alan maciel de sousa curitiba 2014 - tcc...

UNIVERSIDADE TUIUTI DO PARANÁ

COMUNICAÇÃO REDUNDANTE UTILIZANDO VPN NO

FORTIGATE

ALAN MACIEL DE SOUSA

CURITIBA

2014


COMUNICAÇÃO REDUNDANTE UTILIZANDO VPN NO

FORTIGATE

Trabalho apresentado como exigência para conclusão do curso de Especialização em Redes de Computadores e Segurança de Redes – Administração e Gerência, da Universidade Tuiuti do Paraná. Professor: Luiz Altamir Corrêa Junior

CURITIBA

2014

TERMO DE APROVAÇÃO


COMUNICAÇÃO REDUNDANTE UTILIZANDO VPN NO FORTIGATE

Essa monografia foi julgada e aprovada para obtenção do titulo de Especialista no curso de

Especialização em Redes de Computadores e Segurança de Redes – Administração e Gerência da

Universidade Tuiuti do Paraná.

Curitiba, 15 de Dezembro de 2014.

___________________________________________

Especialização em Redes de Computadores e Segurança de Redes – Administração e Gerência

Universidade Tuiuti do Paraná

Orientador: Prof. Luiz Altamir Corrêa Junior

Dedico esse trabalho a Deus, que me manteve firme até o fim, também ao

meu pai, minha mãe e minha irmã que são minha base e o que me faz

querer sempre continuar, aos amigos e colegas de trabalho que estiveram

presente e me colaboraram com a conclusão de mais essa etapa da minha

vida, e por último, porém não menos importante, minha noiva Priscila

Santos, que não mediu esforços e sempre esteve ao meu lado durante essa

jornada.

AGRADECIMENTOS

Agradeço a Deus por ter me colocado diante desse desafio e feito com que o

vencesse.

A minha noiva Priscila Santos, minha mãe Regina, meu pai Maciel e minha

irmã Thamara pela compreensão, paciência e apoio durante todo período

acadêmico.

A esta universidade, seu corpo docente, direção e administração que me

proporcionaram momentos de profundo aprendizado e colaboraram para o meu

crescimento pessoal e profissional.

Ao Profº Luiz Corrêa, pela orientação, apoio e confiança.

Aos amigos André Matos e Dartanghan, que contribuíram diretamente para

minha formação e continuarão contribuindo com certeza.

Ao Grupo Fertipar por ter cedido informações de suma importância para

concretização desse trabalho.

A todos que direta ou indiretamente fizeram parte da minha formação, o meu

muito obrigado.

RESUMO

Com o avanço contínuo da tecnologia, cada vez mais recursos são informatizados e

disponibilizados online, principalmente em empresas de médio e grande porte onde

a cobrança por produtividade e resultado tem níveis cada vez mais elevados. Essa

informatização de recursos e disponibilidade na web faz com que a empresa fique

cada vez mais dependente da grande nuvem chamada Internet, falando ainda mais

além, ao falar em empresas de médio e grande porte logo existe a relação matriz e

filial, pois grandes organizações possuem núcleos espalhados por diversas cidades,

estados e, no caso das multinacionais, países. Como as filiais sempre dependem da

matriz por algum motivo, na maioria das vezes necessidade de acesso a

informações centralizadas, a comunicação entre matriz e filial se torna

imprescindível, desta forma a empresa deixa de pensar somente em seu ambiente

local com um acesso simples à Internet para pensar em como se comunicar com

suas unidades remotas. Sob o ponto de vista de alguns empresários, existindo

acesso à Internet na matriz e na filial, basta fazer as duas se comunicarem através

da Internet. Os empresários não estão totalmente errados ao pensar dessa maneira,

mas cabe aos profissionais de informática elencar os riscos envolvidos nesse tipo de

comunicação e quais as soluções para minimizar ou extinguir esses riscos. Diversas

abordagens/tecnologias podem ser aplicadas para a conexão entre filiais e matrizes,

porém a que requer menos investimento e uma das mais usadas hoje em dia para

que ocorra esse tipo de comunicação com segurança é a VPN (Virtual Private

Network, rede virtual privada) criada dentro da nuvem da Internet. Apesar da

segurança sempre ocupar lugar de destaque, cabe aos administradores de

informática e responsáveis técnicos pela integração pontuarem sobre o quesito de

disponibilidade. Logo é necessário que a segurança e disponibilidade andem juntas

e que um quesito não atrapalhe o outro. Esse trabalho vai focarem mostrar como

montar um ambiente de comunicação com VPN redundante entre matriz e filial

usando o appliance da Fortinet que inclui Firewall, UTM (Unified Threat

Management, Gerenciamento unificado de ameaças) e VPN chamado Fortigate.

Palavras-chave: VPN. Redundância, Fortigate. Fortinet.

ABSTRACT

With the continuous advancement of technology, more and more resources are

computerized and made available online, especially in medium and large companies

where the collections of productivity and results have increasingly higher levels. This

computerization and availability features on the web makes the company becomes

increasingly dependent on big cloud called the Internet, talking even further,

speaking in medium and large companies so there is the relationship matrix and

branch because large organizations have settlements spread to several cities, states,

and, in the case of multinationals, countries. How Affiliates always depend on the

array for some reason most often need access to centralized information,

communication between headquarters and branch becomes essential, so the

company does not think only of their local environment with an access simple Internet

to think about how to communicate with their remotes. From the point of view of

some business, there Internet access in the matrix and on the branch, just make the

two communicate via the Internet. Entrepreneurs are not entirely wrong to think that

way, but it is for computer professionals list the risks involved in this type of

communication and what solutions to reduce or extinguish these risks. Several

approaches / technologies can be applied to the connection between branches and

headquarters, but that requires less investment and one of the most used nowadays

to occur this type of communication with security is the VPN, virtual private network

created within the cloud Internet. Despite the security always taken center stage, it is

for IT administrators and technical managers by integrating scoring on the Question

of availability. So then is necessary for the security and availability to walk together

and that one criterion will not disturb the other. This work will focus show how to set

up a communication environment with redundant VPN between headquarters and

branch using the appliance Fortinet that includes Firewall, UTM (Unified Threat

Management) and VPN FortiGate called.

Keywords: VPN. Redundancy, FortiGate. Fortinet.

LISTA DE FIGURAS

Figura 1 – Representação de uma rede DMZ ........................................................... 15

Figura 2 – Teste de link convencional e dedicado ..................................................... 19

Figura 3 – VPN Cliente/Servidor ............................................................................... 21

Figura 4 – VPN LAN - to - LAN .................................................................................. 23

Figura 5 – Captura de pacotes de sessão SSH mostrando os dados da porta TCP . 26

Figura 6 – Captura de pacotes da sessão IPsec ....................................................... 27

Figura 7 – Datasheet Fortigate 200B – parte 1 ......................................................... 31

Figura 8 – Datasheet Fortigate 200B – parte 2 ......................................................... 32

Figura 9 – Datasheet Fortigate 60C – parte 1 ........................................................... 33

Figura 10 – Datasheet Fortigate 60C – parte 2 ......................................................... 33

Figura 11 – Configuração porta: port14 do Fortigate 200B da Matriz - Operadora 1 37

Figura 12 – Configuração porta: port15 do Fortigate 200B da Matriz - Operadora 2 37

Figura 13 – Configuração porta wan1 do Fortigate 60C de Canitar - Operadora 1 ... 38

Figura 14 – Configuração porta wan2 do Fortigate 60C de Canitar - Operadora 2 ... 38

Figura 15 – Resultado positivo no ping originado do Fortigate 200B tendo como

destino o Fortigate 60C ............................................................................................. 39

Figura 16 – Resultado positivo no ping originado do Fortigate 60C tendo como

destino o .................................................................................................................... 40

Figura 17 – Menu de configuração de VPN – Fortigate 200B ................................... 40

Figura 18 – Tela de configuração da Phase 1 do IPsec. – Fortigate 200B ............... 41

Figura 19 – Tela de configuração da Phase 1 do IPsec já preenchida - Fortigate

200B .......................................................................................................................... 43

Figura 20 – A Phase 1 criada aparece na lista de VPNs – Fortigate 200B ............... 43

Figura 21 – Tela de configuração de Phase 2 ainda zerada .................................... 44

Figura 22 – Tela de configuração de Phase 2 com o nome e a Phase 1 selecionada

– Foritgate 200B ........................................................................................................ 44

Figura 23 – Campos avançados de configuração da Phase 2 – Fortigate 200B ....... 45

Figura 24 – Tela inicial de VPNs mostrando a Phase 1 (Canitar_OP1) e dentro dela a

Phase 2 (CANITAR_OP_LAN) .................................................................................. 47

Figura 25 – Phase 2 com a configuração completa .................................................. 47

Figura 26 – Phase 2 criada com a rede DMZ da Matriz como Source ...................... 48

Figura 27 – Configuração da VPN através da Operadora 1 no Fortigate 200B

finalizada ................................................................................................................... 48

Figura 28 – Menu de configuração de VPN – Fortigate 60C ..................................... 49

Figura 29 - Tela de configuração da Phase 1 do IPsec. – Fortigate 60C .................. 49

Figura 30 – Tela de configuração da Phase 1 do IPsec já preenchida - Fortigate 60C

.................................................................................................................................. 50

Figura 31 – A Phase 1 criada aparece na tela de inicio – Fortigate 60C ................... 50

Figura 32 – Tela de configuração de Phase 2 com o nome e a Phase 1 selecionada

– Foritgate 60C .......................................................................................................... 51

Figura 33 – Campos avançados de configuração da Phase 2 – Fortigate 200B ....... 51

Figura 34 – Configuração avançada da Phase 2 - Fortigate 60C .............................. 52

Figura 35 – Tela que mostra Phase 1 e a primeira Phase 2 ..................................... 53

Figura 36 – Configuração da segunda Phase 2 alterando o destino ......................... 53

Figura 37 – Finalziada a configuração da VPN no Fortigate 60C .............................. 54

Figura 38 – VPNs criadas na Matriz .......................................................................... 55

Figura 39 – VPNs criadas em Canitar ....................................................................... 55

Figura 40 – Subinterfaces do tipo "túnel" - Matriz ..................................................... 56

Figura 41 – Subinterfaces do tipo "túnel" - Canitar .................................................... 56

Figura 42 – Políticas de Firewall do Fortigate 60C .................................................... 57

Figura 43 – Políticas de Firewall do Fortigate 200B .................................................. 57

Figura 44 – Configurando política de Firewall ........................................................... 58

Figura 45 – VPNs estabelecidas - Fortigate 200B ..................................................... 59

Figura 46 – VPNs estabelecidas - Fortigate 60C ...................................................... 59

Figura 47 – Campos para criação de rotas estáticas ................................................ 60

Figura 48 – Tela de Rotas estáticas .......................................................................... 61

Figura 49 – Criação de rota estática ......................................................................... 61

Figura 50 – Criação de rota estática ......................................................................... 62

