VPN – como utilizar de forma segura?

As redes privadas virtuais (VPN do inglês Virtual Private Network) possibilitam o estabelecimento de uma conexão privada utilizando a infraestrutura da rede pública, garantindo a segurança dos dados trafegados entre os participantes em uma rede originalmente não confiável.

Podemos imaginar uma VPN como um túnel que liga as duas pontas, permitindo que os dados sejam transferidos como se seus dispositivos estivessem conectados diretamente a uma rede privada.

As VPNs são utilizadas por empresas para fornecer acesso a sua estrutura interna, aplicações e serviços aos funcionários que trabalham remotamente, seja em modelo home office, seja para trabalhadores que passam a maior parte do tempo em visita a clientes, seja para profissionais que estão em viagem.

Podemos utilizá-las também para conectar escritórios remotos, substituindo links dedicados de alto custo (MPLS por exemplo) ou possibilitando a troca de informações com escritórios em localidades em que não há viabilidade técnica para uso de links dedicados.

Embora um número crescente de pessoas físicas utilize VPNs em busca de segurança e privacidade, esta modalidade não faz parte do escopo deste artigo.

As principais vantagens de VPNs são: mobilidade, menor custo, facilidade de configuração e velocidade de ativação. Por mobilidade, entenda-se que você pode estabelecer uma VPN a partir de quase qualquer lugar.

Links de baixo custo podem ser utilizados para o estabelecimento de VPNs. Isto não quer dizer que, para um cenário de escritório remoto que exija alta disponibilidade, por exemplo, deva-se abrir mão de uma MPLS para nos aventurarmos na confiabilidade incerta de um único ADSL ou link rádio de uma operadora qualquer. Cada caso deve ser analisado individualmente. Existem hoje alternativas que permitem o estabelecimento de VPNs utilizando múltiplos links ADSL e rede 3G/4G para redundância, permitindo assim que, com um custo reduzido, tenhamos uma disponibilidade igual ou até maior que uma única conexão dedicada.

A configuração de uma VPN em muitos casos é simples e rápida. O próprio usuário acessa um portal de autoatendimento, baixa e instala o aplicativo de VPN. Em seguida informa suas credenciais de acesso e já está conectado a VPN.

O uso de VPNs pode trazer benefícios à segurança corporativa: permitindo que sistemas legados, não projetados para uso remoto, sejam acessíveis; adicionando uma segunda camada de proteção a sistemas internos mal configurados, mal projetados ou desatualizados (patches não aplicados de acordo com os fabricantes); limitando o acesso aos servidores e sistemas internos a usuários previamente autenticados; e, permitindo o monitoramento e filtragem do tráfego dos endpoints a serviços externos.

Segurança em VPN

A criptografia é essencial em uma VPN. O simples estabelecimento de uma VPN não implica na segurança dos dados trafegados. O modelo de criptografia utilizado é de suma importância. Em uma VPN, devem ser habilitados os protocolos e criptografias mais seguros possíveis para o ambiente. As opções mais comuns são:

PPTP – O PPTP (Point-to-Point Tunneling Protocol) é um protocolo de encapsulamento ponto a ponto muito comum e possui compatibilidade com um enorme número de dispositivos. Porém, fornece um nível muito básico de segurança e deve ser utilizado basicamente como último recurso.

SSTP – O SSTP (Secure Socket Tunneling Protocol) é um protocolo desenvolvido pela Microsoft, compatível com SOs Microsoft e Linux, mas não suportado pelos SOs da Apple. Possui um bom nível de segurança, baseado em SSLv3 (Secure Sockets Layer v3), mas baixo nível de auditabilidade.

L2TP – O L2TP (Layer 2 Tunneling Protocol) é um protocolo de encapsulamento. Por não possuir um nível básico de segurança, normalmente é utilizado em conjunto com o IPSec. A combinação L2TP/IPSec, 256 bits, é atualmente uma das mais utilizadas.

IPSec – O IPSec (Internet Protocol Security) é um conjunto de protocolos de rede seguro, que é bastante popular devido à sua alta segurança. O IPSec pode ser difícil de configurar e exige um maior nível de conhecimento dos responsáveis por sua configuração. Em algumas soluções, o IPSec é licenciado de forma separada, o que pode aumentar o custo total de propriedade (TCO).

OpenVPN – Utiliza a biblioteca OpenSSL e suporta aceleração de hardware para aumentar a velocidade de conexão. Considerada estável e segura, é suportada por um grande número de dispositivos. Embora a criptografia padrão seja de 128 bits, pode ser configurado com algoritmos alternativos. Para minimizar os efeitos da complexidade de sua instalação, várias empresas oferecem clientes personalizados.

Mas não fique apenas na criptografia. O uso de credenciais roubadas – não apenas dos profissionais da própria organização, mas de empresas prestadoras de serviço ou fornecedores que interagem com nossa estrutura – vide o caso Target – é uma realidade e deve ser considerado quando falamos de VPN. Sempre que possível utilize um modelo robusto de autenticação. Métodos de autenticação de dois fatores (2FA), exigem que o usuário tenha duas formas de identificação – algo que ele saiba (usuário e senha, por exemplo) e algo que ele possua (token, hardware ou software, por exemplo). Embora possa trazer um certo nível de desconforto e resistência dos usuários, o uso deste modelo de autenticação adiciona uma camada de segurança muito importante ao cenário.

A política de segurança, como sempre, deve ser a linha mestre neste processo. É de suma importância garantir que os usuários tenham o nível de acesso apropriado aos sistemas, aplicativos, serviços e servidores corporativos. Deve ser possível gerenciar este acesso permitindo sua monitoria, auditoria e adequação às normas de governança e conformidade as quais seu negócio está exposto. (Se você ainda não teve oportunidade, vale a leitura do artigo Zero Trust: por que considerar em sua política de segurança?)

Embora manter os softwares atualizados faça parte de uma boa política de segurança corporativa, atenção especial deve ser dada ao firewall. Em outubro de 2019, o NSA e o NCSC alertaram para a necessidade urgente de atualização dos produtos de três grandes fornecedores de VPN para os quais foram descobertas vulnerabilidades que “permitia ao invasor recuperar arquivos arbitrários, incluindo aqueles que contêm credenciais de autenticação”.

E não esqueça de considerar VPNs em seu plano de continuidade e/ou recuperação de desastre (BC/DR). Afinal de contas, quando este for acionado você poderá necessitar de acesso remoto, seja a seu site principal, seja a seu site de backup, para realizar suas atividades dentro do cenário constante em seu plano.