Cenário da VPN: Ligação de uma sucursal

Suponha que a sua empresa pretende minimizar os custos suportados com as comunicações para e entre as respectivas sucursais. Atualmente, a sua empresa utiliza retransmissão de estruturas ou linhas dedicadas, mas pretende explorar outras opções para transmitir dados confidenciais internos que sejam menos dispendiosas, mais seguras e globalmente acessíveis. Ao explorar a Internet, pode facilmente estabelecer uma Rede privada virtual (VPN) que corresponda às necessidades da empresa.

A empresa e as respectivas sucursais necessitam todas de proteção da VPN através da Internet, mas não dentro das respectivas intranets. Como considera as redes internas confiáveis, a melhor solução é criar uma VPN de porta de ligação a porta de ligação. Neste caso, ambas as portas de ligação estão ligadas diretamente à rede interveniente. Por outras palavras, são sistemas de limite ou margem, que não são protegidos por firewalls. Este exemplo serve como introdução útil aos passos que abrangem uma configuração de VPN básica. Quando este cenário se refere ao termo Internet refere-se à rede interveniente entre as duas portas de ligação da VPN, o que pode significar a rede privada da empresa ou a Internet pública.

Nota importante:
Este cenário mostra as portas de ligação de segurança do iSeries ligadas diretamente à Internet. A ausência de uma firewall é propositada, de modo a simplificar o cenário. No entanto, isto não quer dizer que não seja necessária a utilização de uma firewall. De fato, deve ter em conta os riscos de segurança envolvidos cada vez que estabelece ligação à Internet. Reveja o redbook, AS/400 Internet Security Scenarios: A Practical Approach, SG24-5954-00, para obter uma descrição detalhada dos vários métodos de redução deste tipo de risco.

Vantagens deste cenário

Este cenário apresenta as seguintes vantagens:

A utilização da Internet ou de uma rede interna existente reduz os custos das linhas privadas entre sub-redes remotas.
A utilização da Internet ou de uma rede interna existente reduz a complexidade da instalação e manutenção de linhas privadas e equipamento associado.
A utilização da Internet permite às ligações remotas ligarem a quase todas as partes do mundo.
A utilização da VPN proporciona aos utilizadores acesso a todos os servidores e recursos de ambos os lados da ligação, como se estivessem ligados através de uma linha dedicada ou de uma ligação de rede WAN.
A utilização dos métodos de autenticação e codificação standard da indústria informática garante a segurança das informações sensíveis passadas de uma localização para outra.
A alteração dinâmica e regular das chaves de codificação simplifica a configuração e minimiza o risco de elas serem descodificadas e da segurança ter falhas.
A utilização de endereços de IP privados em cada sub-rede remota torna desnecessária a atribuição de endereços da Internet a cada cliente.

Objetivos do cenário

Neste cenário, a MiEmp, Inc. pretende estabelecer uma VPN entre as sub-redes dos Departamentos de Recursos Humanos e Financeiro, através de um par de servidores iSeries AS/400. Ambos os servidores atuarão como portas de ligação da VPN. Em termos das configurações da VPN, uma porta de ligação executa a gestão de chaves e aplica o IPSec aos dados que circulam através de encaminhamento. As portas de ligação não são pontos de terminação de dados da ligação.

Os objetivos deste cenário são os seguintes:

A VPN deve proteger todo o tráfego de dados entre as sub-redes do departamento de Recursos Humanos e do Financeiro.
O tráfego de dados não necessita da protecção da VPN a partir do momento em que alcança qualquer uma das sub-redes.
Todos os clientes e sistemas centrais de cada rede têm acesso total à rede uns dos outros, incluindo a todas as aplicações.
Os servidores de portas de ligação podem comunicar uns com os outros e ter acesso às aplicações uns dos outros.

Detalhes do cenário

A figura seguinte ilustra as características da rede de MiEmp.

