Artigo VPN Mpls

VPN (REDE PRIVADA VIRTUAL):VPN/MPLS

Osmar Leonardo de QueirozProf. Dr. Joberto Sérgio B. Martins

"A verdadeira imoralidade, é não acreditar em si mesmo" Clarice Lispector

RESUMO

– Este artigo tem por objetivo apresentar informações a respeito do serviço VPN (Rede Privada Virtual) identificando e indicando aspectos de padronização envolvidos para a utilização desse serviço. Assim como abordaremos sucintamente sobre a tecnologia MPLS (Multiprotocol Label Switching), e como a VPN pode ser implementado juntamente com essa tecnologia agregando benefícios.

Palavras-Chave: VPN, MPLS, Criptografia, IP, Internet.

ABSTRACT - This article has for objective to present information regarding the service VPN (Virtual Private Network) identifying and indicating standardization aspects involved for the use of that service. As well as we will approach on the technology MPLS (Multiprotocol Label Switching), and like VPN it can be implemented together with that technology joining benefits.

Key-Words: VPN, MPLS, Encryption, IP, Internet.

Aluno do Mestrado de Sistema e Computação da UNIFACS

INTRODUÇÃO

Redes Privadas das Empresas

O que se observa nos dias atuais é que os negócios corporativos de algumas empresas se deparam com a necessidade de atender a uma grande variedade de comunicações entre um grande número de localidades distribuídas, ao mesmo tempo em que se procura reduzir os custos de sua infra-estrutura de comunicação. É comum que, atualmente, colaboradores procurem acessar remotamente os recursos das redes internas de suas empresas para trabalhos em campo, sejam na localidade dos clientes, em escritórios remotos, durante uma viagem de negócios, ou até mesmo da própria residência. Além disso, também é comum parceiro de negócios atuando em projetos conjuntos compartilharem informações em suas extranets (acesso a rede interna da empresa). Enfim, todas estas tendências conduzem a uma necessidade de se estabelecer uma infra-estrutura de redes privadas corporativas.

A conectividade de redes corporativas vem sendo realizada pelos provedores de serviço, principalmente através de conexões FR (frame relay), ATM (asynchronous transfer mode), ou MPLS (Multiprotocol Label Switching ) e recentemente através de ethernet e túneis IP (internet protocol). Este tipo de rede, que interconecta vários sites (redes corporativas) através de uma infra-estrutura de rede compartilhada é chamado de VPN (Virtual Private Network) ou rede privada virtual [1].

Essa infra-estrutura de redes privadas corporativas pode ser feita através das redes públicas, no caso a Internet, e também das redes proprietárias como citado anteriormente. As redes públicas são consideradas não confiáveis, tendo em vista que os dados que nelas trafegam está sujeita a interceptação e captura. Em contrapartida, estas tendem a ter um custo de utilização inferior aos necessários para o estabelecimento de redes proprietárias, envolvendo a contratação de circuitos exclusivos e independentes. A segurança é a primeira e mais importante função da VPN. Uma vez que dados privados serão transmitidos pela Internet, que é um meio de transmissão inseguro, eles devem ser protegidos de forma a não permitir que sejam modificados ou interceptados.

Com relação às redes proprietárias, a tualmente os provedores de serviço estão a procura de maneiras mais eficientes de oferecer serviços VPN a seus clientes, combinando diferentes requisitos, como: otimização no uso do backbone da rede, automação na criação e gerenciamento de VPN e habilidade em oferecer serviços diferenciados sobre a mesma infra-estrutura. Fabricantes começaram a propor implementações proprietárias diferentes a fim de sanar estas necessidades, basicamente com o uso do MPLS como tecnologia de Backbone convergente. Com a iniciativa de alguns provedores de serviço, as organizações ITU (International Telecommunications Union) e IETF (Internet Engineering Task Force) reconheceram a importância de se iniciar um trabalho de padronização da tecnologia VPN.


FUNÇÕES BÁSICAS VPN

Uma definição mais clara sobre Virtual Private Network (VPN) ou Rede Privada Virtual é uma rede privada (rede com acesso restrito) onde algumas partes dessa rede são conectadas utilizando-se a rede pública da Internet ou proprietária como MPLS, para conectar redes remotas. Os dados enviados através da Internet são criptografados (codificados), fazendo assim com que a rede seja virtualmente privada. Como foi citado anteriormente, um exemplo poderia ser uma empresa com escritórios em diferentes locais. Usando a Internet, essa empresa faria com que as redes, interligadas, pudessem ser vistas como uma única rede [2].

