monografia_diana moura vasconcelos

ESCOLA SUPERIOR ABERTA DO BRASIL ESAB CURSO DE PS-GRADUAO LATO SENSU EM REDES DE

COMPUTADORES

DIANA MOURA VASCONCELOS

VPN: INTERCONEXO ENTRE AS UNIDADES DE ENSINO

VILA VELHA ES 2011



Monografia apresentada ao Curso de Redes de Computadores da Escola Superior Aberta do Brasil como requisito para o ttulo de Especialista em Redes de Computadores, sob orientao da Prof. Beatriz Christo Gobbi.

VILA VELHA ES 2011



Monografia aprovada em de de 2011.

Banca Examinadora

_________________________________

_________________________________

_________________________________

VILA VELHA ES 2011

Agradecimentos

Agradeo a Deus, pela fora e sade para poder enfrentar as dificuldades e lutar pelos meus objetivos. Aos meus familiares e amigos, pelo apoio fornecido em todo momento.

Finalmente, agradeo ao orientador e a todos os tutores, cujos conhecimentos transmitidos, atravs das disciplinas cursadas, embasaram este trabalho e contriburam para o meu desenvolvimento intelectual e, conseqentemente, possibilidade de uma boa capacitao profissional.

RESUMO

O trabalho que segue descreve o projeto de uma interconexo de computadores, baseada na arquitetura cliente-servidor, entre mquinas clientes, localizadas nas Unidades Municipais de Ensino, e uma mquina servidores, fixada nas Secretarias Municipais de Educao, tomando por base o estudo realizado na situao atual do municpio de Aracaju, que reflete a realidade da estrutura de trabalho na estrutura educacional de todo o Pas. Inicialmente, o trabalho contempla um estudo sobre redes de computadores, hardware e software de redes de computadores, interconexo de redes, segurana em redes, tunelamento, criptografia e seus algoritmos e redes privadas virtuais (VPNs) e suas caractersticas. Em seguida, traz uma explanao da situao atual da administrao escolar no municpio, evidenciando a demanda e os benefcios da interconexo projetada, e a apresentao da soluo a ser adotada, bem como descrio de sua implementao em um cenrio experimental. Evidenciando, por fim, as razes que indicaram a escolha da VPN como soluo ideal e demais resultados obtidos com o trabalho.

Palavras-Chave: Redes Privadas Virtuais, Redes de Computadores, Segurana, Tunelamento e Criptografia.

LISTA DE ILUSTRAES

Ilustrao 1 - Comunicao Host a Host na arquitetura em camadas........................... 17 Ilustrao 2 - Arquitetura TCP/IP em quatro camadas .................................................. 20 Ilustrao 3 - Topologias de Rede................................................................................. 23 Ilustrao 4 - Conceito do Tunelamento........................................................................ 36 Ilustrao 5 - Modelo do Tunelamento Voluntrio ......................................................... 37 Ilustrao 6 - Modelo de Tunelamento Compulsrio ..................................................... 37 Ilustrao 7 - Console para configurao do servidor RRAS......................................... 50 Ilustrao 8 - Escolha do equipamento servidor............................................................ 50 Ilustrao 9 - Solicitando a configurao do servidor RRAS ......................................... 51 Ilustrao 10 - Definindo tipo de RRAS ......................................................................... 51 Ilustrao 11 - Habilitando permisso ao acesso remoto para usurio ......................... 52 Ilustrao 12 - Adicionando Poltica de Acesso Remoto ............................................... 53 Ilustrao 13 - Definindo tipo de acesso controlado pela poltica criada ....................... 54 Ilustrao 14 - Adicionando Grupos de Acesso............................................................. 54 Ilustrao 15 - Definindo mtodo de autenticao......................................................... 55 Ilustrao 16 - Configurao de portas do RRAS.......................................................... 55 Ilustrao 17 - Definindo caractersticas das portas ...................................................... 56 Ilustrao 18 - Adicionar Conexo................................................................................. 57 Ilustrao 19 - Definindo nmero de discagem da conexo.......................................... 58 Ilustrao 20 - Verificando usurios conectados ao servidor RRAS.............................. 59 Ilustrao 21 Configuraes PPP Criando uma conexo e definindo o nome do

provedor ................................................................................................................. 60 Ilustrao 22 Configuraes PPP Desabilitando resoluo DSN na conexo e

definindo mtodo de autenticao.......................................................................... 60 Ilustrao 23 Configuraes PPP Informando usurio e Informando senha de

autenticao ........................................................................................................... 60 Ilustrao 24 Configuraes PPP Informando velocidade do modem e Definindo

Mtodo de discagem .............................................................................................. 61 Ilustrao 25 Configuraes PPP Definindo nmero telefnico do servidor RRAS e

Permitindo que o modem seja configurado automaticamente................................ 61

Ilustrao 26 Configuraes PPP Salvando a configurao e Finalizando a configurao........................................................................................................... 61

Ilustrao 27 - Console de configurao do IAS............................................................ 63 Ilustrao 28 Configurao do Cliente RADIUS - Nome e endereo do cliente ......... 63 Ilustrao 29 - Configurao do Cliente RADIUS - Tipo de implementao e senha .... 64 Ilustrao 30 - Configurando polticas de acesso IAS ................................................... 65 Ilustrao 31 - Adicionando usurios poltica de acesso IAS ..................................... 65 Ilustrao 32 - Adicionando grupos de usurios do Windows ....................................... 66 Ilustrao 52 - Console do servio RRAS no Windows 2003 Server............................. 67 Ilustrao 34 - Escolhendo componente a ser adicionado ............................................ 68 Ilustrao 35 - Detalhamento das ferramentas a serem instaladas............................... 69 Ilustrao 36 - Executando o cliente VPN ..................................................................... 70 Ilustrao 37 Adicionando uma conexo VPN e Criando uma VPN PPTP ................ 71 Ilustrao 38 Configurando dados da conexo VPN .................................................. 71 Ilustrao 39 Configurando dados da conexo VPN .................................................. 71

SUMRIO

1 INTRODUO......................................................................................................... 10

1.1 O PROBLEMA....................................................................................................... 11 1.2 OBJETIVO GERAL ..................................................................................................... 11 1.3 OBJETIVOS ESPECFICOS .......................................................................................... 11 1.4 JUSTIFICATIVA.......................................................................................................... 11 1.5 METODOLOGIA ......................................................................................................... 12

2 REDES DE COMPUTADORES E SEGURANA.................................................... 13

2.1 REDES DE COMPUTADORES ...................................................................................... 13 2.2 ARQUITETURA DE REDES .......................................................................................... 16 2.2.1 MODELO TCP/IP ................................................................................................... 18 2.2.1.1 O Protocolo IP................................................................................................... 20 2.2.1.2 O Protocolo TCP............................................................................................... 21 2.3 PRINCIPAIS TIPOS DE REDE ...................................................................................... 22 2.3.1 REDES LOCAIS - LANS ........................................................................................... 24 2.3.2 REDES METROPOLITANAS - MANS .......................................................................... 24 2.3.3 REDES GEOGRAFICAMENTE DISTRIBUDAS - WANS.................................................. 25 2.3.4 INTER-REDES ........................................................................................................ 25 2.4 CABEAMENTO ESTRUTURADO ................................................................................... 26 2.5 INTERNET ................................................................................................................ 28 2.6 SEGURANA EM REDES ............................................................................................ 29 2.6.1 FIREWALL.............................................................................................................. 30 2.6.2 CERTIFICADO DIGITAL ............................................................................................. 31 2.6.3 CRIPTOGRAFIA....................................................................................................... 32 2.6.3.1 Simtrica........................................................................................................... 33 2.6.3.2 Assimtrica ....................................................................................................... 34 2.6.4 VIRTUAL PRIVATE NETWORK (VPN REDE PRIVADA VIRTUAL) .................................. 34 2.6.4.1 Tunelamento ..................................................................................................... 36 2.6.4.2 Topologias VPN ................................................................................................ 38 2.6.4.3 Protocolos de Tunelamento .............................................................................. 38 2.6.4.4 PPTP................................................................................................................. 39 2.6.4.5 L2TP ................................................................................................................. 40 2.6.4.6 IPSEC ............................................................................................................... 41

3 CONTEXTUALIZAO ........................................................................................... 43

3.1 A SITUAO ATUAL................................................................................................... 43 3.2 SOLUO PROPOSTA ............................................................................................... 44

3.3 REQUISITOS DA SOLUO ......................................................................................... 45 3.4 O IMPACTO DA SOLUO PROPOSTA NAS ATIVIDADES DA INSTITUIO ......................... 46

4 CENRIO EXPERIMENTAL.................................................................................... 48

4.1 CONFIGURANDO O SERVIO RAS.............................................................................. 49 4.1.1 SERVIDOR RAS..................................................................................................... 49 4.1.2 CONFIGURANDO O CLIENTE RRAS NO WINDOWS XP PROFESSIONAL ........................ 56 4.1.3 CONFIGURANDO O CLIENTE RRAS NO UBUNTU 10.10 .............................................. 59 4.2 CONFIGURANDO SERVIO VPN................................................................................. 62 4.2.1 SERVIDOR VPN..................................................................................................... 62 4.2.2 CLIENTE VPN........................................................................................................ 67 4.2.2.1 Cliente Windows ............................................................................................... 67 4.2.2.2 Cliente Linux ..................................................................................................... 70

5 CONCLUSES ........................................................................................................ 72

6 REFERNCIAS BIBLIOGRFICAS........................................................................ 74

10

1 INTRODUO

O uso de solues informatizadas vem se propagando nas mais diversas atividades humanas, justificado pela facilidade e agilidade na manipulao de grandes quantidades de informaes, bem como pela capacidade de compartilhamento e mobilidade dos dados, introduzidas pelo advento das redes de computadores e, em particular, da Internet.

De maneira geral, com o avano da informtica, comum uma empresa que possua uma ou vrias filiais e necessitar de uma comunicao entre elas. Entretanto, na maior parte dos casos, estas ligaes so dificultadas, principalmente pelo fator financeiro e, em alguns casos, devido grande distncia existente entre elas.

No caso particular das unidades de educao, em que so usados sistemas manuais para execuo das tarefas administrativas, recaindo em processos lentos e extremamente burocrticos. Considera-se importante viabilizar o desenvolvimento de sistemas informatizados, a fim de automatizar parte destas tarefas administrativas, melhorando o processo de execuo das mesmas. Para tanto a principal demanda o estabelecimento de alguma forma de conexo entre as unidades escolares e a unidade administrativa qual se reportam, que em geral designada de secretaria de educao, seja no mbito municipal ou estadual.

