1

Implantao e Uso da VPN nas Empresas

Bruno Wantil (Multivix) brunowantil@gmail.com

Resumo: O objetivo do artigo relatar que a tecnologia aplicada com eficincia em

empresas corporativas, auxilia em objetivos mais rpidos em relao a sistemas
devido implantao da VPN. Analise de relatrios, melhor desempenho de
processos, entre outras atividades administrativas rotineiras. Mais a fundo na rea
da tecnologia, como servidores, atualizaes, monitoramento da infraestrutura,
tambm auxiliam no ambiente de TI. A finalidade estar integrando os sistemas e
operaes tecnolgicas a todos os colaboradores da empresa, visando o
desempenho da empresa.
Palavras-chave: VPN; rede virtual; tnel.
Abstract: The aim of this paper is to report that the technology applied efficiently in
corporate enterprises, assists on goals faster compared to systems due to the
implementation of VPN. Analysis of reports, better performing processes, among
other routine administrative activities. Deeper in technology, such as servers,
updates, monitoring of infrastructure, also aid in the IT environment. The purpose is
to be integrating the systems and technology operations to all company employees,
seeking the company's performance.
Keywords: VPN; virtual network; tunnel.

1. Introduo
O cenrio das empresas tanto pequena ou grande de expanso.
Acompanhada sempre de perto est tecnologia nela aplicada. O uso de vrios
sistemas e diferentes tipos de bancos de dados exigem sempre uma anlise
detalhada e melhor desempenho da infraestrutura apresentada no setor de
tecnologia da informao.
Com o crescimento da empresa, surgem as filiais tornando o negcio mais
lucrativo. Sendo assim, uma nova estrutura montada para receber e distribuir o

sistema e outros recursos tecnolgicos j implantados na empresa matriz. Para que

consiga uni-las, um recurso que no novidade, mas tambm no muito conhecido
a VPN (Virtual Private Network Rede Privada Virtual).
A questo saber aproveitar os benefcios com a segurana e aplicar na
corporao, otimizando processos e sistemas. A comunicao e o feedback,
praticamente em tempo real, ser notado mais rapidamente. Assim, atingir
diretamente o colaborador e os administradores para melhor resultado.

2. O que VPN
um acesso seguro e restrito de uma rede para outra, no importa a
distncia, at entre pases. Para realizar esta conexo, a internet quem far esta
ligao, podendo ser de um link dedicado ou no, sendo isto uma das vantagens.
Quando a empresa centraliza seu sistema e banco de dados na sua matriz, por
exemplo, possvel realizar acesso ao sistema de suas filias em qualquer
localidade, compartilhamento de impressora, de pastas e arquivos, entre outros,
como se as mquinas estivessem no mesmo local, utilizando a mesma rede. Assim,
tornando mais gil e seguro as tarefas dirias da empresa. A segurana da troca de
dados garantida pelo encapsulamento e criptografia, gerando privacidade,
integridade e autenticidade dos dados.

2.1.

Tipos de VPN

Atualmente existem trs tipos de VPN, em que cada uma possui

caractersticas diferentes, so elas:
Acesso Remoto via Internet
O acesso remoto a redes corporativas atravs da Internet pode ser viabilizado
com a VPN atravs da ligao local a algum provedor de acesso (Internet Service
Provider - ISP). A estao remota disca para o provedor de acesso, conectando-se
Internet e o software de VPN cria uma rede virtual privada entre o usurio remoto e o
servidor de VPN corporativo atravs da Internet.

Figura 1 Modelo de VPN intermediada e gerenciada pelo provedor

Conexo de LANs via Internet

Uma soluo que substitui as conexes entre LANs atravs de circuitos
dedicados de longa distncia a utilizao de circuitos dedicados locais
interligando-as Internet. O software de VPN assegura esta interconexo formando
a WAN corporativa. A depender das aplicaes tambm, pode-se optar pela
utilizao de circuitos discados em uma das pontas, devendo a LAN corporativa
estar, preferencialmente, conectada Internet via circuito dedicado local ficando
disponvel 24 horas por dia para eventuais trfegos provenientes da VPN.

