1 VPN entre Unimed Federação do Paraná e Singulares do Paraná Gustavo Kochan Nunes dos Santos Curso de Especialização em Redes e Segurança de Sistemas Pontifícia Universidade Católica do Paraná Curitiba, Fevereiro de 2013.
2 Sumário 1 Introdução... 3 2 Ambiente e Problema... 4 3 Solução... 5 4 Configuração... 6 5 Testes... 15 6 Conclusão... 15 7 Referências Bibliográficas... 16
3 1 Introdução A Unimed Federação do Paraná faz parte de um sistema cooperativista que visa oferecer serviços para as demais Unimeds do Estado, com o crescimento do sistema Unimed, a Federação está preocupada em oferecer serviços com qualidade e segurança. Um dos sistemas disponibilizados pela Federação é o Autorizado On-line, é utilizado em 17 Unimeds, se tratando de um sistema crítico, foi necessária a adequação da conectividade entre a Unimed Federação com as Unimeds do Estado, inicialmente a conexão era realizada somente através de links privativos da Copel, chamado BIOREDE, com este trabalho foi traçada uma estratégia de redundância entre a Federação e as Unimeds, através de uma rede VPN pela internet. Utilizando o [4]OpenVPN que é um software livre e open-source para criar redes privadas virtuais do tipo ponto-a-ponto através de túneis criptografados entre os Firewalls de cada Unimed com a Federação, com uma grande dificuldade de gerenciar as VPN e roteamentos, foi escolhido o [1]PFSense que também é um software livre, baseado no sistema operacional FreeBSD e adaptado para assumir um papel de firewall e roteador, possuindo nativamente uma ferramenta de gerenciamento completa do [3]OpenVPN, foi adota como solução. Com esta solução é possível perder a conectividade em um dos dois links que o Sistema Autorizador continua em pleno funcionamento, sendo que quanto utilizado pela VPN o tempo de resposta do Sistema é um pouco maior, sem grandes impactos.
4 2 Ambiente e Problema O ambiente é formado com 17 Unimeds em um modelo básico de rede, Rede Interna, BIOREDE (Copel) e Internet, como mostra a Figura 1. Figura 1 Diagrama Básico de Rede Com este ambiente o acesso do Autorizador ao Banco de Dados tem somente uma rota, caso ocorra problemas o sistema fica indisponível.
5 3 Solução A solução proposta é criar acesso alternativo pela internet utilizado VPN, instalando um servidor de OpenVPN para concentrar as conexões das Unimeds, este servidor gerenciará as rotas e mudará automaticamente, caso ocorra algum problema, para o caminho que esteja funcionado, a figura 2 demostra os elementos dispostos no diagrama. Figura 2 Redundância de Links
6 4 Configuração Para dar inicio ao processo é necessário a criação dos certificados utilizados nas configurações do OpenVpn, a Figura 3 demostra o certificado de autoridade. Figura 3 - Autoridade de certificação Na sequencia foram criados os certificados de cada Singular de acordo com os paramentos abaixo: A Figura 4 e 5 demostram as configurações e certificados criados para cada Singular; Figura 4 Criação de certificados
7 Figura 5 - Certificados das Singulares Exportando os certificados e suas chaves, distribuindo para cada Singular utilizar na configuração do OpenVPN. Com os certificados criados, configuramos o Servidor do OpenVPN para cada Singular, como exemplo na figura 6.
8
9 Figura 6 - Exemplo de Configuração do OpenVPN A figura 7 demostra as configurações de servidor com as portas UDP para cada Singular. Figura 7 OpenVPN Server No lado do cliente (Singular) os servidores são Linux: Debian ou RedHat com filtragem de pacotes Iptables, após a instalação do OpenVPN foram ajustados os certificados e chaves, na figura 8 é demostrado o arquivo de configuração do OpenVPN cliente.
10 Figura 8 Configuração OpenVPN cliente Com o cliente configurado, a interface do OpenVPN se apresenta como na Figura 9. Figura 9 Interface OpenVPN Cliente Após as configurações do OpenVPN é necessário configurar a filtragem de pacotes, para que o servidor PFsense monitore as interfaces. Na figura 10 mostra na primeira regra o cliente da VPN aceitando requisições ICMP do Servidor PFsense na interface do OpenVPN, a segunda regra permite o acesso do servidor PFsense ao servidor de aplicação em determinadas portas TCP. A Figura 11 representa a regra que permite requisições ICMP do servidor PFsense na interface da COPEL. Figura 10 Regras iptables OpenVPN Figura 11 Regras iptables COPEL Com a VPN fechada e a filtragem de pacotes aplicada, configuramos o serviço de rotas no PFsense, sendo que sempre a rota preferencial é da interface da Copel, caso ocorra problemas com este link, automaticamente e alterado para a interface do OpenVPN. A configuração na figura 12 e 13 mostra TIER 1 e TIER 2 que é a ordem dos Links.
11 Figura 12 Configuração de preferência de rotas Figura 13 Priorização de Rota
12 Com esta configuração realizada temos um monitoramento via ICMP do servidor PFsense com os clientes (singulares) mostrando o status dos links na figura14. Figura 14 Monitoramento dos Links Com esta estrutura criada é possível direcionar a conexão tanto para o link da Copel ou para o Link da VPN, colocando em uso este recurso foi direcionado as conexões de rede de um serviço especifico para o servidor PFsense, foi encontrado um problema, quando direcionado para o link da VPN, a conexão de rede do servidor de destino retornava pelo link da Copel, pois a rede de origem faz parte do roteamento padrão, para resolver este problema, foi efetuado o mascaramento do IP de origem pelo IP da VPN como mostra na figura 15, juntamente com a segunda regra demonstrada na Figura 10.
13 Figura 15 NAT Após estas etapas concluídas é possível realizar testes de roteamento, foi criadas rotas especificas nos servidores que utilizam os serviços necessários demonstrado nas figuras 15 e simulado a queda do link da Copel demonstrado nas figuras 16 e 17.
Figura 16 - Rotas no servidor que utiliza a redundância 14
15 5 Testes Na figura 17 é observado que o acesso do Servidor Autorizador ao Servidor de banco é realizado através do link da Copel. Para realizar o teste de mudança de rota foi bloqueado o ICMP no firewall da Singular do sistema de monitoramento do Pfsense para o Servidor OpenVPN da singular, mostrado na figura 18 a falha do link da Copel e na figura 19 o novo caminho para acesso ao Servidor de banco. Figura 17 Gerenciamento de rotas Figura 18 Traçando rotas com os links em funcionamento 6 Conclusão Figura 19 Traçando rotas com o link da Copel parado. Como resultado deste projeto, concluímos que o cenário oferecido atende as necessidades da infraestrutura, podendo operar com uma falha ou manutenção no link da Copel.
16 7 Referências Bibliográficas [1] http://www.pfsense.org (01/2013) [2] http://doc.pfsense.org/index.php/tutorials (01/2013) [3] http://openvpn.net/ (01/2013) [4] http://pt.wikipedia.org/wiki/openvpn (01/2013)