Rede privada virtual - Virtual private network

Uma rede privada virtual ( VPN ) estende uma rede privada por uma rede pública e permite que os usuários enviem e recebam dados por redes públicas ou compartilhadas, como se seus dispositivos de computação estivessem diretamente conectados à rede privada. Os benefícios de uma VPN incluem aumentos na funcionalidade, segurança e gerenciamento da rede privada. Ele fornece acesso a recursos inacessíveis na rede pública e é normalmente usado para trabalhadores remotos . A criptografia é comum, embora não seja uma parte inerente de uma conexão VPN.

Uma VPN é criada estabelecendo uma conexão ponto a ponto virtual por meio do uso de circuitos dedicados ou com protocolos de tunelamento nas redes existentes. Uma VPN disponível na Internet pública pode fornecer alguns dos benefícios de uma rede de longa distância (WAN). Da perspectiva do usuário, os recursos disponíveis na rede privada podem ser acessados ​​remotamente.

Tipos

Árvore de classificação VPN com base na topologia primeiro e, em seguida, na tecnologia usada.

Visão geral da conectividade VPN, mostrando configurações de intranet site a site e de trabalho remoto usadas juntas

As redes privadas virtuais podem ser classificadas em várias categorias:

Acesso remoto

Uma configuração host-para-rede é análoga a conectar um computador a uma rede local. Este tipo fornece acesso a uma rede corporativa, como uma intranet . Isso pode ser empregado para trabalhadores remotos que precisam de acesso a recursos privados ou para permitir que um trabalhador móvel acesse ferramentas importantes sem expô-los à Internet pública.

Site a site

Uma configuração site a site conecta duas redes. Essa configuração expande uma rede entre escritórios geograficamente distintos ou um grupo de escritórios para uma instalação de data center. O link de interconexão pode ser executado em uma rede intermediária diferente, como duas redes IPv6 conectadas em uma rede IPv4 .

Site a site baseado em extranet

No contexto das configurações de site a site, os termos intranet e extranet são usados ​​para descrever dois casos de uso diferentes. Uma VPN site a site de intranet descreve uma configuração em que os sites conectados pela VPN pertencem à mesma organização, enquanto uma VPN site a site de extranet une sites pertencentes a várias organizações.

Normalmente, os indivíduos interagem com VPNs de acesso remoto, enquanto as empresas tendem a usar conexões site a site para cenários business-to-business , computação em nuvem e filiais . Apesar disso, essas tecnologias não são mutuamente exclusivas e, em uma rede de negócios significativamente complexa, podem ser combinadas para permitir o acesso remoto a recursos localizados em qualquer local, como um sistema de pedidos residente em um datacenter.

Os sistemas VPN também podem ser classificados por:

• o protocolo de tunelamento usado para tunelar o tráfego
• a localização do ponto de terminação do túnel, por exemplo, na borda do cliente ou na borda do provedor de rede
• o tipo de topologia de conexões, como site a site ou rede a rede
• os níveis de segurança fornecidos
• a camada OSI que eles apresentam à rede de conexão, como circuitos da Camada 2 ou conectividade de rede da Camada 3
• o número de conexões simultâneas

Mecanismos de segurança

VPNs não podem fazer conexões online completamente anônimas, mas geralmente podem aumentar a privacidade e a segurança. Para evitar a divulgação de informações privadas, as VPNs geralmente permitem apenas acesso remoto autenticado usando protocolos de encapsulamento e técnicas de criptografia .

O modelo de segurança VPN oferece:

• confidencialidade de tal forma que, mesmo se o tráfego de rede for detectado no nível do pacote (consulte o sniffer de rede e a inspeção profunda de pacotes ), um invasor verá apenas dados criptografados
• autenticação do remetente para evitar que usuários não autorizados acessem a VPN
• integridade da mensagem para detectar quaisquer instâncias de violação das mensagens transmitidas.

As fases do ciclo de vida de um túnel IPSec em uma rede privada virtual.

