Virtual Private Network (VPN) é uma rede de comunicações privada, construída em cima de uma rede de comunicações pública (como por exemplo, a Internet).
Para que serve ?
Servem para manter segura a informação que por lá passa seja ela encriptada ou não.
Como funciona ?
De uma forma muito genérica, a VPN usa um protocolo de criptografia, como o IPSec, para criar uma “caixa fechada” com os dados que vão ser transportados num túnel de um lado para o outro. Só quem tem a chave de desencriptação consegue abrir essa “caixa forte”, ou seja, só o próprio IPSec o consegue fazer.
Topologias de VPN.
Explicando as imagens:
Cada imagem tem uma zona azul, uma amarela e uma verde.
A zona azul diz respeito ás infraestruturas do serviço de internet da casa 1.
Se por exemplo a casa 1 tiver Meo como serviço de internet, as infraestruturas (cabos, satélite, fibra, etc.) que são usadas são controladas pela Meo, logo têm acesso a toda a informação que passa na infraestrutura. O que não quer dizer que consegue saber o que lá passa, pois se a informação for encriptada, apenas sabe que passa lá alguma coisa mas não sabe o que é (caso das VPN).
A zona amarela é igual á zona azul mas para a casa 2.
A zona verde, diz respeito a serviços de internet Internacionais.
No caso da imagem 1, qualquer informação que passe da casa 1 para a casa 2 pode ser vista por terceiros.
Os pontos A e B são os críticos, se quisermos que os nossos ISP (Internet Service Provider), ou seja, quem nos disponibiliza o serviço de internet, não consigam ver o que por ali passa.
Na imagem 2 temos uma VPN entre routers. Nem todos os routers têm possibilidade de fazer VPN, mas os que têm podem ligar-se um ao outro de várias formas.
1 – Uma das casas cria VPN para a outra.
2 – Cada router cria a sua VPN para o outro (Casa 1 cria VPN para casa 2, e casa 2 cria VPN para casa 1)
3 – Cria-se uma única VPN entre os routers, em que ambos são cliente e servidor. Esta situação permite que o primeiro router que verificar quebra na ligação inicie ele a VPN.
Neste caso da imagem 2, os ISP não conseguem "ver" o que passa nos pontos A e B porque a VPN não permite.
Apenas se sabe que passa ali alguma coisa, mas em concreto o quê não sabem.
No ponto C não existe VPN, mas como está dentro de casa não será um problema.
Esta situação permite que o portátil ou qualquer pc que esteja ligado ao router da casa 2, possa analisar e verificar o tráfego que passa entre o receptor e o router.
Com a topologia da imagem 3 a segurança entre os receptores é a máxima possível.
Neste caso, o ponto B está protegido, ou seja nem quem fornece o serviço de internet nem nenhum pc que esteja ligado ás redes da casa 1 ou casa 2 consegue ver a informação que passa entre os recetores da casa 1 e casa 2.
Embora esta situação seja a ideal não é fácil de implementar porque obriga a que os recetores tenham a possibilidade de criar VPN como servidor e cliente.
Tal como na topologia da imagem 2 existem várias formas de criar estas VPN, desde que os recetores o permitam.
Para resolver este problema dos recetores não permitirem criar VPN entre eles, pode-se usar um servidor externo de VPN como mostra a imagem 4.
Nesta solução existe um problema, a casa 2 pode ser espiada no ponto B por quem disponibiliza a internet (ISP Meo, Vodafone, NOS, etc.).
Não sendo a melhor solução, existe segurança por parte da casa 1 (ponto A), porque a comunicação com o servidor de VPN está encriptada.
Se a casa 1 estiver a funcionar como servidor de alguma coisa para a casa 2, o ISP da casa 1 nunca irá perceber o que vai dentro da VPN.
No entanto o ISP da casa 2 (ponto B) pode ver o que se passa e filtrar determinados protocolos, o que a bom rigor "corta" a ligação entre a casa 1 e casa 2.
Como os pontos C e D não têm VPN, permite que os computadores que estejam ligados a cada uma das redes da casa 1 e casa 2, possam analisar o tráfego dos pontos C e D.
Esta solução é a melhor para quem pretende estudar os protocolos que saem dos receptores.
A melhor solução para quem não tem possibilidade de criar VPN entre routers ou receptores é a topologia da imagem 5.
A topologia da imagem 5 "esconde" todo o tráfego entre o receptor da casa 1 e casa 2.
Esta situação é a melhor solução para quem não precisa de analisar protocolos e pretende unicamente sentar-se no sofá e desfrutar da vista.
Nesta caso, os receptores comunicam entre si qualquer coisa que ninguém sabe o que é, a não ser eles próprios.
Se existisse uma casa 3, teria de se ligar ao servidor VPN por VPN e o resultado seria o mesmo da topologia da imagem 5.
Esperamos que tenhamos contribuído para esclarecer este tipo de ameaça que é a segurança contra terceiros, que está muito em voga nos dias que correm.
—————————- Atualizaçao ———————————–
Para quem usa VPS aqui fica mais informação.
É preciso não confundir VPS (Virtual Private Server) com VPN (Virtual Private Network).
Um VPS é um servidor que se aluga numa cloud para não ter de comprar hardware entre outros motivos e nada tem haver com VPN que é uma rede privada virtual.
Posto isto, e seguindo os princípios das imagens atrás, pode-se fazer uma VPN a um servidor VPS que normalmente está num Data Center como é o caso do Data Center da PT na Covilhã.
Como mostra a imagem 6, o recetor da casa 1 liga-se por VPN ao servidor virtual (VPS) e tudo o que passa neste túnel (VPN) como está encriptado não se consegue ver o que é.
Para se fazer esta VPN tem de ser possível no servidor virtual criar a VPN quer esta seja feita em modo cliente ou servidor.
a) O servidor virtual em modo cliente VPN, obriga a que o nosso recetor seja servidor de VPN.
b) O servidor virtual em modo servidor VPN, aceita que o nosso recetor seja cliente, o que acontece na maioria dos casos.
Quando o servidor virtual está em modo cliente, tem de ser fazer uma VPN do servidor para cada um dos recetores.
Esta solução não é a mais indicada para quem tem várias casas de férias e pretende enviar qualquer coisa para todas elas.
A solução da alínea b) facilita para quem tem muitas casas de férias, sendo só condicionante o serviço de VPS que é subscrito, que deve aceitar o número de ligações VPN desejado.
Ou seja, os milionários que têm casas de férias a torto e a direito, vão ter de subscrever um serviço de VPS bom, para não terem de ouvir os amigos que vivem nessas casas a reclamar.
Em qualquer dos casos, os pontos A, B, C e D ficam protegidos de olhares indiscretos.
NOTA: Se a VPN for feita do router para o servidor virtual, as alíneas a) e b) mantêm-se substituindo a palavra recetor por router.