Fortaleza - 2004
GARDEL MOREIRA MENEZES
Fortaleza - 2004
VIABILIZAÇÃO DE COMUNICAÇÃO CRIPTOGRAFADA
USANDO VPN COM ADSL
PARECER _____________________
Data: ____/____/_________
BANCA EXAMINADORA:
___________________________________
Professor Adbeel Góes Filho
___________________________________
Professor Fernando Parente
RESUMO
Lista de figuras 02
Lista de tabelas ` 03
Introdução 04
1. VPN 07
1.1. Definição 08
1.2. Para que precisamos de VPN 10
1.3. Vantagens da VPN 12
1.3.1. O baixo custo da VPN 13
1.3.2. Escalabilidade 13
1.4. Desvantagens da VPN 15
1.5 Tunelamento 16
1.5.1. Protocolos de Tunelamento 17
1.5.1.1. PPTP 19
1.5.1.2. L2F 21
1.5.1.3. L2TP 22
1.5.1.4. IPSEC 23
1.5.1.4.1. Algoritmos criptográficos 24
1.5.1.4.2. Associações de Segurança (SA) 24
1.5.1.4.3. Modo transporte e modo túnel 25
1.5.1.4.4. Solução IPSec para VPN 25
1.6. Soluções para VPNs 28
2. xDSL 32
2.1. HDSL (High Data Rate Digital Subscriber Line) 34
2.2. ADSL (Assymmetric Digital Subscriber Line) 34
2.3. RADSL (Rate Adaptative Digital Subscriber Line) 35
2.4. IDSL (ISDN Digital Subscriber Line) 36
2.5. VDSL - Very high bit-rate Digital Subscriber Line 37
2.6 Comparativo entre a família xDSL 39
3. Possibilidades de VPN com ADSL 46
4. Estudo de caso 52
Conclusão 53
Referências 54
Glossário 50
LISTA DE FIGURAS
2
LISTA DE TABELAS
3
INTRODUÇÃO
Até recentemente, isto significava o uso de linhas privadas (LP) para manter a
comunicação entre seus parques tecnológicos, o que possibilitava as empresas
expandirem suas redes privadas para locais geograficamente distantes. Um
exemplo comum desta realidade seria a comunicação entre filiais de uma empresa
que necessitam usar uma base de dados comuns que é mantido na matriz, e toda
atualização deve ficar disponível para acesso das outras filiais. Isto provoca a
necessidade das mesmas estarem conectas o tempo todo. Para viabilizar esta
necessidade, cria-se uma WAN (Wide Area Network ou rede de longa distância)
Termo que designa uma rede de comunicação de dados que cobre áreas
geograficamente extensas como um Estado, um país ou um continente.
4
Uma WAN apresenta grandes vantagens quando comparada a uma rede pública
como a Internet, no que diz respeito à disponibilidade, performance e segurança.
Entretanto, manter uma WAN pode se tornar muito cara, e normalmente o custo
aumenta com a distância, um exemplo seria usando LPs como será demonstrado
no decorrer do trabalho.
Como foi citado anteriormente, VPN começa a ser uma grande possibilidade de
comunicação facilitada e mais barata para as empresas que têm necessidade de
comunicação entre regiões geográficas separadas. Diante desse contexto, várias
formas de conexão de banda larga, isto é, com velocidades de transmissão de
dados acima do conhecido sistema de acesso discado, têm surgido, e entre elas a
tecnologia ADSL tem tomado grande destaque pelo fato de ser barata, rápida e
disponível.
5
No capitulo dois é feito uma estudo sobre a tecnologia xDSL, mostrando sua
familia e suas definições e aplicações no mercado. No terceiro capitulo é abordado
as possibilidades, com suas dificuldades e soluções, geradas a partir de uma
solução combinado VPN com ADSL.
6
1. VPN (Virtual Private Network)
Partindo desta definição, buscaremos entender o que é uma VPN, como ela pode
ser aplicada observando suas dificuldades e beneficios. Buscando abordar
tambem as tecnologias utilizadas em conjunto como os protocolos e tunelamento
e os de criptografia.
7
1.1. Definição
Vamos começar estudando a palavra Rede (Network). Este é o termo mais fácil de
definir e entender, desde que é aceito quase sem grandes contradições no
mercado. Uma rede consiste de um número de dispositivos que podem se
comunicar entre si, através de algum meio de comunicação. Dispositivos desta
natureza incluem computadores, impressoras, roteadores, entre outros, e podem
estar separados geograficamente. Os métodos que eles podem usar para se
comunicar são inúmeros. Para facilitar, vamos concordar que rede é uma coleção
de dispositivos que podem se comunicar de alguma forma, e podem transmitir e
receber dados entre eles.