Figura 51 – Rotas estáticas criadas .......................................................................... 62

Figura 52 – Rotas estáticas criadas .......................................................................... 63

Figura 53 – Teste – Operadora 1 e 2 sem falhas ...................................................... 65

Figura 54 – Teste – Operadora 1 indisponível .......................................................... 66

Figura 55 – Teste – Operadora 1 reestabelece ......................................................... 67

LISTA DE TABELAS

Tabela 1 – Dados das operadoras da matriz............................................................. 35

Tabela 2 – Dados das operadoras de Canitar ........................................................... 35

Tabela 3 – LANs da Matriz ........................................................................................ 36

Tabela 4 – LAN de Canitar ........................................................................................ 36

Tabela 5 – Interfaces de conexão com a Internet dos dois Fortigates após

configuração .............................................................................................................. 39

Tabela 6 – Campos para criação da Phase 1 ........................................................... 42

Tabela 7 – Campos para criação da Phase 2 ........................................................... 46

Tabela 8 – Rotas Fortigate 200B ............................................................................... 60

Tabela 9 – Rotas estáticas Fortigate 60C ................................................................. 62

Tabela 10 – Campos de rotas dos Fortigates............................................................ 63

SUMÁRIO

1 INTRODUÇÃO.............................................................................................. 12

2 TEORIAS E CONCEITOS ............................................................................ 14

2.1 REDES DE COMPUTADORES .................................................................... 14

2.2 TIPOS DE REDES ........................................................................................ 14

2.2.1 LAN ............................................................................................................... 14

2.2.2 MAN .............................................................................................................. 14

2.2.3 WAN ............................................................................................................. 14

2.2.4 DMZ .............................................................................................................. 15

2.3 A INTERNET ................................................................................................ 16

2.4 LAN COM ACESSO À INTERNET ............................................................... 16

2.5 LINK DEDICADO DE INTERNET ................................................................. 18

2.6 COMUNICAÇÃO COORPORATIVA ATRAVÉS DA INTERNET .................. 19

2.6.1 Riscos envolvidos ......................................................................................... 19

2.6.2 Reduzindo os riscos ..................................................................................... 20

2.7 VPN .............................................................................................................. 20

2.7.1 O que é VPN ................................................................................................ 20

2.7.2 Tipos de VPN ............................................................................................... 21

2.7.3 VPN LAN-to-LAN .......................................................................................... 22

2.7.4 Criptografia ................................................................................................... 23

2.8 IPSEC ........................................................................................................... 25

2.8.1 Fases de negociação .................................................................................... 27

2.9 DISPONIBILIDADE E INDISPONIBILIDADE ................................................ 28

2.10 REDUNDANCIA E CONTINGÊNCIA ............................................................ 28

2.10.1 Redundância ................................................................................................ 28

2.10.2 Contingência ................................................................................................. 28

2.10.3 Redundância X Contingência ....................................................................... 29

3 CASO DE USO ............................................................................................ 30

3.1 HISTÓRIA ..................................................................................................... 30

3.2 EQUIPAMENTOS UTILIZADOS ................................................................... 30

3.2.1 Fortigate 200B da Fortinet - Matriz ............................................................... 31

3.2.2 Fortigate 60C da Fortinet - Canitar ............................................................... 32

3.3 PREMISSAS PARA COMUNICAÇÃO .......................................................... 34

3.4 LINK DE INTERNET A SER UTILIZADO ..................................................... 34

3.5 DADOS TÉCNICOS PERTINENTES ........................................................... 35

3.5.1 Configurações fornecidas pelas Operadoras ................................................ 35

3.5.2 Redes locais que precisam se comunicar .................................................... 36

3.6 CONFIGURANDO O FORTIGATE ............................................................... 36

3.6.1 Interfaces recebem as configurações ........................................................... 36

3.6.2 Configuração da VPN pela Operadora 1 no Fortigate 200B – Matriz ........... 40

3.6.3 Configuração da VPN pela Operadora 1 no Fortigate 60C – Canitar ........... 49

3.6.4 VPN pela Operadora 2 ................................................................................. 54

3.6.5 Políticas de Firewall ...................................................................................... 55

3.7 ROTEAMENTO NO FORTIGATE ................................................................. 59

3.8 TESTES ........................................................................................................ 64

3.8.1 Indisponibilidade da Operadora 1 de Canitar ............................................... 65

3.8.2 Comunicação Operadora 1 de Canitar reestabelecida ................................. 66

3.8.3 Falhas na Operadora 2 de Canitar ............................................................... 67

4 CONCLUSÃO .............................................................................................. 68

REFERÊNCIAS ......................................................................................................... 69

ANEXOS ................................................................................................................... 71

12

1 INTRODUÇÃO

Nos tempos atuais, cada vez mais as organizações empresariais estão

dependente de tecnologia no controle de seu mais valioso bem, a informação,

sistemas avançados de gerenciamento de banco de dados, aplicações como ERP’s

(Enterprise Resource Planning, Sistema Integrado de Gestão Empresarial) e CRM’s

(Customer Relationship Management, Gestão de Relacionamento com o Cliente)

para que haja agilidade e confiabilidade nas operações realizadas independente da

área de atuação da empresa.

Com essa gama de ferramentas a sua disposição e com a centralização

dessas ferramentas em seu Centro de Processamento de Dados, que na maioria

das vezes fica em sua matriz, surge então a necessidade de interligar as demais

unidades, chamadas filiais, com a matriz, para que as mesmas possam ter acesso

às informações centralizadas.

Para que haja essa comunicação, é necessário que a empresa contrate uma

operadora de telecomunicações em ambas as pontas para que a comunicação

aconteça ou através de um ISP (Internet Service Provider, Provedor de Serviço de

Ineternet) também nas duas pontas.

Ao contratar o um serviço de Internet a empresa teria uma rede stub, redes

de computadores com apenas uma saída WAN (Wide Area Netowrk, Rede de Longa

Distância), pode a empresa também, optar por contratar mais de um serviço de

Internet, dessa forma seria aplicado o conceito de rede stubmulti-homing, que é

quando existe na rede local de computadores mais de uma saída para rede WAN.

Escolhendo apenas uma alternativa a organização terá sérios problemas

caso o enlace de dados fique inoperante, por outro lado se optar por usar duas

alternativas de serviços, um cenário redundante pode ser criado eliminando o

problema de indisponibilidade nessa interligação entre matriz e filial.

O intuito de desenvolvimento esse trabalho, é situar o leitor sobre os termos

envolvidos numa comunicação segura entre unidades utilizando a Internet e mostrar

um caso de uso funcional de redundância de links, para isso serão usados

equipamentos de rede do fabricante Fortinet e esses equipamentos possibilitarão a

comunicação entre unidades de uma determinada organização de forma

redundante.

Apresentando o cenário com todas as configurações realizadas nos

13

equipamentos de ambas as pontas, será possível notar que apenas com links de

Internet é possível estabelecer comunicação corporativa de qualidade e com

segurança.

Serão previstas as possíveis falhas e simuladas cada uma delas para que o

leitor possa entender o ambiente funcionando com todas as formas que ele poderá

assumir e vendo que mesmo com falhas nos links de Internet ainda é possível

manter a comunicação ativa.

Esse trabalho será organizado em quatro capítulos no total, o primeiro é o

atual capítulo, onde se pode entender o porquê de desenvolvê-lo e qual será o seu

resultado final.

O capítulo a seguir trará informações teóricas e conceituais sobre alguns

termos utilizados ao longo do trabalho, é importante o leitor o entender esses

conceitos para que possa compreender o conteúdo contido no capítulo três.

Por fim o assunto será concluído, no capítulo quatro, mostrando que é

possível fazer com que ocorra a comunicação coorporativa com qualidade,

segurança e redundância através de links de Internet.

14

2 TEORIAS E CONCEITOS

2.1 REDES DE COMPUTADORES

Redes de computadores são sistemas de comunicação que conectam dois

ou mais computadores fisicamente por cabo, fibra óptica, sinal de rádio ou outro

dispositivo de conexão, utilizando um protocolo de comunicação com o objetivo de

compartilhar recursos como documentos, sistemas, banco de dados, impressoras,

planilhas, acesso à Internet, entre outros.

2.2 TIPOS DE REDES

É usual dividir-se as redes de computadores em três categorias,

relativamente à sua área de cobertura: redes de área local LAN (Local Area

Network), redes de área metropolitana MAN (Metropolitan Area Network), redes de

longa distância WAN e redes de perímetro DMZ (Demilitarized Zone).

2.2.1 LAN

Como visto acima, é o acrônimo de Local Area Network, nome que se dá a

uma rede de caráter local e cobrem uma área geográfica reduzida, tipicamente um

escritório ou uma empresa e interligam um número não muito elevado de entidades.

São usualmente redes de domínio privado.

2.2.2 MAN

Esta rede de caráter metropolitano liga computadores e utilizadores numa

área geográfica maior que a abrangida pela LAN, mas menor que a área abrangida

pela WAN. Uma MAN normalmente resulta da interligação de várias LAN’s, cobrindo

uma área geográfica de média dimensão, tipicamente um campus ou uma

cidade/região, podem ser redes de domínio privado ou público. Pode estar

inclusivamente ligada a uma rede WAN.

2.2.3 WAN

15

Como o nome indica é uma rede de telecomunicações que está dispersa por

uma grande área geográfica. A WAN distingue-se duma LAN pelo seu porte e

estrutura de telecomunicações. As WAN’s normalmente são de caráter público,

geridas por um operador de telecomunicações.

2.2.4 DMZ

É uma rede que comumente é separada da rede local LAN, onde estão os

usuários, pelo motive de manter nessa rede serviços que tenham acesso à Internet,

por exemplo, um servidor HTTP. É uma forma de segurança prevenindo a rede local

LAN caso esse servidor exposto na Internet sofra algum tipo de invasão. Quem

divide o acesso LAN e DMZ é o Firewall da rede. A figura a seguir mostra a rede

DMZ em um ambiente.

_____________________ 1 Disponível em: <http://pt.wikipedia.org/wiki/DMZ_%28computa%C3%A7%C3%A3o%29> Acesso

em: 04 dez 2014.

Figura 1 – Representação de uma rede DMZ

FONTE: WIKIPÉDIA – A enciclopédia livre1

16

2.3 A INTERNET

A necessidade da informação criou a Internet que hoje conhecemos. Assim

como destruição, as guerras trazem avanços tecnológicos em velocidade

astronômica, foi o caso da Internet que surgiu na guerra fria em 1960 a 1970. O

governo norte-americano queria desenvolver um sistema para que seus

computadores militares pudessem trocar informações entre si, de uma base militar

para outra e que mesmo em caso de ataque nuclear os dados fossem preservados.

Seria uma tecnologia de resistência. Foi assim que surgiu então a ARPANET

(Advanced Research Projects Agency Network, Agência avançada de Investigação

de Projetos de Redes), o antecessor da Internet.

