Segurança de Redes e

da Informação
VPN

Desenvolvimento do material
Rodrigo Costa dos Santos
1ª Edição
Copyright © 2022, Afya.
Nenhuma parte deste material poderá ser reproduzida,
transmitida e gravada, por qualquer meio eletrônico,
mecânico, por fotocópia e outros, sem a prévia
autorização, por escrito, da Afya.
Sumário
VPN
Para Início de Conversa... ................................................................................ 3
Objetivos .......................................................................................................... 3
1. VPN .......................................................................................................... 4
2. VPN de site para site .................................................................................... 9
3. VPN de Acesso Remoto ................................................................................ 9
Referências ..................................................................................................... 11
Para Início de Conversa... Objetivos
Iniciamos nossos estudos partindo da ideia que uma VPN (Virtual Private ▪ Conhecer o uso de uma VPN;
Network) é uma rede virtual de segurança que trafega sobre uma rede ▪ Explorar os tipos, protocolos e características da VPN;
aberta, geralmente a internet. A segurança é a primeira e mais importante ▪ Definir a solução de firewall e VPN mais adequada para a organização
função da VPN. Como a internet é uma rede pública e insegura, é
preciso criar alguns mecanismos de segurança para que as informações
trocadas entre os computadores de uma VPN não possam ser lidas por
outras pessoas. A proteção mais utilizada é a criptografia, pois garante
que os dados transmitidos por um dos computadores da rede sejam os
mesmos que as demais máquinas irão receber. Neste capítulo, vamos
conhecer um pouco mais sobre VPNs, seus tipos, protocolos associados
e características, VPN modo transporte e VPN modo túnel. Além de
diferenciar os tipos de VPN site para site e VPN de Acesso Remoto.

Segurança de Redes e da Informação 3

1. VPN
Uma VPN (Virtual Private Network), em português, Rede Privada Virtual,
é uma rede de comunicações privada construída sobre uma rede de
comunicações pública (a internet, por exemplo). O tráfego de dados
em uma VPN é levado pela rede pública, porém é criada uma conexão
virtual segura e criptografada, que pode ser considerada um túnel
entre seu computador e um servidor VPN (LYRA, 2008). Assim, uma
VPN é uma conexão estabelecida sobre uma infraestrutura pública ou
compartilhada, usando tecnologias de tunelamento e criptografia para
manter seguros os dados trafegados.
INTERNET
Hakers Malware
VPN
REDE A
Figura 1: Túnel VPN criado para conectar duas redes.
Fonte: Do autor
Segurança de Redes e da Informação
Vale destacar que uma VPN é considerada uma rede privada, que utiliza
recursos de criptografia para garantir a segurança das informações
trafegadas pelo meio de comunicação pública. A segurança é a principal
função de uma VPN, pois a VPN não permite que os dados sejam
interceptados ou modificados. Outra grande vantagem é a redução de
custos com comunicações corporativas, pois elimina a necessidade
de links dedicados, que costumam custar mais caro. As VPNs se
tornaram componentes importantes dentro do ambiente corporativo,
principalmente por seu baixo custo, pois alia o conceito de uma rede
“virtual” construída sob uma rede ou meio compartilhado ao conceito
de uma rede “privada”, em que a confidencialidade dos dados e o
uso exclusivo são garantidos. Com isso, é possível atingir o objetivo
de reduzir os custos de comunicação, além de manter a segurança
(REZENDE, 2004).
Motivação da VPN
Além da segurança, a principal motivação das redes VPN é a redução de
custo na sua implementação, pois ela utiliza a internet para realizar a
REDE B conexão, que é mais barata do que o link dedicado.
4
Entre os benefícios que vimos, a VPN consegue prover um conjunto de
funções que garante a confidencialidade, a integridade e a autenticidade.
Vamos entender como isso ocorre?
A confidencialidade é garantida, pois os dados que trafegam na VPN
são totalmente privados, de forma que, mesmo trafegando em rede
pública e que sejam capturados, não possam ser entendidos, pois estão
criptografados (NAKAMURA, 2007).
A integridade é garantida, uma vez que, caso os dados sejam capturados,
é necessário garantir que não sejam adulterados e reencaminhados
na VPN. Por meio da validação por hash, fica praticamente impossível
que haja uma tentativa de reenviar o pacote pela VPN, garantindo que
somente dados válidos sejam recebidos pelas aplicações suportadas
pela VPN.
A autenticidade é garantida porque somente usuários e equipamentos
que tenham sido autorizados a fazer parte de uma determinada VPN
podem trocar dados entre si. Um elemento de uma VPN somente
reconhecerá dados originados por um segundo elemento, que
seguramente tenha autorização para fazer parte da VPN.
Segurança de Redes e da Informação
Como surgiu a VPN?
Até o final da década de 90, os computadores em rede foram conectados
por meio de links dedicados caros (como Frame Relay ou X.25), além das
linhas dial-up de telefone. A VPN é uma rede privada que, em vez de
utilizar desses conectores citados, é construída sobre a infraestrutura de
uma rede pública, normalmente a internet.
▪ IPSec
O IPSec (IP Security Protocol) foi desenvolvido pelo IETF (Internet
Engineering Task Force) sendo inicialmente pensado para operar sobre
o protocolo IPv6 mas, rapidamente, pela necessidade do mercado
para uso imediato, foi adaptado para trabalhar com o IPv4.
O IPSec é um conjunto de protocolos que permite a construção de
túneis seguros sobre redes IP. Tudo o que passa por meio da rede
é criptografado por um gateway IPSec e descriptografado pelo
destinatário. O IPSec pode ser usado em qualquer máquina que
disponha de rede IP utilizando basicamente três protocolos: AH
(Authentication Header), ESP (Encapsulating Security Payload) e IKE
(Internet Key Exchange).
A RFC 6071 que descreve o IP Security (IPsec) trata a organização,
o relacionamento dos diversos componentes desse protocolo, e a
5
 organiza modularmente, da mesma forma que apresentamos na A RFC 6071 está estruturada conforme demonstra a Figura 2 e cada item
Figura 2 (IETF, 2018). pode ser representado da seguinte forma:

