alan maciel de sousa curitiba 2014 - tcc...
TRANSCRIPT
UNIVERSIDADE TUIUTI DO PARANÁ
COMUNICAÇÃO REDUNDANTE UTILIZANDO VPN NO
FORTIGATE
ALAN MACIEL DE SOUSA
CURITIBA
2014
ALAN MACIEL DE SOUSA
COMUNICAÇÃO REDUNDANTE UTILIZANDO VPN NO
FORTIGATE
Trabalho apresentado como exigência para conclusão do curso de Especialização em Redes de Computadores e Segurança de Redes – Administração e Gerência, da Universidade Tuiuti do Paraná. Professor: Luiz Altamir Corrêa Junior
CURITIBA
2014
TERMO DE APROVAÇÃO
ALAN MACIEL DE SOUSA
COMUNICAÇÃO REDUNDANTE UTILIZANDO VPN NO FORTIGATE
Essa monografia foi julgada e aprovada para obtenção do titulo de Especialista no curso de
Especialização em Redes de Computadores e Segurança de Redes – Administração e Gerência da
Universidade Tuiuti do Paraná.
Curitiba, 15 de Dezembro de 2014.
___________________________________________
Especialização em Redes de Computadores e Segurança de Redes – Administração e Gerência
Universidade Tuiuti do Paraná
Orientador: Prof. Luiz Altamir Corrêa Junior
Dedico esse trabalho a Deus, que me manteve firme até o fim, também ao
meu pai, minha mãe e minha irmã que são minha base e o que me faz
querer sempre continuar, aos amigos e colegas de trabalho que estiveram
presente e me colaboraram com a conclusão de mais essa etapa da minha
vida, e por último, porém não menos importante, minha noiva Priscila
Santos, que não mediu esforços e sempre esteve ao meu lado durante essa
jornada.
AGRADECIMENTOS
Agradeço a Deus por ter me colocado diante desse desafio e feito com que o
vencesse.
A minha noiva Priscila Santos, minha mãe Regina, meu pai Maciel e minha
irmã Thamara pela compreensão, paciência e apoio durante todo período
acadêmico.
A esta universidade, seu corpo docente, direção e administração que me
proporcionaram momentos de profundo aprendizado e colaboraram para o meu
crescimento pessoal e profissional.
Ao Profº Luiz Corrêa, pela orientação, apoio e confiança.
Aos amigos André Matos e Dartanghan, que contribuíram diretamente para
minha formação e continuarão contribuindo com certeza.
Ao Grupo Fertipar por ter cedido informações de suma importância para
concretização desse trabalho.
A todos que direta ou indiretamente fizeram parte da minha formação, o meu
muito obrigado.
RESUMO
Com o avanço contínuo da tecnologia, cada vez mais recursos são informatizados e
disponibilizados online, principalmente em empresas de médio e grande porte onde
a cobrança por produtividade e resultado tem níveis cada vez mais elevados. Essa
informatização de recursos e disponibilidade na web faz com que a empresa fique
cada vez mais dependente da grande nuvem chamada Internet, falando ainda mais
além, ao falar em empresas de médio e grande porte logo existe a relação matriz e
filial, pois grandes organizações possuem núcleos espalhados por diversas cidades,
estados e, no caso das multinacionais, países. Como as filiais sempre dependem da
matriz por algum motivo, na maioria das vezes necessidade de acesso a
informações centralizadas, a comunicação entre matriz e filial se torna
imprescindível, desta forma a empresa deixa de pensar somente em seu ambiente
local com um acesso simples à Internet para pensar em como se comunicar com
suas unidades remotas. Sob o ponto de vista de alguns empresários, existindo
acesso à Internet na matriz e na filial, basta fazer as duas se comunicarem através
da Internet. Os empresários não estão totalmente errados ao pensar dessa maneira,
mas cabe aos profissionais de informática elencar os riscos envolvidos nesse tipo de
comunicação e quais as soluções para minimizar ou extinguir esses riscos. Diversas
abordagens/tecnologias podem ser aplicadas para a conexão entre filiais e matrizes,
porém a que requer menos investimento e uma das mais usadas hoje em dia para
que ocorra esse tipo de comunicação com segurança é a VPN (Virtual Private
Network, rede virtual privada) criada dentro da nuvem da Internet. Apesar da
segurança sempre ocupar lugar de destaque, cabe aos administradores de
informática e responsáveis técnicos pela integração pontuarem sobre o quesito de
disponibilidade. Logo é necessário que a segurança e disponibilidade andem juntas
e que um quesito não atrapalhe o outro. Esse trabalho vai focarem mostrar como
montar um ambiente de comunicação com VPN redundante entre matriz e filial
usando o appliance da Fortinet que inclui Firewall, UTM (Unified Threat
Management, Gerenciamento unificado de ameaças) e VPN chamado Fortigate.
Palavras-chave: VPN. Redundância, Fortigate. Fortinet.
ABSTRACT
With the continuous advancement of technology, more and more resources are
computerized and made available online, especially in medium and large companies
where the collections of productivity and results have increasingly higher levels. This
computerization and availability features on the web makes the company becomes
increasingly dependent on big cloud called the Internet, talking even further,
speaking in medium and large companies so there is the relationship matrix and
branch because large organizations have settlements spread to several cities, states,
and, in the case of multinationals, countries. How Affiliates always depend on the
array for some reason most often need access to centralized information,
communication between headquarters and branch becomes essential, so the
company does not think only of their local environment with an access simple Internet
to think about how to communicate with their remotes. From the point of view of
some business, there Internet access in the matrix and on the branch, just make the
two communicate via the Internet. Entrepreneurs are not entirely wrong to think that
way, but it is for computer professionals list the risks involved in this type of
communication and what solutions to reduce or extinguish these risks. Several
approaches / technologies can be applied to the connection between branches and
headquarters, but that requires less investment and one of the most used nowadays
to occur this type of communication with security is the VPN, virtual private network
created within the cloud Internet. Despite the security always taken center stage, it is
for IT administrators and technical managers by integrating scoring on the Question
of availability. So then is necessary for the security and availability to walk together
and that one criterion will not disturb the other. This work will focus show how to set
up a communication environment with redundant VPN between headquarters and
branch using the appliance Fortinet that includes Firewall, UTM (Unified Threat
Management) and VPN FortiGate called.
Keywords: VPN. Redundancy, FortiGate. Fortinet.
LISTA DE FIGURAS
Figura 1 – Representação de uma rede DMZ ........................................................... 15
Figura 2 – Teste de link convencional e dedicado ..................................................... 19
Figura 3 – VPN Cliente/Servidor ............................................................................... 21
Figura 4 – VPN LAN - to - LAN .................................................................................. 23
Figura 5 – Captura de pacotes de sessão SSH mostrando os dados da porta TCP . 26
Figura 6 – Captura de pacotes da sessão IPsec ....................................................... 27
Figura 7 – Datasheet Fortigate 200B – parte 1 ......................................................... 31
Figura 8 – Datasheet Fortigate 200B – parte 2 ......................................................... 32
Figura 9 – Datasheet Fortigate 60C – parte 1 ........................................................... 33
Figura 10 – Datasheet Fortigate 60C – parte 2 ......................................................... 33
Figura 11 – Configuração porta: port14 do Fortigate 200B da Matriz - Operadora 1 37
Figura 12 – Configuração porta: port15 do Fortigate 200B da Matriz - Operadora 2 37
Figura 13 – Configuração porta wan1 do Fortigate 60C de Canitar - Operadora 1 ... 38
Figura 14 – Configuração porta wan2 do Fortigate 60C de Canitar - Operadora 2 ... 38
Figura 15 – Resultado positivo no ping originado do Fortigate 200B tendo como
destino o Fortigate 60C ............................................................................................. 39
Figura 16 – Resultado positivo no ping originado do Fortigate 60C tendo como
destino o .................................................................................................................... 40
Figura 17 – Menu de configuração de VPN – Fortigate 200B ................................... 40
Figura 18 – Tela de configuração da Phase 1 do IPsec. – Fortigate 200B ............... 41
Figura 19 – Tela de configuração da Phase 1 do IPsec já preenchida - Fortigate
200B .......................................................................................................................... 43
Figura 20 – A Phase 1 criada aparece na lista de VPNs – Fortigate 200B ............... 43
Figura 21 – Tela de configuração de Phase 2 ainda zerada .................................... 44
Figura 22 – Tela de configuração de Phase 2 com o nome e a Phase 1 selecionada
– Foritgate 200B ........................................................................................................ 44
Figura 23 – Campos avançados de configuração da Phase 2 – Fortigate 200B ....... 45
Figura 24 – Tela inicial de VPNs mostrando a Phase 1 (Canitar_OP1) e dentro dela a
Phase 2 (CANITAR_OP_LAN) .................................................................................. 47
Figura 25 – Phase 2 com a configuração completa .................................................. 47
Figura 26 – Phase 2 criada com a rede DMZ da Matriz como Source ...................... 48
Figura 27 – Configuração da VPN através da Operadora 1 no Fortigate 200B
finalizada ................................................................................................................... 48
Figura 28 – Menu de configuração de VPN – Fortigate 60C ..................................... 49
Figura 29 - Tela de configuração da Phase 1 do IPsec. – Fortigate 60C .................. 49
Figura 30 – Tela de configuração da Phase 1 do IPsec já preenchida - Fortigate 60C
.................................................................................................................................. 50
Figura 31 – A Phase 1 criada aparece na tela de inicio – Fortigate 60C ................... 50
Figura 32 – Tela de configuração de Phase 2 com o nome e a Phase 1 selecionada
– Foritgate 60C .......................................................................................................... 51
Figura 33 – Campos avançados de configuração da Phase 2 – Fortigate 200B ....... 51
Figura 34 – Configuração avançada da Phase 2 - Fortigate 60C .............................. 52
Figura 35 – Tela que mostra Phase 1 e a primeira Phase 2 ..................................... 53
Figura 36 – Configuração da segunda Phase 2 alterando o destino ......................... 53
Figura 37 – Finalziada a configuração da VPN no Fortigate 60C .............................. 54
Figura 38 – VPNs criadas na Matriz .......................................................................... 55
Figura 39 – VPNs criadas em Canitar ....................................................................... 55
Figura 40 – Subinterfaces do tipo "túnel" - Matriz ..................................................... 56
Figura 41 – Subinterfaces do tipo "túnel" - Canitar .................................................... 56
Figura 42 – Políticas de Firewall do Fortigate 60C .................................................... 57
Figura 43 – Políticas de Firewall do Fortigate 200B .................................................. 57
Figura 44 – Configurando política de Firewall ........................................................... 58
Figura 45 – VPNs estabelecidas - Fortigate 200B ..................................................... 59
Figura 46 – VPNs estabelecidas - Fortigate 60C ...................................................... 59
Figura 47 – Campos para criação de rotas estáticas ................................................ 60
Figura 48 – Tela de Rotas estáticas .......................................................................... 61
Figura 49 – Criação de rota estática ......................................................................... 61
Figura 50 – Criação de rota estática ......................................................................... 62
Figura 51 – Rotas estáticas criadas .......................................................................... 62
Figura 52 – Rotas estáticas criadas .......................................................................... 63
Figura 53 – Teste – Operadora 1 e 2 sem falhas ...................................................... 65
Figura 54 – Teste – Operadora 1 indisponível .......................................................... 66
Figura 55 – Teste – Operadora 1 reestabelece ......................................................... 67
LISTA DE TABELAS
Tabela 1 – Dados das operadoras da matriz............................................................. 35
Tabela 2 – Dados das operadoras de Canitar ........................................................... 35
Tabela 3 – LANs da Matriz ........................................................................................ 36
Tabela 4 – LAN de Canitar ........................................................................................ 36
Tabela 5 – Interfaces de conexão com a Internet dos dois Fortigates após
