Escolar Documentos
Profissional Documentos
Cultura Documentos
3º ano
Tema:
Docente:
António Massingue
Dosmito Desma
1. Introdução ........................................................................................................................................... 3
2. Objectivos ............................................................................................................................................ 3
3. Protocolos, componentes e sistemas AAA (Authentication, Autorizationand, Accounting); ............. 4
3.1. Autenticação .................................................................................................................................... 4
3.2. Autorização ...................................................................................................................................... 4
3.3. Auditoria ........................................................................................................................................... 4
4. Protocolos Radius, Ldap, Kerberos, Shibboleth. ................................................................................. 5
4.1. RADIUS ........................................................................................................................................ 5
4.2. LDAP ............................................................................................................................................ 6
4.3. Kerberos ...................................................................................................................................... 7
4.4. Shibboleth ................................................................................................................................... 8
5. Criptografia.......................................................................................................................................... 9
5.1. Encriptação Simétricae assimétrica; ................................................................................................ 9
5.2. Algoritmos de criptografia.............................................................................................................10
5.6. Distribuição de Chaves secretas (Privadas) e Públicas. .................................................................12
6. Segurança no modelo de comunicação ............................................................................................13
6.1. Segurança no meio físico e na camada física; ...........................................................................14
6.1.1. Finalidade da Camada Física .............................................................................................15
6.2. Segurança na camada de ligação de dados;..............................................................................16
6.2.1. Controle de erros ..............................................................................................................16
6.2.2. Controle de fluxo ...............................................................................................................17
6.3. Segurança na camada de rede e de transporte; .......................................................................17
6.3.1. Protocolos de Conexão e desconexão ..............................................................................18
6.3.2. QoS ....................................................................................................................................19
6.3.3. Endereçamento .................................................................................................................19
6.4. Segurança na camada de aplicação. .........................................................................................20
7. Segurança em Redes Privadas virtuais ..................................................................................................20
7.1. Tecnologias para implementação de VPN; ....................................................................................21
7.3. Implementação de uma VPN. ........................................................................................................25
7.3.1. conexão por Acesso Discado ...................................................................................................26
7.3.2. Conexão por Link de Acesso Dedicado ....................................................................................26
7.3.3. Conexão via Internet ..............................................................................................................27
7.3.4. Conexão por VPN IP ................................................................................................................27
1. Introdução
Nos tempos modernos, onde a tecnologia permeia quase todos os aspectos da nossa vida, garantir
a segurança e a confidencialidade das informações é uma prioridade crítica. À medida que
organizações e indivíduos compartilham informações valiosas e sensíveis através de redes e
sistemas digitais, a necessidade de controlar quem pode acessar, modificar ou compartilhar essas
informações tornou-se fundamental. É nesse contexto que os "Sistemas de Autorizações"
desempenham um papel central na garantia da integridade e segurança dos dados.
2. Objectivos
3.1. Autenticação
3.2. Autorização
3.3. Auditoria
4.1. RADIUS
O Remote Authentication Dial-In User Service (RADIUS) é um protocolo de rede que fornece
gestão centralizada de Autenticação, Autorização e Contabilidade (AAA ou Triple A) para
utilizadores que se ligam e utilizam um serviço de rede. A autenticação RADIUS começa quando
o utilizador solicita acesso a um recurso de rede através do Servidor de Acesso Remoto (RAS).
O utilizador introduz um nome de utilizador e uma palavra-passe, que são encriptados pelo
servidor RADIUS antes de serem enviados através do processo de autenticação.
É justo dizer que o LDAP se tornou um programa popular. Foi a base sobre a qual a Microsoft
criou o Active Directory e tem sido fundamental para o desenvolvimento dos actuais directórios
baseados na nuvem (também conhecidos como Directórios como serviço).
O LDAP envia mensagens entre servidores e aplicações cliente que podem incluir tudo, desde
pedidos de clientes a formatação de dados.
A nível funcional, o LDAP funciona ligando um utilizador LDAP a um servidor LDAP. O cliente
envia um pedido de operação que solicita um determinado conjunto de informações, como
credenciais de início de sessão do utilizador ou outros dados organizacionais. O servidor LDAP
processa então a consulta com base na sua linguagem interna, comunica com os serviços de
diretório, se necessário, e responde. Quando o cliente recebe a resposta, desvincula-se do servidor
e processa os dados em conformidade.