Outro aspecto importante de privacidade numa VPN está na sua definição técnica,
na descrição da privacidade de seu endereçamento IP e seu sistema de
8
roteamento. Isto significa que o endereçamento dos usuários que necessitam da
VPN é diferente daqueles que não fazem parte desta comunidade de interesse.
A combinação destes termos gera VPN – uma rede privada, onde a privacidade é
introduzida por um tipo de virtualização. Uma VPN pode ser construída entre dois
sistemas, ou entre duas organizações, entre vários sistemas dentro da mesma
organização, ou entre várias organizações através da Internet, entre aplicações
individuais, ou qualquer combinação dos elementos citados acima.
9
VPN não significa comunicações isoladas necessariamente, mas sim a
segmentação controlada de comunicações para comunidades de interesse através
da infraestrutura compartilhada.
De uma maneira mais simples, menos formal e bem aproximada seria: Uma VPN
é uma rede privada construída dentro de uma infraestrutura rede publica, como a
Internet.
Existem vários motivos para se construir uma VPN, mas o motivo mais comum
para construí-la é a necessidade que as empresas normalmente têm de virtualizar
alguma parte das comunicações. Em outras palavras, é tornar algumas partes (ou
toda) das comunicações da empresa invisível aos observadores externos.
A principal motivação para se ter uma VPN está na economia no uso dos meios de
comunicação para transferência de dados. Os sistemas de comunicação
apresentam desde componentes caros até componentes baratos para viabilizar a
comunicação, mas atrelando a seu valor, sua capacidade de transmissão. Os mais
caros conseguem uma maior banda de comunicação do sistema. Do ponto de
vista econômico, normalmente é financeiramente atrativo juntar um conjunto de
serviços de comunicação em uma plataforma comum de alta capacidade,
tornando possível a aquisição/uso de componentes de alto custo, rateando este
gasto entre um numeroso grupo de clientes. Quando um grupo de redes virtuais é
implementado em um meio físico comum de comunicação fica mais barato de
10
operacionalizar, pois se cada empresa quiser ter sua própria estrutura física de
comunicação exclusiva, a operacionalização dela tornar-se-ia muito cara.
O Domínio da VPN
Mais da metade dos gerentes de TI que planejam usar VPN nunca implemetaram uma,
ou planejam implementar nos proximos 6 meses
16%
29% Atualmente usam VPN
34%
fonte: InternetWeek – Pesquisa: O uso de VPN com 200 Gerentes de TI
Figura 1. O domínio da VPN
11
for alta, então o cuidado terá que ser maior em sua implementação para que o
tráfego dos dados esteja bem protegido quando passar por este meio comum.
Uma alternativa à Internet como meio para a VPN hoje em dia é o aluguel de
circuitos, ou serviços de comunicação dedicada, do operador de rede pública (ex:
Telemar, Embratel) e criar uma rede completamente privada. Ao contrário do
desenvolvimento de uma infra-estrutura pública, o modelo de desenvolvimento
tem que ser fechado (ou privado), ambiente de rede onde a infra-estrutura,
esquema de endereçamento, gerenciamento, e serviços sejam dedicados a um
fechado grupo de assinantes. Este modelo se aproxima daquele de um ambiente
corporativo fechado, onde a rede é dedicada para somente uma entidade, com um
cliente único. Esse precursor da VPN pode ser chamado de PDN (Private Data
Network), e é construída usando a estrutura de cabos da própria empresa, e
circuitos alugados para conectar a locais geograficamente separados.
Entretanto, esta alternativa tem um custo associado a ela, pois o cliente agora tem
que gerenciar a rede e todos os elementos associados a ela, investir capital em
sua estrutura física e lógica, contratar equipe qualificada e assumir completa
responsabilidade pelo funcionamento do serviço de rede.
As duas principais vantagens de VPN são o baixo custo e sua escalabilidade, dois
pontos que fazem a diferença.
12
privada local (muito mais barata que uma a longa distância), ou pode ser uma
conexão de banda larga, como o serviço ADSL, que será tratado mais adiante.
1.3.2. Escalabilidade
O custo de linhas privadas para uma organização tradicional pode ser a principio
razoável, mas este custo pode crescer exponencialmente com a expansão da
empresa. Uma companhia com dois escritórios, por exemplo, pode preparar
apenas uma linha dedicada para conectar os dois pontos. E um terceiro escritório
precisa ficar on-line com os outros dois. Então, duas novas linhas adicionais serão
necessárias para conectar diretamente este terceiro escritório com os outros dois.
13
LP
14
Comparada com linhas privadas, as VPNs baseadas em Internet oferecem um
alcance global bem melhor, oferecendo acesso aos pontos que tem conexão com
a internet, onde às vezes linhas privadas não alcançam.
