UNIÃO EDUCACIONAL MINAS GERAIS S/C LTDA
FACULDADE DE CIÊNCIAS APLICADAS DE MINAS
CURSO DE SISTEMAS DE INFORMAÇÃO
TRABALHO DE FINAL DE CURSO
ANÁLISE DA QUALIDADE DE SERVIÇO DE VPN - REDES
PRIVADAS VIRTUAIS - UTILIZANDO REDES SEM FIO
ALCENIR BARBOSA SOARES
2004
ii
ALCENIR BARBOSA SOARES
ANÁLISE DA QUALIDADE DE SERVIÇO DE VPN - REDES
PRIVADAS VIRTUAIS - UTILIZANDO REDES SEM FIO
Trabalho de Final de Curso apresentado à
UNIMINAS, como requisito parcial à obtenção
do título de Bacharel em Sistemas de Informação.
Orientador: Prof. Johann Max, Msc.
Uberlândia
2004.
iii
ALCENIR BARBOSA SOARES
ANÁLISE DA QUALIDADE DE SERVIÇO DE VPN – REDES
PRIVADAS VIRTUAIS - UTILIZANDO REDES SEM FIO
Trabalho de Final de Curso apresentado à
UNIMINAS, para obtenção do título de Bacharel
em Sistemas de Informação.
Banca Examinadora:
Uberlândia, 06 Julho de 2004.
___________________________________________________________
Prof. M.Sc. Johann Max H. Magalhães
____________________________________________________________
Prof. Esp. Alexandre Campos
_________________________________________________________________
Prof. Esp. Alexandre Rangel
________________________________________________________
Profa. Dra. Kátia Lopes Silva
iv
Dedico este trabalho a minha esposa Rosa,
minhas filhas Luana Yara e Suélen,
meus pais José Leal e Norozira, e meus
irmãos Alcimar e Adeilson que tanto
incentivaram-me a persistir na luta,
mesmo em momentos tão difíceis.
v
Agradeço a Deus e a todas as pessoas que apoiaram-me
nesta caminhada, em especial ao Prof. Barros, pois,
são com pensamentos e palavras otimistas que um
homem encontra forças para prosseguir.
Obrigado, Prof. Johann Max, pela confiança
e orientação em minha formação acadêmica.
vi
Dificuldades reais podem ser
resolvidas; apenas as imaginárias
são insuperáveis.
Theodore N. Vail.
vii
RESUMO
As tecnologias que integram as redes de computadores, tendo em vista sua
especificidade são de diferentes fornecedores e padrões de mercado. Além disto, em
instituições de grande porte é relativamente comum à coexistência de diferentes
tecnologias de redes (wireless e cabeada).
Para analisar e avaliar os recursos e serviços deste ambiente heterogêneo tornase indispensável conhecer ambas as tecnologias. Em função disto, este trabalho
apresenta um estudo sobre o desempenho de VPN – Virtual Private Network integrada a
redes sem fio, com foco no padrão IEEE 802.11. Inicialmente são apresentados temas
como: histórico e evolução das redes de computadores e das redes de comunicação sem
fio. Em seguida são apresentados os padrões de rede sem fio, descrevendo suas
características de segurança, vulnerabilidades e funcionalidades, seguido de um estudo
das redes privadas virtuais focando: protocolos de comunicação utilizados, qualidade de
serviço, aplicações, as tecnologias que a compõem e os principais aspectos de segurança
envolvidos.
O presente trabalho tem o objetivo de mostrar e analisar, através de um estudo
sobre VPN utilizando wireless, as características desta tecnologia de comunicação,
possibilitando aos leitores se situarem perante a estes padrões de tecnologia de
comunicação em rede.
Palavras chaves: Wireless, VPN, Segurança.
viii
ABSTRACT
the technologies that integrate the computer networks, in view of its peculiarity
are of different suppliers and standards of market. Moreover, in institutions of great
presence it is relatively common to the coexistence of different technologies of network
(wireles and cable).
To analyze and to evaluate the resources and services of this heterogeneous
environment one becomes indispensable to know both the technologies. In function of
this, this work presents a study on the performance of VPN - Virtual Private Network
integrated the networks wireles, with focus in the standard IEEE 802.11. Initially
subjects are presented as: description and evolution of the computer networks and the
networks of communication wireles. After that the standards of network wireles are
presented, describing its characteristics of security, vulnerabilities and functionalities,
followed of a study of the virtual private network focusing:
used protocols of
communication, quality of service, applications, the technologies that compose it and
the main involved aspects of security.
The present work has the objective to show and to analyze, through a study on
VPN using wireless, the characteristics of this technology of communication, making
possible to the readers if to point out before the these standards of technology of
communication in network.
Words keys: Wireless, VPN, Security.
ix
SUMÁRIO
p.
RESUMO.....................................................................................................................VII
ABSTRACT .............................................................................................................. VIII
LISTA DE FIGURAS.................................................................................................. XI
LISTA DE SIGLAS....................................................................................................XII
1. INTRODUÇÃO ........................................................................................................15
1.1 História da comunicação sem fio....................................................................... 15
1.2 História das redes de computadores ................................................................. 16
1.2.1 Evolução das redes de comunicação ......................................................... 20
1.3 Estrutura do trabalho ........................................................................................ 21
2. REDES SEM FIO .....................................................................................................22
2.1 Introdução ........................................................................................................... 22
2.2 Padronização das Redes sem fio........................................................................ 24
2.2.1 O padrão IEEE 802.11 ............................................................................... 24
2.2.2 AMPS/FDMA.............................................................................................. 26
2.2.3 IS-136/DAMPS............................................................................................ 26
2.2.4 IS-95/CDMA ............................................................................................... 27
2.2.5 GSM ............................................................................................................. 28
2.2.6 EDGE........................................................................................................... 28
2.2.7 CDMA 2000................................................................................................. 28
2.2.8 WCDMA...................................................................................................... 29
2.2.9 WAP............................................................................................................. 30
2.2.10 Bluetooth ................................................................................................... 30
2.3 EM / MS (Estação Móvel / Mobile Station)...................................................... 31
3. REDE PRIVADA PRIVADA – VPN - VIRTUAL PRIVATE NETWORK.......32
3.1 Fundamentos da VPN ........................................................................................ 32
3.2 Tipos de configuração da VPN .......................................................................... 32
x
3.2.1 Intranet VPN............................................................................................... 33
3.2.2 Extranet VPN.............................................................................................. 33
3.2.3 Acesso remoto VPN .................................................................................... 34
3.3 Metodologia básica da VPN............................................................................... 35
3.4 Tunelamento (Tunneling) .................................................................................. 36
3.5 Protocolos de VPN .............................................................................................. 38
3.5.1 IPSec Protocol Suite (Internet Protocol Security) ................................... 38
3.5.2 PPTP (Point-to-Point Tunneling Protocol) .............................................. 44
3.5.3 L2TP (Layer 2 Tunneling Protocol) ......................................................... 45
3.6 Vantagens das VPNs........................................................................................... 46
3.6.1 Segurança .................................................................................................... 47
3.6.2 Economia ..................................................................................................... 48
3.6.3 Conectividade.............................................................................................. 49
3.7 Desvantagens das VPNs ..................................................................................... 49
3.7.1 Overhead do processamento...................................................................... 49
3.7.2 Overhead de pacote .................................................................................... 50
3.7.3 Controle de acesso remoto ......................................................................... 50
3.7.4 Problemas de disponibilidade da Internet ............................................... 51
4. ESTUDO SOBRE QUALIDADE DE SERVIÇO ..................................................52
4.1 Qualidade de serviço em redes de computadores ............................................ 52
4.1.1 Serviços Integrados (IntServ – Integrated Service)................................. 53
4.1.2 Protocolo de Reserva de Recursos (RSVP – Resource Reservation
Protocol) ............................................................................................................... 53
4.1.3 Serviços Diferenciados (DiffServ – Differential Services) ...................... 54
4.2 Qualidade de serviço em redes sem fio ............................................................. 55
5. ESTUDO SOBRE VPN UTILIZANDO WIRELESS – REDES SEM FIO. .......59
5.1 Segurança em redes sem fio.......................................................................... 60
5.2 Análise da qualidades de serviço de VPNs integradas a Redes Wireless . 62
6. CONCLUSÃO...........................................................................................................65
REFERÊNCIAS BIBLIOGRÁFICAS .......................................................................67
xi
LISTA DE FIGURAS
p.
FIGURA 1 - Representação simplificada de uma rede de computadores............... 19
FIGURA 2 – Tecnologias Spread Spectrum................................................................ 25
FIGURA 3 - Tipos de redes formadas entre dispositivos Bluetooth........................ 31
FIGURA 4 – Intranet VPN. ......................................................................................... 33
FIGURA 5 – Extranet VPN ......................................................................................... 33
FIGURA 6 – VPN de acesso remoto. .......................................................................... 34
FIGURA 7 – Diagrama representativo de protocolos e programas por camadas. 35
FIGURA 8 – Tunelamento........................................................................................... 37
FIGURA 9 – Relação da arquitetura TCP/IP com o modelo de referência OSI. ... 38
FIGURA 10 – Estrutura do pacote IPSec. ................................................................. 39
FIGURA 11 – Estrutura de conexão IPSec Modo de Transporte............................ 40
FIGURA 12 - Estrutura do pacote IPSec – Modo Transporte................................. 40
FIGURA 13 – Estrutura de conexão IPSec – Modo Túnel....................................... 41
FIGURA 14 - Estrutura do Pacote IPSec – Modo Túnel.......................................... 42
FIGURA 15 – Rede de computadores mista .............................................................. 56
FIGURA 16 – Implementação de VPN integrada a WLAN..................................... 61
xii
LISTA DE SIGLAS
1XVE-DO
1 X 1,25MHZ (Data Only)
1XVE-DV
1 X 1,25MHZ (Data and Voice)
3G
Sistemas de Comunicações de Terceira Geração
AH
Authentication Header
AM
Amplitude Modulation
AMPS
Advanced Mobile Phone Service
ANSI-IS41
American National Standart Institute – International Standart 41
AP
Access Point
APC
American Personal Communications
ATM
Asynchronous Transfer Mode
ARPA
Advanced Research Project Agency
BER
Bit Error Rate
CCA
Clear Channel Assessment signal
C/I
Canal/Interferência
CDMA
Code Division Multiple Access
CEPT
Conference of European Posts and Telegraphs
CSMA/CA
Carrier Sense Multiple Access/Collision Avoidance
CSMA/CD
Carrier Sense Multiple Access/Collision Detection
DAMPS
Division Advanced Mobile Phone Service
DBI
Decibel Relative an Isotropic Antenna
DoD
Department of Defense of United States
DoS
Deny of Service
DiffServ
Differential Services
DSSS
Direct Sequence Spread Spectrum
EDGE
Enhanced Data Rates for Global Evolution
EIA
Eletronic Industry Association
ETSI
European Telecommunication Standards Institute
ESP
Encapsulating Security Payload
FCC
Federal Communication Commission
FDMA
Frequency Division Multiple Access
xiii
FM
Frequency Modulation
FHSS
Frequency Hopping Spread Spectrum
FH-CDMA
Frequency Hopping - Code-Division Multiple Access
FS
Full-rate Speech Channel
GPRS
General Packet Radio Service
GRE
Generic Routing Encapsulation
HC
Hybrid Coordinator
HCF
Hybrid Coordination Function
ICV
Integrity Check Value
IETF
Internet Engineering task force
IN
Internet Network
IntServ
Integrated Services
IP
Internet Protocol
IPSec
Internet Protocol Security
ISA
Internet Security Association
ISAKMP
Internet Security Association and Key Management Protocol
ISDN
Integrated Services Digital Network
ISO
International Organization for Standardization
ISP
Internet Service Provider
ITU
International Telecommunication Union
IKE
Internet Key Exchange
KMP
Key Management Protocol
LAN
Local Area Network
L2F
Layer 2 Forwarding
L2TP
Layer 2 Tunneling Protocol
MAC
Medium Access Control
NAT
Network Address Translation
O&M
Operação & Manutenção
OSI
Open System Interconnection
PAN
Personal Area Network
PARC
Palo Alto Research Center
PCU
Packet Control Unit ou Unidade de Controle de Pacote
xiv
PCS
Personal Communication Services
PGP
Pretty Good Privacy
PPTP
Point-to-Point Tunneling Protocol
QoS
Quality of Service
RDSI
Rede Digital de Serviços Integrados
RF
Radio Frequency
RSVP
Resource Reservation Protocol
SA
Security Association
SAGE
Semi-Automatic Ground Enviroment
SLA
Service Level Agreement
SMP
Serviço Móvel Pessoal
SMS
Short Message Service
SNA
Systems Network Architecture
SSH
Secure Shell
SSL
Secure Sockets Layer
TCP/IP
Transmission Control Protocol / Internet Protocol
TDMA
Time Division Multiple Access
TIA
Telecom Industry Association
U-NII
Unlicensed National Information Infrastructure
UMTS
Universal Mobile Telecommunication System
UTRA
Universal Terrestrial Radio Access
UHF
Ultra High Frequency
VHF
Very High Frequency
VPN
Virtual Private Network
WAN
Wide Area Network
WAP
Wireless Application Protocol
WEP
Wired Equivalent Privacy.
WCDMA
Wideband Code Division Multiple Access
WLAN
Wireless Local Area Network
WML
Wireless Markup Language
WPAN
Wireless Personal Area Network
WWAN
Wireless Wide Area Network
15
1. INTRODUÇÃO
Este trabalho faz um estudo sobre o desempenho de VPN – Virtual Private
Network utilizando redes Wireless - Redes sem fio, com foco no padrão IEEE 802.11.
Primeiramente, é apresentado um breve histórico da comunicação sem fio. Em seguida,
será apresentado um histórico das redes de computadores. Depois, será apresentado o
padrão de rede sem fio IEEE 802.11, descrevendo suas características de segurança e
identificando suas vulnerabilidades e funcionalidades. Em seguida, são expostos os
principais conceitos dos padrões de comunicação móvel mais difundidos, suas
características e especificações, bem como nomenclaturas e simbologias, seguido de um
estudo da tecnologia de VPN – Virtual Private Network e seus respectivos conceitos.
Logo após, é realizado estudo da qualidade de serviço de redes de computadores e redes
sem fio, com objetivo de subsidiar a análise da qualidade de desempenho de VPN
utilizando redes sem fio, visando fornecer aos prováveis usuários desta tecnologia um
caminho para tomada de decisão pelo uso ou não da mesma. Finalmente, o estudo
permitirá a visualização das características das redes VPN utilizando redes sem fio
IEEE 802.11, possibilitando aos leitores se situarem perante a esta tecnologia de
comunicação em rede.
