VPN: Uma Solução Segura e de Baixo Custo Para Integração da Universidade Estadual de Goiás

By: Anderson Cavalcante Gonçalves

      Wilton Bernardes da Silva

1 – INTRODUÇÃO

Com o crescimento acentuado na demanda por uma comunicação eficiente e em tempo-real, criou-se a necessidade de se aprimorar e desenvolver novas soluções que propiciem esta comunicação, capaz de interligar pontos distantes, compartilhar arquivos e informações e aproximar pessoas. Existem algumas soluções que podem suprir estas necessidades, porém a grande maioria tem custo elevado e implantação complexa.

A VPN entra como uma solução viável, com resultados tão bons quanto o de outras soluções, com custo significantemente menor que ao das demais. A VPN é implementada e mantida com mais facilidade. Por meio deste artigo será apresentada uma solução para as deficiências de comunicação da UEG, a falta de interação entre as unidades e entre a sede da UEG, em Anápolis.A VPN proporcionará rapidez e agilidade na troca de informações, no compartilhamento de arquivos e trará a possibilidade de uma experiência em conjunto, onde as unidades estarão unidas entre si, independentes da região onde estejam situadas.

A metodologia adotada neste artigo envolve uma análise da atual infra-estrutura da UEG, o que revelou deficiências em sua comunicação, a abordagem sobre redes de computadores, e sobre a VPN, em que diversos pontos importantes são apontados, como conceito, funcionamento e segurança.

Por meio deste artigo, vamos esboçar diversos pontos que exponham a VPN como uma abordagem eficaz e segura, de fácil implementação e custo reduzido; sem dúvida, a VPN é uma solução segura e de baixo custo para integração da Universidade Estadual de Goiás.

2 – UNIVERSIDADE ESTADUAL DE GOIÁS (UEG)

A Universidade Estadual de Goiás é uma instituição de ensino do Governo do Estado de Goiás, criada em 16 de abril de 1999, através da lei nº 13.456. A UEG conta com unidades e pólos universitários em diversas cidades do estado, oferecendo cursos de graduação, especialização, mestrado e licenciatura parcelada. Vem crescendo gradativamente e já está presente em diversas partes do estado, sendo considerada a segunda maior universidade pública do país[1].

3 – PROBLEMAS DE COMUNICAÇÃO ENTRE AS UNIDADES DA UEG

Após a realização de uma entrevista com a diretora da Unidade de Pires do Rio, foi constatado que a administração geral da UEG (Reitoria, pró-reitoria, secretaria geral, dentre outros) necessita de comunicação constante com as unidades. Hoje, é feita através de e-mail, fax e telefone. A comunicação entre as unidades é necessária para facilitar mudanças na grade curricular de cursos; divulgação de projetos (pesquisa e extensão); consulta de banco de dados entre unidades, pólos universitários e a sede. A falta de comunicação traz dificuldades que resulta no atraso de envio e recebimento de documentos, deslocamento desnecessário de funcionários que poderiam resolver tais problemas à distância.

4 – DEFINIÇÕES DE REDES DE COMPUTADORES

LAN[2] – São redes locais que interligam computadores por meio de cabos, hardwares e softwares devidamente configurados para existir a comunicação entre as máquinas. É geograficamente limitada, isso quer dizer que ela se restringe à comunicação de uma pequena área em relação aos outros tipos de rede, onde as taxas de transferências, mais comuns encontradas em diversas redes, podem trabalhar com 10 Mbps[3], 100 Mbps ou 1000 Mbps, dependendo do hardware utilizado na LAN. Além do mais, existe a de 10000 Mbps, porém é mais difícil de se implementar e/ou encontrar em uma rede local devido à mão de obra e os custos dos equipamentos que ainda são bem elevados.

MAN[4] – São redes denominadas metropolitanas, pois ocupam geograficamente cerca de uma área metropolitana, permitindo a conexão entre computadores dentro desse perímetro, as quais oferecem estrutura suficientemente capaz de suprir as necessidades em uma possível ampliação da rede.

