VIRTUALIZAO DE HARDWARE E REDES

Alan Jhones Faccin, Diovani Bernardi da Motta, Diogo Andr Zeni,Lisandro Dallagnol Universidade do Oestes de Santa Catarina (UNOESC) 89.600-000 Joaaba SC Brasil Resumo Este artigo prope apresentar tcnicas em virtualizao de hardware e redes,sua importncia e facilidades de uso aos profissionais do TI.

INTRODUO
A Virtualizao de Hardware e Redes vm ganhando muita fora na atualidade,pois com a grande preocupao global com a economia de fontes energticas,essa uma das iniciativas para a consolidao do TI Verde,dessa forma reduzimos os gastos com energia eltrica,aquisio de equipamento, manutenes, espao fsico e a diminuio das distncias geogrficas . Com a crescente evoluo do processamento dos computadores moderno,vem ocasionando uma grande ociosidade do hardware,sendo a inteo da virtualizao, aproveitar a sobra de recursos no utilizados no processamento. A apresentao deste trabalho est organizada em duas etapas,a primeira parte,consistem na pesquisa e desenvolvimento terico apresentado atravs deste artigo,e a segunda,na apresentao pblica do resultado da pesquisa,a todos os colegas de curso.

1. CONCEITOS BSICOS

1.1. O que a Virtualizao? Para que seja possvel entendermos a virtualizao, preciso primeiro entender a distino entre real e virtual,continuando essa linha de raciocnio,real seria algo com caractersticas fsicas,concretas.J o virtual,est associado a algo simulado,abstrato,ou seja a definio de virtualizao pode ser entendida como a criao de um ambiente virtual que simula o real,proporciando a utilizao de diversos sistemas operacionais e aplicativos,trabalhando de forma independente,sem a necessidade de um acesso fsico a mquina hospedeira.

Figura 1 Exemplificao da Virtualizio de Hardware

1.2. Tipos de Virtualizao: O termo virtualizao de tornou ambguo atualmente,representado qualquer tipo de ofuscamento de um processo no qual removido e alguma forma do seu ambiente operacional fsico.Por conta desta ambiguidade a virtualizao quase pode ser aplicada a qualquer ou a todas as partes de uma infraestrutura de TI. So exemplos conhecidos de virtualizao: Virtualizao do Sistema Operacional; Virtualizao do Servidor de Aplicao; Virtualizao de Aplicao; Virtualizao do Gerenciamento; Virtualizao de Redes; Virtualizao de Hardware; Virtualizao da Armazenagem; Virtualizao do Servio;

Virtualizao do Sistema Operacional

a forma mais predominante e a mais conhecida entre profissionais do TI e usurios. Nesse tipo de virtualizao, possivel hospedar vrias plataformas de sistema operacional diferentes ,trabalhando de forma independente em um nico hardawre. No mercado atual est sendo muito utilizada nos data centers, permitindo s empresas reduzir o nmero de mquinas fsicas, sem reduzir o nmero de aplicaes, e reduzindo o custo de hardware, de locao, o espao dos racks, fora, gerenciamento de cabos etc.