configuração .............................................................................................................. 39
Tabela 6 – Campos para criação da Phase 1 ........................................................... 42
Tabela 7 – Campos para criação da Phase 2 ........................................................... 46
Tabela 8 – Rotas Fortigate 200B ............................................................................... 60
Tabela 9 – Rotas estáticas Fortigate 60C ................................................................. 62
Tabela 10 – Campos de rotas dos Fortigates............................................................ 63
SUMÁRIO
1 INTRODUÇÃO.............................................................................................. 12
2 TEORIAS E CONCEITOS ............................................................................ 14
2.1 REDES DE COMPUTADORES .................................................................... 14
2.2 TIPOS DE REDES ........................................................................................ 14
2.2.1 LAN ............................................................................................................... 14
2.2.2 MAN .............................................................................................................. 14
2.2.3 WAN ............................................................................................................. 14
2.2.4 DMZ .............................................................................................................. 15
2.3 A INTERNET ................................................................................................ 16
2.4 LAN COM ACESSO À INTERNET ............................................................... 16
2.5 LINK DEDICADO DE INTERNET ................................................................. 18
2.6 COMUNICAÇÃO COORPORATIVA ATRAVÉS DA INTERNET .................. 19
2.6.1 Riscos envolvidos ......................................................................................... 19
2.6.2 Reduzindo os riscos ..................................................................................... 20
2.7 VPN .............................................................................................................. 20
2.7.1 O que é VPN ................................................................................................ 20
2.7.2 Tipos de VPN ............................................................................................... 21
2.7.3 VPN LAN-to-LAN .......................................................................................... 22
2.7.4 Criptografia ................................................................................................... 23
2.8 IPSEC ........................................................................................................... 25
2.8.1 Fases de negociação .................................................................................... 27
2.9 DISPONIBILIDADE E INDISPONIBILIDADE ................................................ 28
2.10 REDUNDANCIA E CONTINGÊNCIA ............................................................ 28
2.10.1 Redundância ................................................................................................ 28
2.10.2 Contingência ................................................................................................. 28
2.10.3 Redundância X Contingência ....................................................................... 29
3 CASO DE USO ............................................................................................ 30
3.1 HISTÓRIA ..................................................................................................... 30
3.2 EQUIPAMENTOS UTILIZADOS ................................................................... 30
3.2.1 Fortigate 200B da Fortinet - Matriz ............................................................... 31
3.2.2 Fortigate 60C da Fortinet - Canitar ............................................................... 32
3.3 PREMISSAS PARA COMUNICAÇÃO .......................................................... 34
3.4 LINK DE INTERNET A SER UTILIZADO ..................................................... 34
3.5 DADOS TÉCNICOS PERTINENTES ........................................................... 35
3.5.1 Configurações fornecidas pelas Operadoras ................................................ 35
3.5.2 Redes locais que precisam se comunicar .................................................... 36
3.6 CONFIGURANDO O FORTIGATE ............................................................... 36
3.6.1 Interfaces recebem as configurações ........................................................... 36
3.6.2 Configuração da VPN pela Operadora 1 no Fortigate 200B – Matriz ........... 40
3.6.3 Configuração da VPN pela Operadora 1 no Fortigate 60C – Canitar ........... 49
3.6.4 VPN pela Operadora 2 ................................................................................. 54
3.6.5 Políticas de Firewall ...................................................................................... 55
3.7 ROTEAMENTO NO FORTIGATE ................................................................. 59
3.8 TESTES ........................................................................................................ 64
3.8.1 Indisponibilidade da Operadora 1 de Canitar ............................................... 65
3.8.2 Comunicação Operadora 1 de Canitar reestabelecida ................................. 66
3.8.3 Falhas na Operadora 2 de Canitar ............................................................... 67
4 CONCLUSÃO .............................................................................................. 68
REFERÊNCIAS ......................................................................................................... 69
ANEXOS ................................................................................................................... 71
12
1 INTRODUÇÃO
Nos tempos atuais, cada vez mais as organizações empresariais estão
dependente de tecnologia no controle de seu mais valioso bem, a informação,
sistemas avançados de gerenciamento de banco de dados, aplicações como ERP’s
(Enterprise Resource Planning, Sistema Integrado de Gestão Empresarial) e CRM’s
(Customer Relationship Management, Gestão de Relacionamento com o Cliente)
para que haja agilidade e confiabilidade nas operações realizadas independente da
área de atuação da empresa.
Com essa gama de ferramentas a sua disposição e com a centralização
dessas ferramentas em seu Centro de Processamento de Dados, que na maioria
das vezes fica em sua matriz, surge então a necessidade de interligar as demais
unidades, chamadas filiais, com a matriz, para que as mesmas possam ter acesso
às informações centralizadas.
Para que haja essa comunicação, é necessário que a empresa contrate uma
operadora de telecomunicações em ambas as pontas para que a comunicação
aconteça ou através de um ISP (Internet Service Provider, Provedor de Serviço de
Ineternet) também nas duas pontas.
Ao contratar o um serviço de Internet a empresa teria uma rede stub, redes
de computadores com apenas uma saída WAN (Wide Area Netowrk, Rede de Longa
Distância), pode a empresa também, optar por contratar mais de um serviço de
Internet, dessa forma seria aplicado o conceito de rede stubmulti-homing, que é
quando existe na rede local de computadores mais de uma saída para rede WAN.
Escolhendo apenas uma alternativa a organização terá sérios problemas
caso o enlace de dados fique inoperante, por outro lado se optar por usar duas
alternativas de serviços, um cenário redundante pode ser criado eliminando o
problema de indisponibilidade nessa interligação entre matriz e filial.
O intuito de desenvolvimento esse trabalho, é situar o leitor sobre os termos
envolvidos numa comunicação segura entre unidades utilizando a Internet e mostrar
um caso de uso funcional de redundância de links, para isso serão usados
equipamentos de rede do fabricante Fortinet e esses equipamentos possibilitarão a
comunicação entre unidades de uma determinada organização de forma
redundante.
Apresentando o cenário com todas as configurações realizadas nos
13
equipamentos de ambas as pontas, será possível notar que apenas com links de
Internet é possível estabelecer comunicação corporativa de qualidade e com
segurança.
Serão previstas as possíveis falhas e simuladas cada uma delas para que o
leitor possa entender o ambiente funcionando com todas as formas que ele poderá
assumir e vendo que mesmo com falhas nos links de Internet ainda é possível
manter a comunicação ativa.
Esse trabalho será organizado em quatro capítulos no total, o primeiro é o
atual capítulo, onde se pode entender o porquê de desenvolvê-lo e qual será o seu
resultado final.
O capítulo a seguir trará informações teóricas e conceituais sobre alguns
termos utilizados ao longo do trabalho, é importante o leitor o entender esses
conceitos para que possa compreender o conteúdo contido no capítulo três.
Por fim o assunto será concluído, no capítulo quatro, mostrando que é
possível fazer com que ocorra a comunicação coorporativa com qualidade,
segurança e redundância através de links de Internet.
14
2 TEORIAS E CONCEITOS
2.1 REDES DE COMPUTADORES
Redes de computadores são sistemas de comunicação que conectam dois
ou mais computadores fisicamente por cabo, fibra óptica, sinal de rádio ou outro
dispositivo de conexão, utilizando um protocolo de comunicação com o objetivo de
compartilhar recursos como documentos, sistemas, banco de dados, impressoras,
planilhas, acesso à Internet, entre outros.
2.2 TIPOS DE REDES
É usual dividir-se as redes de computadores em três categorias,
relativamente à sua área de cobertura: redes de área local LAN (Local Area
Network), redes de área metropolitana MAN (Metropolitan Area Network), redes de
longa distância WAN e redes de perímetro DMZ (Demilitarized Zone).
2.2.1 LAN
Como visto acima, é o acrônimo de Local Area Network, nome que se dá a
uma rede de caráter local e cobrem uma área geográfica reduzida, tipicamente um
escritório ou uma empresa e interligam um número não muito elevado de entidades.
São usualmente redes de domínio privado.
2.2.2 MAN
Esta rede de caráter metropolitano liga computadores e utilizadores numa
área geográfica maior que a abrangida pela LAN, mas menor que a área abrangida
pela WAN. Uma MAN normalmente resulta da interligação de várias LAN’s, cobrindo
uma área geográfica de média dimensão, tipicamente um campus ou uma
cidade/região, podem ser redes de domínio privado ou público. Pode estar
inclusivamente ligada a uma rede WAN.
2.2.3 WAN
15
Como o nome indica é uma rede de telecomunicações que está dispersa por
uma grande área geográfica. A WAN distingue-se duma LAN pelo seu porte e
estrutura de telecomunicações. As WAN’s normalmente são de caráter público,
geridas por um operador de telecomunicações.
2.2.4 DMZ
É uma rede que comumente é separada da rede local LAN, onde estão os
usuários, pelo motive de manter nessa rede serviços que tenham acesso à Internet,
por exemplo, um servidor HTTP. É uma forma de segurança prevenindo a rede local
LAN caso esse servidor exposto na Internet sofra algum tipo de invasão. Quem
divide o acesso LAN e DMZ é o Firewall da rede. A figura a seguir mostra a rede
DMZ em um ambiente.
_____________________ 1 Disponível em: <http://pt.wikipedia.org/wiki/DMZ_%28computa%C3%A7%C3%A3o%29> Acesso
em: 04 dez 2014.
Figura 1 – Representação de uma rede DMZ
FONTE: WIKIPÉDIA – A enciclopédia livre1
16
2.3 A INTERNET
A necessidade da informação criou a Internet que hoje conhecemos. Assim
como destruição, as guerras trazem avanços tecnológicos em velocidade
astronômica, foi o caso da Internet que surgiu na guerra fria em 1960 a 1970. O
governo norte-americano queria desenvolver um sistema para que seus
computadores militares pudessem trocar informações entre si, de uma base militar
para outra e que mesmo em caso de ataque nuclear os dados fossem preservados.
Seria uma tecnologia de resistência. Foi assim que surgiu então a ARPANET
(Advanced Research Projects Agency Network, Agência avançada de Investigação
de Projetos de Redes), o antecessor da Internet.
Após isto o projeto da Internet era coligar universidades para que fosse
possível uma transmissão de dados de forma mais eficaz, rápida e segura. No Brasil
a Internet iniciou em 1988 quando no Laboratório Nacional de Computação
Científica (LNCC), localizado no Rio de Janeiro, conseguiu acesso à Bitnet, através
de uma conexão de 9.600 bits por segundo estabelecida com a Universidade de
Maryland.
A definição de Internet é um conglomerado de redes locais espalhadas pelo
mundo, o que torna possível e interligação entre os computadores utilizando o IP
(Internet Protocol, Protocolo de Internet). A Internet é uma das melhores formas de
pesquisa hoje encontrada, de fácil acesso e capacidade de assimilação do que é
buscado.
A Internet não é apenas uma tecnologia: é o instrumento tecnológico e a
forma organizada de distribuir a informação, a geração de conhecimentos e a
capacidade de ligar-se em rede a partir de qualquer localidade e dispositivo.
2.4 LAN COM ACESSO À INTERNET
Como já visto em tópicos anteriores, uma rede se caracteriza LAN por
pertencer uma área geográfica reduzida, como por exemplo, o escritório de uma
organização, porém nos dias de hoje praticamente impossível uma LAN trabalhar de
maneira isolada sem ao menos um acesso WAN, o acesso WAN mais comum usado
nas redes locais hoje em dia é o acesso à Internet.
