POR:
TONY MACHADO KRISTIANSEN
MACAÉ
2018
FACULDADE PROFESSOR MIGUEL ÂNGELO DA SILVA SANTOS – FeMASS
CURSO DE GRADUAÇÃO EM SISTEMAS DE INFORMAÇÃO
BANCA EXAMINADORA
___________________________________________________________________
Anselmo Pestana
Faculdade Professor Miguel Ângelo da Silva Santos (FeMASS)
1º Examinador
___________________________________________________________________
Isac Mendes Lacerda
Faculdade Professor Miguel Ângelo da Silva Santos (FeMASS)
2º Examinador
DEDICATÓRIA
Gostaria de agradecer a minha família pelo apoio e suporte durante todo o tempo que me
dediquei aos estudos.
AGRADECIMENTO
Gostaria de agradecer a minha família pela ajuda e suporte durante a elaboração do trabalho e
sem a ajuda deles eu não iria conseguir desenvolver este trabalho de conclusão de curso.
Gostaria de lembrar que o meu pai, apesar de estar falecido, mas ainda está vivo em minha
memória e agradecer por tudo o que ele fez por mim.
EPÍGRAFE
The literature shows that more and more companies value information and, at the same time,
the need to invest in technologies that protect and maintain confident information increases.
The course completion work aims to describe the importance of virtual private networks, as
well as possible models of implementation, approaching the justifications for its application,
showing resources, vantages and disadvantages that the technology offers. In this scenario, in
order to implement the VPN service, the open vpn software will be applied in windows
environment. As a result, the reader is expected to understand the many ways this technology
can be used in various information infrastructure environments. A securely deployed
information technology infrastructure always leaves customers satisfied and safe, being able
to carry out their transactions and communicating with their suppliers in a safe and reliable
way.
SUMÁRIO
1 Capítulo 1 - Introdução………….....…........……………....….…………..……..........15
1.1 Quais são os benefícios de se implementar redes privadas virtuais?...............16
2 Capítulo 2 – Referencial teórico..................................................................................19
2.1 Surgimento do OpenVPN................................................................................19
2.2 Conceitos básicos de rede................................................................................20
2.2.1 Modelo OSI...................................................................................20
2.3 Protocolos de rede...........................................................................................24
2.3.1 Modelo TCP/IP..............................................................................23
2.3.2 TCP: Serviço de Transporte Confiável.........................................23
2.3.3 UDP: Serviço de Transporte não Confiável..................................24
2.4 Redes Privadas Virtuais...................................................................................24
2.5 Conceitos de criptografia.................................................................................25
2.6 Criptografia assimétrica com SSL/TLS...........................................................26
2.7 Criptografia simétrica e híbrida.......................................................................27
2.8 Criptografia híbrida.........................................................................................27
2.9 Hash one-way..................................................................................................28
2.10 Encriptando o tráfego................................................................................28
2.11 Segurança da informação..........................................................................28
2.12 Segurança de RPV.....................................................................................29
2.13 Implementação de redes privadas virtuais.................................................30
2.13.1 Requisitos de rede..........................................................................30
2.13.2 Aplicações para VPN.....................................................................31
2.13.3 Host-to-Gateway............................................................................32
2.13.4 Topologia.......................................................................................33
2.13.5 Hub-and-spoke...............................................................................34
2.13.6 Full-Mesh......................................................................................35
2.13.7 Partial-Mesh..................................................................................35
2.13.8 Tipos de redes privadas virtuais....................................................36
14
1 – Capítulo 1: Introdução
Segundo, durante anos quando as empresas queriam trocar informações entre os seus
segmentos, elas utilizavam tecnologias mais antigas como telefone, fax e correio. Com a
aceleração dos negócios as empresas verificaram a necessidade de utilizar outras técnicas para
fazerem a comunicação para ganhar tempo e tornar esse processo mais prático. Depois foram
surgindo outras tecnologias como as chamadas de Groupware, um software colaborativo que
apoia o trabalho em grupo, ou coletivamente, como os CRM’s (customer relationship
manager) e ERP (enterprise resource planning) (FEILNER E GRAF, 2009).
Esses programas são utilizados para tornar o trabalho em equipe mais eficiente.
Acontece muito no cenário atual funcionários que acessam a rede interna da empresa de locais
remotos, até das suas próprias casas. É interessante que esses funcionários tenham acesso aos
recursos internos de tecnologia da informação para que possam acessar a rede interna da
empresa de forma eficiente e segura. E todos os computadores que estão nessa rede deverão
atingir um nível alto de segurança que a empresa exige com a implementação da tecnologia.
Para se ter ideia da quantidade de formas possíveis de se integrar dispositivos na rede interna
da empresa, até os smartphones podem ser incluídos na rede privada virtual. Esses fatores têm
demandado soluções de rede sofisticadas a em todo o mundo. É possível por exemplo integrar
empresas clientes e prestadoras de serviço para se comunicarem com muito mais segurança e
eficiência. Antigamente quando era necessário realizar tal conexão, as empresas precisavam
se conectar fisicamente entre os segmentos da empresa, o que era muito caro. Essa prática
continuou sendo utilizada até meados dos anos 90, depois quando a internet cresceu e se
tornou mais barata, os profissionais da área de tecnologia de informação, os gerentes e
administradores se conscientizaram de que deve existir soluções melhores para esse tipo de
problema.
Baseado no avanço tecnológico e barateamento dos meios de comunicação aliados a
necessidade de recursos de segurança surgiu a tecnologia das redes privadas virtuais que hoje
é utilizada “como conexão entre corporações através da internet e podem ser úteis para
usuários móveis ou remotos, bem como filiais distantes de uma empresa”. (CHIN, 1998)
16
Este trabalho tem como objetivo geral a elaboração de um estudo sobre o uso das redes
privadas virtuais em empresas de qualquer porte, com uma proposta de implementação.
Como objetivos específicos serão apresentadas as seguintes etapas:
Especificação de conceitos de rede como informações preparatórias para posterior
aprofundamento em redes privadas virtuais;
Descrição da história do OpenVPN e como surgiu;
Demonstração das vantagens e desvantagens de utilização do OpenVPN;
Demonstração das etapas necessárias para estabelecer uma conexão de redes privadas
virtuais e como isto pode ser feito com êxito;
Apresentação de conceitos de segurança e suas aplicações em redes privadas virtuais.
Uma pergunta importante surge quando o assunto é redes privadas virtuais: porque utilizar
essa tecnologia? Quais são os benefícios de utilizar essa tecnologia tendo em vista o custo
para implementá-la? O conceito de redes privadas virtuais está diretamente ligado a segurança
de informação. Antigamente quando as empresas precisavam realizar uma conexão segura
entre suas filiais, elas precisavam construir uma infraestrutura para poder conectar as filiais
com segurança. Naquela época se algum intruso quisesse interceptar as informações, ele
precisava grampear os cabos fisicamente, o que não era fácil (MARLETA, 2007)
(TANEMBAUM, 2003). Hoje em dia esse conceito foi substituído por uma tecnologia que
reduziu consideravelmente o custo por criar um software que funcionasse com encriptação de
dados a fim de transferir essas informações. (MARLETA, 2007)
privadas virtuais. Não seria adequado configurar a segurança da informação com muito rigor
se essas informações não estivessem disponíveis para as pessoas autorizadas. Da mesma
forma os dados precisam de integridade. Além das informações poderem ser interceptadas e
lidas, estas podem ser alteradas. Isso pode ser prejudicial por exemplo quando uma transação
é feita e em seguida o invasor altera as informações, assim comprometendo a sua integridade.
Quando as redes privadas virtuais são configuradas corretamente, podemos considerar
a rede segura contra invasores maliciosos. Existem empresas que tem escritórios e fábricas
espalhadas por vários lugares até pelo mundo, e como o custo de se implantar uma rede
privada com uso de linhas nesse caso seria muito alto. Por isso o uso de redes privadas
virtuais tem se tornado cada vez mais comum. As redes privadas virtuais funcionam muito
bem e são bastante seguras. Se forem configuradas corretamente, é possível garantir controle
de integridade, sigilo e até uma considerável imunidade contra análise de tráfego.
(TANEMBAUM, 2003).