A principal motivação para implementação de VPN seria basicamente a financeira: links dedicados são caros, proporcional às distâncias envolvidas. Por outro lado, com a Internet que é uma rede de alcance global e com pontos de presença espalhados pelo mundo, as conexões podem ter um custo mais baixo que links dedicados, principalmente quando as distâncias forem grandes. Esse é o motivo principal de se usar a Internet para a interconexão de redes locais, formando então as VPNs.

Para incorporar segurança na comunicação entre as redes privadas é necessária uma maneira de trocar dados criptografados de forma que, se os dados forem capturados durante a transmissão, não possam ser decifrados. Os dados trafegam criptografados pela Internet em "túneis virtuais", criados por dispositivos VPN que utilizam criptografia; e esses dispositivos que são capazes de "entender" os dados criptografados formam uma "rede virtual" sobre a rede pública [3].

Os dispositivos responsáveis pela formação e gerenciamento dessa rede virtual, para propiciarem uma comunicação com segurança, devem prover um conjunto de funções que garanta Confidencialidade, Integridade e Autenticidade.

Confidencialidade

Tendo em vista que estarão sendo utilizados meios públicos de comunicação, a tarefa de interceptar uma seqüência de dados é relativamente simples. É imprescindível que os dados que trafeguem sejam absolutamente privados, de forma que, mesmo que sejam capturados, não possam ser entendidos [4].


Integridade

Na eventualidade dos dados serem capturados, é necessário garantir que estes não sejam adulterados e re-encaminhados, de tal forma que quaisquer tentativas nesse sentido não tenham sucesso, permitindo que somente dados válidos sejam recebidos pelas aplicações suportadas pela VPN [4].

Autenticidade

Somente usuários e equipamentos que tenham sido autorizados a fazer parte de uma determinada VPN é que podem trocar dados entre si; ou seja, um elemento de uma VPN somente reconhecerá dados originados em por um segundo elemento que seguramente tenha autorização para fazer parte da VPN [4].

MÉTODOS DE VPN

Uma VPN pode ser implementada por vários dispositivos, tais como: roteadores, servidores de acesso remoto, equipamentos específicos, ou ainda software instalado em servidores ou em micros, também chamados de clientes VPN. Conforme os dispositivos envolvidos em sua formação, VPNs podem ser LAN-to-LAN (entre redes) ou CLIENTE-to-LAN (acesso remoto).

VPN LAN-to-LAN são utilizadas para conectar redes corporativas, normalmente matriz e filial, ou empresa, clientes e fornecedores. Neste caso, cada site da VPN necessita de um dispositivo VPN, onde os dispositivos VPN são roteadores ou Servidores.

Figura 1: Interligação VPN, modelo LAN-to-LAN

Nesse ambiente, a rede da matriz e das filiais está interconectada, utilizando a infra-estrutura da Internet. Em substituição a vários links dedicados entre a matriz e as filiais, cada uma delas tem apenas um link com a Internet. Quando uma das filiais precisa trocar dados com a matriz, por exemplo, automaticamente é estabelecido um canal ("túnel")


entre elas e os dados são transmitidos com segurança. Pode-se também utilizar as redes proprietárias, Frame Relay ou ATM(nível 2), e MPLS (nível 3), para estabelecer a conexão LAN-to-LAN, no caso do MPLS, as VPNs nível 3 herdam a flexibilidade e a simplicidade das redes IP, refletindo-se em uma arquitetura escalavel, devido ao grande potencial de crescimento das redes IP [5].

No caso de CLIENTE-to-LAN, o dispositivo VPN é o mesmo da solução LAN-to-LAN, enquanto que no usuário remoto o dispositivo VPN pode ser um software instalado no computador do usuário ou o servidor de acesso do provedor ao qual ele se conecta.

Figura 2: Interligação VPN, modelo CLIENTE-to-LAN

TUNELAMENTO

As redes virtuais privadas baseiam-se na tecnologia de tunelamento cuja existência

é anterior às VPNs. Ele pode ser definido como processo de encapsular um

protocolo dentro de outro. O uso do tunelamento nas VPNs incorpora um novo

componente a esta técnica: antes de encapsular o pacote que será transportado,

este é criptografado de forma a ficar ilegível caso seja interceptado durante o seu

transporte. O pacote criptografado e encapsulado viaja através da rede até

alcançar seu destino onde é desencapsulado e decriptografado, retornando ao seu

formato original. Uma característica importante é que pacotes de um determinado

protocolo podem ser encapsulados em pacotes de protocolos diferentes. Por

exemplo, pacotes de protocolo IPX podem ser encapsulados e transportados

dentro de pacotes TCP/IP.