4.3. Kerberos
Podemos dizer que o protocolo Shibboleth é uma solução que permite que as organizações
compartilhem recursos online e serviços de forma segura por meio de autenticação federada. Isso
significa que os usuários podem acessar vários serviços usando suas credenciais de uma
organização central (IdP), em vez de criar contas separadas em cada provedor de serviço (SP)
individual.
Provedor de Serviço (SP - Service Provider): A entidade que oferece o recurso ou serviço
online. Antes de conceder acesso ao recurso, o SP precisa confirmar a autenticidade do usuário.
Em vez de lidar diretamente com as credenciais de autenticação, o SP confia no IdP para realizar
a autenticação.
Criptografia Simétrica
Na criptografia simétrica, a mesma chave é utilizada para encriptar e decriptar uma mensagem.
Somente o remetente e o destinatário devem conhecer a chave secreta, pois esta é a única
maneira de obter a confidencialidade.
O processamento necessário para a encriptação e decriptação é menor quando
comparado ao da criptografia assimétrica. Com o um algoritmo força bruta é
computacionalmente inviável, no caso médio, quebrar uma chave de 128 bits.
O maior problema dos algoritmos de criptografia simétrica é a distribuição da chave
secreta, que precisa ser transmitida através de um canal de comunicação inseguro.
Os principais algoritmos de criptografia simétrica são DES (Data Encryption Standard),
3DES (Triple DES), IDEA (International Data Encryption Algorithm), RC2 e RC4 e AES
(Advanced Encryption Standard).
Criptografia Assimétrica
Definição: “É uma função matemática utilizada para cifrar e decifrar um determinado dado.”
• Autenticação: garante que o emissor de uma mensagem, ou usuário, é quem clama ser.
Desta maneira evita-se que um invasor se mascare como um emissor ou usuário válido.
• Integridade: garante que os dados não foram alterados durante a transmissão ou por um
outro usuário de um sistema. Desta maneira pode detectar se um arquivo ou dado foi
modificado sem a devida autorização do proprietário deste.
• Não-repudiação: garante que um emissor de uma mensagem não será capaz de negar
que tenha enviado uma determinada mensagem.
Utilizam uma única chave para criptografar e decifrar os dados, como já foi dito anteriormente.
São aplicados principalmente para garantir a confidencialidade dos dados pois somente o
proprietário da chave será capaz de decifrar os dados.
Por exemplo, este poderia ser aplicado na criptografia de dados de uma base de dados, criptografia
de arquivos em um sistema com múltiplos usuários garantindo que o dado permanecerá
confidencial.
Uma outra utilização seria na criptografia de dados em um canal de comunicação, como por
exemplo na transferência de dados entre duas máquinas através da internet, entretanto os usuários
nos extremos do canal de comunicação deverão previamente conhecer a chave privada antes de
trocarem dados e neste caso a divulgação da chave privada pode comprometer a segurança do
esquema criptográfico. Exemplos de implementações deste tipo de algoritmo: DES (Data
Encryption Standard), Blowfish, TwoFish.
Utiliza duas chaves, uma para criptografar os dados (chamada de chave publica) e outra para
decifrar os dados (chamada de chave privada). Neste caso a chave pública é divulgada enquanto
que a chave privada permanece secreta. Esta técnica é muito utilizada para o envio de mensagens
onde se deseja que somente o destinatário, portador da chave privada, consiga ler a mensagem.
O emissor da mensagem utiliza a chave pública para criptografar a mensagem e a envia, quando
o receptor receber a mensagem utilizará a chave privada para decifrar a mensagem.
Este esquema provê a confidencialidade dos dados e também autenticação pois somente o
proprietário da chave privada será capaz de decifrar a mensagem.
Nestes algoritmos um dado que é criptografado com uma chave só poderá ser decifrado com a
utilização da outra chave e vice-versa. Exemplos de implementações deste tipo de algoritmo:
RSA, ElGamal, DSS (Digital Signature Standard).
