“Conecte-se à VPN antes de abrir os sistemas internos” ── aquele botão que você clica toda manhã de home office, exatamente como mandaram. Você saberia explicar o que ele faz de verdade? Se algo aqui soa familiar, continue lendo.
- Você clica em “Conectar VPN” toda manhã, mas não faz ideia do que ele está fazendo
- Mandaram você “usar a VPN” no Wi-Fi da cafeteria, mas ninguém explicou o porquê
- Você não sabe se os “apps de VPN” dos anúncios do YouTube e a VPN da sua empresa são sequer a mesma coisa
- No momento em que conecta a VPN, a internet inteira parece ficar mais lenta
Uma VPN (Virtual Private Network) é, em uma frase, uma linha privada que sua empresa jamais poderia puxar fisicamente até a sua casa ── construída virtualmente, em software. Mas essa frase não explica por que a criptografia sempre faz parte da história, por que existem vários tipos de VPN, nem o que uma VPN pode e não pode fazer.
Este artigo não encosta em uma única tela de configuração e percorre:
- Os dois problemas que uma VPN resolve (§1)
- Tunelamento e encapsulamento ── um envelope dentro de um envelope (§2)
- Criptografia e autenticação ── o que são, de verdade, aqueles segundos depois do botão de conectar (§3)
- Os tipos de VPN ── três coisas diferentes com um mesmo nome (§4)
- Túnel completo vs. túnel dividido (§5)
- O que uma VPN não pode fazer (§6)
── tomando o caminho mais curto pela lógica do funcionamento, e nada mais.
| Sua dúvida | Seção |
|---|---|
| O que ela faz, afinal? | §1 / §2 |
| O que são aqueles segundos depois de clicar em conectar? | §3 |
| A VPN da minha empresa é igual a um app de VPN? | §4 |
| Por que tudo fica mais lento na VPN? | §5 |
| Uma VPN me deixa seguro e anônimo? | §6 |
Este artigo é a primeira parte de aprofundamento da nossa série “como seu PC funciona por dentro” (endereços IP, DNS, firewalls e por que a rede da empresa fica lenta). Ele se sustenta sozinho, mas ler antes as partes de endereços (IP) e defesa (firewall) faz a cadeia de causa e efeito se alinhar de ponta a ponta.
1. Os dois problemas que uma VPN resolve
Antes de entrar na mecânica, vamos começar pelo problema que essa ferramenta nasceu para resolver. Uma VPN resolve dois problemas de naturezas bem diferentes.
1-1. Problema A: seu tráfego pode ser espionado no caminho
Quando você se conecta a um sistema da empresa de casa ou de uma cafeteria, seus dados atravessam sua operadora, o Wi-Fi público, equipamentos de telecomunicação ── um longo trecho de infraestrutura que nem você nem sua empresa controlam. Se alguém nesse trecho tiver más intenções, seu tráfego fica exposto a espionagem e adulteração. O Wi-Fi público, em particular, é ── como vimos no artigo do firewall ── um lugar onde completos desconhecidos dividem a rede com você.
1-2. Problema B: os servidores internos são simplesmente inalcançáveis de fora
O outro problema vem antes mesmo de a segurança entrar em cena. Servidores de arquivos e sistemas de negócio internos normalmente só têm endereços IP privados (o “endereço de dentro de casa” do artigo de endereços IP). Esses endereços internos vivem atrás do NAT, o guichê de tradução, e não podem ser apontados como destino do lado da internet ── então esqueça a espionagem: de fora, seus pacotes fisicamente não conseguem chegar lá. E na frente de tudo isso há um firewall, barrando o tráfego de entrada por princípio.
Problema A ── espionado no caminho
PC de casa ──→ Wi-Fi público ──→ operadora ──→ ... ──→ escritório
└──── trecho que nem você nem sua empresa controlam ────┘
um mal-intencionado em qualquer ponto = espionagem, adulteração
Problema B ── os servidores internos são inalcançáveis de fora
PC de casa ──→ internet ──→ ✕ firewall ("tráfego de entrada: não, por padrão")
✕ NAT ("endereços internos não podem ser apontados de fora")
└─ e atrás de tudo: o servidor interno (192.168.x.x)
1-3. Uma ferramenta, os dois problemas
Uma VPN resolve os dois de uma vez: criptografa todo o seu tráfego para resolver o problema A, e “cabeia virtualmente” sua máquina para dentro da rede da empresa para resolver o problema B. As próximas seções tratam dos dois mecanismos, um de cada vez.