15
As inseguranças relativas a VPN
Gerentes de TI que não tem planos de usar VPN citaram os seguintes fatores:
Interoperabilidade
Performance
10% 13%
fonte: InternetWeek – Pesquisa: O uso de VPN com 200 Gerentes de TI (múltiplas respostas)
Figura 3 - As inseguranças relativas a VPN
1.5 Tunelamento
16
Ele pode ser definido como processo de encapsular um protocolo dentro de outro.
O uso do tunelamento nas VPNs incorpora um novo componente a esta técnica:
antes de encapsular o pacote que será transportado, este é criptografado de forma
a ficar ilegível caso seja interceptado durante o seu transporte. O pacote
criptografado e encapsulado viaja através da Internet até alcançar seu destino
onde é desencapsulado e decriptografado, retornando ao seu formato original.
Uma característica importante é que pacotes de um determinado protocolo podem
ser encapsulados em pacotes de protocolos diferentes. Por exemplo, pacotes de
protocolo IPX podem ser encapsulados e transportados dentro de pacotes TCP/IP.
O protocolo de tunelamento encapsula o pacote com um cabeçalho adicional que
contém informações de roteamento que permitem a travessia dos pacotes ao
longo da rede intermediária. Os pacotes encapsulados são roteados entre as
extremidades do túnel na rede intermediária. Túnel é a denominação do caminho
lógico percorrido pelo pacote ao longo da rede intermediária Após alcançar o seu
destino na rede intermediária, o pacote é desencapsulado e encaminhado ao seu
destino final. A rede intermediária por onde o pacote trafegará pode ser qualquer
rede pública ou privada.
17
• Protocolos de camada 2 (PPP sobre IP): transportam protocolos de camada
3, utilizando quadros como unidade de troca. Os pacotes são encapsulados
em quadros PPP;
• Protocolos de camada 3 (IP sobre IP): encapsulam pacotes IP com
cabeçalhos deste mesmo protocolo antes de enviá-los .
Nos túneis orientados à camada 2 (enlace), um túnel é similar a uma seção, onde
as duas extremidades do túnel negociam a configuração dos parâmetros para
estabelecimento do túnel (endereçamento, criptografia, parâmetros de
compressão etc.). A gerência do túnel é realizada através de protocolos de
manutenção. Nestes casos, é necessário que o túnel seja criado, mantido e
encerrado. Nas tecnologias de camada 3 (rede), não existe a fase de manutenção
do túnel.
O PPTP, o L2F e o L2TP são protocolos de camada 2 e têm sido utilizados para
soluções Client-to-Lan (cliente para rede); o IPsec é um protocolo de camada 3
mais enfocado em soluções LAN-to-LAN.
18
Figura 5 – VPN CLIENT-to-LAN e LAN-to-LAN
19
uma solução de VPNs. O PPTP oferece criptografia por software eficiente e é uma
opção para VPN apropriada para processadores 486 e Pentium antigos.
A idéia básica do PPTP é dividir as funções do acesso remoto de tal modo que
indivíduos e empresas possam utilizar a infra-estrutura da Internet para prover
uma conectividade segura entre clientes remotos e redes privadas. O PPTP tem
como finalidade principal prover um mecanismo para o tunelamento de tráfego
PPP (Point-to-Point Protocol) sobre redes IP. Antes do envio de um datagrama
IP, o PPTP cifra e encapsula este datagrama em um pacote PPP que, por sua
vez, é encapsulado em um pacote GRE (Generic Routing Encapsulation), como
mostrado na Figura 4.
PPP Payload
IP GRE PPP (IP datagrama or IPX datagrama)
Heade Heade Heade
r r r
Encrypte
Figura 6 - Encapsulamento de um datagrama IP feito pelo PPTP.
20
Figura 7 Esquema de um Túnel PPTP
Foi um dos primeiros protocolos utilizado por VPNs. Como o PPTP, o L2F foi
projetado como um protocolo de tunelamento entre usuários remotos e
corporações. Uma grande diferença entre o PPTP e o L2F, é o fato do mesmo não
depender de IP e, por isso, é capaz de trabalhar diretamente com outros meios
físicos de transmissão de dados como FRAME RELAY ou ATM.
21
INTERNET REDE
PRIVADA
Computado
r Remoto ISP GATEWAY
NAS
PPP
TUNEL L2F
PPP
DATAGRAMAS IP
A grande vantagem desse protocolo é que os túneis podem suportar mais de uma
conexão, o que não é possível no protocolo PPTP. Além disso, o L2F também
permite tratar de outros pacotes diferentes de IP, como o IPX e o NetBEUI por ser
um protocolo baseado na camada 2 do modelo OSI.