1.1 História da comunicação sem fio
A comunicação é uma das maiores necessidades da sociedade humana desde os
primórdios de sua existência. Conforme as civilizações se espalhavam, ocupando áreas
cada vez mais dispersas geograficamente, a comunicação à longa distância se tornava
cada vez mais uma necessidade e um desafio.
Ao inventar o telégrafo em 1838, Samuel Morse instituiu um marco para os
sistemas de comunicação que evoluíram para as redes de telefonia, de rádio, de
televisão e de computadores [Tanembaum, 1996].
Na história evolutiva dos sistemas de comunicação no mundo destacam-se
alguns acontecimentos:
1880 - Hertz faz suas demonstrações eletromagnéticas;
1887 - Marconi percebe o alcance da descoberta de Hertz e realiza transmissões
de seu barco para a sua ilha a 18 milhas da costa;
16
1921 - Viaturas da polícia civil de Detroit utilizam o rádio para comunicar-se
com o quartel central (sistema de rádio broadcasting). O sistema operava a uma
freqüência próxima de 2 MHz;
1940 - Novas freqüências entre 30 e 40 MHz foram disponibilizadas. O aumento
da disponibilidade de canais encorajou um substancial crescimento dos sistemas usados
pela polícia. Pouco depois, outros usuários descobriram a necessidade desta forma de
comunicação;
1945 - Os laboratórios Bell iniciam um programa experimental orientado para
telefonia móvel na faixa de 150 MHz;
1949 - Com o surgimento da televisão, o FCC (Federal Communication
Commission), resolve utilizar a faixa de 470-890 MHz e criar 70 novos canais de 6
MHz cada para as emissoras de TV;
1955/1956 - A evolução tecnológica permite a ampliação dos serviços;
1960 - Melhoria dos receptores FM, o FCC reduz a largura de canais: FM para
30 KHz e UHF (Ultra High Frequency) para 25 KHz;
1967 - A introdução do sistema experimental o IMTS (Improved Mobile
Telephone Service) que foi uma experiência bem sucedida implementada em diversos
centros metropolitanos. As principais características eram: transmissor de alta potência,
operação Full-Duplex, comutação automática, operação entre 150 - 450 MHz com
canais de 30 KHz;
Desde então, o sistema de comunicação passou por uma grande evolução, dando
origem aos grandes sistemas que temos hoje e que utilizam satélites, fibra ótica,
radiofreqüência, redes de cabos metálicos e diversos dispositivos capazes de suprir
meios de comunicação para todo o planeta.
1.2 História das redes de computadores
As redes de computadores surgiram numa época [Martins, 2000] em que a
relação entre o usuário e o computador não trazia qualquer atrativo para se estabelecer
processos de ensino-aprendizagem por meio de suas interfaces, que eram cartões
perfurados com códigos binários, encarregados de estabelecer o diálogo entre o homem
e a máquina. As redes de computadores propõem o compartilhamento de recursos
físicos e lógicos, com a vantagem de se ter um sistema descentralizado. De maneira
17
geral, o objetivo de uma rede é tornar disponível a qualquer usuário todos os programas,
dados e outros recursos, independente de sua localização física. Além disso, a rede deve
proporcionar maior disponibilidade e confiabilidade, dada a possibilidade de migração
para outro equipamento quando a máquina sofre alguma falha. O uso de uma rede de
computadores proporciona um meio de comunicação poderoso por sua velocidade e
confiabilidade.
Em meados da década de 60, o governo dos Estados Unidos da América, por
intermédio do Departamento de Defesa, iniciou estudos relacionados à viabilidade do
desenvolvimento de redes de computadores. Em 1968 tiveram início as atividades do
Projeto ARPA (Advanced Research Project Agency), tendo por base o conhecimento e o
potencial de pesquisa das universidades e dos centros de pesquisa norte-americanos.
Em 1972 entrou em funcionamento o projeto piloto da rede ARPA. Começava ai
a era da tecnologia de redes de computadores, caracterizada pela distribuição das
aplicações entre vários comutadores interligados de acordo com uma topologia
determinada. Na rede ARPA foi, pela primeira vez, implementada a tecnologia de
comutação de pacotes, assim como o método de divisão em várias camadas funcionais
das tarefas de comunicação entre aplicações residentes em computadores distintos,
conectados por meio da rede, criando-se o conceito de Arquitetura de Rede de
Computadores. Também na década de 70, o crescimento da ARPA permitiu a
interligação de computadores de universidades americanas e de alguns computadores
situados em outros países.
Na mesma época, os grandes fabricantes de equipamentos de processamento de
dados criaram seus próprios métodos para interligar em rede seus respectivos produtos.
Surgiram, assim, as Arquiteturas Proprietárias: primeiro com a IBM, que lançou a
arquitetura SNA (Systems Network Architecture), depois com a Digital e a sua
arquitetura Decnet, além de várias outras. Também nos anos 70, a IBM e a Digital
Equipment Corporation desenvolveram formas de grandes computadores interagirem
sobre redes locais, mas o mais importante trabalho em redes locais para um grande
número de computadores foi feito pelo Palo Alto Research Center (PARC), do Xerox
Corporation, no final da década de 1970 e começo de 1980. No PARC, um importante
conjunto de padrões e protocolos, chamado Ethernet, foi concebido e desenvolvido até o
18
ponto de se tornar um produto comercial. Nesta mesma época, profissionais trabalhando
na Datapoint Corporation, desenvolveram um padrão chamado ARCnet, mas a
Datapoint manteve o ARCnet como um conjunto de especificações proprietário e,
assim, não alcançou o sucesso comercial do Ethernet. Posteriormente, a IBM
desenvolveu a tecnologia Token-Ring.
As primeiras arquiteturas de redes locais, como a Ethernet e ARCnet,
combinavam especificações inflexíveis de hardware com estritas descrições de
protocolos. Tipos específicos de fios de cobre, conectores especiais para cabos, uma
única configuração física e algumas funções em software eram concentradas na
definição de cada LAN. Entretanto, governos e indústrias forçaram a flexibilidade,
aquele conjunto simples de especificações para cada tipo de rede expandiu-se de forma
a incluir diferentes tipos de fios, configurações e protocolos. Hoje, pode-se misturar e
combinar hardware e software para criar uma rede padronizada e continuar dentro das
especificações de muitos sistemas de redes suportados por produtos de diversas
empresas.
Durante a metade da década de 1980, um grupo de fabricantes deu início a um
movimento em direção ao que veio a ser denominado protocolos abertos ou protocolos
que não favorecem um único fabricante. Muitos fabricantes trabalharam no
desenvolvimento de programas escritos para os padrões de protocolos abertos, mas, no
início dos anos 90, o movimento perdeu o ímpeto. A ênfase passou do desenvolvimento
de um único conjunto de novos protocolos abertos, para o uso prático dos protocolos já
experimentados e em funcionamento, de fabricantes diferentes. À medida que os
programadores e desenvolvedores aprendiam mais sobre protocolos e desenvolviam
mais programas e ferramentas, eles encontraram formas de fazer com que computadores
e redes diferentes interagissem sem o uso de um padrão único, porém aberto. Hoje, é
fácil combinar computadores pessoais Macintosh e IBM na mesma rede e operar
computadores conectados a diferentes tipos de redes.
Para as entidades especializadas em venda de serviços de telecomunicações
abriu-se um novo mercado: a oferta de serviços de comunicação de dados por meio do
fornecimento de uma estrutura de comunicação, a sub-rede, baseada funcionalmente no
princípio de comutação de pacotes. O CCITT (atual ITU-T) elaborou documentos que
19
permitiram que estes serviços fossem padronizados, a partir dos quais publicou, em
1976, a primeira versão da Recomendação X.25, propondo a padronização de redes
públicas de comutação de pacotes.
Ao mesmo tempo, novas famílias de programas tornaram mais fácil compartilhar
arquivos e recursos, como impressoras e modems. Nos anos 80, programadores criaram
os processadores de textos, planilhas eletrônicas e bancos de dados que as pessoas usam
para criar arquivos de dados. Nos anos 90, os desenvolvedores introduziram novas
categorias de programas, conhecidos como programas para produtividade em grupos de
trabalho e programas de controle de fluxo de trabalho, que tornam fácil pesquisar,
organizar e ligar dados de documentos, planilhas e bancos de dados para que possam ser
compartilhados. Compartilhar agora significava mais do que esperar em uma fila para
utilizar um arquivo ou uma impressora, significa trabalhar em conjunto e de forma
integrada.
Uma rede de computadores, conforme ilustrado na FIGURA 1,
pode ser
simplificadamente definida como a interligação física e lógica de módulos
processadores capazes de trocar informações e compartilhar recursos, interligados por
um sistema de comunicação.
Rede de Comunicação
FIGURA 1 - Representação simplificada de uma rede de computadores.
A interligação física se estabelece entre interfaces de comunicação, conhecidas
como placas de rede ou placas de modulação-demodulação, também chamados de
modems. As placas de rede são ligadas através de cabos ou sistemas sem fio (o qual será
detalhado posteriormente), que são os meios físicos encarregados de transmitir os
impulsos analógicos ou digitais entre os computadores. Esta parte é normalmente
20
referida como hardware de comunicação. A parte lógica da interligação é feita pelos
softwares de comunicação e envolve um conjunto de protocolos, especialmente
desenvolvidos para este fim.
1.2.1 Evolução das redes de comunicação
Os padrões e protocolos para comunicações entre computadores surgiram no
início da década de 1980 [Martins, 2000]. Três correntes distintas alimentaram o fluxo
das redes de computadores: a IBM, Department of Defense Unites States (DoD) e o
Palo Alto Research Center da Xerox Corporation. Posteriormente, outras indústrias e
organizações de profissionais, em particular o IEEE (Institute of Electrical and
Electronic Engineers) teve uma importante participação no desenvolvimento de
padrões, mas a história começa com um sistema de computadores chamado SAGE
(Semi-Automatic Ground Enviroment), o SAGE, foi desenvolvido pela IBM para o DoD
no fim da década de 1960. O SAGE, um sistema de defesa aérea que operou até a
metade dos anos 80, utilizava computadores a válvulas com bancos de memórias tão
grandes que duas pessoas poderiam ficar de pé dentro deles. Nos anos 70, o DoD diante de um inventário de diferentes computadores que não podiam interagir - foi o
pioneiro no desenvolvimento de protocolos de software para redes, que poderiam
funcionar em mais de uma marca e modelo de computador. O principal conjunto
estabelecido pelo DoD é o Transmission Control Protocol / Internet Protocol (TCP/IP).
Na década de 1970, a IBM começou a tornar públicos os padrões e protocolos
que utilizava em seus sistemas de computadores proprietários. Os padrões incluíam
especificações detalhadas do cabeamento e os protocolos eram desenvolvidos para
assegurar comunicações precisas sob alta demanda. Isto levou outros fabricantes a
emularem as técnicas da IBM e elevou a qualidade do desenvolvimento para redes em
toda a indústria. Culminou também em uma revolta por parte das outras companhias
fabricantes de computadores, que questionavam o controle total dos padrões e
protocolos mais utilizados feito pela IBM. Esta revolta levou à flexibilidade e
interoperabilidade que temos hoje [Martins, 2000].
Hoje, computadores e edificações já incorporam os componentes de redes em
seus projetos. As redes modernas integram palavras manuscritas e digitadas, vozes e
sons, gráficos e conferências de vídeo no mesmo meio de comunicação. As redes
21
tornam possível às organizações o abandono da estrutura de gerenciamento top-down,
na qual muitas informações ficavam retidas no topo e a mudança para uma estrutura
mais ágil e horizontal, onde as informações estão compartilhadas e publicamente
disponíveis.
1.3 Estrutura do trabalho
Este trabalho está organizado em 6 (seis) capítulos.
O primeiro capítulo descreve o objetivo do trabalho e apresenta breve histórico
da comunicação sem fio e das redes de computadores.
No segundo capítulo, conceituam-se as redes sem fio existentes bem como
alguns termos importantes usados na comunicação wireless.
No terceiro capítulo mostra-se a estrutura da rede VPN e os serviços
disponibilizados.
No quarto capítulo é apresentado um estudo da qualidade de serviço em redes de
computadores e redes sem fio.
O quinto capítulo aborda um estudo sobre redes VPN utilizando wireless,
apresentando uma análise da qualidade serviço desta aplicação, através da abordagem
dos aspectos de segurança e desempenho nas redes sem fio.
No sexto capítulo é apresentada a conclusão final do trabalho.
22
2. REDES SEM FIO
2.1 Introdução
Atualmente, um crescente número de pessoas acha que a utilização de cabos
para interligação de redes restringe muito seu trabalho. Neste sistema estático o
acréscimo de novos usuários ou equipamentos requer a instalação de nova estrutura de
cabeamento. Ir de uma localidade para outra exige desconectar-se de uma rede e
reconectar-se em outra. Para esse pessoal, os cabos são um empecilho. Mas, graças aos
contínuos avanços na tecnologia de redes sem fio, pode-se ter a liberdade de utilizar
computadores e enviar dados onde quer que se necessite de uma conexão. O que se
vislumbra em redes sem fio é que, com os serviços de comunicação de voz e dados
conhecidos hoje, empregando técnicas de transmissão digitais e comutadas por pacotes,
o ideal do acesso a qualquer hora e em qualquer lugar, conhecido como acesso ubíquo
(que está ao mesmo tempo em toda parte) seja possível [Blackbox, 2003].
Nas redes sem fio, as informações são transmitidas através do ar, em canais de
freqüência de rádio (na faixa de KHz até GHz) ou infravermelho (freqüências da ordem
de THz). Por sua natureza, a radiodifusão é adequada tanto para ligações ponto-a-ponto
quanto para ligações multiponto. Como várias estações compartilham o mesmo meio de
transmissão, é necessário utilizar um método para disciplinar este compartilhamento.
Alguns métodos usados são: FDM (Frequency Division Multiplex), TDM (Time
Division Multiplex) e SDM (Space Division Multiplex).
As redes sem fio normalmente utilizam freqüências altas em suas transmissões:
915 MHz, 2.4 GHz, 5.8 GHz, etc. Parte das ondas de rádio, nessas freqüências , são
refletidas quando entram em contato com objetos sólidos, o que implica na formação de
diferentes caminhos entre transmissor e receptor, principalmente em um ambiente
fechado. Como conseqüência acontece um espalhamento de tempo do sinal que chega
ao receptor, isto é, várias cópias do sinal chegam ao receptor deslocadas no tempo, pois
elas percorrem distâncias diferentes. O resultado disso é que, no mesmo ambiente, em
alguns locais o sinal pode ser muito fraco e em outros, a poucos metros de distância,
pode ser perfeitamente nítido.