Esse acesso pode ser dar de várias formas, através de várias tecnologias e
17
velocidades a seguir são mostrados alguns tipos de acesso à Internet.
Discada: A conexão discada se dá através de um modem ligado à linha
telefônica. Em toda conexão, emite-se um som de discagem, que irá dizer
se o contato foi efetuado ou não. Atualmente, com as opções de Internet
banda larga, a conexão discada é considerada quase extinta.
Banda Larga: Na Internet banda larga, diferentemente da discada, a
conexão se estabelece através de um modem externo, que mantém o
computador conectado enquanto estiver ligado à rede elétrica. O valor
cobrado pela conexão é fixo e mensal e as velocidades disponíveis vão de
300 kbps até 100 mb, em algumas cidades brasileiras.
Cabo: A Internet via cabo traz a conexão pelo mesmo cabo da tv por
assinatura. Pelo mesmo meio vêm os sinais do telefone, da tv e da Internet,
e essa união de serviços proporciona uma vantagem no custo, já que ele é
realizado através dos chamados combos.
Via rádio: É uma opção muito utilizada em locais onde não há serviços de
Internet disponíveis. Esse modo costuma apresentar boas opções de
velocidade, no entanto, o preço não costuma ser nada atraente. Além disso,
se chover, não conte com sua Internet.
Satélite: Diferentemente dos demais tipos de acesso à Internet, o acesso
por satélite apresenta disponibilidade superior a 99% do tempo no período
de um ano. Quem optar por ele, ou quem não tiver alternativa, vai necessitar
de alguns aparatos de hardware um pouco mais específicos e caros.
3G: Com uma relativa popularização dos smartphones, essa conexão tem
sido bastante utilizada. O custo, devido a pacotes das operadoras de
celular, se tornou bem baixo e geralmente é cobrado pelo uso diário ou
mensal. A velocidade deixa a desejar, assim como a cobertura, não sendo
possível acessar em alguns pontos da cidade.
Rede Elétrica: Ela ainda é apenas uma promessa. Mas a idéia é conseguir
acessar a Internet apenas conectando um modem ou o celular em uma
tomada e pronto, estará conectado! Pena ser apenas uma possibilidade.
(http://www.targethost.com.br/tipos-de-conexao-de-Internet/)
Como se pode ver são muitos os meios de conectar uma LAN ao mundo
externo através de uma conexão WAN, basta escolher o qual se adapta melhor a
realidade do ambiente.
Em qualquer um dos tipos de acessos acima citados, será necessário
contratar algum tipo de serviço de um provedor de acesso ou uma operadora de
telecomunicações, cada um tem suas vantagens e desvantagens, alguns deles já
18
caíram em desuso, por exemplo, o acesso discado, porém todos atingem o seu
objetivo que é conectar a LAN à Internet.
2.5 LINK DEDICADO DE INTERNET
Ao se tratar de link corporativo de Internet, está se falando de links especiais
diferentes do comum usados nas residências, como por exemplo, ADSL e Cabo.
Esse tipo de link tem características que vão além do escopo comercial, que
é a parte de nome do serviço, planos diferenciados com relação a tempo de contrato
e faturamento para pessoa jurídica. O enfoque principal que esse tipo de serviço
deve ter é a parte técnica e lógica, pois existe uma infinidade de serviços prestados
e nem todos atenderão uma necessidade especifica da empresa, por exemplo,
comunicação de VPN.
Explicado melhor, existem serviços que são corporativos e não são links
dedicados.
Link de Internet dedicado: Serviço de Internet que oferece uma banda
exclusiva para o acesso à Internet de quem o contrata, de modo geral, esse tipo de
serviço vem acompanhado de pelo menos um IP público fixo e também tem taxas de
upload e download iguais, se diferenciando dos links de Internet convencionais que
oferecem taxa de upload normalmente a 10% da taxa de download. Através desse
serviço a empresa é conectada diretamente à uma porta de um roteador na
operadora evitando assim congestionamentos e garantindo alta qualidade e
desempenho.
Esse é um ponto importante quando se executa um projeto de VPN, pois a
VPN é um canal de comunicação de ida e volta, logo é necessário qualidade tanto
na entrega como no recebimento. Pode se observar a diferença em um teste feito
para comparar os tipos de links.
19
2.6 COMUNICAÇÃO COORPORATIVA ATRAVÉS DA INTERNET
2.6.1 Riscos envolvidos
Quando existem links de Internet em duas unidades distintas de uma
organização, é possível fazer com que elas se comuniquem através desses links. A
unidade que irá fornecer o acesso aos dados ou a algum serviço deve ter um ou
mais endereços de IP públicos para que a outra unidade possa assim acessar o
conteúdo desejado. Como o nome mesmo já diz público, isso é acessível para todos
que estiverem na Internet, basta ter as credenciais desejadas para que possam
acessar o conteúdo disponibilizado, porém é uma forma simples e rápida de fazer as
coisas acontecerem, muitas vezes pelo curto prazo estabelecido pelos gestores ou
por falta de investimento em mão de obra especializada para uma configuração
adequada. Tudo isso acaba criando um canal não seguro de comunicação que
oferece uma série de riscos à organização.
Alguns desses riscos são:
Furto de dados: Softwares mal intencionados e interceptação de conexão
podem levar à violação de dados particulares que podem ser usados por terceiros.
Uso indevido de recursos: Um atacante pode usar computadores e outros
dispositivos alheios para promover um ataque em massa.
Varredura: um atacante varrer uma rede buscando vulnerabilidades e meios
de tirar alguma vantagem usando-se dessas falhas.
Interceptação de tráfego: Ao transmitir dados via Internet de maneira
insegura, esses dados podem ser interceptados e pode acontecer um dos três
primeiros casos citados.
_____________________ 2 Disponível em: <http://www.minhaconexao.com.br/> Acesso em: 05 dez 2014.
Figura 2 – Teste de link convencional e dedicado
FONTE: MINHA CONEXÃO - Teste de Velocidade2
20
Ataque de negação de serviço: um atacante pode usar a rede para enviar
grande volume de mensagens para um computador, até torná-lo inoperante ou
incapaz de se comunicar.
Ataque de força bruta: todos os dispositivos conectados à rede que possuam
senha como forma de autenticação estão sujeitos à softwares de força bruta, esses
rodam várias rotinas que tentam adivinhar as senhas.
2.6.2 Reduzindo os riscos
Conforme foi citado no tópico anterior, esses riscos existem porque o canal
está numa via pública, logo a forma de contornar isso é tendo uma rede privada para
a comunicação corporativa.
O que vem a ser uma rede privada? A resposta é relativamente simples: dois
ou mais computadores interligados formam uma rede de computadores. Esses
equipamentos juntos, compartilhando informações, formam uma rede privada LAN,
onde somente os equipamentos pertencentes a este grupo podem ter seus dados
compartilhados.
Há então um paralelo entre redes publicas e redes privadas, assim sendo,
surge a seguinte pergunta: Por que não usar a rede pública (Internet) como rede
privada? Cria-se então um paradigma chamado VPN. Através do uso de VPNs a
comunicação através da Internet passa a ser um canal seguro de troca de
informações corporativas.
2.7 VPN
2.7.1 O que é VPN
As redes virtuais privadas (VPNs) são conexões ponto a ponto em redes
privadas ou públicas, como a Internet. Um cliente VPN usa protocolos especiais
baseados em TCP/IP, denominados protocolos de encapsulamento, para realizar
uma chamada virtual a uma porta virtual em um servidor VPN. Em uma implantação
VPN típica, o cliente inicia uma conexão virtual ponto a ponto com um servidor de
acesso remoto pela Internet. O servidor de acesso remoto atende a chamada,
autentica o chamador e transfere os dados entre o cliente VPN e a rede privada da
organização. A Figura 3 mostra como funciona uma conexão VPN.
21
Figura 3 – VPN Cliente/Servidor
UmaVPN (rede privada virtual) é uma rede privada construída em uma
infraestrutura de rede pública, como a Internet global. As empresas podem
usar uma VPN para conectar com segurança escritórios remotos e usuários
remotos usando acesso à Internet de baixo custo para terceiros, em vez de
links WAN caros e dedicados ou links de discagem remota de longa
distância. (http://www.cisco.com/web/BR/solucoes/pt_br/vpn/index.html)
2.7.2 Tipos de VPN
Quando se trata de VPN, podem-se observar três conceitos que são usados
muito nos tempos atuais: VPN de Intranet, VPN de Extranet e VPN de acesso
remoto.
Cada um desses conceitos será brevemente explicado a seguir.
A VPN de Intranet é uma forma de criar um túnel seguro utilizando uma
infraestrutura não segura, como por exemplo, a Internet. Pode ser chamada também
de VPN LAN-to-LAN, com ela organizações podem fugir de altos valores de um
circuito de dados dedicado, que em alguns casos, pela demanda, nem se faz
necessário.
O conceito VPN de Extranet é usado para redes criadas da mesma forma
que a VPN de Intranet, porém para interligar redes de empresas diferentes que
mantém alguma parceria e necessita trocarem informações entre seus ambientes.
É importante dizer que poucos profissionais diferenciam VPNs dessa forma,
VPN de Intranet e de Extranet, essas são tratadas apenas como VPNs mesmo de
forma geral.
FONTE: Elaborada pelo Autor.
22
Por último, porém não menos utilizada, vem a VPN de acesso remoto, essa
é utilizada por colaboradores de uma empresa que trabalham em campo, como por
exemplo, vendedores, técnicos de campo ou até mesmo um cliente.
Para o completo entendimento desse trabalho, vamos focar na VPN de
Intranet, LAN-to-LAN, que é a VPN que será utilizada no projeto de redundância.
2.7.3 VPN LAN-to-LAN
Conforme dito no tópico anterior, esse trabalho focará na VPN de Intranet ou
LAN-to-LAN, uma vez que será esse conceito o aplicado no link secundário no
projeto de redundância.
Quando esse conceito se aplica, é fácil entender o que ocorre na
comunicação, de um lado existe uma LAN que conversa com outra LAN remota
através da Internet, porém essa comunicação ocorre através de um túnel virtual,
criado por protocolos de tunelamento, esses protocolos garantem que as
informações chegaram de uma ponta na outra sem que algo ou alguém as
interceptem.
As VPNs são uma maneira econômica de criar uma rede remota (WAN)
para conectar diversos escritórios da empresa. No passado, empresas
alugavam linhas dedicadas de operadoras de telefonia para interligar cada
um desses locais. No lugar disso, as VPNs permitem que as empresas
criem uma VPN roteador-a-roteador através da Internet. (STANGER,
JAMES, 2002, p.374)
Quando James Stanger fala sobre usar VPN roteador-a-roteador, na citação
acima, ele quer dizer o mesmo que usar VPN LAN-to-LAN.
23
Usar VPN LAN-to-LAN como meio de comunicação em um link secundário é
perfeito, a empresa fica com uma comunicação com um desempenho menor do que
uma rede de dados dedicada, o que não irá lhe afetar consideravelmente, já que se
trata de um link secundário e em contrapartida tem um nível de segurança no
quesito disponibilidade com um custo reduzido comparado a redes de dados
dedicadas.
No âmbito LAN-to-LAN o protocolo de encapsulamento amplamente usado é
o IPsec, e é o que a Fortinet usa em seus appliances de VPN, porém, a titulo de
informação, existem outros protocolos conhecidos que inclusive surgiram antes do
IPsec, são eles: PPTP, L2F e o L2TP.