Assim, enfoca Ross (2008):

As MANs (Metropolitan Área Network) são redes que ficam restritas a região metropolitana de uma grande cidade, o seu raio de cobertura varia de 40 a 80 km. A sua velocidade de transmissão geralmente é abaixo de 2 Mbps e é muito utilizada por redes de Franquias, Universidades, Escolas e órgãos do governo municipal.( ROSS, 2008, p. 07).

Dessa forma, fica fácil entender um pouco sobre esse tipo de rede, que pode ser aplicada em diversas áreas e em diversos setores, facilitando a comunicação entre máquinas.

WAN[5] – São redes de longa distância que interligam computadores. A Internet pode ser citada como exemplo de uma WAN, pois interliga computadores de cidades que se localizam em países situados, até mesmo, em continentes diferentes.

Após esses conceitos, podemos afirmar que pode ser criada uma Intranet na UEG. A Intranet pode ser definida como uma rede local trabalhando com uma suíte de protocolos utilizados pela internet, possuindo um firewall que controla o acesso e o tráfego de dados dessa rede, que permite o acesso aos dados somente as pessoas autorizadas.

Segundo Gomes (2004):

A intranet é uma rede interna que funciona como uma Internet de acesso restrito, que traz informações e serviços para os funcionários e também dá acesso aos sistemas corporativos, como sistemas de gestão de RH.( GOMES, 2004, p 165)

Desse modo, a intranet pode trabalhar com a Internet ou não, mas o fato é que ela é restrita ao ambiente interno, não sendo acessível ao meio externo. Ela funciona como se fosse uma internet particular. Pode ser citada, como exemplo, uma empresa que tenha instalado em um de seus servidores um servidor Web para fornecer os serviços WWW (Word Wide Web)[6] para seus funcionários e pode até mesmo compartilhar serviços como o acesso remoto dos hosts com os servers, backup de arquivos entre hosts e servers, dentre outros que podem ser oferecidos pela intranet.

5 – O QUE É UMA VPN?

Uma VPN ou Rede Privada Virtual é uma rede privada e protegida que se constitui através de uma Rede Pública como a Internet, o que proporciona uma implementação simples com custos reduzidos; embora seja a Internet uma rede desprotegida não é um empecilho para a implementação da VPN que agrega soluções de segurança como criptografia, autenticação e protocolos que visam proteger os dados trafegados.Segundo Tanenbaum (2003):

As redes VPN são redes sobrepostas às redes públicas, mas com a maioria das propriedades de redes privadas. Elas são chamadas "virtuais" porque são meramente uma ilusão, da mesma forma que os circuitos virtuais não são circuitos reais e que a memória virtual não é memória real. (TANENBAUM, 2003 Apud Oliveira et al).

A VPN é uma solução bastante eficaz e com custo-benefício muito superior se comparado a outras soluções. É evidente a dificuldade que existe em se integrar redes distintas e distantes de maneira segura, garantindo que os dados não sejam interceptados. As VPNs oferecem soluções para este tipo de comunicação se posicionando como uma tecnologia confiável e segura operando através da Internet, tornando-a acessível a qualquer Instituição ou Empresa que deseje constituir comunicação através de uma Rede Pública. As VPNs se caracterizam por proporcionar redução de custos, flexibilidade, confiabilidade, segurança e por terem a capacidade de ser facilmente expandida, facilitando uma possível ampliação da rede.

Figura 1 VPN - Fonte: http://www.csm.ornl.gov/~dunigan/gifs/vpn.gif

6 – TUNELAMENTO

As VPNs baseiam-se em túneis, todavia estes existem antes mesmo da criação das VPNs. O tunelamento consiste basicamente por encapsular um protocolo dentro do outro, ou seja, um protocolo utiliza o outro e entra dentro dele. Antes de fazer o encapsulamento do pacote que será transportado através do túnel, o mesmo é criptografado tornando-se indecifrável e ficando imune a interceptação. O pacote encapsulado e criptografado faz sua viagem pela rede até o seu destino onde é desencapsulado e decriptografado.