Chaves: Uma chave não é nada mais do que um valor, uma sequência de digitos, uma cadeia de
valores etc que será utilizada por um algoritmo para cifrar ou decifrar dados. Aqui no "gnupg" as
chaves serão armazenadas em arquivos.
Chave pública: Esta chave é utilizada para cifrar dados. Um algoritmo utilizará esta chave para
encriptar os dados, estes dados depois de cifrados podem ser lidos apenas com a chave privada
que completa o par com essa chave pública. Chamamos de chave pública pois é uma chave que
pode ser liberada sem nenhum critério, podemos distribuir nossa chave pública a todos, e este é
o objetivo. Para que encriptem os dados que nos serão enviados, as pessoas precisarão de nossa
chave pública.
Chave privada: Esta chave é utilizada para decifrar dados. O mesmo algoritmo que utilizamos
para cifrar agora será utilizado para decifrar, mas utilizamos agora uma chave privada. Esta chave
deve ser guardada "a sete chaves", esta chave não deve e nem pode ser distribuida, pois ela é
destinada somente ao utilizador. A chave privada tem dois objetivos principais : o primeiro é de
decifrar os dados que foram anteriormente cifrados com a nossa chave pública e o segundo é de
assinar (fazer assinaturas digitais). O objetivo de assinar algum documento ou email é de dizer
que este é verdadeiro e que garantimos a autenticidade do mesmo.
As técnicas de transformar uma mensagem noutra representação sem significado, excepto para
quem conheça o processo de reverter essa transformação, já existe há muito tempo. Os antigos
espartanos já cifravam as suas mensagens militares. Uma das mais antigas cifras que se conhece
é a cifra de César, cujo nome advém da sua utilização por Júlio César. A criptografia constitui a
actividade da cifragem e da decifragem. Vem da palavra grega kryptos que significa “escondida”
e graphia cujo significado é “escrever”. À ciência que estuda a criptografia chama-se criptologia.
Transmissão de mídia física: transmite bits como sinais de ópticos ou elétricos apropriados para
o meio físico e determina que opções de mídia físicas podem ser usadas,quantos volts/db deve
ser usado para representar um estado de determinado sinal, usando um determinado meio físico.
A camada física OSI fornece os meios para transportar os bits que formam o quadro de camada
de enlace de dados no meio físico de rede. Essa camada aceita um quadro completo de camada
de enlace de dados e o codifica como uma série de sinais que serão transmitidos para o meio
físico local. Os bits codificados que formam um quadro são recebidos por um dispositivo final
ou por um dispositivo intermediário.
O processo em que os dados passam de um nó origem para um nó destino é:
• Os dados de usuário são segmentados pela camada de transporte, colocados em pacotes
pela camada de rede e encapsulados como quadros pela camada de enlace de dados.
• A camada física codifica os quadros e cria os sinais de ondas elétricas, ópticas ou de rádio
que representam os bits em cada quadro.
• Em seguida, esses sinais são enviados para o meio físico, um por vez.
• A camada física do nó destino recupera os sinais individuais do meio físico, os restaura
às suas representações de bits e passa os bits para a camada de enlace de dados como um
quadro completo.
6.2. Segurança na camada de ligação de dados;
A camada de transporte do protocolo OSI é a primeira em que apenas as duas entidades que
querem se comunicar tomam parte. É por isso que uma de suas funções é o estabelecimento de
um padrão de qualidade de serviço (QoS) sobre o qual a comunicação deve ocorrer.
Além do estabelecimento da qualidade de serviço, cabe ainda à camada de transporte a definição
de como uma conexão deve ser estabelecida, mantida e encerrada. Também é na camada de
transporte (em conjunto com a de rede) que se materializa o protocolo TCP/IP, que é, sem sombra
de dúvida, o padrão dominante na Internet.
A camada Física OSI fornece os requisitos para transportar pelo meio físico de rede os bits que
formam o quadro da camada de Enlace de Dados. O objetivo da camada Física é criar o sinal
elétrico, óptico ou microondas que representa os bits em cada quadro.
