Cenário: VPN com Firewall de Fácil Utilização

Neste cenário, uma grande seguradora pretende estabelecer uma VPN entre uma porta de ligação em Lisboa e um sistema central no Porto, sendo que ambas as redes estão protegidas por uma firewall.

Situação

Suponha que é proprietário de uma grande seguradora sediada no Porto e acabou de abrir uma nova sucursal em Lisboa. A sucursal de Lisboa tem de aceder à base de dados dos clientes na sede no Porto. Quer garantir que as informações que são transferidas estão protegidas uma vez que a base de dados contém informações confidenciais sobre os seus clientes, tais como nomes, endereços e números de telefone. Decide ligar ambos os escritórios através da Internet usando uma Rede Privada virtual (VPN). Ambos os escritórios encontram-se protegidos por uma firewall e usam a Conversão de Endereços de Rede (network address translation – NAT) para ocultar os endereços de IP privados não registados atrás de um conjunto de endereços de IP registados. No entanto, as ligações de VPN têm algumas incompatibilidades bem conhecidas com a NAT. Uma ligação VPN rejeita pacotes enviados por um dispositivo NAT, pois a NAT altera o endereço de IP no pacote, invalidando, desse modo, o pacote. No entanto, pode usar uma ligação VPN com NAT, caso implemente encapsulamento de UDP.

Neste cenário, o endereço de IP privado da rede de Lisboa é colocado num novo cabeçalho de IP e é convertido quando atravessa a Firewall C (observe a imagem seguinte). Seguidamente, quando o pacote atinge a Firewall D, converte o endereço de IP de destino no endereço de IP do Sistema E e, assim sendo, o pacote será remetido para o Sistema E. Finalmente, quando o pacote chega ao Sistema E, decompõe o cabeçalho de UDP, deixando o pacote IPSec original, que irá passar agora por todas as validações e permitir uma ligação VPN segura.

Objectivos

Neste cenário, uma grande seguradora pretende estabelecer uma VPN entre uma porta de ligação em Lisboa (Cliente) e um sistema central no Porto (Servidor), sendo que ambas as redes estão protegidas por uma firewall.

Os objectivos deste cenário são os seguintes:

• A sucursal de Lisboa inicia sempre a ligação ao sistema central do Porto.
• A VPN tem de proteger todo o tráfego de dados entre a porta de ligação de Lisboa e o sistema central do Porto.
• Permitir que todos os utilizadores da porta de ligação de Lisboa acedam a uma base de dados IBM® i localizada na rede do Porto, através de uma ligação de VPN.

Detalhes

A figura seguinte ilustra as características da rede para este cenário:

Rede de Lisboa – Cliente

• A Porta de Ligação B estabelece ligação à Internet pelo endereço de IP 214.72.189.35 e é o terminal de ligação do túnel da VPN. A Porta de Ligação B executa negociações de IKE e aplica o encapsulamento UDP a datagramas de IP de partida.
• A Porta de Ligação B e o PC A encontram-se na sub-rede 10.8.11.0 com a máscara 255.255.255.0
• O PC A é a origem e o destino para dados que circulam pela ligação de VPN, sendo, por isso, o terminal de dados do túnel da VPN.
• Só a Porta de Ligação B pode iniciar a ligação com o Sistema E.
• A firewall C tem uma regra NAT Masq com o endereço de IP público 129.42.105.17, que oculta o endereço de IP da Porta de Ligação B

Rede do Porto – Servidor

• O Sistema E tem o endereço de IP 56.172.1.1.
• O Sistema E é o programa de resposta para este cenário.
• A Firewall D tem o endereço de IP 146.210.18.51.
• A Firewall D tem uma regra NAT Estática que correlaciona o IP público (146.210.18.15) com o IP privado do Sistema E (56.172.1.1). Assim sendo, da perspectiva dos clientes, o endereço de IP do Sistema E é o endereço de IP público (146.210.18.51) da Firewall D.

Tarefas de configuração

1. Preencher as folhas de trabalho de planeamento
   As seguintes listas de verificação de planeamento ilustram o tipo de informações de que necessita antes de começar a configuração da VPN. Todas as respostas à lista de verificação de pré-requisitos têm de ser SIM, antes de prosseguir com a configuração da VPN.
2. Configurar a VPN na Porta de Ligação B
   Siga estes passos para configurar uma ligação VPN na Porta de Ligação B.
3. Configurar a VPN no Sistema E
   Siga estes passos para configurar uma ligação VPN no Sistema E.
4. Iniciar Ligação
   Depois de configurar a ligação VPN no Sistemas E terá de a iniciar.
5. Testar a ligação
   Depois de concluir a configuração da Porta de Ligação B e do Sistema E, e de iniciar os servidores VPN, deve testar a conectividade para se assegurar de que ambos os sistemas conseguem comunicar entre si.