Os protocolos VPN mais seguros

Uma das partes mais importantes de qualquer serviço VPN é o protocolo VPN. Isso, no entanto, é inadequado - existem muitos protocolos, com aplicativos completamente diferentes, que tornam possível o funcionamento das VPNs. Quando dizemos “Protocolo VPN,” nós’estamos realmente falando sobre o protocolo de tunelamento (às vezes também chamado de “protocolo de segurança”).

Protocolos de encapsulamento são usados ​​para estabelecer um “túnel” entre redes, permitindo a comunicação privada através de uma rede pública. As diferenças entre os vários protocolos de encapsulamento usados ​​nos serviços VPN determinam o nível de segurança, os requisitos de energia computacional, a velocidade e as características mais sutis - que tipos de dispositivos eles’é melhor para ou quais CPUs podem lidar com eles melhor.

Para alguém novo nos tópicos de TI e VPNs, os protocolos de encapsulamento podem ser completamente incompreensíveis. Então, decidimos explicá-los da melhor maneira possível.

Protocolos seguros

OpenVPN

  • Prevalência: o protocolo mais comum em VPNs de consumidor
  • Segurança: Alto

De autoria de James Yonan e lançado em 2001, o OpenVPN é um protocolo de encapsulamento de VPN de código aberto usado para fornecer acesso ponto a ponto ou site a site seguro. Devido à sua natureza de segurança e código aberto, o OpenVPN se tornou o principal protocolo usado em soluções comerciais de VPN.

O OpenVPN suporta uma variedade de sistemas operacionais, incluindo, entre outros, Windows, macOS, Android e iOS.

Como o OpenVPN funciona?

O protocolo usa a biblioteca OpenSSL para criptografia e autenticação de dados, o que significa que ele tem acesso a todas as cifras da biblioteca OpenSSL. Os mais usados ​​nas VPNs são AES, Blowfish e ChaCha20.

O OpenVPN usa UDP e TCP como protocolos de rede comuns para criar um túnel de transporte. Ele permite que os usuários obtenham firewalls anteriores e NAT (Network Address Translation).

Plug-ins de terceiros podem ser usados ​​para habilitar extensões estabelecidas em pontos de entrada definidos. Isso é necessário para habilitar a autenticação via nomes de usuário / senhas no OpenSSL. Também é importante estender o aplicativo com os firewalls da Internet em constante mudança.

Como usar o OpenVPN

A maioria das pessoas não usa o OpenVPN diretamente. Atualmente, esse protocolo é parte integrante da maioria dos principais serviços VPN, como ExpressVPN, NordVPN, Acesso Privado à Internet, etc.’é uma coisa boa - muitos desses provedores de VPN combinam os recursos de encapsulamento seguro do OpenVPN e fortes recursos adicionais para fornecer um produto versátil.

Com isso dito, há situações em que o uso do aplicativo independente faz mais sentido. Nesses casos, como usar o OpenVPN será diferente com base na sua GUI. Para mais informações, nós o encaminharemos novamente ao OpenVPN’s Página Como.

Prós

  • Software livre. Isso significa que possui um código fonte aberto ao público e modificável. Essa abertura e flexibilidade garante segurança
  • Criptografia de primeira linha e algoritmos criptográficos
  • Oferece muitas opções de configuração
  • Disponível em várias plataformas

Contras

  • Não é o mais fácil de configurar ou auditar. É necessário um profundo conhecimento da tecnologia para colher seus benefícios adicionais, como plug-ins ou scripts de terceiros para autenticação de nome de usuário e senha por pares
  • Poderia ser mais estável ao trocar de rede
  • Fácil de identificar usando o Deep Packet Inspection (DPI), portanto,’Este não é o melhor protocolo para países censurados, como a China

IKEv2 / IPsec

  • Prevalência: comum, especialmente em aplicativos móveis VPN
  • Segurança: Alto

O Internet Key Exchange Versão 2 (IKEv2) é um protocolo desenvolvido pela Microsoft e Cisco (principalmente) para usuários móveis. Foi introduzido como uma versão atualizada do IKEv1 em 2005. O protocolo IKEv2 MOBIKE (Mobility and Multihoming) permite ao cliente manter uma conexão VPN apesar dos comutadores de rede, como ao sair de uma área wifi para uma área de dados móveis.

O IKEv2 usa o conjunto de protocolos IPsec e funciona na maioria das plataformas, incluindo algumas menos comuns. Ele também possui suporte nativo no iOS, tornando o protocolo particularmente bom para a Apple’SO móvel.