2.7.4 Criptografia
Com o conteúdo abordado até agora, se pode ter certeza que o IPsec cria
um canal seguro para comunicação através da Internet atendendo três quesitos
cruciais para esse tipo de comunicação: Confidencialidade, Integridade, e
Autenticidade.
Como não é impossível impedir que os dados de um túnel sejam capturados,
é necessário agir de forma que se forem capturados não sejam entendidos. Quesito
confidencialidade.
Os dados se capturados, devem ser protegidos contra alteração e reenvio.
Integridade.
Figura 4 – VPN LAN - to - LAN
FONTE: Elaborada pelo Autor.
24
Somente equipamentos e usuários que fazem parte da VPN poderão enviar
e receber dados através dela. Autenticidade.
Existem quatro técnicas de configuração de VPNs, abaixo a definição
segundo a aluna Ivana Miranda do GTA / UFRJ.
Modo Transmissão
Somente os dados são criptografados, não havendo mudança no tamanho
dos pacotes. Geralmente são soluções proprietárias, desenvolvidas por
fabricantes.
Modo Transporte
Somente os dados são criptografados, podendo haver mudança no
tamanho dos pacotes. É uma solução de segurança adequada, para
implementações onde os dados trafegam somente entre dois nós da
comunicação.
Modo Túnel Criptografado
Tanto os dados quanto o cabeçalho dos pacotes são criptografados, sendo
empacotados e transmitidos segundo um novo endereçamento IP, em um
túnel estabelecido entre o ponto de origem e de destino.
Modo Túnel Não Criptografado
Tanto os dados quanto o cabeçalho são empacotados e transmitidos
segundo um novo endereçamento IP, em um túnel estabelecido entre o
ponto de origem e destino. No entanto, cabeçalho e dados são mantidos tal
como gerados na origem, não garantindo a privacidade.
(http://www.gta.ufrj.br/seminarios/semin2002_1/Ivana/)
Para assegurar a integridade da informação, a confidencialidade e a
autenticação existe a criptografia, com esse conjunto de regras de codificação
busca-se que somente o emissor e o receptor tenham acesso aos dados
criptografados. Desde que surgiu até hoje, as técnicas de criptografia são
constantemente aperfeiçoadas, pois sempre existe alguém capaz de decifrar o
código e descobrir a informação.
Entre as técnicas mais conhecidas hoje, existe a técnica chamada chaves
criptográficas, que é um conjunto de bits em um determinado algoritmo que é capaz
de codificar e descodificar informações. Basicamente a técnica da chave é a
seguinte: por exemplo, uma chave de 8 bits gera 256 combinações distintas, que
seria 2 elevado a 8 bits. Nota-se que não é muito seguro uma chave de 8 bits, pois
seria fácil decifrá-la rapidamente. Então se adotou codificações de 256, 512 e até
25
1024 bits, calculando como o anterior seria 2 elevado a 1024 bits, e apenas uma
chave desse resultado de chaves geradas é a correta. Existem dois tipos de chaves
mais usadas atualmente, a simétrica e a assimétrica.
A chave simétrica é uma das chaves mais comuns, que envolve o emissor e
o receptor, são chaves exatamente iguais dos dois lados da comunicação, o que o
emissor codifica o receptor traduz, não importando qual envia e qual recebe.
A chave assimétrica utiliza duas chaves diferentes, uma chamada de chave
pública e a outra de chave privada. Uma somente codifica a mensagem e a outra a
traduz, diferentemente da chave simétrica que é capaz de codificar e traduzir numa
mesma chave. Assim a pública só é capaz de codificar a mensagem, sendo ela
sempre o emissor, e a privada somente capaz de traduzir, sendo ela o receptor.
A criptografia jamais será capaz de garantir absoluta integridade, por isso há
sempre inovações para a segurança das informações.
2.8 IPSEC
Segundo James Stanger (2002, p.375) os protocolos que garantem a
segurança de uma VPN, nada mais fazem do que criar um “envelope” entre os
servidores ou gateways que estão trocando informações. Esses protocolos foram
criados em cima do IP, assim são extremamente poderosos, pois podem fazer com
que protocolos desconhecidos sejam transmitidos através da Internet.
O IP é um protocolo eficiente e muito conhecido, por esse motivo tem suas
falhas exploradas com frequência, isso forçou com que as organizações que
definissem a Internet como meio de comunicação pensassem em um método para
garantir a privacidade, então o IP Security (IP Seguro) foi criado para garantir essa
privacidade acrescentando criptografia ao IP quando necessário.
O órgão responsável pelo conjunto de protocolos IPsec é o Internet
Engineering Task Force (IETF) que o referencia na RFC 2401, antiga, e na mais
atual RFC 4301. Vários equipamentos suportam o IPsec em suas conexões VPNs,
como, por exemplo, o Fortigate da Fortinet, que será usado nesse trabalho.
O IPsec age protegendo os pacotes da camada três, camada de rede do
modelo de referência OSI (Open System Interconnection, Interconexão de Sistemas
Abertos). A segurança na camada três é muito importante, pois ela é responsável
pelo endereçamento e pelo roteamento, por tanto, a segurança nessa camada
26
garante que tudo na rede está seguro.
Assim se pode afirmar que a segurança em camada três é mais eficaz do
que a segurança que oferece criptografia e autenticação em níveis mais altos. Por
exemplo, se for interceptada uma comunicação SSH (Secure Shell, Terminal
Seguro) protocolo que protege troca de dados entre dois aplicativos usando de
mecanismos na camada quatro, não é possível ler a informação trocada, porém é
possível ver quais portas estão sendo utilizadas para troca dessas informações,
assim quem faz a captura desses dados pode determinar facilmente qual serviço
está rodando. A captura é demonstrada na Figura 6.
No exemplo seguro, a Figura 7 mostra a captura de pacotes de uma sessão
IPsec, nela não é possível ter muitas informações, onde antes existia o número das
portas utilizadas na comunicação, existe agora apenas o cabeçalho Encapsulating
Security Payloa (ESP), o que faz as informações serem inúteis se capturadas por
alguém mal intencionado.
Figura 5 – Captura de pacotes de sessão SSH mostrando os dados da porta TCP
FONTE: STANGER, 2002, p.386.
27
Fica claro dessa maneira que o IPsec é diferente de outros protocolos de
criptografia baseados em aplicativos, pois ele atua encapsulando os dados na
camada três de forma que nenhuma informação de camadas superiores sejam
apresentadas, reduzindo significativamente as falhas de segurança.
2.8.1 Fases de negociação
O IPsec faz negociação em duas fases, fase 1 e fase 2.
A fase 1 é responsável pela conexão entre os IPs públicos de dois gateway
que iniciam uma negociação VPN, nessa fase os pares de clientes são identificados
e autenticam usando preshared Keys (chaves pré-compartilhadas) ou certificados
digitais, dependendo do gateway que é utilizado podem existir opções que
agreguem à essas opções ainda mais segurança.
Concluída a fase 1 do IPsec, inicia-se a negociação da fase 2, nessa fase
são definidos os algoritmos que serão usados para transferir dados para o restante
da sessão. Ao configurar uma fase 2, deve-se escolher qual fase 1 ela irá utilizar.
Em resumo, a fase 1 fecha a comunicação entre os gateways remotos e na
fase 2 é definida qual ou são definidas quais redes trafegaram na VPN estabelecida.
Figura 6 – Captura de pacotes da sessão IPsec
FONTE: STANGER, 2002, p.387
28
2.9 DISPONIBILIDADE E INDISPONIBILIDADE
De forma geral, disponibilidade é como uma garantia de que o serviço
esteve em execução durante o período analisado, e a indisponibilidade é o tempo
em que o serviço ficou fora, ou seja, falhou. O percentual dessas informações
depende inteiramente da disponibilidade de equipamentos da rede e da
disponibilidade de uma rede pública, quando utilizada. Claro que todos esperam que
a disponibilidade seja de 100%, mas isso não acontece. Buscando ter o maior
percentual de disponibilidade ou o menor percentual de indisponibilidade possível,
profissionais e empresas da área tem inovado em soluções práticas de para
redundância e contingência, capazes de identificar falhas e recuperar o serviço sem
perder qualidade exigida para o bom funcionamento da organização.
2.10 REDUNDANCIA E CONTINGÊNCIA
2.10.1 Redundância
A palavra redundância remete-se a uma ideia que se repete num termo
expressado anteriormente. Para redes o conceito não é diferente, a essência é a
mesma. Mudando para um pensamento técnico redundância significa que existe
sempre uma segunda opção para suprir a falha da primeira, ou seja, um dispositivo
secundário preparado, disponível e utilizável para que quando o dispositivo principal
falhar o secundário entre em ação e mantenha o funcionamento do ambiente, sem
que nada seja prejudicado. Por exemplo, em um ambiente com banco de dados,
existindo a redundância, deve-se ter a garantia que um dispositivo entrará no lugar
do outro sem que nenhuma informação seja perdida.
2.10.2 Contingência
Contingência é uma incerteza, ou pode-se dizer uma possibilidade de que
algo possa falhar ou não. Para que possa prevenir, ou até mesmo prever a falha
futuramente e impedir ou ter a solução rapidamente é criado um plano de
contingência. O plano de contingência é uma estratégia, pensada minuciosamente,
criando procedimentos alternativos para garantir o bom funcionamento do ambiente
para que se recupere sem que haja nenhum desastre.
29
2.10.3 Redundância X Contingência
Redundância é um fator que pode contribuir para a disponibilidade de uma
rede de computadores (PINHEIRO, 2004). Coloca-se, por exemplo, uma
comunicação entre empresas parceira que é muito importante para o negócio de
ambas, não podendo ficar inoperante, cria-se um segundo canal de comunicação
para que esse assuma o papel do canal principal caso esse falhe.
Quando se trata de um plano de contingência, está se tratando de um fato
futuro que pode acontecer, pode ser até uma situação pouco provável que aconteça,
mas essa deve ser levada em consideração quando se monta um plano de
contingência. Isso pode ser visto claramente quando uma empresa, por exemplo,
cria outro Centro de Processamento de Dados, para que possa substituir o seu
principal numa possível catástrofe em sua sede.
Embora redundância e planos de contingência sobrecarreguem o
funcionamento e o gerenciamento de uma rede, ambos são necessários
para evitar problemas futuros. A decisão sobre o grau de redundância ou
contingência que se deve adotar pode ser balizada por vários fatores, entre
eles: ambiente de funcionamento da rede, protocolos e sistemas utilizados e
importância da rede para o negócio da empresa.
(http://www.projetoderedes.com.br/artigos/artigo_conceitos_de_redundancia
.php).
Implantar ou não a redundância ou contingência em um ambiente depende
de vários fatores e quando implantada ainda sim se têm vários níveis que variam de
acordo com a criticidade envolvida. Se for viável investir em soluções dessa
natureza é uma decisão da diretoria da organização junto com o departamento de
informática traçando uma linha muito fina entre valor do investimento e importância
do recurso a ser colocado redundante.
30
3 CASO DE USO
3.1 HISTÓRIA
Esse conteúdo pode ser muito bem exposto de forma prática em uma
Indústria de Fertilizantes do estado do Paraná a Fertipar Fertilizantes do Paraná
Ltda, essa empresa possui unidades fabris e escritórios em várias localizações do
Brasil com sua matriz e também sede administrativa localizada em Curitiba-PR e
autorizou a exposição de um cenário vivido recentemente como case para esse
trabalho.
Será usado aqui o cenário da unidade da Fertipar em Canitar-SP, que fica à
375 km da capital São Paulo-SP e é chamada por Canitar dentro do Grupo Fertipar.