6.3.3. Endereçamento
O problema de endereçamento consiste em permitir que várias conexões sejam estabelecidas, por
uma mesma máquina, com uma ou mais máquinas simultaneamente. Isso implica em que cada
conexão deverá ter endereços específicos, que permitam à camada de transporte diferenciar entre
uma conexão e outra. Isso é feito através de endereços de portas de serviço, conhecidas
por TSAP (Transport Service Access Point). As entidades que querem trocar informações devem,
então, especificar endereços TSAP em que efetivarão tais trocas. No caso particular do TCP/IP
as TSAPs são implementadas através de sockets para identificar os pontos (portas) de acesso.
Em situações específicas, como acesso a serviços considerados padrões na internet (acesso a um
sistema de arquivos, por ex.), esse processo de endereçamento faz uso de portas (TSAPs) pré-
definidas para a conexão, que depois são redirecionadas para portas gerais. No protocolo TCP
essas portas pré-definidas estão abaixo da porta 49151, como por exemplo o serviço de telnet na
porta 23, ssh na porta 22 e http na porta 80.
6.4. Segurança na camada de aplicação.
A camada de Aplicação é comumente mal interpretada como sendo responsável por executar
aplicativos de usuários, tais como processadores de textos. Não é esse o caso. Entretanto, a
camada de Aplicação fornece uma interface por meio da qual os aplicativos podem se comunicar
com a rede. A camada de Aplicação realiza duas funções relacionadas à utilização dos serviços
na rede. Uma função envolve a divulgação dos serviços disponíveis e a outra, o uso dos serviços.
A segurança na utilização de VPNs é um ponto crucial, posto que em VPNs os dados sempre
trafegam por um meio físico compartilhado, onde nem todos os usuários desse meio físico podem
ter acesso aos dados transmitidos. Um exemplo ilustrador da necessidade de segurança em uma
Rede Privada Virtual é o de uma empresa que utilize uma VPN para interligar digitalmente duas
de suas filiais. Entre essas filiais trafegam dados privados, aos quais somente membros
específicos da empresa podem ter acesso. Todavia, o meio físico utilizado para a transmissão dos
dados em questão é a internet, na qual a segurança dos dados é praticamente nula. Logo, caso não
houvesse nenhum tipo de segurança aplicada a rede VPN em uso, os dados poderiam ser
acessados por qualquer pessoa conectada na internet. Assim, podemos vislumbrar a enorme
importância da questão da segurança nas Redes Privadas Virtuais.
Para que a segurança dos dados em Redes Privadas Virtuais seja garantida, existem três
requisitos principais necessários. Tais requisitos são a Confidencialidade, a Integridade e a
Autenticidade dos dados transmitidos. Segue abaixo uma breve descrição de cada um destes
requisitos necessários para que os dados transmitidos por uma VPN sejam considerados seguros:
Confidencialidade:
Sabendo que os dados em um VPN são transmitidos por um meio físico compartilhado(público),
podemos concluir que a interceptação dos dados é relativamente simples. Logo, é imprescindível
que os dados que trafeguem sejam privados, a fim de que não possam ser compreendidos em caso
de interceptação.
Integridade:
Caso os dados sejam capturados por terceiros não autorizados, é necessário garantir que estes
dados não serão adulterados e então reencaminhados ao destinatário inicial. Assim, somente
dados válidos devem ser recebidos pelos aplicativos que se utilizam da VPN.
Autenticidade:
Somente usuários da VPN, que tenham sido devidamente autenticados na Rede Privada Virtual
podem trocar dados entre si. Logo, um usuário de uma VPN somente reconhecerá dados
originados por um segundo usuário, o qual seguramente possui autorização nesta VPN.
Existem diversas motivações para a implementação e uso de uma rede VPN nos dias atuais.
Todavia, todas essas motivações têm como ponto de partida a virtualização de parte das
comunicações de uma empresa, posto que a supracitada virtualização faz com que uma parte
(ou até mesmo toda) das comunicações encontre-se “invisível” a observadores externos, ao
mesmo tempo em que se têm as vantagens de manter uma infra-estrutura de comunicações
comum e única.
