Redes Privadas Virtuais
- Escolhendo uma solução VPN
- Regras de VPNs e Firewall
- VPNs e IPv6
As VPNs fornecem um meio de encapsular o tráfego por meio de uma conexão criptografada, impedindo que ele seja visto ou modificado em trânsito. O pfSense oferece três opções de VPN: IPsec, OpenVPN e L2TP. Este capítulo fornece uma visão geral do uso da VPN, os prós e contras de cada tipo de VPN no pfSense e como decidir qual é a melhor opção para um ambiente específico. Os capítulos subseqüentes discutem cada opção de VPN em detalhes.
O L2TP é puramente um protocolo de encapsulamento e não oferece nenhuma criptografia própria. Normalmente, é combinado com algum outro método de criptografia, como o IPsec, no modo de transporte. Por causa disso, não se encaixa na maior parte da discussão deste capítulo. Veja L2TP VPN para mais informações sobre o L2TP.
Aviso de PPTP
Suporte ao servidor PPTP foi removido do pfSense. Apesar da atração de sua conveniência, o PPTP não deve ser usado em nenhuma circunstância porque não é mais seguro. Isso não é específico para a implementação do PPTP que estava no pfSense; Qualquer sistema que manipule o PPTP não é mais seguro. A razão para a insegurança é que o PPTP depende do MS-CHAPv2 que foi completamente comprometido. O tráfego interceptado pode ser descriptografado por terceiros 100% do tempo, portanto considere qualquer tráfego transportado em PPTP não criptografado. Migre para outro tipo de VPN, como OpenVPN ou IPsec, o mais rápido possível. Mais informações sobre o comprometimento da segurança PPTP podem ser encontradas em https://isc.sans.edu/diary/End+of+Days+for+MS-CHAPv2/13807 e https://www.cloudcracker.com/blog/2012/07/29/cracking-ms-chap-v2/ .
Implementações comuns
Há quatro usos comuns dos recursos de VPN do pfSense, cada um abordado nesta seção.
Conectividade site a site
A conectividade site a site é usada principalmente para conectar redes em vários locais físicos, onde é necessária uma conexão dedicada sempre ativa entre os locais. Isso é freqüentemente usado para conectar filiais a um escritório principal, conectar as redes de parceiros comerciais ou conectar uma rede a outro local, como um ambiente de data center.
Antes da proliferação da tecnologia VPN, os circuitos WAN privados eram a única solução para conectar vários locais. Essas tecnologias incluem circuitos dedicados ponto-a-ponto, tecnologias de comutação de pacotes, como frame relay e ATM, e mais recentemente MPLS (Multiprotocol Label Switching) e serviços Ethernet metropolitanos baseados em fibra e cobre. Embora esses tipos de conectividade WAN privada forneçam conexões confiáveis de baixa latência, eles também são muito caros com taxas mensais recorrentes. A tecnologia VPN cresceu em popularidade porque fornece o mesmo site seguro à conectividade do site usando conexões de Internet que geralmente são muito menos caras.
Limitações da conectividade VPN
O desempenho é uma consideração importante ao planejar uma solução VPN. Em algumas redes, apenas um circuito de WAN privado pode atender aos requisitos de largura de banda ou latência. A latência é geralmente o maior fator. Um circuito ponto-a-ponto DS1 tem uma latência de ponta a ponta de cerca de 3-5 ms, enquanto a latência para o primeiro salto em uma rede de ISP geralmente será pelo menos muito, se não maior. Os serviços Metro Ethernet ou circuitos de fibra têm uma latência de ponta a ponta de cerca de 0 a 3 ms, geralmente menor que a latência para o primeiro salto de uma rede ISP. Isso irá variar alguns com base na distância geográfica entre os sites. Os números indicados são típicos de sites dentro de algumas centenas de quilômetros um do outro. Geralmente, as VPNs apresentam latência em torno de 30 a 60 ms, dependendo das conexões de Internet em uso e da distância geográfica entre os locais. A latência pode ser minimizada e o desempenho da VPN maximizado usando o mesmo ISP para todos os locais de VPN, mas isso nem sempre é viável.
