O que é VPN?
Virtual Private Network (VPN) ou Rede Privada Virtual é uma rede de acesso restrito construída sobre a infra-estrutura de uma rede pública (como a internet). Ou seja, ao invés de se utilizar links dedicados ou redes por comutação de pacotes (X.25 e Frame Relay por exemplo) para conectar redes distintas, utiliza-se a infra-estrutura pública, uma vez que para os usuários a forma como as redes estão conectadas é transparente e toda a estrutura da Internet já está pronta e disponível.
A principal motivação para implementação de VPNs é financeira: links dedicados são caros, principalmente quando as distâncias são grandes. Por outro lado existe a Internet, que por ser uma rede de alcance mundial, tem pontos de presença espalhados pelo mundo. Conexões com a Internet podem ter um custo mais baixo que links dedicados, principalmente quando as distâncias forem grandes.
Como funcionam as VPNs?
Utilizar a Internet como a infra-estrutura para conectar redes privadas é uma ótima solução em termos de custos mas, não estamos esquecendo de um aspecto? A Internet é uma rede pública, onde os dados em trânsito podem ser "lidos" por qualquer equipamento. Como fica então a questão da segurança e em especial a confidencialidade das informações corporativas?
Para incorporar segurança na comunicação entre as redes privadas é necessária uma maneira de trocar dados criptografados (codificados) de forma que, se os dados forem capturados durante a transmissão, não possam ser decifrados. Os dados trafegam criptografados pela Internet em "túneis virtuais", criados por dispositivos VPN que utilizam criptografia; e esses dispositivos que são capazes de "entender" os dados criptografados formam uma "rede virtual" sobre a rede pública. É essa rede virtual que é conhecida como VPN.
Os dispositivos responsáveis pela formação e gerenciamento dessa rede virtual, para propiciarem uma comunicação com segurança, devem ser capazes de garantir:
- Privacidade dos dados, ou seja, caso os dados sejam interceptados durante a transmissão, não podem ser decodificados.
Integridade dos dados, além de não serem decodificados (privacidade), os dados não podem ser modificados durante a transmissão.
-Autenticação, garantia de que os dados estão sendo transmitidos ou recebidos do dispositivo remoto autorizado e não de um equipamento qualquer; ou seja, garantia que o dispositivo remoto com o qual o túnel foi estabelecido é realmente o dispositivo remoto autorizado e não outro equipamento se "fazendo passar por ele".
-Uma VPN pode ser implementada por vários dispositivos, tais como: roteadores, servidores de acesso remoto, equipamentos específicos, ou ainda software instalado em servidores ou em micros. Conforme os dispositivos envolvidos em sua formação, VPNs podem ser Lan-to-Lan (entre redes) ou Dial-VPN (acesso remoto discado).
VPNs Lan-to-Lan são utilizadas para conectar redes corporativas, normalmente matriz e filiais, ou empresa, clientes e fornecedores. Neste caso, cada site da VPN necessita de um dispositivo VPN, como pode ser observado na figura abaixo, onde os dispositivos VPN são roteadores, mas poderiam ser facilmente trocados por máquinas normais com o sistema operacional GNU/Linux instalado por exemplo, justamente um dos serviços oferecidos pela Firewalls.
Neste ambiente, a rede da matriz e das filiais estão conectadas entre si, utilizando a infra-estrutura da lnternet. Ao invés de vários links dedicados entre a matriz e as filiais, cada uma delas tem apenas um link com a Internet. Quando uma das filiais precisa trocar dados com a matriz, por exemplo, automaticamente é estabelecido um "túnel" entre elas e os dados são transmitidos com segurança.
Essa solução também permite uma comunicação entre as filiais sem que o tráfego tenha que passar pela matriz, ou que seja necessário um Link dedicado adicional, como ocorre em algumas soluções de redes remotas.
No caso de Dial-VPN, na rede da empresa o dispositivo VPN é o mesmo da solução Lan-to-Lan, enquanto que no usuário remoto o dispositivo VPN pode ser um software instalado no PC do usuário ou o servidor de acesso do provedor ao qual ele se conecta.
Soluções Dial-VPN são muito utilizadas para que vendedores ou gerentes que utilizam equipamentos portáveis (notebooks geralmente) possam acessar a rede e os dados da empresa com total segurança, também fazendo parte assim da VPN. Este recurso deve ser disponibilizado pelo provedor de acesso a Internet.
A capacidade de processamento dos dispositivos que compõem a VPN é relevante?
Essa é outra questão importante, uma vez que criptografia exige muita capacidade de processamento (e os dispositivos VPN devem criptografar os dados antes de transmiti-los pela Internet, e descriptografá-los antes de enviar os dados recebidos para o equipamento da rede privada).