A temática justifica-se dado o uso cada vez mais frequente por pessoas no mundo,
inclusive no Brasil. De acordo com o artigo “Por que cada vez mais empresas adotam o home
office”, a produtividade aumenta e os custos são reduzidos. Segundo Stefano e Rossi,
[Nos Estados Unidos, 40% dos trabalhadores usam a opção do home office. Uma
pesquisa recente mostra que no Brasil 26% das grandes empresas oferecem a
possibilidade de trabalho remoto em parte da jornada a pelo menos uma parcela dos
Por que a escolha do OpenVPN? A escolha justifica-se dada a sua versatilidade, software
livre, fácil implementação e compatível com quase todos os firewalls e proxys. A tecnologia
oferece recursos versáteis na criação de scripts que podem ser usados para uma grande
variedade de propósitos.
A seguir são listadas algumas das vantagens de se utilizar a tecnologia. (FEILNER E
GRAF,2009)
Proteger trabalhadores de campo com firewall interno;
Conexões de OpenVPN podem ser realizadas através de quase todos os firewalls e
proxys;
Possui os modos de cliente e servidor e possui suporte aos protocolos UDP e TCP;
Somente uma porta no firewall deverá ser aberta para permitir conexões que estão
chegando;
Sem problemas de compatibilidade com NAT;
Interfaces virtuais permitem uma rede flexível com características específicas e é
possível inserir quase qualquer regra de firewall que se possa imaginar;
Alta flexibilidade com possibilidades de script extensas;
Suporte de alta performance para IP's dinâmicos;
Instalação simples em qualquer plataforma;
Design modular;
Suporte para celulares e dispositivos embarcados;
Comunidade muito ativa;
19
James Yonan realizou uma entrevista que foi publicada em 2003 e duvidou da segurança das
redes disponíveis no local onde estava. Ao realizar uma pesquisa, o mesmo descobriu duas
vertentes no estudo das redes privadas virtuais: uma buscando a segurança e outra a
20
usabilidade. Na época não existia nenhuma tecnologia que combinasse as duas características.
Depois de realizar alguns estudos sobre as redes privadas virtuais de código aberto, o mesmo
decidiu que teria a usabilidade como prioridade para continuar o seu trabalho. Yonan escolheu
o nome OpenVPN por causa da mensagem clara de que este é software livre e gratuito.
(FEILNER E GRAF, 2009)
Quando se fala em segurança das informações geralmente se fala em confidencialidade,
disponibilidade e integridade. Confidencialidade é o conceito de que somente as pessoas
autorizadas a acessar uma determinada informação deve possuir esse tipo de permissão.
Disponibilidade está ligado ao fato de que as informações devem estar disponíveis, por
exemplo, não adianta ter uma senha muito complexa se não se consegue lembrar daquela
senha. Integridade está ligado ao fato das informações não sofrerem alterações enquanto
foram transferidos de um lugar para o outro, ou seja, que as informações estejam íntegras.
Camada física (1): essa é a camada mais baixa da hierarquia, é onde os sinais são
transmitidos através de meios ópticos e/ou elétricos. Devemos ter em mente que
existem limitações do que a natureza oferece como o que pode ser transmitido através
de um canal. Os meios mais comuns de transmissão são através de meios magnéticos,
como fita magnética e mídia removível como por exemplo DVDs graváveis. Existe
também o par trançado, que consiste de dois fios de cobre encapados de forma
helicoidal, semelhante a uma molécula de DNA. Existem os cabos coaxiais, que tem
21
uma resistência maior que os pares trançados. O limite prático da fibra ótica é de cerca
de 10 Gbps, por causa da incapacidade de converter sinais elétricos em ópticos com
uma velocidade maior. Hoje em dia as pessoas precisam estar o tempo todo online, por
isso as pessoas estão predizendo que no futuro haverá apenas dois tipos de conexão:
sem fio e fibra ótica. Nas comunicações de rede sem fio temos transmissão de rádio,
transmissão de micro-ondas, transmissão de ondas de luz e satélite de comunicações.
(TANEMBAUM, 2003);
Camada de link (2), ou enlace de dados: os pacotes de dados são codificados e
decodificados em bits. Poderíamos imaginar que não seria necessário nenhum tipo de
tratamento nos dados que são transmitidos através dos meios físicos, pois eles já vêm
na ordem em que serão armazenados para a próxima camada, mas esse entendimento é
errado, pois existem falhas nos hardwares e bits significativos poderiam ser perdidos.
Assim podemos considerar parte da camada de link de dados os algoritmos que tratam
dessas falhas. (TANEMBAUM, 2003);
Camada de rede (3): roteamento, endereçamento, tratamento de erros e etc. Enquanto a
camada de enlace de dados tem o objetivo mais modesto de apenas mover os dados de
uma extremidade do fio até a outra, a camada de rede é a camada mais baixa que leva
dados de uma origem até o final. O endereço IP faz parte dessa camada.
(TANEMBAUM, 2003);
Camada de transporte (4): controle de fluxo e onde se garante que os dados cheguem
ao destino, recuperando os que foram perdidos durante a transmissão. A camada de
transporte é o núcleo de toda a transferência das informações. Sem essa camada, todo
o conceito do modelo OSI não faria sentido. O objetivo da camada de transporte é
oferecer um serviço confiável de transporte para os processos nas aplicações.
(TANEMBAUM, 2003);
Camada de sessão (5): A camada de sessão permite que usuários de diferentes
máquinas estabeleçam sessões entre si, esta camada oferece serviços mantendo o
controle de quem deve transmitir a cada momento. Serviços que impedem que duas
máquinas tentem acessar a mesma operação crítica ao mesmo tempo e serviços de
22
As camadas estão ligadas umas às outras de forma hierárquica. Uma camada funciona como
um intermediário com a camada acima e a camada abaixo, e só é possível realizar troca de
dados na última camada (aplicação), quando todas as outras seis camadas conseguirem se
comunicar. Segundo Liou Kuo Chin “O tunelamento pode ocorrer na camada 2 ou 3
(respectivamente enlace e rede) do modelo de referência OSI (Open Systems Inter
connection).”
O modelo de rede TCP/IP é composto por duas partes: cabeçalho e dados. Podemos compará-
lo com uma carta, onde o rótulo contém informações a respeito do remetente e destinatário,
enquanto o envelope mantém o conteúdo com as páginas escritas. Um pacote TCP/IP possui o
cabeçalho, que contém informações sobre o destinatário, emissor, outras informações
administrativas para o transporte e os dados. (FEILNER E GRAF, 2009) (TANENBAUM,
2003)
O protocolo TCP foi projetado para trazer uma comunicação confiável em uma rede com uma
infraestrutura de rede não confiável. Podemos afirmar que na rede temos dispositivos que
possuem velocidade de transmissão e outros diversos fatores que os diferenciam. O TCP foi
feito para se adaptar a essas diferenças e ser robusto mesmo diante de eventuais falhas que
poderiam aparecer (TANEMBAUM, 2003). O TCP utiliza um serviço não confiável oferecido
pelo datagrama IP sobre meios de transporte confiáveis. O TCP deve utilizar o método mais
eficiente e que consuma menos recursos para não sobrecarregar a rede. Embora outros
protocolos tenham sido criados, nenhum se mostrou tão eficiente quanto o TCP/IP, por isso é
o protocolo de propósito geral mais utilizado atualmente. As redes podem ser divididas em
três categorias:
24
O protocolo UDP (user datagram protocol) é bastante simples e utilizado para multimídia e
algumas interações de cliente/servidor, porém muitas das aplicações da internet exigem uma
entrega confiável das informações. O protocolo UDP não foi confiável suficiente e por isso
foi criado o protocolo TCP.
“As redes privadas virtuais são redes conectadas através de diversos locais públicos e
privados, como se estivessem funcionando em uma única rede única e privada” (COMER,
2001). Etapas para estabelecer uma conexão de redes privadas virtuais, existem três etapas
para estabelecer uma conexão de redes privadas virtuais.