A motivação básica para a manutenção de VPNs é trivial: custo. Devido ao custo dos
diversos componentes de redes atualmente, observamos ser mais viável financeiramente a
integração de diversos serviços de comunicação individuais em uma única plataforma comum
de comunicações de alta capacidade. Assim, é mais atrativo do ponto de vista econômico
manter diversas VPNs implementadas em um único meio comum de comunicação físico do que
manter várias pequenas redes independentes, cada uma servindo a apenas uma rede cliente.
Todavia, a agregação das comunicações em um meio único comum faz com que apareça
uma outra vantagem das redes VPN: privacidade. Caso tal requisito não fosse válido, seria
muito mais simples agregar todas as comunicações de uma empresa em um meio físico comum
e único simples, sem a implementação de qualquer VPN. Assim, não haveria necessidade
alguma pelo “particionamento” da rede em diversas VPNs. No entanto, a privacidade das
comunicações é de suma importância, o que faz com que as VPNs tornem-se também
importantes em caso de “particionamento” de uma rede única compartilhada. Assim, nesses
casos a VPN garante a manutenção das características e da integridade dos dados enviados na
conexão fechada da VPN, sendo os dados enviados nesta conexão isolados de todas as outras
conexões presentes no meio único compartilhado.
Logo, podemos observar que as duas grandes vantagens das Redes Privadas Virtuais
estão na realidade ligadas a duas palavras chave: segurança e custo. Redes VPN são capazes de
reduzir consideravelmente o custo de implementação de redes de telecomunicações em
empresas e ao mesmo tempo manter a segurança da rede, mantendo assim a integridade dos
dados e afastando a possibilidade de escutas na rede por terceiros não autorizados. Postas as
vantagens das redes VPNs, segue como tais vantagens são aproveitadas, ou seja, os casos de
uso mais comuns de Redes Privadas Virtuais.
Entre muitas aplicações possíveis para redes VPNs, existem três que, segunda grandes
empresas fornecedoras de soluções em redes (IBM, Cisco e Aventail) são as mais presentes e
usadas nas empresas. Assim, as três aplicações ditas mais importantes para VPN são:
Neste modelo de utilização de VPN é viabilizado o acesso pela internet de uma rede
localizada em qualquer ponto geográfico, desde que esta rede esteja de alguma forma conectada
a internet. A rede de acesso remoto é viabilizada através da conexão do a algum provedor de
serviço de internet, através do qual o usuário se conecta ao “software VPN”, que por sua vez cria
uma rede virtual privada entre o usuário remoto e o servidor de VPN da empresa, sendo a internet
o meio físico para tal conexão. Vale ressaltar que em uma VPN ideal, o usuário remoto estará
trabalhando como se ele estivesse realmente em um desktop na rede local da VPN. São fatores
cruciais para a usabilidade de VPN como rede de acesso remoto a autenticação, a transparência e
a facilidade de uso para o usuário remoto. Por fim, deve-se lembrar que sendo necessário apenas
que o usuário esteja conectado a internet, esta conexão remota do usuário a rede pode-se dar até
mesmo em lugares sem conexão cabeada com a internet, ou seja, com redes sem fio.
Essa solução tem como sua maior vantagem a enorme redução de custos. Isso se dá
pois nesta utilização de VPN é realizada a conexão entre duas LANs através da internet, ficando
o software de VPN responsável por assegurar a criação da WAN (Wide Área Network)
corporativa. Assim, elimina-se a necessidade de utilização de circuitos dedicados de longa
distância, reduzindo custos.
Nessa implementação, observamos que as duas intranets conectadas usualmente
estão protegidas por firewalls. Dessa maneira, a segurança da rede está “garantida”, havendo
assim a certeza de que todo o tráfego entre as duas intranets realizado pelo meio físico da
internet está seguro.
Esse é o cenário mais simples de implementação de redes VPN. Apesar disso, podem
ser observados alguns problemas relacionados ao gerenciamento de endereços IP não
registrados (privados).