Os protocolos VPN seguros incluem o seguinte:

• O Internet Protocol Security ( IPsec ) foi inicialmente desenvolvido pela Internet Engineering Task Force (IETF) para IPv6 , que era necessário em todas as implementações de IPv6 em conformidade com os padrões antes que RFC  6434 fizesse apenas uma recomendação. Este protocolo de segurança baseado em padrões também é amplamente usado com IPv4 e o protocolo de encapsulamento de camada 2 . Seu design atende à maioria dos objetivos de segurança: disponibilidade, integridade e confidencialidade . O IPsec usa criptografia, encapsulando um pacote IP dentro de um pacote IPsec. O desencapsulamento acontece no final do túnel, onde o pacote IP original é descriptografado e encaminhado ao destino pretendido.
• O Transport Layer Security ( SSL / TLS ) pode encapsular o tráfego de uma rede inteira (como faz no projeto OpenVPN e no projeto SoftEther VPN ) ou proteger uma conexão individual. Vários fornecedores fornecem recursos de VPN de acesso remoto por meio de SSL. Uma VPN SSL pode se conectar a partir de locais onde o IPsec enfrenta problemas com a tradução de endereços de rede e regras de firewall.
• Datagram Transport Layer Security ( DTLS ) - usado no Cisco AnyConnect VPN e no OpenConnect VPN para resolver os problemas que SSL / TLS tem com encapsulamento sobre TCP (encapsulamento TCP sobre TCP pode levar a grandes atrasos e abortos de conexão).
• A criptografia ponto a ponto da Microsoft ( MPPE ) funciona com o protocolo de encapsulamento ponto a ponto e em várias implementações compatíveis em outras plataformas.
• O protocolo de encapsulamento de soquete seguro da Microsoft ( SSTP ) encapsula o protocolo PPP ou o tráfego do protocolo de encapsulamento de camada 2 por meio de um canal SSL / TLS (o SSTP foi introduzido no Windows Server 2008 e no Windows Vista Service Pack 1).
• Rede privada virtual de múltiplos caminhos (MPVPN). Ragula Systems Development Company possui a marca registrada "MPVPN".
• VPN Secure Shell (SSH) - OpenSSH oferece túnel VPN (distinto do encaminhamento de porta ) para proteger conexões remotas a uma rede ou links entre redes. O servidor OpenSSH fornece um número limitado de túneis simultâneos. O próprio recurso VPN não oferece suporte à autenticação pessoal.
• WireGuard é um protocolo. Em 2020, o suporte WireGuard foi adicionado aos kernels Linux e Android, abrindo-o para adoção por provedores de VPN. Por padrão, o WireGuard utiliza Curve25519 para troca de chaves e ChaCha20 para criptografia, mas também inclui a capacidade de pré-compartilhar uma chave simétrica entre o cliente e o servidor.
• IKEv2 é um acrônimo que significa Internet Key Exchange volume 2. Ele foi criado pela Microsoft e pela Cisco e é usado em conjunto com o IPSec para criptografia e autenticação. Seu uso principal é em dispositivos móveis, seja em redes 3G ou 4G LTE, uma vez que é eficaz no reingresso quando a conexão é perdida.

Autenticação

Os endpoints do túnel devem ser autenticados antes que os túneis VPN seguros possam ser estabelecidos. VPNs de acesso remoto criadas pelo usuário podem usar senhas , biometria , autenticação de dois fatores ou outros métodos criptográficos . Os túneis de rede para rede geralmente usam senhas ou certificados digitais . Eles armazenam permanentemente a chave para permitir que o túnel se estabeleça automaticamente, sem intervenção do administrador.

Encaminhamento

Os protocolos de encapsulamento podem operar em uma topologia de rede ponto a ponto que, teoricamente, não seria considerada uma VPN porque, por definição, espera-se que uma VPN suporte conjuntos arbitrários e variáveis ​​de nós de rede. Mas, como a maioria das implementações de roteador oferece suporte a uma interface de túnel definida por software, as VPNs provisionadas pelo cliente geralmente são simplesmente túneis definidos que executam protocolos de roteamento convencionais.

Componentes de VPN provisionados pelo provedor

Terminologia VPN Site a Site.

Dependendo se uma VPN provisionada por provedor (PPVPN) opera na camada 2 ou camada 3, os blocos de construção descritos abaixo podem ser apenas L2, apenas L3 ou uma combinação de ambos. A funcionalidade de comutação de rótulo multiprotocolo (MPLS) confunde a identidade L2-L3.

O RFC  4026 generalizou os seguintes termos para cobrir VPNs L2 MPLS e VPNs L3 (BGP), mas eles foram introduzidos no RFC  2547 .

Dispositivos do cliente (C)

Um dispositivo que está dentro da rede do cliente e não está conectado diretamente à rede do provedor de serviços. Os dispositivos C não estão cientes da VPN.

Dispositivo Customer Edge (CE)

Um dispositivo na extremidade da rede do cliente que fornece acesso ao PPVPN. Às vezes, é apenas um ponto de demarcação entre a responsabilidade do fornecedor e do cliente. Outros provedores permitem que os clientes o configurem.

