulares precisam ser
implementados, incluindo novas estratégias para laptops e smartfones
modernos.] (FEILNER E GRAF, 2009)

Por que a escolha do OpenVPN? A escolha justifica-se dada a sua versatilidade, software
livre, fácil implementação e compatível com quase todos os firewalls e proxys. A tecnologia
oferece recursos versáteis na criação de scripts que podem ser usados para uma grande
variedade de propósitos.
A seguir são listadas algumas das vantagens de se utilizar a tecnologia. (FEILNER E
GRAF,2009)
 Proteger trabalhadores de campo com firewall interno;
 Conexões de OpenVPN podem ser realizadas através de quase todos os firewalls e
proxys;
 Possui os modos de cliente e servidor e possui suporte aos protocolos UDP e TCP;
 Somente uma porta no firewall deverá ser aberta para permitir conexões que estão
chegando;
 Sem problemas de compatibilidade com NAT;
 Interfaces virtuais permitem uma rede flexível com características específicas e é
possível inserir quase qualquer regra de firewall que se possa imaginar;
 Alta flexibilidade com possibilidades de script extensas;
 Suporte de alta performance para IP's dinâmicos;
 Instalação simples em qualquer plataforma;
 Design modular;
 Suporte para celulares e dispositivos embarcados;
 Comunidade muito ativa;
19

O uso da tecnologia torna possível o funcionamento de vários segmentos em locais diferentes


em uma única rede, como se funcionassem em um único local. O seu uso aumenta
significativamente a segurança da informação e dificulta a interceptação das informações.
Não é possível afirmar que há garantia absoluta de que não existirá acesso não autorizado, no
entanto, o grau de segurança da informação é aumentado significativamente.
O trabalho está sendo elaborado com uso de publicações específicas, buscando as razões
que fundamentam a implementação da tecnologia.
[tenta explicar os princípios, processos e as leis que regulam os fenômenos
objetivados. Propõe, assim, uma descrição detalhada, procurando responder
renovadamente como ocorrem certos fatos sujeitos a investigação. Quanto a isso,
Bunge (1980:30) assevera: ‘a história da ciência ensina que as explicações
científicas se corrigem ou descartam sem cessar. ] (KAHLMEYER-MERTENS,
2007)
A pesquisa está sendo realizada por meio revisão bibliográfica de estudos feitos por
profissionais do ramo de atuação, com uso de publicações recentes. O tema está sendo
estudado com textos que expliquem como o uso das redes privadas virtuais podem beneficiar
uma organização de qualquer porte a ter acesso as suas informações de uma forma segura. É
fundamental descrever o porquê do uso da tecnologia, quais são as suas características e
descrever aspectos técnicos e históricos. Dessa forma será possível progredir com
fundamento, os explicando de forma contínua e renovada. Vários aspectos serão estudados e
apesar da abordagem ser bastante técnica, o tema será escrito tendo em vista o leitor, que o
mesmo consiga compreender as suas características, apesar da complexidade. Além de um
estudo de caso através instalação das redes privadas virtuais em ambiente Windows.

2 - Capítulo 2: referencial teórico

2.1 - Surgimento do OpenVPN

James Yonan realizou uma entrevista que foi publicada em 2003 e duvidou da segurança das
redes disponíveis no local onde estava. Ao realizar uma pesquisa, o mesmo descobriu duas
vertentes no estudo das redes privadas virtuais: uma buscando a segurança e outra a
20

usabilidade. Na época não existia nenhuma tecnologia que combinasse as duas características.
Depois de realizar alguns estudos sobre as redes privadas virtuais de código aberto, o mesmo
decidiu que teria a usabilidade como prioridade para continuar o seu trabalho. Yonan escolheu
o nome OpenVPN por causa da mensagem clara de que este é software livre e gratuito.
(FEILNER E GRAF, 2009)
Quando se fala em segurança das informações geralmente se fala em confidencialidade,
disponibilidade e integridade. Confidencialidade é o conceito de que somente as pessoas
autorizadas a acessar uma determinada informação deve possuir esse tipo de permissão.
Disponibilidade está ligado ao fato de que as informações devem estar disponíveis, por
exemplo, não adianta ter uma senha muito complexa se não se consegue lembrar daquela
senha. Integridade está ligado ao fato das informações não sofrerem alterações enquanto
foram transferidos de um lugar para o outro, ou seja, que as informações estejam íntegras.

2.2 - Conceitos básicos de rede

2.2.1 - Modelo OSI

A existência de uma vasta gama de protocolos envolvidos em qualquer atividade de uma


conexão com uma rede local ou internet, deu início a um padrão chamado OSI, que em inglês
significa: Open Systems Inter connection. O modelo OSI visa estabelecer um padrão de
comunicação, respeitando uma hierarquia de 7 camadas, as quais serão descritas
detalhadamente a seguir:

 Camada física (1): essa é a camada mais baixa da hierarquia, é onde os sinais são
transmitidos através de meios ópticos e/ou elétricos. Devemos ter em mente que
existem limitações do que a natureza oferece como o que pode ser transmitido através
de um canal. Os meios mais comuns de transmissão são através de meios magnéticos,
como fita magnética e mídia removível como por exemplo DVDs graváveis. Existe
também o par trançado, que consiste de dois fios de cobre encapados de forma
helicoidal, semelhante a uma molécula de DNA. Existem os cabos coaxiais, que tem
21

uma resistência maior que os pares trançados. O limite prático da fibra ótica é de cerca
de 10 Gbps, por causa da incapacidade de converter sinais elétricos em ópticos com
uma velocidade maior. Hoje em dia as pessoas precisam estar o tempo todo online, por
isso as pessoas estão predizendo que no futuro haverá apenas dois tipos de conexão:
sem fio e fibra ótica. Nas comunicações de rede sem fio temos transmissão de rádio,
transmissão de micro-ondas, transmissão de ondas de luz e satélite de comunicações.
(TANEMBAUM, 2003);
 Camada de link (2), ou enlace de dados: os pacotes de dados são codificados e
decodificados em bits. Poderíamos imaginar que não seria necessário nenhum tipo de
tratamento nos dados que são transmitidos através dos meios físicos, pois eles já vêm
na ordem em que serão armazenados para a próxima camada, mas esse entendimento é
errado, pois existem falhas nos hardwares e bits significativos poderiam ser perdidos.
Assim podemos considerar parte da camada de link de dados os algoritmos que tratam
dessas falhas. (TANEMBAUM, 2003);
 Camada de rede (3): roteamento, endereçamento, tratamento de erros e etc. Enquanto a
camada de enlace de dados tem o objetivo mais modesto de apenas mover os dados de
uma extremidade do fio até a outra, a camada de rede é a camada mais baixa que leva
dados de uma origem até o final. O endereço IP faz parte dessa camada.
(TANEMBAUM, 2003);
 Camada de transporte (4): controle de fluxo e onde se garante que os dados cheguem
ao destino, recuperando os que foram perdidos durante a transmissão. A camada de
transporte é o núcleo de toda a transferência das informações. Sem essa camada, todo
o conceito do modelo OSI não faria sentido. O objetivo da camada de transporte é
oferecer um serviço confiável de transporte para os processos nas aplicações.
(TANEMBAUM, 2003);
 Camada de sessão (5): A camada de sessão permite que usuários de diferentes
máquinas estabeleçam sessões entre si, esta camada oferece serviços mantendo o
controle de quem deve transmitir a cada momento. Serviços que impedem que duas
máquinas tentem acessar a mesma operação crítica ao mesmo tempo e serviços de
22

sincronização, que garante que as transmissões continuem depois de ter acontecido


alguma falha. (TANEMBAUM, 2003);
 Camada de apresentação (6): tradução de dados de aplicações para o formato de rede e
vice-versa, segundo Tanembaum, “diferente das camadas mais baixas, que se
preocupam principalmente com a movimentação de bits, a camada de apresentação
está relacionada à sintaxe e à semântica das informações transmitidas”.
(TANEMBAUM, 2003);
 Camada de aplicação (7): As camadas que vimos abaixo não executam efetivamente
nenhuma função para os usuários. Existem camadas de suporte que permite que as
aplicações funcionem. Aqui estão incluídos os nomes de domínio da internet como
site.edu, site.gov e etc... Segundo
[As camadas situadas abaixo da camada de aplicação têm a
função de oferecer um serviço de transporte confiável, mas
na verdade elas não executam qualquer tarefa para os
usuários.] (TANEMBAUM 2003)
Figura 1

Fonte: Redes – Sabe o que é o modelo OSI?


23

As camadas estão ligadas umas às outras de forma hierárquica. Uma camada funciona como
um intermediário com a camada acima e a camada abaixo, e só é possível realizar troca de
dados na última camada (aplicação), quando todas as outras seis camadas conseguirem se
comunicar. Segundo Liou Kuo Chin “O tunelamento pode ocorrer na camada 2 ou 3
(respectivamente enlace e rede) do modelo de referência OSI (Open Systems Inter
connection).”