1. Os dispositivos precisam estabelecer uma conexão;
2. Precisam utilizar os mesmos métodos de criptografia;
3. Os dispositivos precisam utilizar as mesmas formas de troca de chaves.
25
“Por esse motivo muitos consideram a tecnologia de redes privadas virtuais um conceito
complexo e difícil. A variedade de formas que as tecnologias estabelecem conexões define
cada solução de rede privada virtual”. (FEILNER E GRAF, 2009)
A criptografia é uma área de estudo em que os criptógrafos se dedicam para transformar texto
em algo que não é possível ler. Quando o texto é criptografado, o mesmo deveria ser
impossível de ser transformado no texto original para pessoas não autorizadas. Na verdade,
deveria funcionar dessa forma, pelo menos essa é uma das premissas da criptografia. A
criptografia é um dos pilares das redes privadas virtuais e existem dois processos envolvidos,
o de criptografar e o processo inverso. Interessante notar que antigamente o algoritmo
utilizado no processo tinha que ser único, ou seja, tinha que ser criado pelas pessoas que
faziam parte da empresa. Se alguém saísse da empresa, na mesma hora o algoritmo deveria
ser substituído. Se alguém fora da empresa comprasse o mesmo produto de encriptação, ele
podia receber as informações os descriptografar. A solução para esse problema surgiu com a
utilização das chaves, assim o algoritmo de criptografia pode se tornar público, pois a
segurança está nas chaves e não no algoritmo em si. Dessa forma as pessoas que utilizam a
criptografia podem compartilhar entre si várias chaves para poderem assim manterem uma
conexão segura. (MARLETA, 2007)
A criptografia simétrica não é a mais segura, pois utiliza somente uma chave para poder
criptografar e decifrar os dados. A chave é o item mais importante do conjunto de
componentes e cada integrante do grupo deverá possuí-la exclusivamente. (MARLETA, 2007)
Figura 4 – criptografia simétrica e híbrida.
Hash one-way são os algoritmos que criptografam uma cadeia de dados que depois ficam
impossíveis de decifrar, ou seja, fazer o processo inverso. É muito utilizado para criptografar
senhas, cartões de crédito entre outros. Esse algoritmo utiliza uma função matemática
complexa e qualquer mudança mínima no texto original faz com que o valor do hash seja
diferente. (MARLETA, 2007)
As redes privadas virtuais são utilizadas para garantir a segurança da informação. Pode ser
utilizado por qualquer empresa de qualquer porte. A chegada das redes de computadores
mudou os sistemas de informação como funcionavam antes. Isso causou um grande risco a
integridade e privacidade da informação. Por isso devem existir formas de prevenir que
acessos não autorizados façam acesso a sua rede de computadores. A segurança da informação
pode ser definida da seguinte forma: “A segurança da informação é a proteção dos sistemas de
informação contra a negação do serviço ao usuário autorizado, e contra o acesso e
modificação não autorizada da informação armazenada, em processamento ou em trânsito”.
(CARMO, 2010)
29
Existem três itens que caracterizam a segurança de uma rede privada virtual ou a tecnologia
de informação em geral.
A segurança da informação deve ser projetada de uma forma que seja possível recuperar
informações caso haja algum desastre. Ao se implementar segurança é importante levar em
consideração algumas questões organizacionais como:
A segurança das redes privadas virtuais pode ser alcançada através de métodos de encriptação
das informações, técnicas de autenticação seguras e firewalls que direcionam as informações
saindo e entrando no túnel. Cifrar a informação não é sinônimo de manter a segurança
estabelecida de forma sólida e concreta. (FEILNER E GRAF, 2009)
Por outro lado, esse tipo de conexão possui baixa escalabilidade, pois somente dois
computadores poderão se comunicar com segurança. Outra desvantagem do uso da topologia
de ponto-a-ponto é o fato da chave precisar ser transmitida antes do estabelecimento da
conexão, o que pode ser um fator de risco que ameace a confidencialidade das informações.
(CRIST E KEIJSER, 2015)
O caso mais simples para implementar uma rede privada virtual é quando existe um host de
origem e outro de destino, incluindo quatro dispositivos neste caso. O caso de uso está
ilustrado abaixo como exemplo número 1. O host de origem, o roteador de origem, o roteador
de destino e o host de destino. A internet está localizada no meio dos dois roteadores. Existe
um outro caso que liga dois segmentos de rede, que pode ser duas filiais de uma empresa. Este
exemplo está ilustrado abaixo como exemplo 2. Existe a primeira rede interna, um gateway de
rede privada virtual do primeiro segmento da empresa, um gateway do segundo segmento da
empresa e a rede interna da segunda filial. Interessante notar que o túnel de redes privadas
virtuais está configurado entre os dois gateways das filiais.
Exemplo 1:
Fonte: Marleta,
2007.
32
Uma conexão de redes privadas virtuais pode ser através de qualquer distância em que se
tenha acesso a internet.
2.13.3 - Host-to-Gateway
Esse tipo de conexão acontece quando se deseja realizar uma conexão entre o host e o
gateway e vice-versa. Atrás do gateway naturalmente pode existir uma ou várias redes
internas. O gateway será responsável pelo estabelecimento do túnel. As máquinas que fazem
parte da rede interna irão se comunicar com a máquina remota como se estivesse na mesma
rede. Caso seja necessário utilizar endereços de IP dinâmicos, a rede privada virtual só poderá
ser estabelecida pelo host. Nesse caso é impossível o gateway saber previamente o endereço
de IP do host. Esse tipo de conexão é muito comum para pessoas que podem mudar a sua
localização para acessar a rede privada virtual. (CARMO, 2010)
Figura 8: host-to-gateway.
33
Quando por exemplo o usuário desejar controlar um robô remotamente, ele pode realizar essa
conexão através de cidades ou até países diferentes. Para facilitar a implementação dessa
tecnologia e ter mais benefício, é mais natural que a configuração das redes privadas virtuais
aconteça entre os firewalls, pois eles são postos na infraestrutura como dispositivos de
segurança. Apesar dos roteadores poderem exercer a mesma função, os firewalls são mais
recomendados por possuírem recursos internos para esse fim. Depois que a rede foi
configurada com redes privadas virtuais, os pacotes que viajam pela internet são como um
pacote qualquer. (TANEMBAUM, 2003)
2.13.4 - Topologia
Em uma empresa, onde várias conexões podem ser feitas, a escolha da topologia é essencial
para o sucesso do projeto. Quando o ambiente de trabalho é pequeno e não tem muitos hosts,
a escolha da topologia pode não ser tão importante, mas quando se tem uma empresa com
uma infraestrutura complexa, essa escolha passa a ser importante para se implementar uma
rede privada virtual bem-sucedida. Quando a empresa é grande e se tem uma topologia bem
definida, é possível ter uma possibilidade maior de expansão, facilidade de gerenciamento,
diminuição dos custos, disponibilidade e flexibilidade (CARMO, 2010). As redes privadas
virtuais são bastante flexíveis quanto a topologia. Existem diversas formas de se configurar as
redes privadas virtuais, tudo dependerá das necessidades do local. Seja por fins comerciais ou
34
2.13.5 - Hub-and-spoke
Nessa topologia existe um dispositivo central e outros segmentos chamados de spoke. Para
que seja possível realizar uma conexão com um nó qualquer, os pacotes precisam passar pelo
nó central desses segmentos chamados spoke. O diagrama abaixo mostra como que essa
topologia de divide:
Esse modelo é muito utilizado nas empresas quando se tem funcionários que transitam
constantemente em vários locais e quando estão em algum lugar fora da empresa, eles podem
acessar qualquer departamento dessa empresa de forma segura. Uma das facilidades dessa
topologia é da forma que está centralizada e isso facilita o seu gerenciamento, por outro lado o
desempenho é diminuído, pois quando o pacote é enviado ao dispositivo central, depois ele
será processado e reencaminhado até o spoke de destino. Assim a rede fica muito dependente
do dispositivo central para estabelecer conexões de redes privadas virtuais. (CARMO, 2010)
35
2.13.6 - Full-Mesh
Nessa topologia, cada nó possui uma ligação com outro nó envolvido na comunicação. Com o
uso dessa topologia é possível estabelecer a conexão diretamente com o nó de destino,
desconsiderando os hops desnecessários. O maior problema dessa topologia é a dificuldade de
gerenciamento e expansão, pois o número de conexões de redes privadas virtuais cresce com
o aumento de nós da rede. Podemos imaginar a implementação desse modelo quando é
necessário ter uma conexão entre duas filiais, por exemplo, e cada filial tenha acesso a todos
os nós da outra rede. (CARMO, 2010)
2.13.7 - Partial-Mesh
Esse modelo é o híbrido entre as duas topologias mostradas anteriormente. Da mesma forma
que não existe um ponto único de falha, as conexões de redes privadas virtuais não estão
disponíveis para todos os nós da rede. Esse tipo de topologia pode ser escolhido se a empresa
possui um grande número de filiais que possuirão conexões de redes privadas virtuais entre
elas e outras filais em um tipo de topologia chamado partial-mesh. Além disso a empresa terá
acesso a topologia hub-and-spoke que foi descrita anteriormente. (CARMO, 2010)
36
Segundo Carmo, “Existem vários tipos de VPN. Cada um desses tipos possui características
distintas e, por isso, são mais adequados para solução de problemas diferentes”. Existe um
tipo de redes privadas virtuais em que o cliente deve confiar plenamente no provedor de
internet, esse é chamado de trusted VPN. Depois com o tempo, a internet foi sendo viabilizada
como um meio de se configurar as redes privadas virtuais. A trusted VPN não era segura o
suficiente, por isso iniciou-se o uso de criptografia nos dispositivos que fossem propriedade
das empresas. As redes privadas virtuais que utilizam de criptografia chamam-se secured
VPN. (CARMO, 2010)
2.14.1 – História
As interfaces gráficas tiveram origem nas pesquisas no Pale Alto na década de 1970. A
descoberta foi feita pela Xerox onde também surgiram outras tecnologias como impressão a
laser, redes locais, programação orientada a objetos e as interfaces gráficas. O primeiro
computador que foi lançado com interface gráfica, foi em 1981 quando a Xerox lançou a Star,
que era comercial. O fato desses computadores serem tão caros, impediu que eles fossem mais
divulgados e assim não ficaram muito conhecidos. No mesmo ano a IBM lançou o seu
computador que transformou o cenário dos computadores pessoais na época. Em 1984 a
Apple lança o Macintosh que foi o computador de interface gráfica que foi bem-sucedido. Em
1987 foi lançado o OS/2 Presentation Manager que era muito similar ao sistema operacional
Windows. A Microsoft lançou o Windows 3 em 1990 com um sucesso muito grande de venda.
