Garantir a Segurança de Rede com uma VPN (Virtual Private Network)
As redes privadas virtuais (VPNs) foram criados para resolver dois problemas diferentes: o alto custo de linhas dedicadas necessários para comunicações de filiais e a necessidade de permitir que os funcionários de um método de conexão segura a redes das sedes quando eles estavam em negócios fora da cidade ou o trabalho de casa.
Menu
Como uma VPN funciona
Uma VPN utiliza um protocolo especial para estabelecer uma virtual canal entre duas máquinas ou duas redes. Imagine se você pudesse explodir uma bolha de sabão na forma de um tubo e só você e seu amigo poderia falar por ele. A bolha é temporária e quando você quer ter outra conversa, você teria que criar outra bolha. Isso é um bocado como canal de uma VPN. Este canal é na verdade uma sessão directa temporária. Isto é o que é comumente referido como tunneling.
Em seguida, a VPN também troca um conjunto de segredos compartilhados para criar uma chave de criptografia. O tráfego que viaja ao longo do canal estabelecido é envolto com um pacote cifrado que tem um endereço no exterior da embalagem, mas os conteúdos estão escondidos da vista. É como uma espécie de papel de bala. Você pode ver o doce, mas você não sabe realmente o que o doce parece no interior. A mesma coisa acontece com o tráfego criptografado. Os conteúdos originais são escondidos da visão, mas não tem informação suficiente para obtê-lo ao seu destino. Depois que os dados chegam ao seu destino, o invólucro é removido com segurança.
A criação de uma VPN
Você pode configurar uma VPN duas maneiras: A primeira maneira é normalmente usado entre redes e firewalls ou roteadores criptografia para fazer a criptografia e descriptografia do tráfego. Neste definido acima, não há necessidade de um software especial nos computadores de secretária ou de cliente. O segundo método é ter um firewall, criptografia de roteador ou servidor VPN no final de destino e um software especial do cliente VPN nos computadores desktop ou laptop. Tudo depende de se a VPN é uma operação de duas vias ou uma operação one-way.
Determinar o relacionamento
Em um relacionamento de duas vias que você tem duas redes que querem trabalhar em conjunto e cada um tem basicamente a mesma configuração VPN como o outro. O pedido para estabelecer uma conexão VPN pode vir de qualquer direção. Nenhum software especial é necessária em computadores desktop, porque toda a criptografia e descriptografia é feito nos pontos de entrada e saída da rede. Ambas as redes também têm sistemas de gerenciamento de chaves para que eles possam tanto criar chaves secretas para uma sessão de VPN. É importante que as duas redes têm componentes VPN compatíveis ou não será bem sucedido em falar com um outro.
Em um relacionamento one-way, a rede de destino tem a configuração de VPN e não há acordo com outra rede para compartilhar. Nesse caso, o computador querer fazer a ligação com a rede tem que ter um software cliente VPN e o pedido apenas pode ser feita numa direcção - a partir do cliente à rede. O software cliente pode solicitar e autenticar-se, mas o segredo principais mecanismos fazendo são apenas na rede. O computador cliente terá uma chave secreta armazenada em si, mas não pode criar novas chaves.
Geralmente, o sistema de sentido único é usado para usuários remotos que estejam discando a partir de casa ou enquanto eles estão viajando na estrada. Eles dial-up através de seu ISP e os mecanismos para estabelecer e manter conexões VPN tudo está contido na rede de destino. Se alguém com um computador portátil sem o software cliente VPN tentou se conectar à rede da empresa, ele não iria chegar muito longe, porque ele não teria o software cliente ou uma chave secreta. Além disso, o usuário não autorizado não seria listado no banco de dados de usuários autorizados da VPN. No entanto, uma vez que alguém disca e é autenticado, seu acesso é o mesmo como se estivessem sentados no mesmo edifício que a rede de destino.
Dentro ou fora?
Você pode configurar a VPN endpoint em vários locais. O ponto final é onde o tráfego VPN entra em sua rede. Em alguns casos, o ponto final é também o firewall como muitos firewalls vêm com recursos de VPN hoje em dia. O ponto final pode também ser na frente da firewall, em uma DMZ fora de um lado para o firewall, ou no interior da firewall. Cada uma dessas configurações tem seus prós e contras.
Se você optar por colocar a sua VPN na frente do firewall, o mecanismo faz todo o criptografar e descriptografar por conta própria. Isso significa que não há necessidade de permitir um túnel VPN aberto através de seu firewall. Todo o tráfego através do firewall terá sido pré-filtrada e formatado de modo que o firewall pode lê-lo. No entanto, se a VPN falha ou é levado para baixo, você vai se deparar com uma situação onde todo o tráfego sai sem criptografia, ou nenhum tráfego em tudo sai. Depende se ou não a sua VPN irá falhar na posição aberta ou fechada.
A VPN no firewall parece ser uma boa solução, porque, mais uma vez, você não precisa sair de um túnel aberto através do firewall. O firewall irá lidar com toda a encriptação, desencriptação e seu trabalho regular do exame de tráfego. Este tipo de solução coloca um enorme fardo sobre os pobres firewall pouco, porém. Criptografia e descriptografia é para um computador de trabalho intensivo, como é o exame do tráfego, e que poderia resultar em um gargalo para o tráfego.
Outro método consiste em colocar o VPN no interior da firewall. Isto alivia o firewall e / ou roteador de ter que lidar com a criptografia e descriptografia do tráfego, mas você tem que permitir um túnel VPN para passar pelo firewall. Um firewall não consegue ler tráfego criptografado e vai permitir que a passagem de tráfego sem contestação. Naturalmente, o tráfego ainda irá ser interrompido pelo mecanismo VPN, mas por essa altura, é já na rede interna.
Protegendo o cliente
Provavelmente, a maneira mais fácil de quebrar a segurança de uma VPN é obter um porão de um computador portátil que é usado para discar para uma conexão VPN. O laptop roubado terá o software cliente VPN, a UserID, e a chave secreta todos armazenados em uma máquina. Um proprietário de laptop inteligente não vai ter salvo a senha para o túnel VPN em seu computador. Se ele tem, o ladrão acaba metido um bilhete grátis para passear na sua rede!
Os usuários que usam laptops para estabelecer conexões VPN com a rede precisa ser dado aulas na manutenção da boa segurança. Eles devem ter up-to-date software anti-vírus instalado e garantir que ele seja executado toda vez que iniciar o computador. Além disso, o laptop deve ter software de firewall pessoal configurado. Alguns clientes VPN já incluem firewalls pessoais, assim você terá que verificar com o seu fornecedor para saber se o seu faz ou não faz. O firewall pessoal pode garantir que apenas o cliente VPN está fazendo a conexão e que na verdade não é um programa cavalo de Tróia que aparece como o cliente VPN. Outra boa precaução é permitir que a senha do BIOS. Dessa forma, se o computador for roubado, ele pode nem mesmo ser iniciado sem a senha.