Após isto o projeto da Internet era coligar universidades para que fosse

possível uma transmissão de dados de forma mais eficaz, rápida e segura. No Brasil

a Internet iniciou em 1988 quando no Laboratório Nacional de Computação

Científica (LNCC), localizado no Rio de Janeiro, conseguiu acesso à Bitnet, através

de uma conexão de 9.600 bits por segundo estabelecida com a Universidade de

Maryland.

A definição de Internet é um conglomerado de redes locais espalhadas pelo

mundo, o que torna possível e interligação entre os computadores utilizando o IP

(Internet Protocol, Protocolo de Internet). A Internet é uma das melhores formas de

pesquisa hoje encontrada, de fácil acesso e capacidade de assimilação do que é

buscado.

A Internet não é apenas uma tecnologia: é o instrumento tecnológico e a

forma organizada de distribuir a informação, a geração de conhecimentos e a

capacidade de ligar-se em rede a partir de qualquer localidade e dispositivo.

2.4 LAN COM ACESSO À INTERNET

Como já visto em tópicos anteriores, uma rede se caracteriza LAN por

pertencer uma área geográfica reduzida, como por exemplo, o escritório de uma

organização, porém nos dias de hoje praticamente impossível uma LAN trabalhar de

maneira isolada sem ao menos um acesso WAN, o acesso WAN mais comum usado

nas redes locais hoje em dia é o acesso à Internet.

Esse acesso pode ser dar de várias formas, através de várias tecnologias e

17

velocidades a seguir são mostrados alguns tipos de acesso à Internet.

Discada: A conexão discada se dá através de um modem ligado à linha

telefônica. Em toda conexão, emite-se um som de discagem, que irá dizer

se o contato foi efetuado ou não. Atualmente, com as opções de Internet

banda larga, a conexão discada é considerada quase extinta.

Banda Larga: Na Internet banda larga, diferentemente da discada, a

conexão se estabelece através de um modem externo, que mantém o

computador conectado enquanto estiver ligado à rede elétrica. O valor

cobrado pela conexão é fixo e mensal e as velocidades disponíveis vão de

300 kbps até 100 mb, em algumas cidades brasileiras.

Cabo: A Internet via cabo traz a conexão pelo mesmo cabo da tv por

assinatura. Pelo mesmo meio vêm os sinais do telefone, da tv e da Internet,

e essa união de serviços proporciona uma vantagem no custo, já que ele é

realizado através dos chamados combos.

Via rádio: É uma opção muito utilizada em locais onde não há serviços de

Internet disponíveis. Esse modo costuma apresentar boas opções de

velocidade, no entanto, o preço não costuma ser nada atraente. Além disso,

se chover, não conte com sua Internet.

Satélite: Diferentemente dos demais tipos de acesso à Internet, o acesso

por satélite apresenta disponibilidade superior a 99% do tempo no período

de um ano. Quem optar por ele, ou quem não tiver alternativa, vai necessitar

de alguns aparatos de hardware um pouco mais específicos e caros.

3G: Com uma relativa popularização dos smartphones, essa conexão tem

sido bastante utilizada. O custo, devido a pacotes das operadoras de

celular, se tornou bem baixo e geralmente é cobrado pelo uso diário ou

mensal. A velocidade deixa a desejar, assim como a cobertura, não sendo

possível acessar em alguns pontos da cidade.

Rede Elétrica: Ela ainda é apenas uma promessa. Mas a idéia é conseguir

acessar a Internet apenas conectando um modem ou o celular em uma

tomada e pronto, estará conectado! Pena ser apenas uma possibilidade.

(http://www.targethost.com.br/tipos-de-conexao-de-Internet/)

Como se pode ver são muitos os meios de conectar uma LAN ao mundo

externo através de uma conexão WAN, basta escolher o qual se adapta melhor a

realidade do ambiente.

Em qualquer um dos tipos de acessos acima citados, será necessário

contratar algum tipo de serviço de um provedor de acesso ou uma operadora de

telecomunicações, cada um tem suas vantagens e desvantagens, alguns deles já

18

caíram em desuso, por exemplo, o acesso discado, porém todos atingem o seu

objetivo que é conectar a LAN à Internet.

2.5 LINK DEDICADO DE INTERNET

Ao se tratar de link corporativo de Internet, está se falando de links especiais

diferentes do comum usados nas residências, como por exemplo, ADSL e Cabo.

Esse tipo de link tem características que vão além do escopo comercial, que

é a parte de nome do serviço, planos diferenciados com relação a tempo de contrato

e faturamento para pessoa jurídica. O enfoque principal que esse tipo de serviço

deve ter é a parte técnica e lógica, pois existe uma infinidade de serviços prestados

e nem todos atenderão uma necessidade especifica da empresa, por exemplo,

comunicação de VPN.

Explicado melhor, existem serviços que são corporativos e não são links

dedicados.

Link de Internet dedicado: Serviço de Internet que oferece uma banda

exclusiva para o acesso à Internet de quem o contrata, de modo geral, esse tipo de

serviço vem acompanhado de pelo menos um IP público fixo e também tem taxas de

upload e download iguais, se diferenciando dos links de Internet convencionais que

oferecem taxa de upload normalmente a 10% da taxa de download. Através desse

serviço a empresa é conectada diretamente à uma porta de um roteador na

operadora evitando assim congestionamentos e garantindo alta qualidade e

desempenho.

Esse é um ponto importante quando se executa um projeto de VPN, pois a

VPN é um canal de comunicação de ida e volta, logo é necessário qualidade tanto

na entrega como no recebimento. Pode se observar a diferença em um teste feito

para comparar os tipos de links.

19

2.6 COMUNICAÇÃO COORPORATIVA ATRAVÉS DA INTERNET

2.6.1 Riscos envolvidos

Quando existem links de Internet em duas unidades distintas de uma

organização, é possível fazer com que elas se comuniquem através desses links. A

unidade que irá fornecer o acesso aos dados ou a algum serviço deve ter um ou

mais endereços de IP públicos para que a outra unidade possa assim acessar o

conteúdo desejado. Como o nome mesmo já diz público, isso é acessível para todos

que estiverem na Internet, basta ter as credenciais desejadas para que possam

acessar o conteúdo disponibilizado, porém é uma forma simples e rápida de fazer as

coisas acontecerem, muitas vezes pelo curto prazo estabelecido pelos gestores ou

por falta de investimento em mão de obra especializada para uma configuração

adequada. Tudo isso acaba criando um canal não seguro de comunicação que

oferece uma série de riscos à organização.

Alguns desses riscos são:

Furto de dados: Softwares mal intencionados e interceptação de conexão

podem levar à violação de dados particulares que podem ser usados por terceiros.

Uso indevido de recursos: Um atacante pode usar computadores e outros

dispositivos alheios para promover um ataque em massa.

Varredura: um atacante varrer uma rede buscando vulnerabilidades e meios

de tirar alguma vantagem usando-se dessas falhas.

Interceptação de tráfego: Ao transmitir dados via Internet de maneira

insegura, esses dados podem ser interceptados e pode acontecer um dos três

primeiros casos citados.

_____________________ 2 Disponível em: <http://www.minhaconexao.com.br/> Acesso em: 05 dez 2014.

Figura 2 – Teste de link convencional e dedicado

FONTE: MINHA CONEXÃO - Teste de Velocidade2

20

Ataque de negação de serviço: um atacante pode usar a rede para enviar

grande volume de mensagens para um computador, até torná-lo inoperante ou

incapaz de se comunicar.

Ataque de força bruta: todos os dispositivos conectados à rede que possuam

senha como forma de autenticação estão sujeitos à softwares de força bruta, esses

rodam várias rotinas que tentam adivinhar as senhas.

2.6.2 Reduzindo os riscos

Conforme foi citado no tópico anterior, esses riscos existem porque o canal

está numa via pública, logo a forma de contornar isso é tendo uma rede privada para

a comunicação corporativa.

O que vem a ser uma rede privada? A resposta é relativamente simples: dois

ou mais computadores interligados formam uma rede de computadores. Esses

equipamentos juntos, compartilhando informações, formam uma rede privada LAN,

onde somente os equipamentos pertencentes a este grupo podem ter seus dados

compartilhados.

Há então um paralelo entre redes publicas e redes privadas, assim sendo,

surge a seguinte pergunta: Por que não usar a rede pública (Internet) como rede

privada? Cria-se então um paradigma chamado VPN. Através do uso de VPNs a

comunicação através da Internet passa a ser um canal seguro de troca de

informações corporativas.

2.7 VPN

2.7.1 O que é VPN

As redes virtuais privadas (VPNs) são conexões ponto a ponto em redes

privadas ou públicas, como a Internet. Um cliente VPN usa protocolos especiais

baseados em TCP/IP, denominados protocolos de encapsulamento, para realizar

uma chamada virtual a uma porta virtual em um servidor VPN. Em uma implantação

VPN típica, o cliente inicia uma conexão virtual ponto a ponto com um servidor de

acesso remoto pela Internet. O servidor de acesso remoto atende a chamada,

autentica o chamador e transfere os dados entre o cliente VPN e a rede privada da

organização. A Figura 3 mostra como funciona uma conexão VPN.

21

Figura 3 – VPN Cliente/Servidor

UmaVPN (rede privada virtual) é uma rede privada construída em uma

infraestrutura de rede pública, como a Internet global. As empresas podem

usar uma VPN para conectar com segurança escritórios remotos e usuários

remotos usando acesso à Internet de baixo custo para terceiros, em vez de

links WAN caros e dedicados ou links de discagem remota de longa

distância. (http://www.cisco.com/web/BR/solucoes/pt_br/vpn/index.html)

2.7.2 Tipos de VPN

Quando se trata de VPN, podem-se observar três conceitos que são usados

muito nos tempos atuais: VPN de Intranet, VPN de Extranet e VPN de acesso

remoto.

Cada um desses conceitos será brevemente explicado a seguir.

A VPN de Intranet é uma forma de criar um túnel seguro utilizando uma

infraestrutura não segura, como por exemplo, a Internet. Pode ser chamada também

de VPN LAN-to-LAN, com ela organizações podem fugir de altos valores de um

circuito de dados dedicado, que em alguns casos, pela demanda, nem se faz

necessário.

O conceito VPN de Extranet é usado para redes criadas da mesma forma

que a VPN de Intranet, porém para interligar redes de empresas diferentes que

mantém alguma parceria e necessita trocarem informações entre seus ambientes.

É importante dizer que poucos profissionais diferenciam VPNs dessa forma,

VPN de Intranet e de Extranet, essas são tratadas apenas como VPNs mesmo de

forma geral.

FONTE: Elaborada pelo Autor.

22

Por último, porém não menos utilizada, vem a VPN de acesso remoto, essa

é utilizada por colaboradores de uma empresa que trabalham em campo, como por

exemplo, vendedores, técnicos de campo ou até mesmo um cliente.

Para o completo entendimento desse trabalho, vamos focar na VPN de

Intranet, LAN-to-LAN, que é a VPN que será utilizada no projeto de redundância.

