De um tempo pra cá segurança digital virou moda entre o público menos técnico em TI. Motivos para isso nunca faltaram mas com os eventos de quebra de segurança cada vez mais constantes e evidentes, muita gente que antes negligenciava este tema passou a se preocupar mais.
Neste texto eu abordo de forma conceitual, porém – a medida do possível – sem muito “tecniquez”, o que é e como funciona a VPN, um dos recursos de segurança que, embora antigo, se tornou popular e tem sido visto pelos usuários como “solução ultimate” para todos os problemas de segurança.
Eu já estava escrevendo algo a respeito do tema há algum tempo, porém, o texto estava ficando grande demais e estava cogitando a hipótese de quebrá-lo em dois ou três artigos separados, porém há uns dias acabei respondendo uma questão relacionada ao tema, em um site de perguntas/respostas que frequento, e usei uma parte do que havia escrito no texto original, isso foi a gota d’água que faltava para eu decidir por quebrar o texto em partes.
Mais pra frente (em outro artigo) eu espero melhorar aquele texto, enchê-lo de “siglas difíceis” e então publicar algo mais técnico por aqui, mas por hora, fiquemos com o conceito da VPN que é mal entendido por muita gente que está pagando caro por este serviço.
O que é a VPN, em exemplos práticos
VPN é a sigla em inglês para “Rede Privada Virtual”. Este conceito trata-se de uma técnica já bastante antiga onde se cria uma “rede virtual” dentro da sua rede real, ou se preferir cria um “túnel” dentro de outra rede.
Por baixo dos panos há bastante coisa complicada para se entender de uma VPN, mas não é foco deste texto explicar estes detalhes. Em um nível panorâmico o conceito de funcionamento da VPN é bem simples de se entender e é neste contexto que espero conduzir o texto.
Imagine o cenário onde uma empresa qualquer possui uma matriz em uma cidade ou bairro e uma filial em algum outro lugar distante. Há algumas formas diferentes de se fazer a comunicação dos sistemas da matriz com a filial, mas ou são caros ou muito complexos, podendo inclusive envolver o cabeamento de fibra ótica pelas ruas, ou uso de conexões ponto-a-ponto com satélite etc.
Nós vamos focar na forma mais simples que é usar a nossa Internet comum do dia-a-dia, que é um meio mais barato disponível e desta forma, consideraremos que este seja que o único meio para se fazer a conexão matriz-filial, como segue no desenho abaixo:
O problema desta abordagem é a falta de segurança, já que a Internet é uma rede pública e aberta, onde tudo o que atravessa por ela pode ser observado de alguma forma e, em razão disso, não é a forma mais recomendável de se disponibilizar um sistema crítico para acesso entre as filiais de uma empresa, ou entre seus colaboradores.
Veja a figura abaixo uma versão melhorada do uso da Internet para comunicação entre a matriz e a filial, usando a Internet.
Embora a matriz e a filial estejam usando a Internet normalmente, algo de diferente ocorre quando a filial precisa se comunicar com a a matriz ou vice-versa. Todo o tráfego de dados entre estas duas pontas será criptografado (cifrado, ou embaralhado – como quiserem) e só será legível entre os envolvidos nas duas pontas.
Como diz a própria sigla (VPN) seus dados estarão passando uma rede privada (porque ela é exclusiva da sua empresa) e “virtual” (porque não existe de forma física).
Uma pessoa ou sistema que não faça parte desta VPN poderá até interceptar os dados, mas literalmente vai precisar de alguns milhares de anos para conseguir desembaralhar as informações. Dessa forma, podemos dizer que, ao menos atualmente, uma VPN razoavelmente bem configurada é computacionalmente impossível de ter seu tráfego violado.
Se os chamados “Gateway de VPN” (que podem ser equipamentos especializados ou apenas aplicativos nos computadores dos usuários) estão dentro do datacenter da matriz e da filial, e que supõe-se ser um local seguro, somente com um ataque direto e físico a sua rede será possível violar os dados.
E quanto ao uso da VPN para uso pessoal?
Honestamente eu sou bastante cético quanto a este uso. Não que duvide da capacidade tecnológica das empresas que oferecem a VPN, mas por conta do usuário final que, levado por uma falsa expectativa , acaba usando mal o serviço contratado achando que está seguro em todas as ocasiões, quando na verdade não está.
Fica então uma dica: Se você entender o conceito de “túnel” você terá uma decisão mais sensata ao decidir por usar ou não este recurso. E quando me refiro a “túnel”, neste parágrafo especificamente, não me refiro ao túnel de VPN, não. Pense em um túnel real que atravesse por baixo de uma montanha, ou lago, etc e que não só serve como meio de travessia, como também um meio de te proteger do mau tempo.
Pra ficar mais claro. O túnel tem duas pontas (uma entrada e uma saída) e não ligam diretamente a sua posição atual até o seu destino. Pode até haver túnel com mais de uma entrada ou mais de uma saída, e até que chegue mais próximo ou mais distante dos seus pontos de partida/chegada, mas eles nunca serão o seu trajeto completo.
