Introdução

VPN é um acrônimo para Virtual Private Network (Rede Virtual Privada) e como o próprio nome já diz, possibilita a criação de uma rede virtual privada, utilizando uma infra-estrutura de rede pública já existente (a internet) . As VPNs criptografam o tráfego de internet em tempo real e disfarçam a identidade dos usuários on-line. Isso torna mais difícil para terceiros rastrear as atividades online e 

roubar dados. A seguir, veremos um pouco mais sobre a história das VPNs.

O início das VPNs

Desde o princípio da internet, esforços têm sido empregados para proteger e criptografar dados de navegação. O Departamento de Defesa dos Estados Unidos já se envolveu em projetos de criptografia de dados de comunicação da internet na década de 1960. Esses esforços levaram à criação da ARPANET (Rede da Agência de Projetos de Pesquisa Avançada), uma rede de comutação de pacotes, que por sua vez levou ao desenvolvimento do Protocolo de Controle de Transferência/Protocolo de Internet (TCP/IP).

O modelo inicial do TCP/IP possuía quatro camadas: camada física, camada de acesso à rede, camada de transporte e camada de aplicação. No nível de acesso à rede, redes e dispositivos locais podem ser conectados à rede universal – e é aqui que o risco de exposição se torna claro. 

Na década de 1990 surgiram alguns protocolos de criptografia e segurança como swIPe, IPSec e PPTP.

As primeiras VPNs surgiram na segunda metade da década de 1990, mas eram quase exclusivamente usadas por empresas. No entanto, os desenvolvedores perceberam que esse “túnel” seguro poderia ser utilizado por pessoas comuns que desejavam se conectar com segurança à maior rede do planeta: a internet.

O funcionamento de uma VPN

De um modo bastante simples, a VPN funciona construindo uma espécie de túnel entre um dispositivo e a internet. Por este túnel as informações são transmitidas de modo anônimo e privado e sem a possibilidade de serem interceptadas por invasões hackers.

Exemplo de VPN. Fonte: https://www.cloudflare.com/learning/access-management/vpn-speed/

Explicando de um modo mais detalhado, ao visitar um site ou aplicativo, um dispositivo se conecta a um provedor de serviços de internet (ISP), informando a ele que deseja acessar determinado site ou app. É o ISP que se comunica com a internet e retorna as informações para o dispositivo, possibilitando, assim, a visualização destas páginas.

Todas as atividades feitas dentro desta rede, porém, são rastreáveis e ficam registradas pelo ISP. 

Imagine que toda esta comunicação, além de ser rastreável, acontece de forma aberta e pode, eventualmente, ser invadida durante alguma transmissão de dados.

Já, ao acessar a internet conectado a uma VPN, a única informação que o provedor de internet terá, é a de que você está conectado a um servidor remoto, que pode estar localizado em qualquer parte do mundo, e nada mais.

Todos os seus passos a partir do momento em que você se conecta a esse servidor estarão protegidos, e todos os dados fornecidos estarão preservados sob criptografia e serão transmitidos através deste túnel que os isolará de possíveis invasões.

• Autenticação

A autenticação é usada para determinar se os clientes têm permissão para se conectar ao endpoint da cliente VPN. Se a autenticação for bem-sucedida, os clientes se conectarão ao endpoint da cliente VPN e estabelecerão uma sessão de VPN. Se a autenticação falhar, a conexão será negada, e o cliente será impedido de estabelecer uma sessão de VPN.

Exemplo de autenticação. Fonte: https://docs.aws.amazon.com/pt_br/vpn/latest/clientvpn-admin/client-authentication.html 

• Tunelamento

Tunelamento é como chamamos o método pelo qual um pacote de dados é encapsulado para ser enviado ao provedor de internet. A VPN codifica estes dados antes de transmiti-los, impedindo que terceiros sejam capazes de compreendê-los.

Exemplo de tunelamento. Fonte: https://www.gta.ufrj.br/ensino/eel878/redes1-2016-1/16_1_2/vpn/vpn_ipsec2/vpn_ipsec/vpn.html 

• Criptografia

Criptografia é um método de alterar texto legível para torná-lo um código ilegível. Uma chave, ou decodificador, descriptografa o texto e o transforma novamente em informações legíveis. Ao usar uma VPN, apenas seu dispositivo e o provedor da VPN têm a chave de descriptografia. Qualquer pessoa que tentar espioná-lo verá apenas alguns caracteres bagunçados.

Exemplo de criptografia. Fonte: https://vpninfo.dk/pt/ 

Diferença entre VPN e Proxy

Um proxy é um serviço que age como um intermediário entre o usuário e a internet, recebe e repassa todas as suas requisições aos sites acessados. Dessa forma, o IP registrado nessas páginas acessadas é o do proxy e não o do usuário. Assim, a identidade do usuário não fica exposta na rede, dificultando que ele seja rastreado. Neste ponto, muita gente pensa que um proxy e uma VPN são a mesma coisa, pois ambos possuem uma mesma função, que é proteger a identidade do usuário na internet. Mas não é bem assim. Embora uma VPN também possa ser usada para mascarar o IP do usuário, ela cria uma rede privada criptografada, blindando totalmente os dados entre o computador do usuário e o servidor VPN. Já o proxy é apenas um intermediário entre o usuário e a internet e não criptografa nada.