O protocolo de tunelamento encapsula o pacote com um cabeçalho adicional que

contém informações de roteamento que permitem a travessia dos pacotes ao longo

da rede intermediária. Os pacotes encapsulados são roteados entre as

extremidades do túnel na rede intermediária. Túnel é a denominação do caminho

lógico percorrido pelo pacote ao longo da rede intermediária Após alcançar o seu

destino na rede intermediária, o pacote é desencapsulado e encaminhado ao

seu destino final. A rede intermediária por onde o pacote trafegará pode ser

qualquer rede pública ou privada.

A figura [3] representa o processo de tunelamento que envolve encapsulamento,

transmissão ao longo da rede intermediária e desencapsulamento do pacote.

Figura 3: Processo de Tunelamento

.

Os túneis podem ser estáticos ou dinâmicos.

Túneis estáticos: que permanecem ativos por longos períodos de tempo, são mais apropriados para VPNs LAN-to-LAN.

Túneis dinâmicos: ativos apenas quando o trafego é necessário, são mais seguros para VPNs CLIENTE-to-LAN.

Quanto à abertura da sessão de túnel, existem duas classificações: tunelamento voluntário e tunelamento compulsório.


Túnel Voluntário - um cliente emite uma solicitação VPN para configurar

e criar um túnel voluntário. Neste caso, o computador do usuário funciona

como uma das extremidades do túnel e, também, como cliente do túnel.

Ou seja, ocorre quando uma estação ou servidor de roteamento utiliza um

software de tunelamento cliente para criar uma conexão virtual para o

servidor do túnel desejado. O tunelamento voluntário pode requerer

conexões IP através de LAN ou acesso discado.

Túnel Compulsório - um servidor de acesso discado VPN configura e cria um túnel compulsório. Neste caso, o computador do cliente não funciona como extremidade do túnel. Outro dispositivo, o servidor de acesso remoto, localizado entre o computador do usuário e o servidor do túnel, funciona como uma das extremidades e atua como o cliente do túnel.

Protocolos de Tunelamento

Para a utilização de túneis, diversos protocolos foram desenvolvidos para abertura e gerenciamento de sessões de túneis em VPNs.. Estes protocolos podem ser divididos em dois grupos:

Protocolos de camada 2 (PPP sobre IP): transportam protocolos de camada 3, utilizando quadros como unidade de troca. Os pacotes são encapsulados em quadros PPP (Point-to-Point Protocol).

Protocolos de camada 3 (IP sobre IP): encapsulam pacotes IP com cabeçalhos deste mesmo protocolo antes de enviá-los.

Nos túneis orientados à camada 2 (enlace), um túnel é similar a uma sessão, onde as duas extremidades do túnel negociam a configuração dos parâmetros para estabelecimento do túnel (endereçamento, criptografia, parâmetros de compressão, etc.). A gerência do túnel é realizada através de protocolos de manutenção. Nestes casos, é necessário que o túnel seja criado, mantido e encerrado. Nas tecnologias de camada 3 (rede), não existe a fase de manutenção do túnel.

Para técnicas de tunelamento VPN Internet, quatro protocolos se destacaram, em ordem de surgimento:

PPTP - Point to Point Tunneling Protocol: O Protocolo de Tunelamento Ponto-a-Ponto (PPTP), desenvolvido por um fórum de empresas (Microsoft, Ascend Communications, 3Com, ECI Telematics e US Robotics), foi um dos primeiros protocolos de VPN a surgirem. Ele tem sido uma solução muito utilizada em VPN discadas desde que a Microsoft incluiu suporte para Servidores Windows NT 4.0 e ofereceu um cliente PPTP num service-pack (pacote de serviço) para Windows 95, o que praticamente assegura seu uso continuado nos próximos anos.

O protocolo mais difundido para acesso remoto na Internet é o PPP, o qual originou o PPTP. O PPTP agrega a funcionalidade do PPP para que o acesso remoto seja tunelado através da Internet para um site de destino. O PPTP encapsula pacotes PPP usando uma versão modificada do protocolo de encapsulamento genérico de roteamento (GRE), que dá ao PPTP a flexibilidade de lidar com outros tipos de protocolos diferentes do IP, como o IPX e o NetBEUI.


Devido a sua dependência do PPP, o PPTP se baseia nos mecanismos de autenticação do PPP, os protocolos PAP e CHAP.

Entretanto, este protocolo apresenta algumas limitações, tais como não prover uma forte criptografia para proteção de dados e não suportar qualquer método de autenticação de usuário através de token.