22
INTERNET REDE
PRIVADA
Computado
r Remoto ISP LNS
NAS NAS
PPP
PPP
DATAGRAMAS IP
Os clientes têm a opção de usar esse padrão emergente para suportar protocolos
IP assim como protocolos não-IP (como IPX ou AppleTalk) através de conexões
de VPNs baseadas em IPSec.
23
do que soluções complementares. Além disso, TODO o tráfego pode ser
criptografado, em vez de apenas o tráfego entre dispositivos da rede como
roteadores e caixas de criptografia.
24
são inseridos manualmente em ambos os extremos da comunicação. No
segundo, os parâmetros são negociados por protocolos como o IKE, sem a
intervenção do administrador. A escalabilidade do IPSec está relacionada ao
estabelecimento dinâmico de SAs que devem ser definidas por conexão ou, no
máximo, por usuário, para prover maior segurança.
Uma solução bastante utilizada atualmente para o acesso remoto VPN é o uso
do IPSec em modo túnel. Nesse cenário, o túnel IPSec é estabelecido entre
o cliente remoto e o gateway VPN da organização, constituindo um canal
seguro para o tráfego dos dados sobre a rede pública intermediária. Todo o
tráfego IP é encapsulado pelo IPSec, sendo o pacote IP original transmitido
através do túnel, tirando-se proveito de todos os serviços de segurança
oferecidos pelo IPSec. A Figura 8 mostra o uso do IPSec em modo túnel
25
utilizando apenas os serviços do protocolo AH, garantindo a integridade e a
autenticidade tanto do pacote IP original, quanto do pacote IPSec utilizado
para prover o tunelamento.
Signed
Encrypted
Signed
26
apresentados constituírem uma ameaça à segurança do túnel IPSec, quando
utilizado de forma adequada esse protocolo provê um excelente nível de
segurança para a comunicação, sendo uma das principais tecnologias
atualmente disponíveis para a implementação de VPNs. Contudo, alguns
aspectos relacionados à utilização do IPSec para o acesso remoto VPN
ainda carecem de padronização. O modo túnel do IPSec não provê suporte à
atribuição e configuração de endereços IP, o que se faz necessário no caso do
acesso remoto VPN, já que um dos extremos do túnel é um host remoto que não
possui endereço IP fixo e que após o estabelecimento do túnel precisa
estar associado a um endereço IP da rede interna. Além disso, muitos dos
esquemas de autenticação existentes, comumente usados para autenticação
de usuários, são de natureza assimétrica, e não são suportados pelo IKE
(Internet Key Exchange), utilizado pelo IPSec. Apesar do IKE prover um
suporte poderoso para a autenticação de máquina, ele apresenta somente um
suporte limitado para formas de autenticação de usuário e não provê
suporte para autenticação assimétrica de usuário. Outra característica desejável
ao IPSec seria o suporte à múltiplos protocolos, uma vez que esse protocolo
só é capaz de transportar pacotes IP em seu modo túnel. Todos esses itens
são requisitos importantes para o acesso remoto VPN. As plataformas
Windows atuais não possuem suporte para a solução desses problemas e
as soluções proprietárias existentes não apresentam interoperabilidade entre si.
Existem alguns trabalhos em andamento, no sentido de criar uma solução
padrão para os problemas envolvendo o uso do IPSec em um ambiente de
acesso remoto, que estão sendo discutidos atualmente no IPSec Working
Group, grupo do IETF (Internet Engineering Task Force) que desenvolve
mecanismos de segurança para o protocolo IP (Gleeson, 2000).
27
Existe quatro componentes básicos para a implementação de uma VPN baseada
na Internet: a Internet, gateways seguros, servidores com políticas de segurança e
certificados de autenticidade.
Como roteadores necessitam examinar e processar cada pacote que deixa a LAN,
parece natural incluir a criptografia dos pacotes nos roteadores. Por isso existe no
mercado dois produtos que desempenham esta função em roteadores: softwares
especiais (software adicionado ao roteador) ou placas com co-processadores que
possuem ferramentas de criptografias (hardware adicionado ao roteador). A
grande desvantagem dessas soluções é que, se o roteador cair, a VPN também
cairá.
28
hardwares serem desenvolvidos para configurações LAN-to-LAN, alguns produtos
podem suportar túneis client-to-LAN. A grande vantagem desta solução é o fato de
várias funções serem implementadas por um dispositivo único. Assim, não há
necessidade de se instalar e gerenciar uma grande quantidade de equipamentos
diferentes, fazendo com que esta implementação seja muito mais simples que a
instalação de um software em um firewall, a reconfiguração de um roteador ou
ainda a instalação de um servidor RADIUS, por exemplo.
