Para parceiros
O objetivo deste documento é fornecer uma visão geral das melhores práticas de VPN (Virtual Private Network Rede Virtual Privada) para qualquer pessoa nova na Cisco Business.
Parece que há tanto tempo que o único lugar onde você podia trabalhar era no escritório. Talvez se lembre, de volta ao dia, de ter que ir ao escritório no fim de semana para resolver um problema de trabalho. Não havia outra maneira de obter dados dos recursos da empresa, a menos que você estivesse fisicamente no seu escritório. Esses dias acabaram. Nos dias de hoje, você pode estar em movimento; fazer negócios em casa, em outro escritório, numa cafeteria ou até em outro país. O lado negativo é que os hackers estão sempre procurando pegar seus dados confidenciais. O simples uso da Internet pública não é seguro. O que você pode fazer para obter flexibilidade e segurança? Configure uma VPN!
Uma conexão VPN permite que os usuários acessem, enviem e recebam dados de uma rede privada, passando por uma rede pública ou compartilhada, como a Internet, mas ainda garantindo uma conexão segura a uma infraestrutura de rede subjacente para proteger a rede privada e seus recursos.
Um túnel VPN estabelece uma rede privada que pode enviar dados com segurança usando criptografia para codificar os dados e autenticação para garantir a identidade do cliente. Os escritórios corporativos frequentemente usam uma conexão VPN, pois ela é útil e necessária para permitir que seus funcionários tenham acesso à sua rede privada mesmo que estejam fora do escritório.
Normalmente, as VPNs site a site conectam redes inteiras entre si. Eles estendem uma rede e permitem que os recursos do computador de um local estejam disponíveis em outros locais. Através do uso de um roteador com capacidade de VPN, uma empresa pode conectar vários locais fixos em uma rede pública, como a Internet.
A configuração cliente-local de uma VPN permite que um host remoto, ou cliente, atue como se estivesse localizado na mesma rede local. Uma conexão VPN pode ser configurada entre o roteador e um endpoint depois que o roteador tiver sido configurado para conexão com a Internet. O cliente VPN depende das configurações do roteador VPN, além do requisito de configurações correspondentes para estabelecer uma conexão. Além disso, alguns dos aplicativos de cliente VPN são específicos da plataforma, eles também dependem da versão do sistema operacional (SO). As configurações devem ser exatamente as mesmas ou não podem se comunicar.
Uma VPN pode ser configurada com qualquer uma das seguintes opções:
Se você nunca configurou uma VPN antes, receberá muitas informações novas em todo este artigo. Este não é um guia passo a passo, mas uma visão geral para referência. Portanto, seria útil ler este artigo na íntegra antes de continuar e tentar configurar uma VPN em sua rede. Links para etapas específicas são fornecidos neste artigo.
Produtos de terceiros, que não sejam da Cisco, incluindo o TheGreenBow, OpenVPN, Shrew Soft e EZ VPN não são suportados pela Cisco. São incluídos estritamente para fins de orientação. Se precisar de suporte sobre esses itens além do artigo, entre em contato com o terceiro para obter suporte.
Para obter mais informações sobre como as VPNs funcionam, clique aqui.
Os roteadores Cisco Business série RV34x suportam uma VPN SSL, usando o AnyConnect. O RV160 e o RV260 têm a opção de usar o OpenVPN, que é outra VPN SSL. O servidor VPN SSL permite que os usuários remotos estabeleçam um túnel VPN seguro usando um navegador da Web. Este recurso permite fácil acesso a uma ampla variedade de recursos da Web e aplicativos habilitados para a Web usando o protocolo HTTP sobre suporte ao navegador HTTPS (Hypertext Transfer Protocol Secure).
A VPN SSL permite que os usuários acessem remotamente redes restritas, usando um caminho seguro e autenticado criptografando o tráfego da rede.
Há duas opções para configurar o acesso em SSL:
Há links para artigos no AnyConnect neste documento. Para obter uma visão geral do AnyConnect, clique aqui.