Dispositivo de extremidade do provedor (PE)

Um dispositivo, ou conjunto de dispositivos, na extremidade da rede do provedor que se conecta às redes do cliente por meio de dispositivos CE e apresenta a visão do provedor do local do cliente. Os PEs estão cientes das VPNs que se conectam por meio deles e mantêm o estado da VPN.

Dispositivo do provedor (P)

Um dispositivo que opera dentro da rede central do provedor e não faz interface direta com nenhum terminal do cliente. Pode, por exemplo, fornecer roteamento para muitos túneis operados por provedor que pertencem a PPVPNs de diferentes clientes. Embora o dispositivo P seja uma parte fundamental da implementação de PPVPNs, ele próprio não reconhece a VPN e não mantém o estado da VPN. Sua principal função é permitir que o provedor de serviços dimensione suas ofertas PPVPN, por exemplo, agindo como um ponto de agregação para vários PEs. As conexões P-to-P, nessa função, geralmente são links ópticos de alta capacidade entre os principais locais dos provedores.

Serviços PPVPN visíveis para o usuário

Serviços OSI Camada 2

LAN Virtual

A LAN virtual (VLAN) é uma técnica da Camada 2 que permite a coexistência de vários domínios de difusão de rede local (LAN) interconectados por meio de troncos usando o protocolo de entroncamento IEEE 802.1Q . Outros protocolos de trunking foram usados, mas se tornaram obsoletos, incluindo Inter-Switch Link (ISL), IEEE 802.10 (originalmente um protocolo de segurança, mas um subconjunto foi introduzido para trunking) e ATM LAN Emulation (LANE).

Serviço de LAN privada virtual (VPLS)

Desenvolvido pelo Institute of Electrical and Electronics Engineers , as LANs virtuais (VLANs) permitem que várias LANs marcadas compartilhem o trunking comum. As VLANs freqüentemente compreendem apenas instalações de propriedade do cliente. Considerando que o VPLS, conforme descrito na seção acima (serviços OSI Camada 1) oferece suporte à emulação de topologias ponto a ponto e ponto a multiponto, o método discutido aqui estende tecnologias da Camada 2, como 802.1d e 802.1q LAN trunking para executar em transportes como Metro Ethernet .

Conforme usado neste contexto, um VPLS é um PPVPN de Camada 2, emulando toda a funcionalidade de uma LAN tradicional. Do ponto de vista do usuário, um VPLS torna possível interconectar vários segmentos de LAN por meio de um núcleo de provedor óptico ou comutado por pacotes, um núcleo transparente para o usuário, fazendo com que os segmentos de LAN remotos se comportem como uma única LAN.

Em um VPLS, a rede do provedor emula uma ponte de aprendizagem, que pode opcionalmente incluir o serviço VLAN.

Pseudo fio (PW)

PW é semelhante ao VPLS, mas pode fornecer diferentes protocolos L2 em ambas as extremidades. Normalmente, sua interface é um protocolo WAN, como Modo de transferência assíncrona ou Frame Relay . Em contraste, quando se pretende fornecer a aparência de uma LAN contígua entre dois ou mais locais, o serviço de LAN privada virtual ou IPLS seria apropriado.

Túnel Ethernet sobre IP

EtherIP ( RFC  3378 ) é uma especificação de protocolo de túnel Ethernet sobre IP. EtherIP tem apenas mecanismo de encapsulamento de pacotes. Não tem confidencialidade nem proteção de integridade de mensagem. EtherIP foi introduzido na pilha de rede do FreeBSD e no programa de servidor VPN SoftEther .

Serviço semelhante a LAN somente IP (IPLS)

Um subconjunto do VPLS, os dispositivos CE devem ter recursos da Camada 3; o IPLS apresenta pacotes em vez de quadros. Pode ser compatível com IPv4 ou IPv6.

Arquiteturas OSI Layer 3 PPVPN

Esta seção discute as principais arquiteturas para PPVPNs, uma em que o PE elimina a ambigüidade de endereços duplicados em uma única instância de roteamento e a outra, roteador virtual, em que o PE contém uma instância de roteador virtual por VPN. A primeira abordagem e suas variantes receberam mais atenção.

Um dos desafios dos PPVPNs envolve diferentes clientes usando o mesmo espaço de endereço, especialmente o espaço de endereço privado IPv4. O provedor deve ser capaz de eliminar a ambigüidade de endereços sobrepostos nos PPVPNs de vários clientes.

