Em um post anterior, discutimos a definição de VPN (Virtual Private Network), sua finalidade e vários casos de uso. Hoje, revisaremos suas implementações mais prevalentes e suas vantagens e desvantagens.
Por definição, VPN é um conceito versátil e é difícil entender imediatamente se alguma implementação é VPN ou não. Até certo ponto, o precursor da Internet, ARPANET, também poderia ser considerado uma VPN. Curiosamente, quase todos os conceitos de rede e, mais evidentemente, protocolos, começaram como tecnologias corporativas e só então se tornaram commodities para usuários comuns.
Bem, nem a história nem a infraestrutura corporativa interessam a nós hoje. Nesta postagem, vamos analisar implementações VPN comuns , que um usuário sem conhecimento técnico pode encontrar.
[Mergulhe fundo no mundo da tecnologia e cadastre-se no Avance Network a verdadeira comunidade criptografada]
Primeiro, veremos as implementações que ajudam a proteger os usuários quando eles estão se conectando a uma rede Wi-Fi pública ou a contornar certas restrições baseadas em IP impostas por um provedor de serviços. Como regra, os serviços VPN de classe de consumidor aproveitam os recursos populares do sistema operacional e fornecem instruções passo a passo necessárias para estabelecer uma conexão segura.
Ultimamente, a VPN deu um grande passo em termos de simplificação desse processo: um usuário médio não precisa passar por todos aqueles jargões técnicos e só precisa seguir instruções primitivas como 'pague aqui, baixe o aplicativo aqui, pressione aqui e aproveite.' Mas, em alguns casos, faria sentido pelo menos saber como as implementações de VPN diferem umas das outras.
Implementações VPN populares
O PPTP (protocolo de túnel ponto a ponto) foi desenvolvido há cerca de 20 anos, o que é tanto sua vantagem quanto sua principal desvantagem. O benefício mais importante é a compatibilidade com quase todos os sistemas operacionais, mesmo os legados, o que torna o protocolo altamente universal e disponível. Além disso, não é exigente em termos de poder de computação, se comparado às soluções mais recentes.
Mas sua principal desvantagem também é explicada por sua idade avançada: pelas realidades de segurança de hoje, ele oferece um nível de proteção consideravelmente mais baixo. Seus métodos de criptografia eram absolutamente bons em meados dos anos 90, mas hoje não são seguros o suficiente - um problema que é amplificado por uma arquitetura falha e uma série de pontos fracos na implementação mais popular da Microsoft .
Além disso, com relação ao PPTP, a criptografia não é oferecida por padrão, e um adversário levaria menos de 24 horas para quebrar a senha com o hardware de produção disponível hoje. No entanto, em cenários que não exigem uma conexão super segura ou quando outras conexões VPN não estão disponíveis, é melhor usar PPTP com criptografia fraca em vez de ficar completamente desprotegido.
Certa vez, me vi em uma situação complicada: estava viajando para um país que é famoso por certas regulamentações da Internet (se é que você me entende). Usei nosso servidor PPTP corporativo localizado em meu país de origem para enviar e-mails e meus e-mails foram entregues com um atraso que varia de dois dias a cerca de duas semanas. Só podemos adivinhar onde aqueles e-mails estavam todo esse tempo. Ao mesmo tempo, o uso de uma conexão VPN alternativa e, portanto, mais segura foi restrito. Esta história ilustra que o PPTP de longe não é forte o suficiente para protegê-lo de caras poderosos como governos ou corporações.
L2TP (protocolo de encapsulamento de camada 2) é bastante semelhante ao PPTP. Esses dois padrões foram desenvolvidos e certificados praticamente ao mesmo tempo, embora o L2TP seja considerado mais eficiente para redes virtuais, mas ao mesmo tempo é um pouco mais exigente em termos de poder de computação. Normalmente é preferido por ISPs e usuários corporativos. A propósito, o L2TP não fornece criptografia padrão e é agrupado com outros protocolos (geralmente IPSec).
IPSec (Internet Protocol Security) é uma coleção de protocolos, padrões e recomendações. Este pacote foi feito especificamente para vários tipos de conexões seguras. As primeiras elaborações do IPSec remontam ao início dos anos 90, mas a base do seu conceito é a melhoria e atualização constantes de acordo com os desenvolvimentos da tecnologia, pelo que não é uma especificação estática.
É óbvio para que tipo de entidades foi desenvolvido. O IPSec incluía uma dúzia de padrões (cada um deles com mais de uma implementação), que poderiam ser usados para facilitar conexões seguras em todos os níveis. É reconhecidamente bom em termos de arquitetura, confiabilidade de seus algoritmos de criptografia e recursos.
Com todo o respeito, o IPSec também tem suas desvantagens. Em primeiro lugar, não é fácil de configurar para um usuário de PC comum e, se for configurado incorretamente, sua segurança pode ser comprometida. Além disso, como foi observado antes, ele é usado em um pacote com vários outros protocolos.