Atualmente, a Virtual Private Network (VPN) ou Rede Privada Virtual uma das formas mais usada para se unir diferentes redes de uma organizao, utilizando para isso um meio pblico, quase sempre a Internet, para transferir os dados. Sua principal caracterstica a criao de tneis virtuais entre essas redes, estabelecendo um canal de comunicao seguro.

11

1.1 O PROBLEMA

O presente trabalho busca responder questo: Como interligar as unidades de ensino de uma mesma regio, provendo uma comunicao eficaz, segura e capaz de suportar a heterogeneidade das possibilidades de conexo a serem encontradas em cada unidade?

1.2 OBJETIVO GERAL

O objetivo principal desse trabalho estudar a interligao das unidades de ensino de uma mesma regio, provendo uma comunicao eficaz, segura e capaz de suportar a heterogeneidade das possibilidades de conexo a serem encontradas em cada unidade.

1.3 OBJETIVOS ESPECFICOS

Discutir sobre redes de computadores, segurana em redes e implementao de VPN em Linux Ubuntu 10.10 e Windows 2003 Server;

Identificar uma soluo que atendam implantao da interconexo, considerando os requisitos levantados;

Definir como implementar uma VPN entre as unidades envolvidas, utilizando a Secretaria de Educao como estao servidora e as demais unidades como clientes, considerando a utilizao tanto do sistema operacional Windows e Linux.

1.4 JUSTIFICATIVA

Utilizar uma VPN permite o compartilhamento de arquivos e a utilizao de aplicativos de produtividade e gerenciamento, fornecendo o acesso rede interna da organizao de qualquer local em que haja uma conexo com a internet. Tal

12

conexo demandada pela implantao de sistemas informatizados de apoio s atividades escolares e administrativas da secretarias e de suas unidades de ensino.

1.5 METODOLOGIA

A realizao do trabalho ser iniciada por um estudo sobre os conceitos que envolvem a redes de computadores, interconexo de redes, segurana em redes, tunelamento, criptografia e algoritmos de criptografia.

A seguir ser feita uma contextualizao com a descrio da situao atual, tomando como base o municpio de Aracaju/SE, atravs da observao pessoal e de entrevista com o responsvel pela Coordenao de Tecnologia da Informao da Secretaria Municipal de Educao, deste municpio, durante o ms de novembro de 2010. Em seqncia, apresentar-se- a soluo proposta, qual seja aquela que, com base nos estudos realizados anteriormente, melhor atenda aos requisitos levantados.

A terceira etapa ser a descrio e o estudo da montagem de um cenrio experimental, que valide a soluo escolhida, utilizando-se de mquinas virtuais, para documentar os passos necessrios implementao da soluo recomendada.

13

2 REDES DE COMPUTADORES E SEGURANA

Nesta seo sero expostos os principais conceitos que fundamentam a aplicao das tcnicas e ferramentas utilizadas neste projeto, tais como: redes de computadores, arquitetura e equipamentos de redes, Internet, segurana em redes, tunelamento e criptografia.

2.1 REDES DE COMPUTADORES

As redes de computadores foram iniciadas na dcada de 60, inicialmente para suprir uma necessidade, militar durante a chamada Guerra Fria (1945-1991), entre os Estados Unidos da Amrica e a Unio Sovitica. Neste perodo os americanos iniciaram grandes pesquisas, em busca de uma forma de interconectar os vrios centros de comando do pas, de modo que o seu sistema de informaes fosse robusto, ou seja, que continuasse funcionando mesmo que houvesse um conflito nuclear (MIRANDA, 2008).

A expanso do uso de redes computadores foi iniciada em 1970 nos Estados Unidos onde, foram escolhidas de quatro Universidades para serem conectadas na rede computacional ARPANET1. Alm da comunidade acadmica, a rede original atendia tambm comunidade militar americana. A rede se expandiu rapidamente, incluindo com sucesso computadores de variadas plataformas e, assim, demonstrando que a comunicao entre sistemas de concepes diferentes, era possvel. E assim, muitas empresas comearam a ver nessa rede uma sada para a limitao ao uso de computadores que era, at o momento, a falta de comunicao elas (FAVARETO, 2008).

1 ARPANET - Primeira rede nacional de computadores criada em 1969 pelo Departamento de

Defesa (DoD) dos Estados Unidos de Norte Amrica para garantir a segurana em caso de acidente nas comunicaes.

14

Usurios individuais de sistemas de computao no trabalham isolados e necessitam de alguns dos benefcios oferecidos por um sistema centralizado. Assim, o desenvolvimento de ambientes de trabalho cooperativos tornou-se uma realidade tanto nas empresas como nas universidades, incrementando o uso de solues informatizadas, em que a demanda por troca de informaes entre os computadores, exigia a interconexo dos equipamentos nessas organizaes.

Para tanto os pesquisadores criaram novas arquiteturas, que propunham a distribuio e o paralelismo como forma de melhorar desempenho, confiabilidade e modularidade dos sistemas computacionais. A idia de redes de computadores comeava a se formar.

De forma simplificada, uma rede um sistema que permite a comunicao entre unidades computacionais instaladas em pontos distintos, ou seja, um sistema que permite a troca de informaes entre computadores. Neste sentido, os componentes bsicos de uma rede so um emissor (origem da informao), o meio atravs da qual a informao trafega (o canal), um receptor (o destino da informao) e finalmente a mensagem ou a informao que se deseja transmitir.

Rede de computadores um conjunto de computadores autnomos interconectados, trocando informaes entre si, atravs de algum meio como, por exemplo, um fio de cobre, fibras pticas, rdio, microondas ou satlites de comunicao (TANENBAUM, 1997). Assim, o conceito de redes de computadores inclui todos os equipamentos e aplicativos necessrios interconexo de dispositivos. Esses dispositivos que se comunicam entre si podem ser chamados de ns, estaes de trabalho, pontos ou simplesmente dispositivos de rede.

Os usos mais tradicionais de redes de computadores esto nas atividades empresariais, comerciais, acadmicas e at pessoais. Em empresas com uma quantidade significativa de microcomputadores, o advento das redes de computadores surge como uma excelente estratgia para o compartilhamento de recursos e para fornecer mobilidade da informao. Particularmente no caso da

15

informao, vale ressaltar que atualmente, com a popularizao dos microcomputadores, qualquer empresa de mdio a grande porte utiliza informaes computadorizadas (TANENBAUM, 2003).

Neste sentido, o uso das redes de computadores vem facilitar o acesso e o armazenamento das informaes, de forma que vrias mquinas podem acessar e manipular uma mesma base de dados localizada em um dos computadores desta rede, garantindo a integridade e eliminando a redundncia que existiria no caso de cada mquina possuir a sua base de dados individual, como ocorria antes das redes existirem.

Embora no haja um critrio bem definido para se classificar as redes, elas podem ser qualificadas quanto a sua natureza, em dois tipos: cliente-servidor (client-server) e ponto-a-ponto (peer-to-peer). As redes cliente-servidor possuem dois mdulos bsicos: o Servidor e o Cliente. O mdulo servidor composto por uma ou mais mquinas, responsveis por servir aos Clientes da rede com aquilo que solicitado. O mdulo cliente, por mquinas que solicitaram informaes ou recursos que estaro contidas no Servidor. Exemplos de servios oferecidos aos clientes so: controle de usurios, aplicativos, filas de impresso, armazenamento de arquivos, que sendo gerenciados como uso de sistemas operacionais especficos para esta atividade. As mquinas que requerem esses servios so chamadas de clientes ou hosts, e as mquinas que os fornecem so chamadas de servidores (MIRANDA, 2008).

J na rede ponto-a-ponto no existem servidores, todas as estaes compartilham seus recursos mutuamente, sendo clientes e servidores ao mesmo tempo. Dessa forma, possuem as vantagens de uma implementao simples e de os computadores funcionarem normalmente independente da rede. No entanto, apresentam deficincias de segurana, em relao ao controle de acesso aos recursos, e de tolerncia a falhas, levando indisponibilidade de recursos em caso de falhas no computador que o hospeda. H tambm uma limitao quanto ao crescimento, pois no possvel estend-las muito (MORIMOTO, 2004).

16

Assim, o modelo mais comumente adotado por empresas so as redes cliente-servidor, tendo as redes ponto-a-ponto pouca utilizao.

2.2 ARQUITETURA DE REDES

Os projetos iniciais de redes de computadores eram focalizados na estruturao do hardware, deixando o software de lado. Na atualidade isto j no acontece, nas ltimas dcadas cresceu a preocupao com o software de rede, que se apresenta altamente estruturado (TANENBAUM, 2003).

Para reduzir a complexidade dos projetos, na maioria das redes adota-se uma organizao em camadas para o software de rede. Assim, ao conjunto de camadas e protocolos que estruturam o software de uma rede d-se o nome de arquitetura de rede. Os modelos que influenciam as arquiteturas de redes praticadas atualmente apresentam uma estrutura montada em camadas, como pilhas de protocolos. So eles: o modelo OSI (Open Systems Interconection Interconexo de Sistemas Abertos), desenvolvido pela ISO (International Standards Organization Organizao Internacional de Padres), que possui sete camadas e o modelo TCP/IP, assim chamado graas a seus dois principais protocolos e que, por usa vez, possui apenas quatro camadas (TANENBAUM, 2003).

No modelo OSI, as camadas so distribudas uma acima da outra, hierarquicamente, de acordo com a funo que desempenham. Uma entidade um elemento ativo em uma camada. Duas entidades em uma mesma camada so denominadas entidades pares. As entidades de uma camada prestam servios s entidades da camada imediatamente acima e, por sua vez, recebem servios da camada situada imediatamente abaixo. Nessa dinmica, as camadas adjacentes, se comunicam atravs de interfaces, que definem quais informaes devero passadas de uma pra outra e como elas estaro estruturadas Por exemplo, considerando a ilustrao 1, as entidades da camada de apresentao prestam

17

servios camada de aplicao e recebem servios da camada de sesso (MIRANDA, 2008).

A idia bsica do modelo de referncia OSI que cada camada seja responsvel por algum tipo de processamento. Assim no momento da transmisso de dados para a rede, os dados partem da camada mais alta (aplicao) e vai sendo repassado cada por camada. Cada camada recebe dados da camada superior, acrescenta suas informaes de controle e passa os dados para a camada imediatamente inferior. J na recepo acontece o processo inverso, os dados iniciam na camada mais baixa (fsica), e cada camada recebe dados da camada inferior, processa os dados recebidos removendo informaes de controle pelas quais ela seja responsvel e passa os dados para a camada imediatamente superior. Em resumo, cada camada adiciona (quando o computador estiver transmitindo dados) ou remove (quando o computador estiver recebendo dados) informaes de controle de sua responsabilidade (TORRES, 2007).

