Esta seção explica os conceitos que você precisa compreender para configurar uma VPN. Ela contém as seguintes subseções:

• "Configurações da VPN"
• "Rotear com uma VPN"
• "Terminologia das VPNs"
• "Criptografia e gerenciamento de chaves"
• "Sincronização e controle dos servidores"
• "Filtros de uma VPN"

Configurações da VPN

Uma VPN é usada para transferir de modo seguro informações confidenciais da empresa através de uma rede pouco confiável, como a Internet, encapsulando e criptografando os dados. O Novell BorderManager suporta VPNs de cliente para site e VPNs site a site.

As VPNs de cliente para site podem usar dois tipos de conexões:

• Conexões por discagem direta
• Conexões com provedores Internet através da Internet

As VPNs site a site podem usar os seguintes tipos de conexões seguras:

• Entre dois departamentos dentro da mesma empresa usando a rede privada da empresa, ou seja, a intranet
• Entre dois ou mais sites dentro da mesma empresa usando a Internet
• Entre duas ou mais empresas diferentes usando a Internet

As VPNs site a site da intranet e da Internet podem ser implantadas de uma destas duas maneiras:

• Com o membro VPN em uma fronteira entre sua rede privada e a rede pública
• Com o membro VPN atrás de um roteador ou firewall de ponta que esteja na fronteira entre sua rede privada e a rede pública

Rotear com uma VPN

Por padrão, o BorderManager está com o roteamento dinâmico habilitado para o roteamento de pacotes IP. Com o roteamento dinâmico, as redes privadas locais dos membros VPN são reconhecidas automaticamente por outros membros VPN através de um túnel criptografado.

Uma alternativa para o uso do roteamento dinâmico é configurar uma lista de redes que sejam protegidas pela VPN. A configuração dessa lista de redes protegidas é equivalente à configuração de rotas estáticas. A configuração de uma lista de redes protegidas libera a VPN do tráfego extra que é gerado pelo protocolo de roteamento dinâmico enquanto ela aprende as rotas para suas redes privadas. Você pode especificar um ou mais endereços de redes IP locais ou endereços de host na lista de redes protegidas. A lista é usada pelo servidor VPN para determinar quais redes podem enviar dados criptografados através do túnel da VPN. Esse método reduz o tráfego da rede eliminando os pacotes RIP (Routing Information Protocol) na rede.

Use rotas estáticas quando não quiser que os servidores VPN troquem informações de roteamento. Use também rotas estáticas quando estiver utilizando conexões VPN site a site e de site para a Internet; isso evita que informações não criptografadas cheguem à Internet por terem sido roteadas incorretamente.

Terminologia das VPNs

Esta seção analisa a terminologia básica das VPNs que você precisa compreender para projetar e planejar uma VPN. Ela explica os seguintes conceitos das VPNs:

• Servidor master
• Servidor slave
• Túnel
• Cliente

Servidor master

O servidor master VPN é o servidor no qual todos os outros servidores VPN são adicionados à rede. Ele mantém a lista dos servidores slave que fazem parte da VPN. Também fornece as informações de criptografia que são usadas pelos servidores slave para gerar suas chaves criptográficas. Uma VPN só pode ter um servidor master.

Em geral, o servidor master é colocado em um site central onde a maioria dos administradores de sistemas principais estão localizados ou onde a organização do IS (Information Systems) corporativo se baseia.

Servidor slave

Ao contrário do servidor master, todos os servidores em uma VPN são servidores slave. Os servidores slave geram suas chaves criptográficas a partir das informações de criptografia fornecidas pelo servidor master. Um servidor VPN só pode ser membro de uma VPN por vez.

Túnel

Túnel refere-se ao encapsulamento de pacotes de dados dentro de outros pacotes de dados. Os servidores VPN podem encapsular pacotes IP ou IPX criptografados dentro dos pacotes IP que são usados para trocar informações através da Internet ou da intranet local. A conexão que é usada para trocar esses pacotes IP é denominada túnel da VPN ou túnel criptografado.

Cliente

Um cliente VPN é um cliente de discagem que usa o protocolo PPP (Point-to-Point Protocol) para se conectar com um servidor master VPN ou slave. Após a conexão de discagem ser estabelecida, o cliente possui acesso a redes protegidas por qualquer membro da VPN. O cliente pode discar para um servidor diretamente ou usar uma conexão com o provedor Internet através da Internet.

Criptografia e gerenciamento de chaves

O software da VPN do BorderManager usa uma criptografia de 128 bits ou de 40 bits para manter dados ocultos e seguros. A criptografia de 40 bits é usada em países onde a Novell não pode vender criptografia de 128 bits. O BorderManager usa o padrão IPSEC na autenticação e criptografia da camada Rede e o padrão SKIP para o gerenciamento de chaves. O padrão SKIP permite especificar, na configuração da VPN, quantos pacotes podem passar por um túnel criptografado antes de a chave de autenticação e criptografia ser mudada automaticamente.

Sincronização e controle dos servidores

Você pode definir parâmetros de controle para sua VPN. Pode especificar se o IP, o IPX ou os dois são criptografados. Você também pode especificar a topologia de rede da VPN e se uma conexão entre dois servidores pode ser iniciada por somente um servidor ou pelos dois.

Quando você sincroniza uma VPN, o servidor master atualiza todos os servidores slave com as informações de chaves de topologia e criptografia mais recentes. Você pode especificar o intervalo entre as atualizações para garantir que qualquer alteração se propague o mais rápido possível.

Filtros de uma VPN

Quando você configura servidores VPN, o utilitário NIASCFG configura automaticamente os filtros de pacotes (RIP) para evitar a propagação de endereços de servidores VPN. Os filtros a seguir são configurados automaticamente para a VPN:

• Filtro RIP que sai que nega o endereço IP da VPN destinado a todas as interfaces

  Como o endereço IP da VPN provavelmente não está registrado, ele não precisa ser propagado na Internet. Além disso, o endereço IP da VPN não precisa ser propagado na Internet mesmo que esteja registrado. Somente os membros VPN precisam conhecer esse endereço IP, não toda a comunidade Internet.

  Se você usar um endereço IP de sub-rede para o endereço do túnel da VPN, serão definidos dois filtros automaticamente: um para a máscara natural do endereço IP especificado e um para a máscara de sub-rede especificada.

• Filtro RIP que sai que nega o endereço IP público destinado a interfaces de túneis da VPN

  Este filtro impede que os endereços IP públicos sejam propagados através da interface de túneis da VPN. Sem esse filtro, poderia ocorrer um loop de roteamento e o sistema apresentaria problemas de conectividade.

  Se você usar um endereço IP público de sub-rede, serão definidos automaticamente dois filtros: um para a máscara natural do endereço IP especificado e um para a máscara de sub-rede especificada.

• Filtro RIP que sai que nega a rota padrão destinada a interfaces de túneis da VPN

  Este filtro impede que o tráfego destinado à Internet seja roteado de novo através do túnel desnecessariamente.

Os filtros de pacotes VPN são configurados automaticamente quando você digita o endereço IP público e o endereço do túnel da VPN. Se você apagar esses filtros do FILTCFG, poderá recriá-los automaticamente usando a opção Atualizar Filtro VPN do NIASCFG.