Redundância para Servidores de VPN Faculdade de Tecnologia SENAC Pelotas

Transcrição

1 Redundância para Servidores de VPN Faculdade de Tecnologia SENAC Pelotas Maicon de Vargas Pereira 1, Carlos Vinicius Rasch Alves 1 1 Redes de Computadores Faculdade de Tecnologia SENAC Pelotas (FATEC) Rua Gonçalves Chaves Pelotas RS Brazil maicon.tec.inf@hotmail.com, cvalves@senacrs.edu.br Abstract. The article describes the importance and benefits of using a VPN. Among the benefits, the focus of this work is VPN solutions in redundancy, so using the solutions OpenVPN, OpenSWAN and Windows Server. Also, they will also be addressed your settings, comparative performance and the behavior in the event of failures. Resumo. O artigo descreve a importância e benefícios da utilização de uma VPN. Dentre os benefícios, o foco deste trabalho são soluções de VPN em redundância, assim utilizando as soluções OpenVPN, OpenSWAN e Windows Server. Além disso, também serão abordadas suas configurações, comparativos de desempenho e o comportamento na ocorrência de falhas. 1. Introdução Com o atual crescimento de empresas, que passam a atuar em uma ou mais filiais expandindo seu negócio e aumentando o numero de usuários na sua rede, surge necessidade de interligar suas filiais em suas matrizes com uma comunicação segura e sem perda. Mediante as necessidades tecnologias são desenvolvidas para interligar essas empresas de forma segura e a Virtual Private Network (VPN) é uma das escolhas dentre essas tecnologias. A VPN é uma rede privada e assim só quem tem autorização pode ter conexão com ela tornando uma conexão segura entre os pontos interligados. A VPN, normalmente usa a Internet como meio de comunicação para estabelecer conexões seguras entre empresas, criando tuneis virtuais na internet de forma que os dados trafeguem criptografados, aumentando assim a segurança de seus dados. Antes das VPNs, as únicas opções para a criação deste tipo de comunicação, foram linhas de custo elevada ou circuitos frame relay locados. O acesso à Internet é geralmente local e muito menos custoso do que as conexões dedicadas ao servidor de acesso remoto. 2. VPN De acordo com [Morimoto 2006] uma VPN (Virtual Private Network, ou Rede Virtual Privada) é como o nome sugere uma rede virtual, criada para interligar duas redes distantes, através da Internet. Usar uma VPN permite que você compartilhe arquivos e use aplicativos de produtividade e de gerenciamento, como se todos os micros estivessem conectados à mesma rede local. Você pode até mesmo imprimir em impressoras da rede remota, da mesma forma que faria com uma impressora local. Todos os dados que trafegam através da VPN são encriptados, o que elimina o risco inerente à transmissão via Internet. Naturalmente, nenhuma VPN pode ser considerada completamente segura, já

2 que sempre existe um pequeno risco de alguém obter acesso aos servidores, de forma a roubar as chaves de encriptação (por exemplo), mas, em uma VPN bem configurada o risco é realmente bem pequeno. Basicamente uma VPN, pode ser estruturada de duas formas: Um host em trânsito conecta em um provedor de Internet e através dessa conexão, estabelece um túnel com a rede remota. Duas redes se interligam através de hosts com link dedicado ou discado via Internet, formando assim um túnel entre as duas redes. 3. Redundância De acordo com [Jos ] O termo redundância descreve a capacidade de um sistema em superar a falha de um de seus componentes através do uso de recursos redundantes, ou seja, um sistema redundante possui um segundo dispositivo que está imediatamente disponível para uso quando existe a falha do dispositivo primário do sistema. Uma rede de computadores redundante caracteriza-se, por possuir componentes como sistemas de ventilação e ar condicionado, sistemas operacionais, unidades de disco rígido, servidores de rede, links de comunicação e outros, instalados para atuarem como backups das fontes primárias no caso delas falharem. Essa redundância está presente, por exemplo, nos sistemas embarcados de aviação, quando impõe que aviões comerciais possuam dois computadores de bordo, dois sistemas para controle dos trens de aterrissagem, etc. Se um sistema falhar, deve ser o outro sistema tão eficiente e operacional como o primeiro, pronto para entrar em operação, testado, treinado e suficiente. Outro exemplo bem conhecido de um sistema redundante em redes de computadores é o RAID (Redundant Array of Independent Disks). 4. Soluções de VPN em Redundância Entre diversas soluções disponíveis no mercado para VPN, estão o OpenVPN, OpenSwan (IpSec) e windows Server (PPTP). Todas essas soluções são aplicáveis e funcionais, sendo o OpenVPN e OpenSWan de código aberto (ambos sobre a licença GNU General Pulic Licence), já a VPN com Windows Server utilizando o protocolo PPTP é comercial. A redundância será feita com a solução heartbeat para as soluções de código aberto e para a comercial será utilizado o próprio Windows Server OpenVPN De acordo com [Feilner 2006], o OpenVPN é uma aplicação de software de código aberto que implementa na rede privada (VPN) técnicas virtuais para criar conexões seguras ponto-a-ponto ou ponto-a-local em configurações roteadas ou em ponte e facilidades de acesso remoto. Ele usa um protocolo de segurança personalizado que utiliza SSL / TLS para troca de chaves. Ele é capaz de lidar com conversores de endereço de rede (NAT) de deslocamento e firewalls. Foi escrito por James Yonan e é publicado sob a GNU General Public License (GPL). OpenVPN permite que computadores autentiquem um ao outro usando uma chave secreta, certificados, ou nome de usuário e senha pré-compartilhadas. Ele usa a biblioteca de criptografia OpenSSL extensivamente, bem como o protocolo SSLv3/TLSv1, e contém muitos recursos de segurança e controle. OpenVPN foi portado e incorporado a vários sistemas.