Como o IKEv2 funciona?

O IKEv2 não é um protocolo de encapsulamento em si. Sempre que você ler este título em associação com a tecnologia VPN, deve assumir que ele realmente significa IKEv2 / IPsec. Em outras palavras, os dois protocolos são usados ​​em combinação, ambos executando funções diferentes. O IKEv2 usa o UDP para transporte, ou seja, as portas 500 e 4500 do UDP.

Assim como o OpenVPN, o IKEv2 suporta uma variedade de cifras de criptografia, sendo as mais comuns, novamente, AES, Blowfish e ChaCha20..

O IKEv2 é considerado um dos protocolos de tunelamento mais rápidos, principalmente porque não’Não coloque muita carga na CPU. Talvez a crítica mais importante que possamos apresentar ao IKEv2 seja que’não é de código aberto e, portanto, não é auditável independentemente.

Como usar o IKEv2

Vocês’provavelmente usaremos o IKEv2 como parte de um aplicativo VPN. Como mencionado anteriormente, ele possui benefícios como parte de um aplicativo VPN móvel - que’está onde você’provavelmente o encontrará em vez do OpenVPN.

Também é possível usar o protocolo de forma independente e muitos serviços VPN contemporâneos incluirão instruções sobre como fazer exatamente isso. O uso do IKEv2 é particularmente importante no iOS, onde o protocolo possui suporte nativo. Essa prática é vista no topo do mercado de VPN - serviços como NordVPN ou VyprVPN.

Prós

  • Muito seguro e compatível com muitas cifras
  • Um dos protocolos mais rápidos
  • Ótimo para dispositivos móveis devido à capacidade de manter a conexão apesar dos comutadores de rede
  • Pouco uso da CPU

Contras

  • Não é software de código aberto - não pode ser auditado independentemente.

WireGuard

  • Prevalência: ainda em desenvolvimento, mas cada vez mais sendo usado
  • Segurança: Alto

O WireGuard está na vanguarda da tecnologia de encapsulamento VPN. O projeto foi iniciado em 2015 por Jason A. Donenfeld com o objetivo de criar um protocolo VPN facilmente implementável, auditável, seguro e rápido para o século XXI. Em vez de pegar algum tipo de estrutura e atualizá-la, o WireGuard foi construído a partir do zero. Isso permitiu à equipe criar algo não atormentado por muitos dos preconceitos antigos por trás dos protocolos de encapsulamento mais populares em uso atualmente.

O resultado é a adoção generalizada ou a adoção planejada na comunidade VPN. O software já suporta a maioria das principais plataformas e sistemas operacionais.

Como o WireGuard funciona?

Ao contrário dos protocolos mencionados anteriormente, o WireGuard não’t oferece uma opção de cifras de criptografia. Também não’t oferece a cifra mais usada atualmente - AES. Em vez disso, a criptografia de dados é tratada pela cifra ChaCha20 mais moderna, que é uma codificação de fluxo em vez de uma codificação de bloco. Portanto, é mais fácil em dispositivos sem CPUs com suporte AES nativo.

Seus desenvolvedores chamam o WireGuard de “protocolo sem conexão,” porque o único estado que ele mantém é um simples aperto de mão, renegociado a cada poucos minutos. Dessa forma, o protocolo é capaz de garantir sigilo direto perfeito.

Da mesma forma que o IKEv2, o WireGuard deve ser particularmente resiliente às alterações na rede, tornando-o perfeito para dispositivos móveis.

Como usar o WireGuard

Você pode baixar o WireGuard no site, onde também encontrará instruções sobre como instalá-lo / utilizá-lo. No entanto, também está se tornando cada vez mais disponível como parte dos serviços de VPN do consumidor. Um exemplo notável é o Mullvad VPN, que foi um dos primeiros a adotar o WireGuard.

Prós

  • Muito seguro
  • Suporta a maioria das plataformas convencionais
  • Provavelmente o protocolo de tunelamento mais rápido
  • Fácil de implementar
  • O código é fácil de auditar
  • Código aberto

Contras

  • Ainda em desenvolvimento
  • pode‘t escolha a cifra de criptografia
  • Doesn‘t suporta TCP (apenas UDP)

SSTP

  • Prevalência: pouco comum
  • Segurança: alto (com algumas preocupações)

O Secure Socket Tunneling Protocol foi projetado (e ainda pertence) à Microsoft e foi introduzido pela primeira vez com o Windows Server 2008. Como tal, ele está disponível apenas no Windows (com algum suporte em outros sistemas operacionais) e tem uma potencial preocupação de segurança - que a Microsoft pode ter um backdoor instalado para decifrar o tráfego SSTP.