Departamento de Recursos Humanos

iSeries-A é executado na Versão 5 Edição 1 do OS/400 (V5R1) e atua como a porta de ligação da VPN do Departamento de Recursos Humanos.
A sub-rede é 10.6.0.0 com a máscara 255.255.0.0. Esta sub-rede representa o ponto de terminação de dados de encaminhamento da VPN do lado de MiEmp Lisboa.
O iSeries-A estabelece ligação à Internet através do endereço de IP 204.146.18.227. Isto é o ponto de terminação da ligação. Ou seja, o iSeries-A executa a gestão de chaves e aplica o IPSec a datagramas de IP de recepção e de envio.
O iSeries-A estabelece ligação à respectiva sub-rede através do endereço de IP 10.6.11.1.
O iSeries-B é um servidor de produção na sub-rede dos Recursos Humanos que executa aplicações TCP/IP standard.

Departamento Financeiro

iSeries-C é executado na Versão 5 Edição 1 do OS/400 (V5R1) e atua como a porta de ligação da VPN do Departamento Financeiro.
A sub-rede é 10.196.8.0 com a máscara 255.255.255.0. Esta sub-rede representa o ponto de terminação de dados de encaminhamento da VPN do lado de MiEmp Aveiro.
O iSeries-C estabelece ligação à Internet através do endereço de IP 208.222.150.250. Isto é o ponto de terminação da ligação. Ou seja, o iSeries-C executa a gestão de chaves e aplica o IPSec a datagramas de IP de recepção e de envio.
O iSeries-C estabelece ligação à respectiva sub-rede através do endereço de IP 10.196.8.5.

Configurar uma ligação

Deve concluir cada uma destas tarefas para configurar a ligação da sucursal descrita neste cenário:

Verificar o encaminhamento de TCP/IP para se certificar de que dois servidores de portas de ligação podem comunicar um com o outro através da Internet. Isto permite assegurar que os sistemas centrais em cada sub-rede efetuam o encaminhamento de forma correta para a respectiva porta de ligação para terem acesso à sub-rede remota.
Nota: O encaminhamento não será abordado neste tópico. Caso tenha questões, consulte Encaminhamento e equilíbrio do volume de trabalho do TCP/IP no Information Center.
Preencher as folhas de trabalho de planejamento e as listas de seleção para ambos os sistemas.
Configurar a VPN na porta de ligação da VPN de Recursos Humanos (iSeries-A).
Configurar a VPN na porta de ligação da VPN do Departamento Financeiro (iSeries-C).
Ativar as regras de filtragem em ambos os servidores.
Iniciar a ligação a partir do iSeries-A.
Testar as comunicações entre as duas sub-redes remotas.

.

Passo 2

Após a conclusão do primeiro passo, a verificação do correto funcionamento do encaminhamento de TCP/IP e de que os servidores de portas de ligação podem comunicar, é possível iniciar a configuração da VPN. Passo 2: Preencher as folhas de trabalho de planejamento ...

.

Passo 3

Passo 3: Configurar VPN no iSeries-A Utilize as informações das folhas de trabalho para configurar a VPN no iSeries-A do seguinte modo: No Operations Navigator, expanda iSeries-A -->Rede -->Políticas de IP. Clique com o botão direito...

.

Passo 4

Passo 4: Configurar a VPN no iSeries-C Siga os mesmos passos utilizados para configurar o iSeries-A, invertendo os endereços de IP conforme a necessidade. Utilize as folhas de trabalho de planeamento como guia. Quando terminar a configuração da porta...

.

Passo 5

Passo 5: Ativar regras de pacotes O sistema cria automaticamente as regras de pacotes necessárias para que a ligação funcione corretamente . Contudo, deve ativá-las em ambos os sistemas antes de iniciar a configuração da VPN. Para fazê-lo...

.

Passo 6

Passo 6: Iniciar ligação Siga estes passos para iniciar a ligação HRgw2FINgw a partir do iSeries-A: No Operations Navigator, expanda iSeries-A -->Rede -->Políticas de IP. Se o servidor da VPN não tiver iniciado, clique com o botão...

.

Passo 7

Passo 7: Testar ligação Após a conclusão da configuração de ambos os servidores e o início bem sucedido da ligação, deve testar a conectividade, para se certificar de que as sub-redes remotas conseguem comunicar uma com a outra. Para fazê-lo,...

O melhor site sobre AS/400 do Brasil.