Este computador tinha suporte a rede e começou a ter alguns recursos como apresentação de
imagens. (CISNEIROS, 1992)
O hardware necessário para instalação das redes privadas virtuais não precisa ser muito
avançado a fim de teste. É claro que se a quantidade de requisições de internet forem muitas e
dependendo de cada caso pode ser que seja necessário servidores com mais capacidade, mas
como o objetivo da implementação é uma ligação ponto-a-ponto, podemos afirmar que
somente dois computadores ligados a internet podem ser configurados com essa conexão de
redes privadas virtuais. A plataforma Windows sempre oferece um ambiente mais amigável
para o usuário final com muitos recursos de interface gráfica para poder configurar e instalar
software. Por outro lado, o sistema operacional Windows não possui muitos recursos quando
se deseja customizá-lo. As licenças precisam ser adquiridas e isso pode trazer um aumento
significativo no custo para a implementação de um ambiente com esse sistema operacional.
(CISNEIROS, 1992)
O software OpenVPN é uma alternativa bastante acessível e pode ser baixado nos sites
oficiais. O software funciona apenas com as versões do Windows posteriores a versão 2000.
Para instalar o software em um servidor com Windows Server, por exemplo, é só adquirir o
arquivo executável no site oficial que tenha uma interface gráfica para instalação. É
importante não utilizar as versões que são estáveis, para evitar qualquer brecha na segurança.
Se é relevante que o usuário faça interação com o software pode ser uma boa ideia instalar a
versão com interface gráfica, assim ele poderá ligar ou desligar o túnel. Caso contrário é
melhor instalar o software original do OpenVPN.
O software pode ser incluído como um serviço em um computador com sistema
operacional Windows e ele será iniciado automaticamente quando o computador for ligado. A
ativação do serviço pode ser feita de forma automática ou manual, tudo dependerá da intenção
do administrador do sistema. Tudo indica que a instalação correrá com êxito quando existe um
usuário de Windows experiente (FEILNER E GRAF 2009). Podemos assim concluir que a
instalação em ambiente Windows pode ser favorável por ser de simples instalação e a maioria
dos usuários estão familiarizados com o ambiente de instalação dos seus programas.
2.15 - O sistema operacional Linux como ambiente de instalação para a rede privada
virtual
Antes de falar sobre a implantação das redes privadas virtuais em ambientes Linux, vamos
falar um pouco sobre o seu surgimento. O Linux foi inventado por Linus Torvalds, que
estudava ciência da computação na universidade de Helsinki na Finlândia. Ele desenvolveu o
núcleo do sistema operacional sem muitas pretensões utilizando a linguagem C. O código
passou então a ser licenciado sobre a GNU GPL idealizada pelo Richard Stallman em 1989.
Desde então vem sendo desenvolvido por milhares de contribuidores no mundo todo,
passando por algumas versões até a mais recente que foi lançada em 2015.
39
Primeiramente existe um compartilhamento das chaves que serão utilizadas e cada máquina
pode fazer uma conexão com uma instância do servidor por vez. Na conexão ponto-a-ponto o
computador cliente faz uma conexão a máquina servidor. O uso do termo cliente e servidor
pode ser bastante relativo, pois ambos os lados possuem praticamente as mesmas
funcionalidades. Importante notar que a implementação das redes privadas virtuais com as
chaves compartilhadas geralmente é bastante simples de implementar. Não há a necessidade
de ter certificados e as redes privadas virtuais podem ser executadas em hardware simples,
como switches e roteadores. Por outro lado, esse tipo de conexão possui baixa escalabilidade,
pois somente dois computadores podem ser usados em uma conexão. Outra desvantagem é
que a chave precisa ser transportada para o outro lado utilizado SSH. Isso pode ser um risco
para a segurança da conexão (CRIST E KEIJSER, 2015). Quando formos avaliar para decidir
qual sistema operacional será escolhido, podemos levar em consideração o custo, a facilidade
de uso e outros fatores. O Linux é um sistema operacional livre de custo, porém exige pessoas
com habilidades específicas para o sistema operacional.
O acesso a rede privada virtual basicamente é um usuário remoto que deseja se
conectar a uma rede interna de uma forma segura através de qualquer ponto na internet. Isso
acontece quando o funcionário se locomove com uma certa frequência e ele precisa estar
constantemente na rede interna da empresa para poder realizar as suas tarefas estando longe
da empresa. Podemos então afirmar que para poder realizar qualquer conexão às redes
40
privadas virtuais será necessário realizar alguns passos. Cada extremidade da conexão de
redes privadas virtuais terá de realizar uma autenticação, o sistema remoto terá de ser
configurado com a tecnologia, será necessário a configuração da política de segurança e terá
de passar por um intermediário.
