André Peres¹; Lúcio Gonçalves; Márcio Catafesta.
ULBRA - Universidade Luterana do Brasil Faculdade de Informática
¹professor orientador {peres@ulbra.tche.br}
Resumo:
Este artigo tem como objetivo apresentar os resultados da análise do impacto da utilização de redes virtuais privadas VPN – Virtual Private Network, no que se refere ao desempenho em redes locais sem fio padrão 802.11b. Essas análises foram realizadas como parte da pesquisa em andamento na ULBRA-RS campus Guaíba sobre segurança em redes sem fio.
Palavras-chaves: Desempenho; Redes sem fio; WEP; VPN.
1 Introdução
O crescimento extraordinário ocorrido, nesta década, nas redes sem fio permitirá que informações e recursos possam ser acessados e utilizados em qualquer lugar e momento.
Espera-se que as redes sem fio substituam as redes com fio que temos hoje, devido a sua flexibilidade e retorno de investimento que oferecem, mas o ambiente sem fio não possui muitos recursos a ponto de garantir um serviço seguro, com isso, a preocupação com a segurança torna-se cada vez mais importante.
Uma solução para garantir a segurança na transmissão de informações em ambientes sem
fio é a utilização de VPN – Virtual Private Network, ou Redes Privadas Virtuais. Uma
VPN [VPN03] é uma rede que opera utilizando recursos das redes públicas, cujo acesso é
restrito a pessoas ou grupos credenciados. A idéia é de uma rede privada operando com
recursos de redes públicas podendo ser comparada a um túnel que atravessa a uma rede
pública como a Internet, por exemplo.
A VPN busca garantir a integridade e segurança dos dados, pois ela utiliza uma forte criptografia para garantir o sigilo das informações trafegadas, além de realizar a autenticação dos usuários desta rede privada e executar outras funções inerentes ao seu funcionamento.
A utilização de criptografia, no entanto, acarreta em uma diminuição no desempenho total das redes de computadores e, a utilização da tecnologia de VPN em um ambiente sem fios necessita de uma análise do real impacto causado.
A importância dessa análise é acentuada pelo objetivo inicial das redes sem fio: prover mobilidade. A mobilidade envolve a utilização de equipamentos compactos que geralmente possuem baixo poder de processamento, pouca capacidade de memória e que são alimentados por baterias. Essas características são afetadas diretamente quando da adição de criptografia.
O principal objetivo deste artigo é justamente identificar o impacto no desempenho de uma rede sem fios, utilizando VPN. Para isso, foram realizados experimentos em um ambiente sem fio (uma rede 802.11b) medindo-se as alterações na vazão de dados com a utilização do padrão de criptografia dessas redes (o WEP – Wired Equivalent Privacy) e com a utilização de uma VPN.
A seguir é apresentado o resumo das principais características de funcionamento de redes 802.11, o modo de operação de uma VPN, os experimentos realizados e resultados obtidos.
2 Redes sem fio
As novas tecnologias de redes sem fio trazem consigo um conjunto de funcionalidades capazes de transformar de maneira significativa à troca de informações entre equipamentos computacionais. Esta nova forma de comunicação está sendo adotada por um número cada vez maior de empresas e instituições das mais diversas áreas.
A principal contribuição das redes sem fio na forma de comunicação de dados nas redes de
computadores é, sem dúvida, a possibilidade de mobilidade de dispositivos sem perda de
conexão com a rede ou queda de desempenho (as redes 802.11 possuem a capacidade de
11Mbps, o que as equipara com a grande maioria de redes ethernet hoje em
funcionamento).
A mobilidade permite que um dispositivo sem fio possa locomover-se dentro da área de abrangência da rede, sem desconectar-se dela.
Diferentes padrões e tecnologias de rede sem fio surgiram nos últimos anos para acomodar esta vasta gama de aplicações e coberturas. Foram concebidas das redes celulares de larga cobertura até as redes PANs (Personal Area Networks) usadas na comunicação de equipamentos pessoais, como PDAs (Personal Digital Assistants), câmeras digitais, computadores e celulares.
As Wireless Local Area Networks (WLANs) já são populares nos dias de hoje espera-se que as WLANs substituam as redes com fio, devido a sua flexibilidade e retorno de investimento que oferecem, através da redução de custos de implementação e suporte, além do ganho de produtividade.
A segurança prevista no padrão 802.11 que deveria garantir a compatibilidade entre conexões com e sem fios foi definida através do protocolo WEP (Wired Equivalent Privacy). Este protocolo provou-se ineficiente em uma série de estudos [ARB01, FLU02 e WAL01] e, atualmente, encontra-se em fase de reformulação por um grupo especial da IEEE, o grupo IEEE 802.11i [IEE03].
Uma análise dos possíveis ataques a redes 802.11, assim como possíveis mecanismos capazes de ampliar os aspectos de segurança em redes sem fio (entre eles a utilização de VPN) pode ser obtido em [FLE02, GAS02 e PER03].
3 VPN ( Virtual Private Network)
Com o uso de VPN [VPN03] obtemos um processo de comunicação codificado ou encapsulado que transfere dados de um ponto para outro da rede com segurança.
A segurança está garantida através de uma robusta tecnologia de criptografia dos dados que trafegam através da rede, seja ela pública ou privada, geralmente a Internet.
As VPNs possuem seus próprios protocolos de comunicação que atuam em conjunto com o
TCP/IP, fazendo com que o túnel virtual seja estabelecido e os dados trafeguem
criptografados. Dentre eles [VPN03], podemos destacar o Point-to-Point Tunneling
Protocol (PPTP), o Lawer Two Forwading (L2F), o Layer Two Tunneling Protocol (L2TP) e o IP Security Protocol (IPSec).