Ilustrao 1 - Comunicao Host a Host na arquitetura em camadas Fonte: MIRANDA (2008)

Pode-se dizer que o modelo OSI apenas uma referncia, no possuindo implementao concreta, seu objetivo fornecer uma base comum para o desenvolvimento de padres para a interconexo de sistemas. Nesse contexto, tem-se o modelo TCP/IP, um padro fisicamente implementado, baseado na

18

arquitetura OSI e que a base da internet e demais redes em funcionamento atualmente, sendo, por isso, detalhado na subseo seguinte (MIRANDA, 2008).

2.2.1 Modelo TCP/IP

Este modelo um conjunto de protocolos desenvolvidos para permitir que computadores compartilhem recursos dentro de uma rede. A arquitetura TCP/IP surgiu da necessidade de expanso da ARPANET, que se formava como uma rede que permaneceria intacta caso um dos servidores perdesse a conexo, e para isso, necessitava de protocolos (robustos) que assegurassem tais funcionalidades trazendo confiabilidade, flexibilidade e que fosse fcil de implementar. Em uma definio mais bsica, o nome correto para este conjunto de protocolos Conjunto de Protocolos para a Internet". Os protocolos TCP e IP so dois dos protocolos deste conjunto. Como os protocolos TCP e IP so os mais conhecidos, comum se referir a TCP/IP para referenciar toda a famlia de protocolos. (MIRANDA, 2008).

Por essa razo, de acordo com FAVARETO (2003), o projeto do modelo TCP/IP, foi concebido com priorizao das seguintes caractersticas:

Boa recuperao de falhas - a rede deveria funcionar mesmo que alguns componentes ficassem indisponveis;

Novas Sub-Redes podem ser conectadas rapidamente - a conexo de novas redes deveria ser feita sem parar o servio em execuo;

Manipulao de Taxas de Erros Altas - O servio deve ser capaz de tolerar taxas de erro altas ou imprevisveis, e ainda nessas condies, fornecer um servio extremamente confivel.

Independncia de Host - o servio de conexo deveria funcionar independente do fornecedor ou marca dos equipamentos;

19

Alm da robustez, era necessria uma arquitetura flexvel e capaz de oferecer vrios servios, como transmisso de arquivos e voz (TANENBAUM, 2003). Assim, foram definidas, conforme ilustrao 2, as seguintes camadas:

Fsica/ Enlace esta camada trata da transmisso dos pacotes IP entre as unidades da rede ou entre redes, embora o modelo no defina qual o protocolo utilizado para isso, podendo ele variar entre hosts e entre redes;

Rede deve permitir que os hosts enviem pacotes pela rede que iro trafegar, ou seja, o roteamento, independentemente e chegar ao seu destino, mesmo que de forma desordenada, neste caso as camadas superiores so responsveis pela ordenao, se for exigido. Para tal esta camada define um formato de pacote e de endereamento universais e um protocolo para cumprir a funo a ela empregada, o IP, que ser apresentado na subseo seguinte;

Transporte a funo bsica desta camada permitir a conversao entre a origem e o destino das mensagens transmitidas. Para isto define dois protocolos: o TCP e o UDP (User Datagram Protocol Protocolo de Datagrama do Usurio). O TCP confivel e orientado a conexo, assim, garante a entrega sem erros de um fluxo de bytes entre mquinas da rede e tambm controla o fluxo, para tratar a diferena de velocidade entre emissor e receptor. J o UDP no orientado e no oferece controle de fluxo nem da seqncia dos pacotes transmitidos;

Aplicao esta camada contm os protocolos de mais alto nvel, responsveis pelos servios oferecidos aos usurios, dentre os quais encontram-se: o FTP para transferncias de arquivos, o SMTP para correio eletrnico, o TELNET para acesso remoto, o http para navegao de hipertextos na Internet e alguns outros;

A idia por trs do TCP/IP exatamente a mesma que a do modelo de referncia OSI: a comunicao fim-a-fim de cada camada com a sua correspondente, do transmissor ao receptor (TORRES, 2007). A principal diferena entre eles est na pilha de camada, pois o TCP/IP tem duas camadas que se formam a partir da

20

fuso de algumas camadas do OSI, elas so: as camadas de Aplicao, que engloba as funes das camadas: Aplicao, Apresentao e Sesso (OSI); e Rede, que encarrega-se das atividades relativas s camadas Link de dados e Fsica (OSI), conforme apresentado na ilustrao 2 (MIRANDA, 2008).

Ilustrao 2 - Arquitetura TCP/IP em quatro camadas Fonte: MIRANDA (2008)

2.2.1.1 O Protocolo IP

Sendo o protocolo da camada de rede do modelo TCP/IP, pode-se definir a tarefa do IP como fornecer a melhor forma de transportar pacotes da origem para o destino, independente de essas mquinas estarem na mesma rede ou em outras redes intermedirias (TANENBAUM, 2003). importante expor algumas das principais caractersticas do protocolo IP:

No orientado a conexo;

O checksum, mecanismo de controle de integridade, confirma apenas a integridade do cabealho do pacote;

A responsabilidade dos dados contidos no pacote do IP tarefa de protocolos de mais alto-nvel;

Esconde a arquitetura fsica da rede;

Cria identificadores universais - Endereos IP;

21

Define unidade de transferncia do protocolo - Datagramas IP;

Faz encaminhamento da informao, mas fornece um servio no confivel, de comunicao entre mquinas

Todo protocolo da camada de rede define um tipo de endereamento para identificar o computador e a rede. O IP tem um endereo formado 32 bits, em que traz o ID (identificador) da Rede e o ID do computador dentro da rede especficada. Os 32 bits endereo IP so divididos em 4 octetos, ou 4 bytes, que, em formato binrio (sistema numrico de base 2) so de difcil manipulao pelos seres humanos bastante difcil, por isso comum a converso para o base decimal, tornando-se mais legvel e facilitando o seu mapeamento (MIRANDA, 2008). Dessa forma, por exemplo, o endereo IP de 32 bits, que na base binria seria indicado pela seqncia 11111111.11111111.11111111.00000001, pode ser representado por quatro nmeros na base decimal: 255.255.255.0.

2.2.1.2 O Protocolo TCP

Sendo protocolo da camada de transporte, o TCP tem a funo de oferecer um fluxo de bytes fim a fim, confivel, por meio de uma inter-rede no confivel (TANENBAUM, 1997). Para tanto este protocolo tem como principais caractersticas:

Estabelece canais virtuais com ligao mquina a mquina;

Fornece um servio confivel;

Fornece comunicao nos dois sentidos em simultneo (full-duplex); Realiza controle de fluxo atravs do uso de buffer para armazenamento dos dados enviados e recebidos.

Implementa o conceito de portas dando capacidade de distinguir mensagens de mltiplos destinos para uma mesma mquina;

22

Garante a entrega dos pacotes e assegura o seqenciamento correto dos mesmos;

Seu checksum valida o cabealho e os dados;

o responsvel pela retransmisso de um pacote faltoso, perdido ou estragado;

Requer que o destinatrio informe o recebimento do pacote;

importante frisar que seus servios de confirmao geram trfego adicional na rede, diminuindo a taxa de transferncia de dados em favor da confiabilidade. Por isso, o modelo TCP/IP, tem como alternativa o protocolo UDP, que pode ser usado em ocasies em que, no so necessrios todos os recursos do protocolo TCP. O UDP foi designado para aplicaes em que no necessrio enviar seqncias longas de datagramas. Ele trabalha como o protocolo TCP, porm ele no divide os dados em mltiplos datagramas, e o cabealho inserido por ele muito menor do que aquele inserido pelo TCP. Alm disso, o protocolo UDP opera no modo sem conexo e fornece um servio de datagrama no confivel, s mantm controle sobre os dados enviados, sendo, portanto, uma simples extenso do protocolo IP (MIRANDA, 2008).

2.3 PRINCIPAIS TIPOS DE REDE

Pode-se distinguir os diversos tipos de rede de acordo com a topologia e a tecnologia de transmisso utilizada. A topologia refere-se forma estrutural como os computadores so interligados entre si ou com o meio de transmisso, de forma a se comunicarem. De acordo com MIRANDA (2008), existem trs topologias bsicas:

Barramento ilustrao 3-a, em que os computadores so ligados seqencialmente como uma fila ao longo de um nico meio de transmisso, disposto de forma linear;

23

Estrela ilustrao 3-b, onde todos os computadores so conectados por cabos separados e um ponto central nico, como um concentrador;

Anel ilustrao 3-c, em que os computadores so conectados a um nico cabo, disposto de forma circular.

Ilustrao 3 - Topologias de Rede Fonte: Elaborao prpria (2010)

J a tecnologia de transmisso, refere-se forma como as mquinas se comunicam, existindo, conforme TANEMBAUM (1997), duas maneiras bsicas:

Redes de difuso - consistem no compartilhamento de um nico canal de comunicao por todas as mquinas;

Redes ponto a ponto consistem em muitas conexes entre pares de mquinas individuais;

Em redes de difuso, as mquinas so identificadas por um endereo, que referencia cada mquina unicamente. Nesta tecnologia, as mensagens trocadas entre mquinas so geralmente chamadas de pacotes. Quando uma mquina deseja enviar uma mensagem a alguma outra, ela deve adicionar ao pacote o endereo da mquina destino. Considerando que o meio de transmisso compartilhado, o pacote ser recebido por todas as mquinas e elas olharo o endereo do destinatrio nele contido. Dessa forma, somente a mquina qual se destina o pacote ir process-lo e receber a mensagem.

a) Barramento b)Estrela c) Anel

24

J nas redes ponto a ponto, para ir de sua origem ao destinatrio, um pacote pode precisar passar por algumas mquinas intermedirias, que recebero o pacote e o repassaro, desde que elas sejam seu destino. importante frisar a possibilidade de existir vrios caminhos para se chegar se uma mquina a outra. Assim, os algoritmos de roteamento so extremamente importantes neste tipo de tecnologia.

Outro critrio que pode ser usado para diferenciar os diversos tipos de rede a escala, ou seja, o nvel de abrangncia da conexo. De acordo com este critrio, segundo FAVARETO (2003), pode-se obter quatro tipos de redes de computadores, conforme caracterizao a seguir.