Figura 2 Modelo de VPN sendo ligado diretamente atravs dos servidores

Conexo de Computadores numa Internet

Em algumas organizaes, existem dados confidenciais cujo acesso restrito
a um pequeno grupo de usurios. Nestas situaes, redes locais departamentais
so implementadas fisicamente separadas da LAN corporativa. Esta soluo, apesar
de garantir a "confidencialidade" das informaes, cria dificuldades de acesso aos
dados da rede corporativa por parte dos departamentos isolados. A VPN possibilita a
conexo fsica entre redes locais, restringindo acessos indesejados atravs da
insero de um servidor VPN entre elas. Observe que o servidor VPN no ir atuar
como um roteador entre a rede departamental e o resto da rede corporativa uma vez
que o roteador possibilitaria a conexo entre as duas redes permitindo o acesso de
qualquer usurio rede departamental sensitiva. Com o uso da VPN o administrador
da rede pode definir quais usurios estaro credenciados a atravessar o servidor
VPN e acessar os recursos da rede departamental restrita. Adicionalmente, toda
comunicao ao longo da VPN pode ser criptografada assegurando a
"confidencialidade" das informaes. Os demais usurios no credenciados sequer
enxergaro a rede departamental.

2.2.

Funes Bsicas da VPN

Confiabilidade: Como a VPN se utiliza de um meio pblico de comunicao, a

interceptao de dados relativamente simples, por isso imprescindvel que os
dados que trafeguem sejam absolutamente privados, de forma que mesmo que
sejam capturados, no possam ser entendidos.
Integridade: Se eventualmente alguma informao interceptada,
necessrio que ela no seja alterada e reencaminhada. Permitindo assim que
somente dados vlidos sejam recebidos pelas aplicaes suportadas pela VPN.
Autenticidade: A troca de informaes s deve ser feita por usurios e
equipamentos que tenham sido previamente autorizados a fazer parte da VPN, ou
seja, um elemento de uma VPN s reconhecer dados originados de um elemento
que tenha autorizao para fazer parte da VPN.

2.3.

Tunelamento, Protocolo e Criptografia da VPN.

Quando a VPN ativada ligando as duas redes, logicamente existe um tnel

unindo as partes. Os dados so encapsulados e criptografados. Existem os
protocolos para transmisso destes dados. Veremos estes processos agora em
detalhes.
A tcnica de tunelamento consiste no encapsulamento de um protocolo dentro
de outro. Ela permite que um pacote seja enviado com segurana atravs de uma
rede pblica como a Internet. Devido a isso, usada para a criao de VPNs.
Para que um datagrama seja enviado de um ponto a outro da VPN, ele
precisa, primeiramente, ser encriptado para que fique ilegvel (no caso de ser
interceptado). Depois, precisa ser encapsulado (recebendo um cabealho adicional)
para ento ser enviado atravs da rede intermediria (por exemplo, a Internet). Ao
chegar a seu destino na rede pblica, o datagrama encapsulado, desencriptado e
encaminhado a seu destino final.

Figura 3 Encriptamento dos dados trafegando pelo tnel

A VPN utiliza o recurso do tunelamento para enviar seus dados atravs das
redes intermedirias atravs da utilizao de protocolos que atuam nas camadas de
enlace (nvel 2) ou de rede (nvel 3) do modelo de referncia ISO/OSI.