Após dois anos de uso do Fortigate 200B, produto da Fortinet, conforme
descrito no próximo tópico, em sua matriz, o Grupo optou por colocar o equipamento
da Fortinet também em suas unidades remotas, todas começaram a receber o
Fortigate e Canitar foi uma delas. Ao se colocar tal equipamento o principal intuito da
diretoria era de que, conforme os fornecedores da Fortinet vinham defendendo, seria
possível a conexão através de VPN e que essa conexão poderia ter uma
redundância que funcionasse de forma automática, isso é, quando o link principal
ficasse inoperante o secundário assumiria sem intervenção técnica alguma, foi feito
um estudo, visto que era possível e o resultado atendeu às expectativas da diretoria
do grupo. Serão mostrados a seguir os passos desse case de sucesso utilizando a
tecnologia VPN através do Fortigate da Fortinet.
3.2 EQUIPAMENTOS UTILIZADOS
Nesse caso de uso, foram utilizados dois equipamentos da Fortinet, empresa
estrangeira que abrange uma enorme gama de produtos relacionados à segurança e
desempenho de redes, equipamentos esses que fizeram a Fortinet ficar conhecida,
se trata da linha Fortigate.
Considerado como um dos principais responsáveis pelo sucesso da
Fortinet, o FortiGate™ oferece uma poderosa plataforma de segurança que
mistura alta performance e respostas a multiameaças, princípio das
soluções UTM. Adotando tecnologias inovadoras para rede, segurança e
31
análise de conteúdo, o FortGate™ integra um amplo conjunto de
tecnologias com Firewall, VPN, Antivírus, IPS, Filtro WEB, AntiSpam,
Controle de Aplicação, Otimização WAN, Inspeção de SSL e DLP.
(http://pbi.com.br/tecnologia/)
3.2.1 Fortigate 200B da Fortinet - Matriz
No ambiente Matriz, onde há uma grande centralização de sessões, por
conta dos acessos aos sistemas da empresa e demais serviços disponibilizados, foi
feito um levantamento por uma empresa especializada na solução da Fortinet e
concluído que, já contando com o crescimento da empresa nos próximos cinco anos,
o Fortigate mais indicado seria o modelo 200B, e realmente vem atendendo as
necessidades da empresa até o presente momento. A seguir serão apresentadas
algumas informações técnicas relacionadas ao Fortigate 200B da Fortinet.
Segundo informações disponibilizadas pela Fortinet no datasheet do
Fortigate 200B, ele possui as características apresentadas nas figuras a seguir.
Figura 7 – Datasheet Fortigate 200B – parte 1
FONTE: FORTINET INC, 2011. Disponível em: <http://www.fortinet.com/sites/default/files/productdatasheets/FGT200B_DS.pdf>
32
3.2.2 Fortigate 60C da Fortinet - Canitar
Ao se tratar do ambiente na unidade de Canitar, onde a quantidade de
acessos ao Fortigate seria em torno de menos de 10% do que na matriz, foi feito o
mesmo estudo feito na matriz antes da compra do equipamento e constatado que o
equipamento que atenderia a unidade além do que era necessário, até porque a
estimativa de crescimento dessa unidade é bem baixa, seria o Fortigate 60C, modelo
inferior ao 200B. Com relação ao Fortigate 60C, serão apresentadas as suas
características a seguir em duas imagens, são informações oficias do fabricante
Fortinet.
Figura 8 – Datasheet Fortigate 200B – parte 2
FONTE: FORTINET INC, 2011. Disponível em: <http://www.fortinet.com/sites/default/files/productdatasheets/FGT200B_DS.pdf>
33
Figura 9 – Datasheet Fortigate 60C – parte 1
Figura 10 – Datasheet Fortigate 60C – parte 2
FONTE: FORTINET INC, 2014. Disponível em: <http://www.fortinet.com/sites/default/files/productdatasheets/FortiGate-60C.pdf>
FONTE: FORTINET INC, 2014. Disponível em: <http://www.fortinet.com/sites/default/files/productdatasheets/FortiGate-60C.pdf>
34
3.3 PREMISSAS PARA COMUNICAÇÃO
Para que se dê a comunicação, inicialmente é necessário ter pelo menos um
link WAN em cada ponta e os equipamentos que serão utilizados como gateways
VPN.
Na matriz existem duas redes as quais precisam ser acessadas pela
unidade de Canitar para que a unidade fique operante com acesso a todos os
serviços.
Em Canitar existe apenas uma rede que trocará dados com as duas redes
da matriz em Curitiba.
Existem dois links WAN de Internet na matriz e também dois links de Internet
na unidade de Canitar.
Na matriz, o gateway VPN será o Fortigate 200B e em Canitar será usado o
Fortigate 60C.
Com essas premissas já é possível fechar a comunicação redundante entre
as unidades, o processo será detalhado ao longo dos próximos capítulos.
3.4 LINK DE INTERNET A SER UTILIZADO
Os links de Internet na matriz são links de operadoras diferentes, que
chegam através de caminhos e meios físicos diferentes e são links corporativos
dedicados que oferecem uma range de IPs públicos (o tópico 2.5 desse trabalho fala
sobre o link dedicado) os quais podem ser usados pela empresa da maneira que ela
desejar, seja para disponibilizar serviços na web ou para fazer comunicações ponto-
a-ponto ou as duas coisas.
Na unidade de Canitar, da mesma forma, os links são corporativos, com IP
público fixo e chegam através de meios físicos distintos.
É importante citar que para fechar essa VPN entre os Fortigates é essencial
que para as duas pontas o plano de Internet seja esse que oferece pelo menos um
IP público fixo.
A forma com que as operadoras entregam esses links não será detalhada,
pois vai além do escopo desse trabalho, é importante saber que eles precisam
chegar por caminhos e meios físicos diferentes por causa da redundância, pois se
eles chegam pelo mesmo meio e uma falha física acontece, o link primário quanto e
35
o secundário ficarão inoperantes ao mesmo tempo, é preciso evitar esse evento.
3.5 DADOS TÉCNICOS PERTINENTES
3.5.1 Configurações fornecidas pelas Operadoras
Para dar inicio a parte técnica, se têm em mãos os dados de IP, mascará e
gateway, são esses dados de configurações fornecidos pelas operadoras que
fornecem o serviço de Internet, por uma questão de segurança e privacidade da
empresa, nos endereços IPs públicos será usada a letra “X” para representar os
números do meio do IP, exemplo: 200.xxx.xxx.69.
Na Tabela 1 consta os dados fornecidos pela Operadora 1 e Operadora 2 da
matriz em Curitiba-PR.
Tabela 1 – Dados das operadoras da matriz
MATRIZ
OPERADORA 1
ENDEREÇO IP MÁSCARA DE SUB-REDE GATEWAY
200.xxx.xxx.69 255.255.255.128 200.xxx.xxx.1
OPERADORA 2
ENDEREÇO IP MÁSCARA DE SUB-REDE GATEWAY
200.xxx.xxx.186 255.255.255.248 200.xxx.xxx.185
FONTE: O próprio autor
Na Tabela 2 estão os dados fornecidos pela Operadora 1 e Operadora 2 da
unidade de Canitar.
Tabela 2 – Dados das operadoras de Canitar
CANITAR
OPERADORA 1
ENDEREÇO IP MÁSCARA DE SUB-REDE GATEWAY
189.xxx.xxx.18 255.255.255.240 189.xxx.xxx.17
OPERADORA 2
ENDEREÇO IP MÁSCARA DE SUB-REDE GATEWAY
191.xxx.xxx.26 255.255.255.252 191.xxx.xxx.25
FONTE: O próprio autor
36
3.5.2 Redes locais que precisam se comunicar
O principal intuito da VPN é estabelecer a comunicação segura entre redes
locais, neste tópico será descrito quais serão essas redes que precisaram se
conversar para que a produção flua como deve na unidade de Canitar.
Na Tabela 3 estão listadas as redes existentes na matriz.
Tabela 3 – LANs da Matriz
MATRIZ
NOME REDE MÁSCARA DE SUB-REDE
DMZ 192.168.131.0 255.255.255.0
LAN 192.168.141.0 255.255.255.0
FONTE: O próprio autor
E na Tabela 4 a única rede que existe em Canitar.
Tabela 4 – LAN de Canitar
CANITAR
NOME REDE MÁSCARA DE SUB-REDE
LAN 192.168.142.0 255.255.255.0
FONTE: O próprio autor
3.6 CONFIGURANDO O FORTIGATE
3.6.1 Interfaces recebem as configurações
Com os dados necessários já informados, inicia-se a configuração do
gateway VPN, o Fortigate 200B na matriz em Curitiba será feito primeiro, logo em
seguida será configurado o Fortigate 60C da unidade de Canitar.
Os dados fornecidos pela Operadora 1 e pela Operadora 2 foram
configurados nas interfaces físicas do Fortigate 200B conforme mostram a Figura 11
e a Figura 12:
37
Em Canitar também foram configuradas as interfaces de acordo com o que
as Operadoras 1 e 2 passaram, conforme Figuras 13 e 14 a seguir:
Figura 11 – Configuração porta: port14 do Fortigate 200B da Matriz - Operadora 1
Figura 12 – Configuração porta: port15 do Fortigate 200B da Matriz - Operadora 2
FONTE: Captura de Tela do Fortigate 200B da Fertipar Curitiba-PR
FONTE: Captura de Tela do Fortigate 200B da Fertipar Curitiba-PR
38
Após a configuração nos dois equipamentos, as interfaces ficaram conforme
mostrado na Tabela 5.
Figura 13 – Configuração porta wan1 do Fortigate 60C de Canitar - Operadora 1
Figura 14 – Configuração porta wan2 do Fortigate 60C de Canitar - Operadora 2
FONTE: Captura de Tela do Fortigate 60C da Fertipar Canitar-SP
FONTE: Captura de Tela do Fortigate 60C da Fertipar Canitar-SP
39
Tabela 5 – Interfaces de conexão com a Internet dos dois Fortigates após configuração
MATRIZ - FORTIGATE 200B
PORTA: port14
ENDEREÇO IP MÁSCARA DE SUB-REDE GATEWAY OPERADORA
200.xxx.xxx.69 255.255.255.128 200.xxx.xxx.1 1
PORTA: port15
ENDEREÇO IP MÁSCARA DE SUB-REDE GATEWAY OPERADORA
200.xxx.xxx.186 255.255.255.248 200.xxx.xxx.185 2
CANITAR - FORTIGATE 60C
PORTA: wan1
ENDEREÇO IP MÁSCARA DE SUB-REDE GATEWAY OPERADORA
189.xxx.xxx.18 255.255.255.240 189.xxx.xxx.17 1
PORTA: wan2
ENDEREÇO IP MÁSCARA DE SUB-REDE GATEWAY OPERADORA
191.xxx.xxx.26 255.255.255.252 191.xxx.xxx.25 2
FONTE: O próprio autor
As configurações das interfaces podem ser validadas fazendo alguns testes
de conectividade com o comando ping.
A Figura 15 mostra o resultado do comando ping que tem como origem o
Fortigate 200B da Matriz na porta port14 e como destino o Fortigate 60C da unidade
de Canitar nas portas wan1 e wan2.