2.7.3 VPN LAN-to-LAN

Conforme dito no tópico anterior, esse trabalho focará na VPN de Intranet ou

LAN-to-LAN, uma vez que será esse conceito o aplicado no link secundário no

projeto de redundância.

Quando esse conceito se aplica, é fácil entender o que ocorre na

comunicação, de um lado existe uma LAN que conversa com outra LAN remota

através da Internet, porém essa comunicação ocorre através de um túnel virtual,

criado por protocolos de tunelamento, esses protocolos garantem que as

informações chegaram de uma ponta na outra sem que algo ou alguém as

interceptem.

As VPNs são uma maneira econômica de criar uma rede remota (WAN)

para conectar diversos escritórios da empresa. No passado, empresas

alugavam linhas dedicadas de operadoras de telefonia para interligar cada

um desses locais. No lugar disso, as VPNs permitem que as empresas

criem uma VPN roteador-a-roteador através da Internet. (STANGER,

JAMES, 2002, p.374)

Quando James Stanger fala sobre usar VPN roteador-a-roteador, na citação

acima, ele quer dizer o mesmo que usar VPN LAN-to-LAN.

23

Usar VPN LAN-to-LAN como meio de comunicação em um link secundário é

perfeito, a empresa fica com uma comunicação com um desempenho menor do que

uma rede de dados dedicada, o que não irá lhe afetar consideravelmente, já que se

trata de um link secundário e em contrapartida tem um nível de segurança no

quesito disponibilidade com um custo reduzido comparado a redes de dados

dedicadas.

No âmbito LAN-to-LAN o protocolo de encapsulamento amplamente usado é

o IPsec, e é o que a Fortinet usa em seus appliances de VPN, porém, a titulo de

informação, existem outros protocolos conhecidos que inclusive surgiram antes do

IPsec, são eles: PPTP, L2F e o L2TP.

2.7.4 Criptografia

Com o conteúdo abordado até agora, se pode ter certeza que o IPsec cria

um canal seguro para comunicação através da Internet atendendo três quesitos

cruciais para esse tipo de comunicação: Confidencialidade, Integridade, e

Autenticidade.

Como não é impossível impedir que os dados de um túnel sejam capturados,

é necessário agir de forma que se forem capturados não sejam entendidos. Quesito

confidencialidade.

Os dados se capturados, devem ser protegidos contra alteração e reenvio.

Integridade.

Figura 4 – VPN LAN - to - LAN

FONTE: Elaborada pelo Autor.

24

Somente equipamentos e usuários que fazem parte da VPN poderão enviar

e receber dados através dela. Autenticidade.

Existem quatro técnicas de configuração de VPNs, abaixo a definição

segundo a aluna Ivana Miranda do GTA / UFRJ.

Modo Transmissão

Somente os dados são criptografados, não havendo mudança no tamanho

dos pacotes. Geralmente são soluções proprietárias, desenvolvidas por

fabricantes.

Modo Transporte

Somente os dados são criptografados, podendo haver mudança no

tamanho dos pacotes. É uma solução de segurança adequada, para

implementações onde os dados trafegam somente entre dois nós da

comunicação.

Modo Túnel Criptografado

Tanto os dados quanto o cabeçalho dos pacotes são criptografados, sendo

empacotados e transmitidos segundo um novo endereçamento IP, em um

túnel estabelecido entre o ponto de origem e de destino.

Modo Túnel Não Criptografado

Tanto os dados quanto o cabeçalho são empacotados e transmitidos

segundo um novo endereçamento IP, em um túnel estabelecido entre o

ponto de origem e destino. No entanto, cabeçalho e dados são mantidos tal

como gerados na origem, não garantindo a privacidade.

(http://www.gta.ufrj.br/seminarios/semin2002_1/Ivana/)

Para assegurar a integridade da informação, a confidencialidade e a

autenticação existe a criptografia, com esse conjunto de regras de codificação

busca-se que somente o emissor e o receptor tenham acesso aos dados

criptografados. Desde que surgiu até hoje, as técnicas de criptografia são

constantemente aperfeiçoadas, pois sempre existe alguém capaz de decifrar o

código e descobrir a informação.

Entre as técnicas mais conhecidas hoje, existe a técnica chamada chaves

criptográficas, que é um conjunto de bits em um determinado algoritmo que é capaz

de codificar e descodificar informações. Basicamente a técnica da chave é a

seguinte: por exemplo, uma chave de 8 bits gera 256 combinações distintas, que

seria 2 elevado a 8 bits. Nota-se que não é muito seguro uma chave de 8 bits, pois

seria fácil decifrá-la rapidamente. Então se adotou codificações de 256, 512 e até

25

1024 bits, calculando como o anterior seria 2 elevado a 1024 bits, e apenas uma

chave desse resultado de chaves geradas é a correta. Existem dois tipos de chaves

mais usadas atualmente, a simétrica e a assimétrica.

A chave simétrica é uma das chaves mais comuns, que envolve o emissor e

o receptor, são chaves exatamente iguais dos dois lados da comunicação, o que o

emissor codifica o receptor traduz, não importando qual envia e qual recebe.

A chave assimétrica utiliza duas chaves diferentes, uma chamada de chave

pública e a outra de chave privada. Uma somente codifica a mensagem e a outra a

traduz, diferentemente da chave simétrica que é capaz de codificar e traduzir numa

mesma chave. Assim a pública só é capaz de codificar a mensagem, sendo ela

sempre o emissor, e a privada somente capaz de traduzir, sendo ela o receptor.

A criptografia jamais será capaz de garantir absoluta integridade, por isso há

sempre inovações para a segurança das informações.

2.8 IPSEC

Segundo James Stanger (2002, p.375) os protocolos que garantem a

segurança de uma VPN, nada mais fazem do que criar um “envelope” entre os

servidores ou gateways que estão trocando informações. Esses protocolos foram

criados em cima do IP, assim são extremamente poderosos, pois podem fazer com

que protocolos desconhecidos sejam transmitidos através da Internet.

O IP é um protocolo eficiente e muito conhecido, por esse motivo tem suas

falhas exploradas com frequência, isso forçou com que as organizações que

definissem a Internet como meio de comunicação pensassem em um método para

garantir a privacidade, então o IP Security (IP Seguro) foi criado para garantir essa

privacidade acrescentando criptografia ao IP quando necessário.

O órgão responsável pelo conjunto de protocolos IPsec é o Internet

Engineering Task Force (IETF) que o referencia na RFC 2401, antiga, e na mais

atual RFC 4301. Vários equipamentos suportam o IPsec em suas conexões VPNs,

como, por exemplo, o Fortigate da Fortinet, que será usado nesse trabalho.

O IPsec age protegendo os pacotes da camada três, camada de rede do

modelo de referência OSI (Open System Interconnection, Interconexão de Sistemas

Abertos). A segurança na camada três é muito importante, pois ela é responsável

pelo endereçamento e pelo roteamento, por tanto, a segurança nessa camada

26

garante que tudo na rede está seguro.

Assim se pode afirmar que a segurança em camada três é mais eficaz do

que a segurança que oferece criptografia e autenticação em níveis mais altos. Por

exemplo, se for interceptada uma comunicação SSH (Secure Shell, Terminal

Seguro) protocolo que protege troca de dados entre dois aplicativos usando de

mecanismos na camada quatro, não é possível ler a informação trocada, porém é

possível ver quais portas estão sendo utilizadas para troca dessas informações,

assim quem faz a captura desses dados pode determinar facilmente qual serviço

está rodando. A captura é demonstrada na Figura 6.

No exemplo seguro, a Figura 7 mostra a captura de pacotes de uma sessão

IPsec, nela não é possível ter muitas informações, onde antes existia o número das

portas utilizadas na comunicação, existe agora apenas o cabeçalho Encapsulating

Security Payloa (ESP), o que faz as informações serem inúteis se capturadas por

alguém mal intencionado.

Figura 5 – Captura de pacotes de sessão SSH mostrando os dados da porta TCP

FONTE: STANGER, 2002, p.386.

27

Fica claro dessa maneira que o IPsec é diferente de outros protocolos de

criptografia baseados em aplicativos, pois ele atua encapsulando os dados na

camada três de forma que nenhuma informação de camadas superiores sejam

apresentadas, reduzindo significativamente as falhas de segurança.

2.8.1 Fases de negociação

O IPsec faz negociação em duas fases, fase 1 e fase 2.

A fase 1 é responsável pela conexão entre os IPs públicos de dois gateway

que iniciam uma negociação VPN, nessa fase os pares de clientes são identificados

e autenticam usando preshared Keys (chaves pré-compartilhadas) ou certificados

digitais, dependendo do gateway que é utilizado podem existir opções que

agreguem à essas opções ainda mais segurança.

Concluída a fase 1 do IPsec, inicia-se a negociação da fase 2, nessa fase

são definidos os algoritmos que serão usados para transferir dados para o restante

da sessão. Ao configurar uma fase 2, deve-se escolher qual fase 1 ela irá utilizar.

Em resumo, a fase 1 fecha a comunicação entre os gateways remotos e na

fase 2 é definida qual ou são definidas quais redes trafegaram na VPN estabelecida.

Figura 6 – Captura de pacotes da sessão IPsec

FONTE: STANGER, 2002, p.387

28

2.9 DISPONIBILIDADE E INDISPONIBILIDADE

De forma geral, disponibilidade é como uma garantia de que o serviço

esteve em execução durante o período analisado, e a indisponibilidade é o tempo

em que o serviço ficou fora, ou seja, falhou. O percentual dessas informações

depende inteiramente da disponibilidade de equipamentos da rede e da

disponibilidade de uma rede pública, quando utilizada. Claro que todos esperam que

a disponibilidade seja de 100%, mas isso não acontece. Buscando ter o maior

percentual de disponibilidade ou o menor percentual de indisponibilidade possível,

profissionais e empresas da área tem inovado em soluções práticas de para

redundância e contingência, capazes de identificar falhas e recuperar o serviço sem

perder qualidade exigida para o bom funcionamento da organização.

2.10 REDUNDANCIA E CONTINGÊNCIA

2.10.1 Redundância

A palavra redundância remete-se a uma ideia que se repete num termo

expressado anteriormente. Para redes o conceito não é diferente, a essência é a

mesma. Mudando para um pensamento técnico redundância significa que existe

sempre uma segunda opção para suprir a falha da primeira, ou seja, um dispositivo

secundário preparado, disponível e utilizável para que quando o dispositivo principal

falhar o secundário entre em ação e mantenha o funcionamento do ambiente, sem

que nada seja prejudicado. Por exemplo, em um ambiente com banco de dados,

existindo a redundância, deve-se ter a garantia que um dispositivo entrará no lugar

do outro sem que nenhuma informação seja perdida.

2.10.2 Contingência

Contingência é uma incerteza, ou pode-se dizer uma possibilidade de que

algo possa falhar ou não. Para que possa prevenir, ou até mesmo prever a falha

futuramente e impedir ou ter a solução rapidamente é criado um plano de

contingência. O plano de contingência é uma estratégia, pensada minuciosamente,

criando procedimentos alternativos para garantir o bom funcionamento do ambiente

para que se recupere sem que haja nenhum desastre.

