Troubleshooting VPN – Parte 3

Requisitos Básicos de uma conexão VPN
Ao implantar uma solução remota de rede, uma empresa precisa tipicamente de certos recursos que facilitem o acesso controlado aos dados e informações da organização. Essa solução deve permitir que clientes remotos e externos se conectem aos recursos da LAN, possibilitando ainda aos escritórios remotos de se conectarem uns com os outros para compartilhar recursos e informações (conexões roteador-a-roteador).

Além disso, a solução deve garantir a privacidade, confidencialidade e integridade dos dados no momento em que eles atravessam a rede pública (Internet). O mesmo conceito se aplica no caso de dados sensitivos que atravessam a rede corporativa.
Portanto, a solução VPN deve fornecer, no mínimo, os recursos que seguem:

  • Autenticação de Usuário. A solução deve verificar a identidade do cliente VPN e seu acesso restrito somente a usuários autorizados. Ela deve também oferecer registros de auditoria e contabilidade para mostrar quem estava conectado e por quanto tempo assim permaneceu;
  • Gerenciamento de Endereços. A solução deve designar a um cliente VPN um endereço na intranet e garantir que os endereços usados estão sob confidencialidade.
  • Criptografia de Dados. Os dados transportados na rede pública devem permanecer ilegíveis e protegidos caso sejam interceptados;
  • Gerenciamento de Chave. A solução deve gerar e atualizar chaves de criptografia para os dados criptografados.

Uma solução VPN baseada em PPTP (Point-to-Point Tunneling Protocol) ou L2TP/IPSec (Layer Two Tunneling Protocol com Internet Protocol security) supre todos esses requisitos básicos e tira proveito da ampla disponibilidade da Internet. Outras soluções, que incluem o modo de túnel IPSec, supre apenas algumas dessas necessidades, mas são úteis para situações específicas.

Fundamentos de Tunneling
O Tunneling, ou Tunelamento, é o método de utilização de uma infra-estrutura de rede para transferir dados de uma rede para outra. Os dados a serem transferidos (ou carga útil) podem ser os frames (ou pacotes) de um outro protocolo. Em vez de enviar um frame assim que ele é produzido através do ponto central original, o protocolo de tunneling encapsula o frame em um cabeçalho adicional. Esse cabeçalho adicional fornece informações de roteamento para que a carga encapsulada possa atravessar a rede intermediária.
Os pacotes encapsulados são então roteados entre as extremidades do túnel por toda a rede. O caminho lógico pelo qual os pacotes encapsulados viajam através da rede é chamado do túnel. Uma vez que os frames encapsulados chegam ao seu destino, eles são então desencapsulados e encaminhados ao seu destino final. O tunneling inclui todo esse processo (encapsulamento, transmissão e desencapsulamento de pacotes).
imagem1.png

A rede de tráfego pode ser qualquer uma—a Internet é uma rede pública e é o maior e mais conhecido exemplo real do mundo. Existem diversos exemplos de túneis que são transportados por uma rede corporativa. E, enquanto a Internet fornece uma das redes mais difundidas e financeiramente efetivas, as referências sobre ela aqui descritas podem ser substituídas por qualquer outra rede, pública ou privada, que atua como rede de tráfego.
As tecnologias de tunneling existiram durante algum tempo, como o tunneling SNA pelas redes IP. Quando o tráfego da SNA (Arquitetura de Rede do Sistema) é enviado através de uma rede IP corporativa, o frame SNA é encapsulado em um cabeçalho UDP e IP. Novas tecnologias de tunneling foram apresentadas nos últimos anos. Essas recentes tecnologias, que são o ponto principal deste documento, incluem:


  • Point-to-Point Tunneling Protocol (PPTP). O PPTP permite que o tráfego multiprotocolo seja criptografado e depois encapsulado em um cabeçalho IP para ser enviado através de uma rede IP privada ou pública, tal como a Internet.
  • Layer Two Tunneling Protocol (L2TP). O L2TP permite que o tráfego multiprotocolo seja criptografado e depois enviado através de qualquer meio que suporte a entrega de datagramas ponto-a-ponto, tais como o IP, X.25, Frame Relay, ou ATM.
  • Modo de túnel IPSec. O IPSec permite que pacotes de IP sejam criptografados e encapsulados em um cabeçalho IP para serem enviados através de uma rede IP pública ou privada, tal como a Internet. O modo de túnel IPSec não é uma tecnologia recomendada para conexões VPN de acesso remoto, pois não existem métodos padrões para autenticação de usuário, atribuição de endereço IP, e atribuição de nome do servidor.

É possível utilizar o modo de túnel IPSec para conexões VPN site-a-site quando se têm computadores que executam o Windows Server 2003. Pelo fato de o túnel IPSec não ser representado como uma interface lógica sobre a qual os pacotes podem ser encaminhados e recebidos, os roteadores não podem utilizar o túnel IPSec e os protocolos de roteamento não operam em túneis IPSec. Portanto, o uso do modo de túnel IPSec só é recomendado como uma solução de conexões VPN site-a-site na qual uma extremidade do túnel é um servidor VPN de terceiros ou o gateway de segurança não suporta L2TP/IPSec.

This entry was posted on 0, 21 de outubro de 2006 at 1:11 am and is filed under Microsoft, Microsoft ISA Server, Software, Tecnologia. You can follow any responses to this entry through the RSS 2.0 feed. You can leave a response, or trackback from your own site.

Deixe um comentário