“Já temos HTTPS ── para que uma VPN?” é uma pergunta justa. O HTTPS protege exatamente uma conversa: seu navegador e aquele único site. Uma VPN protege tudo o que sai do seu PC, embrulhando até a informação de destino que diz aonde você está tentando se conectar. A cobertura dela é um nível mais ampla.
2. Tunelamento e encapsulamento ── um envelope dentro de um envelope
2-1. O tráfego comum viaja como cartão-postal
Os dados que fluem por uma rede (os pacotes) são, por analogia, um cartão-postal. Destinatário e remetente ficam escritos onde qualquer equipamento da rota pode ler. Cada equipamento lê o endereço e repassa o cartão adiante. Isso é a internet funcionando exatamente como foi projetada ── mas vire a moeda, e significa que qualquer um na rota pode ler o endereço.
2-2. Encapsulamento ── o cartão-postal entra num envelope
É aqui que a VPN muda o jogo. Em vez de enviar o cartão como está, ela coloca o cartão inteiro dentro de um envelope e escreve outro endereço do lado de fora. Isso se chama encapsulamento (embrulhar um pacote dentro de outro).
Encapsulamento ── um envelope dentro de um envelope
O cartão-postal original: [Para: servidor interno | Conteúdo: dados de trabalho]
↓ criptografado, para dentro do envelope
O envelope: [Para: gateway VPN da empresa | Conteúdo: ●●●●●●●● (ilegível)]
O que a rota enxerga:
"um envelope endereçado ao gateway VPN da empresa" ── e nada mais
Duas coisas importam aqui.
- O conteúdo (o cartão original) está criptografado ── sem a chave, não dá para ler
- O lado de fora do envelope carrega exatamente um endereço: o gateway VPN da empresa. Para qual servidor interno o cartão de dentro vai ── ou que dados são, afinal ── fica invisível para a rota
Essa passagem dedicada por onde fluem envelopes é o que chamamos, por metáfora visual, de túnel. A palavra tenta você a imaginar uma linha física exclusiva ── mas os envelopes viajam, na verdade, pela internet pública de sempre. Rodar pela via pública sem que ninguém veja o que há dentro: é isso que permite a ela se comportar como uma linha privada. É exatamente o que “Virtual Private” significa.
2-3. Aberto no escritório ── o que é, de verdade, “fingir que está no escritório”
Quando o envelope chega ao gateway VPN da empresa, ele o destranca, tira o cartão-postal de dentro e o solta direto na rede interna. Para um servidor interno, aquele cartão parece um pacote comum que nasceu dentro do escritório. Seu PC pode estar na sua sala de estar, mas seu tráfego parte de um endereço interno ── esse é todo o truque por trás de “agir como se você tivesse plugado o cabo de rede no escritório”. As respostas fazem a mesma viagem ao contrário, seladas em envelopes e carregadas de volta para casa.
Túnel ≠ linha exclusiva ≠ linha mais rápida. O túnel é “rodar pela via pública em envelopes lacrados” ── ele nunca torna a via em si mais rápida. Pelo contrário: os envelopes adicionam peso a cada carga (§5).
3. Criptografia e autenticação ── a fechadura do envelope e o porteiro da entrada
3-1. Criptografia ── um envelope que não abre sem a chave
O que protege o conteúdo do envelope é a criptografia. Os dados são transformados com chaves que só a sua máquina e o gateway VPN da empresa conhecem; para qualquer terceiro sem a chave, é ruído sem sentido. Mesmo que alguém arranque um envelope da rota, o conteúdo continua lacrado. As VPNs costumam ser classificadas pelo esquema de criptografia (IPsec, baseadas em TLS, WireGuard, e assim por diante), mas a estrutura ── “transportado num envelope trancado” ── é a mesma em todas.
