O que precisa de saber sobre os protocolos VPN? OpenVPN, WireGuard & Co.

VPN protocol Artigos

Está interessado em soluções VPN, mas não sabe muito sobre termos como IPSec, OpenVPN, e WireGuard? VPNheroes explica o que está por detrás disto!

Muitos fornecedores comerciais de serviços VPN suportam geralmente vários protocolos VPN para assegurar a comunicação entre o computador doméstico e o servidor de Internet. Os protocolos VPN estão no centro de uma rede privada virtual (VPN) e permitem ligações à Internet seguras e anónimas.

A multiplicidade de protocolos e normas utilizadas não facilita o acompanhamento. Os VPNheroes ajudam e apresentam os protocolos VPN mais populares.

Os melhores serviços VPN

NordVPN

ExpressVPN

Surfshark

Classificação VPN: 4,8

Classificação VPN: 4,5

Classificação VPN: 4,5

  • $3.99 / mês

  • Segurança Premium

  • Velocidade 6730+ Mbps

  • Servidores VPN 5400+

  •  WireGuard

  • Contagem de dispositivos: 6

  • Desconto: 51%

  • $6.76 / mês

  • Segurança Premium

  • Velocidade 2220+ Mbps

  • Servidores VPN 3000+

  • OpenVPN

  • Contagem de dispositivos: 5

  • Desconto: 49%

  • $2.49 / mês

  • Alta Segurança

  • Velocidade 58.46 Mbps

  • Servidores VPN 3200+

  • WireGuard

  • Contagem de dispositivos: Ilimitado

  • Desconto: 82%

O que é um protocolo VPN?

Para a comunicação entre dois computadores ou entre cliente e servidor, é necessário acordar uma linguagem comum. Comandos e processos formam conjuntos diferentes de regras, que são combinados num protocolo. O protocolo forma assim a base para uma conversa ordeira entre o seu PC de casa e, por exemplo, um servidor de Internet.

A característica especial dos protocolos VPN em comparação com outros conjuntos de regras é que a “linguagem VPN” fornece ferramentas adicionais para encriptar dados usando métodos criptográficos. Tal como num túnel, isto torna a comunicação mútua dos participantes invisível a estranhos.

OpenVPN: A norma da indústria

OpenVPN é software livre utilizado pela maioria dos fornecedores de VPN e é um dos protocolos VPN mais populares. Estabeleceu-se como o padrão de facto e é adequado para a maioria dos casos de utilização.

Como projecto de código aberto, também beneficia da perícia de uma grande e, sobretudo, livre comunidade de programadores, que verifica continuamente o código do programa muito extenso em busca de lacunas e melhora o desempenho. Além disso, o processo é transparente e permite que as linhas de código sejam verificadas por terceiros.

OpenVPN no iOS

OpenVPN ios

OpenVPN on Windows

OpenVPN Windows

Para construir uma rede privada virtual, OpenVPN utiliza a biblioteca OpenSSL mas também suporta ligações com TLS. OpenVPN funciona com vários algoritmos de encriptação, incluindo 3DES, AES, RC5 e Blowfish.

Implementado correctamente, OpenVPN fornece um nível muito elevado de segurança e estabilidade em diferentes redes, tais como (W)LAN e celular. Para o transporte de dados, OpenVPN utiliza TCP ou UDP, o que assegura uma transmissão de dados flexível. Além disso, o protocolo VPN funciona muito bem com firewalls.

Senhas ou certificados são usados como métodos de autenticação. Além disso, o OpenVPN está disponível em muitas plataformas e é suportado por todos os sistemas operacionais comuns, incluindo Windows, macOS, Linux, Unix, Android e iOS. Mas antes de poder ser utilizado num sistema, é normalmente necessário software adicional e outras configurações.

Prós

  • Very secure
  • Open source
  • Available on many platforms and operating systems
  • Stable connections
  • Firewall compatible

Cons

  • High effort for troubleshooting
  • Not usable “out of the box

 

IKEv2/IPSec: Stable on the move

The first version of Internet Key Exchange (IKEv1) was co-developed by telecommunications company Cisco Systems, while version 2 (IKEv2) was created in cooperation with Microsoft. Interesting detail: IKEv1 is based in part on the Internet Security Association and Key Management Protocol (ISAKMP), which the U.S. National Security Agency (NSA) also helped develop.

img

IKEv2 is part of the IPSec protocol collection and ensures the secure exchange of keys used for IPSec. IPSec (Internet Protocol Security) supports a number of different encryption algorithms, including 3DES, AES, Blowfish, and Camellia.

The system configuration of IKEv2/IPSec is complex on the server side and uses a fixed UDP port for communication, which quite often leads to conflicts with firewalls. IPSec is part of the IPv4 and IPv6 Internet protocol and is generally considered a secure and very fast VPN protocol.

However, there have been allegations in the past that the NSA cracked the underlying encryption algorithm as part of the so-called Bullrun program.

