Iniciante Redes Atualizado em 25 de jun. de 2025

VPN e IPSec — túneis, autenticação e casos de uso

Uma VPN (Virtual Private Network) cria um túnel criptografado entre dois pontos sobre uma rede pública, protegendo o tráfego de interceptação e modificação. É uma ferramenta essencial para acesso remoto seguro e conexão entre filiais.

O problema que a VPN resolve

Sem VPN:
  Laptop remoto → Internet (tráfego exposto) → Servidor corporativo

Com VPN:
  Laptop remoto → [Túnel criptografado] → Servidor VPN → Rede corporativa
  Tráfego visível para terceiros: apenas o IP do servidor VPN + dados cifrados

Tipos de VPN

Site-to-Site: conecta duas redes inteiras (ex: matriz ↔ filial). Sempre ativa.

Rede 10.0.1.0/24 ←→ [IPSec túnel] ←→ Rede 10.0.2.0/24

Remote Access: conecta um dispositivo individual à rede corporativa. Ativa por demanda.

Laptop do funcionário ←→ [OpenVPN/WireGuard] ←→ Gateway VPN corporativo

IPSec — protocolo de tunelamento

IPSec opera na camada 3 e usa dois modos:

Modo Transporte: criptografa apenas o payload IP (cabeçalho original preservado)
Modo Túnel:      criptografa o pacote IP inteiro + novo cabeçalho IP externo
                 → usado em VPNs site-to-site

Componentes do IPSec

AH  (Authentication Header)    → integridade + autenticação (sem criptografia)
ESP (Encapsulating Security Payload) → criptografia + integridade
IKE (Internet Key Exchange)    → negociação de chaves e parâmetros (ISAKMP/IKEv2)

Fases do IPSec IKEv2

Fase 1 — IKE SA:
  Negocia algoritmos (AES-256, SHA-256, DH grupo 14+)
  Autentica os peers (certificado X.509 ou PSK)
  Estabelece canal seguro para fase 2

Fase 2 — Child SA (IPSec SA):
  Negocia parâmetros do túnel de dados
  Chaves derivadas via PFS (Perfect Forward Secrecy)
  Tráfego real começa a fluir

OpenVPN vs WireGuard vs IPSec

Protocolo   | Camada | Velocidade | Complexidade | Uso típico
------------|--------|------------|--------------|------------
IPSec/IKEv2 | 3      | Alta       | Alta         | Site-to-site, móvel
OpenVPN     | 4      | Média      | Média        | Acesso remoto
WireGuard   | 3      | Muito alta | Baixa        | Moderno, mobile

Configuração básica WireGuard (servidor)

# /etc/wireguard/wg0.conf — ambiente de lab
[Interface]
Address = 10.8.0.1/24
ListenPort = 51820
PrivateKey = <chave-privada-do-servidor>

[Peer]
PublicKey = <chave-publica-do-cliente>
AllowedIPs = 10.8.0.2/32

# Ativar interface
wg-quick up wg0

# Verificar status
wg show

Riscos e boas práticas

Riscos:

PSK (Pre-Shared Key) fraco → brute force offline
VPN split tunnel mal configurado → tráfego sensível não passa pelo túnel
Algoritmos fracos (DES, MD5, DH grupo 1/2) → vulnerável a quebra

Boas práticas:

✓ Usar certificados X.509 em vez de PSK
✓ Algoritmos modernos: AES-256-GCM, SHA-256+, DH grupo 14+
✓ Habilitar PFS (Perfect Forward Secrecy)
✓ Autenticação multifator (MFA) no acesso VPN
✓ Monitorar logs de conexão (horário, IP, duração)
✓ Revogar certificados de funcionários desligados imediatamente

Split tunnel vs Full tunnel

Full tunnel:   TODO o tráfego passa pela VPN → controle total, mas sobrecarrega gateway
Split tunnel:  Só tráfego corporativo vai pela VPN → mais eficiente, mas tráfego pessoal não é protegido

Para ambientes corporativos sensíveis, prefira full tunnel com inspeção no gateway.