Figura 2-Tunelamento – Fonte: http://www.rnp.br/newsgen/9811/images/fig4.gif

6.1 – Tipos de Tunelamento

6.1.1 – Tunelamento Voluntário

O Tunelamento Voluntário ocorre quando uma estação cliente utiliza um software cliente de tunelamento para efetuar a comunicação com o servidor VPN. Deste modo, a estação se torna a ponta final do túnel, pois o cliente solicitou informações do servidor e ele irá recebê-las através do túnel. Atualmente, o tunelamento voluntário é o mais utilizado.

6.1.2 – Tunelamento Compulsório

Neste tipo de tunelamento, um servidor de autenticação que terá o controle de quem irá acessar o túnel; também é de responsabilidade dele a constituição do túnel e sua configuração. Assim o cliente não necessita de um software cliente VPN para constituir o túnel; tudo será feito pelo servidor de autenticação de acesso à rede.

6.2 – Protocolos de Tunelamento

Existem diversos tipos de protocolos de tunelamento que agem sobre os túneis de comunicação da VPN. O objetivo dos protocolos é garantir a segurança e a privacidade dos dados. Com a implementação de protocolos específicos, temos a garantia de integridade e autenticidade, o que torna os túneis seguros para a utilização da VPN. O protocolo padrão para VPNs é o IPsec.

6.2.1 – IPSec

O IPsec (Security Architecture for IP) trata-se de um conjunto de protocolos e serviços que age sobre a camada IP. O IPsec garante um alto nível de segurança baseada em criptografia específica para os protocolos de rede, capaz de limitar o fluxo de tráfego, proteger a camada de rede, fazer controle de acesso e garantir confidencialidade e integridade. Tudo isso de maneira independente à criptografia já utilizada. Dessa maneira observamos a importante relação da VPN com segurança; ambas precisam se relacionar intensamente para que alcancemos os resultados esperados.

7 – SEGURANÇA DE REDES

7.1 – Conceitos

Com o crescimento acentuado das redes, que são responsáveis por manter a comunicação e interligar pontos distantes, também há o aumento de vulnerabilidades e falhas de segurança que se não forem evitadas ou recuperadas, podem trazer danos irreparáveis a corporações e instituições.

É cada vez maior e essencial a presença da internet em empresas, universidades e em todos os ramos que necessitem de comunicação e interligação, o que aumentam os riscos de dados importantes e sigilosos que possam ser interceptados, roubados e modificados. Se os dados não estiverem devidamente protegidos, podem ser tomados por qualquer pessoa com acesso à internet. Em um meio de uso coletivo, onde várias pessoas fazem uso de computadores ligados à rede, o ataque ou falha também pode ser interno; contudo isso pode ser resolvido com a implantação de políticas de segurança e com uma análise sobre os ataques de segurança.

7.2 – Ataques de Segurança

Os Ataques de Segurança são ameaças que podem comprometer as informações e deixar toda a rede desprotegida, em alguns casos os danos vão além do comprometimento dos dados, a própria rede pode ser gravemente prejudicada. Há uma grande preocupação em se proteger a rede de ataques externos, mas muitas vezes a maior vulnerabilidade é interna, funcionários, usuários ou pessoas mal intencionadas com acesso direto a máquinas ligadas às redes, podem provocar danos, roubar ou modificar dados, comprometendo toda a rede.

Existem algumas modalidades de ataque como, por exemplo, ataque de interceptação, interrupção, falsificação e modificação. Todas podem ser evitadas se uma boa política de segurança for adotada e seguida.