Tipos de VPN

Existem muitos tipos diferentes de VPN. A seguir, serão apresentados alguns dos principais tipos de VPN:

• Open VPN

Um dos protocolos mais utilizados para conexões VPN é o Open VPN. O OpenVPN é tanto um protocolo de VPN de código aberto quanto um programa VPN que permite às pessoas rodar conexões VPN seguras do tipo site-to-site ou client-server. A maioria das VPNs oferece esse protocolo porque é muito seguro (ele utiliza a biblioteca OpenSSL e a criptografia 256 bits) e funciona em várias plataformas.

• VPN-SSL

Quando as empresas recorrem à solução de um VPN-SSL, esta geralmente é implementada por meio de um dispositivo de hardware específico para esse fim conhecido como Gateway VPN-SLL. 

Geralmente o pré-requisito para acessar a rede é um navegador compatível com HTML-5, que é usado para acessar à página de login da empresa. O acesso é protegido por um nome de usuário e senha.

Todo o tráfego entre um navegador e um dispositivo VPN-SSL é criptografado com o protocolo SSL ou TLS. Os usuários não precisam decidir qual protocolo usar para que a VPN faça seu trabalho. Em vez disso, a VPN-SSL usa automaticamente o protocolo criptográfico mais recente e atualizado que foi instalado no navegador do usuário. 

• Vantagens de utilizar uma VPN-SSL

  • O cliente não necessita de um software específico para acessar à VPN;
  • Interoperabilidade entre fornecedores e aplicativos;
  • Configuração e acesso relativamente simples;
  • Os protocolos SSL e TLS são inclusos por padrão na maioria dos navegadores de internet.

• Desvantagens de utilizar uma VPN-SSL

  • Autenticação de usuários opcional. Pode ser considerada uma fraqueza de segurança;

  • Requer downloads do Java ou ActiveX para facilitar o acesso a aplicativos não habilitados para a web; Isso pode causar um problema se o firewall estiver configurado para bloquear controles Java ou ActiveX;
  • O SSL utiliza muitos recursos de processamento, levando a um desempenho ruim sob altas cargas.

• VPN client-server (remote access)

Um cliente VPN é uma tecnologia baseada em software que estabelece uma conexão segura entre o usuário independente de onde esteja e um servidor VPN, geralmente através de login e senha. 

Alguns clientes VPN trabalham automaticamente em segundo plano, enquanto outros possuem interfaces que permitem aos usuários interagir e configurá-los. Os clientes VPN geralmente são aplicativos instalados em um computador, embora algumas organizações forneçam um cliente VPN específico que é um dispositivo de hardware pré-configurado com um software VPN.

• Vantagens de utilizar uma VPN client-server

  • Com um dispositivo configurado e autenticado, é possível acessar à VPN de qualquer lugar;
  • Baixo custo de implementação e manutenção.

• Desvantagens de utilizar uma VPN client-server

  • Pode apresentar queda na velocidade da conexão com a internet;
  • Alguns clientes VPNs são inseguros. É necessário pesquisar antes de escolher um cliente VPN.

• VPN site-to-site

A VPN site-to-site é muito utilizada por empresas, onde sua função é interligar, por exemplo, a matriz e suas filiais.  

Neste sentido não há, nessa ligação, nenhum tipo de conexão direta com cabos de fibra ótica, por exemplo. A comunicação é feita através da internet utilizando uma rede virtual privada.  

Para que essa comunicação seja feita de forma segura e transparente, a maior recomendação é que se utilize um túnel VPN site-to-site.

As VPNs site-to-site funcionam com os mesmos princípios que as VPNs client-server. No entanto, ao invés de um cliente ou credenciais, ele depende de gateways VPN para monitorar e proteger o fluxo de dados. Os gateways em ambas as extremidades funcionam como sentinela para a rede. Qualquer solicitação de criptografia ou descriptografia passa por eles.

• Vantagens de utilizar uma VPN site-to-site

Embora seja uma implementação de tecnologia antiga, existem certos benefícios de uma VPN site a site que fazem com que as empresas a favoreçam. Dependendo das necessidades de uma organização, do tamanho da força de trabalho e do custo, uma empresa pode se beneficiar de uma VPN site a site das seguintes maneiras:

• Gateway de VPN por hardware dedicado nas duas extremidades da rede. O uso dos gateways com programação adequada só permitirá a passagem de dados autenticados. Além disso, com a criptografia IPsec, qualquer tentativa externa de interceptar o tráfego será inútil. Ela garantirá a segurança contando com assinaturas digitais, certificação e autenticação por PKI (Infraestrutura de Chave Pública);
• Eficiência operacional. Uma VPN site-to-site dispensa o uso de credenciais ou aplicativos cliente. Isso reduz as etapas necessárias para fazer login na rede VPN;
• Escalabilidade simples. As VPNs site-to-site são fáceis de dimensionar. Você pode ter novos usuários, sites, escritórios ou parceiros em funcionamento em minutos. Você também não precisará adicionar dispositivos individuais à rede existente, um de cada vez. A implantação de gateways permite adicionar uma nova rede a uma existente, o que facilita a expansão.