29

2.10.3 Redundância X Contingência

Redundância é um fator que pode contribuir para a disponibilidade de uma

rede de computadores (PINHEIRO, 2004). Coloca-se, por exemplo, uma

comunicação entre empresas parceira que é muito importante para o negócio de

ambas, não podendo ficar inoperante, cria-se um segundo canal de comunicação

para que esse assuma o papel do canal principal caso esse falhe.

Quando se trata de um plano de contingência, está se tratando de um fato

futuro que pode acontecer, pode ser até uma situação pouco provável que aconteça,

mas essa deve ser levada em consideração quando se monta um plano de

contingência. Isso pode ser visto claramente quando uma empresa, por exemplo,

cria outro Centro de Processamento de Dados, para que possa substituir o seu

principal numa possível catástrofe em sua sede.

Embora redundância e planos de contingência sobrecarreguem o

funcionamento e o gerenciamento de uma rede, ambos são necessários

para evitar problemas futuros. A decisão sobre o grau de redundância ou

contingência que se deve adotar pode ser balizada por vários fatores, entre

eles: ambiente de funcionamento da rede, protocolos e sistemas utilizados e

importância da rede para o negócio da empresa.

(http://www.projetoderedes.com.br/artigos/artigo_conceitos_de_redundancia

.php).

Implantar ou não a redundância ou contingência em um ambiente depende

de vários fatores e quando implantada ainda sim se têm vários níveis que variam de

acordo com a criticidade envolvida. Se for viável investir em soluções dessa

natureza é uma decisão da diretoria da organização junto com o departamento de

informática traçando uma linha muito fina entre valor do investimento e importância

do recurso a ser colocado redundante.

30

3 CASO DE USO

3.1 HISTÓRIA

Esse conteúdo pode ser muito bem exposto de forma prática em uma

Indústria de Fertilizantes do estado do Paraná a Fertipar Fertilizantes do Paraná

Ltda, essa empresa possui unidades fabris e escritórios em várias localizações do

Brasil com sua matriz e também sede administrativa localizada em Curitiba-PR e

autorizou a exposição de um cenário vivido recentemente como case para esse

trabalho.

Será usado aqui o cenário da unidade da Fertipar em Canitar-SP, que fica à

375 km da capital São Paulo-SP e é chamada por Canitar dentro do Grupo Fertipar.

Após dois anos de uso do Fortigate 200B, produto da Fortinet, conforme

descrito no próximo tópico, em sua matriz, o Grupo optou por colocar o equipamento

da Fortinet também em suas unidades remotas, todas começaram a receber o

Fortigate e Canitar foi uma delas. Ao se colocar tal equipamento o principal intuito da

diretoria era de que, conforme os fornecedores da Fortinet vinham defendendo, seria

possível a conexão através de VPN e que essa conexão poderia ter uma

redundância que funcionasse de forma automática, isso é, quando o link principal

ficasse inoperante o secundário assumiria sem intervenção técnica alguma, foi feito

um estudo, visto que era possível e o resultado atendeu às expectativas da diretoria

do grupo. Serão mostrados a seguir os passos desse case de sucesso utilizando a

tecnologia VPN através do Fortigate da Fortinet.

3.2 EQUIPAMENTOS UTILIZADOS

Nesse caso de uso, foram utilizados dois equipamentos da Fortinet, empresa

estrangeira que abrange uma enorme gama de produtos relacionados à segurança e

desempenho de redes, equipamentos esses que fizeram a Fortinet ficar conhecida,

se trata da linha Fortigate.

Considerado como um dos principais responsáveis pelo sucesso da

Fortinet, o FortiGate™ oferece uma poderosa plataforma de segurança que

mistura alta performance e respostas a multiameaças, princípio das

soluções UTM. Adotando tecnologias inovadoras para rede, segurança e

31

análise de conteúdo, o FortGate™ integra um amplo conjunto de

tecnologias com Firewall, VPN, Antivírus, IPS, Filtro WEB, AntiSpam,

Controle de Aplicação, Otimização WAN, Inspeção de SSL e DLP.

(http://pbi.com.br/tecnologia/)

3.2.1 Fortigate 200B da Fortinet - Matriz

No ambiente Matriz, onde há uma grande centralização de sessões, por

conta dos acessos aos sistemas da empresa e demais serviços disponibilizados, foi

feito um levantamento por uma empresa especializada na solução da Fortinet e

concluído que, já contando com o crescimento da empresa nos próximos cinco anos,

o Fortigate mais indicado seria o modelo 200B, e realmente vem atendendo as

necessidades da empresa até o presente momento. A seguir serão apresentadas

algumas informações técnicas relacionadas ao Fortigate 200B da Fortinet.

Segundo informações disponibilizadas pela Fortinet no datasheet do

Fortigate 200B, ele possui as características apresentadas nas figuras a seguir.

Figura 7 – Datasheet Fortigate 200B – parte 1

FONTE: FORTINET INC, 2011. Disponível em: <http://www.fortinet.com/sites/default/files/productdatasheets/FGT200B_DS.pdf>

32

3.2.2 Fortigate 60C da Fortinet - Canitar

Ao se tratar do ambiente na unidade de Canitar, onde a quantidade de

acessos ao Fortigate seria em torno de menos de 10% do que na matriz, foi feito o

mesmo estudo feito na matriz antes da compra do equipamento e constatado que o

equipamento que atenderia a unidade além do que era necessário, até porque a

estimativa de crescimento dessa unidade é bem baixa, seria o Fortigate 60C, modelo

inferior ao 200B. Com relação ao Fortigate 60C, serão apresentadas as suas

características a seguir em duas imagens, são informações oficias do fabricante

Fortinet.

Figura 8 – Datasheet Fortigate 200B – parte 2

FONTE: FORTINET INC, 2011. Disponível em: <http://www.fortinet.com/sites/default/files/productdatasheets/FGT200B_DS.pdf>

33

Figura 9 – Datasheet Fortigate 60C – parte 1

Figura 10 – Datasheet Fortigate 60C – parte 2

FONTE: FORTINET INC, 2014. Disponível em: <http://www.fortinet.com/sites/default/files/productdatasheets/FortiGate-60C.pdf>

FONTE: FORTINET INC, 2014. Disponível em: <http://www.fortinet.com/sites/default/files/productdatasheets/FortiGate-60C.pdf>

34

3.3 PREMISSAS PARA COMUNICAÇÃO

Para que se dê a comunicação, inicialmente é necessário ter pelo menos um

link WAN em cada ponta e os equipamentos que serão utilizados como gateways

VPN.

Na matriz existem duas redes as quais precisam ser acessadas pela

unidade de Canitar para que a unidade fique operante com acesso a todos os

serviços.

Em Canitar existe apenas uma rede que trocará dados com as duas redes

da matriz em Curitiba.

Existem dois links WAN de Internet na matriz e também dois links de Internet

na unidade de Canitar.

Na matriz, o gateway VPN será o Fortigate 200B e em Canitar será usado o

Fortigate 60C.

Com essas premissas já é possível fechar a comunicação redundante entre

as unidades, o processo será detalhado ao longo dos próximos capítulos.

3.4 LINK DE INTERNET A SER UTILIZADO

Os links de Internet na matriz são links de operadoras diferentes, que

chegam através de caminhos e meios físicos diferentes e são links corporativos

dedicados que oferecem uma range de IPs públicos (o tópico 2.5 desse trabalho fala

sobre o link dedicado) os quais podem ser usados pela empresa da maneira que ela

desejar, seja para disponibilizar serviços na web ou para fazer comunicações ponto-

a-ponto ou as duas coisas.

Na unidade de Canitar, da mesma forma, os links são corporativos, com IP

público fixo e chegam através de meios físicos distintos.

É importante citar que para fechar essa VPN entre os Fortigates é essencial

que para as duas pontas o plano de Internet seja esse que oferece pelo menos um

IP público fixo.

A forma com que as operadoras entregam esses links não será detalhada,

pois vai além do escopo desse trabalho, é importante saber que eles precisam

chegar por caminhos e meios físicos diferentes por causa da redundância, pois se

eles chegam pelo mesmo meio e uma falha física acontece, o link primário quanto e

35

o secundário ficarão inoperantes ao mesmo tempo, é preciso evitar esse evento.

3.5 DADOS TÉCNICOS PERTINENTES

3.5.1 Configurações fornecidas pelas Operadoras

Para dar inicio a parte técnica, se têm em mãos os dados de IP, mascará e

gateway, são esses dados de configurações fornecidos pelas operadoras que

fornecem o serviço de Internet, por uma questão de segurança e privacidade da

empresa, nos endereços IPs públicos será usada a letra “X” para representar os

números do meio do IP, exemplo: 200.xxx.xxx.69.

Na Tabela 1 consta os dados fornecidos pela Operadora 1 e Operadora 2 da

matriz em Curitiba-PR.

Tabela 1 – Dados das operadoras da matriz

MATRIZ

OPERADORA 1

ENDEREÇO IP MÁSCARA DE SUB-REDE GATEWAY

200.xxx.xxx.69 255.255.255.128 200.xxx.xxx.1

OPERADORA 2


200.xxx.xxx.186 255.255.255.248 200.xxx.xxx.185

FONTE: O próprio autor

Na Tabela 2 estão os dados fornecidos pela Operadora 1 e Operadora 2 da

unidade de Canitar.

Tabela 2 – Dados das operadoras de Canitar

CANITAR

OPERADORA 1


189.xxx.xxx.18 255.255.255.240 189.xxx.xxx.17

OPERADORA 2


191.xxx.xxx.26 255.255.255.252 191.xxx.xxx.25


36

3.5.2 Redes locais que precisam se comunicar

O principal intuito da VPN é estabelecer a comunicação segura entre redes

locais, neste tópico será descrito quais serão essas redes que precisaram se

conversar para que a produção flua como deve na unidade de Canitar.

Na Tabela 3 estão listadas as redes existentes na matriz.

Tabela 3 – LANs da Matriz

MATRIZ

NOME REDE MÁSCARA DE SUB-REDE

DMZ 192.168.131.0 255.255.255.0

LAN 192.168.141.0 255.255.255.0


E na Tabela 4 a única rede que existe em Canitar.

Tabela 4 – LAN de Canitar

CANITAR

NOME REDE MÁSCARA DE SUB-REDE

LAN 192.168.142.0 255.255.255.0


3.6 CONFIGURANDO O FORTIGATE

3.6.1 Interfaces recebem as configurações

Com os dados necessários já informados, inicia-se a configuração do

gateway VPN, o Fortigate 200B na matriz em Curitiba será feito primeiro, logo em

seguida será configurado o Fortigate 60C da unidade de Canitar.