Certos protocolos funcionam muito mal com a latência inerente às conexões na Internet. O compartilhamento de arquivos da Microsoft (SMB) é um exemplo comum. Em latências abaixo de 10 ms, ele funciona bem. Em 30 ms ou mais, é lento e em mais de 50 ms é muito lento, causando interrupções freqüentes ao navegar em pastas, salvar arquivos, etc. Obter uma listagem simples de diretório requer várias conexões de ida e volta entre o cliente e o servidor, o que exacerba significativamente o aumento do atraso da conexão. No Windows Vista e Server 2008, a Microsoft introduziu o SMB 2.0, que inclui novos recursos para resolver o problema descrito aqui. O SMB 2.0 permite o envio de várias ações em uma única solicitação, bem como a capacidade de enviar solicitações, o que significa que o cliente pode enviar solicitações adicionais sem aguardar a resposta de solicitações anteriores. Se uma rede usa exclusivamente o Vista e o Server 2008 ou sistemas operacionais mais novos, isso não será uma preocupação, mas dada a raridade de tais ambientes, isso geralmente será considerado. O SMB 3.0 melhora ainda mais nessa área com suporte para vários fluxos.
Dois outros exemplos de protocolos sensíveis à latência são o RDP (Microsoft Remote Desktop Protocol) e o Citrix ICA. Há uma clara diferença de desempenho e capacidade de resposta com esses protocolos entre tempos de resposta abaixo de 20 ms normalmente encontrados em uma WAN privada e os tempos de resposta de 50 a 60 ms comuns a conexões VPN. Se os usuários remotos trabalharem em desktops publicados usando dispositivos thin client, haverá uma diferença de desempenho notável entre uma WAN privada e uma VPN. Se essa diferença de desempenho é significativa o suficiente para justificar a despesa de uma WAN privada, ela varia de um ambiente para outro.
Pode haver outros aplicativos de rede em um ambiente sensível à latência, em que o desempenho reduzido de uma VPN é inaceitável. Ou todos os locais podem estar dentro de uma área geográfica relativamente pequena usando o mesmo ISP, onde o desempenho de uma VPN rivaliza com o de conexões WAN privadas.
Acesso remoto
As VPNs de acesso remoto permitem que os usuários se conectem com segurança a uma rede a partir de qualquer local em que uma conexão com a Internet esteja disponível. Isso é mais frequentemente usado para trabalhadores móveis (geralmente chamados de “Road Warriors”) cujo trabalho exige viagens freqüentes e pouco tempo no escritório e para dar aos funcionários a capacidade de trabalhar em casa. Também pode permitir que contratados ou fornecedores tenham acesso temporário a uma rede. Com a proliferação de telefones inteligentes, os usuários precisam acessar com segurança os serviços internos de seus telefones usando uma VPN de acesso remoto.
Proteção para redes sem fio
Uma VPN pode fornecer uma camada adicional de proteção para redes sem fio. Essa proteção é dupla: ela fornece uma camada adicional de criptografia para o tráfego que atravessa a rede sem fio e pode ser implantada de forma a exigir autenticação adicional antes que o acesso aos recursos da rede seja permitido. Isso é implantado na maioria das vezes como VPNs de acesso remoto. Isso é coberto em Proteção adicional para uma rede sem fio.
Relay seguro
As VPNs de acesso remoto podem ser configuradas de maneira a transmitir todo o tráfego do sistema do cliente pela VPN. É bom ter isso ao usar redes não confiáveis, como pontos de acesso sem fio, pois ele permite que um cliente envie todo o tráfego da Internet pela VPN e saia da Internet a partir do servidor VPN. Isso protege o usuário de uma série de ataques possíveis em redes não confiáveis, embora tenha um impacto no desempenho, pois adiciona mais latência e latência a todas as conexões. Esse impacto é geralmente mínimo com conectividade de alta velocidade quando o cliente e o servidor VPN estão relativamente próximos geograficamente.