Tabla de Contenido
VPNs de acesso remoto
No tópico anterior, você aprendeu os fundamentos de uma VPN. Aqui você aprenderá sobre os tipos de VPNs.
VPNs se tornaram a solução lógica para conectividade de acesso remoto por muitos motivos. Conforme mostrado na figura, as VPNs de acesso remoto permitem que usuários remotos e móveis se conectem com segurança à empresa criando um túnel criptografado. Os usuários remotos podem replicar com segurança seu acesso de segurança empresarial, incluindo e-mail e aplicativos de rede. VPNs de acesso remoto também permitem que contratados e parceiros tenham acesso limitado a servidores, páginas da web ou arquivos específicos, conforme necessário. Isso significa que esses usuários podem contribuir para a produtividade dos negócios sem comprometer a segurança da rede.
VPNs de acesso remoto são normalmente ativados dinamicamente pelo usuário quando necessário. VPNs de acesso remoto podem ser criados usando IPsec ou SSL. Conforme mostrado na figura, um usuário remoto deve iniciar uma conexão VPN de acesso remoto.
A figura exibe duas maneiras pelas quais um usuário remoto pode iniciar uma conexão VPN de acesso remoto: VPN sem cliente e VPN baseada em cliente.
- Conexão VPN sem cliente – A conexão é protegida usando uma conexão SSL do navegador da web. SSL é usado principalmente para proteger o tráfego HTTP (HTTPS) e protocolos de e-mail, como IMAP e POP3. Por exemplo, HTTPS é, na verdade, HTTP usando um túnel SSL. A conexão SSL é estabelecida primeiro e, em seguida, os dados HTTP são trocados pela conexão.
- Conexão VPN baseada em cliente – O software cliente VPN, como Cisco AnyConnect Secure Mobility Client, deve ser instalado no dispositivo final do usuário remoto. Os usuários devem iniciar a conexão VPN usando o cliente VPN e, em seguida, autenticar no gateway VPN de destino. Quando os usuários remotos são autenticados, eles têm acesso a arquivos e aplicativos corporativos. O software cliente VPN criptografa o tráfego usando IPsec ou SSL e o encaminha pela Internet para o gateway VPN de destino.
VPNs SSL
Quando um cliente negocia uma conexão SSL VPN com o gateway VPN, ele realmente se conecta usando Transport Layer Security (TLS). TLS é a versão mais recente do SSL e às vezes é expresso como SSL / TLS. No entanto, ambos os termos são freqüentemente usados de forma intercambiável.
SSL usa a infraestrutura de chave pública e certificados digitais para autenticar pares. As tecnologias IPsec e SSL VPN oferecem acesso a praticamente qualquer aplicativo ou recurso de rede. No entanto, quando a segurança é um problema, o IPsec é a escolha superior. Se o suporte e a facilidade de implantação forem os principais problemas, considere o SSL. O tipo de método VPN implementado é baseado nos requisitos de acesso dos usuários e nos processos de TI da organização. A tabela compara as implantações de acesso remoto IPsec e SSL.
Recurso | IPsec | SSL |
---|---|---|
Aplicativos suportados | Extensivo – Todos os aplicativos baseados em IP são suportados. | Limitado – Apenas aplicativos baseados na web e compartilhamento de arquivos são suportados. |
Força de autenticação | Forte – Usa autenticação bidirecional com chaves compartilhadas ou certificados digitais. | Moderado – Usando autenticação unilateral ou bidirecional. |
Força de criptografia | Forte – Usa comprimentos de chave de 56 bits a 256 bits. | Moderado a forte – Com comprimentos de chave de 40 bits a 256 bits. |
Complexidade de conexão | Médio – Porque requer um cliente VPN pré-instalado em um host. | Baixo – Requer apenas um navegador da web em um host. |
Opção de conexão | Limitado – Apenas dispositivos específicos com configurações específicas podem se conectar. | Extensivo – Qualquer dispositivo com um navegador da web pode se conectar. |
É importante compreender que as VPNs IPsec e SSL não são mutuamente exclusivas. Em vez disso, eles são complementares; ambas as tecnologias resolvem problemas diferentes, e uma organização pode implementar IPsec, SSL ou ambos, dependendo das necessidades de seus telecomutadores.