2.3 - Protocolos de Rede

2.3.1 - Modelo TCP/IP

O modelo de rede TCP/IP é composto por duas partes: cabeçalho e dados. Podemos compará-
lo com uma carta, onde o rótulo contém informações a respeito do remetente e destinatário,
enquanto o envelope mantém o conteúdo com as páginas escritas. Um pacote TCP/IP possui o
cabeçalho, que contém informações sobre o destinatário, emissor, outras informações
administrativas para o transporte e os dados. (FEILNER E GRAF, 2009) (TANENBAUM,
2003)

2.3.2 - TCP: Serviço de Transporte Confiável

O protocolo TCP foi projetado para trazer uma comunicação confiável em uma rede com uma
infraestrutura de rede não confiável. Podemos afirmar que na rede temos dispositivos que
possuem velocidade de transmissão e outros diversos fatores que os diferenciam. O TCP foi
feito para se adaptar a essas diferenças e ser robusto mesmo diante de eventuais falhas que
poderiam aparecer (TANEMBAUM, 2003). O TCP utiliza um serviço não confiável oferecido
pelo datagrama IP sobre meios de transporte confiáveis. O TCP deve utilizar o método mais
eficiente e que consuma menos recursos para não sobrecarregar a rede. Embora outros
protocolos tenham sido criados, nenhum se mostrou tão eficiente quanto o TCP/IP, por isso é
o protocolo de propósito geral mais utilizado atualmente. As redes podem ser divididas em
três categorias:
24

Local Area Network: pode abranger um prédio ou uma universidade;


Metropolitan Area Network: abrange a área de uma cidade;
Wide Area Network: pode abranger a área de várias cidades, países ou continentes.
(COMER, 2001)

2.3.3 - UDP: Serviço de Transporte não Confiável

O protocolo UDP (user datagram protocol) é bastante simples e utilizado para multimídia e
algumas interações de cliente/servidor, porém muitas das aplicações da internet exigem uma
entrega confiável das informações. O protocolo UDP não foi confiável suficiente e por isso
foi criado o protocolo TCP.

2.4 - Redes Privadas Virtuais

“As redes privadas virtuais são redes conectadas através de diversos locais públicos e
privados, como se estivessem funcionando em uma única rede única e privada” (COMER,
2001). Etapas para estabelecer uma conexão de redes privadas virtuais, existem três etapas
para estabelecer uma conexão de redes privadas virtuais.
1. Os dispositivos precisam estabelecer uma conexão;
2. Precisam utilizar os mesmos métodos de criptografia;
3. Os dispositivos precisam utilizar as mesmas formas de troca de chaves.
25

Figura 3: Etapas para conexão de redes privadas virtuais.

Fonte: Feilner e Graf, 2009.

“Por esse motivo muitos consideram a tecnologia de redes privadas virtuais um conceito
complexo e difícil. A variedade de formas que as tecnologias estabelecem conexões define
cada solução de rede privada virtual”. (FEILNER E GRAF, 2009)

2.5 - Conceitos de criptografia

[a palavra criptografia vem do grego (Kryptos que significa escondido,


oculto e grafia, que significa escrita) e pode ser definida como a arte ou
ciência de garantir a segurança das mensagens, de forma que apenas pessoas
autorizadas as leiam. Ela garante confidencialidade, autenticidade,
integridade e não-repúdio.] (VASQUES E SCHUBER, 2002, PAG 19)
O processo de criptografia funciona da seguinte forma: um emissor envia a mensagem com
uma chave que cifra a mensagem original de forma que ninguém que tiver acesso a mensagem
criptografada possa ler. Quando esse texto chega ao destinatário o receptor que tiver a chave
realizará o processo inverso e terá acesso a mensagem original (VASQUES E SCHUBER,
2002).
26

Figura 2 - Processo de encriptação e decifragem.

Fonte: Vasques e Schuber.

A criptografia é uma área de estudo em que os criptógrafos se dedicam para transformar texto
em algo que não é possível ler. Quando o texto é criptografado, o mesmo deveria ser
impossível de ser transformado no texto original para pessoas não autorizadas. Na verdade,
deveria funcionar dessa forma, pelo menos essa é uma das premissas da criptografia. A
criptografia é um dos pilares das redes privadas virtuais e existem dois processos envolvidos,
o de criptografar e o processo inverso. Interessante notar que antigamente o algoritmo
utilizado no processo tinha que ser único, ou seja, tinha que ser criado pelas pessoas que
faziam parte da empresa. Se alguém saísse da empresa, na mesma hora o algoritmo deveria
ser substituído. Se alguém fora da empresa comprasse o mesmo produto de encriptação, ele
podia receber as informações os descriptografar. A solução para esse problema surgiu com a
utilização das chaves, assim o algoritmo de criptografia pode se tornar público, pois a
segurança está nas chaves e não no algoritmo em si. Dessa forma as pessoas que utilizam a
criptografia podem compartilhar entre si várias chaves para poderem assim manterem uma
conexão segura. (MARLETA, 2007)

2.6 - Criptografia assimétrica com SSL/TLS

A tecnologia de encriptação utilizada pelo SSL/TLS é a melhor existente, cujo nome é


criptografia assimétrica. Existem dois tipos de chaves que são entregues para ambos os
dispositivos participantes em uma rede privada virtual, são as chaves pública e privada.
Depois que o algoritmo “embaralhar” os bits com a chave pública, o destinatário só pode
“desembaralhar” os bits para o estado original se o mesmo estiver com a chave privada.
(FEILNER E GRAF, 2009)
27

2.7 - Criptografia simétrica e híbrida

A criptografia simétrica não é a mais segura, pois utiliza somente uma chave para poder
criptografar e decifrar os dados. A chave é o item mais importante do conjunto de
componentes e cada integrante do grupo deverá possuí-la exclusivamente. (MARLETA, 2007)
Figura 4 – criptografia simétrica e híbrida.

Fonte: Marleta, 2007

2.8 - Criptografia híbrida

Existem vantagens e desvantagens de se utilizar cada técnica de criptografia. No processo de


criptografia híbrida gera-se uma chave simétrica e depois utiliza-se um algoritmo assimétrico
para trocar a chave entre as máquinas. Depois que a troca da chave simétrica ocorreu através
do algoritmo assimétrico, a antiga chave é descartada e utiliza-se somente a última. Dessa
forma há um aumento significativo na performance.

Figura 5 – criptografia híbrida.

Fonte: Marleta, 2007

2.9 - Hash one-way


28

Hash one-way são os algoritmos que criptografam uma cadeia de dados que depois ficam
impossíveis de decifrar, ou seja, fazer o processo inverso. É muito utilizado para criptografar
senhas, cartões de crédito entre outros. Esse algoritmo utiliza uma função matemática
complexa e qualquer mudança mínima no texto original faz com que o valor do hash seja
diferente. (MARLETA, 2007)

2.10 - Encriptando o tráfego

Quando uma mensagem é criptografada, existe um mecanismo que “embaralha” os bits da


mensagem de uma forma que somente os dispositivos que tiverem a chave poderão
“desembaralhar” esses bits a fim de ler a mensagem original. Se tiver alguém interceptando a
mensagem, o mesmo não conseguirá ler. A função que criptografa os dados utiliza a chave K,
uma mensagem a ser cifrada M e produz uma mensagem cifrada E. Quando os dois lados
utilizam a mesma chave para descriptografar os dados, a criptografia é chamada simétrica.
Todos os dispositivos que participam da conexão de rede privada virtual deverão ter a mesma
chave. (FEILNER E GRAF 2009, COMER 2001)

2.11 - Segurança da informação

As redes privadas virtuais são utilizadas para garantir a segurança da informação. Pode ser
utilizado por qualquer empresa de qualquer porte. A chegada das redes de computadores
mudou os sistemas de informação como funcionavam antes. Isso causou um grande risco a
integridade e privacidade da informação. Por isso devem existir formas de prevenir que
acessos não autorizados façam acesso a sua rede de computadores. A segurança da informação
pode ser definida da seguinte forma: “A segurança da informação é a proteção dos sistemas de
informação contra a negação do serviço ao usuário autorizado, e contra o acesso e
modificação não autorizada da informação armazenada, em processamento ou em trânsito”.
(CARMO, 2010)
29

Existem algumas definições que caracterizam a segurança da informação e alguns


conceitos não devem ser confundidos. Existem três conceitos que podem definir a segurança
da informação: autenticidade, não repúdio e auditoria. A autenticidade fala a respeito da
veracidade das informações, se as informações vieram do remetente e que a informação vem
da fonte verdadeira. O não repúdio fala a respeito da informação que foi enviada deve chegar
ao destino e não deve ser descartada por qualquer motivo. Uma informação enviada não deve
ser negada quando enviada da origem. A auditoria está ligada a verificação dos atributos da
conexão, se foi enviada e recebida dos participantes corretos, horários, locais e ações. Quando
se for estabelecer a conexão segura através das redes privadas virtuais, não basta apenas
definir as duas partes que irão realizar a conexão, mas sim verificar se cada parte tem os
recursos que precisam para estabelecer uma conexão de redes privadas virtuais com segurança
(CARMO, 2010).
A segurança da informação é essencial nas empresas atualmente, pois nenhuma empresa
está disposta a compartilhar informações importantes e estratégicas e deixá-las expostas ao
público. Existem empresas que estão dispostas a investir mais em tecnologias que deixem as
informações mais seguras e longe de invasores não autorizados. As redes privadas virtuais
fazem isso muito bem.

2.12 - Segurança de RPV

Existem três itens que caracterizam a segurança de uma rede privada virtual ou a tecnologia
de informação em geral.

 Confidencialidade: as informações devem estar disponíveis apenas para as pessoas


quem tem autorização;
 Integridade: os dados não devem ser alterados quando forem transportados para o
novo destino;
 Disponibilidade: os dados devem estar disponíveis à medida que for necessário.
30

A segurança da informação deve ser projetada de uma forma que seja possível recuperar
informações caso haja algum desastre. Ao se implementar segurança é importante levar em
consideração algumas questões organizacionais como:

 Quem tem acesso a sala do servidor quando o administrador está de férias?


 Quem tem autorização para utilizar um notebook pessoal?
 De que forma os cabos estão sendo protegidos?
 De que forma a rede local wireless está segura?