Uma VPN consiste basicamente de hardware e software, mas ela também requer um conjunto de componentes básicos. Estes componentes garantem a segurança, disponibilidade e facilidade de manutenção de uma VPN. Os principais componentes extras de uma VPN são:
• Compatibilidade: ao usar a tecnologia de VPN e uma rede pública como meio de transporte a arquitetura do protocolo de rede interna da organização deve ser compatível ao protocolo de rede IP; outras redes que utilizam outros protocolos deverão ter um Gateway para fazer a conversão para o protocolo IP;
• Segurança: a VPN busca garantir integridade e segurança dos dados, pois ela utiliza uma forte criptografia para garantir o sigilo das informações trafegadas.
• Autenticação de dados e usuários: a autenticação de dados reafirma que a mensagem que foi enviada não foi alterada nem em sua totalidade ou em parte dela, a autenticação do usuário é o processo de permitir o acesso à sua rede interna. É importante que em qualquer tecnologia de VPN sejam oferecidos ambos os tipos de autenticação;
• Overhead: Quando um dispositivo VPN codificar todos os pacotes ocorre um aumento do seu tamanho, afetando assim sua utilização na largura de banda da rede;
como forma de minimizar este impacto, em um bom serviço de VPN deve existir a possibilidade de especificar quais tipos de dados serão codificados, quais serão autenticados e quais dados poderão fluir livremente.
4 Ambiente dos Testes
Os testes foram realizados em uma sala de 24 m
2, sem nenhum obstáculo físico entre os
equipamentos utilizados. Todos os testes foram realizados nos dois cenários propostos:
• Cenário 01: A comunicação é feita entre duas estações sem fio. Onde será criado um túnel VPN entre as duas estações, conforme a figura 4.1:
Computador Portáti 802.11 b
11Mb ps Estação sem fio
Ponto de Acesso 802.11b
11Mbps
Figura 4.1 - Cenário 01
• Cenário 02: A comunicação é feita entre uma estação sem fio e uma estação com fio. Segundo a figura 4.2, nesse cenário a estação sem fio comunica-se com a estação com fio, através de um Gateway VPN.
Computador Portátil 802 .11b
11Mbps
Estação de Trabalho
Ponto de Acesso Switch
Ethernet 10/100 Mbps
Ethernet 10/100 Mbps
Figura 4.2 - Cenário 02 4.1 Resultados Obtidos
Os testes descritos foram repetidos inúmeras vezes, como isso se chegou aos seguintes
resultados.
Resultados Cenário 01
Sem Túnel Vtun (cifragem)
Vtun (cif + comp)
Vtun
(compressão) Sem WEP 2,6 Mbps 1,5 Mbps 1,8 Mbps 1,8 Mbps WEP 64 Bits 1,9 Mbps 1,6 Mbps 1,9 Mbps 2,0 Mbps WEP 128 Bits 2,0 Mbps 1,4 Mbps 1,8 Mbps 1,9 Mbps Erro: + 0,3 Mbps
Tabela 4.1 - Resultados dos testes referentes ao cenário 01
Figura 4.3 - Gráfico dos resultado do Cenário 01 Resultados Cenário 02
Sem Túnel Vtun (cifragem)
Vtun (cif + comp)
Vtun
(compressão) Sem WEP 4,7 Mbps 2,8 Mbps 3,4 Mbps 3,5 Mbps WEP 64 Bits 3,4 Mbps 2,9 Mbps 3,6 Mbps 3,7 Mbps WEP 128 Bits 3,5 Mbps 2,8 Mbps 3,5 Mbps 3,6 Mbps Erro: + 0,3 Mbps
Tabela 4.2 - Resultados dos testes referentes ao cenário 02
0 0,5 1 1,5 2 2,5 3
Sem Túnel Vtun (cifragem) Vtun (cif + comp) Vtun (compressão)
Sem WEP WEP 64 Bits WEP 128 Bits
Figura 4.4 - Gráfico dos resultados do Cenário 02 5 Conclusões
Após a realização dos testes, constatou-se que a utilização de VPN introduz um impacto na performance, adicionando uma queda no desempenho de aproximadamente 60%. Porém, o impacto foi reduzido com a utilização do algoritmo de compactação de dados, o LZO, obtendo-se ganhos na performance, com isso, reduzindo o impacto para 30%.
A alta redução do impacto, causada pelo algoritmo de compactação, é verificado devido ao conteúdo dos pacotes gerados pelo IPerf. Conclui-se então que ao utilizar criptografia e compactação de dados simultaneamente em um ambiente de acesso a dados, o impacto causado pela adição de VPN deve permanecer entre 60%, sendo esse o pior caso, onde a compactação não expressa alterações e 30% ao utilizar-se dados lineares com altas taxas de compactação.
Também deve ser considerado que o desempenho depende muito da capacidade dos equipamentos, assim quanto maior o poder de processamento, menor será o impacto, ou seja, com equipamentos de menor capacidade, por exemplo os PDAs, o impacto tende a aumentar.
Um dos principais objetivos da utilização de ambientes sem fio é, com certeza a facilidade de mobilidade proveniente. Os dispositivos que tornam esse tipo de utilização possível
0 0,5 1 1,5 2 2,5 3 3,5 4 4,5 5
Sem Túnel Vtun (cifragem) Vtun (cif + comp) Vtun (compressão)
Sem WEP WEP 64 Bits WEP 128 Bits