O túnel IPSec também é uma boa escolha para ser utilizado nas redes privadas
virtuais. Esta tecnologia é baseada em Linux e possui muitos recursos. É possível também
mesclar as duas tecnologias, tanto o IPSec como o OpenVPN, por exemplo estabelecer uma
conexão rede privada virtual com o OpenVPN e estabelecer uma rede privada virtual IPSec
dentro da conexão OpenVPN. Pode ser bastante complexo, mas é uma opção para aqueles que
desejam aumentar significativamente a segurança do seu sistema. (RESENDE, 2004)
Podemos observar na figura acima que existem dois computadores estabelecendo uma
conexão segura com um firewall. Como já foi dito, configurar um firewall como um dos nós
de uma rede privada virtual é sempre uma boa opção, pois ele é geralmente posto na rede
como um dispositivo de segurança para impedir acessos não autorizados na rede. Podemos
ver que o usuário 1 e usuário 2 estão compartilhando a chave com o firewall que irá
estabelecer a conexão de redes privadas virtuais. O certificado deverá estar presente em cada
máquina para poder estabelecer uma relação de confiança entre os nós que farão parte da rede
privada virtual. Os outros computadores que estão antes do firewall não estão compartilhando
uma rede privada virtual, pois toda a requisição que sai da rede irá passar primeiro pelo
42
firewall. Este equipamento possui várias funcionalidades como registro de logs, bloqueio de
conexões mal-intencionadas para assim garantir um nível mais alto de segurança de
informação. O firewall irá aceitar a conexão de qualquer dispositivo que tiver um certificado
válido emitido por um dos computadores que tem esse certificado. (REZENDE, 2004)
Inserir um gateway VPN em um ambiente de redes privadas virtuais é essencial para garantir
a segurança da informação, pois se não for posicionado corretamente, pode ser que a
segurança da rede seja gravemente comprometida. Quando utilizamos esse tipo de topologia,
posicionamos o gateway antes do firewall. A instalação das redes privadas virtuais dessa
forma, deve ter algumas premissas, tais como: a política geral da segurança de rede não deve
ser comprometida, o gateway não deve constituir um único ponto de falha e quando vier
dados de redes não confiáveis, o gateway só deve aceitar tráfego cifrado. Quando os dados
vêm da rede privada, o gateway deve aceitar tanto tráfego cifrado como não cifrado da rede
privada. O gateway deve estar protegido de ataques originados da internet e quando o tráfego
é resultante de dados decifrados, o mesmo deve passar por um tipo de criptografia.
Antes de se projetar a rede interna da empresa, deve-se levar em consideração alguns
fatores, como quais serviços estarão disponíveis para os usuários remotos, além de diversos
outros aspectos. Dependendo de qual infraestrutura o analista deseja implementar, deve-se
escolher uma topologia segura o suficiente que cubra todos os requisitos de segurança para
aquele propósito específico. Quando o posicionamento do gateway é em frente de firewall é
um ponto crucial, pois os firewalls não podem aplicar regras de filtragem a pacotes cifrados.
Tendo como premissa as informações anteriores, iremos analisar como podemos implementar
a topologia da rede com um gateway na frente do firewall. (REZENDE, 2004)
2.20 - Firewall
de modo que acessos não autorizados sejam impedidos” (VASQUES E SCHUBER, 2002). A
função de um firewall basicamente é filtrar e inspecionar pacotes para controlar o fluxo de
informações. O firewall geralmente tem um filtro de pacotes, que leva a consideração o
endereço de IP ou porta de um destino. Esse tipo de firewall apenas analisa esses fatores do
pacote, não o pacote em si. Devido a esse tipo de firewall não verificar o conteúdo do pacote
em si, este pode ser considerado menos seguro que outros.
Existe um tipo de firewall que é configurado pelo administrador do sistema, este
verifica o estado dos pacotes, além de filtrar pacotes. Apenas aquelas conexões previamente
configuradas e estabelecidas e que cumprem os requisitos estabelecidos pelo firewall, têm
acesso a rede. A vantagem desse tipo de conexão é que não são todos os computadores dentro
da rede que precisam ser configurados, apenas o firewall, porém as suas configurações são
complicadas.
Os aplicativos de firewall e de proxy são mais complexos, pois varrem a rede e
descartam os pacotes que ameaçam a rede ou que não foram autorizados. Um firewall nunca
deixa um computador exposto a rede externa sem um intermediário entre eles. A vantagem
desse tipo de firewall é que ele oferece mais segurança que os demais, porém ele é mais lento
e caro. (VASQUEZ E SCHUBER, 2002)
Apesar da rede privada virtual ser a tecnologia mais segura para interligar duas redes distintas,
esta não deve ser o único componente a ser implantado em uma rede de computadores.
Quanto maior a segurança empregada, maior a dificuldade de acessar os dados. Como o
firewall é uma tecnologia mais consolidada no mercado, esta se torna uma boa opção para ser
utilizada junto com as redes privadas virtuais. Em seguida iremos verificar quais são as
formas mais adequadas para se implementar as redes privadas virtuais em combinação com o
firewall.
Quando colocamos um servidor de gateway configurado com redes privadas virtuais, dessa
forma teremos um único ponto de falha. Um ataque de negação de serviço pode comprometer
a comunicação do computador com toda a rede externa. Se levarmos em consideração que o
software de redes privadas virtuais tiver falhas, isso pode ser um risco, pois o invasor explorar
essa vulnerabilidade e enviar um ataque de negação de serviço. Com esse tipo de
configuração o gateway fica exposto a qualquer ataque que venha da internet, pois não existe
um intermediário que verifica cada requisição. O servidor de gateway fica diretamente
exposto a internet (REZENDE, 2004). A imagem abaixo ilustra esse tipo de solução para
implantação de redes privadas virtuais.
Outro problema desse tipo de solução é a dificuldade de diferenciar o tráfego que vem de
pessoas autorizadas a acessar a rede, ou seja, usuários ligados a rede privada virtual dos
usuários comuns da internet, porque ambos chegam da mesma interface.
Uma das desvantagens desse tipo de solução é que todos os pacotes que vem da rede passam
pelo gateway sem nenhum tipo de controle, todos estão cifrados então quando forem
decifrados, todos os pacotes irão para a rede interna sem nenhum tipo de controle. Desse
modo a configuração deixaria segura em toda a rede entre as extremidades do túnel, a rede
interna poderia ficar comprometida com esse tipo de configuração, pois o gateway é o último
componente do firewall antes da rede interna. Da mesma forma, se for feito um ataque de
negação de serviço ao gateway, toda a rede interna ficaria comprometida. (REZENDE, 2004)
Essa opção é recomendada por muitos administradores de rede, pois tem a vantagem de
simplificar o gerenciamento da rede como um todo. A desvantagem desse tipo de solução é
que haverá uma sobrecarga no servidor, pois ele terá que cifrar e decifrar pacotes de redes
privadas virtuais, terá também de realizar a tarefa de roteamento e registro de logs. Isso pode
exigir muito do servidor por causa da complexidade do roteamento e das regras de filtragem.
(REZENDE, 2004)
Esse tipo de configuração funciona da seguinte forma: o firewall recebe um conteúdo cifrado
e repassa esse conteúdo para o gateway de RPV. Depois disso o firewall recebe o conteúdo
decifrado, analisa o conteúdo e em seguida envia para a rede privada. Esse tipo de arranjo
protege o gateway de RPV contra eventuais ataques, porém pode ocasionar demora no
processamento das requisições, pois todo o tráfego que é destinado as redes privadas virtuais
terá de passar duas vezes pelo firewall. Dependendo da solução exigida para implementar a
tecnologia, a empresa pode exigir uma complexidade considerável, com isso pode aumentar
48
ou criar brechas de segurança. Por isso é uma boa opção utilizar tecnologias como o
conhecido IPTables, que cria uma série de regras para o fluxo da rede. Com o uso do IPTables
é possível juntar todos os pacotes relacionados as redes privadas virtuais em uma única
cadeia, assim aumentando a performance geral da rede.
49
Existe outra solução para implantação de redes privadas virtuais, que se chama DMZ
(desmilitarized zone). Esse tipo de solução é mais viável quando a empresa possui alguns
servidores adicionais, como servidor web, FTP e e-mail. Esses são os servidores que ficam na
chamada zona desmilitarizada. Que fica localizada em uma pequena rede interna confiável.
A princípio o tráfego de dados vindo de fora, ele precisa primeiro ser decifrado e filtrado antes
de chegar ao seu destino. “Neste caso, o tráfego decifrado é passível de filtragem antes de
alcançar o seu destino, pois após ser decifrado pelo gateway VPN, tem que passar novamente
pelo firewall”. (EDMAR REZENDE, 2004) Apesar disso, a infraestrutura de tecnologia de
informação projetada dessa forma, não garante que um usuário malicioso que esteja na rede
50
do parceiro, envie pacotes diretamente para algum servidor situado na zona desmilitarizada.