Uma VPN desenvolvida por software também é capaz de criar e gerenciar túneis
entre pares de gateways seguros ou, entre um cliente remoto e um gateway
seguro. Esta é uma solução que apresenta um custo baixo, mas desaconselhada
para redes que processam grande volume de tráfego. Sua vantagem, além do
baixo custo, é que esta implementação pode ser configurada em servidores já
existentes e seus clientes. Além disso, muitos desse softwares se encaixam
perfeitamente para conexões client-to-LAN.
29
Vejamos as vantagens e desvantagens de cada solução para a implementação de
VPNs: apenas software, software auxiliado por hardware e hardware específico.
30
Performance Baixa médio-baixa alta
Fonte: www.abusar.org
Tabela 1 – Analise de implementação de VPN
Agora que temos uma visão geral sobre VPN, iremos abordar nos capítulos a
seguir como podemos fazer uso desta tecnologia combinada com outras, como a
xDSL.
31
2. xDSL
DSL não é uma tecnologia, mas uma família de tecnologias que conta, até o
momento, com oito membros , em diferentes estágios de maturidade, as mais
conhecidas são:
32
HDSL - High Data Rate Digital Subscriber Line
ADSL - Assymmetric Digital Subscriber Line
RADSL - Rate Adaptive Digital Subscriber Line
IDSL - ISDN Digital Subscriber Line
SDSL - Single Line ou Symmetric Digital Subscriber Line
VDSL - Very High Data Rate Digital Subscriber Line
VADSL - Very High Speed Assymmetric Digital Subscriber Line
As velocidades envolvidas situam-se numa faixa que vai de 128 Kbits por segundo
(caso do IDSL) a 51 megabits por segundo (caso do VDSL, a mais sofisticada). De
todas, o ADSL é a que mais sobressai no presente, exibindo provas incontestáveis
de prestígio: a América On-line, maior provedor de serviços on-line do mundo,
anunciou no final do ano passado o início de testes de campo, para clientes
residenciais interessados no acesso de alta velocidade aos seus serviços;
Microsoft, Compaq e Intel, três líderes em suas áreas, formaram recentemente um
consórcio para padronizar e promover a adoção dessa tecnologia.
33
Os modems HDSL (High-bit-rate Subscriber Line) foram os primeiros a serem
introduzidos no mercado e marcaram uma revolução para as operadoras de
telefonia e também para os clientes comerciais. Estes modems permitem
velocidade de até 2 Mbit/s sobre dois pares de fios da rede telefônica até uma
distancia de 3 Km. A comunicação é simétrica: pode se enviar e receber
simultaneamente a 2 Mbit/s. A CTBC Telecom foi a primeira Operadora no Brasil a
utilizar o serviço comercialmente. Esta tecnologia é muito boa para conectar
PABX's à central pública, ou para a interligação de redes locais e acesso 2 Mbit/s
para Provedores Internet. Boa para o cliente, pois dá a ele um serviço rápido,
veloz e com qualidade muito superior aos acessos analógicos e boa para as
operadoras pois representa uma economia de custos: pode se enviar 30 canais de
voz (linhas telefônicas) em apenas 2 pares de rede, em vez dos 30 pares
necessários no sistema analógico. A rede física é responsável pelos maiores
investimentos para implantação do serviço de telefonia. Esta tecnologia já está
consolidada e cresce velozmente em todo mundo.
34
linha e a distância em relação à central. Se a distância é muito grande, a taxa de
bits é reduzida. Esta tecnologia é útil principalmente quando a distância em
relação à central é muito grande, pois muitas tecnologias DSL são limitadas a
curtas distâncias. A técnica de modulação utilizada é CAP.
O ajuste de velocidade é feito como mostrado na figura abaixo. A banda de
freqüências até 4 kHz é reservada para voz. A banda acima deste valor é dividida
entre download e upload, como no ADSL, mas o limite entre estas bandas é
variável. Conforme as condições da linha variam, o limite superior da banda de
upload é deslocado - e, com isso, é também deslocado o limite inferior da banda
de download. Quando maior a banda de upload, menor a de download, e vice-
versa.
ISDN é a sigla para Integrated Services Digital Network. Essa tecnologia também
recebe o nome de RDSI - Rede Digital de Serviços Integrados. Trata-se de um
serviço disponível em centrais telefônicas digitais, que permite acesso à internet e
baseia-se na troca digital de dados, onde são transmitidos pacotes por
multiplexagem (possibilidade de estabelecer várias ligações lógicas numa ligação
física existente) sobre condutores de "par-trançado".