Figura 2 Exemplificao da Virtualizio do Sistema Operacional

Virtualizao de redes e Hardware

Uma das formas mais significativas e utilizadas da virtualizao de redes a VPN(Virtual Privite Network),ou Rede Privada Virtual. A idia da utilizao de VPN a criao de uma rede privada,atraves do uso da internet ou rede pblica para implementar redes corporativas.Seu funcionamento consistem na utilizao de tneis de criptografia entre pontos autorizados, criados atravs da Internet ou outras redes pblicas e/ou privadas para transferncia de informaes, de modo seguro, entre redes corporativas ou usurios remotos. Por se tratar de um conexo de dados realizadas atravs de um tunel em um meio inseguro,como a internet,as VPNs utilizam a criptografia de dados entre os pontos autorizados,impossibilitando a sua interceptao e modificao na passagem pela nuvem (internet). Uma das grandes vantagens decorrentes do uso das VPNs a reduo de custos com comunicaes corporativas, pois elimina a necessidade de links dedicados de longa distncia que podem ser substitudos pela Internet. As LANs podem, atravs de links dedicados ou discados, conectar-se a algum provedor de acesso local e interligar-se a outras LANs, possibilitando o fluxo de dados atravs da Internet. Esta soluo pode ser bastante interessante sob o ponto de vista econmico, sobretudo nos casos em que enlaces internacionais ou nacionais de longa distncia esto envolvidos. Outro fator que simplifica a operacionalizao da WAN que a conexo LAN-Internet-LAN fica parcialmente a cargo dos provedores de acesso.

Funes Bsicas

A utilizao de redes pblicas tende a apresentar custos muito menores que os obtidos com a implantao de redes privadas, sendo este, justamente o grande estmulo para o uso de VPNs. No entanto, para que esta abordagem se torne efetiva, a VPN deve prover um conjunto de funes que garanta Confidencialidade, Integridade e Autenticidade. Confidencialidade: Tendo em vista que estaro sendo utilizados meios pblicos de

comunicao, a tarefa de interceptar uma seqncia de dados relativamente simples. imprescindvel que os dados que trafeguem sejam absolutamente privados, de forma que, mesmo que sejam capturados, no possam ser entendidos. Integridade: Na eventualidade dos dados serem capturados, necessrio garantir

que estes no sejam adulterados e re-encaminhados, de tal forma que quaisquer tentativas nesse sentido no tenham sucesso, permitindo que somente dados vlidos sejam recebidos pelas aplicaes suportadas pela VPN. Autenticidade:Somente usurios e equipamentos que tenham sido autorizados a

fazer parte de uma determinada VPN que podem trocar dados entre si; ou seja, um elemento de uma VPN somente reconhecer dados originados em por um segundo elemento que seguramente tenha autorizao para fazer parte da VPN.

Figura 3 Amostra de uma Virtual Privete Network (VPN)

A seguir relatamos a exemplificao do uso das VPNs:

 Acesso Remoto via Internet: O acesso remoto a redes corporativas atravs da Internet pode ser viabilizado com a VPN atravs da ligao local a algum provedor de acesso (Internet Service Provider - ISP). A estao remota disca para o provedor de acesso, conectando-se Internet e o software de VPN cria uma rede virtual privada entre o usurio remoto e o servidor de VPN corporativo atravs da Internet.

Figura 4 Servio VPN de Acesso Remoto

Conexes de Lan Via Internet: Uma soluo que substitui as conexes entre LANs atravs de circuitos dedicados de longa distncia a utilizao de circuitos dedicados locais interligando-as Internet. O software de VPN assegura esta interconexo formando a WAN corporativa. A depender das aplicaes tambm, pode-se optar pela utilizao de circuitos discados em uma das pontas, devendo a LAN corporativa estar, preferencialmente, conectada Internet via circuito dedicado locais ficando disponveis 24 horas por dia para eventuais trfegos provenientes da VPN.

Figura 5 Servio VPN de Conexes de LAN

Conexo de Computadores numa Intranet: Em algumas organizaes, existem dados confidenciais cujo acesso restrito a um pequeno grupo de usurios. Nestas situaes, redes locais departamentais so implementadas fisicamente separadas da LAN corporativa. Esta soluo, apesar de garantir a "confidencialidade" das informaes, cria dificuldades de acesso aos dados da rede corporativa por parte dos departamentos isolados.

As VPNs possibilitam a conexo fsica entre redes locais, restringindo acessos indesejados atravs da insero de um servidor VPN entre elas. Observe que o servidor VPN no ir atuar como um roteador entre a rede departamental e o resto da rede corporativa uma vez que o roteador possibilitaria a conexo entre as duas redes permitindo o acesso de qualquer usurio rede departamental sensitiva. Com o uso da VPN o administrador da rede pode definir quais usurios estaro credenciados a atravessar o servidor VPN e acessar os recursos da rede departamental restrita. Adicionalmente, toda comunicao ao longo da VPN pode ser criptografada assegurando a "confidencialidade" das informaes. Os demais usurios no credenciados sequer enxergaro a rede departamental.

Figura 6 Servio VPN de Conexes de computadores numa Intranet

Requisitos bsicos No desenvolvimento de solues de rede, bastante desejvel que sejam implementadas facilidades de controle de acesso a informaes e a recursos corporativos. A VPN deve dispor de recursos para permitir o acesso de clientes remotos autorizados aos recursos da LAN corporativa, viabilizar a interconexo de LANs de forma a possibilitar o acesso de filiais, compartilhando recursos e informaes e, finalmente, assegurar privacidade e integridade de dados ao atravessar a Internet bem como a prpria rede corporativa. A seguir so enumeradas caractersticas mnimas desejveis numa VPN:

Autenticao de Usurios: Verificao da identidade do usurio, restringindo o acesso s pessoas autorizadas. Deve dispor de mecanismos de auditoria, provendo informaes referentes aos acessos efetuados - quem acessou o qu e quando foi acessado. Gerenciamento de Endereo: O endereo do cliente na sua rede privada no deve ser divulgado, devendo-se adotar endereos fictcios para o trfego externo. Criptografia de Dados: Os dados devem trafegar na rede pblica ou privada num formato cifrado e, caso sejam interceptados por usurios no autorizados, no devero

ser decodificados, garantindo a privacidade da informao. O reconhecimento do contedo das mensagens deve ser exclusivo dos usurios autorizados. Gerenciamento de Chaves: O uso de chaves que garantem a segurana das mensagens criptografadas deve funcionar como um segredo compartilhado exclusivamente entre as partes envolvidas. O gerenciamento de chaves deve garantir a troca peridica das mesmas, visando manter a comunicao de forma segura. Suporte a Mltiplos Protocolos: Com a diversidade de protocolos existentes, torna-se bastante desejvel que uma VPN suporte protocolos padro de fato usadas nas redes pblicas, tais como IP (Internet Protocol), IPX (Internetwork Packet Exchange), etc.

Protocolos Os protocolos de VPN so os responsveis pela abertura e gerenciamento das sesses de tneis. Point-to-Point Tunneling Protocol (PPTP): Desenvolvido por um frum de empresas denominado PPTP Frum, tinha por objetivo facilitar o acesso de computadores remotos a uma rede privada atravs da Internet ou outra rede baseada em IP, sendo um dos primeiros protocolos de VPN que surgiram. Est incorporado no Windows a partir do NT 4.0 e em clientes do Windows 95 atravs de um patch. Agrega as funcionalidades do Point-to-Point Protocol (PPP) [Simpson 1994] para que o acesso remoto faa um tnel at o destino. O PPTP encapsula pacotes PPP utilizando uma verso modificada do protocolo Generic Routing encapsulation (GRE) [Farinacci et al. 2000]. Permitindo ao PPTP [Hamzeh et al. 1999] flexibilidade em lidar com outros tipos de protocolos como IPX, NetBEUI etc. O protocolo se baseia nos mecanismos de autenticao do PPP, os protocolos CHAP [Simpson 1996], MS-CHAP [Zorn 2000] e o inseguro PAP [Lloyd and Simpson 1992]. Existem trs elementos envolvidos em uma conexo PPTP (figura 1). O cliente, o servidor de acesso rede e o servidor PPP.