3 Estrutura O OpenVPN é um protocolo específico para VPNs e nele é usado uma interface genérica (TUN/TAP), assim permitindo que ele trabalhe fora kernel. O certificado ultimado pelo OpenVPN para sua autenticação e criptografia é o X.509. Na Figura 1 é mostrado o cenário desenvolvido para testes com o OpenVPN. Figura 1. Cenário da solução OpenVPN Configuração As configurações de máquinas utilizadas no cenário da solução OpenVpn são listadas na tabela abaixo, tendo em vista que as máquinas com Linux e Windows obedecerão as mesmas configurações de hardware. Conforme a Figura 1 o OpenVpn trabalhará com dois nodes de redundância utilizando o heartbeat e terá como máquinas cliente Windows XP e Debian. Tabela 1. Configuração de hardware das máquinas da Matriz. Debian ,73 GHz 512 MB 20 GB OpenVPN / heartbeat / postgres Windows XP 1,73 GHz 512 MB 20 GB Putty Tabela 2. Configuração de hardware das máquinas da Filial. Debian ,73 GHz 512 MB 20 GB OpenVPN / heartbeat / postgres Windows XP 1,73 GHz 512 MB 20 GB Putty 4.2. OpenSwan (IPsec) De acordo com [ope ] o Openswan é uma implementação em IPSec para Linux, que tem suporte para maioria das extensões (RFC + IETF) relatadas para IPSec, incluindo certificados digitais X.509, NAT Traversal e muitos outros. O IPSEC foi concebido como uma extensão de terceira camada ao TCP/IP, ou seja, estende o próprio protocolo IP. Na

4 verdade, é parte obrigatória para o IPv6, sendo portado para utilização opcional no IPv4. A idéia original do IPSEC é permitir a comunicação segura e transparente entre quaisquer dois nós da Internet, desde que os dois implementem IPSEC. Se os dois têm IPSEC, automaticamente há troca de chaves e criptografia. Esse modo de funcionamento do IP- SEC denomina-se modo transporte. As informações criptográficas são transportadas em cabeçalhos opcionais do IP, de modo que as camadas acima (transporte e aplicação) nem ficam sabendo que a conexão é segura. Apenas a troca das chaves (IKE) usa pacotes UDP na porta Estrutura De acordo com [SEN ] A estrutura do IPSEC é baseada no uso de dois protocolos de segurança: o AH (Authentication Header) e o ESP (Encapsulating Segurity Payload), implementados como cabeçalhos adicionais inseridos em datagramas após o cabeçalho IP. Seu objetivo é evitar que o conteúdo de pacotes seja lido, alterado, modificado ou ainda, reenviado. A principal diferença entre os serviços de autenticação e integridade providos pelo AH e pelo ESP estão na abrangência da proteção. O AH protege todos os campos de um pacote, excetuando-se aqueles cujos valores são alterados em trânsito, como o Hop Limit, manipulado pelos roteadores que processam o pacote. Quando oferecidos pelo ESP, estes serviços abrangem somente o próprio cabeçalho do ESP e a porção de dados do pacote. A Figura 2 mostra o ambiente de testes desenvolvido para a ferramenta Openswan. Figura 2. Cenário da solução Openswan Configuração As configurações de máquinas utilizadas no cenário da solução OpenSWan são as listadas nas tabelas abaixo, tendo em vista que as máquinas com Linux e Windows obedecerão as mesmas configurações de hardware. Conforme a Figura 2 o OpenSWan trabalhará com dois nodes de redundância utilizando o heartbeat e terá como cliente Windows XP e Debian.