7.3 – Política de Segurança

A política de segurança é responsável por definir regras, que devem ser respeitadas por todos, sugerindo punições àquele que descumprir o conjunto de normas e regras adotadas. A política de segurança define o que é permitido ou proibido - define o que pode ou não ser feito na rede, - contém os meios de restringir ou permitir o acesso a determinado recurso da rede, delimitam as responsabilidades, as possíveis falhas, soluções e uso de recursos para se evitar fraudes e violações.

Uma política de segurança pode ser proibitiva, - tudo que não é permitido é proibido ou permissiva, - tudo que não é proibido é permitido. Uma boa política de segurança deve ser proibitiva. Dessa maneira, só será permitido o uso do que for necessário. Assim é possível se obter um controle total do que acontece na rede.

Alguns elementos devem ser considerados na elaboração da política de segurança, são essenciais para se obter resultados efetivos, são eles, disponibilidade, integridade, autenticidade, utilização, confidencialidade e posse.

8 – CRIPTOGRAFIA

Deve ser ressaltada a criptografia, que é essencial para garantir a comunicação segura na VPN, pois, faz com que apenas pessoas autorizadas acessem os dados da rede, e assim, promove uma conexão que tem autenticidade, confidencialidade e integridade das informações.

Enfoca a Cartilha de Segurança para Internet (2006), que a criptografia é a:

Ciência e arte de escrever mensagens em forma cifrada ou em código. É parte de um campo de estudos que trata das comunicações secretas. É usada, dentre outras finalidades, para: autenticar a identidade de usuários; autenticar transações bancárias; proteger a integridade de transferências eletrônicas de fundos, e proteger o sigilo de comunicações pessoais e comerciais.

Essa criptografia funciona da seguinte forma: o emissor gera uma chave criptográfica através de algoritmos e envia para o destinatário, onde o mesmo decifra a informação e obtém os dados, lembrando que o destinatário deve estar autorizado a decriptografar os dados.

A seguir, será mencionado a classificação de criptografia simétrica e criptografia assimétrica para um melhor entendimento a respeito.

Criptografia Simétrica – a mesma chave gerada pelo emissor para criptografar deve ser a mesma chave do receptor para decriptografar. Então, para haver a transmissão de informações de forma segura, envio e recepção de dados; é preciso haver a troca dessa chave entre remetente e destinatário, que é denominada de chave privada.

Segundo Assis (2003), esse método apesar de sua simplicidade, possui alguns problemas. São eles:

A mesma chave ser usada para cada par, emissor-receptor, se o número de pares for grande, será necessário um grande número de chaves, o que dificulta a administração das mesmas e compromete a segurança, visto que nem sempre é possível garantir que a chave será armazenada de forma segura;

A criptografia simétrica não garante a identidade de quem enviou ou recebeu a mensagem. (ASSIS, 2003, p.22)

Desse modo, é mais recomendado utilizar a criptografia assimétrica porque ela trabalha tanto com a chave pública quanto a privada, ressaltando que apenas a chave inversa poderá decriptografar a mensagem oriunda ou da chave privada ou da chave pública.

Existe também outro tipo de criptografia chamado de função hashing [7]que gera um código hash a partir dos bits de uma mensagem representando a mesma com um tamanho fixo. Ou seja, ele deve ser único para cada mensagem garantindo, dessa forma, a integridade dos dados, pois a mensagem não é criptografada, apenas números hexadecimais são gerados a partir dos bits de uma mensagem. Se apenas um bit dessa mensagem for alterado na transmissão dos dados, também será modificado o código hash mudando o conteúdo da mensagem. Porém, pode existir um problema se for usado apenas o código hash caso alguma pessoa não autorizada possa capturar essas informações calcular e substituir o hash.

No entanto, o hash pode ser usado nas assinaturas digitais. Assim afirma Vick (2008):

Para se obter uma assinatura digital válida são necessárias duas etapas. A primeira é criar um hash do documento. Este hash identifica unicamente e inequivocamente o documento do qual ele se originou. A seguir, o assinante submete o hash a um método criptográfico usando sua chave privada. Como o hash criptografado só pode ser recuperado usando a chave pública do assinante, isto comprova a identidade da pessoa que assinou - é a chamada assinatura digital - e como o hash recuperado identifica o documento, a assinatura está associada unicamente a este documento.