A tecnologia ISDN já existe há algum tempo, tendo sido consolidada entre os anos
de 1984 e 1986. Através do uso de um equipamento adequado, uma linha
telefônica convencional é transformada em dois canais de 64 Kbps, onde é
possível usar voz e dados ao mesmo tempo, sendo que cada um ocupa um canal.
35
Também é possível usar os dois canais para voz ou para dados. Visto de modo
grosso, é como se a linha telefônica fosse transformada em duas.
Um computador com ISDN também pode ser conectado a outro que utilize a
mesma tecnologia, um recurso interessante para empresas que desejem conectar
diretamente filiais com a matriz, por exemplo.
A tecnologia ISDN possui um padrão de transmissão que possibilita aos sinais que
trafegam internamente às centrais telefônicas serem gerados e recebidos em
formato digital no computador do usuário, sem a necessidade de um modem. No
entanto, para que um serviço ISDN seja ativado em uma linha telefônica é
necessário a instalação de equipamentos ISDN no local de acesso do usuário e a
central telefônica deve estar preparada para prover o serviço de ISDN.
A diferença que permite que as linhas VDSL alcancem velocidades tão altas é o
uso de fibras óticas. Estas fibras permitem que os dados trafeguem a velocidades
muito mais altas que nos pares trançados utilizados pelo telefone e por outras
tecnologias DSL.
Como as fibras óticas ainda não cobrem toda a área coberta pelos pares
trançados, nem todos os usuários são capazes de utilizar esta tecnologia. Além
36
disso, a distância máxima permitida entre usuário e central é de aproximadamente
1200 m, ou seja, muito menor que os outros tipos de DSL.
Assim como no caso do ADSL, existe uma disputa entre os sistemas CAP e DMT
para se tornar o padrão de modulação da tecnologia VDSL. Duas parcerias foram
formadas entre grandes empresas de telecomunicações, cada uma defendendo
um padrão. A VDSL Alliance, formada por Alcatel e Texas Instruments, entre
outros, defende o padrão DMT, e a VDSL Coalition, liderada por Lucent e
Broadcom, defende o padrão CAP.
Telefone
Pares Taxa de
Transmissão
de fio dados
e dados
ADSL 1,5-8
Mbit/s Mais popular. Utilizado
1 Sim Assimétrica
Asymetric 64-640 para acesso a Internet.
DSL kbit/s
37
RADSL Variação do ADSL que
1-7 Mbit/s permite o ajuste da taxa
1 Sim Assimétrica 128k-1 de transmissão de
Rate- Mbit/s acordo com a
adaptive DSL necessidade do cliente
IDSL
até 144 Empregado em acessos
1 Não Simétrica
kbit/s ISDN
ISDN DSL
SDSL
Implementação do HDSL
1 Não Simétrica 768 kbit/s
Symetric utilizando 1 par de fios
DSL
52 Mbps /
VDSL Sim Assimetrica Uso de fibra óptica
16 Mbps
38
3. POSSIBILIDADE DE VPN COM ADSL
Pelo motivo da tecnologia ADSL está em alta no nosso estado, decidimos ver
todas as possibilidades usando esta tecnologia que tem como principal fonte
representativa o Velox da TELEMAR. A grade dificuldade encontrada nos
exemplos abaixo é o fato de que o endereço IP de cada ponto ADSL fica mudando
(IP Dinâmico).
Para deixarmos mais claro, criamos uma estrutura tecnológica empírica (Figura
10).
39
Servidor A
FIREWALL
NAT
WWW DNS
INTERNET
Servidor B
ADSL
REMOTO
Maquina 1
ADSL
NAT
40
particular via acesso discado. Como também uma filial precisar esta
constantemente atualizando dados contidos nos sistemas da matriz, e para fazer
isto, ela usa uma conexão de banda larga (ADSL) que tem IP dinâmico.
Servidor A
FIREWALL
NAT
WWW DNS
INTERNET
REMOTO
Acesso
Discado
(IP fixo)
41
Figura 13 - VPN usando IPs fixos
42
Servidor A
FIREWALL
NAT
WWW DNS
INTERNET
Maquina 1
Acesso
ADSL (IP
ADSL
Dinâmico)
Solução: Usar uma máquina que esteja sempre on-line e de IP válido fixo que
possa identificar pelo domínio qual o endereçamento da ponta com ADSL. Para
43
que isto aconteça corretamente, a ponta que usa ADSL tem que ter uma tarefa
rodando com a finalidade de informar ao DNS sempre que ela mudar de endereço.
FIREWALL
NAT
WWW DNS
INTERNET
Acesso ADSL
Servidor
(IP Dinâmico)
ADSL
Maquina 1
Acesso
ADSL
ADSL
NAT
Solução: Usar uma máquina que esteja sempre on-line e de IP valido fixo que
possa identificar pelo domínio qual o endereçamento da ponta com ADSL que teve
44
seu endereçamento renovado. Para que isto aconteça corretamente, as pontas
têm que ter uma tarefa rodando com a finalidade de informar ao DNS sempre que
ela mudar de endereço.