5 Tabela 3. Configuração de hardware das máquinas da Matriz. Debian ,73 GHz 512 MB 20 GB OpenSWan / heartbeat / postgres Windows XP 1,73 GHz 512 MB 20 GB Putty Tabela 4. Configuração de hardware das máquinas da Filial. Debian ,73 GHz 512 MB 20 GB OpenSWan / heartbeat / postgres Windows XP 1,73 GHz 512 MB 20 GB Putty 4.3. Windows Server (PPTP) De acordo com [Ruelas ] o Point-to-Point Tunneling Protocol foi desenvolvido por um grupo de empresas denominado PPTP Fórum, incorporado pela Microsoft e não proposto como padrão no IETF. Tinha por objetivo facilitar o acesso de computadores remotos a uma rede privada através da Internet ou outra rede baseada em IP, sendo um dos primeiros protocolos de VPN que surgiram. Está incorporado no Windows a partir do NT 4.0 e em clientes do Windows 95 através de um patch.o PPTP permite que o tráfego de protocolos múltiplos seja criptografado e, depois, encapsulado em um cabeçalho IP para ser enviado por meio de uma rede IP ou uma rede IP pública, como a Internet. O PPTP pode ser usado para conexões de acesso remoto e VPN site a site. Ao usar a Internet como a rede pública para VPN, o servidor PPTP é um servidor VPN habilitado para PPTP com uma interface na Internet e uma segunda interface na intranet Estrutura De acordo com [SILVA 2003] o PPTP encapsula os quadros PPP em datagramas IP para transmissão pela rede. O PPTP usa uma conexão TCP para o gerenciamento de encapsulamento e uma versão modificada do Encapsulamento de Roteamento Genérico (GRE) para encapsular quadros PPP para os dados encapsulados. A carga dos quadros PPP encapsulados pode ser descriptografada, compactada ou ambos. Na Figura 3 é mostrado o ambiente criado para testes com o Windows Server Configuração As configurações de máquinas utilizadas no cenário da solução Windows Server são as listadas nas tabelas abaixo, tendo em vista que as máquinas com Linux e Windows obedecerão as mesmas configurações de hardware. Conforme a Figura 3 o Windows Server trabalhara com dois nodes de redundância utilizando o próprio sistema operacional (Windows Server 2003) e terá como cliente Windows XP e Debian.

6 Figura 3. Cenário da solução Windows Server 2003 Tabela 5. Configuração de hardware das máquinas da Matriz. Debian ,73 GHz 512 MB 20 GB postgres Windows Server ,73 GHz 512 MB 20 GB Putty Windows XP 1,73 GHz 512 MB 20 GB Putty / cluster Tabela 6. Configuração de hardware das máquinas da Matriz. Debian ,73 GHz 512 MB 20 GB postgres Windows Server ,73 GHz 512 MB 20 GB Putty Windows XP 1,73 GHz 512 MB 20 GB Putty / cluster 5. Testes realizados Os testes representados abaixo foram feitos igualmente para todas as aplicações, obtendo assim análise de resultados para memória, rede e utilização da CPU. Foram simuladas falhas para testes com clusters para todas as aplicações. Foi desenvolvida uma aplicação simples na linguagem PHP e utilizado o banco de dados Postgres para simulação de leitura e escrita com banco de dados nos cenários propostos OpenVPN Nos testes com a ferramenta OpenVPN em redundância, esta se mostrou funcional e estável. Quando houve ocorrências de falhas em qualquer um dos nós, não houve perda de conexão e nem quedas no desempenho para o usuário final mediante os testes realizados com acesso via terminal e por uso da aplicação. Os resultados dos testes estão representados na Figura 4.

