Tipos de VPN e tecnologias para implementação

As VPNs são classificadas em dois tipos básicos, quanto ao serviço que implementam: VPNs de Acesso e VPNs ponto-a-ponto. As VPNs de acesso provêm acesso remoto para intranets e extranets corporativas sobre um backbone compartilhado. Elas habilitam usuários a acessarem recursos quando e a partir de onde for necessário, conectando usuários móveis e escritórios remotos de forma não dedicada, como mostrado, por exemplo, na Figura 2-4.

As VPNs ponto-a-ponto estabelecem conexões dedicadas entre pontos fixos. Exemplos típicos são: a) uma empresa com sua matriz, filiais, escritórios conectados de forma dedicada (Intranet VPN), ou b) uma empresa com parceiros, distribuidores, revendas, acionistas, fornecedores, clientes e comunidades de interesse conectados de forma dedicada (Extranet VPN). No entanto, observa-se que uma Intranet VPN e uma Extranet VPN diferem apenas no ponto de vista dos participantes envolvidos, compartilhando o mesmo conceito e as mesmas tecnologias de implementação.

Remote Access VPN

Túneis criptografados atravessam uma rede

pública Extranet VPN Extensões de WANs para parceiros de negócios Intranet VPN

Conexões de baixo custo com serviços de VPN, tais como IPSec,

QoS para garantir confiabilidade e vazão adequados

Trabalhador de Campo Parceiro de negócios

Home Office (ISDN, DSL, Cable)

Filial, Escritório remoto

Remote Access VPN

Túneis criptografados atravessam uma rede

pública Extranet VPN Extensões de WANs para parceiros de negócios Intranet VPN

Conexões de baixo custo com serviços de VPN, tais como IPSec,

QoS para garantir confiabilidade e vazão adequados

Trabalhador de Campo Parceiro de negócios

Home Office (ISDN, DSL, Cable)

Filial, Escritório remoto

Figura 2-4 - Uma solução integrada de VPN

Em todos os casos, os envolvidos compartilham uma mesma política de acesso que envolve questões de segurança, qualidade de serviço, confiabilidade e disponibilidade, operação e gerenciamento. Cada serviço se adequa aos diferentes requisitos de modelos de negócio para conectividade de usuários.

Quanto aos aspectos de segurança e encaminhamento de dados, podemos dividir as VPNs em dois tipos: "VPN baseada no usuário" (Customer Premise Equipment (CPE)-based VPN)5 e "VPN baseada na Rede" (Network-based VPN)6. No caso das VPN baseadas no usuário (CPE- based VPN), todo o processamento específico da VPN é feito nos dispositivos CE (ver Seção

5 _{Um termo alternativo para CPE-Based VPN é simplesmente CE-Based VPN. Ambos são usados por fontes}

2.1.3. ). A rede do provedor não toma parte em qualquer roteamento de nível 2 ou de nível 3 da VPN e os dispositivos PE podem ser roteadores IP padrão, sem implementação de tecnologias específicas para VPN. Neste caso, os dispositivos PE não armazenam informação de estado para as VPNs e não tomam parte no roteamento interno das VPNs. Esta solução é usada nos casos de backbones legados ou em fase de transição. Com relação aos aspectos de segurança, todo o tratamento é dado fim-a-fim entre os dispositivos CE envolvidos, ou seja, os dados entram na rede do provedor já criptografados.

Embora esta solução seja escalável do ponto de vista do provedor, há um grande número de informações e esforço de configuração nos dispositivos CE. Se a VPN crescer para um grande número de pontos, o gerenciamento necessário cresce à medida que uma teia de túneis deve ser criada para conectar os pontos.

Nas VPN baseadas na rede (Network-based VPN), a maior parte das tarefas de configuração e gerenciamento relativa à VPN é feita pelo provedor nos dispositivos PE. O fato de que todo o conhecimento sobre a VPN é atribuído aos dispositivos PE significa que os dispositivos CE podem ser roteadores simples, sem suporte à VPN e que, conseqüentemente, não precisam de substituição para se incorporarem à uma VPN. Todo o gerenciamento da VPN é responsabilidade do provedor nos aspectos de aprovisionamento, roteamento e encaminhamento de dados das VPNs, ficando pouco trabalho para os clientes. Esse tipo de solução requer maior carga de gerenciamento por parte do provedor e precisa de equipamentos com suporte a tecnologias de VPN dentro do seu backbone (ex: MPLS nos dispositivos P e PE), devendo manter tabelas de encaminhamento específicas para cada VPN suportada nos dispositivos PE. No aspecto de segurança, todo o tratamento é feito na entrada e na saída da rede do provedor.

Várias tecnologias podem ser usadas para a implementação de VPNs. As mais comumente usadas são listadas na Tabela 2-1.

As tecnologias para implementação de VPN já existem há bastante tempo e suas origens são encontradas no conceito de Circuito Virtual (virtual circuit – VC), estabelecido no início dos anos 80. A estrutura básica de um circuito virtual é a criação de um caminho lógico de uma origem a um destino, podendo envolver muitos elementos intermediários em sua composição. O

caminho lógico (ou circuito virtual) age da mesma forma que uma conexão direta entre os dois pontos, permitindo transparência na comunicação entre duas aplicações sobre uma rede compartilhada. Os circuitos virtuais progrediram tecnologicamente para incorporar características de segurança, permitindo, por exemplo, o tráfego de informação criptografada entre os pontos, autenticação e outras proteções contra possíveis ataques sobre a informação em trânsito [45][44][49][47][50].

Tabela 2-1 - Serviços de VPN e as tecnologias para sua implementação Tecnologias

Serviço Arquitetura Roteamento, encaminhamento,

transporte

Segurança

VPNs de Acesso Client Initiated, Network Access Server (NAS)

Layer 2 Forwarding (L2F), Layer 2 Tunneling Protocol (L2TP), Point- to-Point Tunnel Protocol (PPTP), dial, ISDN, DSL, Cable, Mobile IP, Wireless

IPSec [48] , ESP [49], IKE [45]

Tunelamento IP, Generic Routing Encapsulation (GRE), IPSec, Mobile IP Circuito virtual Frame Relay, ATM VPNs ponto-a-ponto

MPLS IP, IP + ATM, MPLS+DiffServ, BGP+MPLS

CPE-based IPSec, Network-based IPSec, ESP, IKE