Estas as formas básicas de criar VPNs num ambiente como este. Para deixar
mais clara a dificuldade de se manter uma VPN usando uma conexão ADSL, no
próximo capitula faremos um estudo de caso abordando este aspecto.
45
4. Estudo de caso
46
Figura 16 – Rede no formato com o link de rádio
Estudo de solução:
O setor de informática sabendo do interesse da empresa em disponibilizar estas
informações para o diretores que não se encontravam na área física de sua rede,
propôs uma solução simples, mas eficaz. Prover o acesso a estas informações via
acesso remoto. Isto é, de onde quer que os diretores estejam, os mesmos
poderiam acessar a rede da Empresa e usar os recursos da mesma, assim, não
só disponibilizando as informações do sistema, como também oferecendo a
possibilidade deles acessarem seus arquivos particulares.
47
No servidor Linux foi configurado que todo acesso que chegasse na porta 1723
(PPTP), fosse redirecionada para o servidor Windows 2000 para o processo e
autenticação, assim criando a VPN.
Para tornar este projeto real, era usado um link de rádio da Secrel de 128Kbps, e
com um endereço IP válido, o que se mostrava suficiente para o acesso dos
usuários internos a internet, como para o acesso remoto dos diretores.
No primeiro momento foi pensando em uma forma de acesso alternativo para ter
pelo menos acesso a internet nestas quedas do link (rádio). Foi contratado o Velox
(O Velox utiliza um modem de tecnologia ADSL, que aumenta a capacidade da
sua linha de telefone, permitindo a transmissão simultânea de voz e dados
Adequada para uma rede do porte da Breitener) com velocidade de 256Kbps. Foi
adicionado uma terceira placa de rede no servidor linux, e colocado o link do
Velox.
O Velox foi configurado nas estações para ser a rota padrão secundaria, isto quer
dizer, sempre que o rota padrão não responder (o link de rádio), as estações
tentavam a rota secundaria (o velox).
48
Esta solução foi aplicada e mostrou-se como uma ótima solução, pois mesmo
quando o link da Secrel caia, os usuários da rede continuavam com acesso a
internet, mas persistia o problema dos Diretores não conseguirem acessar
remotamente a rede, pois como o modem do Velox muda periodicamente de
endereço IP, não dava para deixa configurado nos notebooks dos Diretores, já que
na configuração do acesso, era colocado o endereço IP do servidor da Rede.
Solução Final:
Para resolver esta situação, começamos a desenvolver uma solução que consistia
inicialmente em cadastrar o domínio www.breitener.com.br em um servidor DNS
fora da rede, e em seguida prepara um script que ficasse rodando no servidor
linux, com uma única finalidade, verificar a cada um minuto se o endereço IP do
modem tinha mudado ou não. Caso tivesse mudado, ele informava o novo
endereço IP para o servidor DNS que se encontrava fora da rede. Assim, a
configuração nas estações dos diretores poderia ser feito com nome
(www.breitener.com.br), não sendo problema a mudança do endereço do modem.
Infelizmente a solução usando um script no linux não estava sendo tão eficaz, pois
durante o período de teste (uma semana) foram registrada 6 reclamações de
diretores dizendo que não conseguiam estabelecer conexão. Foi identificado que o
serviço parava e não reiniciava automaticamente. A partir deste momento
começamos a tentar desenvolver uma solução, quando encontramos na internet
uma ótima solução para esta nossa realidade. A solução foi um site,
www.noip.com , este site funciona como a nosso solução inicial. A única diferença
é que o site coloca um programa no servidor (ou qualquer outra estação da rede),
que tem a mesma finalidade que tínhamos implementado no script que estava
rodando no linux, atualizar o novo endereço do modem no servidor DNS sempre
que houvesse mudança do endereço, que neste caso o servidor é deles.
Topologia Proposta:
49
Figura 17 – Rede no formato com Velox
Durante dois meses esta solução foi usada. No final do segundo mês foi sugerido
o corte do link de radio, reduzindo o custo de acessibilidade a internet, mantendo a
segurança e a disponibilidade no acesso interno e externo.
50
A tabela acima mostra um ganho tanto a nível financeiro como de disponibilidade
da rede. Já que agora a Breitener passará a pagar mais barato pelo acesso a
Internet e com um menor tempo de restabelecimento do sinal de Internet. Outro
ponto importante é o fato do mesmo ganhar com velocidade, já que a banda
oferecida pelo Velox é o dobro oferecido pela SecrelNet.
