Seminrio da disciplina Redes de Computadores II sobre VPN e DMZ.

Dayvid Rocha Cavalcanti

Gustavo Henrique E. Nobrega

Faculdade Projeo
Taguatinga - DF, Brasil
dayvid.rocha21@gmail.com
gustavonobrega.efti@gmail.com

Abstract: VPN and DMZ are two acronyms that are increasingly present in the field of computing. Due to
the constant increase in the use of public network (Internet) and integration with restricted networks, there are
precautions to be taken to maintain security and integrity of data. In order to mitigate the existing risk because of
this communication are used such technologies.

Resumo: VPN e DMZ so duas siglas que est cada vez mais presente no ramo da computao. Devido o
constante aumento na utilizao da rede pblica (internet) e na integrao com redes restritas, h precaues a
serem tomadas para manter a segurana e a integridade dos dados. Visando amenizar os risco existentes devido
essa comunicao so utilizadas tais tecnologias.

Palavras chaves: VPN: Virtual Private Network ou Rede privada virtual

DMZ: DeMilitarized Zone ou "zona desmilitarizada".
 VPN

Uma Rede Particular Virtual (Virtual Private Network VPN), como o prprio nome
sugere, uma forma de conectar dois computadores utilizando uma rede pblica, como a
Internet (a rede pblica mais utilizada para este propsito). Para ajudar a entender melhor,
pense em uma empresa que precisa interligar duas de suas filiais. Existem algumas
alternativas para solucionar o problema:

1. Comprar equipamentos wireless e conectar as filiais por meio de um link de rdio.

2. Conectar as duas por meio de um cabo de rede, o que pode ser totalmente invivel
dependendo da distncia entre estas.
3. Pagar uma linha privada (LP) para que as filiais possam se comunicar.
4. Utilizar uma VPN.

Estes so os quatro recursos mais utilizados por empresas, mas alguns deles podem se
tornar financeira ou geograficamente inviveis, como o caso dos itens 1, 2 e 3. A melhor
soluo, na maioria dos casos, acaba sendo a VPN, pois seu custo pequeno se comparado as
outras opes.
A utilizao da Internet como infra-estrutura de conexo entre hosts da rede privada
uma tima soluo em termos de custos, mas no em termos de privacidade, pois a Internet
uma rede pblica, onde os dados em trnsito podem ser lidos por qualquer equipamento.
Ento como fica a questo da segurana e a confidencialidade das informaes da empresa?

Segurana e privacidade

Como a Internet uma rede pblica, preciso criar alguns mecanismos de segurana
para que as informaes trocadas entre os computadores de uma VPN no possam ser lidas
por outras pessoas.
A proteo mais utilizada a criptografia. Essa a resposta! Incorporando criptografia
na comunicao entre hosts da rede privada de forma que, se os dados forem capturados
durante a transmisso, no possam ser decifrados. Os tneis virtuais habilitam o trfego de
dados criptografados pela Internet e esses dispositivos, so capazes de entender os dados
criptografados formando uma rede virtual segura sobre a rede Internet.
Os dispositivos responsveis pelo gerenciamento da VPN devem ser capazes de garantir a
privacidade, integridade, autenticidade dos dados.
Depois de criptografados, os dados so ento encapsulados e transmitidos pela Internet,
utilizando o protocolo de tunelamento, at encontrar seu destino.
Quando se fala em VPNs, a palavra tunelamento se faz muito presente. O tunelamento
consiste em criar um tnel (sugestivo, no?!) para que os dados possam ser enviados sem que
outros usurios tenham acesso. A idia a mesma de um tnel rodovirio: uma entrada, uma
sada e, quem est do lado de fora, no consegue ver quem est passando pelo interior.

Para criar uma rede VPN no preciso mais do que dois (ou mais) computadores conectados
Internet e um programa de VPN instalado em cada mquina. O processo para o envio dos
dados o seguinte:
1 - Os dados so criptografados e encapsulados.
2 - Algumas informaes extras, como o nmero de IP da mquina remetente, so
adicionadas aos dados que sero enviados para que o computador receptor possa identificar
quem mandou o pacote de dados.
3 - O pacote contendo todos os dados enviado atravs do tnel criado at o computador
de destino.
4 - A mquina receptora ir identificar o computador remetente atravs das informaes
anexadas ao pacote de dados.
5 - Os dados so recebidos e desencapsulados.
6 - Finalmente os dados so descriptografados e armazenados no computador de destino.
Basicamente uma VPN, pode ser feita de duas formas:
A primeira forma , um simples host em trnsito, conecta em um provedor Internet e atravs
dessa conexo, estabelece um tnel com a rede remota. A figura abaixo demonstra essa
forma.