Easy VPN (EZVPN), TheGreenBow e Shrew Soft são VPNs de Internet Protocol Security (IPSec). As VPNs IPSec fornecem túneis seguros entre dois pares ou de um cliente para o local. Os pacotes considerados sensíveis devem ser enviados através desses túneis seguros. Os parâmetros que incluem algoritmo hash, algoritmo de criptografia, duração da chave e modo devem ser usados para proteger esses pacotes confidenciais devem ser definidos especificando as características desses túneis. Em seguida, quando o peer IPsec vê um pacote tão sensível, ele configura o túnel seguro apropriado e envia o pacote através desse túnel para o peer remoto.
Quando o IPsec é implementado em um firewall ou roteador, ele fornece uma segurança forte que pode ser aplicada a todo o tráfego que atravessa o perímetro. O tráfego em uma empresa ou grupo de trabalho não incorre na sobrecarga de processamento relacionado à segurança.
Para que as duas extremidades de um túnel VPN sejam criptografadas e estabelecidas com êxito, ambas precisam concordar com os métodos de criptografia, descriptografia e autenticação. O perfil IPsec é a configuração central no IPsec que define os algoritmos como criptografia, autenticação e grupo Diffie-Hellman (DH) para a negociação nas fases I e II no modo automático e também no modo de chaveamento manual.
Os componentes importantes do IPsec incluem o Internet Key Exchange (IKE) Fase 1 e Fase 2.
A finalidade básica da fase um do IKE é autenticar os peers do IPSec e configurar um canal seguro entre os peers para permitir trocas de IKE. A fase 1 do IKE executa as seguintes funções:
A finalidade da fase dois do IKE é negociar SAs de IPSec para configurar o túnel de IPSec. A fase dois do IKE executa as seguintes funções:
Se o Perfect Forward Secret (PFS) for especificado na política de IPSec, uma nova troca de DH será realizada com cada modo rápido, fornecendo material de chaveamento com maior entropia (vida útil do material principal) e, portanto, maior resistência a ataques criptográficos. Cada troca de DH requer grandes exponenciações, aumentando assim o uso da CPU e expondo um custo de desempenho.
O PPTP é um protocolo de rede usado para criar túneis VPN entre redes públicas. Os servidores PPTP também são conhecidos como servidores Virtual Private Dialup Network (VPDN). O PPTP é algumas vezes usado em outros protocolos porque é mais rápido e tem a capacidade de trabalhar em dispositivos móveis. No entanto, é importante observar que ele não é tão seguro quanto outros tipos de VPNs. Há vários métodos para se conectar a contas do tipo PPTP. Clique nos links para saber mais:
GRE (Generic Routing Encapsulation) é um protocolo de tunelamento que fornece uma abordagem genérica simples para transportar pacotes de um protocolo sobre outro por meio de encapsulamento.
O GRE encapsula um payload, ou seja, um pacote interno que precisa ser entregue a uma rede de destino dentro de um pacote IP externo. O túnel GRE se comporta como um link ponto-a-ponto virtual que tem dois endpoints identificados pelo endereço de origem e destino do túnel.
Os terminais do túnel enviam cargas úteis através de túneis GRE roteando pacotes encapsulados através de redes IP que intervêm. Outros roteadores IP ao longo do caminho não analisam a carga (o pacote interno); eles só analisam o pacote IP externo à medida que o encaminham para o ponto de extremidade do túnel GRE. Ao chegar ao ponto final do túnel, o encapsulamento GRE é removido e o payload é encaminhado para o destino final do pacote.
O encapsulamento de datagramas em uma rede é feito por várias razões, como quando um servidor de origem deseja influenciar a rota que um pacote leva para alcançar o host de destino. O servidor de origem também é conhecido como o servidor de encapsulamento.
O encapsulamento IP em IP envolve a inserção de um cabeçalho IP externo sobre o cabeçalho IP existente. O endereço origem e destino no cabeçalho IP externo apontam para os pontos finais do túnel IP-em-IP. A pilha de cabeçalhos IP é usada para direcionar o pacote sobre um caminho predeterminado até o destino, desde que o administrador de rede conheça os endereços de loopback dos roteadores que transportam o pacote.
Esse mecanismo de tunelamento pode ser usado para determinar a disponibilidade e a latência para a maioria das arquiteturas de rede. Observe que o caminho inteiro da origem para o destino não precisa ser incluído nos cabeçalhos, mas um segmento da rede pode ser escolhido para direcionar os pacotes.