Figura 7 Protocolo de Tunelamento PPT

A comunicao criada pelo PPTP envolve trs processos, onde cada um exige que os anteriores sejam satisfeitos. O cliente PPTP utiliza o PPP para se conectar ao Internet service provider (ISP), por exemplo, utilizando uma linha telefnica. Nesta etapa o PPP utilizado para estabelecer a conexo e criptografar os dados. Utilizando a conexo estabelecida pelo PPP cria-se uma conexo de controle desde o cliente at o servidor PPTP atravs da Internet. nesta etapa que todos os parmetros de configurao da conexo so definidos entre as extremidades do tnel. Esta conexo utiliza pacotes TCP e chamada de Tnel PPTP. Os pacotes de dados so primeiro criptografados e encapsulados com um cabealho PPP. O quadro PPP resultante ento encapsulado com um cabealho GRE. Este quadro por fim encapsulado com um cabealho IP que contm os endereos de origem e destino correspondentes as extremidades da conexo PPTP (figura 8).

Figura 8 - Tunelamento PPTP Existem trs desvantagens neste protocolo. O processo de negociao dos parmetros de conexo feito com criptografia muito fraca [Schneier and Mudge 1998]. As mensagens do canal de controle so transmitidas sem qualquer forma de autenticao ou proteo de integridade. No existe autenticao no perodo de negociao dos parmetros da conexo. Layer Two Forwarding (L2F): Desenvolvido pela empresa CISCO, surgiu nos primeiros estgios da tecnologia VPN. O L2F [Valencia et al. 1998], diferente do PPTP, possui tunelamento independente do IP, sendo capaz de trabalhar diretamente com outros meios como ATM e Frame Relay. O L2F sempre assume que a rede privada do cliente estar atrs de um gateway, podendo ser um roteador ou um firewall. O L2F utiliza o PPP para autenticao, de usurios remotos, mas tambm pode incluir suporte para autenticao via RADIUS, TACACS e TACACS+. Existem dois nveis de autenticao de usurio: um no ISP antes de estabelecer o tnel e outro quando se estabelece a conexo com o gateway. Primeiro o usurio estabelece uma conexo PPP com o servidor de acesso a rede (NAS) do ISP, ento o NAS estabelece um tnel L2F com o gateway. Finalmente o gateway autentica o nome do usurio e a senha e estabelece a conexo PPP ou Serial Line IP (SLIP) (figura 3). A autenticao feita quando uma sesso VPN-L2F estabelecida, o cliente, o NAS e o gateway da Internet usam um sistema triplo de autenticao via CHAP. A grande desvantagem do L2F no definir criptografia e encapsulamento de dados. Layer Two Tunneling Protocol (L2TP): Em uma tentativa de se criar um padro para protocolos de tunelamento o IETF reuniuneste protocolo as melhores caractersticas dos dois protocolos existentes o PPTP e o L2F. Ele oferece a flexibilidade e a

escalabilidade do IP com a privacidade do FrameRelay ou ATM, permitindo que os servios de rede sejam enviados nas terminaes dos tneis. O L2TP [Townsley et al. 1999] realiza o encapsulamento de pacotes PPP, podendo ento fazer uso dos mecanismos de autenticao PPP. Tambm prov suporte para autenticao do Tnel, permitindo que as extremidades do tnel sejam autenticadas. Este protocolo foi desenvolvido para suportar dois modos de tunelamento:

Figura 9 - Conexo L2F Voluntrio - iniciado pelo computador remoto, sendo mais flexvel para usurios em trnsito que podem discar para qualquer provedor de acesso, como o provedor no participa da criao dos tneis, este pode percorrer vrios servidores sem precisar de uma configurao explicita. Compulsrio - criado automaticamente e iniciado pelo servidor de acesso a rede sob a conexo discada. Isto necessita que o servidor de acesso a rede seja pr-configurado para saber a terminao de cada tnel baseado nas informaes de autenticao de usurio. O funcionamento se baseia em um concentrador de acessos L2TP localizado no ISP, troca mensagens PPP com o servidor de rede L2TP para criao dos tneis. O L2TP passa os pacotes atravs do tnel virtual entre as extremidades da conexo. Os quadros enviados pelo usurio so aceitos pelo ISP, encapsulados em pacotes L2TP e encaminhados pelo tnel. No gateway de destino os quadros L2TP so desencapsulados e os pacotes originais so processados para interface apropriada (figura 10).