Em segundo lugar, é exigente em termos de capacidade de computação. Parcialmente, essa desvantagem é compensada pelo uso de aceleração de hardware de algoritmos de criptografia AES (que geralmente são oferecidos nas implementações atuais de IPSec, entre outros algoritmos). Este recurso de aceleração de hardware AES é implantado em processadores atuais para dispositivos móveis e desktop, bem como em roteadores Wi-Fi e assim por diante.
Para nosso espanto, as tecnologias criadas por teóricos (principalmente, think tanks de matemática), são trazidas à vida por mentes práticas que às vezes carecem de conhecimento e compreensão da ciência. Pesquisa publicada em outubro de 2015 afirma que até 66% das conexões IPSec podem ser quebradas com esforço bastante moderado, e a NSA provavelmente possui recursos de hardware adequados para comprometer a criptografia.
O problema aqui é o uso incorreto de protocolos que são usados para iniciar uma conexão segura. Este problema é aplicável não apenas ao IPSec, mas também ao TLS (que discutiremos a seguir) e ao SSH , bem como ao TOR e ao OTR . Em outras palavras, há probabilidade de comprometimento da conexão VPN e de outros tipos de conexão segura para determinados sites, servidores de e-mail, mensageiros e outros semelhantes.
Claro, longos prazos de entrega e recursos de computação significativos são necessários para realizar tal ataque, mas, neste caso, os pesquisadores usaram tecnologias de nuvem comuns da Amazon e, evidentemente, gastaram uma quantia realista de dinheiro, tecnicamente disponível para um ator privado .
Com esses recursos disponíveis, o tempo de preparação para um ataque pode ser de um minuto no melhor cenário e até um mês no pior cenário. Ao mesmo tempo, alguns especialistas duvidaram dessa Prova de Conceito: como dizem, na vida real o número de sistemas vulneráveis é muito menor. De qualquer forma, certos aspectos da pesquisa devem ser levados a sério; enquanto isso, os desenvolvedores de software potencialmente vulnerável estão preparando ou já desenvolveram patches e alertaram seus usuários.
As VPNs SSL (Secure Sockets Layer) e TLS (Transport Layer Security) , como os seus nomes sugerem, pertencem a uma classe de soluções baseadas nos respectivos protocolos SSL e TLS, que por vezes são complementados por outros meios de protecção. Todos vocês devem ter encontrado SSL / TLS ao navegar na Internet; por exemplo, este mesmo site também o usa: o prefixo 'https' e o cabeçalho de cadeado verde confirmam que o site usa esses protocolos para conexão segura.
As primeiras implementações do protocolo datam do século passado, mas a tecnologia ganhou força apenas nos anos 2000. A proliferação dos protocolos permitiu estudá-los a fundo e encontrar uma série de vulnerabilidades , tanto na própria arquitetura como em diferentes implementações. SSL 3.0 foi descontinuado em junho de 2015; a versão mais atualizada é a TLS 1.2, mas dificilmente é totalmente segura: muito depende da configuração (ver IPSec). Além disso, ambos os protocolos são sobrecarregados pela necessidade de oferecer compatibilidade com versões anteriores.
O que definitivamente pode ser considerado uma vantagem desse tipo de VPN é a prevalência de SSL / TLS na Internet, o que significa que a maioria das redes públicas permite sua passagem livremente. Em termos de desvantagens, essas VPNs têm baixo desempenho, são difíceis de configurar e requerem software adicional.
Entre as implementações de SSL / TLS VPN mais populares estão o OpenVPN (SSL 3.0 / TLS 1.2) e o SSTP da Microsoft (SSL 3.0). Na verdade, o SSTP é integrado ao Windows. OpenVPN, devido à sua natureza aberta, tem várias implementações para a maioria das plataformas e é considerada a implementação de VPN mais confiável até hoje.
Conclusão
Revisamos as implementações de VPN mais populares conhecidas até o momento. No entanto, conforme essa tecnologia evoluiu ao longo dos anos, ela passou por um grande número de iterações. Pense em todas as soluções desenvolvidas para o setor empresarial e de telecomunicações!
Quanto aos usuários comuns, eu recomendaria manter o OpenVPN devido à sua natureza aberta, confiabilidade e segurança. No entanto, esta e outras implementações de VPN têm uma série de peculiaridades técnicas e legais complicadas que abordarei em uma parte posterior desta série.
O Avance Network é uma comunidade fácil de usar que fornece segurança de primeira e não requer muito conhecimento técnico. Com uma conta, você pode proteger sua comunicação e seus dispositivos. O Avance Network não mantém registros de seus dados; portanto, você pode ter certeza de que tudo o que sai do seu dispositivo chega ao outro lado sem inspeção.