L2F - Layer Two Forwading: O Protocolo de Encaminhamento de Camada 2 (L2F), desenvolvido pela Cisco Systems, surgiu nos primeiros estágios da criação da tecnologia VPN. Assim como o PPTP, o L2F foi desenvolvido para criação de túneis em tráfegos de usuários para suas redes corporativas.

Uma grande diferença entre o PPTP e o L2F é a de que este último não possui tunelamento dependente do IP, sendo capaz de trabalhar diretamente com outros meios, como Frame Relay e ATM. Tal qual o PPTP, o L2F usa o PPP para autenticação de usuários remotos, mas pode incluir também suporte para autenticação via TACACS e RADIUS (Remote Authentication Dial-In User Service) . Outra grande diferença com o PPTP é a de que o L2F permite que os túneis possam dar conta de mais de uma conexão.

Há também dois níveis de autenticação do usuário: uma pelo provedor de serviço de Internet ou ISP (Internet Service Provider) antes do estabelecimento do túnel e outra quando a conexão é efetuada no gateway da corporação. Pelo fato de ser um protocolo de camada 2, o L2F oferece aos usuários a mesma flexibilidade que o PPTP em lidar com outros protocolos diferentes do IP, tais como IPX e NetBEUI.

L2TP - Layer Two Tunneling Protocol: O Protocolo de Tunelamento de Camada 2 (L2TP) vem sendo desenvolvido pela IETF como um substituto aparente para o PPTP e o L2F, corrigindo as deficiências destes antigos protocolos para se tornar um padrão oficial internet. Ele utiliza o PPP para prover acesso dial-up que pode ser tunelado através da Internet até um Site. Porém, o L2TP define seu próprio protocolo de tunelamento, baseado no que foi feito com o L2F. Seu transporte vem sendo definido para uma variedade de pacotes, incluindo X.25, Frame Relay e ATM. Para fortalecer a criptografia dos dados, são utilizados os métodos de criptografia do IPsec [12].

PPTP, o L2F e o L2TP são protocolos de camada 2 e têm sido utilizados para soluções CLIENTE-to-LAN.

IPSec - IP Security Protocol

O IPSec é um protocolo padrão de camada 3 projetado pelo IETF que oferece

transferência segura de informações fim a fim através de rede IP pública ou

privada. Essencialmente, ele pega pacotes IP privados, realiza funções de

segurança de dados como criptografia, autenticação e integridade, e então

encapsula esses pacotes protegidos em outros pacotes IP para serem transmitidos.


As funções de gerenciamento de chaves também fazem parte das funções do

IPSec [6].

Tal como os protocolos de nível 2, o IPSec trabalha como uma solução para

interligação de redes e conexões via linha discada. Ele foi projetado para suportar

múltiplos protocolos de criptografia possibilitando que cada usuário escolha o nível

de segurança desejado.

Vale ressaltar que o IPSec é um protocolo desenvolvido para IPv6, devendo, no

futuro, se constituir como padrão para todas as formas de VPN caso o IPv6 venha

de fato a substituir o IPv4. O IPSec sofreu adaptações possibilitando, também, a

sua utilização com o Ipv4.

Os requisitos de segurança podem ser divididos em 2 grupos, os quais são

independentes entre si, podendo ser utilizada de forma conjunta ou separada, de

acordo com a necessidade de cada usuário [7]:

Autenticação e Integridade; Confidencialidade.

Para implementar estas características, o IPSec é composto de 3 mecanismos

adicionais:

AH - Authentication Header; ESP - Encapsulating Security Payload; ISAKMP - Internet Security Association and Key Management Protocol.

Figura 4: Estrutura do pacote IPSec


AH - Authentication Header

Para prover a integridade dos dados e a autenticação do usuário nos datagrama IP, é o utilizado o AH (Authentication Header) ou Cabeçalho de Autenticação. Neste mecanismo, a segurança é garantida com a inclusão de informações de autenticação, construídas através de um algoritmo que utiliza o conteúdo dos campos do datagrama IP. Para a construção destas informações, todos os campos do datagrama IP são utilizados, com exceção daqueles que não sofrem alterações durante o transporte. Por exemplo, no IPv6, o campo TTL (time-to-live) do IPv4 não é utilizado, pois é modificado ao longo da transferência [7].

Dependendo do usuário, o uso da autenticação pode ser suficiente não sendo necessária a confidencialidade.

No IPV6, o AH normalmente é posicionado após os cabeçalhos de fragmentação e

End-to-End, e antes do ESP e dos cabeçalhos da camada de transporte (TCP ou

UDP, por exemplo).

