• Por consequˆencia, na maioria das vezes a empresa fica amarrada a um determinado fabricante
• O custo destes equipamentos se torna elevado
O objetivo deste trabalho ´e analisar solu¸c˜oes padronizadas ou em discuss˜ao pelo IETF, a fim de se conseguir os objetivos desejados de seguran¸ca, baixo custo e interoperabilidade. Portanto, o roteamento dinˆamico em conjunto com mesh dinˆamico utilizando protocolos j´a existentes e diferentes abordagens para implementa¸c˜ao do IPSec pode prover um bom grau de confiabilidade na VPN e por consequˆencia na comunica¸c˜ao corporativa.
Claro que existem grandes diferen¸cas entre o tempo de recupera¸c˜ao de uma falha com uma solu¸c˜ao baseada em roteamento e t´uneis dinˆamicos contra uma solu¸c˜ao clusterizada. Apesar do cluster ser sem d´uvida mais eficiente do ponto de vista da resposta a um incidente ou falha na rede, a necessidade do ponto de vista custo x benef´ıcio al´em das vantagens trazidas por uma solu¸c˜ao padronizada deve ser cuidadosamente analisada.
´
E importante lembrar tamb´em que apesar de estar fora do escopo deste trabalho, um bom desenho das aplica¸c˜oes e servi¸cos que rodar˜ao sobre a WAN, na camada de aplica¸c˜ao descrita no modelo proposto na se¸c˜ao seguinte, prevendo eventuais per´ıodos de falha pode ser uma alternativa para evitar gastos desnecess´arios com tolerˆancia a falhas que exigem um ´otimo n´ıvel de resposta. Um exemplo ´e o faturamento de uma filial poder ser feito mesmo na falta do link com a matriz, deixando informa¸c˜oes gerenciais e atualiza¸c˜oes em lote para serem feitas via WAN. Centralizar tudo na matriz com certeza pesa na infra- estrutura de comunica¸c˜ao, pois no exemplo citado a falta de comunica¸c˜ao com a matriz pode parar o faturamento de uma ou v´arias lojas.
A pergunta passa de “quanto tempo leva para a VPN se recuperar de uma falha” para “quanto tempo posso ficar sem comunica¸c˜ao”, direcionando a empresa para a melhor solu¸c˜ao custo x benef´ıcio.
6.3
Uma proposta de solu¸c˜ao baseada na an´alise de
camadas
Decididos a abordagem a ser utilizada pela VPN juntamente com o protocolo e o backbone escolhidos (IPSec baseada em CPE sobre Internet), a topologia ser´a um t´opico de grande importˆancia na solu¸c˜ao a ser adotada, pois a partir dela ser´a poss´ıvel mostrar as possibilidades e limita¸c˜oes da comunica¸c˜ao corporativa. Antes de se detalhar cada topologia, ´e poss´ıvel analisar a rede da organiza¸c˜ao em v´arias camadas. Estas camadas, que comp˜oem a rede da organiza¸c˜ao e a solu¸c˜ao VPN como um todo, visam prover um n´ıvel de entendimento bem definido do escopo de cada uma, bem como a transparˆencia
6.3. Uma proposta de solu¸c˜ao baseada na an´alise de camadas 75
entre elas. As camadas superiores ir˜ao ditar as necessidades para as camadas inferiores, que devem prover os servi¸cos necess´arios para a abstra¸c˜ao requerida pela camada ime- diatamente superior. Com isso, ao substituir-se uma solu¸c˜ao Frame-Relay por exemplo, ´e poss´ıvel conseguir al´em de uma nova solu¸c˜ao mais segura e mais barata, uma solu¸c˜ao transparente `a rede da organiza¸c˜ao.
Na grande parte da literatura existente, a integra¸c˜ao do IPSec em uma VPN se funde com a rede da organiza¸c˜ao j´a existente, sendo invi´avel esse tipo de abordagem para uma rede maior e mais complexa, conforme ser´a evidenciado no decorrer deste cap´ıtulo.