As soluções para o problema de necessidade de processamento são utilização de criptografia por hardware dedicado, o que encarece bastante a solução, ou a utilização de criptografia por software. Neste último caso são necessárias CPUs com grande capacidade de processamento.
Quais as soluções da Firewalls para VPN?
Temos larga experiência na implantação de VPNs e oferecemos a nossos clientes muita maleabilidade, gerando soluções específicas para cada caso. Algumas delas envolvem o uso de máquinas para a VPN e outras roteadores da família Cyclades, devido a relação custo/benefício fornecida por estes.
Soluções com máquinas:
Nossa preferência, utilizamos uma máquina GNU/Linux implementada com altos quesitos e padrões de segurança, fornecendo alta confiabilidade e um custo muito baixo, utilizando-se de links como speedy ou LP de dados.
Nesta máquina também podemos incluir serviços como Firewalls e Detectores de Intrusão, gerando assim uma segurança enorme para toda a rede e não apenas para a negociação entre redes.
Consulte-nos para maiores detalhes e estudos de caso.
Soluções com roteadores:
PR2OOO
Roteador de Acesso de altíssima performance, multiprotocolo e de baixo custo, projetado para conectar redes IP e IPX entre si e à Internet. Utiliza um processador RISC com arquitetura dual de 32 bits, presente somente em roteadores de maior porte, o PR2000 oferece performance superior a 15.000 pps. Além de possuir uma arquitetura de hardware superior; o software do PR2000 suporta uma diversidade de arquiteturas de redes, protocolos de roteamento e enlace, recursos de segurança, suporte a VPN e uma variedade de formas de configuração e gerenciamento (SNMP/RMON), tudo isso mantendo a melhor relação preço/performance.
Roteadores da família PR3DDU
Combinam a flexibilidade e performance dos roteadores de alto custo, baseados em chassi e slots, com a simplicidade dos roteadores integrados, proporcionando expansibilidade e flexibilidade com baixo custo. Com desenho modular e expansível, suportam uma variedade de opções para interface WAN. À medida que sua rede cresce, é possível instalar novas interfaces WAN ou trocar interfaces, caso ocorram mudanças nas redes ou surjam novas tecnologias.
Créditos: Firewall
Virtual Private Network (VPN) ou Rede Privada Virtual é uma rede de acesso restrito construída sobre a infra-estrutura de uma rede pública (como a internet). Ou seja, ao invés de se utilizar links dedicados ou redes por comutação de pacotes (X.25 e Frame Relay por exemplo) para conectar redes distintas, utiliza-se a infra-estrutura pública, uma vez que para os usuários a forma como as redes estão conectadas é transparente e toda a estrutura da Internet já está pronta e disponível.
A principal motivação para implementação de VPNs é financeira: links dedicados são caros, principalmente quando as distâncias são grandes. Por outro lado existe a Internet, que por ser uma rede de alcance mundial, tem pontos de presença espalhados pelo mundo. Conexões com a Internet podem ter um custo mais baixo que links dedicados, principalmente quando as distâncias forem grandes.
Como funcionam as VPNs?
Utilizar a Internet como a infra-estrutura para conectar redes privadas é uma ótima solução em termos de custos mas, não estamos esquecendo de um aspecto? A Internet é uma rede pública, onde os dados em trânsito podem ser "lidos" por qualquer equipamento. Como fica então a questão da segurança e em especial a confidencialidade das informações corporativas?
Para incorporar segurança na comunicação entre as redes privadas é necessária uma maneira de trocar dados criptografados (codificados) de forma que, se os dados forem capturados durante a transmissão, não possam ser decifrados. Os dados trafegam criptografados pela Internet em "túneis virtuais", criados por dispositivos VPN que utilizam criptografia; e esses dispositivos que são capazes de "entender" os dados criptografados formam uma "rede virtual" sobre a rede pública. É essa rede virtual que é conhecida como VPN.
Os dispositivos responsáveis pela formação e gerenciamento dessa rede virtual, para propiciarem uma comunicação com segurança, devem ser capazes de garantir:
- Privacidade dos dados, ou seja, caso os dados sejam interceptados durante a transmissão, não podem ser decodificados.
Integridade dos dados, além de não serem decodificados (privacidade), os dados não podem ser modificados durante a transmissão.
-Autenticação, garantia de que os dados estão sendo transmitidos ou recebidos do dispositivo remoto autorizado e não de um equipamento qualquer; ou seja, garantia que o dispositivo remoto com o qual o túnel foi estabelecido é realmente o dispositivo remoto autorizado e não outro equipamento se "fazendo passar por ele".