This was never confirmed by experts, however, and the underlying vulnerability has since been fixed. IKEv2 is very well suited for mobile connections, as it automatically reconnects if you temporarily lose your Internet connection, for example when entering an elevator or traveling through a tunnel.

Pros

  • Muito rápido
  • Disponível em muitas plataformas
  • Seguro
  • Ligações estáveis, fortes na utilização móvel

Contras

  • Configuração complexa no lado do servidor
  • Porta UDP fixa leva a conflitos de firewall

WireGuard: O farol da esperança

Entre os actuais protocolos VPN, WireGuard é o mais jovem e também o mais promissor representante na ronda, mas ainda se encontra numa fase inicial de acordo com o programador. O projecto de código aberto afirma fornecer um protocolo VPN particularmente simples, seguro e, acima de tudo, rápido.

A característica especial do WireGuard é que o protocolo faz parte do kernel do Linux e tem um tamanho de código muito pequeno. Os programadores esperam que isto ofereça vantagens significativas em termos de manutenção e resolução de problemas do código do programa, bem como velocidades de processamento significativamente mais elevadas. Além disso, a integração do Linux deverá reduzir notavelmente o esforço de computação e, consequentemente, a necessidade de energia, o que é particularmente interessante para os dispositivos móveis.

O WireGuard utiliza um algoritmo chamado ChaCha20 para a encriptação de dados. Embora o protocolo VPN tenha sido originalmente desenvolvido para Linux, está também disponível para outras plataformas, incluindo Windows, macOS, Android e iOS. Apesar do seu estado de desenvolvimento, WireGuard já é utilizado por alguns fornecedores de VPN comerciais, incluindo Hide.me, Mullvad VPN, NordVPN, e Surfshark.

NordVPN contorna o problema dos endereços IP estáticos na sua solução WireGuard com um servidor NAT adicional que distribui endereços IP dinâmicos.

Neste momento, o WireGuard é ainda um local de construção que está a ser trabalhado de forma diligente. No entanto, já se pode ter uma boa ideia de como será o veículo criptográfico no final.

Um problema neste momento é o anonimato comparativamente pior, uma vez que o WireGuard trabalha com endereços IP fixos. O futuro mostrará em que direcção se desenvolverá o recém-chegado e como funcionará na prática – e se o elogio antecipado se justifica em última análise.

Prós

  • Muito estável, mesmo em caso de mudança de redes
  • Extremamente rápido
  • Código aberto
  • Parte do núcleo do Linux
  • Disponível para muitas plataformas

Contras

  • Fase inicial de desenvolvimento
  • O anonimato só é garantido com soluções adicionais

SoftEther VPN: Tese de mestrado do Japão

SoftEther foi desenvolvido na Universidade Japonesa de Tsukuba como parte de uma tese de mestrado do estudante Daiyuu Nobori e está disponível para download gratuito desde 2013. O protocolo VPN supera as firewalls e é considerado imune à chamada inspecção profunda de pacotes (DPI), uma técnica também utilizada por regimes autoritários para rastrear o tráfego individual de dados.

Os pacotes de dados que passam por um túnel VPN ostentam geralmente o carimbo VPN em letras grandes. Embora os dados no pacote permaneçam protegidos, as autoridades governamentais e os fornecedores de Internet podem facilmente pescar e bloquear estes pacotes VPN. Esta é uma prática comum na China, Irão e Rússia, por exemplo, onde o fluxo de dados dos serviços VPN é em grande parte bloqueado.

O protocolo faz parte do software SoftEther VPN e, tal como o OpenVPN e o WireGuard, é publicado sob uma licença de código aberto. O pacote de software pode tratar vários protocolos VPN e corre em várias plataformas tais como Windows, macOS, Linux, FreeBSD e Solaris.

É instalado como software cliente e servidor separado e é também adequado para utilizadores que queiram operar a sua própria VPN. A solução japonesa é um dos representantes menos conhecidos entre os protocolos VPN. Actualmente, a Hide.me é o único fornecedor de VPN comercial que utiliza SoftEther.

Prós

  • Código Aberto
  • Ultrapassa as firewalls
  • Disponível para muitas plataformas e versátil

Contras

  • Não muito difundido

Catapulta Hidra e Camaleão: Os homebreus

Catapult Hydra, o nome soa ao mesmo tempo elegante e misterioso e lembra um pouco a organização secreta dos quadrinhos da Marvel. O protocolo VPN é um desenvolvimento proprietário da empresa americana de software AnchorFree (agora: Aura) e é utilizado no Hotspot Shield, o serviço VPN do fabricante, entre outros.

Catapult Hydra é baseado no protocolo de criptografia amplamente utilizado Transport Layer Security (TLS). O fabricante promete uma velocidade significativamente maior em comparação com as soluções VPN convencionais baseadas em TLS. No entanto, o fabricante é conspicuamente reticente com detalhes sobre a Catapult Hydra.