ESP - Encapsulating Security Payload

Para prover a confidencialidade dos dados, o IPSEC utiliza-se do serviço ESP (Encapsulating Security Payload). O ESP também provê a autenticação da origem dos dados, integridade da conexão e serviço anti-replay. A confidencialidade independe dos demais serviços e pode ser implementada de 2 modos: transporte e túnel.

Modo de transporte: o pacote da camada de transporte é encapsulado dentro do ESP.

Modo túnel: todo o datagrama IP é encapsulado dentro do cabeçalho do ESP.

Figura 5 – Modo de Transporte

Figura 6 – Modo Túnel


Negociação do Nível de Segurança

O ISAKMP é um protocolo que combina autenticação, gerenciamento de chaves e outros requisitos de segurança necessários às comunicações privadas numa VPN Internet. Neste mecanismo, duas máquinas em uma conexão negociam os métodos de autenticação e segurança dos dados, executam a autenticação mútua e geram a chave para criptografia dos dados. Além disso, este protocolo também gerencia a troca de chaves criptografadas utilizadas para decifrar os dados e define procedimentos e formatos de pacotes para estabelecer, negociar, modificar e excluir as SAs (Security Associations) [6].

Essas Associações de Segurança contêm todas as informações necessárias para execução de serviços variados de segurança na rede, tais como serviços da camada IP (autenticação de cabeçalho e encapsulamento), serviços das camadas de transporte, ou serviço de auto-proteção durante a negociação do tráfego. Elas também definem pacotes para geração de chaves e autenticação de dados. Esses formatos provêm consistência para a transferência de chaves e autenticação de dados que independem da técnica usada na geração da chave, do algoritmo de criptografia e do mecanismo de autenticação.

O ISAKMP oferece suporte para protocolos de segurança em todas as camadas da pilha da rede. Com a centralização do gerenciamento dos SAs, o ISAKMP minimiza as redundâncias funcionais dentro de cada protocolo de segurança e também pode reduzir o tempo gasto durante as conexões através da negociação da pilha completa de serviços de uma só vez.

Vantagens do IPSec

Uma das razões da forte emergência do IPSec como um padrão é que este virtualmente gerencia a segurança da VPN por si próprio. Com o IPSec, não há a necessidade de mais gerência a ser realizada pelo administrador. O roteador realiza a criptografia, e esta é transparente.

Além disso, o IPSec possui padrão aberto, sendo muito importante sua larga proliferação em VPN. O IPSec cria o meio VPN onde seus usuários não precisam se preocupar com o tipo de equipamento que eles utilizam, porque a linha de interoperabilidade é inerente aos produtos. Conforme a rede vá se difundindo, a compatibilidade entre os múltiplos vendedores, fornecedores de VPN, se tornará uma grande vantagem.


CRIPTOGRAFIA

A criptografia é implementada por um conjunto de métodos de tratamento e transformação dos dados que serão transmitidos pela rede pública. Um conjunto de regras é aplicado sobre os dados, empregando uma seqüência de bits (chave) como padrão a ser utilizado na criptografia. Partindo dos dados que serão transmitidos, o objetivo é criar uma seqüência de dados que não possa ser entendida por terceiros, que não façam parte da VPN, sendo que apenas o verdadeiro destinatário dos dados deve ser capaz de recuperar os dados originais fazendo uso de uma chave [13].

São chamadas de Chave Simétrica e de Chave Assimétrica as tecnologias utilizadas para criptografar dados.

Chave Simétrica ou Chave Privada

É a técnica de criptografia onde é utilizada a mesma chave para criptografar e decriptografar os dados. Sendo assim, a manutenção da chave em segredo é fundamental para a eficiência do processo.

Chave Assimétrica ou Chave Pública

É a técnica de criptografia onde as chaves utilizadas para criptografar e decriptografar são diferentes, sendo, no entanto relacionadas. A chave utilizada para criptografar os dados é formada por duas partes, sendo uma pública e outra privada, da mesma forma que a chave utilizada para decriptografar.

Algoritmos para Criptografia

DES – (Data Encryption Standard)

É um padrão de criptografia simétrica, adotada pelo governo dos EUA em 1977. É o mais conhecido, utiliza chave de 56 bits. Tem como grande problema, a facilidade de ser quebrado a criptografia.

Triple-DES (3DES)

O Triple-DES é uma variação do algoritmo DES, sendo que o processo tem três fases: A seqüência é criptografada, sendo em seguida decriptografada com uma chave errada, e é novamente criptografada. É o mais utilizado, trabalha com 3 chaves de 56 bits utilizadas em seqüência, equivalente a uma chave de 128 bits. Dita como um algoritmo seguro.


