Rede Privada Virtual - VPN Liou Kuo Chin <liou@ucsal.

br> Rede Nacional de Ensino e Pesquisa (RNP) Introduo Aplicaes para redes privadas virtuais Requisitos bsicos Tunelamento Protocolos de tunelamento O funcionamento dos tneis Protocolos Requisitos de tunelamento Tipos de tneis IPSEC Internet Protocol Security Concluso Referncias O uso de Redes Privadas Virtuais representa uma alternativa interessante na racionalizao dos custos de redes corporativas oferecendo "confidencialidade" e integridade no transporte de informaes atravs de redes pblicas. ^ Introduo A idia de utilizar uma rede pblica como a Internet em vez de linhas privativas para implementar redes corporativas denominada de Virtual Private Network (VPN) ou Rede Privada Virtual. As VPNs so tneis de criptografia entre pontos autorizados, criados atravs da Internet ou outras redes pblicas e/ou privadas para transferncia de informaes, de modo seguro, entre redes corporativas ou usurios remotos. A segurana a primeira e mais importante funo da VPN. Uma vez que dados privados sero transmitidos pela Internet, que um meio de transmisso inseguro, eles devem ser protegidos de forma a no permitir que sejam modificados ou interceptados. Outro servio oferecido pelas VPNs a conexo entre corporaes (Extranets) atravs da Internet, alm de possibilitar conexes dial-up criptografadas que podem ser muito teis para usurios mveis ou remotos, bem como filiais distantes de uma empresa. Uma das grandes vantagens decorrentes do uso das VPNs a reduo de custos com comunicaes corporativas, pois elimina a necessidade de links dedicados de longa distncia que podem ser substitudos pela Internet. As LANs podem, atravs de links dedicados ou discados, conectar-se a algum provedor de acesso local e interligar-se a outras LANs, possibilitando o fluxo de dados atravs da Internet. Esta soluo pode ser bastante interessante sob o ponto de vista econmico, sobretudo nos casos em que enlaces internacionais ou nacionais de longa distncia esto envolvidos. Outro fator que simplifica a operacionalizao da WAN que a conexo LAN-Internet-LAN fica parcialmente a cargo dos provedores de acesso. ^ Aplicaes para redes privadas virtuais

Abaixo, so apresentadas as trs aplicaes ditas mais importantes para as VPNs. ACESSO REMOTO VIA INTERNET O acesso remoto a redes corporativas atravs da Internet pode ser viabilizado com a VPN atravs da ligao local a algum provedor de acesso (Internet Service Provider - ISP). A estao remota disca para o provedor de acesso, conectando-se Internet e o software de VPN cria uma rede virtual privada entre o usurio remoto e o servidor de VPN corporativo atravs da Internet.

CONEXO DE LANS VIA INTERNET Uma soluo que substitui as conexes entre LANs atravs de circuitos dedicados de longa distncia a utilizao de circuitos dedicados locais interligando-as Internet. O software de VPN assegura esta interconexo formando a WAN corporativa. A depender das aplicaes tambm, pode-se optar pela utilizao de circuitos discados em uma das pontas, devendo a LAN corporativa estar, preferencialmente, conectada Internet via circuito dedicado local ficando disponvel 24 horas por dia para eventuais trfegos provenientes da VPN.

CONEXO DE COMPUTADORES NUMA INTRANET Em algumas organizaes, existem dados confidenciais cujo acesso restrito a um pequeno grupo de usurios. Nestas situaes, redes locais departamentais so implementadas fisicamente separadas da LAN corporativa. Esta soluo, apesar de garantir a "confidencialidade" das informaes, cria dificuldades de acesso a dados da rede corporativa por parte dos departamentos isolados. As VPNs possibilitam a conexo fsica entre redes locais, restringindo acessos indesejados atravs da insero de um servidor VPN entre elas. Observe que o

servidor VPN no ir atuar como um roteador entre a rede departamental e o resto da rede corporativa uma vez que o roteador possibilitaria a conexo entre as duas redes permitindo o acesso de qualquer usurio rede departamental sensitiva. Com o uso da VPN o administrador da rede pode definir quais usurios estaro credenciados a atravessar o servidor VPN e acessar os recursos da rede departamental restrita. Adicionalmente, toda comunicao ao longo da VPN pode ser criptografada assegurando a "confidencialidade" das informaes. Os demais usurios no credenciados sequer enxergaro a rede departamental.