Os túneis são apenas parte do percurso então você só estará dentro dele por um pequena parte do tempo. Agora, voltando pra TI, a regra é a mesma quando trazendo estas informações para nosso conceito de túnel virtual ou VPN.
Observe o desenho abaixo como funciona a VPN que você contrata para uso domestico:
Tente comparar os dois desenhos (da VPN ligando matriz-filial e este da VPN doméstica). Enquanto a VPN empresarial tem as duas pontas em seus datacenteres, deixando o risco de um ataque e roubo de dados a cargo de quem entrar nestes locais, no caso da VPN para uso doméstico, uma ponta está na sua casa (tal como na matriz) porém a outra ponta não está na empresa que fornece o site que você quer acessar, mas em uma empresa no meio do caminho, e que joga sua requisição de acesso de volta a Internet aberta. Em outro local da Internet, claro, mas aidna assim sem qualquer proteção, então, deste ponto pra frente todo o tráfego não será protegido.
É impossível para qualquer empresa que ofereça serviço de VPN, levar sua conexão criptografada até o site de destino, já que há bilhões de sites, oferecidos por milhares ou mesmo milhões de datacenter espalhados pelo mundo. Uma VPN ideal deveria ter uma ponta dentro de cada um destes datacenteres para assegurar sua privacidade, qualquer que fosse o destino acessado. Isso é virtualmente impossível, já que a todo instante surge um site novo, uma empresa nova, um serviço de hospedagem novo… Mesmo para as grandes corporações da Internet como Google, Amazon, Microsoft etc, isso é inviável.
As implicações disso são que um hacker vai conseguir interceptar os seus dados de qualquer forma em algum ponto da Internet tão logo ele saia da VPN para chegar no seu site desejado.
Então pra que serve a VPN em uso doméstico?
Se for para deixar um monte de gente feliz, eu digo que é para te deixar seguro, e me abstenho de maiores comentários, deixando este artigo completamente sem sentido de existir.
Agora, se é pra responder honestamente, mesmo com risco de receber uma enxurrada de críticas nos comentários, então eu digo que não serve pra nada. Pelo menos não no sentido de te proteger de um ataque de roubo de dados.
A VPN serve para dar privacidade na conexão de uma ponta até a outra. Se uma ponta é a sua casa e a outra é um local prédefinido, como sua empresa, ou um escritório com serviço exclusivo etc, então a VPN te protegerá com certeza.
Não sendo este caso, a VPN não vai te proteger de nada. Há pessoas que usam VPN apenas para mascarar sua localidade real, se fazendo passar por alguém em outro país ou cidade diferente, de forma a conseguir acessar serviços que são limitados a outros países.
Um uso eticamente questionável, porém válido para a VPN, já que se você está no Brasil e tentando acessar diretamente um site na Rússia, os responsáveis pelo site saberão que você está no Brasil, porém se você acessar o mesmo site via VPN cuja segunda ponta está na China, os responsáveis pelo site vão acreditar que você é um usuário chinês.
Vale a pena contratar uma VPN?
Depende. Se no caso da conexão matriz-filial que dei, os sistemas da empresa não estivessem em seu datacenter próprio, mas em uma VPC da AWS (poderia ser também o equivalente na Microsoft Azure, o do Google Cloud). Ao invés de uma VPN matriz-filial teriamos uma VPN matriz-aws e outra filial-aws, pode valer a pena usar o serviço de VPN da própria AWS, ou da Azure, Gcloud etc.
Se o que você quer é apenas mascarar seu IP se fazendo passar por usuário em outra região do planeta, certamente contratar a VPN será uma opção melhor do que você colocar um computador em cada parte do mundo para ser a sua segunda ponta da VPN. Embora com os mesmos efeitos pode ser mais barato você usar um navegador com suporte a rede Thor.
Se você colocou um computador em casa/empresa e que provê serviço de arquivos e que você queira acessar remotamente, ao invés de contratar um serviço de VPN que vai “largar” o seu tráfego desprotegido no meio do caminho, é preferível você montar o seu sistema de VPN em casa/empresa e instalar os clientes nos dispositivos remotos (celular, tablet etc).
E pra finalizar, ao implantar ou contratar um serviço de VPN, você deve ter em mente que este serviço só te protegerá de algo enquanto estiver dentro do túnel. Tão logo você saia dele estará vulnerável novamente e precisará tratar disso de acordo com a situação. Seja usando um antivírus na estação do usuário, ou um firewall na borda da sua rede, blindando o seu datacenter … cada caso é diferente e precisa ser avaliado.
Se você pretende contratar/instalar uma VPN, considere o conceito do túnel. Verifique se ele se enquandra na sua situação e decida por si só se será uma vantagem ou um desperdício de tempo ou dinheiro.