Apesar das preocupações com a Microsoft‘propriedade do SSTP (e diferentemente de seu irmão mais novo - PPTP), é considerado um protocolo seguro.

Como o SSTP funciona?

No SSTP, o tráfego é roteado pela porta TCP 443 através de um canal SSL / TLS. O tráfego é, portanto, capaz de ignorar servidores proxy e até firewalls. Isso torna o SSTP um protocolo difícil de bloquear e uma boa escolha em países que dependem do DPI para bloquear o tráfego VPN (como a China).

O SSTP funciona de maneira semelhante ao PPTP: agrupa pacotes de dados em uma capa protetora. Ao usar o Secure Socket Tunneling Protocol, os usuários precisam se conectar por meio de uma porta de controle de transmissão (TCP) padrão, que permite ao servidor de destino iniciar procedimentos de autenticação. Isso envolve o envio de duas chaves de criptografia para o usuário’s, que formam a base do túnel SSTP. Quando isso’Feito isso, os pacotes podem ser enviados com níveis de segurança relativamente altos diretamente ao servidor..

Como no OpenVPN, o SSTP usa o OpenSSL, o que significa que as mesmas cifras de criptografia de dados se aplicam: AES, Blowfish, ChaCha20 etc. Isso torna o protocolo criptograficamente seguro.

Como usar o SSTP

O protocolo é suportado nativamente pelo Windows, o que significa que você pode usá-lo neste sistema operacional sem nenhum software adicional de terceiros. Em outros sistemas operacionais, você’precisará de algum tipo de aplicativo - por exemplo,’s um cliente SSTP para macOS chamado iSSTP.

Em termos de uso como parte de um cliente VPN convencional, você ainda verá o protocolo disponível em alguns pacotes de VPN (por exemplo, Astrill VPN), mas não há’muitos.

Prós

  • Segurança criptográfica sólida
  • Pode passar por firewalls
  • Pode funcionar como um protocolo anti-DPI

Contras

  • Propriedade da Microsoft (impossível auditar)
  • Suporte limitado em sistemas operacionais fora do Windows

L2TP / IPsec

  • Prevalência: comum, mas cada vez mais
  • Segurança: alto (com algumas preocupações)

Uma combinação de dois protocolos - o IPsec e o protocolo de encapsulamento da camada 2 (L2TP) mencionados acima. L2TP é originário da Cisco‘s (agora desatualizado) L2F e Microsoft‘s (igualmente desatualizado) PPTP. Embora a popularidade dessa combinação de protocolos esteja diminuindo, ela ainda está sendo usada por muitos serviços VPN tradicionais, principalmente no iOS, onde os desenvolvedores podem‘t incluir o OpenVPN como parte de seus aplicativos.

L2TP / IPsec é considerado seguro, no entanto, os vazamentos de Snowden revelaram que a NSA pode ter encontrado uma maneira de comprometer o protocolo.

Como o L2TP / IPsec funciona?

A premissa básica do L2TP / IPsec é que o L2TP é usado para estabelecer um túnel e o IPsec é responsável pela criptografia / autenticação. O L2TP não fornece nenhuma confidencialidade por si só, e é por isso que é usado principalmente em conjunto com um protocolo como IPsec. As cifras de criptografia de dados no IPsec incluem o seguro AES-CBC e AES-GCM, assim como o TripleDES-CBC desatualizado.

O L2TP / IPsec possui suporte nativo em muitos sistemas operacionais, o que significa que os usuários não‘não precisa de software de terceiros para usá-lo. Tudo o que é necessário são arquivos de configuração, que você pode obter do seu provedor de serviços VPN.

As conexões em L2TP / IPsec são UDP, em vez de TCP. Em particular, ele usa a porta 500 UDP para a troca inicial de chaves, que às vezes pode causar problemas com firewalls - tenha isso em mente se sua conexão simplesmente não‘não passar.

Como usar L2TP / IPsec

Embora você possa usar o protocolo nativamente na maioria dos sistemas operacionais, as pessoas comuns provavelmente usarão L2TP / IPsec como parte de algum aplicativo VPN. Muitas das principais VPNs do mercado ainda oferecem o protocolo e algumas dependem dele para fazer o trabalho pesado em seus aplicativos para iOS - o CyberGhost é um exemplo.