7 Figura 4. OpenVPN Representação de testes de memoria, cpu e trafego de rede do

8 5.2. OpenSwan (IPsec) Nos testes realizados com a ferramenta OpenSwan em redundância se mostraram estáveis, porém em ocorrências de falhas exigiu-se mais processamento da CPU deixando assim uma conexão mais lenta para os usuários conectados. Os testes estão representados nas Figura 5 e 6. Figura 5. Representação de testes no trafego de rede Figura 6. Representação de testes de memoria e cpu do OpenSWan (IPsec)

9 5.3. Windows Server (PPTP) Nos testes realizados com o Windows Server utilizando o PPTP a redundância não pareceu funcional, quando houve ocorrências de falhas apresentou-se quedas na conexão. Nas simulações de falhas do servidor de VPN os nós demoravam a restabelecer conexão e as vezes não conseguiram se restabelecer sem que fosse preciso reiniciar o serviço. Notouse nos testes a exigência de uma maior utilização de memória e processador, assim sendo perceptível as falhas para usuário final. Os teste estão representados nas Figura 7 e 8. Figura 7. Representação de testes no sistema em relação da memoria Windows Server (PPTP) Figura 8. Representação de testes no sistema em relação da cpu Windows Server (PPTP)

10 5.4. Comparativos Nesta seção serão abordados na Tabela 7 os comparativos realizados no decorrer deste trabalho. Segurança da VPN PPTP IPsec OPENVPN Criptografia básica Velocidade da VPN Rápida, devida a baixa segurança de sua criptografia Compatibilidade da VPN Comparação Nativo na maioria dos dispositivos e sistemas operacionais (Linux, Windows e Mac) PPTP é um protocolo rápido e fácil de usar, mas com criptografia baixa Tabela 7. Comparativos Tem alta criptografia por verificar a integridade de dados e os encapsular duas vezes Exige mais o uso de processamento da CPU para encapsular os dados Nativo na maioria dos dispositivos e sistemas operacionais (Linux, Windows) IPsec é um protocolo com alta segurança, mas que exige uma CPU com desempenho melhor Tem alta criptografia por ter dados autênticos com certificados digitais Desempenho e velocidade rápido mesmo com latência alta na conexão Nativo na maioria dos dispositivos e sistemas operacionais (Linux, Windows) OpenVPN obteve maiores desempenhos com sua velocidade, segurança e confiabilidade 6. Conclusões Este trabalho se propôs a demonstrar comparativos de uma VPN com redundância em ambientes com software livre e comercial. Para isso foram estudadas características relacionadas a redes de computadores, tais como protocolos, projeto de redes e segurança. Com este trabalho podemos concluir que a VPN é uma forma segura e aplicável em qualquer ambiente comercial e a alta disponibilidade integrada a ela é importante para manter conectividade em ambientes que trabalham com soluções que precisam ficar disponíveis em perfeita atividade nas empresas. As VPNs que utilizam o recurso de alta disponibilidade tem o objetivo de manter empresas de vários portes (pequenas, médias e grandes) com grandes distâncias entre si, conectadas e com seus serviços disponíveis melhorando a comunicação entre elas e obtendo melhor desenvolvimento nas suas atividades com um custo muitas vezes reduzido.

11 7. Referências [Guimaraes et al. 2006] [Ferreira et al. 2005] [Tanenbaum and Woodhull 2006] [Caldeira 2015] [Conrad et al. ] [Eld ] Referências Elden cluster de servidor no windows server microsoft.com/pt-br/library/cc739757(v=ws.10).aspx. Acesso: Jansen Carlo um modelo para proteção do tráfego de serviços baseados em níveis de segurança. < vtls Acesso: JoseMauricioSantosPinheiro redundancia. br/artigos/artigo_conceitos_de_redundancia.php. Acesso: Openswan kernel description. Acesso: Caldeira, C. (2015). Postgresql: Guia fundamental. Conrad, D. F., Cera, M. C., and Navaux, P. O. Um estudo de caso do uso do windows compute cluster server em agregados de computadores. Feilner, M. (2006). OpenVPN: Building and integrating virtual private networks. Packt Publishing Ltd. Ferreira, F., Santos, N., and Antunes, M. (2005). Clusters de alta disponibilidade abordagem opensource. Relatório desenvolvido na disciplina de Projecto I. Guimaraes, A. G., Guimarães, A. G., Lins, R. D., de Oliveira, R. C., and Da Oliveira, R. C. (2006). Segurança em Redes Privadas Virtuais-VPNs. Brasport. Morimoto, C. E. (2006). Rede e servidores linux: guia prático. Sul Editores. Ruelas, A. M. R. Segurança em redes privadas virtuais. SILVA, S. (2003). Vpn virtual private network aprenda a construir redes privadas virtuais em plataformas linux e windows. São Paulo: Novatec. Tanenbaum, A. S. and Woodhull, A. S. (2006). Redes de Computadoresção. Bookman.