3.4 VPNs através da camada de Rede
3.4.1 Controle de Vazamento de Rota
3.4.3 Criptografia na Camada de Rede
A camada de rede, também conhecida como camada 3 do protocolo TCP/IP (responsável pela arquitetura da internet), é responsável por fazer com que as informações enviadas por um computador cheguem a outros computadores mesmo que eles estejam em redes fisicamente distintas, ou seja, mesmo não existindo conexão direta entre eles. O IP realiza a conexão entre redes, por ser um datagrama quando uma parte da rede está fora do ar, procura um caminho (rota) alternativo para realizar a comunicação. Existem alguns métodos de construção de VPNs por essa camada que vão ser analisados em seguida.
Também conhecido como filtro de rota é um método que consiste, basicamente, no controle de propagação da rota desde certo ponto onde apenas algumas redes recebem rotas para outras redes que estão dentro de uma comunidade privada. Esse modelo pode ser considerado um modelo “peer”, já que um roteador dentro de uma VPN estabelece uma relação com um roteador dentro da rede compartilhada, utilizada pela VPN, ao invés de uma relação fim-a-fim de um roteador VPN com outro roteador VPN.
As rotas associadas a esse tipo de redes são filtradas, não sendo, portanto, exibidas para nenhum outro tipo de redes conectadas, e tampouco outras rotas não pertencentes a VPN são exibidas para as redes da VPN., garantindo uma privacidade de serviços, outro fator que garante privacidade é o fato de que nenhum host (máquina, computador ligado a uma rede) VPN tem a capacidade de responder a pacotes que contenham endereços de fora da comunidade VPN.
Essa forma de particionar informações de rota é suscetível às diversas má configurações, outro grande problema em potencial é a dificuldade de proibir que assinantes da rede apontem as rotas padrão para roteadores destinados ao tráfego fora da VPN, um maneira de solucionar tal problema é através da utilização de filtros de tráfegos, logo no primeiro salto em direção ao primeiro roteador, a fim de proibir todo o tráfego destinado a redes não pertencentes à VPN.
Assim, pode-se perceber que esse ambiente possui implicitamente um núcleo de caminhos comum o que implica que cada VPN tenha endereços próprios que não colidam com outros de outras VPNs que utilizem a mesma infra-estrutura e , tampouco, é permitido a criação arbitrária de endereços dentro de uma rede privada virtual.
Essa técnica baseada na filtragem de rotas é uma forma primitiva de se construir uma VPN, já que é bastante suscetível a erros administrativos, além de possuir um baixo nível de segurança e flexibilidade.
Outro fator negativo seriam os cabeçalhos operacionais utilizados para configurações complementares dos filtros de tráfego e rota, que dificultam a expansão do número de VPNs na rede.
São geralmente configurados entre um roteador de entrada e um roteador de saída. Os pacotes destinados a serem transmitidos através do túnel sofrem, além do encapsulamento normal do cabeçalho relativo aos protocolos normais da rede, um encapsulamento por um novo cabeçalho chamado GRE, a partir daí são postos no túnel com o endereço do fim do túnel, do ponto final do túnel. Ao atingir o fim do túnel, o cabeçalho GRE é retirado e pacote continua seu caminho até o destino normalmente designado pelo IP original do pacote. Túneis GRE, em sua maioria, são ponto-a-ponto, ou seja, possuem um único endereço de origem e um único endereço de destino.Existem implementações que permitem a configuração de túneis de um ponto de origem a múltiplos pontos de destino.
Os principais problemas enfrentados pelo tunelamento GRE são os cabeçalhos administrativos, o escalonamento de grande número de túneis, desempenho e a qualidade do serviço. Como os túneis GRE têm de ser configurados manualmente, há uma grande quantidade de cabeçalhos administrativos fundamentais para a manutenção dos mesmos, além disso, cada mudança do destino final do túnel, nova configuração deve ser realizada. Apesar de parecer pequeno o processo de encapsulamento GRE, há uma relação direta entre o número de túneis e o tempo de processamento de encapsulamento, o que pode tornar o processo lento. Os túneis podem ser gerados automaticamente, no entanto existe uma série de falhas relativas ao roteamento e ao desempenho que podem acontecer, a principal é a criação de um loop no túnel, ou seja, o tráfego passa pelo mesmo túnel mais de uma vez, tornando o tunelamento de baixa eficiência.
Outra preocupação é o processo de classificação de tráfego na entrada dos túneis, esse processo identifica se os pacotes devem ou não ser transmitidos através do túnel. Se a identificação dos pacotes alterar significantemente a taxa de transferência de pacotes na rede, o desempenho será afetado.
A privacidade, apesar de todas as vantagens de tunelamento, continua sendo um problema, já que o tunelamento apresenta vulnerabilidade. Para alcançar um maior nível de segurança é necessário desenvolver filtros de ingressos aliados a estrutura do túnel, também é necessário assegurar a conexão dos pontos finais de cada túnel com a VPN, necessitando uma administração e um roteador dedicado, o que aumentaria o custo de implementação, contrariando a proposta de utilização de um meio compartilhado como forma de redução de custos.
Uma consideração no projeto de VPN via tunelamento é o fato de não haver nenhuma forma de determinar o custo de uma rota por um túnel, isso poderia acarretar em última análise, que um pacote poderia pegar um caminho via túnel menos eficiente do que um caminho por saltos (per-hop), através de protocolos de rota comuns que entregaria de forma mais rápida e eficiente a mensagem ao destinatário final.
Figura 14 - Esquema de Túnel GRE numa arquitetura host-to-host
Um método de construção bastante eficiente é a utilização de tecnologias de criptografia, como forma de atender a segmentação e virtualização requeridas por uma rede privada virtual.
O método de criptografia que apresenta o maior nível de segurança é a criptografia implementada entre um usuário e outro diretamente. Outra forma, menos segura, é a criptografia realizada entre dois dispositivos intermediários (roteadores), deixando aberto o tráfego entre o último dispositivo e o usuário, esse método é conhecido como túnel.
O padrão mais amplamente utilizado para criptografia na camada de rede da Internet é o IPSec, que será abordado mais detalhadamente na próxima seção deste trabalho.