Nos protocolos de tunelamento atravs da Camada de Enlace, os dados so

trocados na forma de quadros PPP (Point-to- Point Protocol), que recebem um
cabealho da Camada de Rede (IP) para serem transportados atravs da Internet.
O PPP um protocolo da Camada de Enlace muito usado para o
estabelecimento de conexes discadas com a Internet. Ele permite o
encapsulamento de pacotes multiprotocolo para o envio atravs de um enlace
dedicado, como uma linha de telefone. O PPP no faz roteamento, sendo capaz de
enviar quadros apenas de um ponto a outro de uma conexo.
Extenso do PPP, o PPTP (Point-to-Point Tunneling Protocol) permite a
criao de um tnel entre dois pontos de uma rede de comutao de pacotes como
a Internet para o estabelecimento de uma VPN.
Adicionalmente, este protocolo possibilita que os dados do pacote (payload)
sejam encriptados, garantindo maior segurana no envio dos pacotes pela rede.
Para ser enviado atravs de uma rede TCP/IP, o quadro PPP encriptado e
encapsulado, recebendo um cabealho IP com o endereo real de seu destino. O
PPTP foi desenvolvido por um consrcio de empresas formado por Microsoft, 3Com,
Ascend, US Robotics e ECI Telematics e est definido na RFC 2637 da IETF
(Internet Engineering Task Force). Desde o Windows 95, todas as verses do
Microsoft Windows incluem um cliente PPTP.
O L2TP (Layer Two Tunneling Protocol) tambm uma extenso do PPP,
reunindo caractersticas dos protocolos PPTP e L2F (Layer 2 Forwarding, criado
pela Cisco). Foi desenvolvido pela IETF e padronizado na RFC 2661.Usando
tunelamento com L2TP, um usurio remoto pode se conectar a uma rede corporativa
atravs de um ISP (Internet Service Provider). Para enviar seus dados, o cliente usa
quadros PPP. Para serem enviados, os quadros PPP so encapsulados com um
cabealho L2TP, que ser precedido por um cabealho UDP. Para ser roteado pela
rede pblica, o pacote recebe ento um cabealho IP.

IPSec um conjunto de tcnicas e protocolos definido pela IETF e utilizado

para transferir dados de maneira segura na Camada de Rede. uma extenso do
IP, que tem por objetivo garantir a privacidade e integridade dos dados enviados.
Est baseado num modelo de segurana fim-a-fim, em que apenas o
remetente e o destinatrio sabem da proteo IPsec. Cada um controla a segurana
em seu prprio extremo, sempre tendo em considerao que o meio fsico que
utilizam no seguro.
A fim de proteger a comunicao a ser estabelecida, o IPSec realiza uma
srie de tarefas. necessrio que se determine qual protocolo de segurana ser
usado assim como o algoritmo de criptografia. Tambm preciso que sejam
trocadas entre os ns as chaves necessrias para a decodificao das informaes
encriptadas.
Devido a sua diversidade de opes, o IPSec requer um meio de se
armazenar os parmetros de segurana referentes a uma sesso de comunicao.
Para isso so utilizadas as chamadas Associaes de Segurana (Security
Association, SA) que permitem que os ns mantenham registro das informaes
pertinentes aos relacionamentos seguros existentes entre eles.
Para redes de larga escala, a configurao manual das SAs se torna invivel.
Este problema pode ser solucionado utilizando-se o protocolo Internet Key Exchange
(IKE) que fornece meios para que os ns negociem entre si as SAs a serem
aplicadas e efetuem as trocas de chaves automaticamente.
O IPSec constitudo por dois protocolos de segurana: Authentication
Header (AH) e Encapsulated Security Payload (ESP). Estas duas tcnicas so os
principais componentes do IPSec e podem fazer uso de diferentes algoritmos de
criptografia, sendo os mais usuais o Secure Hash Algorithm 1 (SHA-1) e o Message
Digest 5 (MD5).

Authentication Header (AH)

Prov a garantia de integridade e autenticao dos dados, permitindo que o
receptor verifique se o pacote recebido realmente veio de quem deveria ter vindo e
se ele foi modificado. Com isso, a comunicao fica protegida contra falsificao de
identidade, perda de integridade e ataque por reenvio de pacote. No h garantia de
privacidade. Adiciona um cabealho AH ao pacote.
Encapsulated Security Payload (ESP)
Prov a garantia de privacidade dos dados, utilizando criptografia para que
apenas o destino seja capaz de decodificar as informaes. Tambm fornece um
mecanismo opcional prprio de autenticao, para o caso de o AH no estar sendo
utilizado. formado por trs campos, sendo eles um cabealho ESP, uma cauda
ESP e um campo referente a autenticao opcional.
Dependendo das necessidades da rede, as duas tcnicas podem ser usadas
em conjunto para fornecer tanto autenticao quanto privacidade. No entanto, o AH
e o ESP podem operar separadamente, sendo apenas um deles suficiente para
atender a maioria dos casos. Alm disso, o IPSec pode ser implementado seguindo
dois modos de operao diferentes, denominados modo de transporte e modo de
tunelamento.

2.4.

Requerimentos Bsicos da VPN

Quando uma empresa implanta uma soluo de acesso remoto a sua rede
corporativa normalmente ela deseja facilitar o acesso controlado aos recursos da
sua rede e informaes. A soluo atravs de VPN deve permitir a fcil conexo de
usurios ou redes remotas Intranet, e garantir a privacidade e integridade dos
dados que so transportados pela Internet, o mesmo se aplicando aos dados
sensveis que trafegam internamente na rede.
Portanto, no mnimo uma soluo de VPN deve oferecer as seguintes
facilidades:

Autenticao de usurios

A soluo deve verificar a identidade do usurio e restringir o acesso VPN

aos usurios autorizados. Alm disso, a soluo deve oferecer recursos de
auditagem e contabilizao para mostrar quem acessou qual informao e quando.

Gerenciamento de endereos

A soluo deve atribuir ao cliente um endereo na rede privada, e deve

assegurar que os endereos privados iro permanecer privados.

Compresso e criptografia de dados

Os dados transportados na rede pblica devem ser mantidos ilegveis para

usurios no autorizados e tambm devem ser comprimidos para melhor eficincia
do sistema.

Gerenciamento de chaves

A soluo deve gerar e atualizar automaticamente as chaves de criptografia

para o cliente e o servidor.

2.5.

Criptografia

A criptografia implementada por um conjunto de mtodos de tratamento e

transformao dos dados que sero transmitidos pela rede pblica. Um conjunto de
regras aplicado sobre os dados, empregando uma sequncia de bits (chave) como
padro a ser utilizado na criptografia. Partindo dos dados que sero transmitidos, o
objetivo criar uma sequncia de dados que no possa ser entendida por terceiros,
que no faam parte da VPN, sendo que apenas o verdadeiro destinatrio dos
dados deve ser capaz de recuperar os dados originais fazendo uso de uma chave.
Chaves simtricas: Significa que a mesma chave utilizada em cada
terminao de um tnel para encriptar e decriptar as informaes. Como a chave
simtrica compartilhada pelas duas partes, devem ser tomadas as medidas
adequadas de forma a manter a chave secreta; por este motivo so tambm
chamadas de chaves secretas. Estas chaves so mais difceis de serem

10

distribudas, j que elas devem permanecer secretas. Uma tcnica denominada

diviso de chave pode ser empregada para reduzir o potencial de revelao da
chave durante a troca, o que permite a utilizao de canais pblicos, como a
Internet. A distribuio da chave tambm pode ser
feita manualmente, utilizando papis ou mdias removveis (como disquetes e CDs).
Chaves assimtricas: Chaves assimtricas so um pouco mais complicadas,
mas muito mais fceis de gerenciar. Elas permitem que a informao seja encriptada
por uma chave e decriptada por outra. As duas chaves utilizadas nesse cenrio so
chamadas de chave pblica, que distribuda, e chave privada, que deve ser
mantida em segredo. Com chaves assimtricas, os parceiros no negcio trocam
suas chaves pblicas para se comunicar, mas mantm suas chaves privadas em
segredo.

Algoritmos para Criptografia.

DES - Data Encryption Standard: um padro de criptografia simtrica,
adotada pelo governo dos EUA em 1977.
Triple-DES: O Triple-DES uma variao do algoritmo DES, sendo que o
processo tem trs fases: A seqncia criptografada, sendo em seguida
decriptografada com uma chave errada, e novamente criptografada.
RSA - Rivest Shamir Adleman: um padro criado por Ron Rivest, Adi
Shamir e Leonard Adleman em 1977 e utiliza chave pblica de criptografia,
tirando vantagem do fato de ser extremamente difcil fatorar o produto de
nmeros primos muito grandes.
Diffie-Hellman: Foi desenvolvido por Diffie e Hellman em 1976. Este algoritmo
permite a troca de chaves secretas entre dois usurios. A chave utilizada
formada pelo processamento de duas outras chaves uma pblica e outra
secreta.

2.6.

OpenVPN

11

uma ferramenta open source criada por James Yonan, capaz de criar uma
VPN baseada em SSL. O OpenVPN pode operar com 3 tipos de criptografia.
Nenhuma criptografia (apenas o tnel), criptografia com chaves estticas, e no modo
TLS/SSL, em que as chaves so trocadas periodicamente.
Passo a passo para instalao do OpenVPN em um servidor com sistema
operacional Ubuntu 12.04:

Abra o terminal e entre como root;

Instale o pacote do openvpn com este comando apt-get install openvpn;
Instale o pacote ssh para realizar a transferncia das chaves de uma mquina
para outra executando seguinte comando apt-get install ssh;
Acesse o diretrio cd/etc/openvpn;
Agora voc vai copiar os arquivos que o pacote openvpn instalou para este
diretrio executando seguinte comando cp r
/usr/share/doc/openvpn/examples/easy-rsa/2.0 /etc/openvpn;
D o comando ls para visualizar o contedo e ver o diretrio 2.0;
Dentro do diretrio 2.0 edite o arquivo vars, gedit vars;
No final do arquivo altere as linhas key_country=BR, key_province=ES,
key_city=Cachoeiro, key_org=Multivix,
key_email=seunome@dominio.com, salve o arquivo e feche;
Execute o comando source ./vars;
Aps, execute o comando ./clean-all;
Veja agora que a pasta Keys foi criada, dentro desta pasta fica as chaves,
certificadora de autenticidade, arquivos de configurao entre outros;
Volte um diretrio e execute comando ./built-ca;
Verifique que no diretrio keys surgiu o arquivo ca.crt e ca.key;
No diretrio 2.0, execute o comando ./built-key-server matriz;
Confirme os dados;
Aps, verifique no diretrio Keys que foi criadas os arquivos matriz.crt,
matriz.key e outros;
Volte para o diretrio 2.0;
Execute o comando ./build-key filial;

12

Tambm no diretrio keys, surgiu o arquivo filial.key, filial.crt e outros;

Aps, execute o comando ./built-dh;
No diretrio Keys, apareceu o arquivo dh1024.pem;
Volte at o diretrio /etc/openvpn;
Crie um arquivo txt com as seguintes configuraes na mquina matriz:

gedit matrix.conf
tls-server
dev tun
proto udp
port 6999
ifconfig 160.120.1.1 160.120.1.2
comp-lzo
dh /etc/openvpn/2.0/keys/dh1024.pem
ca /etc/openvpn/2.0/keys/ca.crt
cert /etc/openvpn/2.0/keys/matriz.crt
key /etc/openvpn/2.0/keys/matriz.key

Agora, preste ateno que vamos configurar a mquina cliente ou filial;

