O que é VPN?

As redes virtuais privadas (VPNs) são conexões ponto a ponto em redes privadas ou públicas, como a Internet. Um cliente VPN usa protocolos especiais baseados em TCP/IP, denominados protocolos de encapsulamento, para realizar uma chamada virtual a uma porta virtual em um servidor VPN. Em uma implantação VPN típica, o cliente inicia uma conexão virtual ponto a ponto com um servidor de acesso remoto pela Internet. O servidor de acesso remoto atende a chamada, autentica o chamador e transfere os dados entre o cliente VPN e a rede privada da organização.

Para emular um link ponto a ponto, os dados são encapsulados, ou empacotados, com um cabeçalho. O cabeçalho fornece informações de roteamento que possibilitam que os dados atravessem a rede pública ou compartilhada para acessar o ponto de extremidade. Para emular um link particular, os dados enviados são criptografados por questão de confidencialidade. Os pacotes que são interceptados na rede pública ou compartilhada são indecifráveis sem as chaves de criptografia. O link em que os dados privados são encapsulados e criptografados são conhecidos como uma conexão VPN.

A VPN Connection

Conexão VPN

Existem dois tipos de conexão VPN:

  • VPN de acesso remoto
  • VPN site a site

VPN de acesso remoto

As conexões VPN de acesso remoto permitem que usuários que estejam trabalhando em casa ou em trânsito acessem um servidor em uma rede privada usando a infra-estrutura fornecida por uma rede pública, como a Internet. Do ponto de vista do usuário, a VPN é uma conexão ponto a ponto entre o computador (o cliente VPN) e um servidor da organização. A infra-estrutura exata da rede pública ou compartilhada é irrelevante porque ela aparece logicamente como se os dados fossem enviados por um link particular dedicado.

VPN site a site

As conexões VPN site a site (também conhecidas como conexões VPN roteador a roteador) permitem que as organizações mantenham conexões roteadas entre escritórios independentes ou com outras organizações em uma rede pública enquanto ajudam a manter a segurança das comunicações. Uma conexão VPN roteada pela Internet funciona logicamente como um link dedicado de rede de longa distância (WAN). Quando as redes são conectadas pela Internet, como mostra a figura a seguir, um roteador encaminha os pacotes a outro roteador por meio de uma conexão VPN. Para os roteadores, a conexão VPN funciona como um link de camada de vínculo de dados.

Uma conexão VPN site a site conecta duas partes de uma rede privada. O servidor VPN fornece uma conexão roteada com a rede à qual o servidor VPN está conectado. O roteador de chamada (o cliente VPN) realiza sua própria autenticação para o roteador de resposta (o servidor VPN) e, para autenticação mútua, o roteador de resposta realiza sua própria autenticação para o roteador de chamada. Geralmente, em uma conexão VPN site a site, os pacotes enviados de qualquer um dos roteadores pela conexão VPN não são originados nos roteadores.

VPN conectando dois sites remotos pela Internet

 

VPN conectado a dois sites remotos

Propriedades das conexões VPN

As conexões VPN que usam PPTP, L2TP/IPsec e SSTP têm as seguintes propriedades:

  • Encapsulamento
  • Autenticação
  • Criptografia de dados

Encapsulamento

Com a tecnologia VPN, os dados particulares são encapsulados com um cabeçalho que contém informações de roteamento que permitem que os dados atravessem a rede de tráfego. Para obter exemplos de encapsulamento, consulte Protocolos de encapsulamento de VPN.

Autenticação

A autenticação de conexões VPN ocorre de três formas diferentes:

  1. Autenticação no nível do usuário usando PPPPara estabelecer a conexão VPN, o servidor VPN autentica o cliente VPN que está tentando a conexão usando um método de autenticação no nível do usuário do protocolo PPP e verifica se o cliente VPN possui a autorização apropriada. Se for usada a autenticação mútua, o cliente VPN também autenticará o servidor VPN que fornece proteção contra computadores que estejam mascarados como servidores VPN.
  2. Autenticação no nível do computador usando protocolo IKEPara estabelecer uma associação de segurança IPsec, o cliente VPN e o servidor VPN usam o protocolo IKE para trocar certificados de computador ou uma chave pré-compartilhada. Em qualquer um dos casos, o cliente e o servidor VPN autenticam um ao outro no nível do computador. A autenticação de certificado de computador é altamente recomendada porque é um método de autenticação muito mais eficaz. A autenticação no nível do computador é realizada apenas para conexões L2TP/IPsec.
  3. Autenticação da origem dos dados e integridade dos dadosPara verificar se os dados enviados na conexão VPN se originaram na outra extremidade da conexão e não foram modificados em trânsito, os dados contêm uma soma de verificação criptográfica baseada em uma chave de criptografia conhecida apenas pelo remetente e pelo destinatário. A autenticação da origem dos dados e integridade dos dados estão disponíveis apenas para conexões L2TP/IPsec.

Criptografia de dados

Para garantir a confidencialidade dos dados que atravessam a rede de tráfego pública ou compartilhada, os dados são criptografados pelo remetente e descriptografados pele destinatário. Os processos de criptografia e descriptografia dependem do fato de tanto o remetente quanto o destinatário usarem uma chave de criptografia comum.

Os pacotes interceptados enviados durante a conexão VPN na rede de tráfego são ininteligíveis para qualquer parte que não tenha a chave de criptografia comum. O comprimento da chave de criptografia é um parâmetro de segurança importante. É possível usar técnicas de computação para determinar a chave de criptografia. No entanto, quanto maiores forem as chaves de criptografia, essas técnicas precisarão de mais eficiência de computação e tempo computacional. Sendo assim, é importante usar o maior tamanho de chave possível para garantir a confidencialidade.

Fonte: TechNet

Sou bacharel em Sistemas de Informação pela Estácio de Sá (Alagoas), especialista em Gestão Estratégica da Tecnologia da Informação pela Univ. Gama Filho (UGF) e pós-graduando em Gestão da Segurança da Informação pela Univ. do Sul de Santa Catarina (UNISUL). Certificações que possuo: EC-Council CEH, CompTIA (Security+, CySA+ e Pentest+), EXIN (EHF e ISO 27001), MCSO, MCRM, ITIL v3. Tenho interesse por todas as áreas da informática, mas em especial em Gestão e Governança de TI, Segurança da Informação e Ethical Hacking.

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *