You are on page 1of 61

FUNDAÇÃO EDSON QUEIROZ UNIVERSIDADE DE FORTALEZA – UNIFOR ENSINANDO E APRENDENDO

GARDEL MOREIRA MENEZES

Viabilização de comunicação criptografada usando VPN com ADSL

Fortaleza - 2004

GARDEL MOREIRA MENEZES

Viabilização de comunicação criptografada usando VPN com ADSL

Monografia apresentada para obtenção dos créditos da disciplina Trabalho de Conclusão do Curso do Centro de Ciências Tecnológicas da Universidade de Fortaleza, como parte das exigências para graduação no Curso de Informática. Orientador: Adbeel Góes Filho

Fortaleza - 2004

VIABILIZAÇÃO DE COMUNICAÇÃO CRIPTOGRAFADA USANDO VPN COM ADSL

Gardel Moreira Menezes

PARECER _____________________

Data: ____/____/_________

BANCA EXAMINADORA:

___________________________________ Professor Adbeel Góes Filho

___________________________________ Professor Fernando Parente

Finalizando trabalho com ums estudo de caso mostrando a aplicação e o ganho obtido com a plicação destas soluções combinadas. Seguindo com uma abordagem sobre a tecnologia xDSL. demonstra problemas e soluções na combinação das duas. Inicialmente explora as especificações e recursos utilizados nas criações das VPNs. Abrangendo não so as vantagens financeiras como tecnicas das soluções. . Depois de oferecer uma visão sobre estas duas tecnologias.RESUMO Este trabalho mostra a viabilização de implementação de VPN usando a tecnologia ADSL.

pelo eterno incentivo e cobrança. pelas oportunidades que me tem concedido na viva.AGRADECIMENTOS À Deus. por me permitir a conclusão de um sonho. A minha irmã Gardênia e ao amigo Nazildo. . Ao meu amigo Antônio Luiz pela compreensão e apoio. Aluisio e Maria. Aos meus pais. Ao Professor Adbeel pela prestatividade.

6 Comparativo entre a família xDSL 3.4.5.5.1.4.3.1.3. L2TP 1.1. Estudo de caso Conclusão Referências Glossário 02 03 04 07 08 10 12 13 13 15 16 17 19 21 22 23 24 24 25 25 28 32 34 34 35 36 37 39 46 52 53 54 50 . O baixo custo da VPN 1.3.1.4.3. Escalabilidade 1.2.5. Soluções para VPNs 2. xDSL 2. Protocolos de Tunelamento 1.3. Para que precisamos de VPN 1.2. L2F 1. ADSL (Assymmetric Digital Subscriber Line) 2.6.5 Tunelamento 1.1. IPSEC 1.4.SUMÁRIO Lista de figuras Lista de tabelas ` Introdução 1.Very high bit-rate Digital Subscriber Line 2.5.1. VPN 1.1.1.4.5.2.5.4.1.4. Solução IPSec para VPN 1. Desvantagens da VPN 1. HDSL (High Data Rate Digital Subscriber Line) 2.1. Algoritmos criptográficos 1. Definição 1. Associações de Segurança (SA) 1. VDSL .1.1.2.2.1.5. IDSL (ISDN Digital Subscriber Line) 2.1. RADSL (Rate Adaptative Digital Subscriber Line) 2. Modo transporte e modo túnel 1. Possibilidades de VPN com ADSL 4. Vantagens da VPN 1.5. PPTP 1.3.5.5.4.

Esquema de um Túnel PPTP Figura 8 .As inseguranças relativas a VPN Figura 4 .Ambiente empírico Figura 13 .VPN usando ADSL entre pontos dinâmicos Figura 16 – Rede no formato com o link de rádio Figura 17 – Rede no formato com Velox 11 14 16 16 19 20 21 22 23 26 26 40 42 43 44 46 50 2 .Esquema de um Túnel L2F Figura 9 .LISTA DE FIGURAS Figura 1 .Encapsulamento de um datagrama IP feito pelo PPTP Figura 7 .VPN usando IPs fixos Figura 14 .Explosão combinacional Figura 3 .IPSec em modo túnel utilizando os serviços do cabeçalho ESP Figura 12 .IPSec em modo túnel utilizando os serviços do cabeçalho AH Figura 11 .Exemplo de túnel Figura 5 – VPN CLIENT-to-LAN e LAN-to-LAN Figura 6 .VPN usando ADSL entre um ponto dinâmico e um fixo Figura 15 .O domínio da VPN Figura 2 .Esquema de um Túnel L2TP Figura 10 .

LISTA DE TABELAS Tabela 1 – Analise de implementação de VPN Tabela 2 – Comparativo xDSL 27 36 3 .

Um exemplo comum desta realidade seria a comunicação entre filiais de uma empresa que necessitam usar uma base de dados comuns que é mantido na matriz. um país ou um continente. cria-se uma WAN (Wide Area Network ou rede de longa distância) Termo que designa uma rede de comunicação de dados que cobre áreas geograficamente extensas como um Estado. isto significava o uso de linhas privadas (LP) para manter a comunicação entre seus parques tecnológicos. Muitas empresas têm se espalhado facilmente por diferentes regiões geográficas e tem algo que todas precisam: uma maneira de manter a comunicação entre elas de forma rápida. quanto com sua logística.INTRODUÇÃO O mundo tecnológico mudou bastante nos últimos anos. não importando onde elas estejam. segura e confiavel. Até recentemente. 4 . tanto no que diz respeito à comunicação entre suas filiais. para também se preocupar com o contexto global das mesmas. o que possibilitava as empresas expandirem suas redes privadas para locais geograficamente distantes. E no mesmo sentido em que a tecnologia mudou. Isto provoca a necessidade das mesmas estarem conectas o tempo todo. e toda atualização deve ficar disponível para acesso das outras filiais. as possibilidades com ela evoluíram. Para viabilizar esta necessidade. Muitas empresas passaram de um estágio onde se preocupavam somente com o contexto local ou regional de suas estruturas físicas.

Explicando sua definição. as quais são protegidas por senha. várias formas de conexão de banda larga. Inicialmente as intranets. a tecnologia ADSL impõe algumas dificuldades na criação e manutenção de VPN. manter uma WAN pode se tornar muito cara. Dando uma visão geral sobre os protocolos de tunelamento e criptografia. no que diz respeito à disponibilidade. O trabalho está dividido em quatro capitulos. Entretanto. quais tecnologias são usadas em conjunto com ela. que são redes internas baseadas no protocolo IP (Internet Protocol). têm surgido. Neste trabalho. são abordados os aspectos mais tecnicos de uma VPN. rápida e disponível. Entretanto. Agora.Uma WAN apresenta grandes vantagens quando comparada a uma rede pública como a Internet. com velocidades de transmissão de dados acima do conhecido sistema de acesso discado. 5 . fazemos um estudo sobre essas tecnologias e apresentamos algumas soluções para suas limitações. Diante desse contexto. e entre elas a tecnologia ADSL tem tomado grande destaque pelo fato de ser barata. isto é. ou escritórios distantes. e normalmente o custo aumenta com a distância. varias empresas estão criando suas próprias VPNs (Virtual Private Network) para suprir as necessidades de seus usuários remotos. as empresas têm vislumbrado nisto uma forma de expandir suas próprias redes. Como foi citado anteriormente. VPN começa a ser uma grande possibilidade de comunicação facilitada e mais barata para as empresas que têm necessidade de comunicação entre regiões geográficas separadas. performance e segurança. um exemplo seria usando LPs como será demonstrado no decorrer do trabalho. desenvolvidas para uso apenas pelos profissionais das empresas. No primeiro. Com o crescimento da popularidade da Internet.

No ultimo capitulo é feito um estudo de caso. onde pode se observar beneficios na adoção de uma implementação usando a combinação das duas tecnologias. geradas a partir de uma solução combinado VPN com ADSL. com suas dificuldades e soluções. mostrando sua familia e suas definições e aplicações no mercado. em uma empresa de medio porte.No capitulo dois é feito uma estudo sobre a tecnologia xDSL. No terceiro capitulo é abordado as possibilidades. 6 .

È como tirar cera do nariz no Times Square fazendo de conta que ninguém esta em volta” (Wired Magazine. dá a possibilidade para as empresas dizerem que seus produtos são VPNs.Deflating this month's overblown memes. é muito mais barato que usar suas próprias conexões via frame relay. Mas não importa a definição que você escolha. Esteja certo. buscaremos entender o que é uma VPN. pois a confusão de frases não faz sentido. Fevereiro 1998. como ela pode ser aplicada observando suas dificuldades e beneficios. Buscando abordar tambem as tecnologias utilizadas em conjunto como os protocolos e tunelamento e os de criptografia." pagina 80) Partindo desta definição. A idéia é criar uma rede privada via um túnel e/ou criptografada sobre uma rede pública. VPN (Virtual Private Network) “O maravilhoso sobre VPN é que entre a grande quantidade de definições existentes. 7 . mas trabalha tão bem quanto. Wired's "Hype List .1.

na descrição da privacidade de seu endereçamento IP e seu sistema de 8 . de alguma forma. A privacidade e a segurança dos dados sempre serão pontos extremamente importantes para serem levados em consideração no planejamento de um VPN. O termo “privado” já é bem claro. A forma mais simples de definirmos seria: privado . Vamos começar estudando a palavra Rede (Network). Para facilitar. Dispositivos desta natureza incluem computadores. Outro aspecto importante de privacidade numa VPN está na sua definição técnica.1. desde que é aceito quase sem grandes contradições no mercado. Os métodos que eles podem usar para se comunicar são inúmeros. existem várias definições de VPN. Então. e podem estar separados geograficamente. Uma rede consiste de um número de dispositivos que podem se comunicar entre si. vamos concordar que rede é uma coleção de dispositivos que podem se comunicar de alguma forma. atingindo uma resposta mais clara. analisando palavra por palavra e depois de compreendê-las em separado.e os dispositivos que não fazem parte deste tipo de comunicação “privado” não tem acesso ao conteúdo desta transmissão segura.. da maneira que seria a mais simples e lógica. secreta. através de algum meio de comunicação.1. roteadores.a comunicação entre dois (ou mais) dispositivos é. e podem transmitir e receber dados entre eles. impressoras. Definição Como a Wired Magazine publicou no trecho acima. entre outros. encontrarmos sentido na união de todas. Vamos tentar explicar. e está muito relacionado ao conceito de virtualização quando nos referimos a VPN. faz sentido começarmos este estudo sobre VPN tentando viabilizar uma definição que seja senso comum sobre VPN. assim. entretanto não ajudam muito para este contexto. Este é o termo mais fácil de definir e entender.

Virtual /adj. Compiled by Eric S. entre aplicações individuais. onde a privacidade é introduzida por um tipo de virtualização. 1993) A definição que mais se enquadra na realidade de VPN é a 2. 2. o cenário é um pouco diferente. Também faz uso de circuitos físicos dedicados e serviços de comunicação. A rede privada não tem um sistema físico de comunicações “privado”. A rede “privada” é uma criação virtual. e não física. entretanto. Esta rede compartilhada pode ser a Internet. o recurso privado é na realidade construído usando a fundação de uma partição lógica de algum recurso comum compartilhado. 9 . Alternativa comum para {lógico}. ou entre várias organizações através da Internet.roteamento. Isto significa que o endereçamento dos usuários que necessitam da VPN é diferente daqueles que não fazem parte desta comunidade de interesse. A comunicação privada é agora conduzida através da infraestrutura de uma rede que é usada por mais de uma companhia. A combinação destes termos gera VPN – uma rede privada. ou entre duas organizações. O termo mais complicado para deixarmos bem claro seria “Virtual”. Uma VPN pode ser construída entre dois sistemas./ 1. Simulado. Raymond. O aspecto de virtualização é similar ao que descrevemos como “privado”. published by MIT Press. ou qualquer combinação dos elementos citados acima. (“The New Hacker’s Dictionary. geralmente usado para se referir a objetos artificiais (como memória virtual endereçável mais do que a memória física) simulados por um sistema de computador como uma forma conveniente de gerenciar o acesso a recursos compartilhados. E mais. entre vários sistemas dentro da mesma organização. desempenha as funções de alguma coisa que não está realmente ali.” Third Edition.

mas sim a segmentação controlada de comunicações para comunidades de interesse através da infraestrutura compartilhada. onde o mesmo oferece serviços de rede em um meio de comunicação não exclusivo. Em outras palavras. A definição comum e formal para VPN é: Uma VPN é um ambiente de comunicações no qual o acesso é controlado para permitir conexões a pontos apenas dentro de uma comunidade de interesse. Do ponto de vista econômico. mas o motivo mais comum para construí-la é a necessidade que as empresas normalmente têm de virtualizar alguma parte das comunicações. menos formal e bem aproximada seria: Uma VPN é uma rede privada construída dentro de uma infraestrutura rede publica. De uma maneira mais simples. mas atrelando a seu valor. Os sistemas de comunicação apresentam desde componentes caros até componentes baratos para viabilizar a comunicação. e é construída por alguma forma de partição de um meio de comunicação comum. tornando possível a aquisição/uso de componentes de alto custo. A principal motivação para se ter uma VPN está na economia no uso dos meios de comunicação para transferência de dados. rateando este gasto entre um numeroso grupo de clientes. Para que precisamos de uma VPN? Existem vários motivos para se construir uma VPN. como a Internet. Quando um grupo de redes virtuais é implementado em um meio físico comum de comunicação fica mais barato de 10 .2. Os mais caros conseguem uma maior banda de comunicação do sistema. 1. normalmente é financeiramente atrativo juntar um conjunto de serviços de comunicação em uma plataforma comum de alta capacidade.VPN não significa comunicações isoladas necessariamente. é tornar algumas partes (ou toda) das comunicações da empresa invisível aos observadores externos. sua capacidade de transmissão.

trazemos à tona uma segunda motivação para VPN que é a privacidade na comunicação. pois se cada empresa quiser ter sua própria estrutura física de comunicação exclusiva. O nível de privacidade está extremamente relacionado à avaliação de risco feita pela organização – se a necessidade de privacidade é baixa. O domínio da VPN Então. se a necessidade de privacidade 11 .operacionalizar. O Domínio da VPN Mais da metade dos gerentes de TI que planejam usar VPN nunca implemetaram uma. Entretanto. então a simples abstração de discrição e obscuridade da rede será suficiente. a operacionalização dela tornar-se-ia muito cara. ou planejam implementar nos proximos 6 meses 16% 29% Atualmente usam VPN Planejam usar VPN nos proximos 6 meses 21% Planejam usar VPN entre os proximos 6 meses e um ano Planejam usar VPN daqui a ano ou mais 34% fonte: InternetWeek – Pesquisa: O uso de VPN com 200 Gerentes de TI Figura 1. se a agregação dos requisitos de comunicação leva a um melhor custobenefício na infra-estrutura de comunicações. onde as características e integridade de serviços de comunicação em um ambiente estão isoladas dos outros ambientes que compartilham o mesmo meio. por que não juntarmos todos estes serviços em um sistema único de comunicação? Por que ainda é necessária alguma forma de particionamento dentro deste sistema de comunicação comum que resulta nesta rede “privada virtual”? Como resposta a essas duas indagações.

3. 1. ou serviços de comunicação dedicada. Uma alternativa à Internet como meio para a VPN hoje em dia é o aluguel de circuitos.1. Entretanto. e é construída usando a estrutura de cabos da própria empresa. esta alternativa tem um custo associado a ela. com um cliente único. esquema de endereçamento. e circuitos alugados para conectar a locais geograficamente separados. Com VPNs. pois o cliente agora tem que gerenciar a rede e todos os elementos associados a ela.for alta. Esta conexão pode ser uma linha 12 . investir capital em sua estrutura física e lógica. Vantagens da VPN As duas principais vantagens de VPN são o baixo custo e sua escalabilidade. O baixo custo da VPN Um ponto que barateia a VPN é a eliminação da necessidade de linhas privadas de longa distância. e serviços sejam dedicados a um fechado grupo de assinantes.3. 1. ambiente de rede onde a infra-estrutura. Ao contrário do desenvolvimento de uma infra-estrutura pública. o modelo de desenvolvimento tem que ser fechado (ou privado). contratar equipe qualificada e assumir completa responsabilidade pelo funcionamento do serviço de rede. onde a rede é dedicada para somente uma entidade. Este modelo se aproxima daquele de um ambiente corporativo fechado. do operador de rede pública (ex: Telemar. Esse precursor da VPN pode ser chamado de PDN (Private Data Network). uma organização precisa de uma pequena conexão dedicada com o provedor do serviço. gerenciamento. dois pontos que fazem a diferença. então o cuidado terá que ser maior em sua implementação para que o tráfego dos dados esteja bem protegido quando passar por este meio comum. Embratel) e criar uma rede completamente privada.

13 . Assim. que será tratado mais adiante. Com VPNs. Um terceiro ponto a ser levado em consideração é o fato da diminuição do custo com suporte.2. em sua maioria. o provedor do serviço. Os clientes de VPN precisam apenas ligar para o provedor de acesso mais próximo. mas. uma ligação local é o suficiente. por exemplo. os provedores do serviço podem. tornar o valor do suporte bem barato. Outra forma de reduzir os custos usando VPNs é que diminui a necessidade de ligações à longa distancia (DDD/DDI) para acesso remoto. mas este custo pode crescer exponencialmente com a expansão da empresa. já que o custo é rateado entre todas as empresas que são clientes. por exemplo. pode prover suporte para acesso via dial-up (acesso discado). E um terceiro escritório precisa ficar on-line com os outros dois. em teoria.privada local (muito mais barata que uma a longa distância). 1. Em algumas situações uma ligação à distancia (DDD) pode ser necessária. Então. como o serviço ADSL. duas novas linhas adicionais serão necessárias para conectar diretamente este terceiro escritório com os outros dois. Escalabilidade O custo de linhas privadas para uma organização tradicional pode ser a principio razoável. Uma companhia com dois escritórios. ou pode ser uma conexão de banda larga. melhor do que a empresa.3. pode preparar apenas uma linha dedicada para conectar os dois pontos.

14 . para evitar que a queda de um ponto provoque a queda de outros. mais pontos serão necessários para serem inseridos na rede. A VPN vem como uma ótima solução para isto.LP Figura 2 . quatro escritórios precisam de seis linhas dedicadas para total conectividade. Os matemáticos chamam isto de explosão combinacional. a situação ideal para o processo de adição de mais um ponto na estrutura. Levando em consideração que estamos analisando uma estrutura corporativa. cinco escritórios necessitam de 10 linhas e assim por diante. pois ela faz uso do meio publico já existente. assim possibilitando uma expansão com uma maior facilidade e menor custo. Assim. com o crescimento da empresa. é que este ponto tenha uma LP dedicada aos outros pontos existentes. pois não será necessário adquirir novas linhas privadas sempre que for adicionado um ponto a rede.Explosão combinacional Entretanto. assim fazendo o numero de linhas privadas crescerem bastante. e numa WAN tradicional esta explosão limita a flexibilidade para o crescimento.

Quatro pontos podem ser destacados neste aspecto: a) Requer um profundo conhecimento de segurança de rede publica para se adotar todas as devidas precauções na implementação de uma VPN.4. Desvantagens de VPN Com todo o impacto que cercou historicamente VPNs. onde às vezes linhas privadas não alcançam. Como por exemplo: quando ha problema da operadora do serviço.Comparada com linhas privadas. ou algum problema físico no meio publico apresenta problema. 1. oferecendo acesso aos pontos que tem conexão com a internet. b) A disponibilidade e a performance da VPN de uma organização entre pontos geográficos diferentes envolvem fatores que estão fora do controle da organização. 15 . c) Tecnologias de VPNs de diferentes fabricantes podem não trabalhar bem quando juntadas a novos padrões. os principais perigos. as VPNs baseadas em Internet oferecem um alcance global bem melhor. ou pontos fracos do modelo da VPN são facilmente esquecidos. d) VPNs precisam acomodar protocolos diferentes de IP e tecnologia de rede interna existente.

Figura 4 .As inseguranças relativas a VPN Gerentes de TI que não tem planos de usar VPN citaram os seguintes fatores: 23% 31% Não estão familiarizados o suficiente com VPN Segurança Interoperabilidade Performance Tecnologia não madura 15% Outras 8% 10% 13% fonte: InternetWeek – Pesquisa: O uso de VPN com 200 Gerentes de TI (múltiplas respostas) Figura 3 .As inseguranças relativas a VPN 1.5 Tunelamento As redes virtuais privadas baseiam-se na tecnologia de tunelamento cuja existência é anterior às VPNs.Exemplo de tunel 16 .

O pacote criptografado e encapsulado viaja através da Internet até alcançar seu destino onde é desencapsulado e decriptografado. Os pacotes encapsulados são roteados entre as extremidades do túnel na rede intermediária. Estes protocolos podem ser divididos em dois grupos: 17 . retornando ao seu formato original.5.1. este é criptografado de forma a ficar ilegível caso seja interceptado durante o seu transporte. o pacote é desencapsulado e encaminhado ao seu destino final. Protocolos de Tunelamento Para se estabelecer um túnel é necessário que as suas extremidades utilizem o mesmo protocolo de tunelamento. transmissão ao longo da rede intermediária e desencapsulamento do pacote. O protocolo de tunelamento encapsula o pacote com um cabeçalho adicional que contém informações de roteamento que permitem a travessia dos pacotes ao longo da rede intermediária. Por exemplo. Túnel é a denominação do caminho lógico percorrido pelo pacote ao longo da rede intermediária Após alcançar o seu destino na rede intermediária. O tunelamento pode ocorrer na camada 2 ou 3 (respectivamente enlace e rede) do modelo de referência OSI (Open Systems Interconnection). 1. Note que o processo de tunelamento envolve encapsulamento. A rede intermediária por onde o pacote trafegará pode ser qualquer rede pública ou privada. pacotes de protocolo IPX podem ser encapsulados e transportados dentro de pacotes TCP/IP.Ele pode ser definido como processo de encapsular um protocolo dentro de outro. O uso do tunelamento nas VPNs incorpora um novo componente a esta técnica: antes de encapsular o pacote que será transportado. Uma característica importante é que pacotes de um determinado protocolo podem ser encapsulados em pacotes de protocolos diferentes.

quatro protocolos se destacaram. Nestes casos.Point to Point Tunneling Protocol. L2F . um túnel é similar a uma seção. Os pacotes são encapsulados em quadros PPP. • Protocolos de camada 3 (IP sobre IP): encapsulam pacotes IP com cabeçalhos deste mesmo protocolo antes de enviá-los . não existe a fase de manutenção do túnel.Layer Two Forwading. A gerência do túnel é realizada através de protocolos de manutenção. 18 .IP Security Protocol. em ordem de surgimento: • • • • PPTP . Nas tecnologias de camada 3 (rede). onde as duas extremidades do túnel negociam a configuração dos parâmetros para estabelecimento do túnel (endereçamento.). mantido e encerrado.• Protocolos de camada 2 (PPP sobre IP): transportam protocolos de camada 3. Para técnicas de tunelamento VPN Internet. IPsec . é necessário que o túnel seja criado. Nos túneis orientados à camada 2 (enlace). parâmetros de compressão etc. utilizando quadros como unidade de troca. criptografia. O PPTP.Layer Two Tunneling Protocol. L2TP . o L2F e o L2TP são protocolos de camada 2 e têm sido utilizados para soluções Client-to-Lan (cliente para rede). o IPsec é um protocolo de camada 3 mais enfocado em soluções LAN-to-LAN.

Figura 5 – VPN CLIENT-to-LAN e LAN-to-LAN 1.1. O PPTP oferece serviços de encapsulamento para suporte de protocolos não-TCP/IP.1 POINT-TO-POINT TUNNELING PROTOCOL (PPTP) PPTP é um protocolo definido por vários fornecedores que foi amplamente adotado para uso na criação de soluções de VPNs. O PPTP usa MPPE (Microsoft Point-to-Point Encryption) para obter serviços de criptografia e é compatível com o suporte a VPNs disponível para versões anteriores do Windows.5. Os clientes têm a opção de usar uma VPN baseada em segredo compartilhado simples para evitar as despesas associadas à manutenção de infra-estruturas de chaves públicas. O PPTP é uma boa alternativa para o IPSec e L2TP para organizações que não desejam instalar e gerenciar uma infra-estrutura de chaves públicas para VPNs. Isso também protege os investimentos existentes no PPTP como 19 .

o PPTP também requer a negociação de parâmetros antes de. Da mesma forma que outros protocolos de segurança. o seu procedimento de negociação é feito sem qualquer proteção. como mostrado na Figura 4. nome do usuário e. efetivamente. em alguns casos. o hash criptográfico da senha do usuário (Chapman. permitindo que um invasor modifique parâmetros ou obtenha dados como o endereço IP dos extremos do túnel. Cooper e Zwicky. 20 .Encapsulamento de um datagrama IP feito pelo PPTP. Porém.uma solução de VPNs. O PPTP oferece criptografia por software eficiente e é uma opção para VPN apropriada para processadores 486 e Pentium antigos. o PPTP cifra e encapsula este datagrama em um pacote PPP que. é encapsulado em um pacote GRE (Generic Routing Encapsulation). nome e versão do software utilizado. Antes do envio de um datagrama IP. por sua vez. A idéia básica do PPTP é dividir as funções do acesso remoto de tal modo que indivíduos e empresas possam utilizar a infra-estrutura da Internet para prover uma conectividade segura entre clientes remotos e redes privadas. O PPTP tem como finalidade principal prover um mecanismo para o tunelamento de tráfego PPP (Point-to-Point Protocol) sobre redes IP. IP Heade r GRE Heade r PPP Heade r PPP Payload (IP datagrama or IPX datagrama) Encrypte Figura 6 . proteger um tipo de tráfego entre duas entidades. 2000).

quando o túnel se forma. depois. a autenticação é feita em dois níveis: primeiro.2. Uma grande diferença entre o PPTP e o L2F. mas também inclui suporte para TACACS+ e RADIUS para uma autenticação desde o inicio da conexão.1. L2F (Layer 2 Forwarding) Foi um dos primeiros protocolos utilizado por VPNs.Figura 7 Esquema de um Túnel PPTP 1. o gateway da corporação também irá requerer uma autenticação. Na verdade.5. 21 . o L2F foi projetado como um protocolo de tunelamento entre usuários remotos e corporações. é capaz de trabalhar diretamente com outros meios físicos de transmissão de dados como FRAME RELAY ou ATM. é o fato do mesmo não depender de IP e. por isso. Este protocolo utiliza conexões PPP para a autenticação de usuários remotos. quando a conexão é solicitada pelo usuário ao provedor de acesso. Como o PPTP.

o que não é possível no protocolo PPTP.1.Esquema de um Túnel L2F A grande vantagem desse protocolo é que os túneis podem suportar mais de uma conexão. Além disso.INTERNET REDE PRIVADA Computado r Remoto PPP ISP NAS TUNEL L2F PPP DATAGRAMAS IP GATEWAY Figura 8 .5. 22 . 1. LAYER TWO TUNNELING PROTOCOL (L2TP) L2TP é uma minuta de especificação da IETF para encapsulamento e transmissão de tráfego não-IP por redes TCP/IP. Suporta atribuição dinâmica de endereços IP para gerenciamento simplificado de VPNs.3. Ele usa o IPSec para obter criptografia opcional. o L2F também permite tratar de outros pacotes diferentes de IP. como o IPX e o NetBEUI por ser um protocolo baseado na camada 2 do modelo OSI.

5. é necessário usar o L2TP ou o PPTP. O IPSec pode ser usado para comunicações particulares e da VPN.INTERNET REDE PRIVADA Computado r Remoto PPP ISP NAS TUNEL E CANAL DE CONTROLE L2TP PPP DATAGRAMAS IP LNS NAS Figura 9 . O Windows 2000 integra rigorosamente o IPSec com o gerenciamento de diretivas do sistema para reforçar a criptografia entre sistemas de modo transparente ao usuário final.1. Para encapsulamento de protocolos não-IP ou para atribuição dinâmica de endereços IP em VPNs. Os clientes podem ter comunicações gerenciadas por diretivas de grupo e seguras por criptografia que protegem as informações enviadas por redes. é mais fácil de ser configurado e gerenciado 23 .4. Como o IPSEC é integrado ao sistema operacional. IP SECURITY (IPSEC) O protocolo IP Security é um padrão proposto pelo IETF para criptografar o tráfego de IP. 1.Esquema de um Túnel L2TP Os clientes têm a opção de usar esse padrão emergente para suportar protocolos IP assim como protocolos não-IP (como IPX ou AppleTalk) através de conexões de VPNs baseadas em IPSec.

No entanto. São eles: HMACMD5-96 E HMAC-SHA-1-96 para os serviços de autenticação e integridade do AH e ESP. este conjunto obrigatório não é suficiente para prover segurança de forma adequada a todos os tipos de informação (Sena.do que soluções complementares. entre outros parâmetros.4.5. Em relação ao DES. No primeiro. 56 bits. Geus e Augusto. que especificam os algoritmos a serem utilizados. e.1. Sendo assim. é atualmente vulnerável a ataques de força-bruta tornando-o inadequado para preservar informações cujo sigilo é de extrema significância (Bellovin. Existem duas formas de estabelecimento de associações de segurança: estática e dinâmica.1.2. porém existe um conjunto mínimo cuja implementação é obrigatória. nem todas as implementações os conterão. a implementação de outros algoritmos mais capazes seria de extrema importância. algoritmos nulos de autenticação e confidencialidade utilizados pelo ESP quando um dos seus serviços não é requisitado. DES-CBC para a confidencialidade provida pelo ESP. em vez de apenas o tráfego entre dispositivos da rede como roteadores e caixas de criptografia. as chaves criptográficas. Associações de Segurança (SA) Para que duas entidades consigam enviar e receber pacotes utilizando os serviços do IPSec é necessário o estabelecimento de Associações de Segurança (Security Association – SA).1. porém se algoritmos mais seguros não estão padronizados. os parâmetros 24 . Além disso.4.5. o tamanho de chave utilizada. 1997). 2002). TODO o tráfego pode ser criptografado. 1. utilizando máquinas de baixo custo (Schneier. os tempos de vida destas chaves. Estudos têm mostrado que particularidades do MD5 permitem acelerar o processo para gerar mensagens que produzam o mesmo hash. 1. 1996). Algoritmos criptográficos Diversos algoritmos criptográficos podem ser utilizados pelo AH e ESP.

são inseridos manualmente em ambos os extremos da comunicação. os parâmetros são negociados por protocolos como o IKE.3. A escalabilidade do IPSec está relacionada ao estabelecimento dinâmico de SAs que devem ser definidas por conexão ou. A Figura 8 mostra o uso do IPSec em modo túnel 25 . No segundo. No modo túnel. os cabeçalhos protegem o pacote IP encapsulado.5.1. 1. sendo o pacote IP original transmitido através do túnel. Este modo. possuem dois modos de operação: transporte e túnel. os cabeçalhos de segurança utilizados por um pacote são inseridos após o cabeçalho IP. no máximo. O modo túnel tem seu uso recomendado na proteção do tráfego entre um host e um gateway. No modo transporte. sem a intervenção do administrador. para prover maior segurança. Modo transporte e modo túnel Ambos os cabeçalhos. Nesse cenário. por usuário. tirando-se proveito de todos os serviços de segurança oferecidos pelo IPSec.4. AH e ESP.4. Antes de ser enviado. os cabeçalhos de segurança provêm proteção primária para os protocolos das camadas superiores.4. em geral. Todo o tráfego IP é encapsulado pelo IPSec. é utilizado para proteção fim-a-fim da comunicação entre dois hosts e representa uma solução adequada para auxiliar na segurança de pacotes em redes locais. constituindo um canal seguro para o tráfego dos dados sobre a rede pública intermediária. No modo transporte. Solução IPSec para o acesso remoto VPN Uma solução bastante utilizada atualmente para o acesso remoto VPN é o uso do IPSec em modo túnel.1. provendo proteção para todos os campos do cabeçalho IP original. o túnel IPSec é estabelecido entre o cliente remoto e o gateway VPN da organização. 1. o pacote original é inserido completamente na porção de dados de um novo pacote que contém os cabeçalhos de segurança e cujos endereços correspondem aos extremos do túnel.5.

tornando o túnel IPSec vulnerável a alguns tipos de ataques. provendo confidencialidade a todo o pacote IP original. ou somente com o serviço de confidencialidade. quanto do pacote IPSec utilizado para prover o tunelamento. Uma análise detalhada dessas vulnerabilidades pode ser encontrada em (Bellovin. Geus e Augusto. No entanto. Sena. e integridade e autenticação ao pacote IP original e parte do pacote IPSec utilizado para prover o tunelamento. é importante notar que o uso do IPSec somente com os serviços de autenticação e integridade. Apesar dos problemas 26 . New Tunnel Header ESP Header Original IP Header TCP UDP Header Aplication Data ESP Trailer ESP Auth Encrypted Signed Figura 11 – IPSec em modo túnel utilizando os serviços do cabeçalho ESP. 2002). Na Figura 9 é mostrado o modo túnel do IPSec utilizando os serviços do cabeçalho ESP. New Tunnel Header Auth Header Original IP Header TCP UDP Header Aplication Data Signed Figura 10 – IPSec em modo túnel utilizando os serviços do cabeçalho AH. garantindo a integridade e a autenticidade tanto do pacote IP original. pode causar uma falsa sensação de segurança na comunicação.utilizando apenas os serviços do protocolo AH. 1996.

o que se faz necessário no caso do acesso remoto VPN.6. Outra característica desejável ao IPSec seria o suporte à múltiplos protocolos.apresentados constituírem uma ameaça à segurança do túnel IPSec. grupo do IETF (Internet Engineering Task Force) que desenvolve mecanismos de segurança para o protocolo IP (Gleeson. são de natureza assimétrica. Existem alguns trabalhos em andamento. e não são suportados pelo IKE (Internet Key Exchange). sendo uma das principais tecnologias atualmente disponíveis para a implementação de VPNs. Soluções para VPNs 27 . no sentido de criar uma solução padrão para os problemas envolvendo o uso do IPSec em um ambiente de acesso remoto. Além disso. Apesar do IKE prover um suporte poderoso para a autenticação de máquina. que estão sendo discutidos atualmente no IPSec Working Group. quando utilizado de forma adequada esse protocolo provê um excelente nível de segurança para a comunicação. Todos esses itens são requisitos importantes para o acesso remoto VPN. alguns aspectos relacionados à utilização do IPSec para o acesso remoto VPN ainda carecem de padronização. ele apresenta somente um suporte limitado para formas de autenticação de usuário e não provê suporte para autenticação assimétrica de usuário. uma vez que esse protocolo só é capaz de transportar pacotes IP em seu modo túnel. As plataformas Windows atuais não possuem suporte para a solução desses problemas e as soluções proprietárias existentes não apresentam interoperabilidade entre si. O modo túnel do IPSec não provê suporte à atribuição e configuração de endereços IP. 2000). utilizado pelo IPSec. já que um dos extremos do túnel é um host remoto que não possui endereço IP fixo e que após o estabelecimento do túnel precisa estar associado a um endereço IP da rede interna. comumente usados para autenticação de usuários. 1. muitos dos esquemas de autenticação existentes. Contudo.

a VPN também cairá. também devem processar todo o tráfego IP. Apesar da maioria desses 28 . A utilização de hardware desenvolvido para implementar as tarefas de tunelamento. elas não são aconselhadas para tunelamento de grandes redes com grande volume de tráfego. Da mesma forma que os roteadores. neste caso. parece natural incluir a criptografia dos pacotes nos roteadores. criptografia e autenticação é outra solução de VPN. tipicamente colocadas entre o roteador e os links de WANs. servidores com políticas de segurança e certificados de autenticidade. as firewalls podem ser um ponto de falha de VPNs. Como roteadores necessitam examinar e processar cada pacote que deixa a LAN. A combinação de tunelamento e criptografia em firewalls será mais apropriada para redes pequenas com pouco volume de tráfego (1 a 2Mbps sobre um link de LAN). Por isso existe no mercado dois produtos que desempenham esta função em roteadores: softwares especiais (software adicionado ao roteador) ou placas com co-processadores que possuem ferramentas de criptografias (hardware adicionado ao roteador). se o roteador cair. hardwares específicos e softwares. assim como os roteadores. firewalls. Os gateways seguros podem ser: roteadores. gateways seguros. e ainda são capazes de fornecer o tunelamento e a criptografia antes da transmissão dos dados privados pela rede pública. Esses dispositivos operam como pontes. baseando-se em filtros definidos pelas mesmas.Existe quatro componentes básicos para a implementação de uma VPN baseada na Internet: a Internet. implementando a criptografia. Os firewalls. A grande desvantagem dessas soluções é que. A Internet provê a "sustentação" de uma VPN e os gateways seguros são colocados na fronteira entre a rede privada e a rede pública para prevenirem a entrada de intrusos. Por causa de todo o processamento realizado nos firewalls.

certificados de autenticidade são necessários para verificar as chaves trocadas entre sites ou usuários remotos. é que esta implementação pode ser configurada em servidores já existentes e seus clientes. entre um cliente remoto e um gateway seguro. A política de segurança dos servidores também é outro aspecto fundamental para implementação de VPNs. em alguns sistemas. que serão utilizadas pelos gateways para a determinação do tráfego autorizado. As corporações podem preferir manter seu próprio banco de dados de certificados digitais para seus usuários através de um servidor de certificado ou. Um servidor seguro deve manter uma lista de controle de acesso e outras informações relacionadas aos usuários. a reconfiguração de um roteador ou ainda a instalação de um servidor RADIUS. A grande vantagem desta solução é o fato de várias funções serem implementadas por um dispositivo único. Por exemplo. mas desaconselhada para redes que processam grande volume de tráfego. a verificação da chaves poderá requerer o intermédio de uma terceira parte.hardwares serem desenvolvidos para configurações LAN-to-LAN. o acesso pode ser controlado por um servidor RADIUS. quando o número de usuários for pequeno. alguns produtos podem suportar túneis client-to-LAN. Além disso. além do baixo custo. fazendo com que esta implementação seja muito mais simples que a instalação de um software em um firewall. Esta é uma solução que apresenta um custo baixo. Sua vantagem. Assim. pois a manutenção de um servidor para isso será muito onerosa. por exemplo. a qual mantém os certificados digitais associados a chaves criptográficas. não há necessidade de se instalar e gerenciar uma grande quantidade de equipamentos diferentes. muitos desse softwares se encaixam perfeitamente para conexões client-to-LAN. Uma VPN desenvolvida por software também é capaz de criar e gerenciar túneis entre pares de gateways seguros ou. Por último. 29 .

No entanto. a combinação de compressão com encapsulamento. O encapsulamento aumenta o tamanho dos pacotes. uma VPN implementada através de hardware. além de permitir um volume de tráfego maior. Por isso. os roteadores poderão achar que os pacotes estão demasiadamente grandes e fragmentá-los. Quanto a performance de VPNs implementadas por software assistido por hardware. A desvantagem desta implementação é um custo mais alto e o uso de hardware especializado. Solução Apenas software Software assistido por Hardware Hardware especializado 30 . Este tipo de implementação também fornece uma melhor segurança . degradando assim a performance da rede.Vejamos as vantagens e desvantagens de cada solução para a implementação de VPNs: apenas software. Já uma VPN implementada através de software terá critérios menos rígidos de segurança mas se encaixa perfeitamente para atender ás necessidades de conexão de pequenos volumes que não precisam de grandes requisitos de segurança e possuem um custo menor. A fragmentação de pacotes e a criptografia poderão reduzir a performance de sistemas discados a níveis inaceitáveis mas a compressão de dados poderá solucionar este problema.física e lógica . conseqüentemente. irá requerer um poder computacional mais robusto para atender às necessidades de segurança.para a rede. está dependerá da performance dos equipamentos aos quais o software está relacionado. A tabela 1 resume os aspectos a serem considerados para a escolha do tipo de solução para a implementação de uma VPN. devido ao seu poder computacional irá alcançar uma melhor performance. software auxiliado por hardware e hardware específico.

como a xDSL.org Tabela 1 – Analise de implementação de VPN Agora que temos uma visão geral sobre VPN.Performance Segurança Baixa Plataforma fisicamente e logicamente insegura médio-baixa Plataforma fisicamente e logicamente insegura alta Fisicamente e logicamente seguro Aplicações possíveis dial-up a uma taxa de 128Kbps para dados ISDN ISDN à velocidades T1 Velocidades dialup até 100Mbps Produtos Firewalls. iremos abordar nos capítulos a seguir como podemos fazer uso desta tecnologia combinada com outras. PCs (Personal Communication Services) Hardware especializado Fonte: www.abusar. Softwares de VPNS Cartões de criptografia para roteadores. 31 .

2 MHz sem interferir na faixa de voz. variam de 128 Kbps a 52 Mbps. as mais conhecidas são: 32 . também chamada de local loop. A tecnologia DSL. com oito membros . a atual infra-estrutura de transmissão de voz utilizada pelas concessionárias de serviços públicos de telecomunicações é formada por um par de fios metálicos trançados e requer uma largura de banda de 300 a 3. Além de melhorar tremendamente o acesso remoto para usuários Internet e disponibilizar serviços de alta velocidade para interconexão de redes locais.vídeo sob demanda (incluindo televisão de alta definição). mas uma família de tecnologias que conta. etc.400 Hz. desenvolvida pela Bellcore. videoconferência. em diferentes estágios de maturidade.2. sistemas interativos. xDSL Na área entre o assinante e a central telefônica. por exemplo. até o momento. dependendo do comprimento do par e da freqüência do sinal. utiliza técnicas digitais de processamento de sinais com freqüências de até 2. termo abreviado de Digital Subscriber Line. home shopping. que são capazes de otimizar a utilização da largura de banda do par metálico com velocidades que. ou ainda Linha Digital de Assinante. DSL não é uma tecnologia. estão sendo vislumbradas diversas outras aplicações nas redes xDSL como. ensino a distância.

Very High Speed Assymmetric Digital Subscriber Line As velocidades envolvidas situam-se numa faixa que vai de 128 Kbits por segundo (caso do IDSL) a 51 megabits por segundo (caso do VDSL. HDSL (High Data Rate Digital Subscriber Line) 33 . a velocidade não será a única novidade trazida pelas tecnologias DSL. realizado através de um modem analógico ligado à rede telefônica. o ADSL é a que mais sobressai no presente. formaram recentemente um consórcio para padronizar e promover a adoção dessa tecnologia. para clientes residenciais interessados no acesso de alta velocidade aos seus serviços. De todas.HDSL .1.Single Line ou Symmetric Digital Subscriber Line VDSL . 2. a mais sofisticada). o computador fica tão isolado da Internet quanto um forno de microondas. Hoje. três líderes em suas áreas.High Data Rate Digital Subscriber Line ADSL .Rate Adaptive Digital Subscriber Line IDSL .Assymmetric Digital Subscriber Line RADSL . Elas representarão também o fim do acesso discado. maior provedor de serviços on-line do mundo. Para os usuários amadores da Internet. Microsoft.ISDN Digital Subscriber Line SDSL . um computador doméstico só se torna parte integrante da rede enquanto dura seu acesso a um provedor. exibindo provas incontestáveis de prestígio: a América On-line. o computador doméstico ficará ligado a um circuito permanentemente "vivo" (como as conhecidas "linhas privadas") que o fará integrar durante todo o tempo a Grande Rede. quando a conexão ao provedor se desfaz. Compaq e Intel.Very High Data Rate Digital Subscriber Line VADSL . Com o acesso feito por meio de um modem DSL. anunciou no final do ano passado o início de testes de campo.

Os modems HDSL (High-bit-rate Subscriber Line) foram os primeiros a serem introduzidos no mercado e marcaram uma revolução para as operadoras de telefonia e também para os clientes comerciais. Estes modems permitem velocidade de até 2 Mbit/s sobre dois pares de fios da rede telefônica até uma distancia de 3 Km. A comunicação é simétrica: pode se enviar e receber simultaneamente a 2 Mbit/s. A CTBC Telecom foi a primeira Operadora no Brasil a utilizar o serviço comercialmente. Esta tecnologia é muito boa para conectar PABX's à central pública, ou para a interligação de redes locais e acesso 2 Mbit/s para Provedores Internet. Boa para o cliente, pois dá a ele um serviço rápido, veloz e com qualidade muito superior aos acessos analógicos e boa para as operadoras pois representa uma economia de custos: pode se enviar 30 canais de voz (linhas telefônicas) em apenas 2 pares de rede, em vez dos 30 pares necessários no sistema analógico. A rede física é responsável pelos maiores investimentos para implantação do serviço de telefonia. Esta tecnologia já está consolidada e cresce velozmente em todo mundo.

2.2. ADSL (Assymmetric Digital Subscriber Line)

A tecnologia ADSL, ou Linha Digital de Assinante Assimétrica, ao contrário da HDSL, permite a transmissão de dados em apenas um par de fios, ou seja foi concebida visando o aproveitamento dos acessos telefônicos existente até os assinantes. Ela permite que o usuário faça uma chamada telefônica ao mesmo tempo em que usa a Internet em alta velocidade: até 9 Mbit/s para receber (download) e até1. 5 Mbit/s para enviar (upload). O nome assimétrico é devido as diferentes taxas de velocidades para transmissão e recepção.

2.3. RADSL (Rate Adaptative Digital Subscriber Line)

A tecnologia RADSL, muito semelhante à ADSL, é adaptativa, ou seja, o modem ajusta automaticamente a velocidade de conexão de acordo com a qualidade da 34

linha e a distância em relação à central. Se a distância é muito grande, a taxa de bits é reduzida. Esta tecnologia é útil principalmente quando a distância em relação à central é muito grande, pois muitas tecnologias DSL são limitadas a curtas distâncias. A técnica de modulação utilizada é CAP. O ajuste de velocidade é feito como mostrado na figura abaixo. A banda de freqüências até 4 kHz é reservada para voz. A banda acima deste valor é dividida entre download e upload, como no ADSL, mas o limite entre estas bandas é variável. Conforme as condições da linha variam, o limite superior da banda de upload é deslocado - e, com isso, é também deslocado o limite inferior da banda de download. Quando maior a banda de upload, menor a de download, e viceversa.

Separação de bandas nas linhas RADSL. As velocidades oferecidas vão de 640 kbps a 2,2 Mbps para download e de 272 kbps a 1,088 Mbps para upload. O limite de distância até a central é de 5500 m.

2.4. IDSL (ISDN Digital Subscriber Line)

ISDN é a sigla para Integrated Services Digital Network. Essa tecnologia também recebe o nome de RDSI - Rede Digital de Serviços Integrados. Trata-se de um serviço disponível em centrais telefônicas digitais, que permite acesso à internet e baseia-se na troca digital de dados, onde são transmitidos pacotes por multiplexagem (possibilidade de estabelecer várias ligações lógicas numa ligação física existente) sobre condutores de "par-trançado".

A tecnologia ISDN já existe há algum tempo, tendo sido consolidada entre os anos de 1984 e 1986. Através do uso de um equipamento adequado, uma linha telefônica convencional é transformada em dois canais de 64 Kbps, onde é possível usar voz e dados ao mesmo tempo, sendo que cada um ocupa um canal.

35

Também é possível usar os dois canais para voz ou para dados. Visto de modo grosso, é como se a linha telefônica fosse transformada em duas.

Um computador com ISDN também pode ser conectado a outro que utilize a mesma tecnologia, um recurso interessante para empresas que desejem conectar diretamente filiais com a matriz, por exemplo.

A tecnologia ISDN possui um padrão de transmissão que possibilita aos sinais que trafegam internamente às centrais telefônicas serem gerados e recebidos em formato digital no computador do usuário, sem a necessidade de um modem. No entanto, para que um serviço ISDN seja ativado em uma linha telefônica é necessário a instalação de equipamentos ISDN no local de acesso do usuário e a central telefônica deve estar preparada para prover o serviço de ISDN.

2.5. VDSL - Very high bit-rate Digital Subscriber Line

As linhas ADSL dominam a preferência dos usuários de banda larga, juntamente com o cable modem, principalmente entre usuários residenciais, mas alguns usuários necessitam de velocidades ainda mais altas. Por isso, foi desenvolvida a tecnologia VDSL, também assimétrica, que utiliza uma banda muito larga e oferece velocidades altíssimas, que podem chegar a 52 Mbps para download e 16 Mbps para upload.

A diferença que permite que as linhas VDSL alcancem velocidades tão altas é o uso de fibras óticas. Estas fibras permitem que os dados trafeguem a velocidades muito mais altas que nos pares trançados utilizados pelo telefone e por outras tecnologias DSL.

Como as fibras óticas ainda não cobrem toda a área coberta pelos pares trançados, nem todos os usuários são capazes de utilizar esta tecnologia. Além 36

liderada por Lucent e Broadcom. muito menor que os outros tipos de DSL. Pares de fio Telefone Transmissão e dados Taxa de dados Uma das primeiras tecnologias DSLs a ser usada amplamente. 37 .5-8 Mbit/s 64-640 kbit/s Mais popular. cada uma defendendo um padrão.disso. defende o padrão CAP. mas no futuro. defende o padrão DMT. ainda está em desenvolvimento. a distância máxima permitida entre usuário e central é de aproximadamente 1200 m. ou seja. Duas parcerias foram formadas entre grandes empresas de telecomunicações. muito recente. mostrando suas taxas de transmissões e suas diferenças básicas. existe uma disputa entre os sistemas CAP e DMT para se tornar o padrão de modulação da tecnologia VDSL. 2. formada por Alcatel e Texas Instruments. O desempenho alcançado ainda está muito aquém do esperado. Assim como no caso do ADSL.6 Comparativo entre a família xDSL O quadro abaixo faz um comparativo sucinto da família xDSL. A tecnologia VDSL. Utilizada para o provimento de serviço de linhas dedicadas de 2Mbit/s. espera-se que seja possível alcançar na prática as velocidades são esperadas na teoria. entre outros. A VDSL Alliance. Utilizado para acesso a Internet. e a VDSL Coalition. HDSL High-bit-rate DSL 2 Não Simétrica 2 Mbit/s ADSL Asymetric DSL 1 Sim Assimétrica 1.

com. Do ponto de vista dessas companhias. podem representar a redenção de um patrimônio que muitos supunham a caminho da obsolescência. o que não ocorre com o xDSL.br Apesar de toda esta tecnologia empregada no sistema xDSL. os cable modems representam uma ameaça para o sucesso do xDSL pois possui uma padronização definida. 38 . uma vantagem do xDSL é o fato de utilizarem a onipresente infra-estrutura de fios de cobre das companhias telefônicas em atividade (o que não é pouco). Porém.RADSL Rateadaptive DSL IDSL 1 ISDN DSL SDSL Symetric DSL VDSL 1 Não Simétrica Não Simétrica 1 Sim Assimétrica 1-7 Mbit/s 128k-1 Mbit/s Variação do ADSL que permite o ajuste da taxa de transmissão de acordo com a necessidade do cliente Empregado em acessos ISDN até 144 kbit/s 768 kbit/s Implementação do HDSL utilizando 1 par de fios Sim Assimetrica 52 Mbps / 16 Mbps Uso de fibra óptica Tabela 2 – Comparativo xDSL Fonte: www.teleco.

decidimos ver todas as possibilidades usando esta tecnologia que tem como principal fonte representativa o Velox da TELEMAR. analisar e propor soluções.3. POSSIBILIDADE DE VPN COM ADSL Depois de abordarmos VPN e xDSL. A grade dificuldade encontrada nos exemplos abaixo é o fato de que o endereço IP de cada ponto ADSL fica mudando (IP Dinâmico). 39 . Varias são as possibilidades de criar VPN. como já vimos anteriormente. de acordo com o porte da implementação da mesma. entretanto manter esta VPN pode tornar-se um desafio. criamos uma estrutura tecnológica empírica (Figura 10). podemos agora estudar a combinação destas duas teologias. podendo assim identificar. Para deixarmos mais claro. Pelo motivo da tecnologia ADSL está em alta no nosso estado.

alguns usuários podem acessar remotamente as informações da rele local usando como conexão um provedor 40 . as quais consistem normalmente de uma matriz.Ambiente empírico Este ambiente é uma topologia facilmente encontrada em empresas de médio porte. a qual tem um servidor WEB.Servidor A FIREWALL WWW DNS NAT INTERNET Servidor B ADSL REMOTO Maquina 1 ADSL NAT Figura 12 . um DNS e uma forma de conexão com a Internet usando banda larga e com IP fixo. um Firewall. Além da matriz.

particular via acesso discado. Existem três possibilidades de VPN a serem criadas com esta estrutura: a) Os dois pontos tem ip fixo Servidor A FIREWALL WWW DNS NAT INTERNET REMOTO Acesso Discado (IP fixo) 41 . Como também uma filial precisar esta constantemente atualizando dados contidos nos sistemas da matriz. e para fazer isto. ela usa uma conexão de banda larga (ADSL) que tem IP dinâmico.

os possíveis problemas que poderiam atingir esta VPN estariam no âmbito físico.VPN usando IPs fixos Este é. ou até mesmo aspectos alheios a VPN. b) Um ponto é fixo e o outro dinâmico 42 .Figura 13 . teoricamente a forma mais fácil de se estabelecer um VPN. pois como as duas pontas da VPN estão com IPs válidos e fixos. com a queda do seu serviço de acesso. mas que podem afetá-la no final. ou um crash do sistema.

a VPN será quebrada. Solução: Usar uma máquina que esteja sempre on-line e de IP válido fixo que possa identificar pelo domínio qual o endereçamento da ponta com ADSL.VPN usando ADSL entre um ponto dinâmico e um fixo Dificuldades: Sempre que o endereçamento IP da ponta que usa ADSL for renovado.Servidor A FIREWALL WWW DNS NAT INTERNET Maquina 1 ADSL Acesso ADSL (IP Dinâmico) Figura 14 . assim cancelando a comunicação entre os pontos. Para 43 .

a VPN será quebrada.VPN usando ADSL entre pontos dinâmicos Dificuldades: Sempre que o endereçamento IP de uma das pontas renovado. assim cancelando a comunicação entre os pontos. c) Os dois pontos são dinâmicos Servidor FIREWALL WWW DNS NAT INTERNET Servidor ADSL Maquina 1 Acesso ADSL (IP Dinâmico) Acesso ADSL ADSL NAT Figura 15 . Solução: Usar uma máquina que esteja sempre on-line e de IP valido fixo que possa identificar pelo domínio qual o endereçamento da ponta com ADSL que teve 44 .que isto aconteça corretamente. a ponta que usa ADSL tem que ter uma tarefa rodando com a finalidade de informar ao DNS sempre que ela mudar de endereço.

as pontas têm que ter uma tarefa rodando com a finalidade de informar ao DNS sempre que ela mudar de endereço. Para deixar mais clara a dificuldade de se manter uma VPN usando uma conexão ADSL. Para que isto aconteça corretamente. no próximo capitula faremos um estudo de caso abordando este aspecto. 45 . Estas as formas básicas de criar VPNs num ambiente como este.seu endereçamento renovado.

15 estações de trabalho as quais usam como padrão Windows XP Professional.4. Topologia inicial: 46 . 1 Servidor Windows 2000 (é o Controlador de Domínio e o servidor de Banco de Dados). Estudo de caso Empresa: Breitener Energética Área de atuação: Termoelétrica Acesso a Internet: Link de rádio de 128Kbps Parque tecnológico: 1 Servidor Linux (é o servidor responsável por receber a link da Internet e também Server como servidor WEB e de e-mail).

No início todos os controles administrativos eram inseridos ou consultados no Sistema por funcionários que se encontravam internamente na empresa. que é uma solução de gestão empresarial que abrange todos os processos administrativos. os mesmos poderiam acessar a rede da Empresa e usar os recursos da mesma. que normalmente não estão no Ceará. O mesmo tem um módulo desenvolvido para ser acessado pela internet. propôs uma solução simples. Estudo de solução: O setor de informática sabendo do interesse da empresa em disponibilizar estas informações para o diretores que não se encontravam na área física de sua rede. precisavam ver informações inseridas no AP7. Com os protocolos PPTP (Point-to-Point Tunneling Protocol) ou L2TP (Layer Two Tunneling Protocol) que são automaticamente instalados em computadores baseados no Windows XP. de onde quer que os diretores estejam. Todos os notebooks dos Diretores tem a mesma configuração hardware e software. podem acessar com segurança aos recursos de uma rede ligando a um servidor de acesso remoto através de VPNs. mas eficaz. como também oferecendo a possibilidade deles acessarem seus arquivos particulares. entretanto com o passar do tempo os dirigentes da empresa.AP7 Master. sendo que depois de uma análise de custo /beneficio foi decidido que este módulo era muito caro para a necessidade. assim. Prover o acesso a estas informações via acesso remoto. 47 . não só disponibilizando as informações do sistema. Todos usam o sistema operacional Windows XP.Figura 16 – Rede no formato com o link de rádio Estudo da situação inicial: É usado como solução gerencial o Microsiga . de manufatura e de relacionamento de uma empresa. Isto é.

conseqüentemente não tendo acesso a seus emails. isto quer dizer. Foi adicionado uma terceira placa de rede no servidor linux. assim criando a VPN. e para restauração do mesmo. Para tornar este projeto real. que aumenta a capacidade da sua linha de telefone. permitindo a transmissão simultânea de voz e dados Adequada para uma rede do porte da Breitener) com velocidade de 256Kbps. O Velox foi configurado nas estações para ser a rota padrão secundaria. como para o acesso remoto dos diretores. e colocado o link do Velox. era usado um link de rádio da Secrel de 128Kbps. a prestadora do serviço leva em média 4 horas. Pois o mesmo apresentava problemas na sua estrutura de recepção. não aceitável por parte dos Diretores da Empresa. o que se mostrava suficiente para o acesso dos usuários internos a internet. Foi contratado o Velox (O Velox utiliza um modem de tecnologia ADSL. Foi observado que normalmente era causado com a queda do serviço do link (rádio). 48 . e com um endereço IP válido. os usuários da rede interna não tinham acesso a internet. Este tipo de ocorrência começou a ter uma certa freqüência (uma vez por semana). Além do fato dos diretores não poderem acessar os dados corporativos remotamente. Reclamavam que não estavam conseguindo se conectar. Com o passar do tempo os diretores começaram a reclamar problemas com relação à conexão.No servidor Linux foi configurado que todo acesso que chegasse na porta 1723 (PPTP). No primeiro momento foi pensando em uma forma de acesso alternativo para ter pelo menos acesso a internet nestas quedas do link (rádio). fosse redirecionada para o servidor Windows 2000 para o processo e autenticação. as estações tentavam a rota secundaria (o velox). sempre que o rota padrão não responder (o link de rádio).

pois como o modem do Velox muda periodicamente de endereço IP.br em um servidor DNS fora da rede. este site funciona como a nosso solução inicial. mas persistia o problema dos Diretores não conseguirem acessar remotamente a rede.breitener. Solução Final: Para resolver esta situação. ele informava o novo endereço IP para o servidor DNS que se encontrava fora da rede. A solução foi um site. já que na configuração do acesso.noip. Topologia Proposta: 49 . quando encontramos na internet uma ótima solução para esta nossa realidade. Assim.com . A partir deste momento começamos a tentar desenvolver uma solução. que tem a mesma finalidade que tínhamos implementado no script que estava rodando no linux.Esta solução foi aplicada e mostrou-se como uma ótima solução. a configuração nas estações dos diretores poderia ser feito com nome (www. não sendo problema a mudança do endereço do modem. pois durante o período de teste (uma semana) foram registrada 6 reclamações de diretores dizendo que não conseguiam estabelecer conexão. os usuários da rede continuavam com acesso a internet. A única diferença é que o site coloca um programa no servidor (ou qualquer outra estação da rede). que neste caso o servidor é deles.com.com. Infelizmente a solução usando um script no linux não estava sendo tão eficaz. com uma única finalidade. e em seguida prepara um script que ficasse rodando no servidor linux. era colocado o endereço IP do servidor da Rede. pois mesmo quando o link da Secrel caia. começamos a desenvolver uma solução que consistia inicialmente em cadastrar o domínio www. atualizar o novo endereço do modem no servidor DNS sempre que houvesse mudança do endereço. não dava para deixa configurado nos notebooks dos Diretores. www.breitener. verificar a cada um minuto se o endereço IP do modem tinha mudado ou não.br). Foi identificado que o serviço parava e não reiniciava automaticamente. Caso tivesse mudado.

00 R$ 474. No final do segundo mês foi sugerido o corte do link de radio.00 R$ 130.00 3 24 horas R$ 498.Figura 17 – Rede no formato com Velox Durante dois meses esta solução foi usada.00 5 24 horas 24 horas 1 hora ADSL Suporte Técnico (remoto/telefone) 24 horas Tempo para recuperação (média) Dificuldades técnicas Fonte Velocidade 3 horas Estrutura física SecrelNet 128kbps Conectividade. reduzindo o custo de acessibilidade a internet. mantendo a segurança e a disponibilidade no acesso interno e externo. IP dinâmico Velox 256kbps 50 . Link de rádio Instalação + Equipamento Valor mensal Quedas mensais Suporte Técnico (local) R$ 700.