Os dados fornecidos pela Operadora 1 e pela Operadora 2 foram

configurados nas interfaces físicas do Fortigate 200B conforme mostram a Figura 11

e a Figura 12:

37

Em Canitar também foram configuradas as interfaces de acordo com o que

as Operadoras 1 e 2 passaram, conforme Figuras 13 e 14 a seguir:

Figura 11 – Configuração porta: port14 do Fortigate 200B da Matriz - Operadora 1

Figura 12 – Configuração porta: port15 do Fortigate 200B da Matriz - Operadora 2

FONTE: Captura de Tela do Fortigate 200B da Fertipar Curitiba-PR


38

Após a configuração nos dois equipamentos, as interfaces ficaram conforme

mostrado na Tabela 5.

Figura 13 – Configuração porta wan1 do Fortigate 60C de Canitar - Operadora 1

Figura 14 – Configuração porta wan2 do Fortigate 60C de Canitar - Operadora 2

FONTE: Captura de Tela do Fortigate 60C da Fertipar Canitar-SP


39

Tabela 5 – Interfaces de conexão com a Internet dos dois Fortigates após configuração

MATRIZ - FORTIGATE 200B

PORTA: port14

ENDEREÇO IP MÁSCARA DE SUB-REDE GATEWAY OPERADORA

200.xxx.xxx.69 255.255.255.128 200.xxx.xxx.1 1

PORTA: port15


200.xxx.xxx.186 255.255.255.248 200.xxx.xxx.185 2

CANITAR - FORTIGATE 60C

PORTA: wan1


189.xxx.xxx.18 255.255.255.240 189.xxx.xxx.17 1

PORTA: wan2


191.xxx.xxx.26 255.255.255.252 191.xxx.xxx.25 2


As configurações das interfaces podem ser validadas fazendo alguns testes

de conectividade com o comando ping.

A Figura 15 mostra o resultado do comando ping que tem como origem o

Fortigate 200B da Matriz na porta port14 e como destino o Fortigate 60C da unidade

de Canitar nas portas wan1 e wan2.

Figura 15 – Resultado positivo no ping originado do Fortigate 200B tendo como destino o Fortigate

60C


40

3.6.2 Configuração da VPN pela Operadora 1 no Fortigate 200B – Matriz

Após as interfaces terem recebido as devidas configurações, é possível

iniciar o processo de configuração da VPN no Fortigate, para realizar essa

configuração será seguida a seguinte ordem: Configuração de VPN IPsec Phase 1 e

Phase 2 no Fortigate 200B na Matriz em Curitiba-PR e depois configuração de VPN

IPsec Phase 1 e Phase 2 no Fortigate 60 na unidade de Canitar.

No Fortigate 200B menu “VPN” e depois a opção “IPsec”, conforme nos

mostra a Figura 17.

Figura 16 – Resultado positivo no ping originado do Fortigate 60C tendo como destino o Fortigate 200B

Figura 17 – Menu de configuração de VPN – Fortigate 200B



41

Ao lado direito da imagem, Figura 18, foram ocultadas algumas informações,

pois o Fortigate 200B está em produção na Matriz da Fertipar e por isso existem

outras VPNs configuradas. Para iniciar uma nova VPN é necessário clicar no botão

“Create Phase 1” que levará a tela que aparece na Figura 18.

Essa configuração é simples de ser feita, porém cada um desses campos

tem uma complexidade relacionada ao funcionamento do IPsec, esse funcionamento

já foi descrito na parte conceitual do trabalho, a Tabela 6 que vem a seguir ajudará

no entendimento de cada campo e no seu preenchimento.

Figura 18 – Tela de configuração da Phase 1 do IPsec. – Fortigate 200B


42

Tabela 6 – Campos para criação da Phase 1

CAMPOS COMO PREENCHER

Name CANITAR_OP1

Comments VPN entre a OP1 da matriz e a OP1 de Canitar

Remote Gateway Static IP Address

IP Address 189.xxx.xxx.18

Local Interface port14

Mode Main

Autentication Method PreShared Key

Pre-shared Key 123456


Accept any peer ID

IKE version 1

Mode config não marcar

Local Gateway IP Main interface IP


1 Encryption 3DES

2 Encryption AES128

1 Authentication SHA1


Dh Group 5

Key Life 28800

Local ID -

XAUTH disable

Nat tranversal enabled

Keep Alive frequence 10 sec

Dead Peer Detection enabled


43

Após a configuração realizada, os campos que realmente foram alterados,

são os destacados na Figura 19 supracitada.

O botão “OK” fará com que as configurações sejam salvas e levará a tela

inicial conforme mostrado na Figura 21, o nome da Phase 1 - CANITAR_OP1, a

porta por onde se comunicará essa VPN - port14 e a referência, essa referência

nada mais é que a quantidade de Phase 2 que pertencem a essa Phase 1, por

enquanto o valor é 0 por que ainda não foi criada nenhuma Phase 2 para essa

Phase 1.

Figura 19 – Tela de configuração da Phase 1 do IPsec já preenchida - Fortigate 200B

Figura 20 – A Phase 1 criada aparece na lista de VPNs – Fortigate 200B



44

Terminada a Phase 1, inicia-se a configuração da Phase 2 clicando no botão

“Create Phase 2”, esse botão irá abrir uma tela de configuração conforme mostrada

na Figura 21.

Nessa tela, será necessário colocar o nome da Phase 2 e selecionar a

Phase 1 a qual ela irá pertencer, logo abaixo existe um botão "Advanced” e é nele

que serão feitas as principais configurações da Phase 2. A Figura 22 mostra como

fazer.

O nome dado a essa Phase 2 foi CANITAR_OP1_LAN, esse nome pode

sérum nome qualquer, nesse caso foi criado assim por uma questão de organização.

No campo Phase 1, ao clicar em “Static IP Address” abrirá uma lista suspensa onde

deve ser escolhida a Phase 1 desejada, no caso em questão é Canitar_OP1.

Os campos que aparecerão após clicar no botão “Advanced” são esses

mostrados na próxima figura a Figura 23.

Figura 21 – Tela de configuração de Phase 2 ainda zerada

Figura 22 – Tela de configuração de Phase 2 com o nome e a Phase 1 selecionada – Foritgate 200B



45

Os campos referentes à criptografia e autenticação são semelhantes ao da

Phase 1 e tem mesma função, de qualquer forma, na Tabela 7 logo abaixo será

colocado cada campo com uma breve descrição de sua função.

Figura 23 – Campos avançados de configuração da Phase 2 – Fortigate 200B


46

Tabela 7 – Campos para criação da Phase 2


Name CANITAR_OP1_LAN

Comments VPN entre a OP1 da matriz e a OP1 de Canitar

Phase 1 CANITAR_OP1


1 Encryption 3DES

2 Encryption AES128



Enabled replay detection

Marcar

Enabled perfect forward secrecy

Marcar

Local ID -

DH Group 5

Keylife 1800

Auto Keep Alive Marcar

Auto Negotiate Não marcar

Source Address Specify: 192.168.141.0/255.255.255.0

Select:

Source port 0

Destination Address Specify: 192.168.142.0/255.255.255.0

Select:

Destination port 0

Protocol 0


Após preenchidos os campos, clicando no botão “OK” as configurações

serão salvas e a tela se fechará voltando à tela inicial de VPN IPsec conforme

mostram as Figuras 24 e 25.

47

Como é necessário criar uma Phase 2 para cada comunicação entre redes e

Figura 25 – Phase 2 com a configuração completa

Figura 24 – Tela inicial de VPNs mostrando a Phase 1 (Canitar_OP1) e dentro dela a Phase 2

(CANITAR_OP_LAN)



48

já foi criada uma para comunicação entre LAN MATRIZ e LAN CANITAR, deve ser

criada agora uma Phase 2 para comunicação entre DMZ MATRIZ e LAN CANITAR.

A maneira de se criar é a mesma, porém o campo “Source Address” na tela

de configurção da Phase 2, será a rede correspondente a DMZ da Matriz,

192.168.131.0/24, conforme a Figura 27 abaixo.

Com isso está encerrada a configuração da VPN no Fortigate 200B da

Matriz, Figura 26, em seguida será realizada a configuração da VPN no Fortigate

60C da unidade de Canitar.



Figura 26 – Phase 2 criada com a rede DMZ da Matriz como Source

Figura 27 – Configuração da VPN através da Operadora 1 no Fortigate 200B finalizada

49

3.6.3 Configuração da VPN pela Operadora 1 no Fortigate 60C – Canitar

Da mesma forma que na Matriz, em Canitar já foram configuradas as

interfaces que se comunicam com os links de Internet, assim sendo, a VPN nessa

unidade, no Fortigate 60C pode ser configurada.

Para a configuração, acessar o Fortigate 60Cno menu “VPN” opção “IPsec –

Auto Key IKE” a tela de inicio da configuração de VPNs será exibida.

Clicar no botão “Create Phase 1” e a tela a seguir será exibida.



Figura 28 – Menu de configuração de VPN – Fortigate 60C

Figura 29 - Tela de configuração da Phase 1 do IPsec. – Fortigate 60C

50

Os campos são os mesmos descritos na Tabela 6, porém os campos Name,

IP Address e Local Interface terão que ser diferentes conforme mostrado a seguir na

Figura 31.

Como na configuração da Phase 1 na VPN da Matriz, aqui também foi

colocado o nome Matriz_OP1 para uma questão de organização, porém esse nome

poderia ser qualquer outro nome. No campo Local Interface foi escolhida a interface

wan1 onde está conectada a Operadora 1. O campo Pre Shared Key foi preenchido

com a mesma chave colocada na configuração da Phase 1 do Fortigate 200B.

Após clicar no botão OK a Phase 1 já aparecerána tela de inicio.

A partir dessa etapa, se pode criar a Phase 2, clicando no botão Create

Phase 2 será exibida a tela de configuração da Phase 2. A tela é identica a que

aparece na Figura 23 mostrada anteriormente.

Figura 30 – Tela de configuração da Phase 1 do IPsec já preenchida - Fortigate 60C

Figura 31 – A Phase 1 criada aparece na tela de inicio – Fortigate 60C



51

Pode-se inserir as informações seguindo a mesma lógica ao fazer a Phase 2

no Fortigate 200B. Dessa forma o nome da Phase 2 referente a comunicação LAN

de Canitar e LAN da Matriz ficará MATRIZ_OP1_LAN.

Clicando em avançado será exibida a parte da configuração de criptografia e

autenticação, bem como, das redes de origem e destino que se conversarão, veja na

tela a seguir na Figura 33:

Figura 32 – Tela de configuração de Phase 2 com o nome e a Phase 1 selecionada – Foritgate 60C

Figura 33 – Campos avançados de configuração da Phase 2 – Fortigate 200B



52

A configuração dessa etapa pode ser baseada na Tabela 7, porém se deve

atentar para o Source Address e o Destination Address que serão diferentes, agora

a origem é a LAN de Canitar e o o destino a LAN da Matriz, como na próxima figura,

a Figura 34.