2.3.1 Redes Locais - LANs

As redes locais, conhecidas como LANs (Local rea Network), so redes privadas contidas em pequenas reas geogrficas, com at alguns quilmetros de extenso, como um campus universitrio, um edifcio ou um escritrio. As LANs tm trs caractersticas que as distingui de outros tipos de rede: o tamanho, pois elas tm o tamanho restrito; a tecnologia de transmisso, pois se baseiam na tecnologia de difuso; e a topologia, uma vez que admitem diversas topologias, atravs da qual se pode determinar a distribuio das unidades de rede e do cabeamento utilizado, e definir o modo como os computadores se comunicam (FAVARETO, 2003).

2.3.2 Redes Metropolitanas - MANs

Conhecidas como MANs (Metropolitan Area Network), as redes metropolitanas so uma verso ampliada das LANs. Tm em geral as mesmas caractersticas das LANs, porm podem utilizar dois cabos de transmisso e no possuem elementos de comutao. Por isso, so padronizadas por uma especificao especial a 802.6, que consiste em dois barramentos aos quais os computadores

25

so conectados. H uma outra padronizao que se refere a MANs, a 802.16, do IEEE, que trata se acesso internet sem fio a alta velocidade (FAVARETO, 2003).

2.3.3 Redes Geograficamente Distribudas - WANs

As WANs (Wide Area Network), como so tambm chamadas as redes geograficamente distribudas, atuam em amplas reas geogrficas, chegando a abranger um pas ou mesmo um continente. Estas redes so compostas por conjuntos de mquinas cliente, chamadas de host, cuja finalidade, em geral, executar alguma aplicao, conectadas por uma sub-rede. Esta sub-rede consiste em dois componentes distintos: linhas de transmisso, que transportam as informaes entre as mquinas e so, em geral, linhas administradas por uma operadora telefnica que atua em toda a regio, e os elementos de comutao, que so computadores que interligam duas ou mais linhas de transmisso, fazendo o trabalho de roteadores (FAVARETO, 2003).

2.3.4 Inter-Redes

Chama-se inter-rede o conjunto de redes interconectadas. Um caso particular e mais comum de inter-rede a rede mundial de computadores ou Internet. Em geral, uma inter-rede pode ser vista como vrias LANs interconectadas por uma WAN, o que permite que mquinas em LANs distintas possam se comunicar. No entanto, para isso, preciso, como foi visto nas WANs, que algumas mquinas sirvam de comutadoras, para permitir a comunicao de toda LAN a que pertence com a WAN que as interliga.

No h, ainda um consenso quanto estas terminologias utilizadas para definir as redes e, por isso, os conceitos de sub-rede e inter-redes se confundem. Um ponto de vista aplicar a denominao sub-rede, quando se trata de redes fisicamente distribudas, formando um conjunto de mquinas, roteadores e canais de

26

comunicao, sendo as inter-redes conexo entre diferentes redes uma de difuso e outra ponto a ponto, por exemplo esto conectadas (TANENBAUM, 1997).

2.4 CABEAMENTO ESTRUTURADO

A grande maioria das redes corporativas utiliza-se de cabos como meio de transmisso, transportando sinais entre as unidades de rede, computadores e ativos. Existem diversos tipos de cabo com caractersticas distintas para atender s necessidades de cada estrutura ou topologia de rede.

A padronizao 802.3 do IEEE sobre cabeamento, o padro 802.3, descreve os tipos de cabeamento adequados para projetos de rede ethernet, padro mais difundido, com especificaes de distancia mxima e tipo de topologia ao qual se adaptam, conforme a tabela 12.

Estas estruturas de cabeamento que operacionalizam fisicamente a norma 802.3, so normativamente identificadas segundo a conveno TT base D, para sinais digitais, ou TT broad D, para sinais analgicos. Nesta conveno, TT representa a transmisso nominal da estrutura, em Mbit/s, e D, o comprimento mximo de cada segmento de rede, em centenas de metros. Os segmentos podem ser interligados por repetidores, sendo que h um limite para o comprimento mximo de toda a rede, designado pelo parmetro domnio de coliso, que especificado para cada tipo estrutura.

Inicialmente trabalhou-se com as estruturas de 10Mbit/s, em seguida surgiram as estruturas 100baseT, 2 gerao do padro Ethernet, conhecidas popularmente como Fast Ethernet, que utilizam taxas de transmisso de 100 Mbit/s, introduziram modificaes no nvel fsico, mas mantiveram a compatibilidade com os nveis superiores das verses a 10 Mbit/s. Existem duas implementaes distintas para o fast ethernet: a 100baseT4, que so suporta comunicao full-

2 Adaptada da fonte: http://www.dei.isep.ipp.pt/~andre/documentos/ethernet.html

27

duplex3, implementao atualmente em desuso, que fora substituda pelas 100baseTX e 100baseFX que utilizam apenas dois pares de cobre com blindagem ou duas fibras pticas e suportam full-duplex. Com o advento da fibra tica, o padro Ethernet j chegou em sua terceira gerao, a Gigabit Ethernet, com velocidades de at 1 Gbit/s e comunicao full-duplex (SOARES NETO, 1999).

Tabela 1 - Principais Estruturas de Cabeamento do Padro 802.3

Identificao Taxa Transm. Comp. Max.

Segmento Meio Fsico Conector e Cablagem

Topologia Fsica

10base5 10 Mbit/s 500 m coaxial 50 grosso no existe Barramento

10base2 10 Mbit/s 185 m coaxial 50 fino BNC Barramento

10broad36 10 Mbit/s 1800 m Coaxial CATV 75

- Barramento

10baseT 10 Mbit/s 100 m Par tranado no blindado (UTP) RJ-45 Estrela

10baseFL 10 Mbit/s 1000 m 1 par de fibras ticas ST Estrela

100baseT4 100 Mbit/s 100 m 4 pares tranados UTP RJ-45 Estrela

100baseTX 100 Mbit/s 100 m 2 pares tranados blindados (STP) RJ-45 Estrela

100baseFX 100 Mbit/s 100 m 1 par de fibras ticas ST Estrela

1000baseT 1 Gbit/s 100m 4 pares tranados UTP RJ-45 Estrela

1000baseSX 1 Gbit/s 550 m Fibra multimodo ST Estrela 1000baseLX 1 Gbit/s 3 Km Fibra monomodo ST Estrela 1000baseCX 1 Gbit/s 25 m Bi-axial - Estrela

Fonte: Adaptada de http://www.dei.isep.ipp.pt/~andre/documentos/ethernet.html

De acordo com a tabela 1, os tipos de cabeamento mais utilizados so os cabos coaxiais, par tranado e a fibra ptica, bem como suas principais caractersticas como limite mximo de seguimento, taxa de transmisso, e topologia a que

3 Transmisso e recepo simultneas - Mais eficiente em enlaces entre switches e entre um

switch e um servidor, nos quais o trfego continuamente pesado em ambas as direes.

28

aplicvel. A apresentao dessas informaes valida as limitaes fsicas de uma rede cabeada, de acordo com tipo de cabeamento utilizado.

2.5 INTERNET

Apesar da atual popularizao da Internet, ela teve incio com o j citado surgimento das redes de computadores no final da dcada de 50, no auge da Guerra Fria, com o objetivo de proteger e transferir informaes vitais na eventualidade de um ataque nuclear por parte da antiga Unio Sovitica (FAVARETO, 2003).

Em 1957, o Departamento de Defesa dos Estados Unidos criou a ARPA (Advanced Research Project Agency), que, no incio da dcada de 60, criou a ARPANET, conectando vrios centros de pesquisa norte-americanos (MIRANDA, 2008).

Em virtude da rpida expanso da ARPANET, o protocolo de comunicao utilizado j no estava mais suprindo as necessidades desta rede. Foi ento que, aps intensa atividade de pesquisa na dcada de 70, surgiu o conjunto de protocolos que at hoje a base da Internet, conhecido como TCP/IP (FAVARETO, 2003).

Em 1985, a NSF (National Science Foundation) interligou os seus supercomputadores, formando a NSFNET (NSF Network), que, no ano seguinte, interligou-se ARPANET. A unio dessas redes passou a ser conhecida oficialmente como Internet (MIRANDA, 2008).

No Brasil, a Internet chegou em 1988, atravs das comunidades acadmicas de So Paulo e do Rio de Janeiro. No ano de 1989, foi criada a RNP (Rede Nacional de Pesquisa), instituio com o objetivo de coordenar os servios de acesso Internet no Brasil (MIRANDA, 2008).

29

Da at os dias de hoje o uso da Internet cresceu extremamente, assim como a quantidade de servios que so oferecidos atravs dela, tais como correio eletrnico, grupos de notcias e discusses, ambientes de conversao em tempo real (chats), troca de arquivos, divulgao de textos e documentos, entre outros. Desta forma a Internet comeou a atuar nas mais diversas reas da atividade humana como comrcio, educao, pesquisa e entretenimento, por exemplo.

2.6 SEGURANA EM REDES

Atualmente, as grandes corporaes enfrentam a necessidade de acessar e distribuir informaes com outras empresas, fornecedores, filiais, clientes ou at mesmo com funcionrios geograficamente distantes do seu local de trabalho.

A grande questo que cada vez mais as empresas possuem informaes sigilosas disponveis em seus computadores, fazendo com que certos cuidados sejam necessrios, a fim de proteg-las, como limitar o acesso fsico e lgico aos computadores, atravs de mecanismos de segurana.

O desenvolvimento de tcnicas destinadas a comprometer os servios ou fornecer acesso no autorizado a dados que trafegam em redes que seguem a arquitetura TCP/IP vm, acompanhado do crescimento exponencial da Internet e do uso constante desta arquitetura em redes coorporativas (MARQUES, 2001). Assim, a preocupao com a segurana vem tornando-se ainda maior, considerando-se o risco de informaes confidenciais serem acessadas ou alteradas, caso elas no estejam bem protegidas.

Neste sentido, segurana em redes vm sendo objeto de intensos estudos e trabalhos, nos ltimos anos. Em Monteiro apud VASQUES (2005), encontra-se a seguinte definio das funes da segurana em redes de computadores:

Autenticidade Verifica se a pessoa com quem est se trocando informaes sigilosas realmente quem deveria ser;

30

Confidencialidade Limita o acesso a informaes, geralmente atravs do uso de criptografia;

Integridade Assegura que os dados no sero alterados durante uma transmisso;

Controle de acesso Limita o acesso e a utilizao de recursos apenas a pessoas autorizadas;

Disponibilidade Mantm os recursos disponveis, mesmo em caso de ataques;

No-repdio Impede que uma entidade (computador, pessoa, etc.) envolvida em uma transao negue a sua participao no evento.

Dessa forma, nos ltimos anos vm surgindo vrias tcnicas e tecnologias, que operacionalizam estas funes, e que devem ser utilizadas quando se deseja proteger as informaes que trafegam numa rede privada. Dentre as quais so relevantes a este trabalho aquelas expostas nas sub-sesses seguintes.