^ Requisitos bsicos No desenvolvimento de solues de rede, bastante desejvel que sejam implementadas facilidades de controle de acesso a informaes e a recursos corporativos. A VPN deve dispor de recursos para permitir o acesso de clientes remotos autorizados aos recursos da LAN corporativa, viabilizar a interconexo de LANs de forma a possibilitar o acesso de filiais, compartilhando recursos e informaes e, finalmente, assegurar privacidade e integridade de dados ao atravessar a Internet bem como a prpria rede corporativa. A seguir so enumeradas caractersticas mnimas desejveis numa VPN: Autenticao de Usurios

Verificao da identidade do usurio, restringindo o acesso s pessoas autorizadas. Deve dispor de mecanismos de auditoria, provendo informaes referentes aos acessos efetuados - quem acessou, o qu e quando foi acessado. Gerenciamento de Endereo

O endereo do cliente na sua rede privada no deve ser divulgado, devendo-se adotar endereos fictcios para o trfego externo. Criptografia de Dados

Os dados devem trafegar na rede pblica ou privada num formato cifrado e, caso sejam interceptados por usurios no autorizados, no devero ser decodificados, garantindo a privacidade da informao. O reconhecimento do contedo das mensagens deve ser exclusivo dos usurios autorizados. Gerenciamento de Chaves

O uso de chaves que garantem a segurana das mensagens criptografadas deve funcionar como um segredo compartilhado exclusivamente entre as partes envolvidas. O gerenciamento de chaves deve garantir a troca peridica das mesmas, visando manter a comunicao de forma segura.

Suporte a Mltiplos Protocolos

Com a diversidade de protocolos existentes, torna-se bastante desejvel que uma VPN suporte protocolos padro de fato usadas nas redes pblicas, tais como IP (Internet Protocol), IPX (Internetwork Packet Exchange), etc. ^ Tunelamento As redes virtuais privadas baseiam-se na tecnologia de tunelamento cuja existncia anterior s VPNs. Ele pode ser definido como processo de encapsular um protocolo dentro de outro. O uso do tunelamento nas VPNs incorpora um novo componente a esta tcnica: antes de encapsular o pacote que ser transportado, este criptografado de forma a ficar ilegvel caso seja interceptado durante o seu transporte. O pacote criptografado e encapsulado viaja atravs da Internet at alcanar seu destino onde desencapsulado e decriptografado, retornando ao seu formato original. Uma caracterstica importante que pacotes de um determinado protocolo podem ser encapsulados em pacotes de protocolos diferentes. Por exemplo, pacotes de protocolo IPX podem ser encapsulados e transportados dentro de pacotes TCP/IP. O protocolo de tunelamento encapsula o pacote com um cabealho adicional que contm informaes de roteamento que permitem a travessia dos pacotes ao longo da rede intermediria. Os pacotes encapsulados so roteados entre as extremidades do tnel na rede intermediria. Tnel a denominao do caminho lgico percorrido pelo pacote ao longo da rede intermediria Aps alcanar o seu destino na rede intermediria, o pacote desencapsulado e encaminhado ao seu destino final. A rede intermediria por onde o pacote trafegar pode ser qualquer rede pblica ou privada. Note que o processo de tunelamento envolve encapsulamento, transmisso ao longo da rede intermediria e desencapsulamento do pacote.

^ Protocolos de tunelamento Para se estabelecer um tnel necessrio que as suas extremidades utilizem o mesmo protocolo de tunelamento.

O tunelamento pode ocorrer na camada 2 ou 3 (respectivamente enlace e rede) do modelo de referncia OSI (Open Systems Interconnection). Tunelamento em Nvel 2 - Enlace - (PPP sobre IP)

O objetivo transportar protocolos de nvel 3, tais como o IP e IPX na Internet. Os protocolos utilizam quadros como unidade de troca, encapsulando os pacotes da camada 3 (como IP/IPX) em quadros PPP (Point-to-Point Protocol). Como exemplos podemos citar: PPTP (Point-to-Point Tunneling Protocol) da Microsoft permite que o trfego IP, IPX e NetBEUI sejam criptografados e encapsulados para serem enviados atravs de redes IP privadas ou pblicas como a Internet. L2TP (Layer 2 Tunneling Protocol) da IETF (Internet Engineering Task Force) permite que o trfego IP, IPX e NetBEUI sejam criptografados e enviados atravs de canais de comunicao de datagrama ponto a ponto tais como IP, X25, Frame Relay ou ATM. L2F (Layer 2 Forwarding) da Cisco utilizada para VPNs discadas. Tunelamento em Nvel 3 - Rede - (IP sobre IP)

