Академический Документы
Профессиональный Документы
Культура Документы
Faculdade Projeo
Taguatinga - DF, Brasil
dayvid.rocha21@gmail.com
gustavonobrega.efti@gmail.com
Abstract: VPN and DMZ are two acronyms that are increasingly present in the field of computing. Due to
the constant increase in the use of public network (Internet) and integration with restricted networks, there are
precautions to be taken to maintain security and integrity of data. In order to mitigate the existing risk because of
this communication are used such technologies.
Resumo: VPN e DMZ so duas siglas que est cada vez mais presente no ramo da computao. Devido o
constante aumento na utilizao da rede pblica (internet) e na integrao com redes restritas, h precaues a
serem tomadas para manter a segurana e a integridade dos dados. Visando amenizar os risco existentes devido
essa comunicao so utilizadas tais tecnologias.
Uma Rede Particular Virtual (Virtual Private Network VPN), como o prprio nome
sugere, uma forma de conectar dois computadores utilizando uma rede pblica, como a
Internet (a rede pblica mais utilizada para este propsito). Para ajudar a entender melhor,
pense em uma empresa que precisa interligar duas de suas filiais. Existem algumas
alternativas para solucionar o problema:
Estes so os quatro recursos mais utilizados por empresas, mas alguns deles podem se
tornar financeira ou geograficamente inviveis, como o caso dos itens 1, 2 e 3. A melhor
soluo, na maioria dos casos, acaba sendo a VPN, pois seu custo pequeno se comparado as
outras opes.
A utilizao da Internet como infra-estrutura de conexo entre hosts da rede privada
uma tima soluo em termos de custos, mas no em termos de privacidade, pois a Internet
uma rede pblica, onde os dados em trnsito podem ser lidos por qualquer equipamento.
Ento como fica a questo da segurana e a confidencialidade das informaes da empresa?
Segurana e privacidade
Como a Internet uma rede pblica, preciso criar alguns mecanismos de segurana
para que as informaes trocadas entre os computadores de uma VPN no possam ser lidas
por outras pessoas.
A proteo mais utilizada a criptografia. Essa a resposta! Incorporando criptografia
na comunicao entre hosts da rede privada de forma que, se os dados forem capturados
durante a transmisso, no possam ser decifrados. Os tneis virtuais habilitam o trfego de
dados criptografados pela Internet e esses dispositivos, so capazes de entender os dados
criptografados formando uma rede virtual segura sobre a rede Internet.
Os dispositivos responsveis pelo gerenciamento da VPN devem ser capazes de garantir a
privacidade, integridade, autenticidade dos dados.
Depois de criptografados, os dados so ento encapsulados e transmitidos pela Internet,
utilizando o protocolo de tunelamento, at encontrar seu destino.
Quando se fala em VPNs, a palavra tunelamento se faz muito presente. O tunelamento
consiste em criar um tnel (sugestivo, no?!) para que os dados possam ser enviados sem que
outros usurios tenham acesso. A idia a mesma de um tnel rodovirio: uma entrada, uma
sada e, quem est do lado de fora, no consegue ver quem est passando pelo interior.
Para criar uma rede VPN no preciso mais do que dois (ou mais) computadores conectados
Internet e um programa de VPN instalado em cada mquina. O processo para o envio dos
dados o seguinte:
1 - Os dados so criptografados e encapsulados.
2 - Algumas informaes extras, como o nmero de IP da mquina remetente, so
adicionadas aos dados que sero enviados para que o computador receptor possa identificar
quem mandou o pacote de dados.
3 - O pacote contendo todos os dados enviado atravs do tnel criado at o computador
de destino.
4 - A mquina receptora ir identificar o computador remetente atravs das informaes
anexadas ao pacote de dados.
5 - Os dados so recebidos e desencapsulados.
6 - Finalmente os dados so descriptografados e armazenados no computador de destino.
Basicamente uma VPN, pode ser feita de duas formas:
A primeira forma , um simples host em trnsito, conecta em um provedor Internet e atravs
dessa conexo, estabelece um tnel com a rede remota. A figura abaixo demonstra essa
forma.
Na segunda forma, duas redes se interligam atravs de hosts com link dedicado ou discado via
internet, formando assim um tnel entre as duas redes. A figura 2 ilustra essa forma.
Figura 2: Conexo VPN entre duas redes interligadas.
Os protocolos utilizados no tnel virtual, so, (IPSec) Internet Protocol Security, (L2TP)
Layer 2 Tunneling Protocol, (L2F) Layer 2 Forwarding e o (PPTP) Point-to-Point Tunneling
Protocol. O protocolo escolhido, ser o responsvel pela conexo e a criptografia entre os
hosts da rede privada. Eles podem ser normalmente habilitados atravs de um servidor
Firewall ou RAS que esteja trabalhando com um deles agregado.