Figura 15 – Resultado positivo no ping originado do Fortigate 200B tendo como destino o Fortigate
60C
FONTE: Captura de Tela do Fortigate 200B da Fertipar Curitiba-PR
40
3.6.2 Configuração da VPN pela Operadora 1 no Fortigate 200B – Matriz
Após as interfaces terem recebido as devidas configurações, é possível
iniciar o processo de configuração da VPN no Fortigate, para realizar essa
configuração será seguida a seguinte ordem: Configuração de VPN IPsec Phase 1 e
Phase 2 no Fortigate 200B na Matriz em Curitiba-PR e depois configuração de VPN
IPsec Phase 1 e Phase 2 no Fortigate 60 na unidade de Canitar.
No Fortigate 200B menu “VPN” e depois a opção “IPsec”, conforme nos
mostra a Figura 17.
Figura 16 – Resultado positivo no ping originado do Fortigate 60C tendo como destino o Fortigate 200B
Figura 17 – Menu de configuração de VPN – Fortigate 200B
FONTE: Captura de Tela do Fortigate 60C da Fertipar Canitar-SP
FONTE: Captura de Tela do Fortigate 200B da Fertipar Curitiba-PR
41
Ao lado direito da imagem, Figura 18, foram ocultadas algumas informações,
pois o Fortigate 200B está em produção na Matriz da Fertipar e por isso existem
outras VPNs configuradas. Para iniciar uma nova VPN é necessário clicar no botão
“Create Phase 1” que levará a tela que aparece na Figura 18.
Essa configuração é simples de ser feita, porém cada um desses campos
tem uma complexidade relacionada ao funcionamento do IPsec, esse funcionamento
já foi descrito na parte conceitual do trabalho, a Tabela 6 que vem a seguir ajudará
no entendimento de cada campo e no seu preenchimento.
Figura 18 – Tela de configuração da Phase 1 do IPsec. – Fortigate 200B
FONTE: Captura de Tela do Fortigate 200B da Fertipar Curitiba-PR
42
Tabela 6 – Campos para criação da Phase 1
CAMPOS COMO PREENCHER
Name CANITAR_OP1
Comments VPN entre a OP1 da matriz e a OP1 de Canitar
Remote Gateway Static IP Address
IP Address 189.xxx.xxx.18
Local Interface port14
Mode Main
Autentication Method PreShared Key
Pre-shared Key 123456
CAMPOS COMO PREENCHER
Accept any peer ID
IKE version 1
Mode config não marcar
Local Gateway IP Main interface IP
CAMPOS COMO PREENCHER
1 Encryption 3DES
2 Encryption AES128
1 Authentication SHA1
2 Authentication SHA1
Dh Group 5
Key Life 28800
Local ID -
XAUTH disable
Nat tranversal enabled
Keep Alive frequence 10 sec
Dead Peer Detection enabled
FONTE: O próprio autor
43
Após a configuração realizada, os campos que realmente foram alterados,
são os destacados na Figura 19 supracitada.
O botão “OK” fará com que as configurações sejam salvas e levará a tela
inicial conforme mostrado na Figura 21, o nome da Phase 1 - CANITAR_OP1, a
porta por onde se comunicará essa VPN - port14 e a referência, essa referência
nada mais é que a quantidade de Phase 2 que pertencem a essa Phase 1, por
enquanto o valor é 0 por que ainda não foi criada nenhuma Phase 2 para essa
Phase 1.
Figura 19 – Tela de configuração da Phase 1 do IPsec já preenchida - Fortigate 200B
Figura 20 – A Phase 1 criada aparece na lista de VPNs – Fortigate 200B
FONTE: Captura de Tela do Fortigate 200B da Fertipar Curitiba-PR
FONTE: Captura de Tela do Fortigate 200B da Fertipar Curitiba-PR
44
Terminada a Phase 1, inicia-se a configuração da Phase 2 clicando no botão
“Create Phase 2”, esse botão irá abrir uma tela de configuração conforme mostrada
na Figura 21.
Nessa tela, será necessário colocar o nome da Phase 2 e selecionar a
Phase 1 a qual ela irá pertencer, logo abaixo existe um botão "Advanced” e é nele
que serão feitas as principais configurações da Phase 2. A Figura 22 mostra como
fazer.
O nome dado a essa Phase 2 foi CANITAR_OP1_LAN, esse nome pode
sérum nome qualquer, nesse caso foi criado assim por uma questão de organização.
No campo Phase 1, ao clicar em “Static IP Address” abrirá uma lista suspensa onde
deve ser escolhida a Phase 1 desejada, no caso em questão é Canitar_OP1.
Os campos que aparecerão após clicar no botão “Advanced” são esses
mostrados na próxima figura a Figura 23.
Figura 21 – Tela de configuração de Phase 2 ainda zerada
Figura 22 – Tela de configuração de Phase 2 com o nome e a Phase 1 selecionada – Foritgate 200B
FONTE: Captura de Tela do Fortigate 200B da Fertipar Curitiba-PR
FONTE: Captura de Tela do Fortigate 200B da Fertipar Curitiba-PR
45
Os campos referentes à criptografia e autenticação são semelhantes ao da
Phase 1 e tem mesma função, de qualquer forma, na Tabela 7 logo abaixo será
colocado cada campo com uma breve descrição de sua função.
Figura 23 – Campos avançados de configuração da Phase 2 – Fortigate 200B
FONTE: Captura de Tela do Fortigate 200B da Fertipar Curitiba-PR
46
Tabela 7 – Campos para criação da Phase 2
CAMPOS COMO PREENCHER
Name CANITAR_OP1_LAN
Comments VPN entre a OP1 da matriz e a OP1 de Canitar
Phase 1 CANITAR_OP1
CAMPOS COMO PREENCHER
1 Encryption 3DES
2 Encryption AES128
1 Authentication SHA1
2 Authentication SHA1
Enabled replay detection
Marcar
Enabled perfect forward secrecy
Marcar
Local ID -
DH Group 5
Keylife 1800
Auto Keep Alive Marcar
Auto Negotiate Não marcar
Source Address Specify: 192.168.141.0/255.255.255.0
Select:
Source port 0
Destination Address Specify: 192.168.142.0/255.255.255.0
Select:
Destination port 0
Protocol 0
FONTE: O próprio autor
Após preenchidos os campos, clicando no botão “OK” as configurações
serão salvas e a tela se fechará voltando à tela inicial de VPN IPsec conforme
mostram as Figuras 24 e 25.
47
Como é necessário criar uma Phase 2 para cada comunicação entre redes e
Figura 25 – Phase 2 com a configuração completa
Figura 24 – Tela inicial de VPNs mostrando a Phase 1 (Canitar_OP1) e dentro dela a Phase 2
(CANITAR_OP_LAN)
FONTE: Captura de Tela do Fortigate 200B da Fertipar Curitiba-PR
FONTE: Captura de Tela do Fortigate 200B da Fertipar Curitiba-PR
48
já foi criada uma para comunicação entre LAN MATRIZ e LAN CANITAR, deve ser
criada agora uma Phase 2 para comunicação entre DMZ MATRIZ e LAN CANITAR.
A maneira de se criar é a mesma, porém o campo “Source Address” na tela
de configurção da Phase 2, será a rede correspondente a DMZ da Matriz,
192.168.131.0/24, conforme a Figura 27 abaixo.
Com isso está encerrada a configuração da VPN no Fortigate 200B da
Matriz, Figura 26, em seguida será realizada a configuração da VPN no Fortigate
60C da unidade de Canitar.
FONTE: Captura de Tela do Fortigate 200B da Fertipar Curitiba-PR
FONTE: Captura de Tela do Fortigate 200B da Fertipar Curitiba-PR
Figura 26 – Phase 2 criada com a rede DMZ da Matriz como Source
Figura 27 – Configuração da VPN através da Operadora 1 no Fortigate 200B finalizada
49
3.6.3 Configuração da VPN pela Operadora 1 no Fortigate 60C – Canitar
Da mesma forma que na Matriz, em Canitar já foram configuradas as
interfaces que se comunicam com os links de Internet, assim sendo, a VPN nessa
unidade, no Fortigate 60C pode ser configurada.
Para a configuração, acessar o Fortigate 60Cno menu “VPN” opção “IPsec –
Auto Key IKE” a tela de inicio da configuração de VPNs será exibida.
Clicar no botão “Create Phase 1” e a tela a seguir será exibida.
FONTE: Captura de Tela do Fortigate 60C da Fertipar Canitar-SP
FONTE: Captura de Tela do Fortigate 60C da Fertipar Canitar-SP
Figura 28 – Menu de configuração de VPN – Fortigate 60C
Figura 29 - Tela de configuração da Phase 1 do IPsec. – Fortigate 60C
50
Os campos são os mesmos descritos na Tabela 6, porém os campos Name,
IP Address e Local Interface terão que ser diferentes conforme mostrado a seguir na
Figura 31.
Como na configuração da Phase 1 na VPN da Matriz, aqui também foi
colocado o nome Matriz_OP1 para uma questão de organização, porém esse nome
poderia ser qualquer outro nome. No campo Local Interface foi escolhida a interface
wan1 onde está conectada a Operadora 1. O campo Pre Shared Key foi preenchido
com a mesma chave colocada na configuração da Phase 1 do Fortigate 200B.
Após clicar no botão OK a Phase 1 já aparecerána tela de inicio.
A partir dessa etapa, se pode criar a Phase 2, clicando no botão Create
Phase 2 será exibida a tela de configuração da Phase 2. A tela é identica a que
aparece na Figura 23 mostrada anteriormente.
Figura 30 – Tela de configuração da Phase 1 do IPsec já preenchida - Fortigate 60C
Figura 31 – A Phase 1 criada aparece na tela de inicio – Fortigate 60C
FONTE: Captura de Tela do Fortigate 60C da Fertipar Canitar-SP
FONTE: Captura de Tela do Fortigate 60C da Fertipar Canitar-SP
51
Pode-se inserir as informações seguindo a mesma lógica ao fazer a Phase 2
no Fortigate 200B. Dessa forma o nome da Phase 2 referente a comunicação LAN
de Canitar e LAN da Matriz ficará MATRIZ_OP1_LAN.
Clicando em avançado será exibida a parte da configuração de criptografia e
autenticação, bem como, das redes de origem e destino que se conversarão, veja na
tela a seguir na Figura 33:
Figura 32 – Tela de configuração de Phase 2 com o nome e a Phase 1 selecionada – Foritgate 60C
Figura 33 – Campos avançados de configuração da Phase 2 – Fortigate 200B
FONTE: Captura de Tela do Fortigate 60C da Fertipar Canitar-SP
FONTE: Captura de Tela do Fortigate 60C da Fertipar Canitar-SP
52
A configuração dessa etapa pode ser baseada na Tabela 7, porém se deve
atentar para o Source Address e o Destination Address que serão diferentes, agora
a origem é a LAN de Canitar e o o destino a LAN da Matriz, como na próxima figura,
a Figura 34.
Após essa configuração, ao clicar em “OK” já é possível ver a Phase 1 e 2
listadas na tela inicial de configuração VPN. A Figura 35 mostra essa tela.
Figura 34 – Configuração avançada da Phase 2 - Fortigate 60C
FONTE: Captura de Tela do Fortigate 60C da Fertipar Canitar-SP
53
Como feito na Matriz com o Fortigate 200B, na unidade de Canitar no
Fortigate 60C também é necessário a criação de outra Phase 2 além dessa foi
configurada a pouco, essa segunda Phase 2 terá como origem a LAN de Canitar e
como destino a rede DMZ da Matriz.
A criação é idêntica a forma como foi criada a primeira Phase 2, apenas é
necessário alterar o Destination Address para rede DMZ que é a 192.168.131.0/24.
As duas figuras a seguir, 36 e 37, mostram como ficarão a tela de
configuração avançada da Phase 2 e como ficará a tela inicial do menu VPN, após
clicar em OK e salvar a configuração.