Na segunda forma, duas redes se interligam atravs de hosts com link dedicado ou discado via
internet, formando assim um tnel entre as duas redes. A figura 2 ilustra essa forma.
 Figura 2: Conexo VPN entre duas redes interligadas.

Os protocolos utilizados no tnel virtual, so, (IPSec) Internet Protocol Security, (L2TP)
Layer 2 Tunneling Protocol, (L2F) Layer 2 Forwarding e o (PPTP) Point-to-Point Tunneling
Protocol. O protocolo escolhido, ser o responsvel pela conexo e a criptografia entre os
hosts da rede privada. Eles podem ser normalmente habilitados atravs de um servidor
Firewall ou RAS que esteja trabalhando com um deles agregado.

A figura 3 ilustra o caminho que os dados percorrem na arquitetura de rede do Windows sobre
uma conexo VPN usando um modem analgico.

Figura 3: Passos numa conexo usando PPTP.

Um datagram IP, IPX, ou NetBEUI submetido por seu protocolo apropriado interface
virtual que representa a conexo VPN, esta, usa o NDIS, que por sua vez, submete o pacote
ao NDISWAN que codifica ou comprime e submete ento ao protocolo PPTP, e este, ao
formar o pacote resultado, envia pela interface serial que usada pelo modem analgico.

Utilizao

As redes VPN so muito utilizadas por grandes empresas, principalmente aquelas em que os
funcionrios viajam com freqncia ou trabalham em casa, por exemplo. Mas nada impede
que usurios comuns, no seu dia-a-dia, utilizem as redes privadas virtuais.
No entanto, se o tempo de transmisso dos dados crucial para a empresa ou para o usurio,
este tipo de rede pode no ser o mais indicado, pois elas dependem diretamente da velocidade
da Internet disponvel, o que pode acarretar em atrasos e problemas sobre os quais o tcnico
ou usurios no ter controle algum.

Concluso sobre VPN.

Para a implementao de redes virtuais privadas preciso ter um bom domnio do contedo
de redes como: protocolos, IPs, mscaras de rede, gateways, etc. Alm disso, preciso muito
estudo e uma anlise criteriosa no que diz respeito segurana, custos e facilidades que o
servio trar para a empresa.
Mas talvez o mais importante, principalmente se tratando de empresas, seja o desempenho
oferecido pelo servio de redes VPN, uma vez que a transmisso de dados por essas redes
normalmente so mais lentos e requer uma Internet razoavelmente rpida.
A melhor forma de decidir se vale ou no a pena pesar os prs e contras em utilizar VPN e
ver qual dos lados pesa mais!

Zona Desmilitarizada DMZ

Uma DMZ ou ainda "Zona Neutra" corresponde ao segmento ou segmentos de rede,

parcialmente protegido, que se localiza entre redes protegidas e redes desprotegidas e que
contm todos os servios e informaes para clientes ou pblicos. A DMZ pode tambm
incluir regras de acesso especfico e sistemas de defesa de permetro para que simule uma
rede protegida e induzindo os possveis invasores para armadilhas virtuais de modo a se tentar
localizar a origem do ataque.
Podemos ter dois tipos de DMZs: a interna, s acessada pelo usurio da rede interna e a
DMZ externa, acessada por qualquer usurio da Internet. Este conceito aliado ao de VLANs
tambm permite a implantao de DMZs privadas, ou seja, a possibilidade de DMZs
especficas para cada cliente de hosting ou para a hospedagem de servidores.
As DMZs so sub-redes onde se hospedam os servidores/servios de um provedor,
protegidos contra ataques da Internet por um firewall. Em geral necessrio especificar uma
faixa de endereos IP, ou informar diretamente os endereos das mquinas que devem ser
includas nessa zona.

