17/04/03

•  VPN e 1XRTT

Nota de José Smolka:
Bom, esta foi minha "estréia" no Celld-group. A pergunta original já vinha rolando há algum tempo, e decidi entrar na discussão com o objetivo de colocar algumas idéias (e dúvidas) que eu tinha (e tenho) sobre a viabilidade técnica/comercial de uma convivência harmoniosa entre serviços de dados baseados em tecnologias WLAN e telefonia celular (CDMA 1xRTT/EVDO ou GSM GPRS/EDGE). Depois desta mensagem, houveram mais umas duas mensagens apontando para os detalhes de implementação do modelo Mobile IP (Local Agent + Foreign Agent) para administrar a questão dos handoffs e do roaming, e de algumas implementações que teriam sido demonstradas para prover este tipo de convivência em ambiente GSM GPRS. Sobre a possibilidade de access devices duais houveram algumas citações a novos chipsets, mas nada que eu tenha ficado muito entusiasmado. Pessoalmente, ainda estou querendo ver mais de perto isso (quem sabe isso dá mais algum artigo para o Hélio publicar). 
Depois disso, veio uma outra toca de mensagens mais específicas, com relação à forma de implementar um serviço de acesso via rede de telefonia celular, e o assunto segurança veio à tona. As próximas duas mensagensfalam disso.

----- Original Message ----- "Estamos testando algumas coisas sobre redes 1XRTT e precisamos fazer um VPN com segurança, conectando uma entidade nossa (Cliente) com o nosso Server, através de 1XRTT.

Baseando no que você informou abaixo, não preciso fazer nada diferente para formar um tunelamento numa rede 1XRTT, o processo é igual a uma rede local ou Wan IP. 
Preciso ter um Servidor (Firewall) que irá iniciar a VPN e preciso ter uma entidade (Cliente) preparada para receber a conexão VPN, independente se no meio teremos uma Rede CDMA 1XRTT. Estou correto ?"

Essencialmente sim. Pelo que você falou, o que vocês estão fazendo é um acesso dial-up wireless para um host exposto de forma segura à Internet (protegido por um firewall). O processo de autenticação e admissão da conexão é padrão. A questão básica é: se eu quero que o tráfego entre o cliente e o servidor seja sigiloso, onde ocorrerá o processo de cifragem/decifragem das mensagens?

Se o seu dispositivo de acesso agüenta o tranco, uma solução é como vc mencionou. Usar um client de acesso remoto seguro (o tal VPN client), que estabelece o "túnel" criptografado entre o host cliente e (tipicamente) o
firewall de entrada da sua rede privativa. Sei que a Checkpoint tem soluçãodeste tipo, e, provavelmente, existem outras na praça.

Agora, se o seu dispositivo de acesso não é assim tão "fashion", uma hipótese seria o provedor de acesso iniciar o túnel (assumindo que o tráfego está razoavelmente seguro contra eavesdropping entre o cliente e o servidor de acesso). As implementações de PDSN existentes no mercado oferecem esta possibilidade? Não sei. Se for o caso, é melhor discutir com o pessoal técnico da operadora.
J. R. Smolka