2.6.1 Firewall

O Firewall uma combinao de hardware e software, cujo objetivo controlar o trnsito de informaes entre as redes privadas e a Internet, como se houvesse uma barreira entre ambas, de modo que os acessos no autorizados sejam impedidos (OLIVEIRA, 2009).

Os Firewalls podem ser de trs tipos: filtros de pacotes, inspeo de pacotes com informaes de estado e aplicativos de Firewalls e de proxy4 . O filtro de pacotes o tipo mais comum de Firewall e tem como objetivo permitir ou negar a entrada de um determinado pacote de informaes em uma rede, levando em considerao o endereo IP ou a porta de origem e de destino. Possui como vantagens ser mais barato e rpido que os outros tipos de Firewall, uma vez que ele no se importa

4 Software utilizado para permitir o acesso de uma rede Internet, geralmente atravs de um firewall.

31

com o contedo dos pacotes. Entretanto, por fazer apenas uma filtragem superficial, sua principal desvantagem ser mais inseguro que os demais (FAVARETO, 2003).

A inspeo de pacotes com informaes de estado, alm de desempenhar as funes do filtro de pacotes, inspecionam o estado da conexo, ou seja, apenas aquelas conexes previamente estabelecidas e vlidas, que cumprem as condies configuradas pelo Firewall, tm acesso rede. Uma de suas vantagens no ter a necessidade de configurar cada computador dentro da rede, reduzindo os encargos administrativos. Todavia, suas configuraes so complicadas e no fornecem autenticao de usurio (FAVARETO, 2003).

Os aplicativos de Firewall e de proxy so os mais complexos, pois varrem todos os dados que passam por eles, descartando os perigosos ou no autorizados e nunca deixando um computador de dentro da rede ficar exposto redes externas. Possui como vantagens oferecer a maior segurana dos trs tipos de Firewalls, alm de autenticar as atividades dos usurios. Devido ser mais complexo, ele tambm mais lento e mais caro que os demais.

2.6.2 Certificado digital

O certificado digital um arquivo assinado eletronicamente por uma entidade confivel, chamada Autoridade Certificadora (AC). Um certificado tem o objetivo de associar a chave pblica a uma pessoa ou entidade, servindo, assim, como um mecanismo para a divulgao da chave pblica.

Qualquer entidade que conhea a chave pblica da AC pode examinar o contedo e confirmar a autenticidade de um certificado emitido por esta autoridade, uma vez que a AC assina os certificados com a sua chave privada.

Dentre os dados de um certificado digital, as seguintes informaes esto presentes: chave pblica do usurio, nmero de srie do certificado, nome da AC

32

que emitiu o certificado, a assinatura digital da AC, entre outras. A recomendao mais aceita e utilizada para a produo de certificados digitais a X.509v3, formulada pela ITU-T (International Telecommunication Union Telecommunication Standardization Sector).

2.6.3 Criptografia

A palavra criptografia vem do grego (Kryptos = escondido, oculto e Grafia = Escrita) e pode ser definida como a arte ou cincia de garantir a segurana de mensagens, de forma que apenas pessoas autorizadas a leiam. No contexto da segurana em redes de computadores ela garante confidencialidade, autenticidade, integridade e no-repdio SCHNEIER apud MARQUES (2001).

O processo de criptografia em geral, baseia-se na idia de tomar a mensagem original de um emissor, chamada texto plano e cifr-la, utilizando uma chave e um algoritmo determinados e, desta forma, gerando um outro texto, chamado de texto cifrado. O texto cifrado transmitido ao receptor, que uma vez recebendo-o efetuar o processo inverso e obter o texto original, ou seja, o texto plano criado pelo emissor. fcil notar que mesmo sendo interceptada por quem no tem autorizao de l-la a mensagem estar a principio incompreensvel, exceto se o interceptador conhecer a forma de decifr-la.

Neste sentido fica claro que deve haver uma grande preocupao quanto ao sigilo da chave utilizada. Em geral, a chave utilizada em processos de criptografia uma combinao de bits e, dependendo da forma como a chave utilizada, a criptografia classifica-se em:

33

2.6.3.1 Simtrica

Neste tipo, a mesma chave utilizada para criptografar ser usada para descriptografar a mensagem. Essa chave, chamada de chave privada, deve ser previamente trocada entre o emissor e o receptor por um canal de comunicao seguro.

A principal desvantagem em se utilizar este tipo de chave deve-se ao fato de que, como apenas uma chave utilizada para cada par emissor-receptor. Assim, preciso uma segurana rgida sob o processo de troca de chaves e se o nmero de mquinas a se comunicar for muito grande, sero necessrias inmeras chaves, o que dificultar ainda mais a gerncia das mesmas (MARQUES, 2001).

No entanto, os algoritmos que utilizam este tipo de chave tm melhor desempenho que os que utilizam a chave assimtrica. Pode-se citar alguns desses algoritmos com seus respectivos tamanhos das chaves:

Data Encryption Standard (DES) chave composta de 56 bits. Triple Data Encryption Standard (3DES) chave composta de 112 bits. Advanced Encryption Standard (AES) chave composta de 128, 192 ou 256 bits.

Blowfish chave composta de at 448 bits.

Carlisle Adams and Stafford Tavares (CAST) chave composta de 128 ou 256 bits.

Twofish chave composta de 128, 192 ou 256 bits.

Serpent chave composta de 128, 192 ou 256 bits.

34

2.6.3.2 Assimtrica

A criptografia assimtrica, por sua vez, envolve o uso de duas chaves distintas. Pode-se utilizar qualquer uma das chaves para cifrar a mensagem. Entretanto, somente a chave inversa deve ser utilizada para decifr-la. Em geral, fixa-se uma das chave para cifrar, chamada de chave pblica, e a outra decifrar, chamada de chave privada. A chave pbica deve ser amplamente divulgada e ser utilizada por quem desejar enviar uma mensagem cifrada ao seu proprietrio.

Desta forma, se um emissor utiliza a chave pblica de um determinado receptor para cifrar uma mensagem, esta s poder ser decifrada pela chave privada que o receptor deve manter em sigilo absoluto. Assim, garante-se autenticidade e confidencialidade.

Alm disso, se o emissor utilizar sua chave privada para cifrar parte da mensagem, qualquer pessoa poder decifr-la com sua chave pblica. Este principio d base ao que se chama se assinatura digital: o emissor assina a mensagem com sua chave privada e o receptor verifica sua assinatura com a sua chave pblica, garantindo que a mensagem foi realmente emitida pelo assinante.

Como exemplo de algoritmo assimtrico, pode-se citar o RSA (Rivest Shamir Adleman), que utiliza chaves compostas de 512, 768, 1024 ou 2048 bits. Este algoritmo a base da maioria das aplicaes de criptografia assimtrica utilizadas atualmente, pois seus mecanismos dificultam a obteno da chave utilizada (MARQUES, 2001).

2.6.4 Virtual Private Network (VPN Rede Privada Virtual)

A tecnologia de VPNs surgiu por volta de 1997. As VPNs so redes de computadores que esto separadas fisicamente e, que atravs de um meio

35

pblico de comunicao geralmente a Internet comunicam-se de forma segura, atravs da utilizao de criptografia.

As redes pblicas so consideradas no confiveis, tendo em vista que os dados que nelas trafegam esto sujeitos a interceptao e captura. Em contrapartida, estas tendem a ter um custo de utilizao inferior aos necessrios para o estabelecimento de redes proprietrias, envolvendo a contratao de circuitos exclusivos e independentes.

Neste caso, a rede privada chamada de virtual, porque fisicamente utiliza-se de recursos pblicos. O que torna sua rede privada so os protocolos de tunelamento porque no permitem que os dados que trafegam entre as extremidades do tnel sejam manipulados pelos demais usurios da rede pblica.

Esse tipo de rede favoreceu s empresas que no tinham recursos para investir em projetos de interligao de seus escritrios, que, a fim de reduzir os custos, podem utilizar a infra-estrutura de uma rede pblica, como a Internet, que j apresenta suporte completo para o trfego dos dados e cujo acesso simples e barato.

Porm, ao trafegar dados em uma rede pblica, significa submet-los a uma provvel interceptao e at mesmo modificao dos mesmos, por parte de pessoas no autorizadas. As VPNs implementam um processo de comunicao usando criptografia e encapsulamento para tornar a transmisso de informaes entre dois pontos segura.

Sua principal funo garantir uma comunicao segura entre as partes envolvidas, atravs de um tnel que simula uma comunicao ponto-a-ponto. Os protocolos de tunelamento possuem mecanismos como: autenticao, controle de acesso e criptografia que na verdade compem as premissas bsicas da VPN.

36

2.6.4.1 Tunelamento

A tecnologia de tunelamento surgiu antes das VPNs. O tunelamento pode ser definido como um processo de encapsular um protocolo dentro de outro, adicionando ao pacote o cabealho do protocolo encapsulador, conforme ilustrao 4.

Ilustrao 4 - Conceito do Tunelamento Fonte: CHIN (1998)

J nas redes privadas virtuais, o tunelamento adiciona um novo componente: a criptografia. O pacote alm de ser encapsulado tambm criptografado e enviado atravs da Internet ao seu destino, onde o mesmo desencapsulado e descriptografado. Esta criptografia realizada para que se o pacote for interceptado durante o percurso, ele no seja legvel. Uma das caractersticas mais importantes em um tunelamento VPN que pacotes de certos protocolos podem ser encapsulados em pacotes de protocolos diferentes. Por exemplo, pacotes de protocolo IPX podero ser encapsulados e enviados por pacotes TCP/IP.

No cabealho adicionado no ato do encapsulamento, estaro as informaes de roteamento necessrias para a transmisso dos mesmos pela rede intermediria. A rede intermediria pode ser uma rede pblica ou privada. As extremidades do tnel da rede intermediria que faro o roteamento desses pacotes. O tnel pode ser entendido como o caminho percorrido pelos pacotes ao longo da rede intermediria. Ao chegar em seu destino, os pacotes so desencapsulados e

37

encaminhados ao seu destino final. De acordo com Favareto (2003), existem duas estratgias de tunelamento a serem utilizadas:

Tunelamento Voluntrio: quando uma estao ou servidor de roteamento utiliza um software para cliente de tunelamento com a finalidade de criar uma conexo virtual at o servidor VPN. Este tipo de tunelamento pode requerer conexes IP atravs de LAN, mas geralmente utilizado por clientes com acesso discado, que primeiro estabelecem uma conexo Internet, para depois utilizar o software para criar o tnel. Neste caso, o computador do usurio funciona como cliente do tnel e como uma das extremidades do tnel, ou seja, o cliente passa a ser o fim do tnel, conforme a ilustrao 5;

Cliente VPN

Rede Pblica INTERNET

Servidor VPN

Ilustrao 5 - Modelo do Tunelamento Voluntrio Fonte: CHIN (1998)

Tunelamento Compulsrio: quando existe um servidor NAS (Servidor de Autenticao de Rede) na rede. A configurao de autenticao de responsabilidade deste servidor. Assim, o fim do tnel no ser o computador do cliente e sim o servidor NAS, que estar localizado entre o computador do cliente e o servidor do tnel. Ser atravs deste servidor de autenticao de rede que as informaes da outra rede sero acessadas pelos clientes, conforme ilustrao 6.