51
CONCLUSÃO
Além dos benefícios econômicos e técnicos aplicados aos dias de hoje, as VPNs
também têm a capacidade de estimular e impulsionar o desenvolvimento
tecnológico.
Porém, não podemos deixar de lado as oportunidades que a tecnologia VPN e sua
demanda de QoS reservam para o futuro. As VPNs também têm sua parcela de
contribuição no desenvolvimento de novas tecnologias de desempenho e
segurança na Internet, proporcionando um esforço muito mais colaborativo e
acelerado no tocante a estas questões.
52
REFERENCIA
HAMZEH, Kory; PALL, Gurdeep; VERTHEIN, William; TAARUD, Jeff; LITTLE, W.;
e ZORN, Glen; Point-to-Point Tunneling Protocol (PPTP), RFC 2637, Jul. 1999,
http://www.ietf.org/rfc/rfc2637.txt.
53
Glossário
54
utilizam esse serviço com o nome Speedy (Telefônica de SP).
Possui uma taxa de transferência teórica bem alta (8 Mbps para
download e 640 Kbps para upload), mas as operadoras estão
liberando esse serviço com velocidade de 256 Kbps para
download e 128 Kbps para upload.
- Modem para TV a cabo (cable modem). Ë o que, em teoria,
possui a maior taxa de transferência possível (30 Mbps). Mas a
velocidade depende da operadora. Existem dois tipos de
serviço, unidirecional (você precisa usar um modem
convencional ao mesmo tempo em seu micro, consumindo
pulsos) e bidirecional (a transmissão e a recepção são feitas
pela rede da TV por assinatura).
- DSS (Direct Satellite System). Usa antenas parabólicas e é
eventualmente conjugado ao serviço de TVs por assinatura que
usam essas antenas (Sky, DirecTV, etc). Também pode ser
unidirecional ou bidirecional. A taxa de transferência máxima
teórica desse serviço é de 400Kbps, sendo que a taxa
disponível pode ser inferior, pois a taxa depende da operadora.
Há ainda a opção de você fazer uma conexão direta (link) com
o seu provedor de acesso, por cabo ou por ar. Por cabo você
precisará que alguma operadora de telefonia faça a instalação
desse cabo (Embratel, Telemar, AT&T, etc). Já por ar, basta a
instalação de uma antena, Essa solução é mais barata.
Como todas essas opções não utilizam o modem convencional,
você deverá substituí-lo por uma placa de rede.
Firewall - Um firewall é uma barreira inteligente entre a sua rede local e a
Internet, através da qual só passa tráfego autorizado. Este
tráfego é examinado pelo firewall em tempo real e a seleção é
feita de acordo com a regra "o que não foi expressamente
permitido, é proibido". Para criar as regras com as quais o
firewall seleciona o tráfego, selecione os serviços da Internet, os
endereços IP e as estações para as quais o tráfego será
permitido ou negado.
Frame Relay - Frame Relay é um protocolo de nível de enlace, referente a
camada RM-OSI (modelo de referência OSI) , com funções
adicionais de nível de rede. Basicamente o Frame Relay
executa as funções básicas de enlace e rede, de forma
simplificada e sem preocupação com a recuperação de erros.
É uma tecnologia de comutação de pacotes simples, rápida e
eficiente. É particularmente adequada a tráfego em rajadas,
característica principal em comunicação de dados em redes
locais. As redes locais requerem velocidades de transmissão e
larguras de banda elevadas. Os frames podem chegar fora de
ordem.
Em determinada transmissão de frames entre um ponto de
origem e um ponto destinatário, os frames seguem sempre o
55
mesmo caminho (rota), o que faz deste protocolo um serviço
“end-to-end”.
Atua com velocidades acima de 64Kbps (normalmente até 2
Mbps), com a aplicabilidade maior na interconexão de
ambientes de redes locais geograficamente dispersos.
Gateway - O gateway é um ponto de rede que atua na entrada de outra
rede. Na Internet, um ponto de rede pode ser tanto um gateway
como um host. Os computadores de usuários da Internet e os
computadores que servem páginas para os usuários são hosts.
Os computadores que controlam o tráfego dentro da rede de
suas companhias ou no seu provedor de Internet local (ISP) são
gateways.
MD5 - O md5 é um tipo de "impressão digital" de um arquivo, usado
para determinar, por exemplo, se um arquivo baixado de um ftp
não se alterou ao chegar ao micro, utilizando-se de um
checksum (somas matemáticas baseadas no conteúdo dos
dados em processamento, para verificar correção) de 128 bits.
MPPE- É um algoritimo de criptografia. Este algoritimo oferece
segurança nos dados nas conexões que usam PPTP.
56