A segurança das redes privadas virtuais pode ser alcançada através de métodos de encriptação
das informações, técnicas de autenticação seguras e firewalls que direcionam as informações
saindo e entrando no túnel. Cifrar a informação não é sinônimo de manter a segurança
estabelecida de forma sólida e concreta. (FEILNER E GRAF, 2009)

2.13 - Implementação de redes privadas virtuais

2.13.1 - Requisitos de rede

Conforme explicado acima, podemos ter um entendimento superficial de como um ambiente


com rede privada virtual poderá ser estabelecido. Como sabemos, uma rede privada virtual
precisa ter a internet como intermediária entre os hosts, caso contrário não seria necessário o
seu uso, já que antigamente a conexão era feita de forma direta com um cabo físico que
interligava ambos os lados. A intenção dos criadores das redes privadas virtuais era utilizar os
meios de comunicação existentes através da internet e com um software, tornar a conexão
segura o suficiente.
Ao se realizar uma conexão de redes privadas virtuais é necessário utilizar uma chave
pré-compartilhada. Essa conexão pode ser entre duas filiais de uma empresa. A
implementação da ligação de ponto-a-ponto com uso de chaves pré-compartilhadas
geralmente é bastante simples, por isso bastante utilizada e pode ser configurada em
dispositivos com pouca capacidade em termos de hardware, tais como switches e roteadores.
31

Por outro lado, esse tipo de conexão possui baixa escalabilidade, pois somente dois
computadores poderão se comunicar com segurança. Outra desvantagem do uso da topologia
de ponto-a-ponto é o fato da chave precisar ser transmitida antes do estabelecimento da
conexão, o que pode ser um fator de risco que ameace a confidencialidade das informações.
(CRIST E KEIJSER, 2015)

2.13.2 - Aplicações para VPN

O caso mais simples para implementar uma rede privada virtual é quando existe um host de
origem e outro de destino, incluindo quatro dispositivos neste caso. O caso de uso está
ilustrado abaixo como exemplo número 1. O host de origem, o roteador de origem, o roteador
de destino e o host de destino. A internet está localizada no meio dos dois roteadores. Existe
um outro caso que liga dois segmentos de rede, que pode ser duas filiais de uma empresa. Este
exemplo está ilustrado abaixo como exemplo 2. Existe a primeira rede interna, um gateway de
rede privada virtual do primeiro segmento da empresa, um gateway do segundo segmento da
empresa e a rede interna da segunda filial. Interessante notar que o túnel de redes privadas
virtuais está configurado entre os dois gateways das filiais.

Exemplo 1:

Figura 6: conexão ponto-a-ponto.

Fonte: Marleta,
2007.
32

Figura 7: conexão entre os roteadores.

Fonte: Marleta 2007.

Uma conexão de redes privadas virtuais pode ser através de qualquer distância em que se
tenha acesso a internet.

2.13.3 - Host-to-Gateway

Esse tipo de conexão acontece quando se deseja realizar uma conexão entre o host e o
gateway e vice-versa. Atrás do gateway naturalmente pode existir uma ou várias redes
internas. O gateway será responsável pelo estabelecimento do túnel. As máquinas que fazem
parte da rede interna irão se comunicar com a máquina remota como se estivesse na mesma
rede. Caso seja necessário utilizar endereços de IP dinâmicos, a rede privada virtual só poderá
ser estabelecida pelo host. Nesse caso é impossível o gateway saber previamente o endereço
de IP do host. Esse tipo de conexão é muito comum para pessoas que podem mudar a sua
localização para acessar a rede privada virtual. (CARMO, 2010)

Figura 8: host-to-gateway.
33

Fonte: Carmo, 2010.

Quando por exemplo o usuário desejar controlar um robô remotamente, ele pode realizar essa
conexão através de cidades ou até países diferentes. Para facilitar a implementação dessa
tecnologia e ter mais benefício, é mais natural que a configuração das redes privadas virtuais
aconteça entre os firewalls, pois eles são postos na infraestrutura como dispositivos de
segurança. Apesar dos roteadores poderem exercer a mesma função, os firewalls são mais
recomendados por possuírem recursos internos para esse fim. Depois que a rede foi
configurada com redes privadas virtuais, os pacotes que viajam pela internet são como um
pacote qualquer. (TANEMBAUM, 2003)

2.13.4 - Topologia

Em uma empresa, onde várias conexões podem ser feitas, a escolha da topologia é essencial
para o sucesso do projeto. Quando o ambiente de trabalho é pequeno e não tem muitos hosts,
a escolha da topologia pode não ser tão importante, mas quando se tem uma empresa com
uma infraestrutura complexa, essa escolha passa a ser importante para se implementar uma
rede privada virtual bem-sucedida. Quando a empresa é grande e se tem uma topologia bem
definida, é possível ter uma possibilidade maior de expansão, facilidade de gerenciamento,
diminuição dos custos, disponibilidade e flexibilidade (CARMO, 2010). As redes privadas
virtuais são bastante flexíveis quanto a topologia. Existem diversas formas de se configurar as
redes privadas virtuais, tudo dependerá das necessidades do local. Seja por fins comerciais ou
34

acadêmicos. A seguir será mostrado as principais topologias utilizadas em estabelecer uma


rede privada virtual.

2.13.5 - Hub-and-spoke

Nessa topologia existe um dispositivo central e outros segmentos chamados de spoke. Para
que seja possível realizar uma conexão com um nó qualquer, os pacotes precisam passar pelo
nó central desses segmentos chamados spoke. O diagrama abaixo mostra como que essa
topologia de divide:

Figura 9, hub and spoke

Figura 9: Carmo, 2010.

Esse modelo é muito utilizado nas empresas quando se tem funcionários que transitam
constantemente em vários locais e quando estão em algum lugar fora da empresa, eles podem
acessar qualquer departamento dessa empresa de forma segura. Uma das facilidades dessa
topologia é da forma que está centralizada e isso facilita o seu gerenciamento, por outro lado o
desempenho é diminuído, pois quando o pacote é enviado ao dispositivo central, depois ele
será processado e reencaminhado até o spoke de destino. Assim a rede fica muito dependente
do dispositivo central para estabelecer conexões de redes privadas virtuais. (CARMO, 2010)
35

2.13.6 - Full-Mesh

Nessa topologia, cada nó possui uma ligação com outro nó envolvido na comunicação. Com o
uso dessa topologia é possível estabelecer a conexão diretamente com o nó de destino,
desconsiderando os hops desnecessários. O maior problema dessa topologia é a dificuldade de
gerenciamento e expansão, pois o número de conexões de redes privadas virtuais cresce com
o aumento de nós da rede. Podemos imaginar a implementação desse modelo quando é
necessário ter uma conexão entre duas filiais, por exemplo, e cada filial tenha acesso a todos
os nós da outra rede. (CARMO, 2010)

Figura 10: full-mesh.

Fonte: Carmo, 2010.

2.13.7 - Partial-Mesh

Esse modelo é o híbrido entre as duas topologias mostradas anteriormente. Da mesma forma
que não existe um ponto único de falha, as conexões de redes privadas virtuais não estão
disponíveis para todos os nós da rede. Esse tipo de topologia pode ser escolhido se a empresa
possui um grande número de filiais que possuirão conexões de redes privadas virtuais entre
elas e outras filais em um tipo de topologia chamado partial-mesh. Além disso a empresa terá
acesso a topologia hub-and-spoke que foi descrita anteriormente. (CARMO, 2010)
36

Figura 11, Partial-Mesh

Fonte: Carmo, 2010

2.13.8 Tipos de redes privadas virtuais

Segundo Carmo, “Existem vários tipos de VPN. Cada um desses tipos possui características
distintas e, por isso, são mais adequados para solução de problemas diferentes”. Existe um
tipo de redes privadas virtuais em que o cliente deve confiar plenamente no provedor de
internet, esse é chamado de trusted VPN. Depois com o tempo, a internet foi sendo viabilizada
como um meio de se configurar as redes privadas virtuais. A trusted VPN não era segura o
suficiente, por isso iniciou-se o uso de criptografia nos dispositivos que fossem propriedade
das empresas. As redes privadas virtuais que utilizam de criptografia chamam-se secured
VPN. (CARMO, 2010)

2.14 - Rede privada virtual em ambiente Windows


37

2.14.1 – História

As interfaces gráficas tiveram origem nas pesquisas no Pale Alto na década de 1970. A
descoberta foi feita pela Xerox onde também surgiram outras tecnologias como impressão a
laser, redes locais, programação orientada a objetos e as interfaces gráficas. O primeiro
computador que foi lançado com interface gráfica, foi em 1981 quando a Xerox lançou a Star,
que era comercial. O fato desses computadores serem tão caros, impediu que eles fossem mais
divulgados e assim não ficaram muito conhecidos. No mesmo ano a IBM lançou o seu
computador que transformou o cenário dos computadores pessoais na época. Em 1984 a
Apple lança o Macintosh que foi o computador de interface gráfica que foi bem-sucedido. Em
1987 foi lançado o OS/2 Presentation Manager que era muito similar ao sistema operacional
Windows. A Microsoft lançou o Windows 3 em 1990 com um sucesso muito grande de venda.
Este computador tinha suporte a rede e começou a ter alguns recursos como apresentação de
imagens. (CISNEIROS, 1992)

2.14.2 - A interface gráfica do Windows

O hardware necessário para instalação das redes privadas virtuais não precisa ser muito
avançado a fim de teste. É claro que se a quantidade de requisições de internet forem muitas e
dependendo de cada caso pode ser que seja necessário servidores com mais capacidade, mas
como o objetivo da implementação é uma ligação ponto-a-ponto, podemos afirmar que
somente dois computadores ligados a internet podem ser configurados com essa conexão de
redes privadas virtuais. A plataforma Windows sempre oferece um ambiente mais amigável
para o usuário final com muitos recursos de interface gráfica para poder configurar e instalar
software. Por outro lado, o sistema operacional Windows não possui muitos recursos quando
se deseja customizá-lo. As licenças precisam ser adquiridas e isso pode trazer um aumento
significativo no custo para a implementação de um ambiente com esse sistema operacional.
(CISNEIROS, 1992)

2.14.3 - Instalação da tecnologia em plataforma Windows


38

O software OpenVPN é uma alternativa bastante acessível e pode ser baixado nos sites
oficiais. O software funciona apenas com as versões do Windows posteriores a versão 2000.
Para instalar o software em um servidor com Windows Server, por exemplo, é só adquirir o
arquivo executável no site oficial que tenha uma interface gráfica para instalação. É
importante não utilizar as versões que são estáveis, para evitar qualquer brecha na segurança.
Se é relevante que o usuário faça interação com o software pode ser uma boa ideia instalar a
versão com interface gráfica, assim ele poderá ligar ou desligar o túnel. Caso contrário é
melhor instalar o software original do OpenVPN.
O software pode ser incluído como um serviço em um computador com sistema
operacional Windows e ele será iniciado automaticamente quando o computador for ligado. A
ativação do serviço pode ser feita de forma automática ou manual, tudo dependerá da intenção
do administrador do sistema. Tudo indica que a instalação correrá com êxito quando existe um
usuário de Windows experiente (FEILNER E GRAF 2009). Podemos assim concluir que a
instalação em ambiente Windows pode ser favorável por ser de simples instalação e a maioria
dos usuários estão familiarizados com o ambiente de instalação dos seus programas.