O L2TP não fornece mecanismos de criptografia para o tráfego que ele túneis. Em vez disso, ele depende de outros protocolos de segurança, como o IPSec, para criptografar os dados.
Um túnel L2TP é estabelecido entre o L2TP Access Concentrator (LAC) e o L2TP Network Server (LNS). Um túnel IPSec também é estabelecido entre esses dispositivos e todo o tráfego do túnel L2TP é criptografado usando IPSec.
Alguns termos-chave com L2TP:
Se desejar mais informações sobre L2TP, clique nos seguintes links:
RV34X | RV32X | RV160X/RV260X | |
---|---|---|---|
IPSec (IKEv1) | |||
ShrewSoft | Yes | Yes | Yes |
arco | Yes | Yes | Yes |
cliente incorporado Mac | Yes | Yes | No |
iPhone/iPad | Yes | Yes | No |
Android | Yes | Yes | Yes |
L2TP/IPSec | Sim (PAP) | No | No |
PPTP | Sim (PAP) | Sim* | Sim (PAP) |
Outro | |||
AnyConnect | Yes | No | No |
Openvpn | No | Yes | Yes |
IKEv2 | |||
Windows | Sim* | No | Sim* |
Mac | Yes | No | Yes |
iPhone | Yes | No | Yes |
Android | Yes | No | Yes |
Tecnologia VPN |
Dispositivos suportados |
Clientes suportados* |
Detalhes e avisos |
---|---|---|---|
IPSec (IKEv1) |
RV34X, RV32X, RV160X/RV260X |
Nativo: Mac, iPhone, iPad, Android Outro: EasyVPN (Cisco VPN Client), ShrewSoft, Greenbow |
Mais fácil de configurar, solucionar problemas e oferecer suporte. Ele está disponível em todos os roteadores, é simples de configurar (na maioria das vezes) e tem o melhor registro para solucionar problemas. E inclui a maioria dos dispositivos. É por isso que normalmente recomendamos a ShrewSoft (livre e funcional) e a Greenbow (não livre, mas funciona). No Windows, temos clientes ShrewSoft e Greenbow como opções, já que o Windows não tem um cliente VPN nativo IPSec puro. Para a ShrewSoft e a Greenbow, é um pouco mais envolvida, mas não difícil. Depois de configurados pela primeira vez, os perfis do cliente podem ser exportados e importados em outros clientes. Para roteadores RV160X/RV260X, como não temos a opção Easy VPN, temos que usar a opção de cliente terceirizado, que não funciona com Mac, iPhone ou iPad. Entretanto, podemos configurar clientes ShrewSoft, Greeenbow e Android para conexão. Para clientes Mac, iPhone e iPad, recomendo IKEv2 (veja abaixo). |
AnyConnect |
RV34X |
Windows, Mac, iPhone, iPad, Android |
Alguns clientes solicitam uma solução completa da Cisco e é isso. É simples de configurar, tem registro em log, mas pode ser um desafio entender os registros. Requer requisitos de licenciamento do cliente, aumentando o custo. É uma solução completa da Cisco e é atualizada. A solução de problemas não é tão fácil quanto o IPSec, mas melhor que as outras opções de VPN. |
L2TP/IPSec |
RV34X |
Nativo: Windows |
Isso é o que eu recomendarei aos clientes que precisam usar o cliente VPN integrado no Windows. Duas advertências sobre isso são: |
IPSec (IKEv2) |
RV34X, RV160X/RV260X |
Nativo: Windows, Mac, iPhone, iPad, Android |
O cliente nativo do Windows para IKEv2 requer autenticação de certificado, o que exige uma infraestrutura de PKI, uma vez que o roteador e todos os clientes precisam ter certificados da mesma CA (ou de outra CA confiável). Para aqueles que querem usar o IKEv2, configuramos isso para seus dispositivos Mac, iPhone, iPad e Android e geralmente configuramos o IKEv1 para suas máquinas Windows (ShrewSoft, Greenbow ou L2TP/IPSec). |
VPN aberta |
RV32X, RV160X/RV260X |
A VPN aberta é o cliente |
Mais difícil de configurar, difícil de solucionar problemas e suporte. Suportado em RV160X/RV260X e RV320. A configuração é mais complexa do que IPSec ou AnyConnect, especialmente se eles usam certificados, o que a maioria deles usa. A solução de problemas é mais difícil, pois não temos registros úteis no roteador e confiamos nos registros do cliente. Além disso, as atualizações de versão do cliente OpenVPN alteraram sem aviso quais certificados aceitaram. Além disso, descobrimos que isso não funciona com o Chromebooks e tinha que ir para uma solução IPSec. |
* Nós testamos tantas combinações quanto pudermos, se houver uma combinação específica de hardware/software, entre em contato aqui. Caso contrário, consulte o guia de configuração relacionado por dispositivo para obter a versão mais recente testada.