Outras considerações importantes dizem respeito à segurança quando este
sistema é utilizado. Teoricamente não existem fronteiras para um sinal de rádio, logo, é
23
possível que ele seja captado por receptores não autorizados. Ao se utilizar radiodifusão
como meio de transmissão é possível que surja alguma interferência provocada por
fontes que geram sinais na mesma banda de freqüência da rede. Alguns outros
problemas estão relacionados às interferências por razões meteorológicas, por exemplo,
quando da utilização de infravermelho.[Martins, 2000]
As tecnologias sem-fio podem ser diferenciadas por diversas características, tais
como aplicação e consumo. No caso específico desta comparação, o fator mais
importante é a do alcance. As redes são classificadas como WAN (Wide Area Network),
LAN (Local Area Network) e PAN (Personal Area Network), e para as redes sem fio,
aplicam-se o prefixo W: WWAN, WLAN e WPAN. As distâncias associadas
atualmente são da ordem de centenas de metros para WLAN, incluindo o protocolo
802.11. Já a WPAN tem alcance muito restrito, na ordem de metros, categoria em que o
Blueetooth se encontra. A WWAN tem alcance de vários quilômetros e os exemplos
nesta área são o CDMA muito presente no Brasil e nos Estados Unidos, GPRS e GSM
mais presente na Europa, Ásia e em fase de implantação no Brasil por operadoras de
telefonia móvel celular.
Algumas vantagens proporcionadas pelas redes sem fio são: rapidez de
instalação; flexibilidade para absorver futuras demandas de tráfego; facilidade de
operação e manutenção a um custo efetivamente mais baixo que no sistema cabeado;
proporcionar investimento ajustado ao aumento da demanda. Entretanto, elas também
proporcionam algumas desvantagens como: necessidade de uma antena local
(dependendo do tipo de equipamento); necessidade de maior conhecimento técnico para
instalação de um ponto; necessidade de alimentação elétrica para o funcionamento do
equipamento; sujeito a avaliação de área de cobertura, devido às áreas de sombra1.
Independente da tecnologia, seja rede fixa ou sem fio, a mesma deverá ser
analisada buscando direcionar sua implementação para às aplicações onde podem
apresentar maiores vantagens.
1
Área de sombra é a região onde a intensidade do sinal recebido é significantemente reduzida, podendo
degradar ou impedir a comunicação.
24
2.2 Padronização das Redes sem fio
2.2.1 O padrão IEEE 802.11
O padrão do 802.11 foi criado pelo IEEE (Institute of Electrical and Electronics
Engineers) para as redes locais sem fio (Wireless Local Area Networks - WLANs). Os
padrões da família 802 envolvem as camadas física e de enlace do Modelo OSI (Open
Systems Interconnection Basic Reference Model) criado pela ISO (International
Organization for Standardization) [José, 2003].
As redes locais sem fio, foram desenvolvidas para oferecer aos usuários móveis
uma experiência de uso similar às das redes locais cabeadas. O padrão IEEE 802.11 só
usa faixas de freqüência não-licenciadas. A especificação original fornece taxas de
transmissão de dados de 1 ou 2 Mbps. A extensão 802.11b suporta taxas adicionais de
5,5 e 11 Mbps na faixa situada em torno de 2,4 GHz, chamada de "banda ISM"
(Industrial, Scientific and Medical). A extensão 802.11a oferece taxas que variam de 6 a
54 Mbps na faixa situada em torno de 5 GHz, conhecida como "banda U-NII"
(Unlicensed National Information Infrastructure). A extensão 802.11g suporta taxas
adicionais de até 54 Mbps na faixa situada em torno de 2,4 GHz.
O padrão IEEE 802.11 destaca-se das demais opções de acesso móvel por sua
elevada popularidade, pelas altas taxas de transmissão de dados que oferece e pelo custo
relativamente baixo. O padrão permite o estabelecimento tanto de redes sem infraestrutura, que utilizam apenas estações sem fio e são denominadas redes Ad Hoc (Como
redes Ad Hoc entende-se: sistemas sem fio cujos Nós se organizam segundo topologia
arbitrárias e temporárias), quanto de redes infra-estruturadas, nas quais um Nó especial,
chamado ponto de acesso, fornece às estações sem fio o acesso à rede fixa.
As redes IEEE 802.11 utilizam o método de acesso CSMA/CA (Carrier Sense
Multiple Access/Collision Avoidance), uma variante do método CSMA/CD (Carrier
Sense Multiple Access/Collision Detection), empregado nos conhecidos sistemas
Ethernet. O 802.11 define três tipos de camada física [José, 2003], espalhamento de
espectro por salto em freqüências (Frequency Hopping Spread Spectrum - FHSS),
espalhamento de espectro por seqüência direta (Direct Sequence Spread Spectrum DSSS) e infravermelho. Todas as camadas físicas do 802.11 incluem a provisão de um
sinal de avaliação de canal livre (Clear Channel Assessment Signal - CCA) que indica o
25
estado atual do uso do meio sem fio. Esse sinal é utilizado pelo MAC para verificar se o
meio está livre. O produto de consumo mais conhecido do mundo e que utiliza a
tecnologia Spread-Spectrum é o telefone celular. Outro produto bastante conhecido e
que também utiliza a tecnologia Spread-Spectrum é o GPS (Sistema de Posicionamento
Global), que obtêm coordenadas de posicionamento utilizando sinais transmitidos por 3
ou 4 satélites estacionários. Esses sinais recebidos pelo GPS utilizam o SpreadSpectrum para obter as informações de latitude e longitude necessárias para determinar
a localização exata do usuário que opera o GPS.
O FHSS como pode ser observado na FIGURA 2, é uma técnica de espalhamento
de espectro na qual a largura de banda total disponível é dividida em vários canais de
freqüência; o transmissor e o receptor transmitem utilizando um desses canais por um
certo tempo e depois saltam para outro canal, seguindo padrões pseudo-aleatórios de
uso dos canais chamados de seqüências de saltos. Esse espalhamento proporciona maior
segurança e menor susceptibilidade à interferência eletromagnética.
FIGURA 2 – Tecnologias Spread Spectrum.
O DSSS com pode ser observado na FIGURA 2, é um outro método de
espalhamento de espectro, no qual diferentes transmissões simultâneas são separadas
por códigos e não por freqüência como no FHSS. Nesse método, a duração de um
símbolo de dados é subdividida em intervalos menores chamados chips.
A especificação de infravermelho utiliza comprimentos de onda de 850 a 950
nm (nanometro). O infravermelho foi projetado para ser usado em áreas fechadas. Opera
com transmissões não direcionadas com alcance máximo de aproximadamente 10
26
metros, ou 20 metros caso sejam utilizados receptores mais sensíveis. A transmissão é
sujeita à interferência causada por fontes de calor ou pela luz do Sol.
2.2.2 AMPS/FDMA
AMPS (Advanced Mobile Phone System) é um padrão de acesso onde a
multiplexação é feita em freqüência FDMA (Frequency Division Multiple Access).
Nesse tipo de acesso, o espectro de freqüência disponível é dividido em canais de 30
KHz de largura. A FCC (Federal Communications Commission) reservou 50 MHz na
banda de 800 MHz, com separação de canais de transmissão e recepção de 45 MHz
(distância duplex) para a telefonia celular, dividindo em duas bandas, 'A' e 'B'. Um
destes canais é alocado a um usuário no momento do estabelecimento de uma conexão
[Sérvolo, 2002].
O sistema AMPS permite acomodar tecnologia digital, TDMA e CDMA,
modificações para aplicação residenciais e no interior de edificações. A faixa de
operação estende-se de 824 MHz a 894 MHz, e a mais recente, estende-se de 1800 MHz
a 2000 MHz
O sistema AMPS, inicialmente concebido apenas como mais um padrão de
telefonia celular analógica, tornou-se o sistema mais disseminado no mundo em
relativamente pouco tempo, devido principalmente a fatores como, alta capacidade de
tráfego devido ao conceito celular e baixa potência de transmissão, possibilitando
unidades portáteis.
2.2.3 IS-136/DAMPS
DAMPS (Digital Advanced Mobile Phone System) é um padrão de acesso digital
[Sérvolo, 2002] que utiliza multiplexação temporal, onde mais de uma estação móvel
pode utilizar o mesmo canal simultaneamente, que nada mais é que, a evolução digital
sobre o sistema AMPS. IS-136 é nome do padrão definido pela TIA/EIA
(Telecommunications Industry Association/Eletronic Industry Association), mas,
conhecido comercialmente por DAMPS. A modulação neste sistema é feita por acesso
múltiplo por divisão de tempo (TDMA - Time Division Multiple Access) sobre a
estrutura já apresentada do padrão AMPS, onde cada usuário dispõe de toda a faixa de
27
freqüência durante um determinado período de tempo denominado slot (janela). Este
tipo de acesso segue o mesmo princípio do sistema PCM, onde um sinal limitado em
faixa pode ser definido por um conjunto de amostras tomadas a intervalos de tempo.
Amostras de outros sinais podem ser intercaladas na transmissão e recuperadas na
recepção através de um detector síncrono adequado.
2.2.4 IS-95/CDMA
CDMA (Code Division Multiple Access) é um padrão de acesso digital em que
todos os usuários utilizam a mesma faixa de freqüência para as suas comunicações,
definido como pela TIA/EIA como IS-95. Dessa forma, não é possível determinar um
usuário pelo domínio da freqüência (como no FDMA) ou no domínio do tempo (como
no TDMA).
A diferenciação é provida por um código particular e esta característica que
determina o nome da técnica de modulação CDMA. A separação entre usuários é feita
através de um código (seqüência pseudo-aleatória) associado a cada um deles.
A taxa padrão do CDMA é 9600 bps, o que requer a digitalização do sinal de voz e
de controle. Este sinal é posteriormente espalhado por um código específico cuja taxa é
de cerca de 1,23 Mbps. O espalhamento significa que códigos digitais são aplicados aos
bits de dados, associados aos usuários de uma determinada célula. Quando o sinal é
recebido, o código é removido do sinal e restabelece-se a taxa de inicial 9600 bps.
Devido à natureza de faixa larga e baixa potência, tais sinais são difíceis de serem
detectados, localizados e interferidos por pessoas não autorizadas, quando comparados
com os sistemas convencionais de faixa estreita, ou mesmo faixa larga FM (Freqüência
Modulada). A privacidade do usuário é uma das características inerentes ao CDMA, já
que receptores convencionais não são capazes de detectarem o sinal ou ouvir a
conversação, o que acontece com o sistema AMPS analógico. Um dos pontos críticos
no sistema CDMA é a imperiosa necessidade do sincronismo entre as estações base e as
estações móveis [Nec, 2004].
28
2.2.5 GSM
GSM (Global System for Mobile) é um sistema móvel de caráter pan-europeu
que emprega tecnologia digital [Celular, 2004]. A especificação básica deste padrão
digital, ou padrão GSM como ficou conhecido, é muito parecido do ponto de vista
tecnológico com o padrão TDMA, no GSM oito canais compartilham uma portadora de
largura de banda de 200KHz. O sistema GSM também permite a utilização de SMS
(Short Message Service) e WAP (Wireless Application Protocol).
Atualmente, este padrão é adotado pela Europa, Austrália, por diversos países
asiáticos, América e inclusive pelo Brasil com a entrada em operação do serviço SMP
(Serviço Móvel Pessoal) / PCS (Personal Communication Service) das bandas D e E.
2.2.6 EDGE
EDGE (Enhanced Data Rates for Global Evolution), trata-se de uma tecnologia
que permite às redes GSM suportar e oferecer serviços de terceira geração de telefonia
móvel e foi desenvolvida para capacitar a transmissão de uma grande quantidade de
dados a altas taxas de velocidade (384 Kbps). Utiliza a mesma técnica de acesso
TDMA, mas com largura de banda de 200 KHz [EDGE, 2004].
Esta tecnologia permite a evolução das redes atuais aos 3G2 e oferece serviços
de Internet móvel adequando sua infra-estrutura celular existente, sendo mais um
caminho para conseguir alta velocidade na transmissão de dados, seja em uma rede
independente ou em combinação com WCDMA (Wideband Code Division Multiple
Access).
2.2.7 CDMA 2000
CDMA 2000 (Code Division Multiple Access) é um padrão de acesso digital
baseado nos protocolos IS-95 e ANSI-IS41 [CDMA, 2000]. O primeiro passo na evolução
para 3G2 é o CDMA 2000 1X, o qual incrementa taxas de transmissão de dados via
pacotes e aumenta a velocidade da rede bem como, duplica a capacidade de tráfego de
2
3G ou 3ª Geração
Inaugurada comercialmente em outubro de 2001, é a mais avançada tecnologia celular existente.
29
voz se comparado às redes CMDA atuais. 1X significa um vezes 1.25 MHz, a largura de
banda padrão de uma operadora CDMA IS-95, e velocidade de até 144Kbps.
Uma rede CDMA 2000 é composta de componentes de interface aérea 1X e um
backbone de dados PCN (Packet Core Network). O CDMA 2000 PCN segue o mesmo
princípio de construção de uma rede GPRS (General Packet Radio System). O próximo
passo na evolução do CDMA 2000 é chamado CDMA 2000 1XEV ou CDMA 2000 3X.
Este será dividido em duas fases: 1XVE-DO (Data Only), voltado para tráfego de dados
em alta velocidade; e 1XVE-DV (Data and Voice), combinando voz e dados em alta
velocidade numa mesma freqüência ou carrier. 1XVE-DO permitirá maiores
velocidades de dados para usuários CDMA de uma operadora dedicada a tráfego de
dados até 2 Mbps. 1XEV-DV irá oferecer alta velocidade para transmissão de dados e
voz simultâneos numa mesma operadora, além da possibilidade de oferecer serviços de
dados em tempo real e o acesso simultâneo de diversos serviços de voz e vídeo.
2.2.8 WCDMA
O WCDMA (Wideband Code Division Multiple Access) é o padrão de acesso de
maior consenso nos organismos mundiais responsáveis pelas definições dos padrões 3G
[Celular, 2004], tal como o UMTS (Universal Mobile Telecommunication System) como
uma tecnologia de interface de rádio de banda larga que provê velocidades de dados até
2 Mbps. É definida como a próxima geração celular da IMT-2000 (Internacional
Mobile Telecommunications Union – years 2000) cuja padronização pertence ao ITU
(International Telecommunication Union), e representa o potencial completo da 3G. A
camada de comutação de pacotes destas redes, evoluída através do GPRS (General
Packet Radio Service é uma evolução da tecnologia celular GSM, a qual proporciona
maiores velocidades de transmissão de dados, sendo ideal para o acesso à Internet
móvel. Em teoria, uma rede GPRS pode transmitir dados no limite de 171.000 bps,
contra 28.800 bps de um modem de PC e 9.600 bps dos celulares atuais), habilita uma
nova geração de serviços que misturam diferentes elementos de mídia, incluindo voz,
vídeo, som digital, cor, imagens e animações.