A figura 3 ilustra o caminho que os dados percorrem na arquitetura de rede do Windows sobre
uma conexo VPN usando um modem analgico.
Um datagram IP, IPX, ou NetBEUI submetido por seu protocolo apropriado interface
virtual que representa a conexo VPN, esta, usa o NDIS, que por sua vez, submete o pacote
ao NDISWAN que codifica ou comprime e submete ento ao protocolo PPTP, e este, ao
formar o pacote resultado, envia pela interface serial que usada pelo modem analgico.
Utilizao
As redes VPN so muito utilizadas por grandes empresas, principalmente aquelas em que os
funcionrios viajam com freqncia ou trabalham em casa, por exemplo. Mas nada impede
que usurios comuns, no seu dia-a-dia, utilizem as redes privadas virtuais.
No entanto, se o tempo de transmisso dos dados crucial para a empresa ou para o usurio,
este tipo de rede pode no ser o mais indicado, pois elas dependem diretamente da velocidade
da Internet disponvel, o que pode acarretar em atrasos e problemas sobre os quais o tcnico
ou usurios no ter controle algum.
Implantao da DMZ
O projeto lgico de uma rede que visa conexes com a Internet deve envolver a criao de
uma DMZ. Esta DMZ ser protegida por um sistema de defesa de permetro, onde os usurios
de Internet podem entrar livremente para acessar os servidores web pblicos, enquanto que os
dispositivos localizados nos pontos de acesso (firewall, switch e servidor de permetro)
filtram todo o trafego no permitido, como por exemplo, pacotes de dados que tentam
prejudicar o funcionamento do sistema. Ao mesmo tempo a rede interna privada esta
protegida por um outro firewall.
A zona desmilitarizada comporta-se como uma outra sub-rede, atrs de um firewall, onde
temos uma mquina segura na rede externa que no executa nenhum servio, mas apenas
avalia as requisies feitas a ela e encaminha cada servio para a mquina destino na rede
interna.
No caso de uma invaso de primeiro nvel, o atacante ter acesso apenas ao firewall, no
causando problema algum para a rede da empresa. J em invases de segundo nvel, o
atacante conseguir passar do firewall para a sub-rede interna, mas ficar preso na mquina
do servio que ele explorar.
Em todos os casos, deve-se analisar com cuidado quais servios podem ser colocados dentro
da DMZ. Por exemplo, na maioria das situaes, o servidor de e-mail inserido em uma
DMZ. Nesse caso, em uma invaso ao servidor de e-mail, os nicos dados que podero ser
comprometidos so os e-mails e mais nenhum outro.
J a colocao de um servidor de DNS em uma DMZ no recomendvel para a segurana da
rede. Como uma DMZ permite acesso menos seguro a certas partes da rede, a colocao de
um servidor de DNS nessa situao poderia comprometer a segurana dos endereos de todos
os servidores da rede local e roteadores.
Convm salientar que durante a elaborao do projeto da rede, recomendvel se manter os
servios separados uns dos outros. Assim, ser possvel adotar as medidas de segurana mais
adequadas para cada servio.
Toda rede possui um permetro, um acesso para a Internet. Esses permetros podem ajudar a
gerenciar as atividades baseadas na Internet, mas devem ser cuidadosamente protegidos. Uma
nica exposio no reconhecida, como um permetro no protegido, pode comprometer toda
a rede corporativa. As necessidades do negcio e o valor da informao mantida na rede da
empresa so os fatores que devem determinar a arquitetura da rede e qual soluo ser
implantada.
Embora cada permetro seja diferente, cada um uma rea estratgica aberta manipulao.
As DMZs demarcam essas reas de acesso pblico, estando localizadas geralmente em
pontos da rede que no necessitam de segurana (sem firewall) ou que necessitam apenas de
uma segurana mais branda (firewall fraco). Nesses casos, um firewall fraco (ou outro ponto
de acesso) permite o acesso rea da DMZ e um segundo firewall, mais forte, posicionado
atrs da DMZ visando restringir fortemente o acesso rede interna.
Os firewalls permitem aos usurios da rede interna acessar a DMZ livremente. Contudo,
usurios localizados fora da rede interna, que necessitarem de acesso externo, devero estar
submetidos s regras de acesso comuns para acessos de Internet ou discados, feitos atravs da
rede externa (um servidor de discagem instalado na DMZ com sua lista de acesso prpria, por
exemplo).
Estudo de caso
Livro:
Douglas Vigliazzi . Segurana de Redes Primeiros Passos. Cincia Moderna, 2007.
Referncias de Internet:
Wikipdia. Disponvel em
http://pt.wikipedia.org/wiki/DMZ_%28computa%C3%A7%C3%A3o%29. Acesso em 7 out 2009
NewsGeneration. Disponvel em
http://www.rnp.br/newsgen/9811/vpn.html Acesso em 7 out 2009