Após essa configuração, ao clicar em “OK” já é possível ver a Phase 1 e 2

listadas na tela inicial de configuração VPN. A Figura 35 mostra essa tela.

Figura 34 – Configuração avançada da Phase 2 - Fortigate 60C


53

Como feito na Matriz com o Fortigate 200B, na unidade de Canitar no

Fortigate 60C também é necessário a criação de outra Phase 2 além dessa foi

configurada a pouco, essa segunda Phase 2 terá como origem a LAN de Canitar e

como destino a rede DMZ da Matriz.

A criação é idêntica a forma como foi criada a primeira Phase 2, apenas é

necessário alterar o Destination Address para rede DMZ que é a 192.168.131.0/24.

As duas figuras a seguir, 36 e 37, mostram como ficarão a tela de

configuração avançada da Phase 2 e como ficará a tela inicial do menu VPN, após

clicar em OK e salvar a configuração.

Figura 35 – Tela que mostra Phase 1 e a primeira Phase 2

Figura 36 – Configuração da segunda Phase 2 alterando o destino



54

As configurações realizadas até esse momento, fazem referência a VPN

IPsec, usando a Operadora 1 das duas pontas para fechar a comunicação. Foi

criada uma Phase 1 em cada unidade e criadas duas Phase 2 em cada unidade

também.

3.6.4 VPN pela Operadora 2

As configurações relacionadas à configuração da VPN pela Operadora 2 de

cada unidade, é realizada exatamente da mesma maneira descrita nos tópicos 3.6.2

e 3.6.3, dessa forma, será abordado no próximo tópico a questão das politicas de

Firewall necessárias para que possa haver comunicação através dessas VPNs, pois

somente criá-las não é o suficiente para que estejam ativas e funcionais.

Até esse estágio da configuração em ambas as pontas, a tela onde são

monitoradas as VPNs, tem que estar mostrando-as da forma que aparecem nas

Figuras 38 e 39 apresentadas a seguir:

Figura 37 – Finalziada a configuração da VPN no Fortigate 60C


55

Conforme mostram as imagens acima, as VPNs foram criadas, com os IPs

das duas Operadoras nas duas pontas e para cada VPN foram criadas duas Phase

2, que são para troca de informações entre LAN-LAN e LAN-DMZ. É possível

observar também, que as VPNs não estão UP, pois à sua frente está habilitado o

botão Bring up que quer dizer levantar, isso porque além das configurações feitas

até o presente tópico, são necessárias algumas outras configurações que serão

descritas a seguir.

3.6.5 Políticas de Firewall

Após se concluir a configuração das VPNs, pode-se observar que são

criadas subinterfaces do tipo túnel dentro das interfaces de WAN conforme a porta

escolhida no momento da criação da Phase 1, a Figura 40 destaca as subinterfaces

geradas dentro de cada porta WAN no Fortigate 200B na Matriz.

Figura 38 – VPNs criadas na Matriz

Figura 39 – VPNs criadas em Canitar



56

Da mesma forma acontece no Fortigate 60C da unidade de Canitar, pode-se

observar da mesma maneira na Figura 41 logo a diante.

Dessa forma, quando a VPN tenta se comunicar com a rede LAN através da

VPN, ela não consegue se estabelecer, pois o Firewall do Fortigate bloqueia esse

tipo de acesso uma vez que está vindo de fora da rede local, para dentro, nas

figuras a seguir, pode-se ver como ficaram depois de configuradas as políticas de

cada um dos equipamentos.

Ao ver as Figuras 42 e 43 se pode ter uma visão geral da configuração de

firewall que possibilitou o funcionamento das VPNs.

Figura 40 – Subinterfaces do tipo "túnel" - Matriz

Figura 41 – Subinterfaces do tipo "túnel" - Canitar



57

As políticas acima mostradas representam respectivamente a seguinte

lógica: As duas primeiras estão liberando o acesso do túnel Canitar_OP1 para a

DMZ e para LAN da matriz. As outras duas regras seguintes têm a mesma função,

porém com o túnel Canitar_OP2. Logo abaixo as últimas quatro regras liberam o

acesso tanto da DMZ como da LAN para os dois túneis, Canitar_OP1 e

Canitar_OP2. Acontece dessa forma pelo motivo de que a matriz tem duas redes

como origem/destino.

De forma semelhante trabalham as políticas de firewall no Fortigate 60C em

Canitar, com a diferença que Canitar tem apenas uma rede a ser contatada através

da VPN, tornando a configuração um pra um, então na Figura 43 é mostrado: Nas

duas primeiras políticas o acesso com origem da rede interna tem acesso liberado

aos túneis Matriz_OP1 e Matriz_OP2 e nas últimas duas políticas, os túneis

Matriz_OP1 e Matriz_OP2 têm o acesso liberado para o acesso à rede local de

Canitar.

Figura 43 – Políticas de Firewall do Fortigate 200B

Figura 42 – Políticas de Firewall do Fortigate 60C



58

A seguir, na Figura 44, uma tela de exemplo de criação de uma das

políticas.

Nessa política está se dizendo que tudo que vier da interface (túnel)

Canitar_OP1 de todos os endereços e tenha como destino a interface port16(dmz)

para todos os endereços, com horário e dia livres, acessando todos os serviços, será

aceito.

Após criar as políticas de firewall conforme descrito nesse tópico, será

possível estabelecer a VPN como é possível ver nas Figuras 45 e 46 a seguir.

Figura 44 – Configurando política de Firewall


59

As VPNs estão estabelecidas, porém não é possível que ocorra tráfego

através delas, pois não há rotas que encaminhem pacotes utilizando-as. Será

necessário configurar as rotas para que seja definido por onde os pacotes serão

encaminhados, qual a VPN será primária e como a secundária assumirá em caso de

falha, esses assuntos serão abordados no tópico a seguir.

3.7 ROTEAMENTO NO FORTIGATE

O canal de comunicação já está estabelecido, assim sendo as redes

configuradas na Phase 2 das VPNs podem trafegar por esse canal, mas para que

haja esse tráfego, é necessário que o gateway VPN receba as informações de que

deve encaminhar pacotes destinados a determinada rede pelo túnel especificado, a

configuração das rotas estáticas em cada gateway fará com que sejam feitos os

encaminhamentos corretos para os túneis. Como existe mais de um caminho, pois

são dois túneis, será necessário trabalhar isso através do roteamento de forma que

Figura 45 – VPNs estabelecidas - Fortigate 200B

Figura 46 – VPNs estabelecidas - Fortigate 60C



60

um fique como redundância do outro, o roteamento estático do Fortigate trabalhado

em propriedades de distância e prioridades fará com que essa redundância funcione

de forma automática, de forma que o tráfego seja redirecionado para o link

secundário sem a intervenção de um especialista.

Na área de configuração de rotas do Fortigate, existem seis campos que

estão explicados a seguir na Figura 47.

Para a configuração do ambiente redundante da Fertipar (Curitiba x Canitar)

é necessário conhecer as redes que se comunicarão, conforme descrito nos

capítulos anteriores. Conhecendo essas redes é possível montar a tabela de

roteamento responsável pelo encaminhamento de pacotes para as VPNs.

Nesse primeiro momento serão apenas criadas todas as rotas necessárias

nos dois gateways e em seguida serão feitos os ajustes com relação a distancia e

prioridade que são as métricas que gerem o trabalho da tabela de roteamento.

No Fortigate 200B, Fertipar Curitba, serão necessárias duas rotas, conforme

descritas na Tabela 8.

Tabela 8 – Rotas Fortigate 200B

IP/MASK GATEWAY DEVICE DISTANCE PRIORITY COMMENT

192.168.142.0/255.255.255.0 - Canitar_OP1 10 0 Rota para chegar em CANITAR pela

VPN OP1


VPN OP2


Figura 47 – Campos para criação de rotas estáticas


61

Para inserir essas configurações no Fortigate, acessa-se o menu “Router” na

opção “Static Router” e no canto superior esquerdo clicar no botão “Create New”

conforme mostrado na Figura 48.

A tela de configuração vai aparecer e nela serão inseridas informações com

relação à primeira rota, a rota que sai pela VPN da OP1, device Canitar_OP1. A

Figura 49 a seguir mostra essa configuração.

O campo Destination IP/Mask foi omitido em partes por uma questão de

tamanho, porém o conteúdo é o mesmo que está na Tabela 9.

Após criar a primeira rota, o processo será repetido para criar a rota

seguinte, as configurações da segunda rota são mostradas abaixo na Figura 50.

Figura 48 – Tela de Rotas estáticas


Figura 49 – Criação de rota estática


62

Terminada essa etapa, serão mostradas as rotas criadas da maneira que

está na Figura 51. (Foi feito um filtro para que fossem mostras apenas as rotas para

Canitar, pois o Fortigate 200B).

A configuração é realizada da mesma maneira no Fortigate 60C de Canitar,

os dados das rotas que estarão em Canitar estão descritas na Tabela 9 e depois de

inseridas, sem alterar distância e prioridade padrão, aparecem na tabela de rotas

conforme mostrado na Figura 52.

Tabela 9 – Rotas estáticas Fortigate 60C


192.168.141.0/255.255.255.0 - Matriz_OP1 10 0 -

192.168.141.0/255.255.255.0 - Matriz_OP2 10 0 -

192.168.131.0/255.255.255.0 - Matriz_OP1 10 0 -

192.168.131.0/255.255.255.0 - Matriz_OP2 10 0 -


Figura 50 – Criação de rota estática

Figura 51 – Rotas estáticas criadas



63

Foram incluídas todas as rotas necessárias para a comunicação pelas duas

VPNs, porém a distância e a prioridade das rotas estão com o valor padrão, para

que as rotas trabalhem de maneira correta, respeitando que a VPN da Operadora 1

é a prioritária e a da Operadora 2 é a secundária, é necessário configurar as

distâncias e prioridades da forma como é mostrada na tabela 11.

Tabela 10 – Campos de rotas dos Fortigates

MATRIZ – FORTIGATE 200B



VPN OP1


VPN OP2

CANTIAR – FORTIGATE 200C


192.168.141.0/255.255.255.0 - Matriz_OP1 1 1 -

192.168.141.0/255.255.255.0 - Matriz_OP2 1 2 -

192.168.131.0/255.255.255.0 - Matriz_OP1 1 1 -

192.168.131.0/255.255.255.0 - Matriz_OP2 1 2 -


Pode-se observar que as distâncias são todas iguais nos dois gateways,

dessa forma o caminho será definido de acordo com a prioridade de cada rota,

quanto menor for o valor numérico do campo Priority mais alta será a prioridade, por

exemplo, uma rota de prioridade 5 prevalece sobre uma rota com prioridade 15,

assim se existem três rotas com a mesma rede de destino, com distância 1 em todas

elas e prioridades 5, 10 e 15, se a rota com prioridade 5 ficar indisponível, a rota de

prioridade 10 será a rota utilizada para o encaminhamento de pacotes para a rede

de destino, se a rota 10 também ficar indisponível, então os pacotes passam a ser

encaminhado pela rota 15 e assim sucessivamente.