30
2.2.9 WAP
WAP (Wireless Application Protocol) é um padrão aberto global que permite
aos usuários móveis utilizar os serviços de Internet móvel, possibilitando o acesso às
informações sem discriminação de marcas, padrões, freqüências ou plataformas, sem a
necessidade de conectar-se a um laptop ou aparelhos para conexão de dados [Celular,
2004]. O WAP torna isto viável através de um microbrowser interno no aparelho e um
padrão sintético chamado WML que permite que as informações sejam acessadas direto
de um telefone móvel, da mesma maneira que web browsers provêm acesso para
serviços on-line via Internet onde uma tela WAP sempre apresenta um número de links
para vários serviços ou portais de informação.
2.2.10 Bluetooth
Bluetooth é um padrão para comunicação sem-fio, de curto alcance e baixo
custo, por meio de conexões de rádio Ad Hoc [Bluetooth, 2004]. É uma tecnologia de
rádio criada pelo consórcio Bluetooth SIG (Special Interest Group) liderados pela
Ericsson, Nokia, IBM, Intel e Toshiba em meados de 1998 e desenvolvida, hoje, por
diversas companhias.
Possibilita a transmissão de dados em curtas distâncias entre telefones,
computadores e outros aparelhos eletroeletrônicos, simplificando a comunicação e a
sincronização entre estes aparelhos e substituindo muito dos fios e cabos que são usados
em casa e no escritório para conectar aparelhos qualquer aparelho digital que use um
chip Bluetooth. Fornece uma conexão universal para redes de dados existentes,
possibilitando a formação de pequenos grupos privados de aparelhos conectados entre
si.
Os dispositivos Bluetooth comunicam-se entre si e formam uma rede
denominada piconet, na qual podem existir até oito dispositivos interligados, sendo um
deles o mestre e os outros dispositivos escravos. Tipicamente, nas aplicações Bluetooth,
várias piconets independentes e não-sincronizadas podem se sobrepor ou existir na
mesma área. Neste caso, forma-se um sistema Ad Hoc disperso denominado scatternet,
composto de múltiplas redes, cada uma contendo um número limitado de dispositivos.
A FIGURA 3 apresenta essas idéias:
31
FIGURA 3 - Tipos de redes formadas entre dispositivos Bluetooth.
A tecnologia de rádio do Bluetooth usa um sistema de freqüência de sinal de 2,4
GHz que provê um link seguro e robusto, mesmo em ambientes com alto ruído e de
grande interferência e com área de alcance para reconhecimento de dispositivos entre
10 a 100m.
A comunicação entre os dispositivos Bluetooth é feita através do
estabelecimento de um canal FH-CDMA (Frequency Hopping – Code Division Multiple
Access). Nesta técnica, o transmissor envia um sinal sobre uma série aparentemente
randômica de freqüências de rádio. Um receptor, "saltando" entre tais freqüências, em
sincronia com o transmissor, capta o sinal. A mensagem é totalmente recebida apenas se
o receptor conhecer a série de freqüências na qual o transmissor "saltará" para enviar o
sinal. Os enlaces sem-fio no Bluetooth suportam tanto serviço síncrono para tráfego de
voz quanto serviço assíncrono para transmissão de dados. Em um enlace assíncrono, a
taxa máxima que um usuário pode obter é de 723,2 Kbps. No sentido contrário, a taxa
máxima é de 57,6 Kbps. No Bluetooth, os serviços síncronos são prioritários. Para este
tipo de serviço, o enlace é full-duplex com uma taxa máxima de 64 Kbps em ambas as
direções.
2.3 EM / MS (Estação Móvel / Mobile Station)
Uma estação móvel é o equipamento composto por uma unidade de rádio e
antena. Sua função principal é fazer a interface eletromecânica entre o usuário e o
sistema comunicação sem fio.
32
3. REDE PRIVADA PRIVADA – VPN - VIRTUAL PRIVATE NETWORK
3.1 Fundamentos da VPN
Virtual Private Network ou Rede Privada Virtual é uma rede privada construída
sobre a infra-estrutura “pública” ou uma rede compartilhada existente, usando
tecnologias de criptografia (compreende o estudo de mecanismos que protegem os
ativos permitindo que os pilares da segurança sejam implementados, como autenticação,
assinatura digital, proteção à confidencialidade, integridade, disponibilidade e nãorepúdio) para proteger seu payload (carga útil). Desse modo, tem-se um segmento
“virtual” entre duas entidades quaisquer que têm acesso, que pode ocorrer pela infraestrutura de uma rede local (LAN), conexões WAN ou Internet [Northcutt, 2002] .
O conceito de VPN [Miranda, 2003], surgiu da necessidade de se utilizar redes
de comunicação não confiáveis para trafegar informações de forma segura. As redes
públicas são consideradas não confiáveis, tendo em vista que os dados que nelas
trafegam estão sujeitos a interceptação e captura. Em contrapartida, estas redes tendem a
ter um custo de utilização inferior aos necessários para o estabelecimento de redes
proprietárias, envolvendo a contratação de circuitos exclusivos e independentes.
Com o explosivo crescimento da Internet, o constante aumento de sua área de
abrangência e a rápida melhoria na qualidade dos meios de comunicação associada a um
grande aumento nas velocidades de acesso e backbone, esta passou a ser vista como um
meio conveniente para as comunicações corporativas. No entanto, a passagem de dados
sensíveis pela Internet somente se torna possível com o uso de alguma tecnologia que
torne esse meio altamente inseguro em um meio confiável. Com essa abordagem, o uso
de VPN sobre a Internet parece ser uma alternativa viável e adequada. No entanto, será
mostrada posteriormente que não é apenas em acessos públicos que a tecnologia de
VPN pode e deve ser empregada.
3.2 Tipos de configuração da VPN
Existem vários tipos de implementação de VPNs [RNP, 2004]. Cada uma tem
suas especificações próprias, assim como características que devem ter uma atenção
especial na hora de implementar. Entre os tipos de VPN, destacam-se três principais.
33
3.2.1 Intranet VPN
Em uma Intranet VPN, que pode, por exemplo, facilitar a comunicação entre
departamentos de uma empresa ou entre matriz e filiais conforme pode ser observado na
FIGURA 4,
um dos quesitos básicos a considerar é a necessidade de uma criptografia
rápida, para não sobrecarregar a rede. Outro requisito essencial é a confiabilidade que
garanta a prioridade de aplicações, como por exemplo, sistemas financeiros, bancos de
dados. E por último, é importante a facilidade de gerenciamento, numa rede interna,
têm-se constantes mudanças de usuários, seus direitos, etc.
FIGURA 4 – Intranet VPN.
3.2.2 Extranet VPN
Extranet VPNs são implementadas para conectar uma empresa à seus sócios,
fornecedores, clientes, etc. A FIGURA 5 apresenta simplificadamente uma Extranet VPN,
a qual permite construir uma rede que compartilha parcialmente seus recursos com
empresas parceiras (fornecedores, clientes, parceiros, etc.).
FIGURA 5 – Extranet VPN
34
Para isso é necessária uma solução aberta, para garantir a interoperabilidade com
as várias soluções que as empresas envolvidas possam ter em suas redes privadas. Outro
ponto muito importante a se considerar é o controle de tráfego, o que minimiza os
efeitos dos gargalos existentes em possíveis nós entre as redes, e ainda garante uma
resposta rápida e suave para aplicações críticas.
3.2.3 Acesso remoto VPN
Uma VPN de acesso remoto conecta uma empresa a seus empregados que
estejam distante fisicamente da rede. Neste caso torna-se necessário um software cliente
de acesso remoto. Quanto aos requisitos básicos, o mais importante é a garantia de QoS
(Quality of Service), isto porque, geralmente quando se acessa remotamente de um
laptop, você está limitado à velocidade do modem. Outro item não menos importante é
uma autenticação rápida e eficiente, que garanta a identidade do usuário remoto. E por
último, um fator importante, é a necessidade de um gerenciamento centralizado desta
rede, já que ao mesmo tempo, podem ter muitos usuários remotos logados, o que torna
necessário que todas as informações sobre os usuários, para efeitos de autenticação, por
exemplo, estejam centralizadas num único lugar.
Neste tipo de configuração como pode ser observado na FIGURA 6, o
tunelamento acontece fim-a-fim (entre a máquina do cliente e o destino final).
FIGURA 6 – VPN de acesso remoto.
35
O computador do usuário necessita de um aplicativo ou sistema operacional que
suporte a VPN. Os computadores do cliente e servidor perdem recursos de
processamento.
3.3 Metodologia básica da VPN
O conceito básico de uma VPN [Northcutt, 2002] , é a proteção de um canal de
comunicação com criptografia. A comunicação pode ser protegida através da
criptografia em muitas camadas diferentes da rede como as seguintes:
• Aplicação.
• Transporte.
• Rede.
• Enlace de dados.
FIGURA 7 – Diagrama representativo dos protocolos e programas por camadas.
Na camada de Aplicação, a criptografia pode ser aplicada com programas do
tipo PGP (Pretty good Privacy) ou por canais como SSH (Secure Shell). Além disso,
programas remotos de uma única sessão, como pcAnywhere, e programas multisessão,
como Terminal Server, podem
ser usados com criptografia para a proteção das
comunicações remotas. A maior parte destes programas funciona de host a host,
significando que só oferecem proteção para o payload do pacote, e não para o pacote. A
exceção é o SSH (Secure Shell), que pode ser usado em um modo de encaminhamento
de porta para criar um túnel.
36
Na camada de Transporte, protocolos como SSL (Secure Sockets Layer) podem
ser usados para proteger o conteúdo de uma comunicação específica entre duas partes.
Isso normalmente é usado através de comunicações via browser Web. Novamente, o
conteúdo da comunicação é processado, mas os pacotes IP que transportam essa
informação estão disponíveis para inspeção. SSL também pode ser usado com o
facilitador de tunelamento para outros tipos de sessão de comunicação, usando um
produto chamado Stunnel.
Stunnel: É um programa que, abre uma conexão segura entre duas máquinas
permitindo o fluxo de vários tipos de protocolos. Do nome, faz-se uma analogia com
"um túnel seguro". O que o Stunnel faz para "encapsular" os dados é tornar a máquina
do usuário uma espécie de servidor, porém acessível unicamente pela própria máquina
do usuário, e para toda conexão que ele recebe dele mesmo, o Stunnel abre uma outra,
criptografada, para o real servidor de destino, onde existe um outro Stunnel que então se
conecta ao servidor desejado em uma rede considerada segura. A abertura desse canal
seguro é feita usando-se o protocolo SSL (Secure Sockets Layer), e é transparente
(automática) para o usuário.
Na camada de Rede, protocolos como IPSec não apenas criptografam o payload
do pacote, mas também criptografam a informação do TCP/IP. Embora a informação do
endereço IP para as partes que estão codificando e decodificando o pacote seja
necessária para facilitar o roteamento correto, a informação de nível superior, incluindo
protocolos de transporte e portas associadas, podem ser completamente escondidas. A
informação de endereço IP da estação na extremidade também pode ser escondida se
um dispositivo de gateway, como um roteador, Firewall ou concentrador, estiver
realizando a criptografia com um conceito de tunelamento.
3.4 Tunelamento (Tunneling)
É o processo de encapsular um pacote de dados de um certo protocolo em um
pacote de dados de outro protocolo [Northcutt, 2002] . Por exemplo, o tunelamento poderia
ser usado para enviar tráfego de broadcast através de um ambiente roteado ou tráfego
NetBEUI pela Internet, ou para proteger pacotes IP com a criptografia.
O tunelamento consiste na utilização de protocolos de tunelamento e técnicas de
encapsulamento de dados, que atuam no nível de enlace ou rede do modelo OSI [Soares,
37
1995]. A técnica de tunelamento encapsula o pacote a ser transmitido com um
cabeçalho adicional, que contém informações de roteamento para transportá-lo pela rede
intermediária. Os pacotes encapsulados são roteados da rede origem para a rede destino
pela rede intermediária. A conexão ou o caminho lógico percorrido pelo pacote ao longo
da rede intermediária é denominado de “Túnel”.
A FIGURA 8 apresenta uma demonstração eficaz de tunelamento como meio de
criptografia.
FIGURA 8 – Tunelamento.
Após alcançar o extremo da rede intermediária, o pacote é desencapsulado e
encaminhado ao seu destino final, que pode ser um computador ou uma LAN. A rede
intermediária por onde o pacote transitará pode ser uma rede pública ou privada.
Geralmente a rede intermediária utilizada é a Internet.
A criação do túnel é tecnicamente conhecida como abertura de sessão de túnel,
obtida através de protocolos de tunelamento. Para se estabelecer um túnel, é necessário
que nas extremidades da rede intermediária sejam utilizados o mesmo protocolo. Entre
os dois pontos de comunicação, onde é formado um túnel, os dados irão trafegar de
forma protegida contra quaisquer acessos não autorizados. Essa proteção se dá através
do uso de um algoritmo de criptografia corretamente implementado e adequadamente
forte, garantindo assim a segurança do payload nas comunicações.
38
3.5 Protocolos de VPN
A FIGURA 9 ilustra os protocolos de tunelamento associados com os níveis do
modelo OSI e TCP/IP. Os protocolos que atuam nos níveis superiores ao nível de rede
são denominados complemento aos protocolos de tunelamento.
FIGURA 9 – Relação da arquitetura TCP/IP com o modelo de referência OSI.
3.5.1 IPSec Protocol Suite (Internet Protocol Security)
IPSec representa uma arquitetura de serviços de segurança para o protocolo IP
[Northcutt, 2002] , que oferece autenticação, confidencialidade, integridade e controle
de acesso aos dados. O IPSec tem sido desenvolvido pelo IETF (Internet Engineering
task force) como a primeira solução consistente baseada no nível de rede do modelo
OSI capaz de oferecer segurança para transferência de dados na Internet. Basicamente,
o IPSec protege os pacotes IP encapsulando-os em outros pacotes IP para serem
transmitidos.
Para que duas entidades consigam enviar e receber pacotes utilizando o IPSec é
necessário o estabelecimento de uma SA (Security Association), que especifica os
algoritmos a serem utilizados, as chaves criptográficas, os tempos de vida destas chaves,
entre outros parâmetros.
Existem duas formas de estabelecimento de SA: estática e dinâmica. No
primeiro, os parâmetros são inseridos manualmente em ambos os extremos da
comunicação. No segundo, os parâmetros são negociados por protocolos como IKE
(Internet Key Exchange), sem a intervenção do administrador.
Os serviços de autenticação, confidencialidade, integridade e controle de acesso
aos dados são oferecidos através do uso de vários protocolos, incluindo IKE (Internet
39
Key Exchange),
AH (Authentication Header), e ou ESP (Encapsulated Security
Payload).
FIGURA 10 – Estrutura do pacote IPSec.
O protocolo IKE é o autenticador e o negociador do IPSec. O protocolo AH
oferece serviços de autenticação, integridade dos dados, proteção anti-retransmissão e
não oferece confidencialidade dos dados. O protocolo ESP é usado para oferecer
serviços de confidencialidade, autenticação da origem dos dados, integridade dos dados,
proteção anti-retransmissão e confidencialidade no fluxo de dados.
A diferença entre o ESP e o AH está no fato deste último, através do serviço de
confidencialidade, oferecer proteção a alguns campos do cabeçalho do pacote IP, como
por exemplo, o endereço de origem e destino.
O IPSec tem sido considerado a melhor evolução para ambientes IP por incluir
fortes modelos de segurança - criptografia, autenticação e troca de chaves - mas não foi
desenvolvido para suportar outros tipos de pacotes além do IP. No caso de pacotes
multiprotocolares, devem ser usados os protocolos PPTP ou L2TP que suportam outros
tipos de pacotes.
Diferente de outros padrões, o projeto do IPSec não se preocupa com a provisão
de serviços de segurança a outros protocolos de rede diferentes do TCP/IP. Entretanto,
ele provê um conjunto mais rico de características relacionado a segurança. Seus
desenvolvedores têm se esforçado para que ele seja a mais completa solução disponível
para implementação e gerenciamento de serviços de segurança. O IPSec possui três
tipos de arquiteturas:
•
Host a Host. A conexão inteira entre o cliente e o servidor é
criptografada.
•
Host a gateway. A conexão inteira é criptografada, exceto pela parte
entre gateway e servidor remoto.
40
•
Gateway a gateway. A conexão entre dois gateways é criptografada,
mas as conexões do cliente ao gateway no cliente e do servidor ao
gateway no servidor não são criptografadas.
O IPSec não implementa a funcionalidade do nível de enlace sobre outros níveis
OSI. Uma rápida analogia ilustra a diferença nas abordagens: ao dirigir um carro, o qual
não satisfaz as leis existentes em um país, uma solução seria obter um caminho que
esteja de acordo com todas as especificações, e colocar o carro dentro deste caminho.
Neste cenário o carro pode viajar pelo país, mas dentro do caminho. Outra solução seria
modificar o carro para que ele possa viajar através do país. A primeira abordagem
ilustra as implementações usadas pelos protocolos L2F, PPTP e L2TP, enquanto que a
segunda ilustra a metodologia do IPSec.
Uma conexão IPSec possui dois modos básicos: transporte e túnel [Northcutt,
2002]
. O modo transporte como pode ser visto na estrutura de conexão apresentada na
FIGURA 11
é uma forma de comunicação de host-a-host e envolve a criptografia somente
no payload de um pacote. Por causa deste requisito de host-a-host, o software precisa
ser instalado em todos os hosts que farão parte da VPN, o que em grandes instalações
pode ser um pesadelo administrativo .
FIGURA 11 – Estrutura de conexão IPSec Modo de Transporte.
FIGURA 12 - Estrutura do pacote IPSec – Modo Transporte
Contudo, esse modo VPN é bastante adequado para comunicações
criptografadas entre hosts da mesma rede, ou em situações onde é importante ser capaz
41
de diferenciar hosts por sua informação de endereço. O modo de transporte não contém
um meio de realizar a comunicação gateway-a-gateway e a capacidade de esconder a
informação de IP do host, o que pode ser um grande problema quando seus dados estão
atravessando um meio público, como a Internet. A comunicação do modo transporte
pode ser acoplada a outros meios de tunelamento para que haja um canal de
comunicação mais seguro.
O modo túnel é o método preferido da maioria das VPNs, pois criptografa não
apenas o payload, mas também o pacote original inteiro, ocultando parcialmente ou
completamente os endereços de origem e destino dos sistemas que se comunicam. Além
disso, o modo de tunelamento pode ocorrer de host-a-host, de host-a-gateway ou de
gateway-a-gateway, sendo o último o mais popular. A FIGURA 13 apresenta a operação
de gateway-a-gateway [Paula, 2004]
que permite a configuração simplificada das
comunicações de rede-a-rede. Somente os dispositivos de gateway, como um roteador,
FireWall ou concentrador nos extremos do túnel precisam implementar o IPSec para a
comunicação VPN, os hosts em comunicação na rede interna não precisam de
configuração especial ou software adicional.
FIGURA 13 – Estrutura de conexão IPSec – Modo Túnel
42
FIGURA 14 - Estrutura do Pacote IPSec – Modo Túnel
A comunicação Gateway-Gateway é utilizada para conectar parceiros pela
Internet e funciona como uma rede privada de pacote. Os hosts enviam pacotes não
criptografados, que são capturados pelo gateway que os encapsula, criptografa os
campos de dados do pacote e os envia para o outro gateway no final do túnel.
A criptografia do pacote inteiro e a configuração gateway-a-gateway se
combinam para tornar o modo túnel uma opção excelente para a proteção de um canal
de comunicação. Popularmente, as VPNs costumam envolver o modo túnel e pelo
menos um dispositivo de gateway.
O protocolo IKE como já dito anteriormente é o autenticador e o negociador do
IPSec [Northcutt, 2002] , sendo responsável pela verificação da permissão para iniciar a
comunicação criptografada e pela negociação do tipo de criptografia que será utilizada.
O IKE é, na realidade, uma combinação de dois protocolos: ISA (Internet Security
Association) and KMP (Key Management Protocol) denominada ISAKMP (Internet
Security Association and Key Management Protocol), que trata de negociações de
segurança, e Oakley, que é responsável pela troca de chaves.
O protocolo AH é o protocolo IP número 51 [Northcutt, 2002] . Ele oferece
capacidades de autenticação e verificação de integridade, mas não oferece
confidencialidade para o payload do pacote, limitando sua eficácia como único método
de segurança para a maioria das implementações de VPN. O protocolo AH oferece
autenticação e proteção de integridade, acrescentando um cabeçalho adicional ao pacote
IP. Esse cabeçalho contém uma assinatura digital, chamada valor de verificação de
integridade (ICV – Integrity Check Value), que é basicamente um valor de hash (valor
de autenticação) verificando se o pacote não foi alterado em trânsito. A informação do
IP no pacote é garantidamente correta, mas não é oculta de forma alguma. Como o AH
examina o cabeçalho IP quando calcula a assinatura digital, o endereço IP de origem no
pacote é autêntico. AH também oferece suporte ao uso de números de seqüência, o que
ajuda a evitar ataques do tipo replay. Como os dispositivos de comunicação
43
acompanham o fluxo de conversação usando números, um intruso que esteja tentando
obter acesso à VPN não pode reenviar um fluxo de pacote capturado.
O fato de que o AH autentica o pacote usando sua informação de endereço IP o
torna incompatível com as mudanças no cabeçalho IP que são realizadas pela NAT
(Network Address Translation). Por outro lado, como o AH não oferece
confidencialidade de dados para seus pacotes, ele não possui o overhead de cálculo de
ter que criptografar pacotes. A falta de criptografia do payload não apenas é igual à
menor carga de processamento para o dispositivo emissor, mas também significa que o
overhead geral do encapsulamento de pacotes é menor. Estes fatores combinam para
tornar o AH uma boa solução, onde somente a integridade e a autenticação do endereço
IP são necessários e o desempenho é bastante valorizado.
O protocolo ESP é o protocolo IP número 50 [Northcutt, 2002] . Ele oferece
total confidencialidade, criptografando completamente o payload dos pacotes IP. Assim
como o conjunto de protocolos IPSec, ESP é modular em projeto e pode usar qualquer
quantidade de algoritmos de criptografia simétricos para criptografar seu payload.
Dependendo do modo IPSec utilizado (transporte ou túnel), o ESP funciona
ligeiramente diferente. No modo transporte, ESP simplesmente acrescenta sua própria
camada após o cabeçalho IP e criptografa o restante da informação do pacote, da
camada 4 para cima. No modo túnel, o ESP encapsula o pacote original inteiro,
criptografando-o totalmente e criando um novo cabeçalho IP e cabeçalho ESP no
dispositivo de tunelamento. Um trecho final também é acrescentado para fins de
autenticação, se o servidor de autenticação do ESP for escolhido. Em qualquer modo, o
ESP oferece número de seqüência em cada pacote que, como AH, oferece proteção
contra ataques replay. O ESP e NAT no modo transporte não trabalham juntos, devido a
mudanças que o NAT faz na informação de cabeçalho do pacote. No ESP em modo
túnel, o tráfego pode passar com sucesso pela NAT, pois o pacote original inteiro,
incluindo a informação de IP e da camada 4 é encapsulada e, portanto, não é tocada pela
NAT. Contudo, embora o tráfego ESP em modo túnel possa passar pela NAT, ainda
poderá encontrar problemas relacionados a NAT ao negociar parâmetros de conexão
IPSec.
44
3.5.2 PPTP (Point-to-Point Tunneling Protocol)
O PPTP (Point-to-Point Tunneling Protocol) [Hamzeh, 1999], é um protocolo
que foi originalmente desenvolvido por um grupo de empresas chamado PPTP Forum;
constituído pela 3Com, Ascend Communications, Microsoft, ECI Telematics e US
Robotics.
O PPTP tem como finalidade principal prover um mecanismo para o
tunelamento de tráfego PPP (Point-to-Point Protocol) [Simpson, 1994]sobre as redes
IP. Antes do envio de um datagrama IP, o PPTP cifra e encapsula este datagrama em um
pacote PPP que, por sua vez, é encapsulado em um pacote GRE (Generic Routing
Encapsulation).
Da mesma forma que outros protocolos de segurança, o PPTP também requer a
negociação de parâmetros antes de, efetivamente, proteger um tipo de tráfego entre duas
entidades. Porém o seu procedimento de negociação é feito sem qualquer proteção,
permitindo que um atacante modifique parâmetros ou obtenha dados como o endereço
IP dos extremos do túnel, nome e versão do software utilizado, nome do usuário e, em
alguns casos, o hash criptográfico da senha do usuário [Chapman, 2000].
Além disso, as mensagens do canal de transporte PPTP são transmitidas sem
qualquer forma de autenticação ou proteção de integridade, o que expõe o canal de
controle a um seqüestro de conexão. Outra vulnerabilidade do PPTP é o fato do cliente
só precisar se autenticar após a conclusão do processo de estabelecimento de
parâmetros. Esta característica permite que atacantes façam com que um servidor inicie
diversos processos de negociação falsos, o que pode resultar em negação de serviços
DoS e até mesmo na total paralização do servidor [Nakamura, 2000].
Apesar disto, o PPTP possui alguns atributos interessantes, que podem torná-lo
útil em ambientes específicos. Primeiro, ele trabalha sem problemas através de NAT,
pois as mudanças relacionadas a NAT na camada IP não têm efeito sobre o PPTP da
camada 2. segundo, ele vem integrando a muito dos dispositivos de hardware e está
disponível nos sistemas operacionais; com uma disponibilidade tão alta, ele pode ser
implantado com mais facilidade em ambientes que utilizam tais produtos.
45
3.5.3 L2TP (Layer 2 Tunneling Protocol)
L2TP é definido pela RFC-2661. Como o próprio nome indica, essa é uma
solução de tunelamento da camada 2. Foi desenvolvido com base em dois protocolos de
tunelamanento, o protocolo L2F (Layer 2 Forwarding) e no PPTP, tem como principal
objetivo assim como o PPTP, o encapsulamento de pacotes PPP.
Uma das diferenças entre o L2TP e o PPTP está no protocolo utilizado na
camada inferior. Enquanto o PPT deve ser utilizado acima do IP, o L2TP pode ser
utilizado sobre redes IP, X25, Frame Relay e ATM (Asynchronous Transfer Mode).
O L2TP provê suporte a autenticação do túnel, permitindo que ambos os
extremos do túnel sejam autenticados. Contudo, não existem mecanismos de proteção
do túnel L2TP definidos, o que expõe tanto os pacotes de dados quanto os pacotes de
controle deste protocolo a algumas formas de ataque. O conceito por trás da operação
do L2TP é semelhante ao PPTP. Uma conexão de controle é configurada para o túnel,
que é então acompanhado pelo início de uma sessão L2TP. Depois que ambos forem
completados, então a informação na forma de frames PPP pode começar a atravessar o
túnel.
L2TP e PPTP são protocolos utilizados em VPDNs (Virtual Private Dial
Networks), ou seja, proporcionam o acesso de usuários remotos acessando a rede
corporativa através do pool de modems de um provedor de acesso.
No momento da interligação do usuário remoto com o provedor de acesso, após
a devida autenticação e carga de uma configuração, um túnel é estabelecido até um
ponto de terminação (um roteador, por exemplo) pré-determinado, onde a conexão PPP
é encerrada.
Enquanto L2TP e PPTP soam bastante parecidos, existem diferenças sutis
quanto a sua aplicação. Existem diferenças na determinação de quem possuí o controle
sobre o túnel e porque precisa ter.
Na situação onde é utilizado o protocolo PPTP, o usuário remoto tem a
possibilidade de escolher o destino do túnel. Este fato é importante se os destinos
mudam com muita freqüência, e nenhuma modificação se torna necessária nos
equipamentos por onde o túnel passa. É também significativo o fato de que túneis PPTP
são transparentes aos provedores de acesso. Nenhuma ação se torna necessária além do
serviço comum de prover acesso a rede.
46
Usuários com perfis diferenciados com relação a locais de acesso – diferentes
cidades, estados e países – se utilizam com mais freqüência do protocolo PPTP pelo fato
de se tornar desnecessária a intermediação do provedor no estabelecimento do túnel. É
somente necessário saber o número local para acesso que o software no laptop realiza o
resto.
Onde se utiliza L2TP, temos um comportamento diferente de usuários e de
provedores. O controle está nas mãos do provedor e ele está fornecendo um serviço
extra ao provimento do acesso.
3.6 Vantagens das VPNs
Ao determinar se a VPN, é a solução escolhida para as necessidades de
conectividade remota dos seus negócios, é necessário considerar muitos fatores, entre
eles: Qual é o grau de confidencia dos dados que você está enviando? Qual é o valor do
seu segredo? O quanto é importante saber a origem dos dados? - Se o nível de segredo
for alto o bastante, então até mesmo uma VPN que usa criptografia forte poderia ser
imprópria. Somente uma conexão ponto-a-ponto poderia ser adequada.
As formas de conectividade remota podem ser descritas em três tipos diferentes:
•
Conexões ponto-a-ponto dedicadas;
•
Comunicações padrão Internet decodificadas;
•
Comunicações VPN da Internet criptografadas.
Dos dois primeiros tipos, as vantagens de segurança e desempenho vão para um
tipo de conexão dedicado. As conexões dedicadas são caras, especialmente quando
abrangem grandes distâncias. No terceiro tipo, o uso de um meio compartilhado como a
Internet, torna a segurança um aspecto ainda maior. Seus dados estão literalmente
atravessando uma infra-estrutura compartilhada por milhões de pessoas no mundo. A
vantagem de custo de tal conectividade de acesso público precisa ultrapassar o valor da
privacidade de seus dados. Portanto, para poder aproveitar a funcionalidade de sua
conexão com Internet e aumentar o nível de segurança das suas comunicações, a VPN e
um meio-termo excelente. A criptografia protege seus dados, mas acrescenta um
pequeno peso à sua rede e diminui a largura de banda.
O principal benefício de se utilizar VPN para acesso remoto à rede pode ser
resumido como a economia de se poder utilizar um meio público para transportar
47
informações privadas da forma mais segura possível. Visto que uma VPN utiliza infraestruturas existentes, ela pode ser implementada rapidamente, sem ter que esperar o
estabelecimento de uma linha ou outros fatores que normalmente atrasam tais
implementações. Se as VPNs forem usadas para usuários remotos, elas poderão oferecer
uma solução mais segura e econômica para os que trabalham na rua. Desse modo, as
pessoas que precisam de acesso remoto podem tirar proveito do acesso local à Internet
onde quer que estejam, ao invés de fazerem ligações interurbanas de alto custo.
3.6.1 Segurança
As VPNs oferecem diversos recursos de segurança que a tornam um método
eficaz para proteger informações que percorrem território desprotegido. Esses recursos
podem ser personalizados, dependendo do “nível de hostilidade” do ambiente. Esse
nível de segurança precisa ser equilibrado com o valor dos dados.
A criptografia com menor peso pode ser adequada para conexões remotas de
muitas empresas; a informação sendo transmitida poderia ter pouco valor para outros.
Por exemplo, se você tivesse uma revenda de automóveis em dois lugares, poderia
querer compartilhar informações de estoque e preços entre eles. Por motivos óbvios,
seus concorrentes poderiam gostar se você transmitisse estas informações às claras,
permitindo que alguém mais as leia. Por outro lado, é pouco provável que seus
concorrentes cheguem até as últimas conseqüências para quebrar seu tráfego
criptografado; eles facilmente poderiam entrar e contar o estoque na sua loja e
provavelmente ter uma boa idéia geral dos preços do seu estoque. A utilização de uma
VPN com criptografia mais leve poderia proteger adequadamente suas informações.
Contudo, e se você estiver enviando uma fórmula altamente secreta para um
item que foi assunto de defesa nacional ou que possivelmente foi o motivo para que sua
empresa entrasse no negócio? Isso poderia ser tão valioso que os outros de fora
pagariam o que for preciso e se esforçaria ao máximo para romper sua proteção.
Portanto, a criptografia mais forte seria necessária.
Independente da força da tecnologia de criptografia escolhida para ser usada pela
sua VPN, sua VPN ainda precisa oferecer os requisitos de um canal de comunicação
seguro. Os três requisitos básicos são:
48
•
Confidencialidade é a garantia de que ninguém mais poderá analisar sua
informação. Os algoritmos de criptografia escolhidos que misturam seus
dados privados para segmentos de caracteres sem significado oferecem
isso para uma VPN. Se esse algoritmo de criptografia não for
suficientemente
forte
para
proteger
seus
dados,
então
sua
confidencialidade estará comprometida.
•
A integridade dos dados é o próximo aspecto que pode ser protegido
através da criptografia e uso da VPN. A integridade verifica se a
informação que você está recebendo é a mesma de quando foi enviada.
Há muito tempo, isso era feito selando-se um documento com um sinete
de emblema em cera, da parte que estava enviando a mensagem. Se o
selo fosse partido, você não poderia estar certo de que a mensagem não
foi alterada em trânsito. No mundo de hoje, essa mesma garantia de
integridade pode ser realizada com assinaturas digitais e hashes.
•
A autenticação verifica se a informação veio realmente de quem está
indicado e, por sua vez, que está sendo recebida por quem realmente
deveria recebê-la.
3.6.2 Economia
Uma VPN pode reduzir custos de muitas maneiras, sendo que a maioria envolve
a VPN substituindo algum tipo de link de WAN de alto custo, dedicado. Normalmente,
o acesso de alta velocidade à Internet já existe nesses mesmos locais. Ao implantar a
Internet banda larga, os custos mensais de acesso à Internet serão compensados pela
remoção do link E1 dedicado (E1 – Link de comunicação com taxa de 2Mbps), que está
sendo utilizado atualmente para a conexão, por exemplo entre empresa matriz e filial.
Normalmente, o acesso à Internet com a mesma velocidade compensa o preço da linha
E1 ponto-a-ponto de velocidade semelhante dentro de um ou dois anos (isso poderia
variar bastante por região e proximidade de local), mesmo considerando os custos de
hardware adicional de FireWall/VPN.
A maioria das soluções VPN também pode oferecer uma alternativa de acesso
remoto segura. Isso também elimina a necessidade de servidores de discagem dedicados
49
ou pools de modems para esses mesmos usuários, significando custo reduzido de
equipamento, além de uma redução nas contas telefônicas mensais. Independente da
configuração da rede, na maior parte dos cenários, uma VPN pode dar um excelente
retorno do investimento e acumular economias consideráveis com o passar do tempo.
3.6.3 Conectividade
As VPNs são, geralmente redes dinâmicas ou seja, as conexões são formadas de
acordo com as necessidades das corporações. Assim, ao contrário das linhas dedicadas
utilizadas por uma estrutura de rede privada tradicional, as VPNs não mantêm links
permanentes entre dois pontos da rede da corporação. Ao contrário, quando uma
conexão se faz necessária entre dois pontos desta corporação, ela é criada e quando a
mesma não for mais necessária, ela será desativada, fazendo com que a banda esteja
disponível para outros usuários.
A conectividade é evidenciada quando analisamos a capilaridade da rede VPN
implementada sobre a plataforma de rede da Internet, a qual permite conexões em
grande parte do território nacional.
3.7 Desvantagens das VPNs
Apesar de todos os seus pontos positivos, na implementação das VPNs é
necessário considerar algumas desvantagens para confirmar se uma VPN é adequada
para o seu ambiente. O uso de criptografia gera um trabalho de processamento
adicional, que provavelmente será efetuado pelos seus dispositivos de gateway
existentes ou pelo equipamento que precisa ser comprado adicionalmente. O ajuste de
uma VPN a um local existente também pode ser um desafio em alguns ambientes
devido ao overhead de pacote adicional.
3.7.1 Overhead do processamento
A criptografia, no backbone da VPN, envolve cálculos matemáticos altamente
complexos. Estes precisam ocorrer para cada pacote enviado e recebido por um
dispositivo de gateway VPN. Esses cálculos complicados sobrecarregam não apenas o
dispositivo de gateway, mas também a largura de banda geral da conexão VPN. Essa
50
redução de velocidade se intensifica com algoritmos de criptografia mais poderosos, que
por sua vez exigem mais complexidade matemática e mais largura de banda para o
processamento. Esse problema tornou-se tão importante que com o tempo foram criadas
“placas de offload” especiais para ajudar a absorver parte do peso de processamento
adicional da criptografia da VPN. Esses dispositivos aceleradores de hardware podem
melhorar o detrimento do poder de processamento pedido, mas a um preço pesado. Por
sua vez, é importante tornar esse peso de processamento uma parte da determinação dos
seus requisitos de hardware e largura de banda ao decidir sobre uma VPN.
3.7.2 Overhead de pacote
Outra desvantagem interessante de se implementar uma VPN é o overhead
adicional acrescentado a cada pacote. Como os pacotes existentes podem ser
encapsulados, o encapsulamento exige o “embrulho” do pacote original no overhead de
pacote adicional. Até mesmo se não estiver usando o encapsulamento, informações de
cabeçalhos adicionais ainda aumentam o tamanho do pacote. De qualquer forma, esse
overhead, embora não substancial, pode ser suficiente para se tornar uma preocupação
do projeto em alguns ambientes. Além disso, o aumento do tamanho a cada pacote pode
afetar negativamente a largura de banda da rede, não apenas devido às questões de
enviar um pacote maior, mas também porque um pacote maior provavelmente precisará
de fragmentação enquanto atravessa vários gateways e roteadores. Essa fragmentação
afetará significativamente o desempenho da rede.
3.7.3 Controle de acesso remoto
Como o interior e o payload dos pacotes encapsulados não estão disponíveis até
que sejam decodificados, e não se pode ver o que está acontecendo enquanto o pacote
atravessa dois dispositivos de gateway. Ferramentas como Tracerout são ineficazes
quando empregadas por um túnel VPN. Meios comuns de se examinar o fluxo de
pacotes, como os sistemas de detecção de intrusão (IDSs) são menos eficazes porque o
payload é desconhecido antes que passe pelo dispositivo VPN do perímetro3. Isso não
3
Perímetro é a borda fortificada de uma rede, que pode incluir roteadores, firewall, softwares e outros.
51
apenas torna a solução de problema mais difícil, mas também pode fazer um grande
furo em uma rede que, de outra forma, estaria segura.
Quando não se tem controle sobre as entidades que são conectadas remotamente
pela VPN, isto se torna um problema de segurança. Por exemplo, os usuários que se
telecomunicam por VPN poderiam se tornar uma porta dos fundos para a sua rede,
devido à falta de segurança em seus computadores pessoais. Além disso, escritórios
remotos menores, que não possuem uma equipe de informática ou até mesmo conexões
de extranet com clientes e vendedores. Poderiam ser a fonte de ataques na porta dos
fundos ou de propagação de um cavalo de tróia ou verme.
Independente do ambiente, é preciso considerar muitas questões ao se decidir
sobre a eficiência de uma solução VPN como sua opção de comunicação remota. Se
todos os problemas forem considerados adequadamente, então o resultado pode ser uma
decisão correta e uma implementação mais tranqüila.
3.7.4 Problemas de disponibilidade da Internet
O uso da Internet como backbone da sua rede remota (WAN) precisa ser
considerado, pois problemas de comunicação podem ocorrer entre sua rede e as redes de
seu parceiro remoto. Os problemas técnicos no nível do provedor Internet-ISP (Internet
Service Provider), ataques de negação de serviço DoS (Denial of Service) ou outras
questões de infra-estrutura, como danos no cabeamento externo, podem causar
interrupções no serviço de Internet. Como a Internet possui um projeto redundante,
espera-se que esses problemas se tornem raros. Contudo, quando uma empresa conta
com comunicações remotas, qualquer indisponibilidade do sistema pode se tornar um
grande problema financeiro e gerar um resultado inaceitável. Projetar redundância extra
para sua conectividade com a Internet através da utilização de provedores diferentes,
combinado com a incorporação de roteadores com triagem ou produtos semelhantes que
ajudam a evitar condições de DoS, pode melhorar a disponibilidade da Internet para
uma rede.
52
4. ESTUDO SOBRE QUALIDADE DE SERVIÇO
4.1 Qualidade de serviço em redes de computadores
Qualidade de Serviço de uma rede pode ser expressa como sendo uma
combinação de exigências da rede com relação a quatro itens [Coutinho, 2000]: atraso,
que é o tempo decorrido para um pacote ser passado de um transmissor, através da rede,
para um receptor; jitter, que é a variação de atraso em uma transmissão fim-a-fim;
largura de banda, que é a taxa máxima de transferência que pode ser sustentada entre
dois pontos finais e integridade, que diz respeito à entrega correta dos pacotes para o
receptor na mesma ordem em que foram despachados pelo transmissor.
A garantia de QoS em redes de computadores envolve vários níveis de atuação
em diversos tipos de equipamentos e tecnologias, ou seja, esses parâmetros não estão
localizados em apenas um único equipamento ou componente da rede. Considerando
esse fato, a QoS deve atuar em todos equipamentos, camadas de protocolo e entidades
envolvidos.
Do ponto de vista dos usuários, tem-se normalmente que a QoS obtida de uma
aplicação pode ser variável e que, a qualquer momento, pode ser alterada ou ajustada
(para melhor ou pior qualidade). A obtenção de uma QoS adequada é um requisito de
operação da rede e de seus componentes para viabilizar a operação com qualidade. Por
esse motivo a QoS é garantida pela rede, seus componentes e equipamentos.
Do ponto de vista dos programas de aplicação, a QoS é tipicamente expressa e
solicitada em termos de "Solicitação de Serviço" ou "Contrato de Serviço". A
solicitação de QoS da aplicação é denominada tipicamente de SLA (Service Level
Agreement). O SLA tem como objetivo especificar os níveis mínimos de desempenho
que um provedor de serviços deverá manter a disposição do usuário e o não
cumprimento desse acordo implica em penalidades, estipuladas contratualmente.
Já do ponto de vista de um gerente ou administrador de uma rede, o
entendimento da QoS é mais orientado no sentido da utilização de mecanismos,
algoritmos e protocolos em benefício de seus usuários e suporte às aplicações.
Uma rede que suporte QoS deve prover mecanismos para diferenciação de
tráfego, priorizando certos pacotes ou fluxos em detrimento a outros. O cerne da
questão é que certas aplicações, como videoconferência e tele-medicina, são mais
53
susceptíveis a esses parâmetros do que outras, como correio eletrônico e transferência
de arquivos. Pode-se dizer que QoS surge para tornar mais injusta a distribuição de
recursos na rede, o que hoje não ocorre uma vez que apenas um serviço uniforme,
conhecido como melhor esforço, é oferecido a todas as aplicações. A busca por
mecanismos mais eficientes que priorizam tráfego tem sido objeto de motivação para
diversas propostas que acabam por gerar diferentes arquiteturas, cada uma com
particularidades mais ou menos adequadas a certas situações. A arquitetura de serviços
integrados, por exemplo, destaca-se por garantir a manutenção dos níveis de QoS fim a
fim. O preço dessa eficiência, todavia, é bem alto uma vez que cada fluxo de dados
requer uma reserva de recursos individualizada, roteador a roteador, conseqüentemente
gerando com isto um problema escalar no modelo. Já a arquitetura de serviços
diferenciados oferece um modelo escalar baseado em agregações de fluxos de dados,
mas com um nível de garantia menor.
4.1.1 Serviços Integrados (IntServ – Integrated Service)
A arquitetura de Serviços Integrados (IntServ – Integrated Service) [RFC1633],
foi proposta a partir da necessidade de se viabilizar aplicações de tempo real na Internet.
Até então tais aplicações eram impraticáveis em função de requisitos como alta
sensibilidade a jitter e latência, atrasos nas filas e conseqüentes perdas nos
congestionamentos, etc. Um princípio básico da arquitetura de serviços integrados é o
de implementar componentes baseados na extensão e não na modificação do serviço IP.
O termo serviços integrados é usado para caracterizar um modelo na Internet que inclui
o serviço de melhor esforço (best effort), o serviço de tempo real e o serviço de
compartilhamento controlado do link. A arquitetura de Serviços Integrados faz uso da
premissa de que garantias não podem ser obtidas sem reservas. O modelo de Serviços
Integrados é composto por quatro componentes: o classificador, o controle de admissão,
o escalonador de pacotes e o protocolo de configuração de reserva.
4.1.2 Protocolo de Reserva de Recursos (RSVP – Resource Reservation Protocol)
O RSVP (Resource Reservation Protocol) [RFC2205] é um protocolo fim-a-fim
compatível com o TCP/IP que provê suporte de QoS para aplicações através da reserva
54
de recursos na rede. Além de suportar métodos de interconectividade, a infra-estrutura
das redes é preservada. Uma analogia ao processo de reserva de recursos pode ser
estabelecida com faixas exclusivas para trânsito de ônibus. Neste caso, por mais que
haja congestionamento nas vias convencionais o trânsito flui normalmente nas áreas de
reserva. Projetado para operar com roteamentos unicast e multicast, ou seja, tanto para
aplicações que são configuradas para um único receptor, quanto para as que têm o
potencial de transmitir para mais de um receptor sem precisar enviar para a rede inteira
(broadcast).
Com o RSVP as aplicações estão habilitadas a prover uma sinalização com os
recursos que irão precisar. Para garantir a reserva, os hosts e roteadores afetados se
comprometem em prover esses recursos. Se um dos roteadores não é capaz de provê-los
ou os recursos não estão disponíveis, o host ou roteador pode recusar a reserva. A
aplicação é notificada, imediatamente, de que a rede não pode suportá-la, evitando
assim perda de tempo e dinheiro em tentativa e erro, uma vez que os recursos da rede
não serão consumidos caso a reserva não se concretize.
4.1.3 Serviços Diferenciados (DiffServ – Differential Services)
A arquitetura de Serviços Diferenciados prima por adotar mecanismos que
mantêm o modelo escalar mesmo com o crescimento significativo do número de host na
Internet [RFC2475] . Além disso pouca sinalização é requerida eliminando os
problemas causados pela sobrecarga de mensagens. Basicamente a arquitetura se utiliza
de diferentes agregações de fluxos de acordo com o perfil das aplicações ou dos
usuários.
Os pacotes IP são marcados com diferentes prioridades pelo usuário ou pelo
Provedor de Serviços Internet (ISP). De acordo com as diferentes prioridades das
classes, os roteadores reservam os recursos necessários (em particular largura de banda).
Esta concepção habilita um provedor de serviços a oferecer diferentes classes de QoS
por diferentes custos para seus usuários. No caso das redes de longa distância (redes
corporativas, redes metropolitanas, Intranet metropolitanas, etc.), onde as velocidades
de transmissão são dependentes da escolha da tecnologia de rede para a garantia da
qualidade de serviço, observam-se restrições e/ ou limitações nas velocidades utilizadas,
tipicamente devido aos custos envolvidos na operação da rede. Além desse fator,
55
observam-se também algumas restrições quanto à disponibilidade tanto da tecnologia
quanto da velocidade de transmissão desejada. O resultado é que a garantia de QoS é
mais crítica em redes metropolitanas (MAN) e de longa distância (WAN) do que em
redes locais (LAN).
4.2 Qualidade de serviço em redes sem fio
A garantia de qualidade de serviço - QoS (Quality of Service), em redes de
computadores tem-se tornado uma necessidade para os novos tipos de aplicações, porém
esta é uma tarefa complexa.
Os avanços tecnológicos na área de redes de computadores têm propiciado um
crescente aumento das taxas de transmissão, tornando possível falar mais amplamente
em qualidade de serviço, pois tradicionalmente o que se tem em redes é o modelo do
melhor esforço (best effort), no qual a grande preocupação reside em entregar os dados
corretamente para a outra entidade participante da comunicação.
QoS é fundamental para diversos tipos de aplicações, sobretudo multimídia, pois
é desejável que haja um sincronismo entre as diversas mídias. Por exemplo, numa
videoconferência o som deve estar sincronizado com a imagem, ou seja, deve haver
sincronia entre as palavras e os movimentos dos lábios das pessoas.
Como pode-se notar, a partir do exemplo acima, o estudo de QoS depende do
contexto no qual se está inserido, ou seja, além de se analisar os requisitos de QoS em
redes de computadores, deve ser levado em consideração se a rede é fixa, móvel sem
fio, ou um misto dos dois tipos de redes como pode ser observado na FIGURA 15, o que é
mais provável quando se tem uma parte móvel envolvida.
Para se falar em QoS deve-se definir parâmetros de qualidade, por meio dos
quais pode-se verificar se a QoS está sendo atendida ou não para uma aplicação. Os
parâmetros de QoS devem ser escolhidos de acordo com o ambiente usado, pois devido
às suas características particulares, redes fixas e redes móveis sem fio necessitam
negociar parâmetros diferentes.
A QoS pode ser analisada sob o ponto de vista de várias camadas da pilha de
protocolos, mas é sob o ponto de vista da aplicação que sua importância é primordial,
pois é neste ponto em que se encontra o usuário, que é quem vai escolher os requisitos
de QoS e vai perceber os efeitos do seu cumprimento ou não.
56
FIGURA 15 – Rede de computadores mista
Qualidade de serviço é uma maneira de se expressar às características desejadas
pela aplicação por meio de um conjunto de parâmetros pré-definidos. Porém, os
parâmetros de QoS do ponto de vista da aplicação são mais subjetivos, pois tratam, por
exemplo, se a imagem em uma videoconferência deve ser em cor ou em preto-e-branco,
se o som deve ter qualidade de telefone ou de CD, se pode haver ou não interrupção da
comunicação durante um handoff 4, entre outras coisas.
Deste modo, deve existir um mecanismo que traduza tais desejos em parâmetros
de mais baixo nível os quais possam ser negociados pelas entidades de rede, tais como
taxa de transmissão ou atraso. Portanto, QoS é algo que deve ser tratado por todo o
sistema.
4
Handoff – Processo gerado quando uma unidade móvel desconecta-se de uma estação rádio base e
reconecta-se em uma nova estação, com a respectiva troca de canal, em função de a unidade móvel estar
aproximando-se da região limite de cobertura de sinal da estação rádio base de origem.
57
Após a escolha dos valores dos parâmetros de QoS pela aplicação e sua posterior
tradução em parâmetros que a rede possa "compreender", deve-se efetivamente iniciar a
negociação com os elementos na rede envolvidos na comunicação para verificar se é
possível prover a qualidade desejada.
Se a negociação com os outros elementos de rede for bem sucedida, é preciso
que os recursos necessários para que se garanta a QoS, sejam reservados ao longo do
caminho da comunicação. Durante a comunicação deve-se monitorar também a QoS e,
caso seja violada, tomar as providências necessárias. Além disso, ao longo da
comunicação a aplicação deve poder renegociar parâmetros de QoS.
Como a QoS é garantida às aplicações por meio de reserva de recursos ao longo
da rede, como banda de passagem (bandwidth), buffers nos roteadores, ciclos de CPU,
entre outros, torna-se importante que não haja desperdício de recursos, pois deste modo,
pode-se atender a mais usuários simultaneamente. Esta racionalidade no uso dos
recursos também é importante devido ao fato de que o usuário estará eventualmente
pagando pela sua utilização e, portanto, deve-se procurar minimizar os custos.
A rede móvel sem fio deve procurar minimizar o volume de dados transmitidos
no enlace sem fio, sendo que isto pode ser conseguido com o uso de técnicas já usuais
de caching e compressão, ou através do particionamento da aplicação entre a parte
móvel e a parte fixa da rede.
A escolha dos valores dos parâmetros de QoS pode se dar pelo uso de classes de
serviço, já implicando em determinados valores a serem negociados com a camada de
transporte. Deste modo, a aplicação somente precisa escolher a classe de serviço que a
atenda, sem se preocupar diretamente com quais parâmetros estão sendo negociados.
Podem ter classes que variam desde best-effort até aquelas com severas restrições de
tempo e banda de passagem. As aplicações multimídia se encaixariam nesta última
classe, enquanto uma aplicação que necessita apenas de um certo tempo de resposta a
uma consulta em um servidor ficaria em uma classe intermediária, e, por exemplo, uma
aplicação de correio eletrônico estaria na classe de best-effort.
Devido à instabilidade do ambiente móvel sem fio, comparado com o fixo, o
monitoramento da QoS torna-se ainda mais complexo, devendo-se lembrar que este não
deve tomar muito da já limitada banda de passagem e deve ter informações sobre o
estado da rede. A reação às violações da QoS pode ser tomada ou pela própria aplicação
58
que é avisada disso antes, ou pela própria rede. No primeiro caso, tem-se uma
renegociação que pode ocorrer também por vontade do usuário de mudar os seus
parâmetros de qualidade de serviço e, no último a rede é que se adapta às mudanças sem
nada notificar a aplicação, sendo um processo transparente.
Este tipo de adaptabilidade apresenta algumas vantagens sobre a notificação à
aplicação de variações da QoS, apesar de introduzir uma maior complexidade na rede.
Entre as vantagens estão a maior facilidade de programação, com conseqüente redução
do tempo de desenvolvimento de aplicações com requisitos de QoS, e o menor tempo
gasto na adaptabilidade, pois a aplicação não participa deste processo, com a rede se
adaptando de acordo com limites de valores por ela antes determinados.
Na área de redes móveis sem fio as soluções para se garantir QoS ainda não
estão consolidadas. Existem muitos estudos e propostas de algoritmos, parâmetros de
QoS que devem ser considerados e até mesmo arquiteturas para se garantir QoS, porém,
muitas das propostas ainda são somente protótipos ou analisam apenas alguns aspectos
do problema [Santos, 1999].
59
5. ESTUDO SOBRE VPN UTILIZANDO WIRELESS – REDES SEM FIO.
O atual panorama de negócios no mundo propicia parcerias temporárias, o que
exige flexibilidade na comunicação entre: empresas e parceiros, empresa e usuários e
vice-versa. A utilização da tecnologia Wireless propicia um meio de comunicação
flexível para o transporte de dados corporativos, a qual permite rápida adaptação de suas
estruturas de redes corporativas, oferecendo flexibilidade na criação de novas conexões
entre novos parceiros ou equipes de um novo projeto.
A rede móvel sem fio introduz novos desafios para o estabelecimento de
conexões com QoS devido às suas características de mobilidade, restrições de energia e
alta variabilidade da qualidade do enlace de comunicação. Enquanto infra-estruturas de
redes cabeadas oferecem mecanismos avançados de controle e qualidade de serviço,
projetos Wireless buscam a utilização de técnicas, até então aplicadas especificamente
em redes cabeadas, visando com isto, atingir o mesmo nível de desempenho atualmente
existente nas redes corporativas que utilizam apenas infra-estruturas baseadas em cabos.
A utilização das VPNs em redes sem fio, cria proteção adicional à criptografia
do tráfego. O conjunto de protocolos IPSec é o mais completo existente atualmente para
criação de VPN com segurança. Os serviços de segurança que podem ser considerados
parte do IPsec incluem [Paula, 2004] : controle de acesso, integridade sem conexão,
autenticação dos dados originais, defesa contra ataque de pacotes repetidos, encriptação,
confidencialidade do fluxo de tráfego limitado. Além de custos reduzidos, as VPNs
também apresentam a vantagem de serem flexíveis, o que é uma característica
primordial nas aplicações Wireless.
Em um ambiente Wireless, o Controle de Admissão de Conexões (CAC) que é
onde se controla a reserva de recursos, a admissão de novas conexões e a manutenção
das já existentes, deve ser observado com atenção para a garantia de QoS. Além disso,
cabe ressaltar que quando se interconecta uma rede corporativa com outros meios de
comunicação, como por exemplo, as redes sem fio ou a Internet, a segurança torna-se o
ponto mais importante a ser considerado. O uso estratégico de tecnologias de segurança
deve ser muitos bem planejados, visando evitar pontos de vulnerabilidades na segurança
da rede.
60
5.1 Segurança em redes sem fio
O padrão WEP (Wired Equivalent Privacy) é o método criptográfico utilizado
nas redes 802.11 e opera na camada de enlace de dados. O WEP foi desenvolvido com a
finalidade de fazer autenticação, confidencialidade e integridade da comunicação,
implementando o algoritmo criptográfico RC4 para oferecer privacidade com chaves a
partir de 40 bits. Entretanto, no WEP a mesma chave que é utilizada para encriptar e
desencriptar os pacotes, é também utilizada para autenticar uma estação, o que é
considerado um risco de segurança.
Um dos ataques mais comentados em redes sem fio é o War Driving. Esse
ataque tira proveito de uma característica fundamental que diferencia as redes wireless
de redes com fio comuns: é difícil controlar e limitar o alcance de redes wireless. Todos
os dados transmitidos via sinais de radiofreqüência (tipo de transmissão utilizada na
redes sem fio), são susceptíveis a interceptação por um atacante, podem ser examinados
e comparados entre si, permitindo a descoberta da chave criptográfica, que, quando
decifrada, possibilita o acesso ao conteúdo de todas as comunicações. Como essa
mesma chave criptográfica é também utilizada para autenticação entre pontos de acesso
e clientes sem fio. Essa vulnerabilidade permite que atacantes possam se fazer passar
por usuários legítimos e tenham acesso a recursos corporativos.
A Universidade de Berkeley, através de estudos revelou a possibilidade de
alguns tipos de ataques explorarem falhas no algoritmo WEP. Baseados em análises
estatísticas que exploram fraquezas do algoritmo RC4, uma senha WEP pode ser
descoberta em torno de 12 horas [Veríssimo, 2002]. Outro problema que pode resultar
em ataques é o uso do SSID (Server Set ID) padrão, que é usado para a conexão entre
clientes e estações base. Os SSIDs padrões são amplamente conhecidos e estão sujeitos
também a ataques de força bruta. Além disso, eles trafegam em modo claro e podem ser
alvos de sniffing.
Motivado pelas deficiências de segurança e gerenciamento apresentados pelo
WEP desde que foi padronizado pelo comitê 802.11b, encontra-se em desenvolvimento
pelo IEEE o padrão 802.11i, que aborda a utilização de um novo mecanismo de
cifragem para as novas redes wireless 802.11 “a” e “g” de alto desempenho, chamado
AES-OCB (Advanced Encryption Standard - Operation Cipher Block) [Sibra, 2004] .
61
Analisando todas as informações de segurança, observa-se que somente tratando
uma WLAN intrinsecamente como insegura, pode ser garantida a integridade da rede
corporativa. Em função das vulnerabilidades do padrão WEP (Wired Equivalent
Privacy), uma implementação prática atual para agregar segurança a uma WLAN é
implementar uma rede privada virtual (VPN) baseada em IPSec, a qual destaca-se pelo
fato de ser transparente para a camada de aplicação (não exige alteração dos códigos das
aplicações) e para o usuário, como pode ser observado na FIGURA 16 . Além disto, é
também necessário proteger todos os elementos da rede, instalando sistemas FireWall
nos APs (Access Points), sistemas de criptografia no tráfego e personal FireWall nas
estações de trabalhos.