▪ Arquitetura: Define os conceitos, requisitos, mecanismos e definições

do IPSec;
ARQUITETURA
▪ Encapsulamento seguro de Payload: Define como controlar a
formatação dos pacotes IP, no que se diz respeito à criptografia;
▪ Autenticação de cabeçalho: Define como controlar a formatação dos
Encapsulamento seguro Autenticação de pacotes IP, no que se diz respeito à autenticação;
do Payload (IP-ESP) cabeçalho (IP-AH)
▪ Algoritmos de criptografia: Define os algoritmos de criptografia a
serem utilizados pelo IPSec;
▪ Gerência de chaves: Define os mecanismos de gerência de chaves
utilizados pelo IPSec;
Algoritmos de Gerenciamento Algoritmos de
Criptografia de Chaves Autenticação ▪ Algoritmos de autenticação: Define os algoritmos de autenticação a
serem utilizados pelo IPSec;
▪ Domínio de interpretação: Define os valores pelos quais os
documentos comunicam-se entre si.
Domínios de Interpretação (DOI)

Quer saber mais sobre o IPSEC?

O IPSEC é definido pela RFC 6071. Uma RFC (Request For Comments) é
Figura 2: Estrutura de IPSEC. Fonte: Adaptado de RFC 6071
um documento publicado pelo IETF (Internet Engineering Task Force) que
descreve metodologias e comportamentos aplicáveis ao funcionamento
da Internet e sistemas.

Segurança de Redes e da Informação 6

Adicionalmente, podemos detalhar os três protocolos básicos do IPSEC: ▪ VPN em Modo de Transporte

▪ AH (Authentication Header): Protocolo responsável pela autenticação
dos dados da origem, da integridade não orientada à ligação da
totalidade ou de porções do cabeçalho do pacote IP;
▪ ESP (Encapsulating Security Payload): Protocolo que disponibiliza
encriptação, permitindo a confidencialidade do fluxo de tráfego;
▪ IKE (Internet Key Exchange): Protocolo responsável pela troca de
chaves para o ESP.
A implementação do IPSec pode ser feita tanto em Modo Transporte
como em Modo Túnel, como exploraremos a seguir.
Na VPN em modo de transporte, apenas o segmento da camada de
transporte é autenticada e criptografada. Nesse caso, o cabeçalho
IPSec é inserido logo após do cabeçalho IP. O campo Protocolo do
cabeçalho IP é alterado para incluir um cabeçalho IPSec e segue o
cabeçalho IP normal, conforme demonstrado na figura 4. O cabeçalho
IPSec contém informações de segurança como, principalmente, o
identificador SA, um novo número de sequência e, possivelmente
alguma verificação da carga.