Figura 35 – Tela que mostra Phase 1 e a primeira Phase 2
Figura 36 – Configuração da segunda Phase 2 alterando o destino
FONTE: Captura de Tela do Fortigate 60C da Fertipar Canitar-SP
FONTE: Captura de Tela do Fortigate 60C da Fertipar Canitar-SP
54
As configurações realizadas até esse momento, fazem referência a VPN
IPsec, usando a Operadora 1 das duas pontas para fechar a comunicação. Foi
criada uma Phase 1 em cada unidade e criadas duas Phase 2 em cada unidade
também.
3.6.4 VPN pela Operadora 2
As configurações relacionadas à configuração da VPN pela Operadora 2 de
cada unidade, é realizada exatamente da mesma maneira descrita nos tópicos 3.6.2
e 3.6.3, dessa forma, será abordado no próximo tópico a questão das politicas de
Firewall necessárias para que possa haver comunicação através dessas VPNs, pois
somente criá-las não é o suficiente para que estejam ativas e funcionais.
Até esse estágio da configuração em ambas as pontas, a tela onde são
monitoradas as VPNs, tem que estar mostrando-as da forma que aparecem nas
Figuras 38 e 39 apresentadas a seguir:
Figura 37 – Finalziada a configuração da VPN no Fortigate 60C
FONTE: Captura de Tela do Fortigate 60C da Fertipar Canitar-SP
55
Conforme mostram as imagens acima, as VPNs foram criadas, com os IPs
das duas Operadoras nas duas pontas e para cada VPN foram criadas duas Phase
2, que são para troca de informações entre LAN-LAN e LAN-DMZ. É possível
observar também, que as VPNs não estão UP, pois à sua frente está habilitado o
botão Bring up que quer dizer levantar, isso porque além das configurações feitas
até o presente tópico, são necessárias algumas outras configurações que serão
descritas a seguir.
3.6.5 Políticas de Firewall
Após se concluir a configuração das VPNs, pode-se observar que são
criadas subinterfaces do tipo túnel dentro das interfaces de WAN conforme a porta
escolhida no momento da criação da Phase 1, a Figura 40 destaca as subinterfaces
geradas dentro de cada porta WAN no Fortigate 200B na Matriz.
Figura 38 – VPNs criadas na Matriz
Figura 39 – VPNs criadas em Canitar
FONTE: Captura de Tela do Fortigate 200B da Fertipar Curitiba-PR
FONTE: Captura de Tela do Fortigate 60C da Fertipar Canitar-SP
56
Da mesma forma acontece no Fortigate 60C da unidade de Canitar, pode-se
observar da mesma maneira na Figura 41 logo a diante.
Dessa forma, quando a VPN tenta se comunicar com a rede LAN através da
VPN, ela não consegue se estabelecer, pois o Firewall do Fortigate bloqueia esse
tipo de acesso uma vez que está vindo de fora da rede local, para dentro, nas
figuras a seguir, pode-se ver como ficaram depois de configuradas as políticas de
cada um dos equipamentos.
Ao ver as Figuras 42 e 43 se pode ter uma visão geral da configuração de
firewall que possibilitou o funcionamento das VPNs.
Figura 40 – Subinterfaces do tipo "túnel" - Matriz
Figura 41 – Subinterfaces do tipo "túnel" - Canitar
FONTE: Captura de Tela do Fortigate 200B da Fertipar Curitiba-PR
FONTE: Captura de Tela do Fortigate 60C da Fertipar Canitar-SP
57
As políticas acima mostradas representam respectivamente a seguinte
lógica: As duas primeiras estão liberando o acesso do túnel Canitar_OP1 para a
DMZ e para LAN da matriz. As outras duas regras seguintes têm a mesma função,
porém com o túnel Canitar_OP2. Logo abaixo as últimas quatro regras liberam o
acesso tanto da DMZ como da LAN para os dois túneis, Canitar_OP1 e
Canitar_OP2. Acontece dessa forma pelo motivo de que a matriz tem duas redes
como origem/destino.
De forma semelhante trabalham as políticas de firewall no Fortigate 60C em
Canitar, com a diferença que Canitar tem apenas uma rede a ser contatada através
da VPN, tornando a configuração um pra um, então na Figura 43 é mostrado: Nas
duas primeiras políticas o acesso com origem da rede interna tem acesso liberado
aos túneis Matriz_OP1 e Matriz_OP2 e nas últimas duas políticas, os túneis
Matriz_OP1 e Matriz_OP2 têm o acesso liberado para o acesso à rede local de
Canitar.
Figura 43 – Políticas de Firewall do Fortigate 200B
Figura 42 – Políticas de Firewall do Fortigate 60C
FONTE: Captura de Tela do Fortigate 200B da Fertipar Curitiba-PR
FONTE: Captura de Tela do Fortigate 60C da Fertipar Canitar-SP
58
A seguir, na Figura 44, uma tela de exemplo de criação de uma das
políticas.
Nessa política está se dizendo que tudo que vier da interface (túnel)
Canitar_OP1 de todos os endereços e tenha como destino a interface port16(dmz)
para todos os endereços, com horário e dia livres, acessando todos os serviços, será
aceito.
Após criar as políticas de firewall conforme descrito nesse tópico, será
possível estabelecer a VPN como é possível ver nas Figuras 45 e 46 a seguir.
Figura 44 – Configurando política de Firewall
FONTE: Captura de Tela do Fortigate 200B da Fertipar Curitiba-PR
59
As VPNs estão estabelecidas, porém não é possível que ocorra tráfego
através delas, pois não há rotas que encaminhem pacotes utilizando-as. Será
necessário configurar as rotas para que seja definido por onde os pacotes serão
encaminhados, qual a VPN será primária e como a secundária assumirá em caso de
falha, esses assuntos serão abordados no tópico a seguir.
3.7 ROTEAMENTO NO FORTIGATE
O canal de comunicação já está estabelecido, assim sendo as redes
configuradas na Phase 2 das VPNs podem trafegar por esse canal, mas para que
haja esse tráfego, é necessário que o gateway VPN receba as informações de que
deve encaminhar pacotes destinados a determinada rede pelo túnel especificado, a
configuração das rotas estáticas em cada gateway fará com que sejam feitos os
encaminhamentos corretos para os túneis. Como existe mais de um caminho, pois
são dois túneis, será necessário trabalhar isso através do roteamento de forma que
Figura 45 – VPNs estabelecidas - Fortigate 200B
Figura 46 – VPNs estabelecidas - Fortigate 60C
FONTE: Captura de Tela do Fortigate 200B da Fertipar Curitiba-PR
FONTE: Captura de Tela do Fortigate 60C da Fertipar Canitar-SP
60
um fique como redundância do outro, o roteamento estático do Fortigate trabalhado
em propriedades de distância e prioridades fará com que essa redundância funcione
de forma automática, de forma que o tráfego seja redirecionado para o link
secundário sem a intervenção de um especialista.
Na área de configuração de rotas do Fortigate, existem seis campos que
estão explicados a seguir na Figura 47.
Para a configuração do ambiente redundante da Fertipar (Curitiba x Canitar)
é necessário conhecer as redes que se comunicarão, conforme descrito nos
capítulos anteriores. Conhecendo essas redes é possível montar a tabela de
roteamento responsável pelo encaminhamento de pacotes para as VPNs.
Nesse primeiro momento serão apenas criadas todas as rotas necessárias
nos dois gateways e em seguida serão feitos os ajustes com relação a distancia e
prioridade que são as métricas que gerem o trabalho da tabela de roteamento.
No Fortigate 200B, Fertipar Curitba, serão necessárias duas rotas, conforme
descritas na Tabela 8.
Tabela 8 – Rotas Fortigate 200B
IP/MASK GATEWAY DEVICE DISTANCE PRIORITY COMMENT
192.168.142.0/255.255.255.0 - Canitar_OP1 10 0 Rota para chegar em CANITAR pela
VPN OP1
192.168.142.0/255.255.255.0 - Canitar_OP2 10 0 Rota para chegar em CANITAR pela
VPN OP2
FONTE: O próprio autor
Figura 47 – Campos para criação de rotas estáticas
FONTE: Captura de Tela do Fortigate 60C da Fertipar Canitar-SP
61
Para inserir essas configurações no Fortigate, acessa-se o menu “Router” na
opção “Static Router” e no canto superior esquerdo clicar no botão “Create New”
conforme mostrado na Figura 48.
A tela de configuração vai aparecer e nela serão inseridas informações com
relação à primeira rota, a rota que sai pela VPN da OP1, device Canitar_OP1. A
Figura 49 a seguir mostra essa configuração.
O campo Destination IP/Mask foi omitido em partes por uma questão de
tamanho, porém o conteúdo é o mesmo que está na Tabela 9.
Após criar a primeira rota, o processo será repetido para criar a rota
seguinte, as configurações da segunda rota são mostradas abaixo na Figura 50.
Figura 48 – Tela de Rotas estáticas
FONTE: Captura de Tela do Fortigate 200B da Fertipar Curitiba-PR
Figura 49 – Criação de rota estática
FONTE: Captura de Tela do Fortigate 200B da Fertipar Curitiba-PR
62
Terminada essa etapa, serão mostradas as rotas criadas da maneira que
está na Figura 51. (Foi feito um filtro para que fossem mostras apenas as rotas para
Canitar, pois o Fortigate 200B).
A configuração é realizada da mesma maneira no Fortigate 60C de Canitar,
os dados das rotas que estarão em Canitar estão descritas na Tabela 9 e depois de
inseridas, sem alterar distância e prioridade padrão, aparecem na tabela de rotas
conforme mostrado na Figura 52.
Tabela 9 – Rotas estáticas Fortigate 60C
IP/MASK GATEWAY DEVICE DISTANCE PRIORITY COMMENT
192.168.141.0/255.255.255.0 - Matriz_OP1 10 0 -
192.168.141.0/255.255.255.0 - Matriz_OP2 10 0 -
192.168.131.0/255.255.255.0 - Matriz_OP1 10 0 -
192.168.131.0/255.255.255.0 - Matriz_OP2 10 0 -
FONTE: O próprio autor
Figura 50 – Criação de rota estática
Figura 51 – Rotas estáticas criadas
FONTE: Captura de Tela do Fortigate 200B da Fertipar Curitiba-PR
FONTE: Captura de Tela do Fortigate 200B da Fertipar Curitiba-PR
63
Foram incluídas todas as rotas necessárias para a comunicação pelas duas
VPNs, porém a distância e a prioridade das rotas estão com o valor padrão, para
que as rotas trabalhem de maneira correta, respeitando que a VPN da Operadora 1
é a prioritária e a da Operadora 2 é a secundária, é necessário configurar as
distâncias e prioridades da forma como é mostrada na tabela 11.
Tabela 10 – Campos de rotas dos Fortigates
MATRIZ – FORTIGATE 200B
IP/MASK GATEWAY DEVICE DISTANCE PRIORITY COMMENT
192.168.142.0/255.255.255.0 - Canitar_OP1 1 0 Rota para chegar em CANITAR pela
VPN OP1
192.168.142.0/255.255.255.0 - Canitar_OP2 1 1 Rota para chegar em CANITAR pela
VPN OP2
CANTIAR – FORTIGATE 200C
IP/MASK GATEWAY DEVICE DISTANCE PRIORITY COMMENT
192.168.141.0/255.255.255.0 - Matriz_OP1 1 1 -
192.168.141.0/255.255.255.0 - Matriz_OP2 1 2 -
192.168.131.0/255.255.255.0 - Matriz_OP1 1 1 -
192.168.131.0/255.255.255.0 - Matriz_OP2 1 2 -
FONTE: O próprio autor
Pode-se observar que as distâncias são todas iguais nos dois gateways,
dessa forma o caminho será definido de acordo com a prioridade de cada rota,
quanto menor for o valor numérico do campo Priority mais alta será a prioridade, por
exemplo, uma rota de prioridade 5 prevalece sobre uma rota com prioridade 15,
assim se existem três rotas com a mesma rede de destino, com distância 1 em todas
elas e prioridades 5, 10 e 15, se a rota com prioridade 5 ficar indisponível, a rota de
prioridade 10 será a rota utilizada para o encaminhamento de pacotes para a rede
de destino, se a rota 10 também ficar indisponível, então os pacotes passam a ser
encaminhado pela rota 15 e assim sucessivamente.