FIGURA 16 – Implementação de VPN integrada a WLAN.
As redes wireless possuem uma importância grande para a disseminação da
informação e para o acesso aos meios de comunicação. Porém, devem ser implantadas
de modo consciente. Quando se trata dos negócios das empresas, é necessário que se
trabalhe de uma forma pró-ativa. Evitar os problemas de segurança conhecidos
existentes em redes sem fio é sempre melhor do que remediar.
62
Entre as diversas recomendações para a implantação de uma rede sem fio
destacam-se: tratar todas as redes wireless como uma rede externa, separada da rede
interna; segmentação da rede também para a wireless, para que aplicações e banco de
dados fiquem restritos apenas a usuários específicos; uso da criptografia nas
comunicações entre dispositivos autorizados na rede wireless; a adoção de proteções
adicionais como o SSH ou o IPSec e uma política de segurança clara.
Deve-se também, sempre acreditar que não existe segurança perfeita, todas as
soluções disponíveis de mercado buscam dificultar ao máximo as invasões. Entretanto,
hackers são indivíduos extremamente inteligentes, e que se mantêm constantemente e
incessantemente dedicados à pesquisa de métodos, visando exclusivamente burlar os
sistemas mais modernos de segurança implementados. Em função disto, pensar como os
hackers, torna-se um poderoso mecanismo de detecção de vulnerabilidades e permite
antecipar medidas de defesa.
5.2 Análise da qualidade de serviço de VPNs integradas a Redes Wireless
As soluções VPN-IPSec oferecem privacidade e integridade de dados, já
comprovadas em redes públicas como a Internet. Ao contrário dos métodos atuais de
autenticação de WLAN, as soluções VPN agregam uma estrutura de autenticação
flexível, fácil de gerenciar, que podem identificar usuários individuais por meio de
senhas, certificados digitais e outros.
Como a idéia básica de uma VPN é criar um túnel seguro, baseado em
protocolos como o IPSec, PPTP ou L2TP, e este túnel é estabelecido por algoritmos de
criptografia no backbone da VPN, os quais envolvem cálculos matemáticos altamente
complexos, e precisam ocorrer para cada pacote enviado e recebido por um dispositivo
de gateway VPN, estes cálculos sobrecarregam não apenas o dispositivo de gateway,
mas também a largura de banda geral da conexão VPN. Essa redução de velocidade se
intensifica com algoritmos de criptografia mais poderosos, que por sua vez exigem mais
complexidade matemática e mais largura de banda para o processamento. Com isto, o
desempenho da comunicação em uma rede logicamente, terá sensível redução
principalmente no ambiente wireless. A fragmentação dos pacotes originais tende a
aumentar em função da adição de cabeçalhos do protocolo VPN utilizado. Esta queda de
desempenho pode ser minimizada através do aumento de processamento nos Hosts
63
(servidores, gateways, estações de trabalho, etc.), da realização em hardware específico
de funções como criptografia e descriptografia, e com a utilização de um padrão de
comunicação que gerencie tráfego e reserva de recursos de banda, para que a
transferência dos pacotes entre dois pontos seja efetuada, evitando-se atrasos e
conseqüentemente a perda de pacotes.
As infra-estruturas de redes sem fio, que operam com o padrão 802.11b,
funcionam como um hub , ou seja, os pacotes são enviados por ordem de chegada, sem
qualquer priorização. Entretanto, com a especificação 802.11e, é introduzido nas
WLANs um suporte à qualidade de serviço, importante para as aplicações multimídia e
para as de tempo real. A extensão 802.11e cria uma nova funcionalidade, o
gerenciamento da qualidade de serviço denominada MAC Enhancements for Quality of
Service. Tal extensão adiciona uma nova função de coordenação para regular o acesso
das estações ao meio sem fio, chamada Hybrid Coordination Function – HCF, e esta
permite aplicar tratamento diferenciado às categorias de tráfego com requisitos distintos
de qualidade de serviço. O controle da funcionalidade é responsabilidade de um nó
especial chamado coordenador híbrido (Hybrid Coordinator - HC). Esse coordenador é
geralmente o próprio AP (Access Point), que passa a exercer essa função em adição
àquelas que já executa em sua área de cobertura e torna-se capaz de regular o acesso ao
meio sem fio seguindo regras de diferenciação de serviços e prioridades préestabelecidas.
De qualquer forma, a qualidade de serviço nas redes sem fio não termina com a
simples adoção de um padrão mais apropriado. É necessário também adotar políticas
próprias para atingir objetivos desejados. O primeiro passo é mapear toda a rede com os
aplicativos existentes, definir o que é prioritário e traduzir essa política para os
equipamentos, com as devidas configurações. O primordial é que a qualidade de serviço
seja uma solução fim-a-fim, que envolva as redes LAN, WAN e WLAN.
Algumas soluções existentes no mercado também oferecem a melhoria da
qualidade de serviço, como por exemplo: a 3Com recomenda colocar uma porta do
switch ligado ao AP, para priorização do tráfego – assim, os recursos são divididos entre
todas as portas da mesma forma. Caso contrário, o AP funciona como um hub, que
mistura todas as portas da mesma forma e sem nenhuma prioridade. Além disto, a
64
empresa desenvolveu uma tecnologia de priorização em redes sem fio, a Dinamic
Access – localizada na placa de rede e que funciona de forma independente dos
switches, de tal forma que a priorização é feita a partir da placa. Ela seria uma
alternativa de QoS nas redes sem fio, mas a 3Com ainda aguarda a definição do novo
padrão para comercializá-la [Telecom, 2004].
A D-Link oferece para a melhoria de qualidade nas redes sem fio um chipset que
permite o envio de mais de uma informação no mesmo meio físico, o que significa
ampliação da taxa de transferência de dados do meio de transmissão wireless (a D-Link
garante duplicar a capacidade de taxa de dados transmitidos pelo meio) [Telecom,
2004].
65
6. CONCLUSÃO
As redes de comunicações sem fio trouxeram aos sistemas de telecomunicações
uma evolução do serviço e uma grande transformação à forma que as pessoas se
comunicam. O serviço introduzido pelas redes móveis celulares é um forte indicador,
pois agrega ao serviço de telefonia básica a mobilidade.
A implementação de VPN integrada a rede sem fio, constitui-se numa alternativa
segura para transmissão de dados através de redes wireless, pois oferecem recursos de
autenticação e criptografia com níveis variados de segurança. As VPNs oferecem
também a capacidade de QoS (Quality of Service), em que a banda disponível em um
meio de comunicação pode ser alocada para determinado tipo de tráfego, de acordo com
a prioridade estabelecida. Deve-se observar que, nas implementações de VPNs
realizadas sobre redes sem fio IEEE 802.11, é necessário levar em conta os problemas
de performance relacionados a infra-estrutura destas redes como, a taxa de transmissão
suportada, pois impactam diretamente na performance da VPN. Uma análise da taxa de
transmissão efetiva requer um estudo mais apurado de cada tecnologia.
As tecnologias de redes sem fio atuais oferecem um nível de mobilidade e
largura de banda bastante satisfatória a seus usuários finais, e são uma alternativa
rápida, flexível e de menor custo comparada às redes cabeadas. Deve-se saber que,
conforme aumentam as necessidades específicas do mercado, e principalmente, o valor
das informações que estarão trafegando pela rede, aumentarão também as tentativas de
acesso não autorizado a estas informações. Isto faz com que os desenvolvedores destas
tecnologias preocupem-se cada vez mais em implementar novas ferramentas para tornálas cada vez mais seguras.
Entende-se que a adoção de uma tecnologia de comunicação em rede exige
soluções que contemplem uma boa relação entre funcionalidade e custo. Por permitir
acesso móvel a informações, aplicações e sistemas em ambientes variados, a decisão de
implementar ou não rede sem fio requer uma análise criteriosa dos requisitos,
principalmente aqueles relacionados a segurança, qualidade de serviço e facilidade de
uso que variam de acordo com o negócio de cada organização.
Importante também é estar sempre atento aos alertas de segurança e tentar se
manter à frente dos hackers por meio da implementação de sistemas cada vez mais
66
seguros, porque, assim como acontece em qualquer tecnologia de rede, a persistência e
criatividade de alguns indivíduos podem fazer com que as barreiras que hoje se
mostram eficientes, em pouco tempo possam se tornar obsoletas.
Entretanto, a principal contribuição deste trabalho desenvolvido através do
estudo destas tecnologias (IEEE 802.11, VPN), é permitir a futuros usuários situarem-se
perante as mesmas, visando viabilizar através do conhecimento de suas características
de segurança, suas vulnerabilidades e funcionalidades; condições para que tais
implementações sejam conduzidas segundo as necessidades específicas de cada um, e
que, por conseguinte adotem arquiteturas de rede personalizadas.
Vale ressaltar que este trabalho é um estudo inicial de um vasto campo de
pesquisa aberto. Quando da implementação de redes de computadores utilizando redes
sem fio, estudos aprofundados através de simulações de configurações de redes
aplicando esta tecnologia, são necessários para que se possa conhecer mais
profundamente os diversos fatores externos e internos que incidem sobre o tema.
67
REFERÊNCIAS BIBLIOGRÁFICAS
[Blackbox, 2003] – http://www.blackbox.com.br/tecnico/wireless/wireless01.htm
Acessado em 15 set. 2003.
[Bluetooth, 2004] – Bluetooth, Padrão de Comunicação sem fio - Disponível na
Internet: http://www.gta.ufrj.br/~apaulo/seminarios. Acessado em: 02 abr. 2004.
[CDMA, 2000] – Ericsson - 3G Sistemas móveis de terceira geração. Disponível na
Internet: http://www.ericsson.com.br/3g. Acessado em: 02 abr. 2004.
[Celular,
2004]
–
Sistema
Móvel
Celular.
Disponível
na
Internet:
http://www.altatensao2001.hpg.ig.com.br/tele/celular.htm. Acessado em: 02 abr. 2004.
[Chapman, 2000] - CHAPMAN, B. et al. Building internet Firewalls. O´Reilly
Associates, 2ª Edição – 2000.
[Coutinho, 2000] - COUTINHO, Mauro Margalho, Um Modelo de Controle e
Mapeamento de QoS Interdomínios, Dissertação de Mestrado apresentada ao Centro
de Informática da Universidade Federal de Pernambuco. Recife, Junho de 2000.
Disponível na Internet: http://www.ufrj.br. Acessado em: 16 jan. 2004.
[EDGE, 2004] - Ericsson - Enhanced Data rates for Global Evolution . Disponível
na Internet: http://www.ericsson.com.br/edge. Acessado em: 02 abr. 2004.
[Edmar, 2000] - REZENDE, Edmar Roberto Santana. Análise de segurança dos
protocolos utilizados para acesso remoto VPN em plataformas Windows.
Campinas: IC_UNICAMP, 2000. Disponível na Internet: http://www.unicamp.br.
Acessado em: 21 set. 2003.
[Hamzeh, 1999] - HAMZEH, K., et al., Point-to-Point Tunneling Protocol (PPTP),
RFC 2637, Julho 1999.
[Held, 1999] - HELD, Gilbert. Comunicação de dados. Editora Campus, 1999.
[José, 2003] - FILHO, José Coelho de Melo. Tese de mestrado - Mecanismos de
controle de QoS - Qualidade de Serviço em redes IEE 802.11. UFRJ – 2003.
Disponível na Internet: http://www.ufrj.br. Acessado em: 16 jan. 2004.
[Martins, 2000] Martins, Ronei Ximenes. Introdução a redes de computadores.
Centro Universitário do Sul de Minas – UNIS, 2000.
68
[Miranda, 2003] – Miranda, Ivana Cardial, Rede Virtual Privada. Disponível na
Internet: http://www.gta.ufrj.br/seminarios/semin2002-1/Ivana. Acessado em: 15 set.
2003.
[Nakamura, 2000] - NAKAMURA, Emílio Tissato. Análise de segurança do acesso
remoto VPN. Campinas: IC_UNICAMP, 2000. Disponível em http://www.unicamp.br.
Acessado em: 21 set. 2003.
[Nec, 2004] - http://www.nec.com.br/barra_busca/glossario.asp - Acessado em: 20
mar. 2004.
[Northcutt, 2002] - NORTHCUTT, Stephen et al. Desvendando segurança em redes.
Editora Campus, 2002.
[Paula, 2004] - Segurança do Protocolo de Internet - IPV6. Disponível na Internet:
http://www.gonzaga.eti.br/asis/ipv6-paula.doc Acessado em: 16 abr. 2004.
[RNP, 2004] – Rede Nacional de Pesquisa, VPN – Virtual Private Network.
Disponível na Internet: http://www.rnp.br/newsgen/9811/vpn.html. Acessado em: 26
fev. 2004.
[RFC1633] - Braden, R.; Clark, D.; Shenker, S.; Integrated Services in the Internet
Architecture. RFC1633, June 1994.
[RFC2205] - Braden, R.; Zhang, L.; Berson, S.; Herzog, S.; Jamin, S.; Resource
Reservation Protocol, RFC2205, September 1997.
[RFC2475] - Blake, S.; Black, D.; Carlson, M.; Davies, E.; Wang, Z.; Weiss, W.; "An
Architecture for Differentiated Services", RFC2475, December 1998.
[Santos, 1999] – Santos, Vladimir de Lima, Qualidade de Serviço em Redes Móveis
sem Fio. Disponível na Internet:http://www.dcc.ufmg.br. Acessado em 06 abr. 2004.
[Sérvolo, 2002] - FILHO, Sérvolo Dantas, Proposta para implantação de rede GSM
em áreas urbanas, Monografia apresentada ao curso de Ciências da Computação do
Centro Universitário do Triângulo, Dezembro de 2002.
[Sibra, 2004] – http://www.sibra.com.br. Acessado em: 25 mar. 2004.
[Simpson, 1994] - SIMPSON, W., The Point-to-Point Protocol (PPP), RFC 1661,
Julho, 1994.
[Soares, 1995] - SOARES, Luiz Fernando Gomes et al. Redes de computadores: das
LANs, MANs e WANs às redes ATM. Rio de Janeiro: Campus, 1995.
69
[Tanembaum, 1996] - TANEMBAUM, Andrew S. Redes de computadores. 3ª Edição,
Editora Campus, 1996.
[Telecom, 2004] - http://www.itweb.com.br/solutions/telecom/wireless
[Veríssimo, 2002] – VERÍSSIMO, Fernando, Segurança em redes sem fio,
Monografia apresentada ao curso de Tópicos Especiais em Redes Integradas de Faixa
Larga da Universidade Federal do Rio de Janeiro, Janeiro de 2002.
[WirelessBR, 2003] – http://sites.uol.com.br/wirelessbr. Acessado em: 15 dez. 2003.
Download

redes privadas virtuais