A rede corporativa foi dividida em 4 camadas2
, conforme listado abaixo:
1. Camada de aplica¸c˜ao (sistemas e recursos de rede), mostrada na Figura 6.1, que indica o fluxo de dados e as necessidades de seguran¸ca e conectividade. Apesar de na grande maioria das vezes uma solu¸c˜ao de comunica¸c˜ao visar a necessidade ditada pelos sistemas e recursos disponibilizados na rede, um bom desenho de sistemas (distribu´ıdos ou centralizados) e disponibiliza¸c˜ao de recursos (servidores de arquivo, correio etc) podem facilitar e muito a solu¸c˜ao de rede adotada. N˜ao adianta prover uma estrutura tipo mesh complexa para uma WAN se todos os sistemas e recursos est˜ao localizados na matriz, tornando a solu¸c˜ao baseada em mesh com custos e esfor¸cos elevados sub-utilizada, resultando na verdade em um simples hub-and-spoke. 2. Camada de rede l´ogica da organiza¸c˜ao, mostrada na Figura 6.2, que indica as sub- redes existentes, dom´ınios de roteamento e zonas protegidas por Firewalls. Pode-se pensar nesta camada como o n´ıvel IP da rede da organiza¸c˜ao, como se os roteadores de borda de cada rede remota estivessem conectados diretamente, abstraindo a WAN e desconsiderando localiza¸c˜ao geogr´afica ou f´ısica das sub-redes e equipamentos. Os gateways VPN seriam aos olhos da rede l´ogica um gateway comum para se atravessar a uma outra rede/sub-rede.
3. Camada VPN, mostrada na Figura 6.3, respons´avel pela cria¸c˜ao da WAN propri- amente dita. Seria como uma “nuvem”, provendo o mesmo n´ıvel de abstra¸c˜ao de uma WAN tradicional. Fazendo uma analogia a Internet, a VPN seria o backbone da rede da corpora¸c˜ao. No caso de existirem dom´ınios de roteamento, onde os gateways VPN divulgam rotas que internamente s˜ao sub-divididas em sub-redes menores, pode-se dizer que os roteadores (gateways) separando essas sub-redes fa- zem parte da VPN, e do ponto de vista dos gateways consistem em uma faixa mais abrangente de endere¸cos formando uma ´unica sub-rede. Como exemplo, um GW
2As camadas propostas aqui s˜ao n´ıveis de abstra¸c˜ao de uma solu¸c˜ao de comunica¸c˜ao completa utili-
6.3. Uma proposta de solu¸c˜ao baseada na an´alise de camadas 76
Usuário Filial SW Client (ERP, Correio, Office, etc)
Servidor do ERP Corporativo Servidor de Correio Filial
Usuário Matriz SW Client (ERP, Correio, Office, etc) Compartilhamento de Arquivos
Servidor de Correio Matriz Servidor Sistemas da Filial
Figura 6.1: Camada 1 - Aplica¸c˜oes e Servi¸cos
Host Filial A Host Filial A Host Filial A Host Filial A Host Filial B Host Filial B Host Filial B Host Filial B
Host Matriz Host Matriz Host Matriz Host Matriz
Proteção (Firewall, IDS, Web Filtering, etc.) Router
Router Router
6.3. Uma proposta de solu¸c˜ao baseada na an´alise de camadas 77 INTERNET Gateway VPN Filial A Router Filial A Gateway VPN Filial B Gateway VPN Matriz Túnel IPSec Router Filial B Router Matriz
Sub Redes Filial B
Sub Redes Matriz Sub Redes Filial A
Túnel IPSec
Figura 6.3: Camada 3 - VPN
pode divulgar que ´e respons´avel pela faixa “10.10.1.0/24”, quando na verdade exis- tem 2 sub-redes “10.10.1.0/25 e 10.10.1.126/25”, pertencentes `a camada de rede l´ogica da organiza¸c˜ao, atr´as dele.
4. Camada de rede f´ısica por baixo da VPN. Nesta ´ultima camada se encontram os roteadores e endere¸camentos da Internet que far˜ao os pacotes chegarem de um ga- teway VPN a outro, incluindo as interfaces f´ısicas externas dos gateways. Apesar de um gateway VPN enxergar outro gateway VPN como o pr´oximo hop, o pacote passar´a por in´umeros roteadores existentes na Internet, atravessando portanto a rede f´ısica.
Com base nesta vis˜ao em camadas proposta aqui, ser˜ao analisados os comportamentos de cada topologia adotada e as decis˜oes tomadas dentro das possibilidades e limita¸c˜oes de cada uma. A camada de aplica¸c˜ao por si s´o n˜ao ´e objeto de estudo deste trabalho, mas a separa¸c˜ao em camadas direciona a solu¸c˜ao para a utiliza¸c˜ao do IPSec provendo links ponto-a-ponto sem utiliza¸c˜ao do controle de acesso (IPSec). A VPN assume o papel de WAN simplesmente deixando fun¸c˜oes de roteamento e filtragem para dispositivos externos ao IPSec, conforme detalhado adiante. ´E f´acil visualizar que ´e poss´ıvel encontrar algoritmos de roteamento rodando em cada camada (com exce¸c˜ao da primeira) de forma independente: um para a rede l´ogica, outro entre os gateways e um outro (ou outros) nos roteadores distribu´ıdos pela Internet.
6.3. Uma proposta de solu¸c˜ao baseada na an´alise de camadas 78
INTERNET - Camada Física
Router Filial B
Router Matriz Router Filial A
VPN Rede Lógica Organização