Encapsulam pacotes IP com um cabealho adicional deste mesmo protocolo antes de envi-los atravs da rede. O IP Security Tunnel Mode (IPSec) da IETF permite que pacotes IP sejam criptografados e encapsulados com cabealho adicional deste mesmo protocolo para serem transportados numa rede IP pblica ou privada. O IPSec um protocolo desenvolvido para IPv6, devendo, no futuro, se constituir como padro para todas as formas de VPN caso o IPv6 venha de fato substituir o IPv4. O IPSec sofreu adaptaes possibilitando, tambm, a sua utilizao com o IPv4.

^ O funcionamento dos tneis Nas tecnologias orientadas camada 2 (enlace), um tnel similar a uma sesso, onde as duas extremidades do tnel negociam a configurao dos parmetros para estabelecimento do tnel, tais como endereamento, criptografia e parmetros de compresso. Na maior parte das vezes, so utilizado s protocolos que implementam o servio de datagrama. A gerncia do tnel realizada atravs protocolos de manuteno. Nestes casos, necessrio que o tnel seja criado, mantido e encerrado. Nas tecnologias de camada 3, no existe a fase de manuteno do tnel. Uma vez que o tnel estabelecido os dados podem ser enviados. O cliente ou servidor do tnel utiliza um protocolo de tunelamento de transferncia de dados que acopla um cabealho preparando o pacote para o transporte. S ento o cliente envia o pacote encapsulado na rede que o rotear at o servidor do tnel. Este recebe o pacote, desencapsula removendo o cabealho adicional e encaminha o pacote original rede destino. O funcionamento entre o servidor e o cliente do tnel semelhante. ^ Protocolos Requisitos de tunelamento

Os protocolos de nvel 2, tais como PPTP e L2TP, foram baseados no PPP, e, como conseqncia, herdaram muito de suas caractersticas e funcionalidades. Estas caractersticas e suas contrapartes de nvel 3 so analisadas juntamente com alguns dos requisitos bsicos das VPNs: AUTENTICAO DE USURIO Os protocolos de tunelamento da camada 2 herdaram os esquemas de autenticao do PPP e os mtodos EAP (Extensible Authentication Protocol). Muitos esquemas de tunelamento da camada 3 assumem que as extremidades do tnel so conhecidas e autenticadas antes mesmo que ele seja estabelecido. Uma exceo o IPSec que prov a autenticao mtua entre as extremidades do tnel. Na maioria das implementaes deste protocolo, a verificao se d a nvel de mquina e no de usurio. Como resultado, qualquer usurio com acesso s mquinas que funcionam como extremidades do tnel podem utiliz-lo. Esta falha de segurana pode ser suprida quando o IPSec usado junto com um protocolo de camada de enlace como o L2TP. SUPORTE A TOKEN CARD Com a utilizao do EAP, os protocolos de tunelamento de camada de enlace podem suportar uma variedade de mtodos de autenticao, tais como senhas e cartes inteligentes (smart cards). Os protocolos de camada 3 tambm podem usar mtodos similares, como, por exemplo, o IPSec que define a autenticao de chave pblica durante a negociao de parmetros feita pelo ISAKMP (Internet Security Association and Key Management Protocol). ENDEREAMENTO DINMICO O tunelamento na camada 2 suporta alocao dinmica de endereos baseada nos mecanismos de negociao do NCP (Network Control Protocol). Normalmente, esquemas de tunelamento na camada 3 assumem que os endereos foram atribudos antes da inicializao do tnel. COMPRESSO DE DADOS Os protocolos de tunelamento da camada 2 suportam esquemas de compresso baseados no PPP. O IETF est analisando mecanismos semelhantes, tais como a compresso de IP, para o tunelamento na camada 3. CRIPTOGRAFIA DE DADOS Protocolos de tunelamento na camada de enlace suportam mecanismos de criptografia baseados no PPP. Os protocolos de nvel 3 tambm podem usar mtodos similares. No caso do IPSec so definidos vrios mtodos de criptografia de dados que so executados durante o ISAKMP. Algumas implementaes do protocolo L2TP utilizam a criptografia provida pelo IPSec para proteger cadeias de dados durante a sua transferncia entre as extremidades do tnel. GERENCIAMENTO DE CHAVES O MPPE (Microsoft Point-to-Point Encryption), protocolo de nvel de enlace, utiliza uma chave gerada durante a autenticao do usurio, atualizando-a periodicamente. O IPSec negocia uma chave comum atravs do ISAKMP e, tambm, periodicamente, faz sua atualizao. SUPORTE A MLTIPLOS PROTOCOLOS