Figura 52 – Rotas estáticas criadas
FONTE: Captura de Tela do Fortigate 60C da Fertipar Canitar-SP
64
Dessa forma então, a tabela de rotas do Fortigate ao identificar que o Device
(nesse caso a VPN) correspondente à rota não está mais disponível, deixa de usar
essa rota para encaminhar pacotes e procura por uma rota para a mesma rede de
destino da rota que foi retirada, se existir outra rota, essa passará a ser usada para
encaminhar pacotes à rede de destino, se não existir outra rota, a rede de destino da
rota que deixou de ser usada ficará inacessível. Qual o Device volta a ficar
disponível, o tráfego é novamente redirecionado para a rota anterior, pois ela tem
menor prioridade. A prioridade é uma forma de fazer com que as rotas estáticas
possam coexistir na tabela de roteamento.
O roteamento é a última etapa da configuração do ambiente, com essa
etapa concluída o ambiente está pronto para funcionar com a redundância atuando
de forma automática.
3.8 TESTES
Os testes e seus resultados apresentados nesse tópico, assim como toda a
configuração anterior, foram realizados a partir do ambiente de produção da Fertipar
de Curitiba, mas como o ambiente está em produção não foi possível deixar os
serviços das operadoras da matriz indisponíveis. Esses testes mostram a
redundância funcionando em caso de falha de comunicação na Operadora 1 e na
Operadora 2 na unidade de Canitar e ilustram como a tabela de roteamento age em
virtude dessas falhas tornando o ambiente redundante se tratando de comunicação
através de VPNs. Antes de iniciar os testes, a Figura 53 mostra o ambiente de
Canitar com as duas operadoras funcionando.
65
Na imagem supracitada pode-se observar o ambiente com todas as VPNs
ativas (menu VPN, Monitor, IPsec Monitor), todas as rotas necessárias na tabela de
roteamento (menu Router, Monitor, Routing Monitor) e um comando ping da matriz
para Canitar respondendo perfeitamente.
3.8.1 Indisponibilidade da Operadora 1 de Canitar
As rotas que foram configuradas na etapa anterior, aparecem no Fortigate
em um monitor que mostram as rotas que estão ativas na tabela de roteamento, não
necessariamente uma rota criada terá que aparecer na tabela de roteamento ativa,
no momento em que uma VPN fica com status Bring Up, ela está indisponível e o
Fortigate irá retirar toda e qualquer rota que tiver como Device essa VPN.
Para o teste ficar o mais próximo possível do real, um colaborador da
unidade de Canitar foi orientado a retirar o cabo da interface wan1, que é a interface
que recebe o link de Internet da Operadora 1, e na Figura 54 pode-se observar os
resultados.
Figura 53 – Teste – Operadora 1 e 2 sem falhas
FONTE: Captura de Tela estação de trabalho Fertipar Curitiba-PR
66
Quando há indisponibilidade na Operadora 1 na unidade de Canitar, a VPN
é o primeiro recurso que falha, logo se não há VPN a rota que direcionava o tráfego
para ela é desconsiderada pelo Fortigate e a rota de próxima prioridade prevalece,
no monitoramento de rotas apenas a rota da VPN ativa é mostrada. Todo esse
processo leva em torno de cinco segundos, como mostra a imagem acima. A
redundância está em produção e funcionando.
3.8.2 Comunicação Operadora 1 de Canitar reestabelecida
Ao reestabelecer a comunicação com a Operadora 1 em Canitar, o Fortigate
reestabelece a VPN que utilizado do serviço, atualiza a tabela de roteamento, relê as
prioridade e identifica que a rota que encaminha pacotes à VPN da Operadora 1 é a
principal, assim volta a transmitir pela VPN da Operadora 1 com perda de apenas
um pacote na resposta do ping. A Figura 55 mostra tudo isso a seguir.
Figura 54 – Teste – Operadora 1 indisponível
FONTE: Captura de Tela estação de trabalho Fertipar Curitiba-PR
67
3.8.3 Falhas na Operadora 2 de Canitar
A falha na comunicação da Operadora 2 é quase que imperceptível, pois o
tráfego está assando pela VPN da Operadora 1, quando a Operadora 2 fica
indisponível, as mesmas coisas acontecem, a VPN fica Down, a rota sai do monitor
de rotas, porém a resposta do ping não é alterada. Da mesma forma acontece
quando a comunicação é reestabelecida, a VPN volta a subir, a rota volta a aparecer
no monitor de rotas e o resultado do ping continua o mesmo.
É importante ter uma forma de monitorar os links para que não aconteça, por
exemplo, de o principal ficar inoperante e o secundário já estava indisponível há
algum tempo, dessa forma não haverá como a redundância funcionar. Existem
protocolos de monitoramento para esse tipo de caso, esse assunto vai além do
escopo desse trabalho e não será abordado.
Figura 55 – Teste – Operadora 1 reestabelece
FONTE: Captura de Tela estação de trabalho Fertipar Curitiba-PR
68
4 CONCLUSÃO
A proposta no inicio desse trabalho era de levar ao conhecimento do leitor o
fato de que é possível ter comunicação de qualidade e com segurança usando a
Internet, ao tratar da Internet para o ambiente coorporativo foi colocado em foco a
questão da disponibilidade, então a redundância desse canal de comunicação seria
essencial. Para unir qualidade, segurança e redundância, o trabalho foi elaborado
com base nas características de equipamentos da Fortinet, com informações de um
caso de uso cedidas pela Fertipar Fertilizantes.
Assim, finalizando esse trabalho, é possível afirmar que no que diz respeito
aos objetivos desse trabalho, todos foram alcançados, foram mostrados alguns
conceitos relacionados ao caso de uso apresentado, nesse caso de uso
apresentado, a história inicial do ambiente foi apresentada, bem como, o que
motivou àquela empresa a implantar tal solução. Todas as configurações foram
mostradas, desde o início até a redundância funcionando em produção inclusive
com testes e os resultados esperados conforme início do projeto. Resultados esses
que foram satisfatórios para o ambiente da Fertipar e poderão servir de parâmetro
para outras empresa e profissionais do ramo que cogitam fazer algo semelhante
utilizando os equipamentos da Fortinet aqui citados.
Foram encontradas algumas dificuldades no percurso desse trabalho com
relação à coleta de evidências, pois o ambiente está em produção e qualquer coisa
feita da maneira errada poderia comprometer o bom funcionamento do ambiente.
Para enriquecer esse assunto, como um trabalho futuro, pode-se elaborar
um estudo aprofundado sobre IPsec, roteamento, protocolos de monitoramento,
assuntos que esse trabalho não abordou detalhadamente.
69
REFERÊNCIAS
CARNEIRO, P.; VAZ, R. LAN, MAN, WAN.Redes de Computadores, 2004. Disponível em: <http://redescomputadores.no.sapo.pt/lanmanwan.htm> Acesso em: 27 nov. 2014 CERT.BR, Equipe. Segurança de Redes. cert.br, 2012. Disponível em: <http://cartilha.cert.br/redes/> Acesso em: 27 nov. 2014 CISCO SYSTEMS, INC. VPN. Disponível em: <http://www.cisco.com/web/BR/solucoes/pt_br/vpn/index.html> Acesso em: 28 nov. 2014 CONCEITO de plano de contingência, 2011. Disponível em: <http://conceito.de/plano-de-contingencia> Acesso em: 11 dez 2014 DMZ, 2014. Disponível em: <http://pt.wikipedia.org/wiki/DMZ_%28computa%C3%A7%C3%A3o%29> Acesso em: 04 dez 2014 FORTINET. Disponível em: <http://pbi.com.br/tecnologia/> Acesso em: 05 dez. 2014 FORTINET INC, 2011. Disponível em: <http://www.fortinet.com/sites/default/files/productdatasheets/FGT200B_DS.pdf> Acesso em: 27 nov. 2014 FORTINET INC, 2014. Disponível em: <http://docs.fortinet.com/uploaded/files/1086/fortigate-ipsec.pdf> Acesso em: 27 nov. 2014 FORTINET INC, 2014. Disponível em: <http://www.fortinet.com/sites/default/files/productdatasheets/FortiGate-60C.pdf> Acesso em: 27 nov. 2014 GUIMARÃES, A. G.; LINS, R. D.; OLIVEIRA, R. Segurança com Redes Privadas Virtuais - VPNs. Rio de Janeiro - RJ: Sergio Martins de Oliveira, 2006. 210p. Disponível em: <http://books.google.com.br/books?id=NCvZWZ4NIbkC&printsec=frontcover&hl=pt-BR&source=gbs_ge_summary_r&cad=0#v=onepage&q&f=false> Acesso em: 28 nov. 2014 IESDE BRASIL S.A. Redes de Computadores. Disponível em: <http://concursospublicos.uol.com.br/aprovaconcursos/demo_aprova_concursos/informatica_para_concursos_09.pdf> Acesso em: 27 nov. 2014 MIRANDA, I. C. VPN - Virtual Private Network. GTA/UFRJ. Disponível em: <http://www.gta.ufrj.br/seminarios/semin2002_1/Ivana/> Acesso em: 28 nov. 2014 MORIMOTO, C. E. Redundância. Guia do Hardware, 2005. Disponível em: <http://www.projetoderedes.com.br/artigos/artigo_conceitos_de_redundancia.php>.
70
Acesso em: 08 dez. 2014 O QUE É INTERNET. Significados. Disponível em: <http://www.significados.com.br/Internet/> Acesso em: 26 nov. 2014 PETRACIOLI, F. Conheça diferentes tipos de conexão à Internet. PCWorld, 2008. Disponível em: <http://pcworld.com.br/reportagens/2008/01/18/conheca-os-diferentes-tipos-de-conexao-a-Internet/> Acesso em: 27 nov. 2014 PINHEIRO, J M S. Conceitos de Redundância e Contingência. Projeto de Redes, 2004. Disponível em: <http://www.projetoderedes.com.br/artigos/artigo_conceitos_de_redundancia.php>. Acesso em: 08 dez. 2014
STANGER, J. Rede Segura Linux. Rio de Janeiro - RJ: Edgar Danielyan, 2002. 672p. TARGETHOST. Conexões com a Internet, 2014. Disponível em: <http://www.targethost.com.br/tipos-de-conexao-de-Internet/> Acesso em: 27 nov. 2014
UMA EXCELENTE definição de Internet. O segundo choque, 2007. Disponível em: <http://osegundochoque.blogia.com/2007/070702-uma-excelente-definic-o-de-Internet-para-perceber-melhor-o-que-esta-em-causa-.php> Acesso em: 26 nov. 2014
71
ANEXOS ANEXO A – ANEXO A – DATA SHEET FORTIGATE 200B/200B-POE
ANEXO B – DATA SHEET FORTIGATE/FORTIWIFI 60C SERIES