Ilustrao 6 - Modelo de Tunelamento Compulsrio Fonte: CHIN (1998)

38

2.6.4.2 Topologias VPN

Segundo Favareto (2003), so trs as topologias bsicas, utilizadas para estabelecer VPNs:

Host a host: cada host um computador que possui acesso Internet, atravs desta topologia dois hosts separados fisicamente comunicam-se, fornecendo a segurana necessria para a troca de informaes via Internet;

Host a rede: esta topologia permite a conexo de um host mvel a uma determinada rede atravs da Internet;

Rede a rede: este tipo de configurao possui um gateway VPN nas extremidades de duas ou mais redes fazendo a conexo segura entre elas. Esta topologia ideal para redes de uma mesma empresa geograficamente distantes entre si.

2.6.4.3 Protocolos de Tunelamento

Conforme visto acima, o tunelamento pea importantssima para se estabelecer conexes VPNs. As VPNs possuem seus prprios protocolos de comunicao que atuam em conjunto com o TCP/IP, fazendo com que o tnel virtual seja estabelecido e os dados trafeguem criptografados. Os protocolos de tunelamento so os responsveis pela abertura e gerenciamento de sesses dos tneis em VPNs. Podem ser realizados na camada 2 (enlace) ou na camada 3 (rede), considerando a arquitetura do modelo de referncia OSI.

Nos tneis orientados camada 2, um tnel similar a uma sesso, onde as duas extremidades do tnel negociam a configurao dos parmetros para o estabelecimento do tnel (endereamento, criptografia, parmetros de compresso, etc.). A gerncia do tnel realizada atravs de protocolos de

39

manuteno. Nestes casos, necessrio que o tnel seja criado, mantido e encerrado. Nas tecnologias da camada 3 no existe a fase de manuteno do tnel.

O tunelamento na camada 2, como atua em um nvel inferior do modelo ISO/OSI, possui algumas vantagens em relao ao tunelamento do nvel 3, como a simplicidade de configurao, a compresso e codificao completa e a inicializao bidirecional do tnel. Suas desvantagens so referentes s questes como escalabilidade, confiabilidade e segurana porque atua num nvel mais prximo ao hardware.

J o tunelamento na camada 3 tem como vantagens: escalabilidade, confiabilidade e segurana. Suas principais desvantagens so a limitao do nmero de fabricantes e uma maior complexidade em seu desenvolvimento. Dentre os principais protocolos de tunelamento VPN, pode-se destacar o PPTP (Point-to-Point Tunneling Protocol), o L2TP(Layer Two Tunneling Protocol) e o IPSec (Internet Protocol Security), os quais abordados a seguir.

2.6.4.4 PPTP

Este protocolo foi desenvolvido pelo Frum PPTP, um consrcio que inclui US Robotics, Microsoft, 3Com, Ascend e ECI Telematics, porm a sua implementao mais conhecida a da Microsoft, que amplamente utilizada em sistemas Windows.

Ele atua na camada 2 e utiliza o PPP (Point-to-point Protocol) para fazer as conexes e, em seguida, encapsula os dados atravs do GRE (Generic Routing Encapsulation) e os envia outra extremidade da VPN.

40

Para autenticao, o protocolo PPTP utiliza o MS-CHAP (Microsoft-Challenge Handshake Authentication Protocol) e para criptografia, o MPPE (Microsoft Point-to-point Encryption).

Existem algumas vantagens em se implementar uma VPN utilizando o protocolo PPTP, como, por exemplo, o suporte a outros protocolos diferentes do IP, como o NetBEUI e o IPX. Contudo, uma de suas principais desvantagens relativa sua segurana, pois este protocolo fornece suas chaves de encriptao utilizando a senha do usurio como base, ou seja, se esta senha for fraca, como palavras encontradas em dicionrios ou nmeros de telefones, a chave tambm o ser.

2.6.4.5 L2TP

Projetado pela Cisco Systems e, posteriormente, homologado pela IETF (Internet Engineering Task Force) como protocolo padro, baseia-se no L2F (Layer Two Forwarding) para solucionar os problemas do PPTP, sendo considerado o seu herdeiro. Algumas caractersticas, como a camada de atuao, a utilizao do PPP para fornecer o acesso remoto e a operao em ambientes como o NetBEUI e o IPX, so mantidas do PPTP.

No entanto, uma diferena visvel em relao a seu predecessor quanto forma de autenticao, pois ela feita em dois nveis, No primeiro, o usurio autenticado pelo provedor de acesso antes do tnel ser instalado e, no segundo, quando a conexo estabelecida entre os gateways.

Sendo um protocolo padro, qualquer fabricante pode criar produtos que utilizem o L2TP, de forma que provedores de acesso e consumidores em geral no dependam de produtos fornecidos por uma nica empresa.

Apesar de ser atual, o L2TP apresenta como desvantagem no possuir um mecanismo eficiente de encapsulamento, ou seja, para executar esta tarefa, ele

41

necessita do protocolo IPSec, que ser explicado e que faz a criptografia e gerenciamento de chaves em ambiente IP posteriormente, para que juntos possam garantir a segurana da VPN.

2.6.4.6 IPSEC

O IPSec foi desenvolvido pelo Grupo de Trabalho de Segurana do IP da IETF com o intuito de ser o protocolo padro de endereamento para a nova verso do IP, chamada IPv6. O IPSec atua na camada 3 e composto por trs principais funcionalidades:

Cabealho de autenticao (AH Authentication Header): que fornece a integridade dos pacotes e a garantia de sua origem.

Cabealho de encapsulamento do payload (ESP Encapsulation Security Payload): que fornece a confidencialidade dos dados que trafegam pela rede pblica.

Protocolo de negociao e troca de chaves (IKE Internet Key Exchange): que permite a negociao das chaves de comunicao entre as organizaes de modo seguro.

O IPSec permite ao usurio, ou ao gateway seguro que est agindo em seu favor, autenticar ou criptografar cada pacote IP, ou ainda, fazer os dois processos simultaneamente. Dessa forma, o IPSec pode atuar de dois modos:

Modo Transporte: neste modo os pacotes criados so adicionados cabealhos IPSec entre o cabealho IP original e os dados. Este modo muito utilizado para computadores em diferentes redes, comunicando-se diretamente entre si, e que desejam proteger o seu trfego IP por encapsulamento, autenticao ou ambos.

Modo Tnel: Neste modo, um cabealho IPSec tambm adicionado, porm a diferena para o modo transporte que ser adicionado um novo cabealho IP e o pacote original ser tratado como se fosse um dado s,

42

sendo todo ele criptografado pelo cabealho IPSec na parte referente ao dado do novo cabealho.

O modo tnel comumente utilizado na comunicao entre gateways, pois fornece maior segurana aos dados originais criptografados dentro do novo pacote. Um dos processos mais importantes do IPSec o gerenciamento de chaves e grande parte da segurana da comunicao reside nele, principalmente nas trocas inicias de chaves. Um esquema bem definido de trocas deve ser adotado para se evitar ataques em que o hacker pode capturar as trocas de informao dos dois lados da comunicao, alterando-as de acordo com seus interesses.

43

3 CONTEXTUALIZAO

3.1 A SITUAO ATUAL

Segundo a Secretaria Municipal de Educao de Aracaju (SEMED) o sistema manual de controle das atividades executadas nas escolas, bem como das informaes cadastrais dos docentes e discentes e do rendimento escolar dos docentes recai em um processo complexo e lento. Pois, no panorama atual todo acompanhamento e controle tcnico-pedaggico sobre as Unidades de Ensino feito por meio de preenchimento e envio peridico de formulrios para informar a situao de freqncia e rendimento escolar dos discentes.

Neste sentido, a Coordenao de Informtica e Tecnologia (CODINTEC/SEMED), num esforo para automatizar estes processos, a SEMED vem desenvolvendo aplicaes cliente-servidor, que visam propiciar maior agilidade e praticidade a essas tarefas. No entanto, para tornar o uso desses sistemas vivel, necessrio que os computadores das unidades de ensino (clientes das aplicaes) estejam conectados de alguma forma ao servidor da aplicao, que deve localizar-se na SEMED. Alm disso, dada a importncia dos dados a serem manipulados por essas aplicaes, imprescindvel que a comunicao entre as unidades utilize um canal seguro de conexo, o que inviabiliza a idia de exp-las na internet, devidos falta de segurana da rede pblica de computadores.

Atualmente a rede municipal de ensino composta por 785 unidades escolares, distribudas nas mais distintas localidades do municpio de Aracaju, que ocupa uma rea de 181,8 Km26. Tambm foi levantado que em cada unidade existe pelo menos um microcomputador com acesso internet, muitas delas possuindo suas prprias redes locais. No entanto, esse acesso feito de formas distintas,

5 Fonte: Stio Oficial do Municpio na internet, disponvel em

http://www.aracaju.se.gov.br/educacao/?act=fixo&materia=unidades_de_ensino. 6 Fonte: Stio Oficial do Municpio na internet, disponvel em

http://www.aracaju.se.gov.br/aracaju/?act=fixo&materia=aspectos_geograficos.

44

podendo ser: atravs de conexes banda larga via telefonia fixa (ADSL Velox OI), banga larga 3G (de diversas operadoras) ou Internet via rdio. Havendo ainda, em raros casos, acesso via linha discada. Assim, um requisito bsico que a soluo construda possa, alm de ter custos reduzidos, aproveitar toda estrutura j existente, uma vez que o processo de compra de equipamentos em rgos pblicos geralmente burocrtico e extenso.

Dessa forma, constitui-se a demanda de manter uma conexo inter-redes entre a rede da SEMED e as redes localizadas nas unidades a ela subordinadas, desenvolvendo-se este projeto como uma proposta para conexo desejada.