-Uma VPN pode ser implementada por vários dispositivos, tais como: roteadores, servidores de acesso remoto, equipamentos específicos, ou ainda software instalado em servidores ou em micros. Conforme os dispositivos envolvidos em sua formação, VPNs podem ser Lan-to-Lan (entre redes) ou Dial-VPN (acesso remoto discado).
VPNs Lan-to-Lan são utilizadas para conectar redes corporativas, normalmente matriz e filiais, ou empresa, clientes e fornecedores. Neste caso, cada site da VPN necessita de um dispositivo VPN, como pode ser observado na figura abaixo, onde os dispositivos VPN são roteadores, mas poderiam ser facilmente trocados por máquinas normais com o sistema operacional GNU/Linux instalado por exemplo, justamente um dos serviços oferecidos pela Firewalls.
Neste ambiente, a rede da matriz e das filiais estão conectadas entre si, utilizando a infra-estrutura da lnternet. Ao invés de vários links dedicados entre a matriz e as filiais, cada uma delas tem apenas um link com a Internet. Quando uma das filiais precisa trocar dados com a matriz, por exemplo, automaticamente é estabelecido um "túnel" entre elas e os dados são transmitidos com segurança.
Essa solução também permite uma comunicação entre as filiais sem que o tráfego tenha que passar pela matriz, ou que seja necessário um Link dedicado adicional, como ocorre em algumas soluções de redes remotas.
No caso de Dial-VPN, na rede da empresa o dispositivo VPN é o mesmo da solução Lan-to-Lan, enquanto que no usuário remoto o dispositivo VPN pode ser um software instalado no PC do usuário ou o servidor de acesso do provedor ao qual ele se conecta.
Soluções Dial-VPN são muito utilizadas para que vendedores ou gerentes que utilizam equipamentos portáveis (notebooks geralmente) possam acessar a rede e os dados da empresa com total segurança, também fazendo parte assim da VPN. Este recurso deve ser disponibilizado pelo provedor de acesso a Internet.
A capacidade de processamento dos dispositivos que compõem a VPN é relevante?
Essa é outra questão importante, uma vez que criptografia exige muita capacidade de processamento (e os dispositivos VPN devem criptografar os dados antes de transmiti-los pela Internet, e descriptografá-los antes de enviar os dados recebidos para o equipamento da rede privada).
As soluções para o problema de necessidade de processamento são utilização de criptografia por hardware dedicado, o que encarece bastante a solução, ou a utilização de criptografia por software. Neste último caso são necessárias CPUs com grande capacidade de processamento.
Quais as soluções da Firewalls para VPN?
Temos larga experiência na implantação de VPNs e oferecemos a nossos clientes muita maleabilidade, gerando soluções específicas para cada caso. Algumas delas envolvem o uso de máquinas para a VPN e outras roteadores da família Cyclades, devido a relação custo/benefício fornecida por estes.
Soluções com máquinas:
Nossa preferência, utilizamos uma máquina GNU/Linux implementada com altos quesitos e padrões de segurança, fornecendo alta confiabilidade e um custo muito baixo, utilizando-se de links como speedy ou LP de dados.
Nesta máquina também podemos incluir serviços como Firewalls e Detectores de Intrusão, gerando assim uma segurança enorme para toda a rede e não apenas para a negociação entre redes.
Consulte-nos para maiores detalhes e estudos de caso.
Soluções com roteadores:
PR2OOO
Roteador de Acesso de altíssima performance, multiprotocolo e de baixo custo, projetado para conectar redes IP e IPX entre si e à Internet. Utiliza um processador RISC com arquitetura dual de 32 bits, presente somente em roteadores de maior porte, o PR2000 oferece performance superior a 15.000 pps. Além de possuir uma arquitetura de hardware superior; o software do PR2000 suporta uma diversidade de arquiteturas de redes, protocolos de roteamento e enlace, recursos de segurança, suporte a VPN e uma variedade de formas de configuração e gerenciamento (SNMP/RMON), tudo isso mantendo a melhor relação preço/performance.
Roteadores da família PR3DDU
Combinam a flexibilidade e performance dos roteadores de alto custo, baseados em chassi e slots, com a simplicidade dos roteadores integrados, proporcionando expansibilidade e flexibilidade com baixo custo. Com desenho modular e expansível, suportam uma variedade de opções para interface WAN. À medida que sua rede cresce, é possível instalar novas interfaces WAN ou trocar interfaces, caso ocorram mudanças nas redes ou surjam novas tecnologias.
Créditos: Firewall
Comment