Figura 52 – Rotas estáticas criadas


64

Dessa forma então, a tabela de rotas do Fortigate ao identificar que o Device

(nesse caso a VPN) correspondente à rota não está mais disponível, deixa de usar

essa rota para encaminhar pacotes e procura por uma rota para a mesma rede de

destino da rota que foi retirada, se existir outra rota, essa passará a ser usada para

encaminhar pacotes à rede de destino, se não existir outra rota, a rede de destino da

rota que deixou de ser usada ficará inacessível. Qual o Device volta a ficar

disponível, o tráfego é novamente redirecionado para a rota anterior, pois ela tem

menor prioridade. A prioridade é uma forma de fazer com que as rotas estáticas

possam coexistir na tabela de roteamento.

O roteamento é a última etapa da configuração do ambiente, com essa

etapa concluída o ambiente está pronto para funcionar com a redundância atuando

de forma automática.

3.8 TESTES

Os testes e seus resultados apresentados nesse tópico, assim como toda a

configuração anterior, foram realizados a partir do ambiente de produção da Fertipar

de Curitiba, mas como o ambiente está em produção não foi possível deixar os

serviços das operadoras da matriz indisponíveis. Esses testes mostram a

redundância funcionando em caso de falha de comunicação na Operadora 1 e na

Operadora 2 na unidade de Canitar e ilustram como a tabela de roteamento age em

virtude dessas falhas tornando o ambiente redundante se tratando de comunicação

através de VPNs. Antes de iniciar os testes, a Figura 53 mostra o ambiente de

Canitar com as duas operadoras funcionando.

65

Na imagem supracitada pode-se observar o ambiente com todas as VPNs

ativas (menu VPN, Monitor, IPsec Monitor), todas as rotas necessárias na tabela de

roteamento (menu Router, Monitor, Routing Monitor) e um comando ping da matriz

para Canitar respondendo perfeitamente.

3.8.1 Indisponibilidade da Operadora 1 de Canitar

As rotas que foram configuradas na etapa anterior, aparecem no Fortigate

em um monitor que mostram as rotas que estão ativas na tabela de roteamento, não

necessariamente uma rota criada terá que aparecer na tabela de roteamento ativa,

no momento em que uma VPN fica com status Bring Up, ela está indisponível e o

Fortigate irá retirar toda e qualquer rota que tiver como Device essa VPN.

Para o teste ficar o mais próximo possível do real, um colaborador da

unidade de Canitar foi orientado a retirar o cabo da interface wan1, que é a interface

que recebe o link de Internet da Operadora 1, e na Figura 54 pode-se observar os

resultados.

Figura 53 – Teste – Operadora 1 e 2 sem falhas

FONTE: Captura de Tela estação de trabalho Fertipar Curitiba-PR

66

Quando há indisponibilidade na Operadora 1 na unidade de Canitar, a VPN

é o primeiro recurso que falha, logo se não há VPN a rota que direcionava o tráfego

para ela é desconsiderada pelo Fortigate e a rota de próxima prioridade prevalece,

no monitoramento de rotas apenas a rota da VPN ativa é mostrada. Todo esse

processo leva em torno de cinco segundos, como mostra a imagem acima. A

redundância está em produção e funcionando.

3.8.2 Comunicação Operadora 1 de Canitar reestabelecida

Ao reestabelecer a comunicação com a Operadora 1 em Canitar, o Fortigate

reestabelece a VPN que utilizado do serviço, atualiza a tabela de roteamento, relê as

prioridade e identifica que a rota que encaminha pacotes à VPN da Operadora 1 é a

principal, assim volta a transmitir pela VPN da Operadora 1 com perda de apenas

um pacote na resposta do ping. A Figura 55 mostra tudo isso a seguir.

Figura 54 – Teste – Operadora 1 indisponível


67

3.8.3 Falhas na Operadora 2 de Canitar

A falha na comunicação da Operadora 2 é quase que imperceptível, pois o

tráfego está assando pela VPN da Operadora 1, quando a Operadora 2 fica

indisponível, as mesmas coisas acontecem, a VPN fica Down, a rota sai do monitor

de rotas, porém a resposta do ping não é alterada. Da mesma forma acontece

quando a comunicação é reestabelecida, a VPN volta a subir, a rota volta a aparecer

no monitor de rotas e o resultado do ping continua o mesmo.

É importante ter uma forma de monitorar os links para que não aconteça, por

exemplo, de o principal ficar inoperante e o secundário já estava indisponível há

algum tempo, dessa forma não haverá como a redundância funcionar. Existem

protocolos de monitoramento para esse tipo de caso, esse assunto vai além do

escopo desse trabalho e não será abordado.

Figura 55 – Teste – Operadora 1 reestabelece


68

4 CONCLUSÃO

A proposta no inicio desse trabalho era de levar ao conhecimento do leitor o

fato de que é possível ter comunicação de qualidade e com segurança usando a

Internet, ao tratar da Internet para o ambiente coorporativo foi colocado em foco a

questão da disponibilidade, então a redundância desse canal de comunicação seria

essencial. Para unir qualidade, segurança e redundância, o trabalho foi elaborado

com base nas características de equipamentos da Fortinet, com informações de um

caso de uso cedidas pela Fertipar Fertilizantes.

Assim, finalizando esse trabalho, é possível afirmar que no que diz respeito

aos objetivos desse trabalho, todos foram alcançados, foram mostrados alguns

conceitos relacionados ao caso de uso apresentado, nesse caso de uso

apresentado, a história inicial do ambiente foi apresentada, bem como, o que

motivou àquela empresa a implantar tal solução. Todas as configurações foram

mostradas, desde o início até a redundância funcionando em produção inclusive

com testes e os resultados esperados conforme início do projeto. Resultados esses

que foram satisfatórios para o ambiente da Fertipar e poderão servir de parâmetro

para outras empresa e profissionais do ramo que cogitam fazer algo semelhante

utilizando os equipamentos da Fortinet aqui citados.

Foram encontradas algumas dificuldades no percurso desse trabalho com

relação à coleta de evidências, pois o ambiente está em produção e qualquer coisa

feita da maneira errada poderia comprometer o bom funcionamento do ambiente.

Para enriquecer esse assunto, como um trabalho futuro, pode-se elaborar

um estudo aprofundado sobre IPsec, roteamento, protocolos de monitoramento,

assuntos que esse trabalho não abordou detalhadamente.

69

REFERÊNCIAS

CARNEIRO, P.; VAZ, R. LAN, MAN, WAN.Redes de Computadores, 2004. Disponível em: <http://redescomputadores.no.sapo.pt/lanmanwan.htm> Acesso em: 27 nov. 2014 CERT.BR, Equipe. Segurança de Redes. cert.br, 2012. Disponível em: <http://cartilha.cert.br/redes/> Acesso em: 27 nov. 2014 CISCO SYSTEMS, INC. VPN. Disponível em: <http://www.cisco.com/web/BR/solucoes/pt_br/vpn/index.html> Acesso em: 28 nov. 2014 CONCEITO de plano de contingência, 2011. Disponível em: <http://conceito.de/plano-de-contingencia> Acesso em: 11 dez 2014 DMZ, 2014. Disponível em: <http://pt.wikipedia.org/wiki/DMZ_%28computa%C3%A7%C3%A3o%29> Acesso em: 04 dez 2014 FORTINET. Disponível em: <http://pbi.com.br/tecnologia/> Acesso em: 05 dez. 2014 FORTINET INC, 2011. Disponível em: <http://www.fortinet.com/sites/default/files/productdatasheets/FGT200B_DS.pdf> Acesso em: 27 nov. 2014 FORTINET INC, 2014. Disponível em: <http://docs.fortinet.com/uploaded/files/1086/fortigate-ipsec.pdf> Acesso em: 27 nov. 2014 FORTINET INC, 2014. Disponível em: <http://www.fortinet.com/sites/default/files/productdatasheets/FortiGate-60C.pdf> Acesso em: 27 nov. 2014 GUIMARÃES, A. G.; LINS, R. D.; OLIVEIRA, R. Segurança com Redes Privadas Virtuais - VPNs. Rio de Janeiro - RJ: Sergio Martins de Oliveira, 2006. 210p. Disponível em: <http://books.google.com.br/books?id=NCvZWZ4NIbkC&printsec=frontcover&hl=pt-BR&source=gbs_ge_summary_r&cad=0#v=onepage&q&f=false> Acesso em: 28 nov. 2014 IESDE BRASIL S.A. Redes de Computadores. Disponível em: <http://concursospublicos.uol.com.br/aprovaconcursos/demo_aprova_concursos/informatica_para_concursos_09.pdf> Acesso em: 27 nov. 2014 MIRANDA, I. C. VPN - Virtual Private Network. GTA/UFRJ. Disponível em: <http://www.gta.ufrj.br/seminarios/semin2002_1/Ivana/> Acesso em: 28 nov. 2014 MORIMOTO, C. E. Redundância. Guia do Hardware, 2005. Disponível em: <http://www.projetoderedes.com.br/artigos/artigo_conceitos_de_redundancia.php>.

70

Acesso em: 08 dez. 2014 O QUE É INTERNET. Significados. Disponível em: <http://www.significados.com.br/Internet/> Acesso em: 26 nov. 2014 PETRACIOLI, F. Conheça diferentes tipos de conexão à Internet. PCWorld, 2008. Disponível em: <http://pcworld.com.br/reportagens/2008/01/18/conheca-os-diferentes-tipos-de-conexao-a-Internet/> Acesso em: 27 nov. 2014 PINHEIRO, J M S. Conceitos de Redundância e Contingência. Projeto de Redes, 2004. Disponível em: <http://www.projetoderedes.com.br/artigos/artigo_conceitos_de_redundancia.php>. Acesso em: 08 dez. 2014

STANGER, J. Rede Segura Linux. Rio de Janeiro - RJ: Edgar Danielyan, 2002. 672p. TARGETHOST. Conexões com a Internet, 2014. Disponível em: <http://www.targethost.com.br/tipos-de-conexao-de-Internet/> Acesso em: 27 nov. 2014

UMA EXCELENTE definição de Internet. O segundo choque, 2007. Disponível em: <http://osegundochoque.blogia.com/2007/070702-uma-excelente-definic-o-de-Internet-para-perceber-melhor-o-que-esta-em-causa-.php> Acesso em: 26 nov. 2014

http://osegundochoque.blogia.com/2007/070702-uma-excelente-definic-o-de-internet-para-perceber-melhor-o-que-esta-em-causa-.php

71

ANEXOS ANEXO A – ANEXO A – DATA SHEET FORTIGATE 200B/200B-POE

ANEXO B – DATA SHEET FORTIGATE/FORTIWIFI 60C SERIES

72

ANEXO A – DATA SHEET FORTIGATE 200B/200B-POE

74

ANEXO B – DATA SHEET FORTIGATE/FORTIWIFI 60C SERIES

alan maciel de sousa curitiba 2014 - tcc...

Documents