Você já visitou um site e recebeu um aviso de que ele não é seguro? Ele não o enche de confiança de que suas informações privadas são seguras, e não são! Se um site estiver seguro, você verá um ícone de cadeado fechado antes do nome do site. Este é um símbolo de que o site foi verificado como seguro. Certifique-se de ver esse ícone de cadeado fechado. O mesmo vale para a sua VPN.
Ao configurar uma VPN, você deve obter um certificado de uma autoridade de certificação (CA). Os certificados são adquiridos de sites de terceiros e usados para autenticação. É uma forma oficial de provar que seu site é seguro. Essencialmente, a AC é uma fonte confiável que verifica se você é uma empresa legítima e se pode ser confiável. Para uma VPN, você só precisa de um certificado de nível inferior a um custo mínimo. Você recebe check-out do CA e, depois que eles verificarem suas informações, eles emitem o certificado para você. Este certificado pode ser baixado como um arquivo em seu computador. Você pode então ir para o roteador (ou servidor VPN) e carregá-lo lá.
A CA usa PKI (Public Key Infrastructure, Infraestrutura de Chave Pública) ao emitir certificados digitais, que usam a criptografia de chave pública ou privada para garantir a segurança. As ACs são responsáveis por gerenciar solicitações de certificado e emitir certificados digitais. Algumas CAs de terceiros incluem IdenTrust, Comodo, GoDaddy, GlobalSign, GeoTrust e Verisign.
É importante que todos os gateways em uma VPN usem o mesmo algoritmo, caso contrário eles não poderão se comunicar. Para simplificar, é recomendável que todos os certificados sejam adquiridos do mesmo terceiro confiável. Isso facilita o gerenciamento de vários certificados, pois eles precisam ser renovados manualmente.
Note: Os clientes geralmente não precisam de um certificado para usar uma VPN; é apenas para verificação através do roteador. Uma exceção a isso é o OpenVPN, que requer um certificado de cliente.
Algumas pequenas empresas optam por usar uma senha ou uma chave pré-compartilhada em vez de um certificado para simplificar. Isso é menos seguro, mas pode ser configurado sem nenhum custo.
Mais informações sobre certificados podem ser encontradas nos links abaixo:
Para o roteador local e remoto, é importante garantir que a chave pré-compartilhada (PSK)/senha/certificado usado para a conexão VPN e as configurações de segurança correspondam. Se um ou mais roteadores usarem Network Address Translation (NAT), que a maioria dos roteadores Cisco Business usa, você precisará fazer isenções de firewall para a conexão VPN nos roteadores local e remoto.
Confira estes artigos site a site para obter mais informações:
Antes que uma VPN possa ser configurada no lado do cliente, um administrador precisa configurá-la no roteador.
Clique para exibir estes artigos de configuração do roteador:
Em uma conexão VPN Cliente a Site, os clientes da Internet podem se conectar ao servidor para acessar a rede corporativa ou LAN atrás do servidor, mas ainda mantêm a segurança da rede e seus recursos. Esse recurso é muito útil, pois cria um novo túnel VPN que permite que funcionários remotos e viajantes a negócios acessem sua rede usando um software cliente VPN sem comprometer a privacidade e a segurança. Os artigos a seguir são específicos para os roteadores da série RV34x:
Os grupos de usuários são criados no roteador para uma coleção de usuários que compartilham o mesmo conjunto de serviços. Esses grupos de usuários incluem opções para o grupo, como uma lista de permissões sobre como eles podem acessar a VPN. Dependendo do dispositivo, o PPTP, o IPSec VPN de site a site e o IPSec VPN de cliente a site podem ser permitidos. Por exemplo, o RV260 tem opções que incluem o OpenVPN, mas o L2TP não é suportado. A série RV340 está equipada com AnyConnect para uma VPN SSL, bem como com o Captive Portal ou EZ VPN.
