Acesso remoto 4min de Leitura - 01 de novembro de 2016

VPN IPsec nas comunicações corporativas

Modem com três antenas.

This post is also available in: Português English Español

A internet trouxe flexibilidade para a comunicação entre empresas do mesmo grupo, parceiros, fornecedores, encurtando distâncias e aumentando potencialmente a produtividade com a remoção de barreiras físicas, tornando o mercado ainda mais dinâmico e competitivo.

Antes da internet – com ocorrência nos dias atuais – as comunicações eram realizadas por intermédio de linhas ou enlaces privados, altamente custosos. No entanto, era o preço que boa parte das organizações estavam dispostas a pagar para interligar, de maneira segura, seus pontos estratégicos.

Nesse sentido, fica evidente que a capilaridade da internet, atrelada ao baixo custo, especialmente nos dias atuais, poderia ser muito melhor aproveitada se fosse criado um mecanismo que permitisse comunicação segura, utilizando a infraestrutura pública da internet.

Desta necessidade surgiu o conceito de VPN (Virtual Private Network) ou Rede Virtual Privada, que tem como grande finalidade interligar pontos de maneira segura, geralmente fazendo uso de mecanismos de autenticação e criptografia forte. O conceito de VPN foi concebido com o intuito de garantir a segurança daquilo que era trafegado na rede pública, internet.

Muitos protocolos foram criados para esta finalidade, e uma das suítes com grande volume de uso chama-se IPsec, que embora muitos refiram-se somente como protocolo IPsec, faz parte de um conjunto de protocolos criados para oferecer segurança para o Protocolo de Internet, nas versões 4 (IPv4) e 6 (IPV6). Continue a leitura e entenda um pouco mais sobre as características deste protocolo.

Padrão de mercado

O IPsec é a solução de classe mundial quando o assunto é VPN, tanto em meios públicos como privados, onde a finalidade é claramente proteger as pontas que realizam uma comunicação. Por conta disso, é um protocolo amplamente suportado pelos mais variados dispositivos, desde grandes soluções de segurança, até hardwares embarcados e smartphones.

A variedade de protocolos criptográficos que podem ser utilizados na suíte IPsec acaba sendo um grande facilitador para a exigência de segurança nas comunicações. Fornecedores que precisam se comunicar de maneira segura, tendem a definir o IPsec como solução base.

Interoperabilidade entre fabricantes

Embora seja um padrão de mercado e amplamente descrito pela IETF (Internet Engineering Task Force) por intermédio de RFCs (Request For Comments) e padrões, a parte de software, cuja a implementação é de responsabilidade de cada fabricante, acaba sendo uma dificuldade no processo de configuração de VPN IPsec e, em alguns casos, a experiência de empresas e usuários pode ficar “a quem” do desejado.

Por conta disso, antes de definir o formato de comunicação segura, diante de uma necessidade evidenciada, com fornecedor ou cliente, valide a solução de segurança presente nas pontas e certifique-se de que a implementação de VPN IPsec, de fato, é a melhor solução.

É comum que para casos onde trata-se do mesmo fabricante, outras soluções proprietárias com o mesmo propósito sejam utilizadas. E não há problema algum nisto, o importante é que as premissas de segurança sejam devidamente atendidas, independente da solução de VPN.

Desempenho VPN IPsec

O modelo de funcionamento e implementação do IPsec permite que ele apresente um desempenho superior, especialmente quanto a soluções de VPN, que estão totalmente definidas no _userlevel_ do sistema operacional.

Independentemente deste caso, existem placas especializadas para aceleração criptográfica que podem ser utilizadas para auxiliar a CPU dependendo do volume de tráfego utilizado em concentradores VPN (nome dado aos servidores que centralizam diversas conexões de usuários, ou outras empresas).

De maneira geral, por sua arquitetura e implementação, boa parte no _kernel_, o desempenho associado a qualidade do que é entregue é superior à outras soluções de mesmo propósito.

Troca de informações com VPN IPsec

A configuração de um túnel IPsec (como é usado na nomenclatura técnica) depende de troca de informações de conexão das duas partes envolvidas. Geralmente essas informações são disponibilizadas por intermédio de formulários, e através dos mesmos as partes entram no acordo da parametrização da conexão.

Essa parametrização basicamente consiste em duas fases, onde são definidas as premissas de criptografia a serem utilizadas, seguida de uma chave pré-compartilhada (PSK) que validará a sessão. Há também o suporte a estrutura x.509, e outras variações, oferecendo ainda mais segurança para a sessão.

Outro aspecto comum nos formulários é coletar os dados dos fabricantes envolvidos nas duas pontas, para registro, e não menos importante, quais as redes ou endereços que irão trafegar naquela VPN. Você pode acessar um formulário de exemplo clicando aqui.

Parametrização das soluções

Essa troca de informações é fundamental, e no mundo inteiro os formulários são muito semelhantes em termos de campos a serem preenchidos, o que auxilia na popularização do uso de VPNs IPsec.

Após levantamento das informações de configuração e repasse das mesmas para os envolvidos no processo de configuração, é hora de efetivamente configurar as pontas. Uma vez que a comunicação esteja fechada, as redes e endereços que foram configuradas, passam a se enxergar através da internet, ou outro meio de comunicação, podendo trocar informações seguras, com todo o respaldo de uma VPN IPsec.

Infelizmente tudo poderia ser muito mais fácil se os fabricantes em suas implantações oferecessem suporte e aderência aos padrões criados pelo IETF. Por conta disso, é comum que haja o envolvido das equipes técnicas para um famoso troubleshooting.

Exemplos de uso

O uso de VPN IPsec ou de VPN, de maneira geral, estão condicionados a necessidade de uma comunicação segura entre 2 pontos, seja através da internet, ou até mesmo dentro de uma rede privada.

Desta forma, unidades de negócio podem ser conectadas, pessoas em trânsito que precisam acessar documentos corporativos, de maneira segura, através de dispositivos móveis, um varejista que precisa estar com o estoque conectado com fornecedores, empresas de logística, instituições financeiras para troca de informações, entre várias outras finalidades.

This post is also available in: Português English Español