Outro ponto importante é o fato do mesmo ganhar com velocidade. Já que agora a Breitener passará a pagar mais barato pelo acesso a Internet e com um menor tempo de restabelecimento do sinal de Internet.A tabela acima mostra um ganho tanto a nível financeiro como de disponibilidade da rede. já que a banda oferecida pelo Velox é o dobro oferecido pela SecrelNet. 51 .

52 . dificuldades em sua estabilidade. As VPNs também têm sua parcela de contribuição no desenvolvimento de novas tecnologias de desempenho e segurança na Internet. são apenas visualizados seus efeitos para a realidade presente. imagina-se logo os enormes benefícios que elas oferecem às corporações. Quando se fala em VPNs. não podemos deixar de lado as oportunidades que a tecnologia VPN e sua demanda de QoS reservam para o futuro. Com a necessidade de usar esta solução tecnológica as empresas encontraram na tecnologia ADSL uma forma rápida e barata de conexão e mesmo apresentando em algumas implementações.CONCLUSÃO Além dos benefícios econômicos e técnicos aplicados aos dias de hoje. apresenta-se como uma das melhores soluções. Porém. proporcionando um esforço muito mais colaborativo e acelerado no tocante a estas questões. do pondo de vista custo / beneficio. enfim. no uso de VPN. aos usuários e aos provedores de Internet. as VPNs também têm a capacidade de estimular e impulsionar o desenvolvimento tecnológico.

TAARUD. 1999.Cisco Systems Users Magazine. Tutorial. Arquivo PDF: http://www. 2000. Primeiro Trimestre/2000 GLEESON.. CISCO SYSTEMS.com/library/backgrnd/html/understanding_pptp.webproforum. Layer Two Tunneling Protocol (L2TP). e ZORN. MICROSOFT CORPORATION. Intranets and Virtual Private Networks (VPNs). VALENCIA. Gurdeep. 53 . RFC 2637. K. Ago. IEC Webproforum Tutorials: http://www. Point-to-Point Tunneling Protocol (PPTP). LITTLE.microsoft.txt. Virtual Private Networks (VPNs). 1999..com/ins/library/pdf/techdocs/vpnrg. et al. Gurdeep. 1997. Andrew. HAMZEH. RFC 2764.ietf. PSINET. William. HAMZEH. Glen. Jul. RFC 2661.com..REFERENCIA ASCEND COMMUNICATIONS.W. Jan. W. Feb.. PALL. Point-to-Point Tunneling Protocol (PPTP).pdf.org/rfc/rfc2661. http://www.lucent. Vol. http://msdn. Bill. B. ZORN.cisco. Glen.com. et al. A Framework for IP Based Virtual Private Networks. N° 1.com. Internet TOWNSLEY. http://www..ietf. Jeff. Virtual Private Networks Resource Guide.htm NORTEL NETWORKS. Understanding Point-to-Point Tunneling Protocol (PPTP). Tutorial. CISCO SYSTEMS.txt. PALL. Layer Two Tunnel Protocol. RUBENS. VERTHEIN. Allan. IEC Webproforum Tutorials: http://www. http://www. Jul.org/rfc/rfc2637.12. e PALTER.. RFC 2637. 1999.. PACKET . Kory.webproforum.

que quando comparado com a máxima taxa de 100 Mbps da Ethernet mostra a eficiência do ATM. ESP (Encapsulation Security Payload) Fornece integridade e confidencialidade. Usando linhas analógicas convencionais. O tamanho pequeno e constante da célula permite a transmissão de áudio.Glossário (Authentication Header).ADSL. Oferece autenticação. Banda Larga . vídeo e dados pela mesma rede.ISDN. . A Telemar comercializa esse serviço com o nome Velox. As principais são. Para obter velocidade acima desta você obrigatoriamente terá de optar por uma outra maneira de conexão do seu micro com o provedor. Criptografa os dados contidos no datagrama. facilita a monitoração e a cobrança pelo serviço. Outras operadoras de outras áreas de concessão 54 AH - . a velocidade máxima de conexão é de 56 Kbps. anti-repetição. Não criptografa os dados. ATM ATM (abreviação de Asynchronous Transfer Mode) é uma tecnologia de rede baseada na transferência de pacotes relativamente pequenos chamados de células de tamanho definido. integridade.É o nome usado para definir qualquer conexão acima da velocidade padrão dos modems analógicos (56 Kbps). Implementações mais recentes de redes ATM suportam uma taxa de transferência de 25 até 622 Mbps. Elimina os problemas como: DOS e IP Spoofing. Atualmente existe inúmeras soluções no mercado. Esta diferença. . Sua velocidade é de 128 Kbps e tem a desvantagem de contar pulsos telefônicos da mesma forma que linhas convencionais. Não garante a confidencialidade. O ATM cria canais fixos entre 2 pontos para que os dados possam ser transmitidos. oferecida pelo ATM. Esta filosofia difere da filosofia do TCP/IP no qual as mensagens são divididas em pacotes e cada pacote pode tomar uma rota diferente para alcançar o destino. Fornece uma segurança adicional ao IP. A Telemar comercializa esse serviço com o nome DVI.

Para criar as regras com as quais o firewall seleciona o tráfego. É uma tecnologia de comutação de pacotes simples. Ë o que. de forma simplificada e sem preocupação com a recuperação de erros. AT&T. característica principal em comunicação de dados em redes locais. Também pode ser unidirecional ou bidirecional. por cabo ou por ar. Por cabo você precisará que alguma operadora de telefonia faça a instalação desse cabo (Embratel. Telemar. basta a instalação de uma antena.DSS (Direct Satellite System). Um firewall é uma barreira inteligente entre a sua rede local e a Internet. é proibido". rápida e eficiente. mas as operadoras estão liberando esse serviço com velocidade de 256 Kbps para download e 128 Kbps para upload. etc). Em determinada transmissão de frames entre um ponto de origem e um ponto destinatário. unidirecional (você precisa usar um modem convencional ao mesmo tempo em seu micro. os endereços IP e as estações para as quais o tráfego será permitido ou negado. DirecTV. Basicamente o Frame Relay executa as funções básicas de enlace e rede. etc). Usa antenas parabólicas e é eventualmente conjugado ao serviço de TVs por assinatura que usam essas antenas (Sky. os frames seguem sempre o 55 . Frame Relay é um protocolo de nível de enlace. É particularmente adequada a tráfego em rajadas. As redes locais requerem velocidades de transmissão e larguras de banda elevadas. através da qual só passa tráfego autorizado. Os frames podem chegar fora de ordem. A taxa de transferência máxima teórica desse serviço é de 400Kbps.Firewall - Frame Relay - utilizam esse serviço com o nome Speedy (Telefônica de SP). em teoria. pois a taxa depende da operadora. Existem dois tipos de serviço. . Mas a velocidade depende da operadora. possui a maior taxa de transferência possível (30 Mbps). Possui uma taxa de transferência teórica bem alta (8 Mbps para download e 640 Kbps para upload).Modem para TV a cabo (cable modem). referente a camada RM-OSI (modelo de referência OSI) . Este tráfego é examinado pelo firewall em tempo real e a seleção é feita de acordo com a regra "o que não foi expressamente permitido. Essa solução é mais barata. você deverá substituí-lo por uma placa de rede. . sendo que a taxa disponível pode ser inferior. consumindo pulsos) e bidirecional (a transmissão e a recepção são feitas pela rede da TV por assinatura). com funções adicionais de nível de rede. Já por ar. selecione os serviços da Internet. Há ainda a opção de você fazer uma conexão direta (link) com o seu provedor de acesso. Como todas essas opções não utilizam o modem convencional.

utilizando-se de um checksum (somas matemáticas baseadas no conteúdo dos dados em processamento. o que faz deste protocolo um serviço “end-to-end”. O gateway é um ponto de rede que atua na entrada de outra rede. para verificar correção) de 128 bits. O md5 é um tipo de "impressão digital" de um arquivo. Atua com velocidades acima de 64Kbps (normalmente até 2 Mbps). Os computadores de usuários da Internet e os computadores que servem páginas para os usuários são hosts. É um algoritimo de criptografia. Este algoritimo oferece segurança nos dados nas conexões que usam PPTP. um ponto de rede pode ser tanto um gateway como um host. por exemplo. Na Internet.Gateway - MD5 - MPPE- mesmo caminho (rota). se um arquivo baixado de um ftp não se alterou ao chegar ao micro. com a aplicabilidade maior na interconexão de ambientes de redes locais geograficamente dispersos. 56 . Os computadores que controlam o tráfego dentro da rede de suas companhias ou no seu provedor de Internet local (ISP) são gateways. usado para determinar.