Quando isso acontece, os pacotes não passam pelo procedimento adequado de filtragem, pois
o pacote passa diretamente pelo firewall para o destino de uma forma cifrada, sem haver
qualquer controle sobre o conteúdo daquele pacote. (EDMAR REZENDE, 2004)
Esse tipo de configuração separa o tráfego que vai para a rede interna do tráfego que precisa
passar pelo gateway de redes privadas virtuais. Em contrapartida há mais complexidade para
configurar regras de firewall, mas com o uso do software Piabes é possível determinar um
51
conjunto de regras específicas para uma determinada interface de rede. Isso torna a
administração do fluxo de rede mais simples, pois é só encaminhar os pacotes de redes
privadas virtuais para a interface especificada pelo IPTables. É possível também inserir
outros serviços que podem ser necessários e assim evitando requisições desnecessárias para os
hosts da rede interna. (REZENDE, 2004)
Fonte Rezende,
2004.
52
A escolha do tipo de conexão de VPN para o estabelecimento das redes privadas virtuais foi
gateway atrás do firewall e segmentos de hub-and-spoke. A empresa é de pequeno porte,
possui um escritório compacto e possui 80 funcionários exercendo diversas funções. A
complexidade da implantação da infraestrutura de T.I. é relativamente alta por demandar mão
de obra especializada para realizar a configuração de servidores, definir a topologia,
configurar os clientes e implantar o sistema Webmin para simplificar o processo de
gerenciamento da rede privada virtual.
A empresa se destaca no mercado por fabricar e distribuir sorvetes na região dos lagos no
estado de Rio de Janeiro. A fábrica tem crescido e ganhado espaço no mercado e decidiu
ampliar a sua produção investindo em equipamentos e contratando mais funcionários. Devido
a aceleração dos processos como um todo e a crescente demanda por trocas de informação, a
empresa se conscientizou da necessidade de implantar tecnologias como CRM e VPN. CRM é
um software que unifica informações da empresa e seus fornecedores. Para que essas
informações sejam protegidas, a gerência se deu conta de que seria necessário implantar a
tecnologia de redes privadas virtuais para poderem se comunicar com as partes envolvidas de
uma forma rápida e segura, assim realizaram a contratação de mão de obra qualificada para
definir a estrutura de tecnologia da informação e instalar toda a tecnologia envolvida no
processo. Essa estrutura está organizada na figura 20.
1 - Recursos Humanos;
2 - Financeiro;
3 - Contável;
4- Pasteurização;
5- Maturação;
6- Batimento e empacotamento;
7 - Marketing;
8 - Venda;
9 - Compra;
10 - Direção;
Fonte: Wilson Pablo Medina, B., Francisco José, K. N., Ricardo Gonçalves de Faria, C.,
Juliano, D. (13 de julho de 2015)
Monitor – 20 unidades;
Computador desktop – 29 unidades;
Teclado – 20 unidades;
Mouse wireless – 26 unidades;
Notebook – 6 unidades;
Impressora – 3 unidades;
Smartphone – 7 unidades;
Roteador – 1 unidade;
Switch – 6 unidades;
100 metros de cabo de par trançado – 1 unidade;
OpenVPN é uma rede privada virtual que tem características semelhantes ao IPsec, porém é
de fácil instalação. É recomendado utilizar o software para gerenciar a VPN e com um número
de cliques é possível realizar a instalação. Para fazer a autenticação, o OpenVPN fornece
chaves pré-compartilhadas, certificados e autenticação através de nome de usuário e senha. A
encriptação pode ser simétrica, que no caso é a utilização da mesma chave por ambos os lados
para estabelecer uma conexão. Essa chave deverá estar disponível para todos os computadores
envolvidos na conexão de VPN. Essa conexão é realizada com uso de uma chave pré-
compartilhada e algum intruso pode ter acesso às informações se ele conseguir obter essa
chave. Ele pode acessar as informações se ele fizer um ataque de força bruta na chave
adquirida, por isso as chaves devem ser alteradas periodicamente. (PRISCA C, 2016)
Para que seja possível configurar um servidor OpenVPN, será necessário realizar alguns
passos que irão ser abordados de forma resumida. Utilizaremos o sistema operacional Ubuntu
18.04 como ambiente para a instalação do servidor OpenVPN.
Primeiro as variáveis precisam ser configuradas editando um arquivo chamado vars no
diretório “/home/usuário/open-ca” e alterando alguns de seus parâmetros, depois de construir
a autoridade de certificação será possível criar o certificado do servidor, gerar a chave e os
arquivos de criptografia, após será possível gerar o certificado do cliente e um par de chaves.
Embora seja possível realizar esse procedimento na máquina do cliente, o procedimento foi
realizado no servidor para simplificar o processo. A rede do servidor pode ser configurada a
fim de rotear o tráfego corretamente, e deve ser feito da seguinte forma: permitir o
encaminhamento do IP, ajustar as regras UFW a fim de camuflar as conexões dos clientes e
abrir a porta do OpenVPN.
1. Após iniciar o serviço do OpenVPN, foi feito a configuração do servidor para realizar
conexões com clientes, seja nos sistemas operacionais Linux, IOS, Windows ou
Android;
2. Depois do servidor ter sido configurado para os clientes se conectarem com o servidor,
é essencial realizar um teste para verificar se todas as configurações foram feitas
corretamente. Se o teste for bem-sucedido e o cliente estiver conectado ao servidor
com uma determinada chave exclusiva, essa chave pode ser revogada, ou seja, anulada
para que um determinado cliente não consiga se conectar com a rede privada virtual
com a chave antiga;
3. O cliente precisará então adquirir a nova chave gerada para habilitar a conexão
novamente ao servidor de redes privadas virtuais. Agora o acesso a internet estará
protegido e as informações como a identidade, localização e tráfego não poderão ser
interceptadas por invasores. (JUSTIN E, 2017);
4. No final do procedimento da configuração do servidor realizado no servidor Linux, o
mesmo gerou um arquivo de configuração chamado client1.ovpn. Esta chave deverá
58
ser transferida para a máquina cliente para efetuar a conexão. O arquivo pode ser
transferido através de um dos softwares sugeridos no próprio artigo “Como Configurar
um Servidor OpenVPN no Ubuntu 16.04” para garantir segurança na transmissão.
5. Uma vez que a chave for transferida para o computador cliente de uma forma segura,
o mesmo deverá ser inserido na pasta config no diretório de instalação do OpenVPN
no Windows.
6. Feito isso a conexão será estabelecida no mesmo momento em que a aplicação for
iniciada com privilégios administrativos. Esse é o procedimento para realizar uma
conexão com um cliente Windows.
7. Após a realização desta etapa, o cliente Windows emitirá uma mensagem semelhante a
figura 23.
Na topologia criada na figura 20 foi definido que o ambiente com alguns servidores de
VPN, sendo os servidores posicionados como mostra a figura 22. Podemos então concluir que
o arquivo de configuração do OpenVPN deverá ser enviado para cada máquina cliente como
mostra a figura abaixo.
59
A criação e distribuição de chaves entre o servidor de VPN e a máquina cliente pode ser um
processo consideravelmente complexo, pois o servidor precisa ser acessado através do
terminal e as chaves serão geradas com alguns comandos feitos em uma determinada ordem.
A administração do serviço do OpenVPN pode ser feito utilizando o software Webmin,
isto tornará algumas funções mais fácil de serem feitas: criar ou eliminar o certificado CA,
60
criar ou eliminar o certificado da VPN, criar ou eliminar o certificado dos clientes, criar, editar
ou excluir as configurações relacionadas a cada VPN, obter estatísticas em tempo real do
tráfego realizado e os clientes conectados à rede privada virtual (VICTOR B, 2012).
A figura 25 é um resumo do que o Webmin pode fazer, como por exemplo criar e excluir
os certificados que estão relacionados às instâncias de conexões de cada cliente. O sistema
web fará o procedimento de criação, distribuição e exclusão de certificados mais simples e
poderá ser feita por um usuário sem conhecimentos específicos aprofundados.
A preocupação que temos hoje com a segurança da informação não era tão importante
antigamente. Ninguém imaginava que as redes de computadores iriam crescer e se tornar a
grande internet que temos hoje em dia. Partes importantes do nosso dia-a-dia são controlados
por computadores, por exemplo, os bancos. Transações financeiras são feitas diariamente e
podemos afirmar que hoje em dia nós precisamos definitivamente de uma rede segura. Uma
das opções que temos são as redes privadas virtuais.