Além dessas três casos de uso de Redes Privadas Virtuais mais utilizados, há também uma
aplicação mais recente para VPNs. Essa aplicação, chamada de Extranet, mostra-se como o
campo de utilização de VPNs menos maduro. Extranets são extremamente utilizadas em casos
onde se deseja conceder acesso temporário e limitado a intranet da empresa a alguém de fora da
LAN. Um caso comum de uso desta tecnologia se dá entre empresas parceiras, onde há interesse
da empresa que sua parceira possa ter acesso a alguns de seus dados por um dado período de
tempo.
Assim, pudemos observar os casos de uso mais comuns para redes VPN e a partir destes
concluir que tal tecnologia tem como benefícios mais sedutores a grande redução de custo e a
segurança devido à virtualização da rede.
Vantagens:
• Baixo custo, quando comparadas às redes dedicadas: O fato das VPNs utilizarem a
internet como conexão entre os diversos gateways e hosts diminui muito o custo de
implementação. De fato, estudos estimam que a redução dos custos, quando uma VPN é
utilizada, é maior que 60%, dependendo do caso.
• Escalabilidade e Flexibilidade: A utilização da rede pública para a comunicação entre
matriz, filiais e parceiros comerciais significa também maior flexibilidade e
escalabilidade com relação a usuários móveis e mudanças nas conexões.
• Privacidade: Por simular uma conexão local, as VPNs podem ser utilizadas como
ferramenta para esconder a localização geográfica do cliente, que passará a ter um IP
com a localização do servidor.
Desvantagens:
• Velocidade da rede precisa ser alta: Quando o cliente VPN conecta-se com o servidor
VPN ele passa a atuar como se estivesse dentro de uma rede local (LAN). Dessa forma,
é importante ter uma conexão de alta qualidade para garantir a interoperabilidade dos
diversos serviços que podem ser requisitados através dessa rede.
• Falha no envio local: Quando temos muitos pacotes não enviados por alguma falha no
equipamento (cabeamento antigo, por exemplo) o software pode identificar essa
situação como um ataque hacker. O túnel VPN é então desfeito e refeito logo em
seguida, porém com o mesmo problema acontecendo. Isso ocorrerá em loop e
impossibilitará uma conexão estável.
• Confiança no servidor: Temos muito servidores VPN oferecendo serviços na internet. É
importante considerar a confiabilidade desse servidor, uma vez que todos os dados do
cliente passarão por ele após implementado o túnel.
• Utilização do Cliente como porta de ataque das empresas: Um hacker pode acessar a
máquina do cliente através do endereço IP original e, a partir daí, conectar-se
diretamente ao servidor VPN, tendo acesso a todos os dados da empresa. Uma forma de
evitar esse ataque seria configurando o cliente para aceitar somente conexões IPSec, o
que impossibilitaria o hacker de realizar o primeiro ataque.
Uma ligação segura pode ser estabelecida utilizando VPN’s que podem ser divididas em ponto-
a-ponto (site-to-site) e de acesso remoto (remote access) (ver figura 3). Em uma rede privada
virtual o compartilhamento da infra-estrutura ocorre inclusive no que se refere a circuitos
dedicados.
Os principais tipos de VPN’s são:
A implementação de um acesso discado VPN é semelhante a uma conexão dial-up entre dois
computadores em localidades diferentes. A diferença é que os pacotes são transferidos por um
túnel e não através da simples conexão discada convencional. Por exemplo, um usuário em
trânsito conecta-se com um provedor Internet através da rede pública de telefonia (RTPC) e
através dessa conexão estabelece um túnel com a rede remota, podendo transferir dados com
segurança.
O acesso por link dedicado, interligando dois pontos de uma rede, é conhecido como LAN-to-
LAN. No link dedicado as redes são interligadas por túneis que passam pelo backbone da rede
pública. Por exemplo, duas redes se interligam através de hosts com link dedicado, formando
ssim um túnel entre elas.
O acesso é proporcionado por um provedor de acesso Internet (ISP) conectado à rede pública. A
partir de túneis que passam pela Internet, os pacotes são direcionados até o terminador do túnel
em um nó da rede corporativa. Atualmente a maneira mais eficiente de conectar redes por meio
da Internet é através de um link dedicado de acesso como o ADSL. Basta que as redes disponham
de uma conexão dedicada como esta para que a VPN possa ser montada.