O tunelamento na camada de enlace suporta mltiplos protocolos o que facilita o tunelamento de clientes para acesso a redes corporativas utilizando IP, IPX, NetBEUI e outros. Em contraste, os protocolos de tunelamento da camada de rede, tais como o IPSec, suportam apenas redes destino que utilizam o protocolo IP. ^ Tipos de tneis Os tneis podem ser criados de 2 diferentes formas - voluntrias e compulsrias: Tnel Voluntrio - um cliente emite uma solicitao VPN para configurar e criar um tnel voluntrio. Neste caso, o computador do usurio funciona como uma das extremidades do tnel e, tambm, como cliente do tnel. Tnel Compulsrio - um servidor de acesso discado VPN configura e cria um tnel compulsrio. Neste caso, o computador do cliente no funciona como extremidade do tnel. Outro dispositivo, o servidor de acesso remoto, localizado entre o computador do usurio e o servidor do tnel, funciona como uma das extremidades e atua como o cliente do tnel.

TUNELAMENTO VOLUNTRIO Ocorre quando uma estao ou servidor de roteamento utiliza um software de tunelamento cliente para criar uma conexo virtual para o servidor do tnel desejado. O tunelamento voluntrio pode requerer conexes IP atravs de LAN ou acesso discado. No caso de acesso discado, o mais comum o cliente estabelecer a conexo discada antes da criao do tnel. Nas LANs, o cliente j se encontra conectado rede que pode prover o roteamento de dados encapsulados para o servidor de tnel selecionado. Este o caso de clientes numa LAN corporativa que inicializa tneis para alcanar uma subrede privada na mesma rede. TUNELAMENTO COMPULSRIO O computador ou dispositivo de rede que prov o tnel para o computador cliente conhecido de diversas formas: FEP (Front End Processor) no PPTP, LAC (L2TP Access Concentrator) no L2TP ou IP Security Gateway no caso do IPSec. Doravante, adotaremos o termo FEP para denominar esta funcionalidade - ser capaz de estabelecer o tnel quando o cliente remoto se conecta.

No caso da Internet, o cliente faz uma conexo discada para um tnel habilitado pelo servidor de acesso no provedor (ISP). Por exemplo, uma companhia pode ter um contrato com uma ou mais provedores para disponibilizar um conjunto de FEPs em mbito nacional. Estas FEPs podem estabelecer tneis sobre a Internet para um

servidor de tnel conectado rede corporativa privada, possibilitando a usurios remotos o acesso rede corporativa atravs de uma simples ligao local. Esta configurao conhecida como tunelamento compulsrio porque o cliente compelido a usar um tnel criado pelo FEP. Uma vez que a conexo estabelecida, todo o trfego "de/para" o cliente automaticamente enviado atravs do tnel. No tunelamento compulsrio, o cliente faz uma conexo PPP. Um FEP pode ser configurado para direcionar todas as conexes discadas para um mesmo servidor de tnel ou, alternativamente, fazer o tunelamento individual baseado na identificao do usurio ou no destino da conexo. Diferente dos tneis individualizados criados no tunelamento voluntrio, um tnel entre o FEP e o servidor de tnel pode ser compartilhado por mltiplos clientes discados. Quando um cliente disca para o servidor de acesso (FEP) e j existe um tnel para o destino desejado, no se faz necessria a criao de um novo tnel redundante. O prprio tnel existente pode transportar, tambm, os dados deste novo cliente. No tunelamento compulsrio com mltiplos clientes, o tnel s finalizado no momento em que o ltimo usurio do tnel se desconecta. ^ IPSEC Internet Protocol Security O IPSec um protocolo padro de camada 3 projetado pelo IETF que oferece transferncia segura de informaes fim a fim atravs de rede IP pblica ou privada. Essencialmente, ele pega pacotes IP privados, realiza funes de segurana de dados como criptografia, autenticao e integridade, e ento encapsula esses pacotes protegidos em outros pacotes IP para serem transmitidos. As funes de gerenciamento de chaves tambm fazem parte das funes do IPSec. Tal como os protocolos de nvel 2, o IPSec trabalha como uma soluo para interligao de redes e conexes via linha discada. Ele foi projetado para suportar mltiplos protocolos de criptografia possibilitando que cada usurio escolha o nvel de segurana desejado. Os requisitos de segurana podem ser divididos em 2 grupos, os quais so independentes entre si, podendo ser utilizado de forma conjunta ou separada, de acordo com a necessidade de cada usurio: Autenticao e Integridade; Confidencialidade.