Abra o terminal e entre como root;
Instale o pacote do openvpn com este comando apt-get install openvpn;
Instale o pacote ssh para realizar a transferncia das chaves de uma mquina
para outra executando seguinte comando apt-get install ssh;
Acesse o diretrio cd/etc/openvpn;
Agora voc vai copiar os arquivos que o pacote openvpn instalou para este
diretrio executando seguinte comando cp r
/usr/share/doc/openvpn/examples/easy-rsa/2.0 /etc/openvpn;

13

No diretrio /etc/openvpn/2.0, crie a pasta keys, com o comando mkdir keys;

D permisso total ao diretrio com o comando chmod 777;
De volta ao servidor, no diretrio /etc/openvpn/2.0/Keys digite o comando scp
ca.crt maquina02@192.168.1.11: /etc/openvpn/2.0/Keys para copiar a
autoridade certificadora do servidor para o cliente;
Aps, digite o comando scp dh1024.pem maquina02@192.168.1.11:
/etc/openvpn/2.0/Keys para copiar o arquivo de criptografia do servidor para o
cliente;
Aps, digite o comando scp filial.crt maquina02@192.168.1.11:
/etc/openvpn/2.0/Keys para copiar o arquivo do servidor para o cliente;
Aps, digite o comando scp filial.key maquina02@192.168.1.11:
/etc/openvpn/2.0/Keys para copiar o arquivo do servidor para o cliente;
Volte at o diretrio /etc/openvpn;
Crie um arquivo txt com as seguintes configuraes na mquina filial:
gedit filial.conf
remote 192.168.1.10
dev tun
proto udp
port 6999
tls-client
ifconfig 160.120.1.2 160.120.1.1
comp-lzo
dh /etc/openvpn/2.0/keys/dh1024.pem
ca /etc/openvpn/2.0/keys/ca.crt
cert /etc/openvpn/2.0/keys/filial.crt

14

key /etc/openvpn/2.0/keys/filial.key
Aps realizer os parmetros, reinicie o service do openvpn com o seguinte
comando /etc/init.d/openvpn restart;
Verifique com o comando ifconfig e ver seu ip fixo e o ip da vpn;

Figura 4 Tnel levantado aps instalao do openvpn

3. Concluso
O uso da VPN soma muitas vantagens, mas para o profissional de TI
necessrio utilizar e parametrizar de forma correta, para sim retirar o mximo de
recurso que oferecido. Realizar o monitoramento da rede para visualizar possveis
falhas das filiais que se mantm conectadas ao servidor.
Este o meio mais seguro de estabeler a ligao de vrias empresas, a
criptografia e a confiabilidade do servio torna o trafego de dados estvel. A rotina
na empresa torna mais agil como envio de documentos, acesso a servidores,
mquinas dos usurios, DVR, switch, impressoras, entre outros.
Com essa tecnologia, a tendncia de cada vez mais estar implantado em
empresas corporativas, sendo instalado num sistema linux, gera tambm economia
de custo por licensa de software. Visando os avanos e inovaes tecnologicas, a
vpn fundamental nas empresas.
Referncias
FILHO, Francisco Braz. Virtual Private Networks. [s.d.]. Disponvel em: <
http://www.di.ufpe.br/~flash/ais98/vpn/Vpn.html >. Acesso em: 08 de nov. de 2015.

15

POMPEI, Luciana Simonio. Segurana em VPN. [s.d.]. Disponvel em: <

http://www.ic.unicamp.br/~rdahab/cursos/mp202/Welcome_files/trabalhos/VPN/texto/
Texto%20%28.html%29.html>. Acesso em: 09 de nov. de 2015.
ARTHUR, Luiz. Segurana da Informao VPN. [s.d.]. Disponvel em: <
http://pt.slideshare.net/luiz_arthur/seguranca-da-informao-vpn >. Acesso em: 08 de
nov. de 2015.
SOUZA, Ranieri Marinho de. O que VPN. [s.d.]. Disponvel em: <
http://blog.segr.com.br/o-que-e-vpn/>. Acesso em: 08 de nov. de 2015.