• Desvantagens de utilizar uma VPN site-to-site

  • Falta de segurança integrada. O problema está no fato de que a VPN site-to-site apenas criptografa o fluxo de dados, mas não controla o túnel. Ela ainda permite acesso irrestrito ao alvo simplesmente existindo na rede. Esse tipo de VPN não realiza nenhuma inspeção de segurança do conteúdo nem exerce controle de acesso;
  • Visibilidade e Gestão. Embora forneça um mínimo de flexibilidade ao seu gerenciamento, isso tira a visibilidade. Como cada túnel é independente um do outro, tentar gerenciar e monitorar tudo de uma vez pode ser um pesadelo. Assim, o monitoramento e gerenciamento são feitos individualmente, ou seja, para cada túnel separadamente. Isso pode não apenas ser uma tarefa demorada, mas também caro para o negócio;
  • Roteamento ineficiente. A desvantagem acima é a principal razão para a implementação de uma topologia Hub and Spoke. Nessa topologia, os dados dos túneis são roteados para o Hub and Spoke para uma inspeção de segurança detalhada. Embora isso possa parecer uma solução para os problemas de segurança e visibilidade da VPN site-to-site, acaba sendo outra dor de cabeça para a organização. A implementação e manutenção dessa topologia de rede são caras. Além disso, diminui sua conectividade aumentando a latência graças a uma carga adicional que é colocada na uma rede.

Conclusão

Embora existam diversos tipos diferentes de VPN, é necessário entender que cada um deles possui suas particularidades e devem ser escolhidos de acordo com as necessidades de cada cliente.

É importante, porém, se certificar de algumas coisas como: legitimidade da empresa fornecedora, valor de mercado, disponibilidade, protocolo, impacto na velocidade de navegação, entre outros fatores.

Na hora de escolher uma forma de proteção para navegar na internet, é preciso ter em mente que, na internet, nada é 100 % seguro. Apesar disso, aumentar os esforços para que a conexão seja o menos vulnerável possível é sempre uma decisão certa.

Links interessantes

1. https://www.devmedia.com.br/montando-uma-vpn-com-o-openvpn/26670 
2. http://www.patrick.eti.br/?p=artigos&a=openvpn 
3. https://butecotecnologico.com.br/configurando-vpn-site-to-site-com-openvpn/ 

Referências

1. https://www.kaspersky.com.br/resource-center/definitions/what-is-a-vpn  
2. https://kenzie.com.br/blog/vpn/ 
3. https://canaltech.com.br/internet/o-que-e-vpn-23748/ 
4. https://nordvpn.com/pt-br/what-is-a-vpn/ 
5. https://tecnoblog.net/responde/o-que-e-proxy-e-qual-a-diferenca-para-a-vpn/ 
6. https://www.fortinet.com/resources/cyberglossary/ssl-vpn 
7. https://www.barracuda.com/glossary/vpn-client#:~:text=A%20VPN%20client%20is%20a,interact%20with%20and%20configure%20them.
8. https://www.paloaltonetworks.com/cyberpedia/what-is-a-site-to-site-vpn#:~:text=A%20site%2Dto%2Dsite%20virtual,to%20using%20private%20MPLS%20circuits. 
9. https://www.cactusvpn.com/pt/guia-iniciantes-vpn/o-que-e-o-openvpn/ 
10. https://shebangthedolphins.net/vpn_openvpn_windows_server.html 
11. https://www.datarain.com.br/blog/tecnologia-e-inovacao/diferenca-vpn-site-vpnclient/ 
12. https://www.gta.ufrj.br/ensino/eel878/redes1-2016-1/16_1_2/vpn/vpn_ipsec2/vpn_ipsec/vpn.html 
13. https://docs.aws.amazon.com/pt_br/vpn/latest/clientvpn-admin/client-authentication.html 
14. https://vpninfo.dk/pt/ 
15. https://www.avast.com/pt-br/c-what-is-a-vpn   
16. https://www.cloudflare.com/de-de/learning/access-management/vpn-speed/ 
17. https://www.itproportal.com/2007/05/18/benefits-and-disadvantages-of-ssl-vpns/ 
18. https://docs.microsoft.com/pt-br/azure/architecture/reference-architectures/hybrid-networking/hub-spoke?tabs=cli 
19. The Security Buddy: What is SSL-VPN