Figura 10 - Conexo L2TP Devido ao uso do PPP para links dial-up, o L2TP inclui mecanismos de autenticao dentro do PPP, os protocolos PAP e CHAP. Outros sistemas de autenticao tambm podem ser utilizados como RADIUS e o TACACS. Porm, o L2TP no possui processos para gerenciamento de chaves criptogrficas. Alm do mais, suscetvel a ataques de DoS [Kara et al. 2004]. Diante destes problemas, no recomendado o uso em uma rede insegura como a Internet. Para poder us-lo devemos combin-lo com outros protocolos que corrijam estas vulnerabilidades como o IPSec [Patel et al. 2001]. IP Security (IPSec): Em 1995 como uma resposta as carncias de segurana existentes no protocolo IP o Grupo de Trabalho de Segurana IP do IEFT desenvolveu o IPSec, criando uma alternativa para a nova gerao do IPv4, o IPv6. Este conjunto de protocolos fornece principalmente servios de integridade, autenticao, controle de acesso e confidencialidade permitindo interoperabilidade com protocolos de camadas superiores como: TCP, UDP, ICMP etc. O IPSec pode trabalhar de dois modos diferentes. Modo Transporte: o modo nativo do IPSec. Nele, h transmisso direta dos dados protegidos entre os hosts. Toda autenticao e cifragem so realizadas no payload. Utilizado em clientes que implementam o IPSec (figura 11).

Figura 11 - IPSec modo transporte

 Modo Tnel: mais utilizado por gateways que manipulam trafego de hosts que no tm suporte ao IPSec. O pacote original encapsulado em um novo pacote com a criptografia do IPSec incluindo o cabealho original, ento enviado para o outro gateway IPC que desencapsula e o encaminha ao destinatrio (figura 12).

Figura 12- IPSec modo tnel Security Association (SA) ou Associaes de Segurana so muito importantes dentro do IPSec, so elas que contm todas as informaes que sero necessrias para configurar as conexes entre as entidades do IPSec. Elas so criadas durante o processo de negociao dos parmetros da conexo, uma SA contm informaes como algoritmo de criptografia, chaves secretas ou seqncia de nmeros, funes hash, modo de funcionamento (tnel ou transporte), porta de comunicao e outros. Existem dois bancos de dados utilizados pelo IPSec, o Security Police Database (SPD) e o Security Association Database (SAD). Os SPD possuem as polticas de segurana, as quais os pacotes iro se submeter. Estas polticas so definidas pelo administrador do sistema e sero utilizadas pelas SA durante o processamento do pacote IP. Os SPD submetem os pacotes a uma lista de regras e o pacote que atendera pelo menos uma destas regras sofrer a ao determinada pelo administrador. Esta ac ao pode ser: recusar o pacote, aceitar o pacote e aplicar o IPSec sobre ele ou deix-lo entrar sem aplicar o IPSec. O IPSec apresenta trs caractersticas principais: 1) Authentication Header (AH): A utilizao do protocolo AH previne ataques do tipo replay, spoofing e hijacking. Isso porque o protocolo faz uso de mecanismos de autenticao. A figura 12 descreve os campos do protocolo AH.

Figura 12 - Campos do cabealho AH

Para proteger um pacote o AH insere um cabealho dentro do pacote a ser protegido, utiliza um nmero seqencial, que zerado a cada estabelecimento de uma nova associao segura e adiciona funes de hash ao AH. 2) Encapsulation Security Payload (ESP): Alm de fornecer as caractersticas do AH, este protocolo tambm oferece a confidencialidade como podemos observar na figura 13. Ele adiciona um cabealho ESP logo aps o cabealho AH (caso este esteja sendo utilizado) e criptografa toda a parte correspondente aos dados payload com um algoritmo que foi negociado durante o estabelecimento da SA.