2.15 - O sistema operacional Linux como ambiente de instalação para a rede privada
virtual

2.15.1 - O ambiente Linux

Antes de falar sobre a implantação das redes privadas virtuais em ambientes Linux, vamos
falar um pouco sobre o seu surgimento. O Linux foi inventado por Linus Torvalds, que
estudava ciência da computação na universidade de Helsinki na Finlândia. Ele desenvolveu o
núcleo do sistema operacional sem muitas pretensões utilizando a linguagem C. O código
passou então a ser licenciado sobre a GNU GPL idealizada pelo Richard Stallman em 1989.
Desde então vem sendo desenvolvido por milhares de contribuidores no mundo todo,
passando por algumas versões até a mais recente que foi lançada em 2015.
39

[É importante entender que o Linux não é um sistema operacional


propriamente dito, mas uma de suas partes mais importantes, que é o
núcleo denominado kernel, elemento central responsável pelo
interfaceamento entre o hardware no baixo nível com as aplicações no
alto nível.] (BRITO, 2017, PAG 15)
O kernel serve como intermediário entre as aplicações de alto nível e o hardware. Podemos
observar então que na verdade o Linux em si não é um sistema operacional. Ao longo do ano
surgiram diversas versões do Linux, pois o kernel em si não tem nenhuma utilidade se não
fosse os programas e aplicações utilizadas pelo usuário. (BRITO, 2017)

2.16 - Conexão ponto-a-ponto

Primeiramente existe um compartilhamento das chaves que serão utilizadas e cada máquina
pode fazer uma conexão com uma instância do servidor por vez. Na conexão ponto-a-ponto o
computador cliente faz uma conexão a máquina servidor. O uso do termo cliente e servidor
pode ser bastante relativo, pois ambos os lados possuem praticamente as mesmas
funcionalidades. Importante notar que a implementação das redes privadas virtuais com as
chaves compartilhadas geralmente é bastante simples de implementar. Não há a necessidade
de ter certificados e as redes privadas virtuais podem ser executadas em hardware simples,
como switches e roteadores. Por outro lado, esse tipo de conexão possui baixa escalabilidade,
pois somente dois computadores podem ser usados em uma conexão. Outra desvantagem é
que a chave precisa ser transportada para o outro lado utilizado SSH. Isso pode ser um risco
para a segurança da conexão (CRIST E KEIJSER, 2015). Quando formos avaliar para decidir
qual sistema operacional será escolhido, podemos levar em consideração o custo, a facilidade
de uso e outros fatores. O Linux é um sistema operacional livre de custo, porém exige pessoas
com habilidades específicas para o sistema operacional.
O acesso a rede privada virtual basicamente é um usuário remoto que deseja se
conectar a uma rede interna de uma forma segura através de qualquer ponto na internet. Isso
acontece quando o funcionário se locomove com uma certa frequência e ele precisa estar
constantemente na rede interna da empresa para poder realizar as suas tarefas estando longe
da empresa. Podemos então afirmar que para poder realizar qualquer conexão às redes
40

privadas virtuais será necessário realizar alguns passos. Cada extremidade da conexão de
redes privadas virtuais terá de realizar uma autenticação, o sistema remoto terá de ser
configurado com a tecnologia, será necessário a configuração da política de segurança e terá
de passar por um intermediário.
O túnel IPSec também é uma boa escolha para ser utilizado nas redes privadas
virtuais. Esta tecnologia é baseada em Linux e possui muitos recursos. É possível também
mesclar as duas tecnologias, tanto o IPSec como o OpenVPN, por exemplo estabelecer uma
conexão rede privada virtual com o OpenVPN e estabelecer uma rede privada virtual IPSec
dentro da conexão OpenVPN. Pode ser bastante complexo, mas é uma opção para aqueles que
desejam aumentar significativamente a segurança do seu sistema. (RESENDE, 2004)

2.17 - Point-to-Point Tunneling Protocol (PPTP)

É o protocolo específico para realizar conexões ponto-a-ponto. Foi desenvolvido por um


fórum de empresas que tinha como objetivo facilitar o acesso a computadores que
funcionavam em uma rede baseada em IP. Foi um dos primeiros protocolos que surgiram.
Para estabelecer uma conexão PPTP são necessárias algumas partes que funcionando
simultaneamente. O PPTP realiza uma conexão ponto-a-ponto com o provedor de internet, por
exemplo através de uma linha telefônica nesse momento o protocolo estabelece uma conexão
e criptografa as informações. Após esta etapa realiza-se um túnel com o cliente através da
internet utilizando a conexão previamente estabelecida. Esta conexão pode ser chamada de
túnel PPTP e utiliza o protocolo TCP/IP como meio de comunicação para os pacotes. Esse
tipo de conexão é considerado por muitos autores muito fraco, pois não existe nenhum
momento em que é feito uma autenticação entre os computadores e o método de encriptação é
muito fraco.

2.18 - Certificados digitais


41

Uma forma bastante segura de se estabelecer conexões seguras no estabelecimento de redes


privadas virtuais é utilizando métodos baseados em criptografia de chave pública, com uso de
certificados digitais. Para possibilitar a divisão segura dos certificados, que estes sejam
enviados a ambos os destinos sem risco, os certificados são cifrados com a chave privada de
um dos extremos da rede privada virtual. Assim a outra extremidade pode facilmente decifrar
a mensagem com a chave pública contida no certificado e comparar as hastes. (REZENDE,
2004)

Figura 12 – Certificados digitais

Fonte: Rezende, 2004

Podemos observar na figura acima que existem dois computadores estabelecendo uma
conexão segura com um firewall. Como já foi dito, configurar um firewall como um dos nós
de uma rede privada virtual é sempre uma boa opção, pois ele é geralmente posto na rede
como um dispositivo de segurança para impedir acessos não autorizados na rede. Podemos
ver que o usuário 1 e usuário 2 estão compartilhando a chave com o firewall que irá
estabelecer a conexão de redes privadas virtuais. O certificado deverá estar presente em cada
máquina para poder estabelecer uma relação de confiança entre os nós que farão parte da rede
privada virtual. Os outros computadores que estão antes do firewall não estão compartilhando
uma rede privada virtual, pois toda a requisição que sai da rede irá passar primeiro pelo
42

firewall. Este equipamento possui várias funcionalidades como registro de logs, bloqueio de
conexões mal-intencionadas para assim garantir um nível mais alto de segurança de
informação. O firewall irá aceitar a conexão de qualquer dispositivo que tiver um certificado
válido emitido por um dos computadores que tem esse certificado. (REZENDE, 2004)

2.19 - Posicionamento do gateway de redes privadas virtuais como opção de segurança

Inserir um gateway VPN em um ambiente de redes privadas virtuais é essencial para garantir
a segurança da informação, pois se não for posicionado corretamente, pode ser que a
segurança da rede seja gravemente comprometida. Quando utilizamos esse tipo de topologia,
posicionamos o gateway antes do firewall. A instalação das redes privadas virtuais dessa
forma, deve ter algumas premissas, tais como: a política geral da segurança de rede não deve
ser comprometida, o gateway não deve constituir um único ponto de falha e quando vier
dados de redes não confiáveis, o gateway só deve aceitar tráfego cifrado. Quando os dados
vêm da rede privada, o gateway deve aceitar tanto tráfego cifrado como não cifrado da rede
privada. O gateway deve estar protegido de ataques originados da internet e quando o tráfego
é resultante de dados decifrados, o mesmo deve passar por um tipo de criptografia.
Antes de se projetar a rede interna da empresa, deve-se levar em consideração alguns
fatores, como quais serviços estarão disponíveis para os usuários remotos, além de diversos
outros aspectos. Dependendo de qual infraestrutura o analista deseja implementar, deve-se
escolher uma topologia segura o suficiente que cubra todos os requisitos de segurança para
aquele propósito específico. Quando o posicionamento do gateway é em frente de firewall é
um ponto crucial, pois os firewalls não podem aplicar regras de filtragem a pacotes cifrados.
Tendo como premissa as informações anteriores, iremos analisar como podemos implementar
a topologia da rede com um gateway na frente do firewall. (REZENDE, 2004)