Cabeçalho IP Dados
ESP AH
Encapsulating Security Payload Authentication Header

IPSec Security Policy

SEGURANÇA Criptografado

Cabeçalho IP Cabeçalho Dados

GESTÃO DE CHAVES (Original) IPSEC (Originais)
IKE
The Internet Key Exchange

Figura 4: Estrutura do Pacote IPSEC - Modo Transporte

Figura 3: Três protocolos básicos do IPSEC. Fonte: Adaptado de RFC 6071. Fonte: Do autor

Segurança de Redes e da Informação 7

▪ VPN em Modo Túnel padrão para esse gerenciamento é o IKE (Internet Key Management).
Na VPN em modo túnel, todo o pacote IP, incluindo o cabeçalho, O IKE opera em duas fases, primeiro dois pares estabelecem um
é encapsulado no corpo de um novo pacote IP com um cabeçalho canal seguro, em seguida os dois pares negociam os SA (transação de
IP completamente novo. Todo o pacote IP é autenticado ou segurança) de propósito geral.
criptografado, como você pode observar na Figura 5. Esse modo é útil ▪ Tunelamento
quando um conjunto de conexões TCP é agregado e tratado como
As redes virtuais privadas baseiam-se na tecnologia de tunelamento
um único fluxo codificado, pois isso evita que terceiros descubram
cuja existência é anterior às VPNs. Ele pode ser definido como
quem está enviando, quem está recebendo e a quantidade de pacotes
processo de encapsular um protocolo dentro de outro (CHIN, 2018). O
circulados pela rede.
uso do tunelamento nas VPNs incorpora um novo componente a esta
técnica: antes de encapsular o pacote que será transportado, este é
Cabeçalho IP Dados criptografado de forma a ficar ilegível caso seja interceptado durante
o seu transporte.
O pacote criptografado e encapsulado viaja através da internet até
CRIPTOGRAFADO alcançar seu destino, onde é desencapsulado e decriptografado,
retornando ao seu formato original. Uma característica importante é
Cabeçalho IP Cabeçalho Cabeçalho IP Dados
(Novo) IPSEC (Original) (Originais) que pacotes de um determinado protocolo podem ser encapsulados
em pacotes de protocolos diferentes. TCP/IP (CHIN, 2018).

Figura 5: Estrutura de Pacote IPSEC - Modo Túnel. Fonte: Do autor

▪ Gerenciamento de Chaves
O Gerenciamento de chaves pelo IPSec pode ser manual ou
automático, dependendo do número de sites conectados. O protocolo

Segurança de Redes e da Informação 8

2. VPN de site para site Uma VPN site a site pode se conectar com outras empresas da mesma
forma, e isso a classifica como uma VPN baseada em extranet. Em
Uma VPN site para site também é conhecida como VPN Roteador termos simples, as VPNs site a site constroem uma ponte virtual que une
a Roteador. Ela é usada principalmente em operações de empresas redes em vários locais, para conectá-los com a internet e manter uma
geograficamente dispersas. Muitas empresas têm escritórios localizados comunicação segura e privada entre essas redes.
em várias cidades ou até mesmo em outros países. Uma VPN site a site é
usada, então, para conectar a rede do principal local (matriz) do escritório
com vários escritórios (filiais), conforme demonstrado na Figura 6. Neste 3. VPN de Acesso Remoto
caso, também são conhecidas como VPN baseada em intranet.
Uma VPN de acesso remoto conecta uma empresa aos seus
colaboradores, funcionários ou terceirizados que estejam distantes
fisicamente da rede. Neste caso, torna-se necessário um software cliente
Network access server (NAS)
de acesso remoto. Para se estabelecer uma VPN de acesso remoto, são
necessários dois componentes básicos: um do lado da rede e outro do
Conexão site para site lado cliente. O primeiro componente do lado da rede é o NAS (Network
access server), que é um servidor de autenticação para a rede remota,
Escritório Central conforme demonstrado na Figura 7. O segundo componente do lado
rnet
(Matriz)
Filiais
do cliente é um software para o cliente, instalado para acesso à rede
Inte e para fazer a conexão com o NAS. Por padrão, atualmente, a maioria
dos sistemas operacionais já conta com a possibilidade de configurar um
acesso à rede VPN.
Filiais
Filiais

Figura 6: VPN site para site. Fonte: Do autor

Segurança de Redes e da Informação 9

 empresa contratar uma fábrica de softwares, nesse caso, os terceiros
programadores da empresa contratada devem se conectar aos seus
Network access server (NAS) servidores através de uma VPN de acesso remoto.