Portanto, a assinatura digital utiliza um par de chaves, sendo que uma delas pública e a outra é privada. Esta tem a finalidade de assinar o documento e aquela é encarregada de verificar a assinatura. Desse modo Assis (2003) afirma que existem vários algoritmos de criptografia assimétrica que podem ser aplicados; contudo, o padrão encontrado no mercado é o RSA[8], que é considerado o melhor algoritmo de encriptação.

Outra opção para se ter segurança na transmissão dos dados é através do certificado digital. Ele consiste em um par de chaves (pública e privada) usadas juntas para proporcionar autenticidade da mensagem por meio de uma Autoridade Certificadora (AC).

Conforme Filho (2007), a Autoridade Certificadora:

Tem função essencial em um sistema de certificação, uma vez que assina chaves públicas (ou certificados) alheios. Partindo-se do princípio de que confiamos na autoridade certificadora, todas as chaves que a mesma assinar serão confiáveis. O objetivo maior da CA é garantir que uma chave realmente pertença a quem diz ser o dono da mesma. Por necessitar de um alto grau de segurança, geralmente, a CA é instalada em uma máquina isolada e fora da rede (para evitar uma possibilidade de roubo da chave privada em uma possível invasão).

Deve ser ressaltado que, se uma outra entidade possuir a chave pública da AC, esta poderá ter acesso às informações antes criptografadas pelo par de chaves.

9 – VPN E SEGURANÇA

A Segurança é fundamental na abordagem de VPNs porque as mesmas utilizam um meio público de comunicação, como a internet, que é considerado um meio inseguro; porém, com a utilização de protocolos de segurança, políticas de segurança, firewall e criptografia, as VPNs tornam-se altamente seguras.

10 – VPN E FIREWALL INTEGRADO

A utilização de Firewalls em VPNs é indispensável, pois é um mecanismo de segurança muito eficiente. Segundo Tanembaum 2003:

Os firewalls são apenas uma adaptação moderna de uma antiga forma de segurança medieval: cavar um fosso profundo em torno do castelo. Este recurso forçava todos aqueles que quisessem entrar ou sair do castelo a passar por uma única ponte levadiça, onde poderiam ser revistados pelos guardas (TANEMBAUM, 2003, p.776).

Esta solução pode ser considerada a mais eficaz: consiste na implementação do firewall na mesma máquina que possui o gateway[9] VPN. Após passarem pelos túneis e serem decifrados os dados passam pelo firewall, que faz o processo de filtragem, o que não seria possível caso a VPN estivesse atrás do firewall, pois o mesmo receberia os pacotes cifrados, sendo ineficiente no processo de filtragem. É de grande importância que antes de chegar ao gateway VPN, os pacotes passem por um filtro de pacotes, isso evitara ataques diretos.

A implementação da VPN com firewall integrado pode, todavia, provocar sobrecarga, o que pode ser solucionado com a utilização do Iptables[10].

11 – IMPLEMENTAÇÃO COM ROTEADORES VPN

Durante o desenvolvimento deste artigo, foi constatado que a Universidade Estadual de Goiás não possui roteadores que fornecem o trabalho de uma VPN. No entanto, os mesmos poderiam ser instalados nas dependências da UEG.

Para fornecer esse tipo de serviço, seria necessário ter um roteador VPN na sede e, pelo menos, um roteador em cada unidade e/ou pólo universitário com 4 (quatro) portas. O roteador indicado é o Linksys BEFVP41-LA.