2.20 - Firewall

Firewall “é a combinação de hardware e software, cujo o objetivo é controlar o trânsito de


informações entre as redes privadas e a internet, como se houvesse uma barreira entre ambas,
43

de modo que acessos não autorizados sejam impedidos” (VASQUES E SCHUBER, 2002). A
função de um firewall basicamente é filtrar e inspecionar pacotes para controlar o fluxo de
informações. O firewall geralmente tem um filtro de pacotes, que leva a consideração o
endereço de IP ou porta de um destino. Esse tipo de firewall apenas analisa esses fatores do
pacote, não o pacote em si. Devido a esse tipo de firewall não verificar o conteúdo do pacote
em si, este pode ser considerado menos seguro que outros.
Existe um tipo de firewall que é configurado pelo administrador do sistema, este
verifica o estado dos pacotes, além de filtrar pacotes. Apenas aquelas conexões previamente
configuradas e estabelecidas e que cumprem os requisitos estabelecidos pelo firewall, têm
acesso a rede. A vantagem desse tipo de conexão é que não são todos os computadores dentro
da rede que precisam ser configurados, apenas o firewall, porém as suas configurações são
complicadas.
Os aplicativos de firewall e de proxy são mais complexos, pois varrem a rede e
descartam os pacotes que ameaçam a rede ou que não foram autorizados. Um firewall nunca
deixa um computador exposto a rede externa sem um intermediário entre eles. A vantagem
desse tipo de firewall é que ele oferece mais segurança que os demais, porém ele é mais lento
e caro. (VASQUEZ E SCHUBER, 2002)

2.21 - Firewall e VPN

Apesar da rede privada virtual ser a tecnologia mais segura para interligar duas redes distintas,
esta não deve ser o único componente a ser implantado em uma rede de computadores.
Quanto maior a segurança empregada, maior a dificuldade de acessar os dados. Como o
firewall é uma tecnologia mais consolidada no mercado, esta se torna uma boa opção para ser
utilizada junto com as redes privadas virtuais. Em seguida iremos verificar quais são as
formas mais adequadas para se implementar as redes privadas virtuais em combinação com o
firewall.

2.22 - Em frente ao firewall


44

Quando colocamos um servidor de gateway configurado com redes privadas virtuais, dessa
forma teremos um único ponto de falha. Um ataque de negação de serviço pode comprometer
a comunicação do computador com toda a rede externa. Se levarmos em consideração que o
software de redes privadas virtuais tiver falhas, isso pode ser um risco, pois o invasor explorar
essa vulnerabilidade e enviar um ataque de negação de serviço. Com esse tipo de
configuração o gateway fica exposto a qualquer ataque que venha da internet, pois não existe
um intermediário que verifica cada requisição. O servidor de gateway fica diretamente
exposto a internet (REZENDE, 2004). A imagem abaixo ilustra esse tipo de solução para
implantação de redes privadas virtuais.

Figura 13, Em frente ao firewall.


45

Fonte: Rezende, 2004.

Outro problema desse tipo de solução é a dificuldade de diferenciar o tráfego que vem de
pessoas autorizadas a acessar a rede, ou seja, usuários ligados a rede privada virtual dos
usuários comuns da internet, porque ambos chegam da mesma interface.

2.23 - Quando o gateway de RPV está atrás do firewall

Uma das desvantagens desse tipo de solução é que todos os pacotes que vem da rede passam
pelo gateway sem nenhum tipo de controle, todos estão cifrados então quando forem
decifrados, todos os pacotes irão para a rede interna sem nenhum tipo de controle. Desse
modo a configuração deixaria segura em toda a rede entre as extremidades do túnel, a rede
interna poderia ficar comprometida com esse tipo de configuração, pois o gateway é o último
componente do firewall antes da rede interna. Da mesma forma, se for feito um ataque de
negação de serviço ao gateway, toda a rede interna ficaria comprometida. (REZENDE, 2004)

Figura 14, Gateway RPV atrás do firewall.


46

Fonte: Rezende, 2004

2.24 - A combinação do firewall e gateway em um único equipamento.

Essa opção é recomendada por muitos administradores de rede, pois tem a vantagem de
simplificar o gerenciamento da rede como um todo. A desvantagem desse tipo de solução é
que haverá uma sobrecarga no servidor, pois ele terá que cifrar e decifrar pacotes de redes
privadas virtuais, terá também de realizar a tarefa de roteamento e registro de logs. Isso pode
exigir muito do servidor por causa da complexidade do roteamento e das regras de filtragem.
(REZENDE, 2004)

Figura 15. A combinação do firewall e gateway em um único equipamento.

Fonte: Rezende, 2004.

2.25 - Em paralelo ao firewall


47

Alguns fabricantes de RPV sugerem um posicionamento do gateway de RPV em paralelo com


o firewall, surgindo assim duas conexões para a internet: uma passará pelo gateway e a outra
passará pelo firewall. O gateway configurado dessa forma, só funcionará para decifrar
conteúdo cifrado. Dessa forma não existe um único ponto de falha. Esse tipo de solução
deixará também o trafego decifrado passar pela rede e ir diretamente para a rede interna sem
nenhum tipo de controle. Podemos então concluir que esta não é a melhor forma de proteger
os dados da empresa. (REZENDE, 2004)

Figura 16, gateway RPV em paralelo ao firewall

Fonte: Rezende, 2004.

Esse tipo de configuração funciona da seguinte forma: o firewall recebe um conteúdo cifrado
e repassa esse conteúdo para o gateway de RPV. Depois disso o firewall recebe o conteúdo
decifrado, analisa o conteúdo e em seguida envia para a rede privada. Esse tipo de arranjo
protege o gateway de RPV contra eventuais ataques, porém pode ocasionar demora no
processamento das requisições, pois todo o tráfego que é destinado as redes privadas virtuais
terá de passar duas vezes pelo firewall. Dependendo da solução exigida para implementar a
tecnologia, a empresa pode exigir uma complexidade considerável, com isso pode aumentar
48

ou criar brechas de segurança. Por isso é uma boa opção utilizar tecnologias como o
conhecido IPTables, que cria uma série de regras para o fluxo da rede. Com o uso do IPTables
é possível juntar todos os pacotes relacionados as redes privadas virtuais em uma única
cadeia, assim aumentando a performance geral da rede.
49

Figura 17. Gateway do lado do firewall

Fonte: Rezende, 2004.

2.26 - Gateway da VPN na DMZ

Existe outra solução para implantação de redes privadas virtuais, que se chama DMZ
(desmilitarized zone). Esse tipo de solução é mais viável quando a empresa possui alguns
servidores adicionais, como servidor web, FTP e e-mail. Esses são os servidores que ficam na
chamada zona desmilitarizada. Que fica localizada em uma pequena rede interna confiável.

2.27 - Em conjunto com outros equipamentos de uma DMZ

A princípio o tráfego de dados vindo de fora, ele precisa primeiro ser decifrado e filtrado antes
de chegar ao seu destino. “Neste caso, o tráfego decifrado é passível de filtragem antes de
alcançar o seu destino, pois após ser decifrado pelo gateway VPN, tem que passar novamente
pelo firewall”. (EDMAR REZENDE, 2004) Apesar disso, a infraestrutura de tecnologia de
informação projetada dessa forma, não garante que um usuário malicioso que esteja na rede
50

do parceiro, envie pacotes diretamente para algum servidor situado na zona desmilitarizada.
Quando isso acontece, os pacotes não passam pelo procedimento adequado de filtragem, pois
o pacote passa diretamente pelo firewall para o destino de uma forma cifrada, sem haver
qualquer controle sobre o conteúdo daquele pacote. (EDMAR REZENDE, 2004)

Figura 18, em conjunto com outros equipamentos de uma DMZ

Fonte: Rezende, 2004.

2.28 - Gateway de RPV em uma DMZ separada

Esse tipo de configuração separa o tráfego que vai para a rede interna do tráfego que precisa
passar pelo gateway de redes privadas virtuais. Em contrapartida há mais complexidade para
configurar regras de firewall, mas com o uso do software Piabes é possível determinar um
51

conjunto de regras específicas para uma determinada interface de rede. Isso torna a
administração do fluxo de rede mais simples, pois é só encaminhar os pacotes de redes
privadas virtuais para a interface especificada pelo IPTables. É possível também inserir
outros serviços que podem ser necessários e assim evitando requisições desnecessárias para os
hosts da rede interna. (REZENDE, 2004)

Figura 19. DMZ separada

Fonte Rezende,
2004.
52

3 – Capítulo 3, estudo de caso: proposta de implementação de VPN

A escolha do tipo de conexão de VPN para o estabelecimento das redes privadas virtuais foi
gateway atrás do firewall e segmentos de hub-and-spoke. A empresa é de pequeno porte,
possui um escritório compacto e possui 80 funcionários exercendo diversas funções. A
complexidade da implantação da infraestrutura de T.I. é relativamente alta por demandar mão
de obra especializada para realizar a configuração de servidores, definir a topologia,
configurar os clientes e implantar o sistema Webmin para simplificar o processo de
gerenciamento da rede privada virtual.

3.1 - Apresentação da empresa

A empresa se destaca no mercado por fabricar e distribuir sorvetes na região dos lagos no
estado de Rio de Janeiro. A fábrica tem crescido e ganhado espaço no mercado e decidiu
ampliar a sua produção investindo em equipamentos e contratando mais funcionários. Devido
a aceleração dos processos como um todo e a crescente demanda por trocas de informação, a
empresa se conscientizou da necessidade de implantar tecnologias como CRM e VPN. CRM é
um software que unifica informações da empresa e seus fornecedores. Para que essas
informações sejam protegidas, a gerência se deu conta de que seria necessário implantar a
tecnologia de redes privadas virtuais para poderem se comunicar com as partes envolvidas de
uma forma rápida e segura, assim realizaram a contratação de mão de obra qualificada para
definir a estrutura de tecnologia da informação e instalar toda a tecnologia envolvida no
processo. Essa estrutura está organizada na figura 20.

Os setores estão organizados com a seguinte enumeração:


53

 1 - Recursos Humanos;
 2 - Financeiro;
 3 - Contável;
 4- Pasteurização;
 5- Maturação;
 6- Batimento e empacotamento;
 7 - Marketing;
 8 - Venda;
 9 - Compra;
 10 - Direção;

Razão social: Fábrica de Sorvetes Pingus ltda.