VPNs IPsec site a site
VPNs site a site são usados para conectar redes em outra rede não confiável, como a Internet. Em uma VPN site a site, os hosts finais enviam e recebem tráfego TCP / IP não criptografado normal por meio de um dispositivo de terminação VPN. A terminação VPN é normalmente chamada de gateway VPN. Um dispositivo de gateway VPN pode ser um roteador ou firewall, conforme mostrado na figura. Por exemplo, o Cisco Adaptive Security Appliance (ASA) mostrado no lado direito da figura é um dispositivo de firewall independente que combina firewall, concentrador de VPN e funcionalidade de prevenção de intrusão em uma imagem de software.
O gateway VPN encapsula e criptografa o tráfego de saída. Em seguida, ele envia o tráfego por meio de um túnel VPN pela Internet para um gateway VPN no site de destino. Após o recebimento, o gateway VPN receptor remove os cabeçalhos, descriptografa o conteúdo e retransmite o pacote para o host de destino dentro de sua rede privada.
VPNs site a site são normalmente criados e protegidos usando segurança IP (IPsec).
GRE sobre IPsec
O Encapsulamento de Roteamento Genérico (GRE) é um protocolo de túnel VPN site a site não seguro. Ele pode encapsular vários protocolos da camada de rede. Ele também oferece suporte a tráfego multicast e broadcast, que pode ser necessário se a organização exigir protocolos de roteamento para operar em uma VPN. No entanto, o GRE não oferece suporte à criptografia por padrão; e, portanto, não fornece um túnel VPN seguro.
Uma VPN IPsec padrão (não GRE) só pode criar túneis seguros para tráfego unicast. Portanto, os protocolos de roteamento não trocarão informações de roteamento em uma VPN IPsec.
Para resolver esse problema, podemos encapsular o tráfego do protocolo de roteamento usando um pacote GRE e, em seguida, encapsular o pacote GRE em um pacote IPsec para encaminhá-lo com segurança para o gateway de VPN de destino.
Os termos usados para descrever o encapsulamento do GRE sobre o túnel IPsec são protocolo do passageiro, protocolo da operadora e protocolo de transporte, conforme mostrado na figura.
- Protocolo do passageiro – Este é o pacote original que deve ser encapsulado pelo GRE. Pode ser um pacote IPv4 ou IPv6, uma atualização de roteamento e muito mais.
- Protocolo da operadora – GRE é o protocolo da operadora que encapsula o pacote original do passageiro.
- Protocolo de transporte – Este é o protocolo que realmente será usado para encaminhar o pacote. Pode ser IPv4 ou IPv6.
Por exemplo, na figura que exibe uma topologia, Filial e HQ gostariam de trocar informações de roteamento OSPF em uma VPN IPsec. No entanto, o IPsec não oferece suporte a tráfego multicast. Portanto, GRE sobre IPsec é usado para oferecer suporte ao tráfego do protocolo de roteamento na VPN IPsec. Especificamente, os pacotes OSPF (ou seja, protocolo de passageiro) seriam encapsulados por GRE (ou seja, protocolo de operadora) e subsequentemente encapsulados em um túnel VPN IPsec.
A captura de tela do Wireshark na figura exibe um pacote OSPF Hello que foi enviado usando GRE sobre IPsec. No exemplo, o pacote multicast OSPF Hello original (ou seja, protocolo de passageiro) foi encapsulado com um cabeçalho GRE (ou seja, protocolo da operadora), que é subsequentemente encapsulado por outro cabeçalho IP (ou seja, protocolo de transporte). Esse cabeçalho IP seria então encaminhado por um túnel IPsec.