Prós

  • Criptografia segura
  • Suporte nativo na maioria dos sistemas operacionais
  • Bem rápido

Contras

  • Alegadamente comprometido pela NSA
  • Sem suporte TCP
  • Não é o melhor para dispositivos móveis (falta confiabilidade nos comutadores de rede)

Protocolos obsoletos

PPTP

  • Prevalência: pouco comum
  • Segurança: baixo

O protocolo de encapsulamento ponto a ponto foi desenvolvido pela Microsoft e implementado pela primeira vez com o Windows 95. É suportado pela maioria dos sistemas operacionais em geral, principalmente todas as versões do Windows. Embora o PPTP não seja muito confiável, é bastante rápido. Isso tem muito a ver com sua criptografia, que é muito fraca em relação às capacidades dos computadores contemporâneos.

O PPTP ainda é visto nos principais aplicativos VPN, mas sua prevalência está diminuindo. E por um bom motivo - não‘não forneça muita segurança.

Como o PPTP funciona?

Como seu irmão SSTP mais avançado, o PPTP é roteado por TCP (neste caso, porta 1723). O túnel é estabelecido usando o GRE (General Routing Encapsulation). Nas duas extremidades do túnel, o PPTP também autentica os pacotes de dados que estão sendo transferidos, iniciando e concluindo o processo.

Desde o início, o uso de um servidor PPTP tem sido uma ideia arriscada para usuários da Web preocupados com a segurança. Em 1998 (três anos após o lançamento do protocolo), os hackers publicaram maneiras de extrair hashes de senha de usuários que empregam o protocolo de autenticação MS-CHAPv1, que faz parte do pacote PPTP.

Desde então, o PPTP’A lista de problemas de segurança não corrigíveis cresceu para incluir vulnerabilidades à criptoanálise, ataques de força bruta e ataques de dicionário. Demonstrou-se que vários componentes do PPTP são inerentemente suscetíveis a estes: vulnerabilidades afetam o MS-CHAPv1, o MS-CHAPv2 e o MPPE.

Portanto, apesar de sua utilidade como um protocolo rápido que requer pouca potência computacional, o PPTP não deve ser usado onde a segurança é necessária.

Como usar o PPTP

Se você é usuário do Windows, macOS, Linux, iOS ou Android, pode’Você poderá usar o PPTP sem nenhum software adicional. É um dos protocolos mais diretos para configurar seu próprio servidor VPN. No entanto, a maioria dos usuários o encontrará integrado em seus aplicativos VPN para consumidores. O PPTP ainda faz parte de muitos serviços VPN, apesar da falta de segurança.

Prós

  • Muito rápido
  • Requer pouco poder computacional
  • Suporte nativo pelos principais sistemas operacionais

Contras

  • Desatualizado e inseguro

UDP vs TCP

Protocolos de encapsulamento como o OpenVPN podem ser roteados por TCP (Transmission Control Protocol) ou UDP (User Datagram Protocol). E daí‘é a diferença entre os dois e quando um deve ser favorecido em relação ao outro?

O TCP e o UDP são usados ​​para o mesmo objetivo geral - para enviar dados de um ponto para outro. Ambos são construídos sobre o protocolo da Internet (portanto, TCP / IP e UDP / IP) e ambos são formas de enviar pacotes de dados pela Internet. Existem mais protocolos que servem a mesma função e esses dois são simplesmente os mais usados.

O TCP é um protocolo baseado em conexão e seus principais benefícios são a verificação de erros e a confiabilidade. Como nas trocas TCP são controladas - os pacotes são numerados e as discrepâncias são compensadas - os dados não podem ser perdidos ou corrompidos no caminho de um lugar para outro. Naturalmente, esse processo diminui a velocidade das conexões simplesmente porque requer comunicação de vaivém.

Essas características do TCP são úteis para transferências de arquivos e também para navegar na web.

Enquanto isso, o UDP é o chamado “sem conexão“ protocolo. Lá’s nenhuma verificação de erro como visto no TCP - os pacotes são enviados e chegam ou são perdidos. Como seria de esperar, isso torna o UDP um protocolo mais rápido, mas também menos confiável e propenso a corrupção de arquivos em trânsito.

A rapidez e a natureza unidirecional do UDP são úteis para situações em que a recuperação de pacotes perdidos não é’útil. Isso inclui jogos, streaming ou VoIP.

Quando se trata de usar TCP ou UDP com o OpenVPN, a escolha também deve ser informada pelos aplicativos para os quais você pretende usá-lo. O nível de segurança não’Não mude de maneira significativa.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me