Figura 13 - Pacote ESP 3) Gerenciamento de chaves: O gerenciamento das SA no IPSec pode ser feito de maneira automtica ou de maneira manual. O principal protocolo o Internet Key Exchange Protocol (IKE), que combina o Internet Security Association and Key Management Protocol (ISAKMP), para definir o mtodo de distribuio de chaves, com o OAKLEY [Orman 1998] para definir como as chaves serao determinadas. Existe uma alternativa para aumentar ainda mais a segurana, o Perfect Forward Secrecy (PFS) esta opo faz com que a chave seja derivada do algoritmo de Diffie-Hellman [Stallings 2005] aumentando a segurana e reduzindo a performance. Secure Socket Layer (SSL): Originalmente, o protocolo SSL foi desenvolvido pela Netscape Communications para garantir a segurana entre aplicaes cliente/servidor evitando influncias externas, falsificao dos dados e escutas. Ao ser padronizado recebeu o nome de Transport Layer Security (TSL) o TSL 1.0 o mesmo que o SSL 3.0. O SSL atua entre as camadas Transporte (TCP) e Aplicao, podendo rodar sobre outros protocolos como o HTTP, Telnet, FTP, SMTP e outros de forma transparente. O Protocolo SSL dividido em duas partes: 1) SSL Handshake Protocol o protocolo responsvel pela autenticao do cliente e do servidor, alm de fornecer os parmetros para o funcionamento do SSL Record Protocol. Todas as mensagens de handshake so trocadas usando um Message Authentication Code (MAC) para dar mais segurana desde o inicio do processo. O protocolo de handshake constitudo de duas fases, numa feita uma escolha de chave que ser utilizada entre o cliente e o servidor, a autenticao do servidor e a troca da chave mestra, j a segunda feita uma autenticao do cliente, sendo que esta fase pode no ser requerida. 2) SSL Record A comunicao deste protocolo se d atravs do estabelecimento de uma sesso, caracterizado por um Estado de Sesso e um Estado de Conexo. Estes estados so criados aps o protocolo de handshake concluir suas funes. O protocolo recebe os dados da camada superior e os fragmenta em tamanhos fixos para que possam ser melhor

manuseados posteriormente, ento dependendo dos parmetros recebidos da fase de negociao do protocolo de handshake os dados so ou no compactados, em seguida aplica-se um MAC com uma das funes de hash. Agora os dados so encriptados com o algoritmo definido e finalmente transmitidos. A outra extremidade da conexo executa a operao inversa, junta os fragmentos e entrega a mensagem completa para os protocolos da camada superior. Como vantagens temos: Um dos protocolos mais convenientes e utilizados para implementao de transaes seguras; Simples implantao; Trabalho independente das aplicaes utilizadas e, aps o handshake inicial, comporta-se como um canal seguro; Possui uma padronizao do IETF.

2. Concluso
Com base nas pesquisas e experimentos realizdos, foi possivel concluir que a virtualizao muito interessante e est ganhando muito mercado, sendo aderida nas mais variadas ramificaes da T.I. Com ela possivel corrigir a questo de ociosidade do hardware, bem como reduzir o nmero de mquinas, custo de hardware, oganizao, e etc, tudo isso voltado ao T.I verde, ou seja, toda a preocupao global com fontes de energia renovveis.

3. Referncias Disponvel em: http://www.rnp.br/newsgen/9811/vpn.html Acessado em: 10/06/12 Disponvel em: www.gta.ufrj.br/ensino/CPE758/artigos-basicos/cap4-v2.pdf Acessado em: 10/06/12 Disponvel em: www.gta.ufrj.br/grad/04_1/vpn/Script/RDITunelamento.html Acessado em: 10/06/12