Para implementar estas caractersticas, o IPSec composto de 3 mecanismos adicionais: AH - Autentication Header; ESP - Encapsulation Security Payload; ISAKMP - Internet Security Association and Key Management Protocol .

NEGOCIAO DO NVEL DE SEGURANA O ISAKMP combina conceitos de autenticao, gerenciamento de chaves e outros requisitos de segurana necessrios s transaes e comunicaes governamentais, comerciais e privadas na Internet. Com o ISAKMP, as duas mquinas negociam os mtodos de autenticao e segurana dos dados, executam a autenticao mtua e geram a chave para criptografar os dados.

Trata-se de um protocolo que rege a troca de chaves criptografadas utilizadas para decifrar os dados. Ele define procedimentos e formatos de pacotes para estabelecer, negociar, modificar e deletar as SAs (Security Associations). As SAs contm todas as informaes necessrias para execuo de servios variados de segurana na rede, tais como servios da camada IP (autenticao de cabealho e encapsulamento), servios das camadas de transporte, e aplicao ou autoproteo durante a negociao do trfego. Tambm define pacotes para gerao de chaves e autenticao de dados. Esses formatos provm consistncia para a transferncia de chaves e autenticao de dados que independem da tcnica usada na gerao da chave, do algoritmo de criptografia e do mecanismo de autenticao. O ISAKMP pretende dar suporte para protocolos de segurana em todas as camadas da pilha da rede. Com a centralizao do gerenciamento dos SAs, o ISAKMP minimiza as redundncias funcionais dentro de cada protocolo de segurana e tambm pode reduzir o tempo gasto durante as conexes atravs da negociao da pilha completa de servios de uma s vez. AUTENTICAO E INTEGRIDADE A autenticao garante que os dados recebidos correspondem queles originalmente enviados, assim como garante a identidade do emissor. Integridade significa que os dados transmitidos chegam ao seu destino ntegros, eliminando a possibilidade de terem sido modificados no caminho sem que isto pudesse ser detectado. O AH um mecanismo que prov integridade e autenticao dos datagramas IP. A segurana garantida atravs da incluso de informao para autenticao no pacote a qual obtida atravs de algoritmo aplicado sobre o contedo dos campos do datagrama IP, excluindo-se aqueles que sofrem mudanas durante o transporte. Estes campos abrangem no s o cabealho IP como todos os outros cabealhos e dados do usurio. No IPv6, o campo hop-count e o time-to-live (TTL) do IPv4 no so utilizados, pois so modificados ao longo da transferncia. Para alguns usurios o uso da autenticao pode ser suficiente no sendo necessria a "confidencialidade". No IPV6, o AH normalmente posicionado aps os cabealhos de fragmentao e End-to-End, e antes do ESP e dos cabealhos da camada de transporte (TCP ou UDP, por exemplo). CONFIDENCIALIDADE Propriedade da comunicao que permite que apenas usurios autorizados entendam o contedo transportado. Desta forma, os usurios no autorizados, mesmo tendo capturado o pacote, no podero ter acesso s informaes nele contidas. O mecanismo mais usado para prover esta propriedade chamado de criptografia. O servio que garante a "confidencialidade" no IPSec o ESP - Encapsulating Security Payload. O ESP tambm prov a autenticao da origem dos dados, integridade da conexo e servio anti-reply. A "confidencialidade" independe dos demais servios e pode ser implementada de 2 modos - transporte e tnel. No primeiro modo, o pacote da camada de transporte encapsulado dentro do ESP, e, no tnel, o datagrama IP encapsulado inteiro dentro da cabealho do ESP. ^