RCA – (Rivest Chipher)

Tem tamanho de chave variável. Tem base para o MPPE – Microsoft.

AES - (Advanced Encryption Standard)

Foi adotado recentemente como padrão pelo governo norte-americano. Tem tamanho de chave variável (128, 192, 256 bits), é mais fácil de implementar; utiliza menos memória.

RSA – (Rivest Shamir Adleman)

É um padrão criado por Ron Rivest, Adi Shamir e Leonard Adleman em 1977 e utiliza chave pública de criptografia, tirando vantagem do fato de ser extremamente difícil fatorar o produto de números primos muito grandes. É um algoritmo assimétrico.

ECC – (Elliptic Curve Cryptograpy).

Nascido no começo da década de 90. O algoritmo foi melhorado pela Certicom para ser usado em dispositivos Wireless. Utiliza-se de matemática complexa; pesquisa proprietária e foi otimizado para equipamentos portáteis. É um algoritmo assimétrico.

Diffie-Hellman

Foi desenvolvido por Diffie e Hellman em 1976. Este algoritmo permite a troca de chaves secretas entre dois usuários. A chave utilizada é formada pelo processamento de duas outras chaves uma pública e outra secreta.

Integridade

A garantia de integridade dos dados trocados em uma VPN pode ser fornecida pelo uso de algoritmos que geram, a partir dos dados originais, códigos binários que sejam praticamente impossíveis de serem conseguidos, caso estes dados sofram qualquer tipo de adulteração. Ao chegarem no destinatário, este executa o mesmo algoritmo e compara o resultado obtido com a seqüência de bits que acompanha a mensagem, fazendo assim a verificação.


Hash

É o nome dado a uma função matemática que calcula valores para uma mensagem e a representa esquematicamente. Funciona como uma impressão digital de um documento. A partir de um hash se consegue o chamado "digest message", ou "resumo da mensagem". Com o hash pode-se identificar de modo único uma mensagem ou um arquivo digital. Isto porque a função que o produz calcula o resumo da mensagem a partir de textos de qualquer tamanho, mas não se consegue chegar até o texto integral a partir do seu resumo. Ou seja, é uma função de mão única.

A função hash tem larga aplicação na criptografia e serve tanto para diminuir o tamanho de mensagens cifradas e agilizar sua transmissão, como para autenticar um documento eletrônico. Um campo de aplicação em que o hash é essencial é o da assinatura digital. Nomes de funções de hash usadas atualmente são SHA1 (Secure Hash Algorithm 1) e MD5.

Algoritmos para Integridade

SHA-1 - Secure Hash Algorithm One

É um algoritmo de hash que gera mensagens de 160 bits, a partir de uma seqüência de até 264 bits.

MD5 - Message Digest Algorithm 5

É um algoritmo de hash que gera mensagens de 128 bits, a partir de uma seqüência de qualquer tamanho.

Autenticação

A Autenticação é importante para garantir que o originador dos dados que trafeguem na VPN seja, realmente, quem diz ser. Um usuário deve ser identificado no seu ponto de acesso à VPN, de forma que, somente o tráfego de usuários autenticados transite pela rede. Tal ponto de acesso fica responsável por rejeitar as conexões que não sejam adequadamente identificadas. Para realizar o processo de autenticação, podem ser utilizados sistemas de identificação/senha, senhas geradas dinamicamente, autenticação por RADIUS ou um código duplo.

A definição exata do grau de liberdade que cada usuário tem dentro do sistema, tendo como conseqüência o controle dos acessos permitidos, é mais uma necessidade que justifica a importância da autenticação, pois é a partir da garantia da identificação precisa do usuário que poderá ser


MPLS

O protocolo MPLS (Multiprotocol Label Switching) é definido pelo IETF e consiste em uma tecnologia de chaveamento de pacotes que proporciona o encaminhamento e a comutação eficientes de fluxos de tráfego através da rede, apresentando-se como uma solução para diminuir o processamento nos equipamentos de rede e interligar com maior eficiência redes de tecnologias distintas. O termo “Multiprotocol” significa que esta tecnologia pode ser usada sob qualquer protocolo de rede. Considerando a Internet e a importância de seus protocolos nas várias WAN’s públicas e privadas, tem-se aplicado o estudo e implementação do MPLS para redes IP.

Este protocolo disponibiliza os serviços de QoS, Engenharia de Tráfego (Traffic Engineering) e VPN para uma rede baseada em IP .