VPNs multiponto dinâmicos
VPNs IPsec site a site e GRE sobre IPsec são adequados para uso quando há apenas alguns sites para interconectar com segurança. No entanto, eles não são suficientes quando a empresa adiciona muitos mais sites. Isso ocorre porque cada site exigiria configurações estáticas para todos os outros sites ou para um site central.
Dynamic Multipoint VPN (DMVPN) é uma solução de software da Cisco para a construção de várias VPNs de maneira fácil, dinâmica e escalonável. Como outros tipos de VPN, DMVPN depende do IPsec para fornecer transporte seguro em redes públicas, como a Internet.
O DMVPN simplifica a configuração do túnel VPN e oferece uma opção flexível para conectar um site central a sites de filiais. Ele usa uma configuração hub-and-spoke para estabelecer uma topologia de malha completa. Os sites Spoke estabelecem túneis VPN seguros com o site hub, conforme mostrado na figura.
Túneis DMVPN Hub-to-Spoke
Cada site é configurado usando Multipoint Generic Routing Encapsulation (mGRE). A interface de túnel mGRE permite que uma única interface GRE suporte dinamicamente vários túneis IPsec. Portanto, quando um novo site requer uma conexão segura, a mesma configuração no site do hub ofereceria suporte ao túnel. Nenhuma configuração adicional seria necessária.
Os sites de Spoke também podem obter informações sobre outros sites de Spoke do site central e criar túneis de Spoke virtuais, conforme mostrado na figura.
Túneis DMVPN Hub-to-Spoke e Spoke-to-Spoke
Interface de túnel virtual IPsec
Como DMVPNs, IPsec Virtual Tunnel Interface (VTI) simplifica o processo de configuração necessário para oferecer suporte a vários sites e acesso remoto. As configurações de IPsec VTI são aplicadas a uma interface virtual em vez do mapeamento estático das sessões IPsec para uma interface física.
O IPsec VTI é capaz de enviar e receber tráfego criptografado unicast e multicast IP. Portanto, os protocolos de roteamento são suportados automaticamente sem a necessidade de configurar os túneis GRE.
O IPsec VTI pode ser configurado entre sites ou em uma topologia hub-and-spoke.
VPNs MPLS do provedor de serviços
As soluções tradicionais de WAN do provedor de serviços, como linhas alugadas, Frame Relay e conexões ATM, eram inerentemente seguras em seu design. Hoje, os provedores de serviço usam MPLS em sua rede principal. O tráfego é encaminhado por meio do backbone MPLS usando rótulos previamente distribuídos entre os roteadores principais. Como as conexões WAN legadas, o tráfego é seguro porque os clientes do provedor de serviços não podem ver o tráfego uns dos outros.
MPLS pode fornecer aos clientes soluções VPN gerenciadas; portanto, proteger o tráfego entre os sites do cliente é responsabilidade do provedor de serviços. Existem dois tipos de soluções MPLS VPN com suporte por provedores de serviços:
- VPN MPLS de camada 3 – O provedor de serviços participa do roteamento do cliente, estabelecendo um peering entre os roteadores do cliente e os roteadores do provedor. Em seguida, as rotas do cliente que são recebidas pelo roteador do provedor são então redistribuídas por meio da rede MPLS para os locais remotos do cliente.
- VPN MPLS de camada 2 – O provedor de serviços não está envolvido no roteamento do cliente. Em vez disso, o provedor implanta um serviço de LAN privada virtual (VPLS) para emular um segmento de LAN multiacesso Ethernet pela rede MPLS. Nenhum roteamento está envolvido. Os roteadores do cliente pertencem efetivamente à mesma rede multiacesso.
A figura mostra um provedor de serviços que oferece MPLS VPNs de Camada 2 e Camada 3.
Pronto para ir! Continue visitando nosso blog do curso de networking, confira todo o conteúdo do CCNA 3 aqui; e você encontrará mais ferramentas e conceitos que o tornarão um profissional de rede.