Concluso As VPNs podem se constituir numa alternativa segura para transmisso de dados atravs de redes pblicas ou privadas, uma vez que j oferecem recursos de autenticao e criptografia com nveis variados de segurana, possibilitando eliminar os links dedicados de longa distncia, de alto custo, na conexo de WANs. Entretanto, em aplicaes onde o tempo de transmisso crtico, o uso de VPNs atravs de redes externas ainda deve ser analisado com muito cuidado, pois podem ocorrer problemas de desempenho e atrasos na transmisso sobre os quais a organizao no tem nenhum tipo de gerncia ou controle, comprometendo a qualidade desejada nos servios corporativos. A deciso de implementar ou no redes privadas virtuais requer uma anlise criteriosa dos requisitos, principalmente aqueles relacionados a segurana, custos, qualidade de servio e facilidade de uso que variam de acordo com o negcio de cada organizao.

http://www.rnp.br/newsgen/9811/vpn.html

VPN Origem: Wikipdia, a enciclopdia livre. Ir para: navegao, pesquisa Uma Rede Privada Virtual (Virtual Private Network - VPN) uma rede de comunicaes privada normalmente utilizada por uma empresa ou um conjunto de empresas e/ou instituies, construda em cima de uma rede de comunicaes pblica (como por exemplo, a Internet). O trfego de dados levado pela rede pblica utilizando protocolos padro, no necessariamente seguros. VPNs seguras usam protocolos de criptografia por tunelamento que fornecem a confidencialidade, autenticao e integridade necessrias para garantir a privacidade das comunicaes requeridas. Quando adequadamente implementados, estes protocolos podem assegurar comunicaes seguras atravs de redes inseguras. Deve ser notado que a escolha, implementao e uso destes protocolos no algo trivial, e vrias solues de VPN inseguras so distribudas no mercado. Adverte-se os usurios para que investiguem com cuidado os produtos que fornecem VPNs. Por si s, o rtulo VPN apenas uma ferramenta de marketing. ndice [esconder] 1 Analogia 2 Configurao 3 Funcionamento 4 Segurana 5 Ligaes externas

[editar] Analogia Imagine que voc esteja em Calais-Frana e quer ir para Dover-Inglaterra. Se voc for de barco pelo Canal da Mancha, todos que estaro de fora podero ver tudo o que voc est levando na mo, a roupa que est vestindo e o pior, que voc est passando. Ou seja, voc no ter privacidade nem segurana realizando este trajeto. J voc utilizando o Eurotnel para fazer esse trajeto, s ter uma entrada e uma sada. Quem estiver do lado de fora no ver absolutamente nada de voc. Voc estar trafegando com privacidade e segurana. Do mesmo jeito acontece com as VPN's. Elas criam um tnel entre uma rede e outra distantes entre si para fazerem a transferncia de dados com segurana e privacidade. Com isso, as redes ficam lado-a-lado virtualmente. [editar] Configurao Para se configurar uma VPN, preciso fazer atravs de servios de acessos remotos, tal como o RAS, encontrado no Windows 2000 e verses posteriores. Voc ter que configurar os dois lados da rede para fazer esse "tunelamento" entre elas. [editar] Funcionamento

Basicamente, quando uma rede quer enviar dados para a outra rede atravs da VPN, um protocolo, exemplo IPSec, faz o encapsulamento do quadro normal com o cabealho IP da rede local e adiciona o cabealho IP da Internet atribuda ao Roteador, um cabealho AH, que o cabealho de autenticao e o cabealho ESP, que o cabealho que prov integridade, autenticidade e criptografia rea de dados do pacote. Quando esses dados encapsulados chegarem outra extremidade, feito o desencapsulamento do IPSec e os dados so encaminhados ao referido destino da rede local. [editar] Segurana Quando adequadamente implementados, estes protocolos podem assegurar comunicaes seguras atravs de redes inseguras. Hoje diversas empresas interligam suas bases operacionais atravs de um VPN na internet. Um sistema de comunicao por VPN tem um custo de implementao e manuteno insignificantes, se comparados aos antigos sistemas de comunicao fsica, como o frame-relay por exemplo - que tem um custo exorbitante e segurana muito duvidosa. Por este motivo muitos sistemas de comunicao esto sendo substitudos por uma VPN, que alm do baixo custo, oferece tambm uma alta confiabilidade, integridade e disponibilidade dos dados trafegados. Sistemas de comunicao por VPN esto sendo amplamente utilizados em diversos setores, at mesmo os setores governamentais no mundo inteiro utilizam este recurso. As Polcias Federais em todo mundo j substituiram seu sistema de comuicao de dados pela VPN. O caso serve de exemplo de como o sistema vivel e oferece absoluta segurana e confiabilidade. http://pt.wikipedia.org/wiki/VPN