Implantao da DMZ

O projeto lgico de uma rede que visa conexes com a Internet deve envolver a criao de
uma DMZ. Esta DMZ ser protegida por um sistema de defesa de permetro, onde os usurios
de Internet podem entrar livremente para acessar os servidores web pblicos, enquanto que os
dispositivos localizados nos pontos de acesso (firewall, switch e servidor de permetro)
filtram todo o trafego no permitido, como por exemplo, pacotes de dados que tentam
prejudicar o funcionamento do sistema. Ao mesmo tempo a rede interna privada esta
protegida por um outro firewall.
A zona desmilitarizada comporta-se como uma outra sub-rede, atrs de um firewall, onde
temos uma mquina segura na rede externa que no executa nenhum servio, mas apenas
avalia as requisies feitas a ela e encaminha cada servio para a mquina destino na rede
interna.
No caso de uma invaso de primeiro nvel, o atacante ter acesso apenas ao firewall, no
causando problema algum para a rede da empresa. J em invases de segundo nvel, o
atacante conseguir passar do firewall para a sub-rede interna, mas ficar preso na mquina
do servio que ele explorar.
Em todos os casos, deve-se analisar com cuidado quais servios podem ser colocados dentro
da DMZ. Por exemplo, na maioria das situaes, o servidor de e-mail inserido em uma
DMZ. Nesse caso, em uma invaso ao servidor de e-mail, os nicos dados que podero ser
comprometidos so os e-mails e mais nenhum outro.
J a colocao de um servidor de DNS em uma DMZ no recomendvel para a segurana da
rede. Como uma DMZ permite acesso menos seguro a certas partes da rede, a colocao de
um servidor de DNS nessa situao poderia comprometer a segurana dos endereos de todos
os servidores da rede local e roteadores.
Convm salientar que durante a elaborao do projeto da rede, recomendvel se manter os
servios separados uns dos outros. Assim, ser possvel adotar as medidas de segurana mais
adequadas para cada servio.

Figura 4 - Exemplo de rede com DMZ

Concluso sobre DMZ

Toda rede possui um permetro, um acesso para a Internet. Esses permetros podem ajudar a
gerenciar as atividades baseadas na Internet, mas devem ser cuidadosamente protegidos. Uma
nica exposio no reconhecida, como um permetro no protegido, pode comprometer toda
a rede corporativa. As necessidades do negcio e o valor da informao mantida na rede da
empresa so os fatores que devem determinar a arquitetura da rede e qual soluo ser
implantada.
Embora cada permetro seja diferente, cada um uma rea estratgica aberta manipulao.
As DMZs demarcam essas reas de acesso pblico, estando localizadas geralmente em
pontos da rede que no necessitam de segurana (sem firewall) ou que necessitam apenas de
uma segurana mais branda (firewall fraco). Nesses casos, um firewall fraco (ou outro ponto
de acesso) permite o acesso rea da DMZ e um segundo firewall, mais forte, posicionado
atrs da DMZ visando restringir fortemente o acesso rede interna.
Os firewalls permitem aos usurios da rede interna acessar a DMZ livremente. Contudo,
usurios localizados fora da rede interna, que necessitarem de acesso externo, devero estar
submetidos s regras de acesso comuns para acessos de Internet ou discados, feitos atravs da
rede externa (um servidor de discagem instalado na DMZ com sua lista de acesso prpria, por
exemplo).
 Estudo de caso

Em uma instituio de ensino superior, cujo o nome Anhanguera, surgiu uma

necessidade de interligar redes entre 3 filiais em Braslia. Aps uma anlise de custo,
constatou que no seria compensatrio a utilizao de rede rdio, levando tambm em
considerao a distncia. A soluo para tal problema foi a utilizao de uma VPN (Rede
virtual privada), a partir dela foi possvel utilizar a internet para interligar as trs redes
distintas sem a necessidade de um equipamento especfico para tal comunicao. Apenas foi
necessrio uma simples comunicao com a internet em cada filial. Graas ao protocolo e a
criptografia utilizada garantiram que mesmo a rede estando exposta internet estaria segura.
Em uma outra ocasio, a instituio lanou um site onde seu servidor estava localizado
na prpria matriz da faculdade. Porm, diferentemente das demais mquinas da rede, o
servidor necessitou de permisses de acessos adicionais, onde permitiria o acesso externo e
livre para que fosse possvel a visualizao do site de qualquer local. Desta forma a rede
interna poderia ficar vulnervel a ataques pela internet, tendo como porta de acesso tal
servidor. Como soluo para o problema, foi criada uma DMZ ou zona desmilitarizada, cujo o
objetivo foi isolar o servidor do restante da rede. Com ela, em casos de ataques ao servidor,
impossibilita que o acesso indesejvel se prolifere pelo restante da rede.
 Referncias

Livro:
Douglas Vigliazzi . Segurana de Redes Primeiros Passos. Cincia Moderna, 2007.

Referncias de Internet:
Wikipdia. Disponvel em
http://pt.wikipedia.org/wiki/DMZ_%28computa%C3%A7%C3%A3o%29. Acesso em 7 out 2009

NewsGeneration. Disponvel em
http://www.rnp.br/newsgen/9811/vpn.html Acesso em 7 out 2009

Projetos de Rede. Disponvel em

http://www.projetoderedes.com.br/artigos/artigo_redes_de_perimetro.php Acesso em 7 out 2009