BGP / MPLS PPVPN

No método definido pela RFC  2547 , as extensões BGP anunciam rotas na família de endereços VPN IPv4, que são na forma de strings de 12 bytes, começando com um distinguidor de rota de 8 bytes (RD) e terminando com um endereço IPv4 de 4 bytes . Os RDs eliminam a ambiguidade de endereços de outra forma duplicados no mesmo PE.

Os PEs entendem a topologia de cada VPN, que são interconectados com túneis MPLS diretamente ou por meio de roteadores P. Na terminologia MPLS, os roteadores P são roteadores Label Switch sem conhecimento de VPNs.

PPVPN do roteador virtual

A arquitetura do roteador virtual, ao contrário das técnicas BGP / MPLS, não requer nenhuma modificação nos protocolos de roteamento existentes, como o BGP. Com o provisionamento de domínios de roteamento logicamente independentes, o cliente que opera uma VPN é totalmente responsável pelo espaço de endereço. Nos vários túneis MPLS, os diferentes PPVPNs são eliminados por seus rótulos, mas não precisam de distinguidores de roteamento.

Túneis não criptografados

Algumas redes virtuais usam protocolos de tunelamento sem criptografia para proteger a privacidade dos dados. Embora as VPNs geralmente forneçam segurança, uma rede de sobreposição não criptografada não se encaixa perfeitamente na categorização segura ou confiável. Por exemplo, um túnel configurado entre dois hosts com Encapsulamento de Roteamento Genérico (GRE) é uma rede privada virtual, mas não é segura nem confiável.

Os protocolos de encapsulamento de texto simples nativo incluem o protocolo de encapsulamento de camada 2 (L2TP) quando configurado sem IPsec e protocolo de encapsulamento ponto a ponto (PPTP) ou criptografia ponto a ponto da Microsoft (MPPE).

Redes de entrega confiáveis

VPNs confiáveis ​​não usam túnel criptográfico; em vez disso, eles contam com a segurança da rede de um único provedor para proteger o tráfego.

• O Multi-Protocol Label Switching (MPLS) geralmente se sobrepõe a VPNs, geralmente com controle de qualidade de serviço em uma rede de distribuição confiável.
• L2TP, que é uma substituição baseada em padrões e um compromisso assumindo os bons recursos de cada um, para dois protocolos VPN proprietários: Cisco's Layer 2 Forwarding (L2F) (obsoleto em 2009) e Microsoft's Point-to-Point Tunneling Protocol (PPTP) .

Do ponto de vista da segurança, as VPNs confiam na rede de distribuição subjacente ou devem aplicar a segurança com mecanismos na própria VPN. A menos que a rede de entrega confiável seja executada apenas entre sites fisicamente seguros, os modelos confiáveis ​​e seguros precisam de um mecanismo de autenticação para que os usuários obtenham acesso à VPN.

VPNs em ambientes móveis

As redes privadas virtuais móveis são usadas em configurações onde um ponto de extremidade da VPN não é fixo em um único endereço IP , mas em vez disso, faz roaming em várias redes, como redes de dados de operadoras de celular ou entre vários pontos de acesso Wi-Fi sem interromper a sessão VPN segura ou perder sessões de aplicativos. VPNs móveis são amplamente usados ​​em segurança pública, onde fornecem aos policiais acesso a aplicativos como despacho assistido por computador e bancos de dados criminais, e em outras organizações com requisitos semelhantes, como gerenciamento de serviço de campo e saúde.

Limitações de rede

Uma limitação das VPNs tradicionais é que elas são conexões ponto a ponto e não tendem a oferecer suporte a domínios de broadcast ; portanto, a comunicação, o software e a rede, que se baseiam na camada 2 e em pacotes de difusão , como o NetBIOS usado na rede do Windows , podem não ser totalmente suportados como em uma rede local . Variantes na VPN, como o Virtual Private LAN Service (VPLS) e os protocolos de encapsulamento da camada 2, são projetadas para superar essa limitação.

Veja também

• Anonimizador
• Rede privada virtual multiponto dinâmica
• VPN Ethernet
• Privacidade da Internet
• VPN mediada
• Criptografia oportunista
• Túnel dividido
• Servidor privado virtual
• Serviço VPN

Referências

Leitura adicional

• Kelly, Sean (agosto de 2001). “A necessidade é a mãe da invenção da VPN” . Notícias de comunicação : 26–28. ISSN  0010-3632 . Arquivado do original em 17 de dezembro de 2001.