FUNCIONAMENTO DO MPLS

Redes baseadas em IP geralmente deixam a desejar no quesito qualidade de serviço, que são características disponíveis nas redes baseadas em circuitos como ATM, com as quais as empresas estão mais acostumadas. O MPLS traz a sofisticação do protocolo orientado à conexão para o mundo IP sem conexão. É esse o segredo que torna as redes IP tão convenientes para as aplicações empresariais. Com base em avanços simples no roteamento IP básico, o MPLS proporciona melhor desempenho e capacidade de criação de serviços para a rede.

Em uma rede IP convencional, os pacotes de dados são roteados com base nas informações contidas em seus cabeçalhos (headers) e nas informações que cada roteador dispõe sobre o a alcance e a disponibilidade dos outros roteadores da rede. Nas redes MPLS, os pacotes são rotulados assim que entram na rede, sendo encaminhados apenas com base no conteúdo desses rótulos. Capacitando os roteadores a decidir o encaminhamento mais adequado com base em tais rótulos, o MPLS evita o esquema de intenso processo de pesquisa de dados utilizado no roteamento convencional.

Encaminhar pacotes com base em seus rótulos, em vez de roteá-los com base nos cabeçalhos, traz inúmeras e significativas vantagens: os pacotes são processados mais rapidamente, porque o tempo gasto para encaminhar um rótulo é menor do que o gasto para rotear um header de pacote; pode-se atribuir prioridade aos rótulos, o que torna possível garantir a qualidade de serviço de Frame Relay e de ATM; os pacotes percorrem a rede pública através de caminhos estáticos do tipo circuito, que são a base para Redes Virtuais Privadas (VPNs); A carga útil dos pacotes não é examinada pelos roteadores de encaminhamento, permitindo diferentes níveis de criptografia e o transporte de múltiplos protocolos.

Em resumo, O MPLS propõe um método para gerar uma estrutura de comutação sob qualquer rede de datagramas, criando circuitos virtuais a partir das rotas organizadas pelos protocolos de roteamento da camada de rede. A informação é então processada e dividida em classes de serviço (recebe labels) e os dados encaminhados através de rotas estabelecidas anteriormente por essas classes, sendo feita apenas a comutação. O nível


de enlace é preservado, sendo possível aplicar o MPLS em redes Ethernet, ATM e Frame Relay, por exemplo.

Figura 7: Exemplo de rede utilizando MPLS

Na figura [7] temos o funcionamento básico do protocolo MPLS, através do trajeto percorrido pelo pacote IP. Verificamos que o pacote recebe um label quando ingressa na nuvem MPLS, passa por comutadores dentro da rede da operadora, sendo que este label é retirado na saída da nuvem.

MPLS na Rede

O MPLS foi utilizado originalmente para definir a engenharia de tráfego, ou seja, para determinar o caminho a ser percorrido pelo tráfego através da rede e estabelecer os atributos de performance para diferentes classes de tráfego. O mais importante é que nas redes que disponibilizam rotas alternativas, o MPLS combina a escalabilidade e a flexibilidade do roteamento com a performance e a capacidade de gerenciamento de tráfego da comutação de camada 2 (Modelo OSI).

Para oferecer serviços baseados em IP, o MPLS é utilizado para mapear a rede IP privada do cliente para a rede pública, normalmente chamada VPN BGP MPLS ou VPN 2547 RFC. Qualquer mudança na topologia IP da rede do cliente é dinamicamente comunicada, por meio da rede pública, aos outros sites do cliente. Isso é possível porque a operadora utiliza o MPLS para montar tabelas de roteamento virtual para a rede de cada cliente, encaminhando dados e informações de rotas para os outros sites que o cliente possui.


O MPLS pode ser utilizado para estabelecer caminhos que emulam as conexões ponto-a-ponto de camada 2, oferecendo um caminho alternativo para o encaminhamento de dados, sem o alto overhead das VPNs BGP – algumas vezes chamadas de túneis de camada 2 ou redes virtuais privadas (VPNs).

Dessa forma, as operadoras podem utilizar o MPLS para estabelecer circuitos virtuais ou túneis em uma rede IP possibilitando as VPNs MPLS. Além disso, as operadoras que possuem redes IP, Frame Relay e ATM podem utilizar o MPLS para interligá-las, evitando altos gastos com upgrade de hardware, tanto para os clientes quanto para os provedores.