Figura 9 – VPN IP
Segurança
A utilização da Internet como infra-estrutura de conexão entre hosts de uma rede privada é uma
solução em termos de custos, mas não em termos de privacidade. A Internet é uma rede pública,
logo os dados em trânsito podem ser interceptados e lidos.
Incorporando técnicas de criptografia na comunicação entre hosts da rede privada de forma que,
se os dados forem capturados durante a transmissão, não possam ser decifrados, esses
problemas de segurança são minimizados. Como mencionado, são criados túneis virtuais que
habilitam o tráfego de dados criptografados pela Internet, capazes de manipular os dados
criptografados, formando uma rede virtual segura sobre a rede pública.
Os dispositivos responsáveis pelo gerenciamento da VPN devem ser capazes de garantir a
privacidade, a integridade e a autenticidade dos dados transmitidos. Assim são necessários
cuidados especiais com relação aos usuários que acessam a rede e com os dados que trafegam
entre os diversos nós da WAN:
• Autenticação dos usuários - permite ao sistema enxergar se a origem dos dados faz parte da
comunidade que pode exercer acesso a rede;
• Controle de acesso - visa negar acesso a um usuário que não está autorizado a acessar a rede
como um todo, ou simplesmente restringir o acesso de usuários;
• Confidencialidade - visa prevenir que os dados sejam lidos e/ou copiados durante o trânsito
através da rede pública. Desta forma, pode-se garantir uma maior privacidade das comunicações
dentro da rede virtual;
• Integridade de dados - garante que os dados não serão adulterados. Os dados podem ser
corrompidos ou algum tipo de vírus pode ser implantado com finalidades diversas.
Os três primeiros protocolos visam autenticar usuários e controlar o acesso na rede. O último visa
prover confidencialidade e integridade aos dados transmitidos.
Custos
Existem vários aspectos que podem ser observados em termos de custos entre as redes
corporativas tradicionais e redes que utilizam VPN. Uma rede tradicional é baseada normalmente
na conexão por links dedicados de banda larga (512Kbps ou mais), custos mensais fixos
(instalação, manutenção, etc) e utilização de diversos equipamentos. Já as redes baseadas em
VPN utilizam um único link, com uma banda menor (128Kbps ou 256Kbps, tipicamente) e,
conseqüentemente, com custos de manutenção menores.
As redes VPN também são facilmente escalonáveis em relação aos links dedicados. Para se
interconectar um ponto adicional de conexão na rede, o provedor de serviço providencia a
instalação do link local e respectiva configuração dos poucos equipamentos na rede do cliente.
Do mesmo modo pode ser providenciado junto ao provedor um aumento da banda do link visando
melhorias no desempenho da rede.
O gerenciamento dessa rede normalmente é feito pelo próprio usuário VPN, sendo que as
alterações processadas (endereçamento, autenticação, privilégios de acesso, etc) são feitas de
forma transparente ao provedor de serviço, proporcionando uma maior flexibilidade.
Exemplos de utilização
A implantação de uma VPN permite a comunicação entre redes de pontos distintos, como duas
filiais de uma empresa, por exemplo, de forma transparente e segura, formando uma única rede
virtual. Outros casos de aplicação de VPN’s são os seguintes:
• Empresas com filiais ou escritórios distantes entre si, onde cada escritório tenha uma intranet
própria e exista a necessidade de unificar essas redes em uma só rede virtual;
• Funcionários que trabalham fora da empresa e necessitam de uma conexão discada para entrar
na rede da empresa de forma segura;
• Empresas que desejam interligar sua rede com seus fornecedores ou clientes de uma forma mais
direta. Permite, por exemplo, que uma empresa acesse diretamente o Banco de Dados da outra;
• Qualquer empresa ou pessoa que queira unir duas redes privadas remotas, através de um meio
público com segurança e privacidade.
8. Conclusão
A Segurança em Camadas é uma abordagem vital para proteger sua organização contra ameaças
físicas e digitais. Ao implementar várias camadas de proteção, você pode criar uma estratégia de
segurança abrangente que cobre as vulnerabilidades em várias áreas e fornece uma defesa sólida
contra possíveis violações de segurança.