Segundo a loja Ctis (2008)

O router VPN para ligação por cabo/DSL EtherFast Instant Broadband da Linksys oferece a solução ideal para aderir remotamente e com segurança a uma rede através da Internet utilizando métodos de autenticação e encriptação de vanguarda. Utilizando encriptação DES de 56 bits e 3DES de 168 bits, autenticação de cabeçalho e controlo de acesso IKE (Internet Key Exchange), a capacidade VPN IPSec total do router EtherFast proporciona total privacidade dos dados para aceder e trocar os dados mais importantes.

O roteador da sede faria comunicação com os demais roteadores proporcionando, assim uma conexão LAN-to-LAN sobre a internet, fornecendo os principais serviços da rede, tais, como: o acesso a um servidor de e-mail, web, etc.

Figura 3 Roteador Linksys BEFVP41-LA

Fonte: http://www.submarino.com.br/produto/10/224762

12 – CUSTOS DE IMPLEMENTAÇÃO DE UMA VPN

A implantação da VPN poderia ser feita apenas utilizando softwares, porém, estaria sujeita à interrupção, caso houvesse falha no hardware e exigiria um técnico para monitoramento constante nas unidades, pólos e sede da UEG. Essa afirmação é feita devido aos problemas encontrados na própria rede com servidores mal configurados e pode haver também alteração em arquivos de configuração do sistema: dados corrompidos através de quedas de energia, dentre outros.

Resumindo, o sistema deveria ser instalado e monitorado com uma certa freqüência para fornecer o serviço na rede VPN.

Como exemplo de software pode ser citado SSH, que permite o acesso remoto á máquinas interligadas através de uma rede. Assim, Morimoto (2008) afirma que o SSH permite que se tenha acesso remoto dentro de uma rede, inclusive á aplicativos gráficos, permitindo que várias formas de transferência de arquivos sejam feitas. Permite, também, encapsular outros protocolos propiciando a utilização de um túnel seguro.

Assim, tem-se uma noção desse tipo de serviço que também pode ser implementado. No entanto, não é viável devido aos problemas mencionados acima.

Contudo, para solucionar problemas relacionados com VPN's, existem os roteadores VPN's que têm um custo bem acessível para a instituição de ensino UEG. Desse modo, diversos recursos seriam compartilhados entre as lan's por meio desses roteadores.Para se ter uma noção do preço do roteador Linksys BEFVP41, segundo a Ctis, é de R$ 299,00 por unidade.

Os roteadores, por conseguinte, são uma ótima opção para resolver o problema de comunicação entre as dependências da UEG, pois haveria a instalação e configuração dos mesmos pelos técnicos contratados pela UEG ou até mesmo técnicos concursados que trabalham na instituição.

13 – VPN: SOLUÇÃO DE BAIXO CUSTO

A VPN é a solução capaz de proporcionar qualidade e confiabilidade com o menor custo, instalação simplificada e incidências mínimas de manutenção. Os principais concorrentes da VPN apresentada neste artigo são os serviços de VPN por meio de links dedicados oferecidos pelas concessionárias de telecomunicação, que acarretam gastos para instalação do serviço e a obrigatoriedade de pagamento de mensalidades para sua utilização. Essa incidência de mensalidades, enquanto se usar o serviço, - produz gastos anuais muito acentuados e extremamente caros se comparados a VPN proposta neste artigo.

14 – CONSIDERAÇÕES FINAIS

A Instituição de Ensino Superior UEG sofre com a falta de comunicação entre suas dependências. Mas a VPN vem como uma solução para garantir o tráfego seguro de dados entre redes (LAN-to-LAN), formando uma intranet, em que a confidencialidade, integridade e disponibilidade da informação serão as principais características dessa rede.

A utilização de roteadores facilitará a instalação, configuração e manutenção da VPN, uma vez que os técnicos que trabalham na UEG farão os serviços citados acima. É salutar sugerir que o investimento para a implantação do sistema será de baixo custo se comparado a soluções similares.

Tal comunicação será, portanto, de grande valia para funcionários da UEG que poderão trocar informações entre si por meio de computadores interligados à rede VPN a curtas, médias e longas distâncias e a um custo reduzido.