Figura 20, topologia da empresa.
54

Os setores estão divididos conforme mostra o organograma abaixo:

Figura 21 – Organograma proposto para a empresa.


55

Fonte: Wilson Pablo Medina, B., Francisco José, K. N., Ricardo Gonçalves de Faria, C.,
Juliano, D. (13 de julho de 2015)

3.2 - Especificações de hardware

 Monitor – 20 unidades;
 Computador desktop – 29 unidades;
 Teclado – 20 unidades;
 Mouse wireless – 26 unidades;
 Notebook – 6 unidades;
 Impressora – 3 unidades;
 Smartphone – 7 unidades;
 Roteador – 1 unidade;
 Switch – 6 unidades;
 100 metros de cabo de par trançado – 1 unidade;

Será utilizado um link dedicado de 56 MB.


56

3.3 - Características do OpenVPN

OpenVPN é uma rede privada virtual que tem características semelhantes ao IPsec, porém é
de fácil instalação. É recomendado utilizar o software para gerenciar a VPN e com um número
de cliques é possível realizar a instalação. Para fazer a autenticação, o OpenVPN fornece
chaves pré-compartilhadas, certificados e autenticação através de nome de usuário e senha. A
encriptação pode ser simétrica, que no caso é a utilização da mesma chave por ambos os lados
para estabelecer uma conexão. Essa chave deverá estar disponível para todos os computadores
envolvidos na conexão de VPN. Essa conexão é realizada com uso de uma chave pré-
compartilhada e algum intruso pode ter acesso às informações se ele conseguir obter essa
chave. Ele pode acessar as informações se ele fizer um ataque de força bruta na chave
adquirida, por isso as chaves devem ser alteradas periodicamente. (PRISCA C, 2016)

3.4 - Configuração do OpenVPN

As configurações para o estabelecimento de um servidor OpenVPN deverão ser feitas


corretamente, no caso da figura abaixo, os servidores de VPN estão depois do firewall.

Figura 22: Servidor VPN.


57

Para que seja possível configurar um servidor OpenVPN, será necessário realizar alguns
passos que irão ser abordados de forma resumida. Utilizaremos o sistema operacional Ubuntu
18.04 como ambiente para a instalação do servidor OpenVPN.
Primeiro as variáveis precisam ser configuradas editando um arquivo chamado vars no
diretório “/home/usuário/open-ca” e alterando alguns de seus parâmetros, depois de construir
a autoridade de certificação será possível criar o certificado do servidor, gerar a chave e os
arquivos de criptografia, após será possível gerar o certificado do cliente e um par de chaves.
Embora seja possível realizar esse procedimento na máquina do cliente, o procedimento foi
realizado no servidor para simplificar o processo. A rede do servidor pode ser configurada a
fim de rotear o tráfego corretamente, e deve ser feito da seguinte forma: permitir o
encaminhamento do IP, ajustar as regras UFW a fim de camuflar as conexões dos clientes e
abrir a porta do OpenVPN.

Sequência de passos para iniciar um serviço de OpenVPN:

1. Após iniciar o serviço do OpenVPN, foi feito a configuração do servidor para realizar
conexões com clientes, seja nos sistemas operacionais Linux, IOS, Windows ou
Android;
2. Depois do servidor ter sido configurado para os clientes se conectarem com o servidor,
é essencial realizar um teste para verificar se todas as configurações foram feitas
corretamente. Se o teste for bem-sucedido e o cliente estiver conectado ao servidor
com uma determinada chave exclusiva, essa chave pode ser revogada, ou seja, anulada
para que um determinado cliente não consiga se conectar com a rede privada virtual
com a chave antiga;
3. O cliente precisará então adquirir a nova chave gerada para habilitar a conexão
novamente ao servidor de redes privadas virtuais. Agora o acesso a internet estará
protegido e as informações como a identidade, localização e tráfego não poderão ser
interceptadas por invasores. (JUSTIN E, 2017);
4. No final do procedimento da configuração do servidor realizado no servidor Linux, o
mesmo gerou um arquivo de configuração chamado client1.ovpn. Esta chave deverá
58

ser transferida para a máquina cliente para efetuar a conexão. O arquivo pode ser
transferido através de um dos softwares sugeridos no próprio artigo “Como Configurar
um Servidor OpenVPN no Ubuntu 16.04” para garantir segurança na transmissão.
5. Uma vez que a chave for transferida para o computador cliente de uma forma segura,
o mesmo deverá ser inserido na pasta config no diretório de instalação do OpenVPN
no Windows.
6. Feito isso a conexão será estabelecida no mesmo momento em que a aplicação for
iniciada com privilégios administrativos. Esse é o procedimento para realizar uma
conexão com um cliente Windows.
7. Após a realização desta etapa, o cliente Windows emitirá uma mensagem semelhante a
figura 23.

Figura 23, conexão com cliente OpenVPN.

Na topologia criada na figura 20 foi definido que o ambiente com alguns servidores de
VPN, sendo os servidores posicionados como mostra a figura 22. Podemos então concluir que
o arquivo de configuração do OpenVPN deverá ser enviado para cada máquina cliente como
mostra a figura abaixo.
59

Figura 24, computador cliente.

A conexão de redes privadas virtuais através da internet ocorrerá efetivamente entre o


setor de direção e o roteador da empresa. Uma vez que os pacotes passarem pelo gateway de
redes privadas virtuais, eles serão codificados e posteriormente passarão pelo firewall, pelo
roteador e antes de chegarem à máquina de destino passarão pelo servidor de VPN para serem
decodificados e posteriormente encaminhados para o computador de destino.
A topologia escolhida para o estabelecimento de conexões foi gateway atrás do
firewall. Todos os pacotes pertencentes à rede privada virtual irão passar pelo firewall sem
nenhum tipo de controle, pois estarão cifrados. O firewall irá somente controlar o tráfego de
informações que chegarem da internet.
Se por outro lado o gateway fosse posicionado depois do firewall, toda a rede externa
poderia ficar comprometida, além de estar vulnerável a qualquer ataque que viesse da internet,
pois não existe nenhum intermediário entre este dispositivo e a internet. Se houvesse alguma
vulnerabilidade no servidor de VPN, a mesma poderia ser explorada por algum invasor.

3.5 - Aplicação web para gerenciamento da rede VPN - Webmin

A criação e distribuição de chaves entre o servidor de VPN e a máquina cliente pode ser um
processo consideravelmente complexo, pois o servidor precisa ser acessado através do
terminal e as chaves serão geradas com alguns comandos feitos em uma determinada ordem.
A administração do serviço do OpenVPN pode ser feito utilizando o software Webmin,
isto tornará algumas funções mais fácil de serem feitas: criar ou eliminar o certificado CA,
60

criar ou eliminar o certificado da VPN, criar ou eliminar o certificado dos clientes, criar, editar
ou excluir as configurações relacionadas a cada VPN, obter estatísticas em tempo real do
tráfego realizado e os clientes conectados à rede privada virtual (VICTOR B, 2012).
A figura 25 é um resumo do que o Webmin pode fazer, como por exemplo criar e excluir
os certificados que estão relacionados às instâncias de conexões de cada cliente. O sistema
web fará o procedimento de criação, distribuição e exclusão de certificados mais simples e
poderá ser feita por um usuário sem conhecimentos específicos aprofundados.

Figura 25, Webmin – Menu para a gestão de certificados.

Fonte: Victor B, 2012.

Na figura 26 consta a lista com as VPN's e as suas opções de configuração (VICTOR B,


2012).
61

Figura 26: Webmin - Menu de configuração de VPN’s

Fonte: Victor B, 2012.

[A figura 27 é um resumo da página de estatísticas disponibilizada pela Interface de


Administração. Os campos principais são Name e Virtual IP, que representam
respectivamente, a identificação do cliente conectado ao servidor e seu IP na rede da
empresa. Existe ainda informação sobre o tráfego gerado, do seu IP público e do
momento em que a ligação foi iniciada.] (BRAGA 2012, pag. 55)

Figura 27: Webmin - Estatísticas das VPN’s

Fonte: Victor B, 2012.


62

4 - Capítulo 4: considerações finais.

A preocupação que temos hoje com a segurança da informação não era tão importante
antigamente. Ninguém imaginava que as redes de computadores iriam crescer e se tornar a
grande internet que temos hoje em dia. Partes importantes do nosso dia-a-dia são controlados
por computadores, por exemplo, os bancos. Transações financeiras são feitas diariamente e
podemos afirmar que hoje em dia nós precisamos definitivamente de uma rede segura. Uma
das opções que temos são as redes privadas virtuais.
Quando criamos o túnel entre um computador e outro, estamos garantindo que esses
dados não serão alterados e lidos por terceiros. No decorrer do trabalho falamos sobre os
benefícios do uso do OpenVPN e um pouco sobre o IPSec. Apesar do IPSec ser o líder de
mercado atualmente, o OpenVPN ainda se mantém como uma opção bastante forte por sua
facilidade e simplicidade de configuração. “Somente a VPN não é o suficiente, para permitir
que usuários externos tenham acesso aos recursos da rede de forma segura, é extremamente
recomendado possuir outras formas de proteção como firewall e uma política de segurança
bem elaborada”. (BORGES, FAGUNDES e CUNHA)
Podemos assim afirmar que a rede privada virtual por si só não irá garantir totalmente
a segurança das redes de computadores, que esta dependerá também de outros fatores. É
possível invadir uma rede com redes privadas virtuais, basta invadir um computador que faça
da rede privada virtual interna. O firewall é um componente importante, que segundo:
[É uma combinação de hardware e software, cujo objetivo é controlar o trânsito
de informações entre as redes privadas e a internet, como se houvesse uma