Quando criamos o túnel entre um computador e outro, estamos garantindo que esses
dados não serão alterados e lidos por terceiros. No decorrer do trabalho falamos sobre os
benefícios do uso do OpenVPN e um pouco sobre o IPSec. Apesar do IPSec ser o líder de
mercado atualmente, o OpenVPN ainda se mantém como uma opção bastante forte por sua
facilidade e simplicidade de configuração. “Somente a VPN não é o suficiente, para permitir
que usuários externos tenham acesso aos recursos da rede de forma segura, é extremamente
recomendado possuir outras formas de proteção como firewall e uma política de segurança
bem elaborada”. (BORGES, FAGUNDES e CUNHA)
Podemos assim afirmar que a rede privada virtual por si só não irá garantir totalmente
a segurança das redes de computadores, que esta dependerá também de outros fatores. É
possível invadir uma rede com redes privadas virtuais, basta invadir um computador que faça
da rede privada virtual interna. O firewall é um componente importante, que segundo:
[É uma combinação de hardware e software, cujo objetivo é controlar o trânsito
de informações entre as redes privadas e a internet, como se houvesse uma
barreira entre ambas, de modo que os acessos não autorizados sejam impedidos ]
(VASQUES E SCHUBER, 2002, PAG 15).
Assim como o próprio nome diz, parede de fogo, esse componente serve como uma
barreira, impedindo ataques e outras formas não autorizadas de acesso a rede interna. Se
houver a combinação desses dois elementos podemos dizer assim que estabelecemos um
ambiente seguro. Lembrando que os conceitos que estão sendo postos no capítulo de
conclusão se referem a conceitos fundamentais de redes privadas virtuais, para assim
fundamentar e afirmar os benefícios que esta tecnologia proporciona e assim justificar o seu
uso. As duas tecnologias mais utilizadas para esse fim são o IPSec e OpenVPN, que garantem
63
uma implementação segura das redes privadas virtuais. Apesar do termo private indicar a
forma que a tecnologia trafega, isso não significa que as redes privadas virtuais irão utilizar o
mesmo meio físico para trafegar dados. As redes privadas virtuais percorrem redes privadas e
públicas funcionando uma única rede interna. Se um usuário estiver conectado a rede privada
virtual, o mesmo pode utilizar uma impressora da rede, mesmo que ele esteja em outra cidade
ou mesmo locais mais distantes como países.
A criptografia é uma das técnicas de segurança que a tecnologia utiliza, pois mesmo se
alguém capturar dados que estiverem passando pela rede, não será possível ler esse conteúdo,
pois o mesmo estará cifrado. Esta técnica é fundamental para implementar uma rede privada
virtual que funcione. Para facilitar o entendimento do conceito das redes privadas virtuais
podemos separar os termos e explicar o significado de cada um deles.
[redes é a infraestrutura pela qual os computadores se comunicam; privadas, devido
a essas redes utilizarem recursos de criptografia para garantir a segurança das
informações trafegadas pelo meio de comunicação e; virtuais por elas estarem
fisicamente separadas.] (VASQUEZ E SCHUBER ,2002, PAG 24).
Assim estabelece-se um meio de comunicação seguro utilizando criptografia e protocolos
próprios de comunicação. Um dos fatores que torna o uso das redes privadas virtuais viável é
que o mecanismo utiliza o protocolo TCP/IP, que não é considerado um protocolo seguro, mas
é eficiente para enviar e receber informações, para enviar conteúdo criptografado e
acrescentando segurança no envio das informações.
Apesar de todas as vantagens que as redes privadas virtuais oferecem, existem também
desvantagens. Uma implementação de VPN pode consumir muito tempo e pode tornar-se um
problema, se as chaves não forem gerenciadas corretamente. As falhas de autenticação, os
pacotes perdidos e a sobrecarga de dados no gateway podem se tornar um problema
(VASQUES E SCHUBER, 2002).
Podemos fazer algumas comparações das redes privadas virtuais com outras
tecnologias. Quando uma empresa decide implementar um servidor de acesso remoto por
exemplo, se um computador que tenha acesso a esse servidor ficar comprometido, as
informações secretas da empresa e outras que não devem ser compartilhadas ficam
comprometidas. Isso não acontece quando as redes privadas virtuais estão corretamente
configuradas, pois o computador que funciona com a rede privada virtual funcionará como se
64
estivesse dentro da rede na empresa, mesmo que esta máquina esteja na casa de um
determinado funcionário.
Com a pesquisa bibliográfica utilizada e a forma que o trabalho foi elaborado facilitou
bastante a compreensão do tema como um todo, como a tecnologia é versátil e pode se
adaptar a diversas necessidades. Foi descrito não somente conceitos sobre as redes privadas
virtuais, mas também a conceitos básicos de redes de computadores e o modelo OSI, que é
amplamente utilizado para definir as camadas de uma rede. Foi mencionado um artigo sobre a
crescente mão de obra de pessoas que trabalham em casa, isso aumenta a necessidade de
implantar as redes privadas virtuais. Existem muitas razões para implementar a rede privada
virtual e tecnologias que podem influenciar no custo final e no tempo de implementação. O
sistema operacional Linux, por exemplo, funciona muito bem com a tecnologia, porém a sua
implementação é mais complexa e demorada do que um ambiente Windows.
Se a empresa não possui muitos recursos ou não está disposta a investir muito na
tecnologia, vale a pena gastar um pouco mais tempo utilizando o sistema operacional Linux
como opção para implementar a tecnologia. O presente trabalho foi escrito com diversos
exemplos e casos para implementação e foi testado efetivamente para funcionar em uma
determinada plataforma. O trabalho exemplificou através de topologias, como a tecnologia
pode funcionar em cada caso.
Foi devidamente justificado o uso das redes privadas virtuais. O seu uso pode ser
questionado, pois a rede funciona sem as redes privadas virtuais, porém não terá o mesmo
nível de segurança que teria com o seu uso. A rede privada virtual é uma tecnologia que vem
cada vez mais sendo utilizada e comercializada nas empresas, no Brasil e no mundo. São
muitos os serviços oferecidos por elas (VASQUES E SCHUBER, 2002). O seu uso está sendo
implementado em empresas públicas e privadas em diversos setores de negócios,
principalmente devido a segurança que proporciona. É importante notar que a rede privada
virtual por si só não irá garantir totalmente a segurança das informações. É indispensável
manter políticas rigorosas de segurança e como os componentes foram projetados fisicamente.
Assim teremos o nível adequado de segurança para uma empresa funcionar com a devida
segurança (VASQUES E SCHUBER, 2002).
65
Com base nas informações e nos testes realizados no trabalho, foi verificado que a
implementação da tecnologia não é tão complexa como parece, apenas existem diversas
formas de se implementá-la. Se for levado em conta o custo, o sistema operacional e o tempo,
é possível avaliar realmente qual tecnologia deve ser escolhida para realizar o projeto das
redes privadas virtuais. O presente trabalho contribuiu no sentido de mostrar ao leitor quais
são as vantagens e desvantagens de se utilizar a tecnologia. Não é sempre que as redes
privadas serão implementadas, isso dependerá se a empresa tem um padrão de exigência de
segurança elevado. Pois mesmo que o ambiente não tenha redes privadas virtuais, não é tão
simples assim capturar informações. Às vezes é realmente difícil dizer se o ambiente deverá
utilizar tecnologia. No caso de uma instituição financeira, como um banco ou algo parecido,
pode ser interessante utilizar os recursos da tecnologia para os funcionários sentirem
segurança ao realizar transações bancárias e outras operações relevantes.
Outra contribuição do presente trabalho foi mostrar que a tecnologia não é assim tão
complexa e pode ser utilizada em grandes e pequenas empresas. A empresa precisará apenas
investir parte do seu tempo para estudar a topologia a ser implantada e assim determinar qual
a melhor opção de implementação das redes privadas virtuais, sendo que esta tecnologia é
bastante versátil e pode se adequar a diversas topologias, como mostrado no decorrer do
trabalho. Quando se considera o custo para implementar os recursos da tecnologia, podemos
observar que são gratuitos e podem ser adquiridos da internet por qualquer pessoa. Os
recursos que a empresa deverá disponibilizar é uma equipe devidamente qualificada e tempo
para que essa equipe possa avaliar realmente o que será necessário ser feito para utilizar de
melhor forma os recursos de mão de obra e tempo para implementar a tecnologia.
