Capítulo 6. Redes Privadas Virtuais (Virtual Private Networks)

Empresas com diversos escirtórios frequentemente se conectam através de linhas dedicadas por motivos de eficiência e proteção de dados sensíveis transitando entre as diferentes localidades. Por exemplo: muitas empresas usam frame relay ou linhas Asynchronous Transfer Mode (ATM) como uma solução de rede end-to-end para ligar um escritório aos outros. Esta poder ser uma alternativa cara, especialmente para pequenas e médias empresas que queiram expandir sem arcar com os altos custos associados a circuitos digitais dedicados, de nível corporativo.

Engenheiros desenvolveram uma solução de baixo custo para este problema na forma de Redes Privadas Virtuais (Virtual Private Networks - VPNs). Seguindo os mesmos princípios funcionais dos circuitos dedicados, as VPNs permitem a comunicação digital protegida entre duas partes (ou redes), criando uma Ampla Área de Rede (Wide Area Network - WAN) a partir de LANs (Áreas Locais de Rede) existentes. Ela difere do frame relay ou do ATM em seu meio de transporte. As VPNs transmitem através de IP usando datagramas (UDP) como a camada de transporte, tornando-o um condutor seguro através da Internet, para um determinado destino. A maioria das implementações VPN de software livre incorporam o padrão aberto e criptografia open source para mascarar futuramente os dados em trânsito.

Algumas empresas aplicam soluções VPN de hardware para aumentar a segurança, enquanto outras usam software ou implementações baseadas em protocolos. Há diversos fabricantes de soluções VPN de hardware como Cisco, Nortel, IBM e Checkpoint. Existe uma solução VPN baseada em software gratuito para Linux chamada FreeS/Wan, que utiliza uma implementação padronizada do IPSec (ou Internet Protocol Security). Estas soluções VPN atuam como roteadores especializados situados entre as conexões IP de dois escritórios.

Quando um pacote é transmitido de um cliente, é enviado através do roteador ou porta de comunicação (gateway), que então adiciona informações de cabeçalho para roteamento e autenticação, chamado Cabeçalho de Autenticação (Authentication Header, AH). Os dados são criptografados e agrupados com instruções para resolução e descriptografia, chamadas Encapsulating Security Payload (ESP). O roteador VPN receptor depura as informações de cabeçalho e as roteia ao destino pretendido (uma estação de trabalho ou um nódulo em uma rede). Usando uma conexão rede-a-rede, o nódulo receptor da rede local recebe os pacotes descriptografados e prontos para processar. O processo de criptografia/descriptografia em uma conexão VPN rede-a-rede é transparente para o nódulo local.

Com um nível tão alto de segurança, não basta ao cracker interceptar o pacote, mas também descriptografar o pacote (a maioria das VPNs geralmente aplica a cifra tripla 'Data Encryption Standard' [3DES] de 168 bits). Intrusos que aplicarem o ataque man-in-the-middle entre um servidor e o cliente também devem ter acesso às chaves trocadas para sessões de autenticação. VPNs são um meio seguro e efetivo para conectar múltiplos nódulos remotos para atuar como uma intranet unificada.

6.1. VPNs e Red Hat Enterprise Linux

Usuários e administradores do Red Hat Enterprise Linux têm várias opções em termos de implementação de soluções de software para conectar e proteger sua WAN. Há, no entanto, dois métodos de implementação de conexões VPN equivalentes atualmente suportadas pelo Red Hat Enterprise Linux. Uma solução equivalente, que pode ser usada como um substituto seguro ao uso de um VPN, envolve rodar o OpenSSH como um túnel entre dois nódulos remotos. Esta solução é uma boa alternativa ao Telnet, rsh e outros métodos de comunicação remota, mas não atende completamente às necessidades de usabilidade de todos os telecomutadores e filiais corporativas. Duas soluções suportadas inclusas no Red Hat Enterprise Linux mais próximas da definição de uma VPN são CIPE (Crypto IP Encapsulation) e IPSEC (Internet Protocol Security).