Um processo de auditoria transparente, como é comum em projectos de código aberto como OpenVPN e WireGuard, não tem lugar com a Catapult Hydra, protegida por patente. Assim, o protocolo VPN permanece fechado a pessoas de fora para fins de auditoria. No entanto, outros fornecedores de VPN como Kaspersky e Bitdefender também utilizam a Catapult Hydra nos seus produtos.

Tal como a Catapult Hydra, Chameleon pertence aos protocolos VPN proprietários e é actualmente utilizado apenas por um fabricante. Os programadores da Golden Frog prometem para o seu serviço VPN VyprVPN que os dados VPN identificados através da Deep Packet Inspection (DPI) já não podem ser bloqueados.

O protocolo Camaleão, que é baseado no OpenVPN, tenta mudar a sua forma neste ponto e adaptar-se ao seu ambiente, aparecendo tão discretamente como os pacotes não encriptados no grande fluxo de dados da Internet. No entanto, estas características de ofuscação – com técnicas alternativas baseadas em proxy – estão também disponíveis em outros fornecedores de VPN, tais como NordVPN, Surfshark e Hide.me.

Prós

  • Optimamente adaptado ao serviço
  • Velocidades rápidas

Contras

  • O código não pode ser verificado quanto a vulnerabilidades

L2TP/IPSec, PPTP, SSTP: A velha guarda

O Protocolo de Túnel de Camada 2 (L2TP) é frequentemente combinado com IPSec para encriptação, uma vez que o L2TP não fornece o seu próprio procedimento criptográfico para o fluxo de dados. Por conseguinte, todas as declarações sobre a segurança do IPSec podem, em princípio, ser também aplicadas ao L2TP.

L2TP/IPSec suporta muito bons algoritmos de encriptação com 3DES e AES, mas não é necessariamente um dos representantes mais rápidos entre os protocolos VPN. Além disso, colide frequentemente com as definições de segurança da firewall, que bloqueia a porta UDP utilizada pelo L2TP/IPSec. Está disponível em muitas plataformas, mas é suspeito de ser comprometido pela agência de inteligência americana NSA.

O Protocolo de Túnel Ponto-a-Ponto (PPTP) foi utilizado durante muito tempo pela Microsoft para VPNs internas e foi o primeiro protocolo VPN suportado pelo Windows, razão pela qual era muito comum. Devido a graves falhas de segurança no protocolo e à vulnerabilidade dos métodos criptográficos incorporados, não é agora geralmente recomendado o uso do PPTP como protocolo VPN.

O Secure Socket Tunneling Protocol (SSTP) também vem da Microsoft e foi especialmente desenvolvido para utilização nos chamados cenários end-to-site. Neste caso, o computador de um empregado deve ter acesso à rede da empresa a partir de casa, protegido por um túnel VPN.

O SSTP baseia-se nos métodos criptográficos disponíveis em TLS, tais como AES e ChaCha20, para encriptação. O SSTP é considerado muito seguro e permite aos clientes acederem a uma rede atrás de uma firewall. Por conseguinte, não sofre dos problemas típicos de outros protocolos VPN, tais como IPSec e PPTP. No entanto, a especialização num único cenário de utilização conduz também a uma importância bastante baixa na competição de protocolos VPN.

Protocolos VPN: também uma questão de confiança

Os serviços VPN, os protocolos e os métodos de encriptação utilizados são principalmente sobre confiança. É preciso confiar que o serviço faz exactamente aquilo que afirma fazer, e é preciso aproveitar o facto de as medidas de protecção serem as mais modernas. Mas que protocolo VPN é o mais adequado para si agora?

O protocolo que está sujeito a um processo de auditoria contínuo e transparente, como é comum em projectos de código aberto, é mais digno de confiança? Ou confia no protocolo proprietário de um único fabricante, que foi adaptado precisamente ao respectivo serviço VPN, mas que ao mesmo tempo é desenvolvido, optimizado e controlado à porta fechada? Se confiar em soluções de código-fonte aberto, as soluções baseadas em código-fonte aberto são mais avançadas devido ao seu elevado nível de transparência.

Qual é o melhor protocolo VPN?

A questão do melhor protocolo não é tão fácil de responder. Em princípio, uma escolha entre vários protocolos é ideal, uma vez que isto dá ao utilizador várias opções, dependendo do caso de utilização. O OpenVPN oferece o melhor compromisso de estabilidade, segurança e velocidade e é adequado para muitos cenários de aplicação. É seguido de perto pelo WireGuard, que tem perspectivas de futuro brilhantes e pontua com as suas sofisticadas características de segurança e uma velocidade rápida em chamas.

Muitos fornecedores de VPN já colmataram o ponto fraco com endereços IP estáticos. No entanto, deve ter em mente que o WireGuard ainda não está totalmente maduro. O IKEv2 é especialmente adequado para ligações móveis, por exemplo com um smartphone. No entanto, a longo prazo, o WireGuard poderia superar o IKEv2, uma vez que um dos pontos fortes do WireGuard é a sua protecção contra mudanças súbitas na rede, tais como de WLAN para LTE.

David West
Autor da taxa
VPN heroes