CONCLUSÃO

O serviço de VPN agrega um enorme valor para as corporações, aos usuários e aos provedores, como redução de custos e mobilidade utilizando-se da rede pública. Também existem grandes vantagens usando a tecnologia MPLS. Com as características e funcionalidades do protocolo MPLS e o desejo dos provedores que estão à procura de maneiras mais eficientes para oferecer serviços VPN a seus clientes, a tecnologia MPLS atende as expectativas, com uma combinação de diferentes requisitos, tais como, otimização no uso do backbone da rede, automação na criação, escalabilidade, gerenciamento da VPN, e habilidade em oferecer serviços diferenciados na mesma infra-estrutura.

Por esse motivo, o MPLS é hoje reconhecido como a principal tecnologia capaz de oferecer serviços diferenciados, que atendam às diversas necessidades dos usuários de redes, desde pequenas empresas que utilizam a rede para negociar com seus clientes e fornecedores, até as grandes, e que estejam implementando uma VPN global.

REFERÊNCIAS BIBLIOGRÁFICAS

[1] J. Guichard I. Pepelnjak. MPLS and VPN Architectures. CISCO PRESS, ISBN:1587050021, 2000.

[2] Werner, José. "Tecnologias para Implantação de Redes Virtuais Privadas" . Fórum Nacional sobre Segurança de Redes e Telecomunicações. Março/1998. 20 de Junho de 1998

[3] Henthorn, Alex. "VPN - Virtual Private Networks" . Livingston Enterprises, Inc. http://www.cernet.com.br/Livingston/napl/vpn.htm. 22 de Junho de 1998.

[4] Franzin, Oswaldo.”Conceitos Básicos de VPN”. http://www.gpr.com.br/download/vpn, 15 de Janeiro de 1999.

[5] O. Paridaens J. Clrcq. Scalability Implications of Virtual Private Networks. IEEE CommunicationsMagazine, pages 151–157, May 2002.

[6] Maughan, Douglas; Schertler, Mark; Schneider, Mark; Turner, Jeff. "Internet Security Association and Key Management Protocol (ISAKMP)". 10 de Março de 1998. On-


http://www.cernet.com.br/Livingston/napl/vpn.htm

Line. http://www.imib.med.tu-dresden.de/imib/Internet/Literatur/ISAKMP/draft-ietf-ipsec-isakmp-09.txt. 28 de Junho de 1998.

[7] "IPSEC - Internet Protocol Security". Security Project at the TCM Laboratory. On-Line. http://www.tcm.hut.fi/Tutkimus/IPSEC/ipsec.html. 20 de Junho de 1998

[8] M. A. Siueira M. C. Castro, E. T. Nakamura. An´alise dos Aspectos de Seguran¸ca dasVPNs MPLS. Simp´osio Brasileiro de Redes de Computadores - SBRC 2003, Natal-RN,Maio 2003.

[9] M. F. Magalhaes L. Farias M. C. Castro, M. A. Siqueira. A BGP/MPLS PPVPN ManagementInformation Model and a J2EE-based Implementation Architecture for Policy and Web-based Configuration Management Systems. IEEE 3rd International Conference on Networking ICN’04, Guadeloupe, French Caribbean, Fevereiro 2004.

[10] Henthorn, Alex. "VPN - Virtual Private Networks" . Livingston Enterprises, Inc. http://www.cernet.com.br/Livingston/napl/vpn.htm. 22 de Junho de 1998.

[11]"VPNs e IP Tunneling". On-Line. http://mingus.modulo.com.br/funciona.htm. 22 de Junho de 1998.

[12] CISCO SYSTEMS, Layer Two Tunnel Protocol, http://www.cisco.com, Internet.

[13] ASCEND COMMUNICATIONS, Virtual Private Networks Resource Guide, Arquivo PDF: http://www.lucent.com/ins/library/pdf/techdocs/vpnrg.pdf, Internet.

[14] RFC 2661, Agosto de 1999, http://www.ietf.org/rfc/rfc2661.txt , Internet.

[15] IPSEC FORUM, IPSec Explained: What is IPSec, IPSec Developers Forum, http://www.ipsec.com/IPSec_info.html , Internet

^


http://www.rnp.br/newsgen/9811/vpn.html#inicio

http://mingus.modulo.com.br/funciona.htm

http://www.cernet.com.br/Livingston/napl/vpn.htm

http://www.tcm.hut.fi/Tutkimus/IPSEC/ipsec.html

http://www.imib.med.tu-dresden.de/imib/Internet/Literatur/ISAKMP/draft-ietf-ipsec-isakmp-09.txt

http://www.imib.med.tu-dresden.de/imib/Internet/Literatur/ISAKMP/draft-ietf-ipsec-isakmp-09.txt

T


Documents

Artigo VPN Mpls