Conexão segura VPN

Um ponto que deve ser considerado é que a VPN exige uma autenticação
que garanta a identidade do usuário remoto, além de permitir um
Escritório Central gerenciamento centralizado desta rede, já que, ao mesmo tempo, podese
(Matriz)
ter muitos usuários remotos logados, o que torna necessário que todas

et
rn
Software Cliente
as informações sobre os usuários, para efeitos de autenticação, por

te
In exemplo, estejam centralizadas num único lugar.
o
rr r
ot
ga ue
em
lu alq
Qu

Figura 7: VPN de acesso remoto. Fonte: Elaborado pelo autor
Firewalls UTM
As Redes Virtuais Privadas (VPNs) “mascaram” a origem dos seus dados,
fazendo com que pareça que eles estão vindo de um outro local. As VPNs
são capazes de redirecionar todo o tráfego de um dispositivo, e não
apenas de um ou outro aplicativo.

VPN para terceiros
Repare que VPN de acesso remoto é uma solução que garante que
qualquer tipo de colaborador ou parte interessada acesse seus
servidores ou serviços de modo seguro. Um bom exemplo seria uma
Existem sites em outros países, por exemplo nos EUA, que bloqueiam
conteúdos para pessoas que estejam fora do país. Um exemplo é uma
gravadora e detentora dos direitos autorais de conteúdos multimídia,
visto que as empresas têm planos para lançamento e divulgação de
novos materiais com datas diferentes em cada país.

Segurança de Redes e da Informação 10

 Referências
Os sites dessas empresas possuem mecanismos para detectar o local
de onde o usuário está acessando a internet. De um modo geral, eles
conseguem detectar o IP da máquina em uso e, com isso, localizar,
CHIN, Liou Kuo. Rede Privada Virtual – VPN. Rede Nacional de Ensino e
geograficamente, o país em que o internauta reside.
Pesquisa (RNP). Disponível em: https://memoria.rnp.br/newsgen/9811/
Sendo assim, os internautas que desejam romper esse controle utilizam
vpn.html. Acesso em: 27 mar. 2018.
VPNs pagas, de modo que os computadores conectados a um servidor
recebam um IP da região onde o servidor está localizado. IETF. RFC 6071: IP Security (IPsec) and Internet Key Exchange (IKE)
Document Roadmap. Disponível em: https://tools.ietf.org/html/rfc6071.
Acesso em: 27 mar. 2018.
Neste capítulo de aprendizagem, foram apresentados os conceitos
sobre VPN, seus tipos, protocolos associados e características. Também LYRA, Maurício R. Segurança e Auditoria em Sistema de Informação. Rio
estudamos os tipos de VPN modo transporte e VPN modo túnel. Além de Janeiro: Ciência Moderna, 2008.
de diferenciar os tipos de VPN site para site e VPN de Acesso Remoto, a
NAKAMURA, Emilio T.; Geus, Paulo L. Segurança de Redes em Ambientes
primeira para ligar dois sites, por exemplo, a matriz de uma empresa e
Cooperativos. São Paulo: Novatec, 2007.
suas filiais. A segunda, para acesso de um host com um site, por exemplo,
um funcionário que esteja em viagem e queira se conectar com a matriz REZENDE, Edmar Roberto Santana. Segurança no Acesso Remoto VPN. In:
da sua empresa para troca de informações de forma segura. Vimos ainda Instituto de Computação Universidade Estadual de Campinas, 2004.
o protocolo IPSEC e o conteúdo principal do RFC 6071, que também
detalha os protocolos AH (Authentication Header), ESP (Encapsulating
Security Payload) e IKE (Internet Key Exchange) que fazem parte
do IPSEC.

Segurança de Redes e da Informação 11