barreira entre ambas, de modo que os acessos não autorizados sejam impedidos ]
(VASQUES E SCHUBER, 2002, PAG 15).
Assim como o próprio nome diz, parede de fogo, esse componente serve como uma
barreira, impedindo ataques e outras formas não autorizadas de acesso a rede interna. Se
houver a combinação desses dois elementos podemos dizer assim que estabelecemos um
ambiente seguro. Lembrando que os conceitos que estão sendo postos no capítulo de
conclusão se referem a conceitos fundamentais de redes privadas virtuais, para assim
fundamentar e afirmar os benefícios que esta tecnologia proporciona e assim justificar o seu
uso. As duas tecnologias mais utilizadas para esse fim são o IPSec e OpenVPN, que garantem
63

uma implementação segura das redes privadas virtuais. Apesar do termo private indicar a
forma que a tecnologia trafega, isso não significa que as redes privadas virtuais irão utilizar o
mesmo meio físico para trafegar dados. As redes privadas virtuais percorrem redes privadas e
públicas funcionando uma única rede interna. Se um usuário estiver conectado a rede privada
virtual, o mesmo pode utilizar uma impressora da rede, mesmo que ele esteja em outra cidade
ou mesmo locais mais distantes como países.
A criptografia é uma das técnicas de segurança que a tecnologia utiliza, pois mesmo se
alguém capturar dados que estiverem passando pela rede, não será possível ler esse conteúdo,
pois o mesmo estará cifrado. Esta técnica é fundamental para implementar uma rede privada
virtual que funcione. Para facilitar o entendimento do conceito das redes privadas virtuais
podemos separar os termos e explicar o significado de cada um deles.
[redes é a infraestrutura pela qual os computadores se comunicam; privadas, devido
a essas redes utilizarem recursos de criptografia para garantir a segurança das
informações trafegadas pelo meio de comunicação e; virtuais por elas estarem
fisicamente separadas.] (VASQUEZ E SCHUBER ,2002, PAG 24).
Assim estabelece-se um meio de comunicação seguro utilizando criptografia e protocolos
próprios de comunicação. Um dos fatores que torna o uso das redes privadas virtuais viável é
que o mecanismo utiliza o protocolo TCP/IP, que não é considerado um protocolo seguro, mas
é eficiente para enviar e receber informações, para enviar conteúdo criptografado e
acrescentando segurança no envio das informações.
Apesar de todas as vantagens que as redes privadas virtuais oferecem, existem também
desvantagens. Uma implementação de VPN pode consumir muito tempo e pode tornar-se um
problema, se as chaves não forem gerenciadas corretamente. As falhas de autenticação, os
pacotes perdidos e a sobrecarga de dados no gateway podem se tornar um problema
(VASQUES E SCHUBER, 2002).
Podemos fazer algumas comparações das redes privadas virtuais com outras
tecnologias. Quando uma empresa decide implementar um servidor de acesso remoto por
exemplo, se um computador que tenha acesso a esse servidor ficar comprometido, as
informações secretas da empresa e outras que não devem ser compartilhadas ficam
comprometidas. Isso não acontece quando as redes privadas virtuais estão corretamente
configuradas, pois o computador que funciona com a rede privada virtual funcionará como se
64

estivesse dentro da rede na empresa, mesmo que esta máquina esteja na casa de um
determinado funcionário.
Com a pesquisa bibliográfica utilizada e a forma que o trabalho foi elaborado facilitou
bastante a compreensão do tema como um todo, como a tecnologia é versátil e pode se
adaptar a diversas necessidades. Foi descrito não somente conceitos sobre as redes privadas
virtuais, mas também a conceitos básicos de redes de computadores e o modelo OSI, que é
amplamente utilizado para definir as camadas de uma rede. Foi mencionado um artigo sobre a
crescente mão de obra de pessoas que trabalham em casa, isso aumenta a necessidade de
implantar as redes privadas virtuais. Existem muitas razões para implementar a rede privada
virtual e tecnologias que podem influenciar no custo final e no tempo de implementação. O
sistema operacional Linux, por exemplo, funciona muito bem com a tecnologia, porém a sua
implementação é mais complexa e demorada do que um ambiente Windows.
Se a empresa não possui muitos recursos ou não está disposta a investir muito na
tecnologia, vale a pena gastar um pouco mais tempo utilizando o sistema operacional Linux
como opção para implementar a tecnologia. O presente trabalho foi escrito com diversos
exemplos e casos para implementação e foi testado efetivamente para funcionar em uma
determinada plataforma. O trabalho exemplificou através de topologias, como a tecnologia
pode funcionar em cada caso.
Foi devidamente justificado o uso das redes privadas virtuais. O seu uso pode ser
questionado, pois a rede funciona sem as redes privadas virtuais, porém não terá o mesmo
nível de segurança que teria com o seu uso. A rede privada virtual é uma tecnologia que vem
cada vez mais sendo utilizada e comercializada nas empresas, no Brasil e no mundo. São
muitos os serviços oferecidos por elas (VASQUES E SCHUBER, 2002). O seu uso está sendo
implementado em empresas públicas e privadas em diversos setores de negócios,
principalmente devido a segurança que proporciona. É importante notar que a rede privada
virtual por si só não irá garantir totalmente a segurança das informações. É indispensável
manter políticas rigorosas de segurança e como os componentes foram projetados fisicamente.
Assim teremos o nível adequado de segurança para uma empresa funcionar com a devida
segurança (VASQUES E SCHUBER, 2002).
65

Com base nas informações e nos testes realizados no trabalho, foi verificado que a
implementação da tecnologia não é tão complexa como parece, apenas existem diversas
formas de se implementá-la. Se for levado em conta o custo, o sistema operacional e o tempo,
é possível avaliar realmente qual tecnologia deve ser escolhida para realizar o projeto das
redes privadas virtuais. O presente trabalho contribuiu no sentido de mostrar ao leitor quais
são as vantagens e desvantagens de se utilizar a tecnologia. Não é sempre que as redes
privadas serão implementadas, isso dependerá se a empresa tem um padrão de exigência de
segurança elevado. Pois mesmo que o ambiente não tenha redes privadas virtuais, não é tão
simples assim capturar informações. Às vezes é realmente difícil dizer se o ambiente deverá
utilizar tecnologia. No caso de uma instituição financeira, como um banco ou algo parecido,
pode ser interessante utilizar os recursos da tecnologia para os funcionários sentirem
segurança ao realizar transações bancárias e outras operações relevantes.
Outra contribuição do presente trabalho foi mostrar que a tecnologia não é assim tão
complexa e pode ser utilizada em grandes e pequenas empresas. A empresa precisará apenas
investir parte do seu tempo para estudar a topologia a ser implantada e assim determinar qual
a melhor opção de implementação das redes privadas virtuais, sendo que esta tecnologia é
bastante versátil e pode se adequar a diversas topologias, como mostrado no decorrer do
trabalho. Quando se considera o custo para implementar os recursos da tecnologia, podemos
observar que são gratuitos e podem ser adquiridos da internet por qualquer pessoa. Os
recursos que a empresa deverá disponibilizar é uma equipe devidamente qualificada e tempo
para que essa equipe possa avaliar realmente o que será necessário ser feito para utilizar de
melhor forma os recursos de mão de obra e tempo para implementar a tecnologia.
O VPN vem crescendo cada vez mais, “Pôde-se observar que a VPN é uma tecnologia
em crescimento, sendo comercializada, por exemplo pelas principais empresas de
telecomunicação no Brasil e no mundo” (VASQUEZ E SCHUBER, 2002). Se uma empresa
se preocupa com a segurança das suas informações e deseja investir nessa opção, é
interessante investir na equipe que irá implementar a tecnologia. Sabendo que a tecnologia
cresce no Brasil e no mundo, podemos nos manter atualizados e até pessoas que não são
profissionais de T.I. podem estudar sobre o assunto. Podemos então concluir que os fatores de
66

decisão que irão influenciar na escolha das redes privadas virtuais dependerão dos fatores de
segurança, custo, qualidade de serviço e facilidade de uso. (CHIN, 1998)
Existem algumas variáveis que podem ser levadas em consideração quando o assunto é
a implementação das redes privadas virtuais e isso pode variar para cada organização. Pode
ser que uma pequena empresa possua bastante tempo e decidiu investir na segurança da
informação de seu negócio, então cada caso é único para ser analisado. O presente trabalho
teve como prioridade o estudo das redes privadas virtuais e a sua implementação. Como esta
tecnologia afeta a segurança dos computadores e de que forma esta tecnologia pode beneficiar
uma empresa. É claro que uma máquina ligada a internet nunca terá garantia absoluta de que
não terá risco de suas informações serem interceptadas, lidas ou modificadas por terceiros.
Uma vez ligada a internet um computador nunca estará absolutamente seguro, mas isso não
significa que devemos deixar de utilizar os computadores no nosso dia-a-dia.
Antigamente as redes de computadores eram utilizadas somente para enviar correio
eletrônico e imprimir documentos. Hoje em dia milhões de usuários utilizam as redes de
computadores para realizar transações bancárias, fazer compras entre outras coisas. Com o
tempo a segurança foi se tornando um fator fundamental no funcionamento dos computadores
atualmente. Hoje em dia existem pessoas mal-intencionadas que tentam ler as informações
contidas nas mensagens ou até mudar essas mensagens. A segurança da informação se
encarrega de impedir que as pessoas não leiam ou modifiquem as mensagens. As vezes cuidar
da segurança da informação de uma empresa significa lidar com essas pessoas inteligentes e
mal-intencionadas. Na maioria das vezes as redes não são invadidas por pessoas estranhas que
tentam roubar informações, mas por pessoas que estão ressentidas com a organização. O
projeto de segurança de informação deve ser feito levando em consideração esses fatores. É
importante mudar as senhas quando um funcionário está saindo da empresa, verificar se todas
as formas de acesso que aquela pessoa tinha não estão mais disponíveis (TANEMBAUM,
2003).
É importante destacar que a rede privada virtual é um assunto que faz parte da
segurança da informação de uma organização, conceitos sobre a segurança da informação são
importantes e é interessante descrever sobre o assunto até em termos gerais. Os pilares da
segurança da informação: “os problemas de segurança das redes podem ser divididos nas
67

seguintes áreas interligadas: sigilo, autenticação, não repúdio e controle de integridade”


(TANEMBAUM, 2003). O sigilo, ou confidencialidade está relacionado ao fato de as
informações estarem disponíveis somente as pessoas autorizadas. A autenticação faz parte do
processo de verificação de quem está se comunicando antes de realizar uma conexão ou uma
transação bancária, por exemplo. O não repúdio está ligado ao fato de que se deve ter como
provar que por exemplo uma transação comercial realmente foi feita por uma determinada
pessoa ou ter como se certificar de que uma mensagem é verdadeira e se origina realmente
daquela pessoa que enviou a mensagem.
Quando uma rede privada virtual é projetada, supostamente se deveria ter a garantia de
que as pessoas que estão ligadas a rede seriam indivíduos que estão autorizadas a isso. Por
que as vezes permissões importantes podem ser concedidas as pessoas que fazem parte desta
rede, assim conceitos de segurança da informação começam se tornar importantes para o
projeto de redes privadas virtuais. É então importante verificar que somente pessoas
autorizadas devem ter acesso aos computadores. Podemos ver no decorrer deste trabalho
alguns assuntos que fazem parte de segurança de redes, como criptografia, camada OSI,
firewall, entre outros conceitos importantes para garantir a segurança de uma rede de
computadores. Podemos ver também a variedade de topologias que existem e as diversas
formas de realizar conexões se adaptando a cada necessidade. As redes privadas virtuais não
precisam apenas ser implantadas em grandes empresas, mas também em empresas de pequeno
porte. A tecnologia garante a segurança dos e-mails e de outros componentes importantes que
fazem parte da rede interna.
Quando falamos sobre a segurança da informação é importante lembrar que somente as
redes privadas virtuais pode não ser suficiente para poder garantir a segurança da informação.
Configurar um firewall pode ser sempre uma boa opção para impedir a triangulação, onde o
atacante invade inicialmente o computador do cliente e a partir dele começa a ter acesso ao
conteúdo da rede interna (BORGES, FAGUNDES E CUNHA). Podemos ter certeza que por
mais que falamos em segurança da informação e como deixar um ambiente completamente
seguro, não é possível garantir que um computador que esteja ligado a internet tenha proteção
absoluta contra todos os tipos de ataque e que não corre risco de ser invadido.
68

Podemos concluir que atualmente temos a melhor opção e a mais segura, que é a
utilização de redes públicas e privadas para realizar uma conexão de redes privadas virtuais,
ou seja, utilizamos os recursos já existentes para ligar dois ou mais segmentos de rede de uma
organização. O avanço tecnológico com esse tipo de mudança foi muito vantajoso para todos
que desejaram implementar segurança nas suas organizações. A tecnologia está acessível e
continua gratuita para todos e é um assunto que desperta interesse em pessoas que prezam
pela privacidade de suas informações.
Existem situações que os recursos não serão utilizados, mas isso dependerá de cada
caso. Nós aprendemos no decorrer do trabalho técnicas que as empresas utilizam para projetar
uma rede privada virtual. Através de conceitos básicos de rede foi possível entender melhor
como a rede funciona e utilizar a tecnologia de forma correta e com uso de firewall, implantar
a tecnologia sem ter a preocupação com a falta de integridade, confidencialidade e
disponibilidade de informações. Vimos como o uso do firewall em conjunto com as redes
privadas virtuais se torna uma técnica muito eficiente para proteger as informações da rede
interna de uma organização. Existe uma desvantagem quanto ao uso desse tipo de solução:
quando o servidor de VPN funciona junto com o firewall, pode-se exigir muito do servidor,
pois existe ao mesmo tempo a complexidade do roteamento junto com as regras de filtragem.
Existem diversas topologias para a criação de um bom projeto de VPN, isso dependerá
de vários fatores, como a infraestrutura, o número de requisições que vem da internet. Se há a
necessidade ou não de se utilizar um firewall. Geralmente é recomendado utilizar firewall em
conjunto com as redes privadas virtuais. Para diminuir a sobrecarga em um equipamento
centralizado, pode-se separar esses dois componentes em componentes distintos e pôr o
gateway VPN atrás do firewall por exemplo. Existem várias soluções e cada uma possui as
suas vantagens e desvantagens.
Apesar do presente trabalho ter sido escrito com uma abordagem bastante técnica, o
objetivo não é atrair somente as pessoas que são da área técnica, mas também as pessoas
leigas que não tem um conhecimento aprofundado de redes de computadores e outros
conceitos, pois conceitos básicos sobre criptografia e redes, como por exemplo a camada OSI
foram devidamente descritos nesse trabalho. Esses conceitos fundamentaram uma base para
poder entender com mais abrangência o funcionamento das redes privadas virtuais. A camada
69

OSI é um conceito fundamental para a compreensão do funcionamento das redes de


computadores, onde é feita cada transferência, em que nível, do físico até o nível de aplicação
e é fundamental para entender o funcionamento das redes e das redes privadas virtuais.
70

5 – REFEFÊNCIAS BIBLIOGRÁFICAS

Alan Tamer Vasques, R. P. S. (2002). Implementação de uma VPN em Linux utilizando o


protocolo IPSec. Belém, Pará.

Alexandre Pereira do Carmo. 2010. “Solução segura para utilização de VPN Baseada em IP’S
dinâmicos.”.

Andrew S. Tanembaum. (2003). Redes de Computadores (Quarta edição).

E. Comer Douglas. Redes de Computadores e Internet. 2.ed. Porto Alegre: Bookman, 2001.
522p.

Edmar Roberto, S. de R. (2004). Segurança no Acesso Remoto VPN. Universidade Estadual


de Campinas. Retirado de
http://repositorio.unicamp.br/jspui/bitstream/REPOSIP/276400/1/Rezende_EdmarRobertoSan
tanade_M.pdf

Eric F. Crist, J. J. K. (n.d.). Mastering OpenVPN. Retirado de


https://play.google.com/books/reader?id=O-
13CgAAQBAJ&printsec=frontcover&output=reader&hl=pt&pg=GBS.PA25

Fábio Borges, B. A. F., & Gerson Nunes da Cunha. (n.d.). VPN: Protocolos e Segurança.
Universidade Católica de Petrópolis., Petrópolis.

Feilner Markus; Graf Norbert. Beginning OpenVPN 2.0.9: Build and Integrate Virtual Private
Networks Using OpenVPN: Packt Publishing Ltd, 2009. 588p.

Fernando Antônio de Alemão Cisneiros. (1992). Análise de Testes em Ambientes Windows.


Unicamp. Retirado de
http://repositorio.unicamp.br/jspui/bitstream/REPOSIP/265522/1/Cisneiros_FernandoAntonio
deAlemao_M.pdf

Josiane Klettenberg. (n.d.). Segurança da Informação: um estudo sobre o uso da engenharia


para obter informações sigilosas de usuários de instituições bancárias Universidade Federal de
Santa Catarina. Retirado de
https://repositorio.ufsc.br/xmlui/bitstream/handle/123456789/172575/343623.pdf?
sequence=1&isAllowed=y

Justin, E. (1 de dezembro de 2017). Como Configurar um Servidor OpenVPN no Ubuntu


16.04. (P. Fernando, Trans.). Retirado de
https://www.digitalocean.com/community/tutorials/como-configurar-um-servidor-openvpn-
no-ubuntu-16-04-pt
71

Lino Sarlo da Silva. (n.d.). Virtual Private Network – VPN. Aprenda a construir redes
privadas virtuais em plataformas Linux e Windows.

Liou Kuo Chin. (13 de novembro de 1998). Rede Privada Virtual - VPN. Retirado de
https://memoria.rnp.br/newsgen/9811/vpn.html

Marcelo Honorato Marleta. (2007). Projeto de uma VPN (Rede Privada Virtual) baseada em
computação reconfigurável e aplicada a robôs móveis. USP. Retirado de
http://www.teses.usp.br/teses/disponiveis/55/55134/tde-18062007-101411/

Modelo OSI – Protocolos. (2010). 552 x 382. Retirado de


https://pplware.sapo.pt/tutoriais/networking/redes-sabe-o-que-e-o-modelo-osi/

Ngekeh Prisca, C. (2016). Configuring and using OpenVPN on Windows OS. Centria
University of Applied Sciences, Finlândia. Retirado de
https://www.theseus.fi/bitstream/handle/10024/105223/OpenVPN.pdf?sequence=1

Pedro, P. (15 de setembro de 2010). Redes – Sabe o que é o modelo OSI? Retirado de
https://pplware.sapo.pt/tutoriais/networking/redes-sabe-o-que-e-o-modelo-osi/

S. Kahlmeyer-Mertens Roberto. Como elaborar uma pesquisa, linguagem e método. 1.ed. Rio
de Janeiro: FGV Editora, 2007. 110p.

Stefano Fabiano Rossi Lucas. Por que cada vez mais empresas adotam o home office. 2015.
Retirado de http://exame.abril.com.br/revista-exame/mais-trabalho-de-casa/

Victor, B. (2012). Soluções Open-source para os Serviços de Fax e VPN numa Rede
Empresarial. Universidade do Porto. Retirado de https://repositorio-
aberto.up.pt/bitstream/10216/63396/1/000151176.pdf

Wilson Pablo Medina, B., Francisco José, K. N., Ricardo Gonçalves de Faria, C., Juliano, D.
(13 de julho de 2015). Gestão de custos em pequenas empresas industriais: estudo de caso em
uma empresa do setor alimentício. Retirado de
http://www.revistaespacios.com/a15v36n17/15361710.html