Implementações de VPN e suas particularidades

Em um post anterior, discutimos a definição de VPN (do inglês Virtual Private Network), sua função e diversos casos de uso. Hoje, avaliaremos suas implementações mais comuns, vantagens e desvantagens.

Em um post anterior, discutimos a definição de VPN (do inglês Virtual Private Network), sua função e diversos casos de uso. Hoje, avaliaremos suas implementações mais comuns, vantagens e desvantagens.

Por definição, VPNs são versáteis, então é difícil entender se uma implementação trata-se de um VPN ou não. De certa forma, a precursora da Internet, a ARPANET, poderia ser considerada um VPN. Curiosamente, quase todos os conceitos e protocolos de rede começaram em tecnologias corporativas e só depois ganharam o ambiente doméstico.

Antes de mais nada, é necessário dizer que falaremos sobre as implementações usadas para proteger usuários conectados a redes WiFi públicas ou para burlar restrições baseadas em IPs de certos provedores de serviços. Como via de regra, serviços VPN aproveitam de funcionalidades comuns de sistemas operacionais e viabilizam condições para estabelecer uma conexão segura.

Os VPNs têm investido na simplificação do processo: um usuário comum não precisa passar por detalhes técnicos. Só é preciso “pague aqui, baixe esse aplicativo, aperte no botão “próximo”, aproveite”. Contudo, em alguns casos faz sentido pelo menos saber no que instalações diferem umas das outras.

Configurações de Android (esq.) e Windows (dir.)

Instalações comuns de VPN
O PPTP (Point-to-Point Tunelling Protocol) foi desenvolvido há 20 anos, fato que garante a posição de maior vantagem, mas destaca as desvantagens. Seu maior benefício é a compatibilidade com quase todos os sistemas operacionais. Além do mais, não demanda muita capacidade do computador, se compararmos com soluções mais recentes.

A maior desvantagem advém da idade. No que diz respeito a segurança, oferece pouquíssima proteção. Seus métodos de criptografia são bem ultrapassados, o que se agrava quando pensamos na arquitetura falha e diversas fraquezas na implementação mais popular: da Microsoft.

Um criminoso levaria menos de 24 horas para descobrir a senha considerando o hardware produzido hoje. Contudo, em cenários nos quais uma conexão super segura não é necessária ou quando outras VPN não estejam disponíveis, é melhor usar o PPTP com sua proteção fraca do que não ter nenhuma.

Certa vez, estive em um país notório por suas regulações sobre o uso de Internet. Usei nosso servidor corporativo de PPTP, localizado no meu país de origem, para enviar e-mails. A mensagem levou entre dois dias a duas semanas para chegar ao destino. Onde será que estavam esses e-mails todo esse tempo? Ao mesmo tempo, o uso de uma conexão VPN mais segura era restrito. Essa história ilustra que o PPTP não chega nem perto de ser forte o suficiente para nos proteger de grandes empresas e governos, por exemplo.

 

O L2TP (Layer 2 Tunneling Protocol) é bem parecido com o PPTP. Esses dois padrões foram desenvolvidos e certificados praticamente ao mesmo tempo. Mesmo assim o L2TP é considerado mais eficiente para redes virtuais, porém, demanda mais capacidade. Normalmente, é o preferido dos usuários corporativos e de provedores. O L2TP não possui encriptação padrão e sim outros protocolos (normalmente IPSec).

Para nosso desânimo, uma pesquisa em outubro de 2015 revela que 66% das conexões de IPSec são passíveis de serem invadidas mediante esforço moderado, e que a NSA possui recursos de hardware necessários para comprometer a encriptação.

O problema aqui reside no uso errôneo de protocolos usados para iniciar a conexão segura. Essa questão é aplicada muito além do IPSec, também diz respeito ao TLS (que discutiremos), SSH, TOR e OTR. Em outras palavras, a possibilidade de comprometimento é a mesma para conexões VPN e outras conexões seguras como sites, servidores de e-mails, messengers e outros do tipo.

É certo que um longo tempo de execução e recursos computacionais robustos são necessários para realizar esse ataque. Contudo nesse caso, pesquisadores utilizaram a tecnologia de nuvem da Amazon e gastaram uma quantia tecnicamente disponível a um investidor anônimo.

Com esses recursos disponíveis, o tempo de preparo para um ataque pode variar de um minuto a um mês. Além disso, alguns especialistas estavam céticos a respeito dessa verificação de conceito. Segundo eles, na vida real, o número de sistemas vulneráveis é bem menor. De qualquer forma, certos aspectos da pesquisa devem ser levados a sério.

O SSL (Security Socket Layer) e o TLS (Transporte Layer Security) pertencem a classe de soluções baseadas em protocolos SSL e TLS, que são complementados por outros meios de proteção. Todo mundo já deve ter cruzado por algum SSL/TLS ao navegar na Internet; por exemplo, nosso blog os usa também: o prefixo https e o cadeado verde no topo confirmam isso.

O que pode ser considerado uma vantagem desse tipo de VPN é a prevalência de SSL/TLS na Internet, o que significa que a maioria das redes públicas deixam-no passar livremente. Em termos de desvantagens, esses VPNs possuem baixa performance, são difíceis de configurar e necessitam de softwares complementares.

Entre as instalações de VPNs SSL/TLS mais populares está o OpenVPN (SSL 3.0/TLS 1.2) e o SSTP (SSL 3.0) da Microsoft. Na verdade, o SSTP é integrado com o Windows. O OpenVPN possui várias aplicações para diversas plataformas e é considerada a instalação de VPN mais confiável até então.

Conclusão
Avaliamos as implementações de VPN mais populares até hoje. Porém, como essa tecnologia evoluiu ao longo dos anos, já teve diversas versões. Imagine só todas as soluções desenvolvidas para o setor empresarial e de telecomunicações!

Como usuário comum, recomendo o OpenVPN por conta de sua natureza aberta, confiabilidade e segurança. Contudo, outras instalações possuem diversos aspectos técnicos e legais que apresentarei em outros episódios dessa série.

Dicas

Como proteger a segurança doméstica

As empresas de segurança oferecem tecnologias inteligentes, principalmente câmeras, para proteger a casa contra roubos, incêndios e outros incidentes. Mas que tal proteger esses sistemas de segurança contra intrusos? É o que faremos para preencher essa lacuna.