3.2 SOLUO PROPOSTA

Em vista da grande disperso geografia, em que se encontram as unidades a serem interligadas, compreendendo toda extenso territorial do municpio, a princpio adotar-se-ia como soluo a instaurao de uma WAN ou MAN. No entanto, conforme j visto em sees anteriores, estes tipos de rede demandam altos investimentos, devido aos requisitos para sua implantao como, por exemplo, a contratao de linhas telefnicas de acesso dedicado em todas as unidades tornando-se, assim, pouco vivel.

Dessa forma, para viabilizar uma soluo a custos mais baixos optou-se por instituir uma rede privada virtual (VPN) que, conforme j citado, equivale-se, conceitualmente, a uma WAN ou MAN, com as vantagens de implementar um nvel mais alto de segurana e reduzir os custos da interconexo, uma vez que se utiliza de um simples acesso Internet seja ele discado, banda larga, ou a rdio para prover a conexo mquinas geograficamente separadas.

Assim sendo, a VPN seria um servio oferecido pela mquina servidora da aplicao, na SEMED, sendo que as estaes clientes acessariam ao servidor, que atravs da Internet, e aps se autenticarem na VPN, teriam acesso aplicao servida.

45

Neste sentido, a VPN pode ser considerada uma soluo integrada, por fornecer a estrutura desejada, imprimindo a ela um nvel aceitvel de segurana, para que se mantenha um canal de comunicao confivel entre a unidades. Alm disso, por ter requisitos mais simples, como um simples acesso Internet, conforme j visto na reviso terica, a VPN permite que se aproveite toda estrutura j existente, tanto na Secretaria, quanto nas demais unidades, requerendo que apenas se acrescentem alguns recursos, conforme descrito na seo seguinte.

relevante considerar ainda, como vantagem, que tal servio possui uma compatibilidade com as plataformas Windows e Unix de sistemas operacionais, podendo ser utilizado com qualquer verso do sistema operacional Windows, superior ao Windows 95, que j suporta o protocolo de tunelamento PPTP, visto anteriormente, como tambm verses do sistema operacional Linux. Dessa maneira, permite-se a compatibilidade com os equipamentos que j estiverem em uso.

3.3 REQUISITOS DA SOLUO

Sendo a VPN um servio que funciona na plataforma cliente-servidor, seu principal requisito a disponibilizao da mquina que o servir. Para tanto, ser necessrio um servidor que deve possuir um endereo IP fixo e vlido, ou seja, um endereo que possa ser nico e reconhecido na Internet, seria necessrio registrar um domnio em nome da Instituio para obter tal endereo, o que pode ser indicado como o recurso de maior custo, para esta implementao.

Visando a incluso de todas as unidades escolares, faz-se necessria a disponibilizao de pelo menos um microcomputador, provido, de alguma maneira, de acesso Internet, preferencialmente acesso banda larga ou internet a rdio, que so de melhor performance.

46

3.4 O IMPACTO DA SOLUO PROPOSTA NAS ATIVIDADES DA INSTITUIO

Ao considerar o impacto que a implantao da estrutura proposta ter sobre a instituio, preciso levar em conta no s a interconexo proposta em si, mas toda a idia que est por traz da mesma, ou seja, a radical mudana que recair sobre a rotina de trabalho dos profissionais envolvidos.

Neste sentido existem dois aspectos a serem analisados: o financeiro e o social. Ao primeiro refere-se relao custo benefcio da proposta e ao ultimo o reflexo desta sobre seus usurios.

Se por um lado a soluo requer algum custo, mesmo diante de todos as escolhas e esforos visando a mxima reduo dos custos a serem empregados, importante levantar as economias que por outro lado sero geradas e os benefcios que o novo sistema de trabalho pode proporcionar.

Em contrapartida, pode-se facilmente visualizar economias quando se refere aos gastos com material burocrtico como papeis, fitas, tonners e cartuchos para impressoras e mquinas xerogrficas, cujo consumo deve diminuir significativamente com a tramitao eletrnica de documentos e informaes, prevista no sistema informatizado. Alm da reduo no uso dos meios de transporte, atualmente utilizados para a tramitao desses documentos e, porque no citar a economia de tempo gerada pelo sistema proposto.

Tratando dos benefcios, conforme j citado anteriormente a facilidade, praticidade e agilidade atribudas manuteno dos dados cadastrais de docentes e discentes e acompanhamento da vida escolar dos alunos representa uma grande vantagem em face ao processo manual realizado atualmente. Os resultados podero ser vistos a curto prazo, tais como agilidade em processos de transferncias e a troca de informaes entre as unidades e maior controle sobre a consistncia destes dados.

47

relevante considerar a portabilidade da estrutura proposta, atravs da qual podero ser viabilizadas quaisquer outras aplicaes que sejam necessrias ao controle das atividades da Instituio.

48

4 CENRIO EXPERIMENTAL

Considerando que a VPN um servio implantado na camada de rede, ela funciona independentemente da estrutura das camadas localizadas abaixo dela, no caso da arquitetura tcp/ip a camada fsica. De forma geral, esta ltima camada pode ser representada por uma ligao com a rede pblica, Internet, ou por ligaes ponto-a-ponto entre o servidor e o cliente VPN.

Para prover o acesso utilizando a Internet necessrio que o servidor utilizado esteja conectado a ela, com um endereo IP fixo e vlido, para que seja acessvel pelos clientes, conforme citado anteriormente.

Dessa forma, por questes de limitao de recursos para aquisio de um domnio na Internet, na montagem experimental desse estudo, optou-se por estabelecer a camada fsica atravs de uma ligao ponto-a-ponto, para isso, manter-se- a camada fsica atravs do servio de acesso remoto (RAS Remote Access Service), pois sua conexo baseia-se na discagem por linha telefnica, permitindo a possibilidade de utilizar uma faixa de endereamento IP no vlido e assim, no demandando custos elevados.

Essa soluo torna-se, inclusive, vivel, caso seja necessrio conectar alguma unidade sem uso da Internet Banda Larga, quer seja por limitao tecnolgica de no haver este servio na localidade ou por uma indisponibilidade temporria do servio local. J que requer apenas uma linha telefnica e que, por us-la de forma dedicada, tem melhor performance que o acesso discado Internet.

Uma vez configurado e testado o RAS, obtm-se uma estrutura slida para se implantar o servio VPN, na camada imediatamente acima.

Para a montagem do cenrio experimental ser utilizado como Servidor um computador com sistema operacional Windows 2003 Server R2 Standard Edition,

49

um cliente com sistema operacional Windows XP Professional e um cliente com Linux Ubuntu 10.10.

Neste sentido, esta seo ser composta das seguintes etapas:

Configurao do servio RRAS no cliente e no servidor;

Configurao do servio VPN no cliente e no servidor;

4.1 CONFIGURANDO O SERVIO RAS

Nesta seo sero demonstradas as configuraes necessrias para a configurao do servidor e cliente RAS, bem como apresentados os testes realizados para validar a configurao executada.

4.1.1 Servidor RAS

Para efeito de adequao com a estrutura aqui proposta, os passos para configurao do servidor, a seguir apresentados, baseiam-se no sistema operacional Windows 2003 Server da Microsoft Corporate. Neste sistema o acesso remoto disponibilizado pelo RRAS (Routing and Remote Access Service - Servio de Roteamento e Acesso Remoto).

Neste sentido, a montagem do servidor consiste em configurar o servio RRAS. Para tanto deve-se executar a seqncia de os passos a seguir:

1 Inicialmente deve-se acessar o RRAS, atravs das opes de menu Start>>Adminitrative Tools>>Routing and Remote Access;

2 - No console apresentado a ilustrao 7, deve-se clicar com boto direito do mouse e escolher a opo Add Server (Adicionar um Servidor);

50

Ilustrao 7 - Console para configurao do servidor RRAS Fonte: Elaborao prpria (2010)

3 - Na caixa de dilogo que ser exibida, ilustrao 8, possvel escolher qual equipamento ser o servidor, se a prpria mquina em que est sendo realizada a configurao ou em outro servidor, cujo nome deve ser informado. Para a configurao aqui proposta, deve-se selecionar a opo This Computer (Este Computador), para indicar que o servidor ser este mesmo equipamento. Neste caso, ser criado um servidor com nome do ao computador quando foi instalado o sistema operacional, de acordo coma ilustrao 9, e para habilit-lo basta clicar com o boto direito no servidor criado para poder configur-lo, atravs da opo Configure and Enable Routing and Remote Access;

Ilustrao 8 - Escolha do equipamento servidor Fonte: Elaborao prpria (2010)

51

Ilustrao 9 - Solicitando a configurao do servidor RRAS Fonte: Elaborao prpria (2010)

4 - Ser exibida uma tela inicial, na qual deve-se clicar em Next, para proceder de fato configurao. Ser necessrio usar a tecla Next a cada passo da configurao;

5 Na seqncia ser exibida a ilustrao 10, em que deve-se escolher a opo referente configurao desejada, que no caso desta configurao a opo Remote Access (Dial-up or VPN), ou seja, um servidor de acesso remoto para conexes dial-up ou vpn;

Ilustrao 10 - Definindo tipo de RRAS Fonte: Elaborao prpria (2010)

52

6 As prximas opes sero definir o tipo de endereamento, em que deve se seguir a opo padro, Automatically, e, em seguida, dever ser informado se haver utilizao da autenticao RADIUS7, o que no ser necessrio para este momento inicial, logo, ser acionada a opo "No, use Routing and Remote Access to authenticate connection request", conforme ilustrao 19; No passo seguinte basta clicar em Finish para finalizar a configurao do servidor;

7 O prximo passo cadastrar os usurios para que possam ser configurados os clientes RAS, o que deve ser feito atravs da opo de menu Start>>Adminitrative Tools>> Active Directory Users and Computers. Os usurios devem ter a permisso de acesso remoto habilitada em suas propriedades, conforme ilustrao 11. Na aba "Dial-in", preciso habilitar a permisso para recebimento de chamadas remoto, escolhendo a opo "Allow access";

8 - O passo seguinte, para configurar o servidor RRAS definir as polticas de acesso que sero utilizadas. Elas so usadas, entre outras coisas, para definir quais usurios ou grupos de usurios tero permisso para utilizar o servio. Para isso, basta clicar com o boto direito do mouse na opo "Remote Access Policies" e escolher "New Remote Access Policies", conforme ilustrao 12;

Ilustrao 11 - Habilitando permisso ao acesso remoto para usurio Fonte: Elaborao prpria (2010)

7 Servio de autenticao cliente/servidor. O Radius autentica atravs de uma srie de

comunicaes entre o cliente e o servidor. Uma vez que o usurio autenticado, o cliente proporciona a ele, o acesso aos servios apropriados.

53

8.1 - Ser iniciado o processo de definio da poltica, em que a cada passo ser necessrio clicar em Next. O primeiro passo atribuir um nome poltica criada. Em seguida, preciso definir a que tipo de acesso esta poltica se refere, conforme ilustrao 13. Neste caso, deve-se selecionar a opo Dial-up;

8.2 - O prximo ponto, ser adicionar os grupos de usurios que tero acesso ao servio, conforme ilustrao 14. E em seqncia ser preciso definir o tipo de autenticao que ser utilizado, de acordo com a ilustrao 15. Visando compatibilidade com possveis clientes Linux, recomendvel utilizar o EAP (Extensible Authentication Protocol) com criptografia atravs do mtodo MD5, j que as demais opes so mtodos proprietrios da Microsoft. Em seguida preciso definir os tipo de criptografia que sero suportados, de acordo com o tamanho da chave (40, 56 ou 128bits), onde podem ser selecionadas todas as opes, ou, at mesmo, no utilizar criptografia atravs da opo "No Encryption". Neste caso recomenda-se habilitar os trs tipos de chave. Assim, definida toda poltica de acesso, basta clicar em Finish, para concluir;

Ilustrao 12 - Adicionando Poltica de Acesso Remoto Fonte: Elaborao prpria (2010)

54

Ilustrao 13 - Definindo tipo de acesso controlado pela poltica criada Fonte: Elaborao prpria (2010)

9- Por fim, antes de utilizar o servidor RRAS preciso verificar se as portas de servio oferecidas esto de acordo com a utilidade e demanda de utilizao. Para configurar as portas, necessrio escolher a opo "Properties", clicando com o boto direito na opo Ports, visualizada na ilustrao 12, mostrada anteriormente. Ser exibida uma janela, conforme ilustrao 16, onde se deve marcar a opo "WAN Miniport(PPTP)", uma vez que o protocolo utilizado ser o PPTP, conforme j foi citado e, em seguida, necessrio clicar na opo "Configure";

Ilustrao 14 - Adicionando Grupos de Acesso Fonte: Elaborao prpria (2010)

55

Ilustrao 15 - Definindo mtodo de autenticao Fonte: Elaborao prpria (2010)

10- Na configurao, de acordo com a ilustrao 17, dever ser marcada a opo "Remote access connections(inbound only)", uma vez que as portas sero utilizadas apenas para que o servidor receba conexes. Nesta oportunidade possvel, ainda, definir a quantidade mxima de portas suportadas, neste caso, para atender demanda desta estrutura deve-se admitir 80 portas. E desta forma, o servidor RRAS est pronto para ser habilitado e utilizado.

Ilustrao 16 - Configurao de portas do RRAS Fonte: Elaborao prpria (2010)

56

Ilustrao 17 - Definindo caractersticas das portas Fonte: Elaborao prpria (2010)

4.1.2 Configurando o cliente RRAS no Windows XP Professional

Na estrutura proposta sero admitidos clientes de diversas verses dos sistemas operacionais Microsoft. Como a configurao do cliente RRAS extremamente mais simples, se comparada configurao do servidor, bastando apenas adicionar uma nova conexo de rede dial-up, em que o telefone indicado para discagem do provedor ser o nmero da linha telefnica qual est conectado o servidor RRAS.

Neste sentido, ser ilustrada, a ttulo de exemplo, apenas a configurao de um cliente com sistema operacional Windows XP Professional, quando utilizado em modo grfico, o processo feito de forma bastante semelhante, em que somente algumas alteraes na interface grfica podero ser encontradas.

Existe mais de um caminho para executar a tarefa supra citada, ser aqui adotado o caminho que combina maior praticidade e coincidncia entre as verses abrangidas. Os seguintes passos so necessrio para configurao do cliente:

57

1 O primeiro passo acessar o Painel de Controle, atravs da opo Inicar>>Configuraes>>Painel de Controle, onde dever ser aberto o item Opes da Internet;

2 Ser exibida uma nova janela em que deve ser escolhida a aba conexes, conforme ilustrao 18. Nesta, selecionar-se- a opo Adicionar para criar uma nova conexo;

3 A seguir, iniciar-se- o processo de configurao onde a cada passo deve-se clicar em Avanar. O primeiro requisito, conforme ilustrao 19, ser informar o nmero de telefone para o qual dever ser discada a conexo, ou seja, o nmero da linha telefnica conectada ao servidor RRAS, anteriormente configurado, conforme exposto acima. O prximo passo ser informar nomear a conexo e concluir a sua configurao.

Ilustrao 18 - Adicionar Conexo Fonte: Elaborao prpria (2010)

58

Ilustrao 19 - Definindo nmero de discagem da conexo Fonte: Elaborao prpria (2010)

Adicionalmente, pode criar um atalho na rea de trabalho (desktop), para facilitar e agilizar o acesso conexo configurada. Caso contrrio a conexo poder ser iniciada a partir da opo de menu Iniciar>>Configuraes>>Painel de Controle>>Conexes de rede.

Quando acionada a conexo, sero solicitados o nome do usurio e senha, para fazer a autenticao. Caso os dados informados estejam corretos e refiram-se a um servidor que possua permisso de conexo remota, o servidor permitir o acesso e ser estabelecida a conexo, caso contrrio, o acesso ser negado e a tentativa de conexo no ter sucesso.

No ambiente servidor, possvel verificar que a conexo foi corretamente efetuada, atravs do console do RRAS, uma vez que a opo Remote Access Clients exibe os usurios conectados no momento, como pode ser visto na ilustrao 20.

59

Ilustrao 20 - Verificando usurios conectados ao servidor RRAS Fonte: Elaborao prpria (2010)

4.1.3 Configurando o cliente RRAS no Ubuntu 10.10

Para facilitar o entendimento, sero mostrados os passos necessrios para a configurao do cliente no Ubuntu 10.10, com base em sua interface grfica, considerando que se tenha iniciado o computador com um usurio com permisso de administrador (root). Assim devem ser seguidos os seguintes passos:

1 Iniciar uma sesso do programa Terminal, atravs da opo de menu Aplicativos>>Acessrios>>Terminal. Na sesso do Terminal deve-se digitar o comando sudo pppconfig, para acessar as configuraes do servio PPP que permitir criar uma conexo dial up no Ubuntu 10.10. Aps o comando poder ser solicitada a confirmao da senha do usurio;

3 Ao ser iniciado o ambiente de Configurao PPP; devero ser seguidos os passos conforme as ilustraes de 21 a 26, sempre efetuando a configurao de acordo com a tela mostrada e clicando em ;

60

Ilustrao 21 Configuraes PPP Criando uma conexo e definindo o nome do provedor Fonte: Elaborao prpria (2010)

Ilustrao 22 Configuraes PPP Desabilitando resoluo DSN na conexo e definindo mtodo de autenticao

Fonte: Elaborao prpria (2010)

Ilustrao 23 Configuraes PPP Informando usurio e Informando senha de autenticao Fonte: Elaborao prpria (2010)

61

Ilustrao 24 Configuraes PPP Informando velocidade do modem e Definindo Mtodo de discagem


Ilustrao 25 Configuraes PPP Definindo nmero telefnico do servidor RRAS e Permitindo que o modem seja configurado automaticamente


Ilustrao 26 Configuraes PPP Salvando a configurao e Finalizando a configurao Fonte: Elaborao prpria (2010)

62

Uma vez configurada a conexo, possvel execut-la atravs do comando pon e finaliz-la atravs do comando poff, numa sesso do aplicativo Terminal. Assim como no cliente Windows XP a conexo somente ser estabelecida se os dados de usurio e senha informados forem de um usurio com permisso de acesso remoto, caso contrrio a conexo ser negada.

4.2 CONFIGURANDO SERVIO VPN

Agora que a camada fsica est configurada corretamente em ambas as partes, cliente e servidor, e que tambm foi testada, pode-se implementar o servio lgico de VPN em cima da estrutura fsica estabelecida.

Para ativar o servio de VPN sero igualmente necessrias algumas configuraes tanto no servidor quanto no cliente, como segue.

4.2.1 Servidor VPN

Mantendo o ambiente inicializado no servio anterior, sero necessrias algumas modificaes nas caractersticas do servidor RRAS anteriormente montado, para que ele passe a suportar o servio de VPN.

Assim sendo as alteraes so constitudas pelos seguintes passos:

1 - Inicialmente necessrio configurar o servidor IAS (Internet Authentication Service Servidor de Autenticao para Internet) este servio est disponvel na opo de menu Start>>Adminitrative Tools>> Internet Authentication Service;

1.1 No console apresentado na ilustrao 27, o primeiro passo criar o cliente RADIUS8 (Remote Authentication Dial-in User Service - Servio de Autenticao a

8 Padro criado pela IETF, utilizado para autenticar, autorizar e identificar usurios remotos e

conexes dial-in.

63

usurios Remotos Dial-in), atravs da opo Action>>New RADIUS Client. Ser iniciado o processo de configurao onde a cada passo deve-se clicar em Next;

1.2 - Como resultado da ao anterior ser exibida a janela apresentada na ilustrao 28, onde deve ser informado o nome e o endereo do cliente RADIUS. Neste caso, ser o prprio servidor, logo o nome ser o nome atribudo mquina e o endereo ser localhost;

Ilustrao 27 - Console de configurao do IAS Fonte: Elaborao prpria (2010)

Ilustrao 28 Configurao do Cliente RADIUS - Nome e endereo do cliente Fonte: Elaborao prpria (2010)

64

1.3 - No passo seguinte, ilustrao 29, deve-se escolher o tipo de RADIUS que ser utilizado, uma vez que existem varias implementaes distintas deste servio. Recomenda-se a utilizao da configurao padro, representada pela opo "RADIUS Standard". A seguir define-se e confirma uma senha que ser requerida para alterar as configuraes do cliente e clica-se em Finish e est criado o cliente RADIUS;

Ilustrao 29 - Configurao do Cliente RADIUS - Tipo de implementao e senha Fonte: Elaborao prpria (2010)

1.4 - Agora preciso definir as polticas de acesso do IAS. Para adicionar uma poltica seguem-se mesmos passos utilizados para executar esta tarefa na configurao do servidor RRAS, etapa 10 dessa configurao. possvel tambm alterar as propriedades das polticas-padro j existentes;

1.5 - Em ambas as polticas, Connections to Microsoft Routing and Remote Access Server (conexo atravs do RRAS) e Connections to Other Access Servers (conexo atravs de outros servidores de acesso) preciso adicionar permisso de acesso aos grupos de usurios criados quando o servidor RRAS foi configurado. Para isso, basta c

monografia_diana moura vasconcelos

Documents