Infraestrutura interna do sistema i
1. Introdução
Esse documento apresenta a infraestrutura de operação do sistema i, seus componentes e características. O sistema i é um sistema web voltado para gestão e automação de estacionamentos, incluindo controle de terminais, cancelas, integrações com OSAs (Sem Parar, Conect Car, Veloe, ...), reconhecimento automático de placas através de ALPR, um conjunto de APIs e outras funcionalidades.
2. Componentes
Para que o sistema i esteja acessível em endereço público via internet, de forma segura, os seguintes componentes são parte integrante dele:
- Servidor DNS
- Proxy reverso
- Servidor VPN
- Cliente VPN
- Servidor web
3. Conexão entre servidor VPN e cliente VPN
- O cliente VPN instalado no servidor da garagem se conecta ao servidor VPN via socket (UDP), de forma segura, usando chave de criptografia assimétrica.
- Após estabelecer conexão com o servidor VPN, o cliente VPN adiciona uma interface de rede no servidor da garagem e o servidor VPN adiciona uma interface de rede no servidor VPN, formando um túnel, através da internet, entre o servidor da garagem e o servidor VPN.
- Todos os pacotes de rede transferidos do servidor VPN para o cliente VPN e vice-versa são criptografados com as chaves de criptografia, antes de serem enviados para o destino.
4. Fluxo de comunicação com o sistema i
Toda requisição para o sistema i segue o seguinte fluxo de comunicação:
- Servidor DNS resolve o nome do host e devolve o ip do proxy reverso
- Cliente faz requisição para o proxy reverso
- Proxy reverso identifica o host e direciona a requisição, via túnel VPN, para o servidor da garagem
- Servidor da garagem processa a requisição e devolve, via túnel VPN, resposta para o servidor proxy
- Servidor proxy responde para o cliente
5. Segurança
Tanto o tráfego de comunicação do cliente até o servidor da garagem quanto o retorno do servidor da garagem até o cliente são criptografados. A requisição do cliente para o proxy reverso é criptografada através de certificado SSL/TLS. A requisição do proxy reverso até o servidor da garagem é criptografada com as chaves da VPN. A resposta do servidor da garagem para o proxy reverso é criptografada com as chaves da VPN. E a resposta do proxy reverso para o cliente é criptografada através do certificado SSL/TLS.
4. Comunicação através da CPN WireGuard
A conexão entre a infraestrutura da Link e o servidor do cliente (garagem) é estabelecida por meio de uma rede privada criptografada (CPN) com WireGuard.
4.1 Características da VPN
Protocolo:WireGuard(rodando em Linux)Criptografia moderna e eficiente (Curve25519, ChaCha20, Poly1305)Comunicaçãoponto a ponto (peer-to-peer)entre servidor central e garagemBaixa latência e alto desempenho
4.2 Fluxo de Comunicação
O servidor da garagem conecta-se à rede segura da Link via WireGuard.A interface web do FOKUS, hospedada localmente no servidor, torna-se acessível pela URL pública.Todos os acessos externos trafegamexclusivamente pela VPN, impedindo exposição direta do servidor local à internet.
5. Segurança
Autenticação:acesso ao sistema somente com credenciais válidas de usuário.Isolamento de Rede:servidores do cliente não são expostos diretamente à internet.Criptografia:todas as comunicações entre central, garagem e usuário final são criptografadas (TLS + WireGuard).Controle de Acesso:a VPN permite restrição de IPs e gerenciamento centralizado.
6. Benefícios da Arquitetura
Alta Segurança:túnel WireGuard + HTTPS.Acesso Simplificado:usuários acessam via navegador com uma URL única.Centralização:Link mantém controle sobre o tráfego e pode monitorar acessos.Escalabilidade:a mesma arquitetura é replicada em múltiplos clientes.
7. Considerações Finais
A arquitetura do FOKUS garante disponibilidade web através de uma URL pública, ao mesmo tempo que preserva a segurança e a privacidade dos dados do cliente. A utilização do WireGuard (CPN) assegura que a comunicação entre a garagem e a central da Link ocorra em ambiente seguro, confiável e de alta performance.