Essas configurações permitem que os administradores controlem e filtrem para que somente usuários autorizados possam acessar a rede. Shrew Soft e TheGreenBow são dois dos clientes VPN mais comuns disponíveis para download. Eles precisam ser configurados com base nas configurações de VPN do roteador para que possam estabelecer com êxito um túnel VPN. O seguinte artigo trata especificamente da criação de um grupo de usuários:
As Contas de Usuário são criadas no roteador para permitir a autenticação de usuários locais usando o banco de dados local para vários serviços, como PPTP, VPN Client, login da Interface Gráfica de Usuário (GUI - Graphical User Interface) da Web e Secure Sockets Layer Virtual Private Network (SSLVPN - Rede Virtual Privada de Camada de Soquetes Segura). Isso permite que os administradores controlem e filtrem usuários autorizados apenas para acessar a rede. O seguinte artigo aborda especificamente a criação de uma conta de usuário:
Em uma conexão VPN Cliente a Site, os clientes da Internet podem se conectar ao servidor para acessar a rede corporativa ou LAN atrás do servidor, mas ainda mantêm a segurança da rede e seus recursos. Esse recurso é muito útil, pois cria um novo túnel VPN que permite que funcionários remotos e viajantes a negócios acessem sua rede usando um software cliente VPN sem comprometer a privacidade e a segurança. A VPN está configurada para criptografar e descriptografar dados à medida que eles são enviados e recebidos.
O aplicativo AnyConnect trabalha com VPN SSL e é usado especificamente com roteadores RV34x. Ele não está disponível com outras séries de RV de roteadores. A partir da versão 1.0.3.15, uma licença de roteador não é mais necessária, mas as licenças precisam ser adquiridas para o lado do cliente da VPN. Para obter mais informações sobre o Cisco AnyConnect Secure Mobility Client, clique aqui. Para obter instruções sobre a instalação, selecione um dos seguintes artigos:
Há alguns aplicativos de terceiros que podem ser utilizados para VPN de cliente para site com todos os roteadores da série RV. Como dito anteriormente, a Cisco não oferece suporte a esses aplicativos; essas informações são fornecidas para fins de orientação.
O GreenBow VPN Client é um aplicativo de cliente VPN de terceiros que possibilita que um dispositivo host configure uma conexão segura para o túnel IPsec cliente-site ou SSL. Este é um aplicativo pago que inclui suporte.
O OpenVPN é um aplicativo de código aberto gratuito que pode ser configurado e usado para uma VPN SSL. Ele usa uma conexão cliente-servidor para fornecer comunicações seguras entre um servidor e um local de cliente remoto pela Internet.
O Shrew Soft é um aplicativo de código aberto gratuito que também pode ser configurado e usado para uma VPN IPsec. Ele usa uma conexão cliente-servidor para fornecer comunicações seguras entre um servidor e um local de cliente remoto pela Internet.
O Easy VPN era comumente usado em roteadores RV32x. Aqui estão algumas informações para referência:
Os roteadores Cisco Business mais recentes vêm com um Assistente de configuração de VPN que o orienta pelas etapas de configuração. O Assistente para configuração de VPN permite configurar conexões VPN básicas de LAN para LAN e de acesso remoto e atribuir chaves pré-compartilhadas ou certificados digitais para autenticação. Consulte estes artigos para obter mais informações:
Este artigo o levou a uma melhor compreensão das VPNs, além de dicas para colocá-lo a caminho. Agora você deve estar pronto para configurar o seu próprio! Reserve um tempo para visualizar os links e decidir a melhor maneira de configurar uma VPN no roteador Cisco Business.
Revisão | Data de publicação | Comentários |
---|---|---|
1.0 |
15-Jan-2020 |
Versão inicial |