O VPN vem crescendo cada vez mais, “Pôde-se observar que a VPN é uma tecnologia
em crescimento, sendo comercializada, por exemplo pelas principais empresas de
telecomunicação no Brasil e no mundo” (VASQUEZ E SCHUBER, 2002). Se uma empresa
se preocupa com a segurança das suas informações e deseja investir nessa opção, é
interessante investir na equipe que irá implementar a tecnologia. Sabendo que a tecnologia
cresce no Brasil e no mundo, podemos nos manter atualizados e até pessoas que não são
profissionais de T.I. podem estudar sobre o assunto. Podemos então concluir que os fatores de
66
decisão que irão influenciar na escolha das redes privadas virtuais dependerão dos fatores de
segurança, custo, qualidade de serviço e facilidade de uso. (CHIN, 1998)
Existem algumas variáveis que podem ser levadas em consideração quando o assunto é
a implementação das redes privadas virtuais e isso pode variar para cada organização. Pode
ser que uma pequena empresa possua bastante tempo e decidiu investir na segurança da
informação de seu negócio, então cada caso é único para ser analisado. O presente trabalho
teve como prioridade o estudo das redes privadas virtuais e a sua implementação. Como esta
tecnologia afeta a segurança dos computadores e de que forma esta tecnologia pode beneficiar
uma empresa. É claro que uma máquina ligada a internet nunca terá garantia absoluta de que
não terá risco de suas informações serem interceptadas, lidas ou modificadas por terceiros.
Uma vez ligada a internet um computador nunca estará absolutamente seguro, mas isso não
significa que devemos deixar de utilizar os computadores no nosso dia-a-dia.
Antigamente as redes de computadores eram utilizadas somente para enviar correio
eletrônico e imprimir documentos. Hoje em dia milhões de usuários utilizam as redes de
computadores para realizar transações bancárias, fazer compras entre outras coisas. Com o
tempo a segurança foi se tornando um fator fundamental no funcionamento dos computadores
atualmente. Hoje em dia existem pessoas mal-intencionadas que tentam ler as informações
contidas nas mensagens ou até mudar essas mensagens. A segurança da informação se
encarrega de impedir que as pessoas não leiam ou modifiquem as mensagens. As vezes cuidar
da segurança da informação de uma empresa significa lidar com essas pessoas inteligentes e
mal-intencionadas. Na maioria das vezes as redes não são invadidas por pessoas estranhas que
tentam roubar informações, mas por pessoas que estão ressentidas com a organização. O
projeto de segurança de informação deve ser feito levando em consideração esses fatores. É
importante mudar as senhas quando um funcionário está saindo da empresa, verificar se todas
as formas de acesso que aquela pessoa tinha não estão mais disponíveis (TANEMBAUM,
2003).
É importante destacar que a rede privada virtual é um assunto que faz parte da
segurança da informação de uma organização, conceitos sobre a segurança da informação são
importantes e é interessante descrever sobre o assunto até em termos gerais. Os pilares da
segurança da informação: “os problemas de segurança das redes podem ser divididos nas
67
Podemos concluir que atualmente temos a melhor opção e a mais segura, que é a
utilização de redes públicas e privadas para realizar uma conexão de redes privadas virtuais,
ou seja, utilizamos os recursos já existentes para ligar dois ou mais segmentos de rede de uma
organização. O avanço tecnológico com esse tipo de mudança foi muito vantajoso para todos
que desejaram implementar segurança nas suas organizações. A tecnologia está acessível e
continua gratuita para todos e é um assunto que desperta interesse em pessoas que prezam
pela privacidade de suas informações.
Existem situações que os recursos não serão utilizados, mas isso dependerá de cada
caso. Nós aprendemos no decorrer do trabalho técnicas que as empresas utilizam para projetar
uma rede privada virtual. Através de conceitos básicos de rede foi possível entender melhor
como a rede funciona e utilizar a tecnologia de forma correta e com uso de firewall, implantar
a tecnologia sem ter a preocupação com a falta de integridade, confidencialidade e
disponibilidade de informações. Vimos como o uso do firewall em conjunto com as redes
privadas virtuais se torna uma técnica muito eficiente para proteger as informações da rede
interna de uma organização. Existe uma desvantagem quanto ao uso desse tipo de solução:
quando o servidor de VPN funciona junto com o firewall, pode-se exigir muito do servidor,
pois existe ao mesmo tempo a complexidade do roteamento junto com as regras de filtragem.
Existem diversas topologias para a criação de um bom projeto de VPN, isso dependerá
de vários fatores, como a infraestrutura, o número de requisições que vem da internet. Se há a
necessidade ou não de se utilizar um firewall. Geralmente é recomendado utilizar firewall em
conjunto com as redes privadas virtuais. Para diminuir a sobrecarga em um equipamento
centralizado, pode-se separar esses dois componentes em componentes distintos e pôr o
gateway VPN atrás do firewall por exemplo. Existem várias soluções e cada uma possui as
suas vantagens e desvantagens.
Apesar do presente trabalho ter sido escrito com uma abordagem bastante técnica, o
objetivo não é atrair somente as pessoas que são da área técnica, mas também as pessoas
leigas que não tem um conhecimento aprofundado de redes de computadores e outros
conceitos, pois conceitos básicos sobre criptografia e redes, como por exemplo a camada OSI
foram devidamente descritos nesse trabalho. Esses conceitos fundamentaram uma base para
poder entender com mais abrangência o funcionamento das redes privadas virtuais. A camada
69
5 – REFEFÊNCIAS BIBLIOGRÁFICAS
Alexandre Pereira do Carmo. 2010. “Solução segura para utilização de VPN Baseada em IP’S
dinâmicos.”.
E. Comer Douglas. Redes de Computadores e Internet. 2.ed. Porto Alegre: Bookman, 2001.
522p.
Fábio Borges, B. A. F., & Gerson Nunes da Cunha. (n.d.). VPN: Protocolos e Segurança.
Universidade Católica de Petrópolis., Petrópolis.
Feilner Markus; Graf Norbert. Beginning OpenVPN 2.0.9: Build and Integrate Virtual Private
Networks Using OpenVPN: Packt Publishing Ltd, 2009. 588p.
Lino Sarlo da Silva. (n.d.). Virtual Private Network – VPN. Aprenda a construir redes
privadas virtuais em plataformas Linux e Windows.
Liou Kuo Chin. (13 de novembro de 1998). Rede Privada Virtual - VPN. Retirado de
https://memoria.rnp.br/newsgen/9811/vpn.html
Marcelo Honorato Marleta. (2007). Projeto de uma VPN (Rede Privada Virtual) baseada em
computação reconfigurável e aplicada a robôs móveis. USP. Retirado de
http://www.teses.usp.br/teses/disponiveis/55/55134/tde-18062007-101411/
Ngekeh Prisca, C. (2016). Configuring and using OpenVPN on Windows OS. Centria
University of Applied Sciences, Finlândia. Retirado de
https://www.theseus.fi/bitstream/handle/10024/105223/OpenVPN.pdf?sequence=1
Pedro, P. (15 de setembro de 2010). Redes – Sabe o que é o modelo OSI? Retirado de
https://pplware.sapo.pt/tutoriais/networking/redes-sabe-o-que-e-o-modelo-osi/
S. Kahlmeyer-Mertens Roberto. Como elaborar uma pesquisa, linguagem e método. 1.ed. Rio
de Janeiro: FGV Editora, 2007. 110p.
Stefano Fabiano Rossi Lucas. Por que cada vez mais empresas adotam o home office. 2015.
Retirado de http://exame.abril.com.br/revista-exame/mais-trabalho-de-casa/
Victor, B. (2012). Soluções Open-source para os Serviços de Fax e VPN numa Rede
Empresarial. Universidade do Porto. Retirado de https://repositorio-
aberto.up.pt/bitstream/10216/63396/1/000151176.pdf
Wilson Pablo Medina, B., Francisco José, K. N., Ricardo Gonçalves de Faria, C., Juliano, D.
(13 de julho de 2015). Gestão de custos em pequenas empresas industriais: estudo de caso em
uma empresa do setor alimentício. Retirado de
http://www.revistaespacios.com/a15v36n17/15361710.html