3-2. Autenticação ── o porteiro na boca do túnel
O outro pilar é a autenticação. A boca do túnel é uma entrada para a rede da empresa ── então, a menos que o gateway confirme primeiro que quem está enviando envelopes é mesmo um funcionário, nenhuma criptografia, por mais forte que seja, significa coisa alguma. O padrão atual combina usuário e senha com um certificado no dispositivo e autenticação multifator no celular.
Aqueles segundos de espera depois de clicar em “Conectar VPN”? É quando acontecem a verificação de identidade e a troca das chaves de criptografia. Aqueles segundos são o porteiro e o chaveiro fazendo seu trabalho na boca do túnel.
Se as credenciais da VPN forem comprometidas, o invasor ganha o equivalente a “estar plugado numa tomada de rede dentro do seu escritório”. É por isso que reutilizar senha na conta da VPN é considerado especialmente perigoso. Para construir senhas fortes, nosso gerador de senhas pode ajudar.
4. Os tipos de VPN ── três coisas diferentes com um mesmo nome
As coisas chamadas de “VPN” se dividem em três ferramentas distintas, dependendo de onde ficam as duas pontas do túnel. A maior parte da confusão se desfaz quando você faz essa distinção.
4-1. VPN de acesso remoto ── conecta uma pessoa a uma empresa
É tudo o que descrevemos até aqui: um túnel entre um PC individual e a rede da empresa. O botão “Conectar VPN” do home office é desse tipo. Uma ponta do túnel é o seu PC; a outra, o gateway VPN da empresa.
4-2. VPN site a site ── conecta um escritório a outro escritório
Esse tipo mantém um túnel permanente entre duas filiais. Os roteadores, digamos, do escritório de São Paulo e do de Recife ficam unidos por um túnel, e as duas unidades se comportam como uma única rede interna. Os funcionários não clicam em nada ── o túnel está sempre de pé na borda de cada unidade, e os usuários nem notarem que ele existe é o estado normal desse tipo de VPN.
4-3. Serviços de VPN para consumidores ── conectam uma pessoa a um provedor de VPN
Os “apps de VPN” dos anúncios são desse tipo. Uma ponta do túnel é o seu PC ── mas a outra ponta é o servidor de um provedor de VPN, não nenhuma empresa sua. Ele não coloca você em nenhuma rede interna. Os propósitos são dois: ① criptografar o trecho mais próximo de você (Wi-Fi público e afins), e ② trocar seu endereço aparente pela localização do servidor do provedor.
| VPN de acesso remoto | VPN site a site | Serviço de VPN para consumidor | |
|---|---|---|---|
| Pontas do túnel | Seu PC ↔ empresa | Filial ↔ filial | Seu PC ↔ provedor de VPN |
| Propósito principal | Alcançar sistemas internos de fora | Fundir filiais numa rede só | Criptografar a rota, mudar a saída |
| O que você faz | Clica em conectar | Nada (sempre ativo) | Liga o app |
| Coloca você dentro de uma empresa? | Sim | (invisível para funcionários) | Não |
Serviço de VPN para consumidor = ferramenta de anonimato. Não é. O provedor de VPN fica na saída do túnel e vê o destino de tudo o que você faz. A parte capaz de espionar você mudou de “uma multidão indeterminada ao longo da rota” para “uma empresa de VPN” ── você não ficou anônimo, você realocou sua confiança. Escolher o provedor é escolher sua segurança.
5. Túnel completo vs. túnel dividido ── o que entra no túnel
5-1. Embrulhar tudo, ou só o que vai para o escritório?
As VPNs de acesso remoto enfrentam uma grande bifurcação de projeto: de todo o tráfego que sai do seu PC, quanto entra no túnel?
Túnel completo ── cada pacote entra num envelope
PC de casa ━━━ túnel ━━━→ escritório ──→ sistemas internos
└──→ internet (web, vídeo ── tudo sai pelo escritório)
Túnel dividido ── só o que vai para o escritório ganha envelope
PC de casa ━━━ túnel ━━━→ escritório ──→ sistemas internos
└─────────────────→ internet (a web vai direto de casa)
- Túnel completo: com destino ao escritório ou à internet, tudo é envelopado e roteado para fora através da empresa. A empresa pode inspecionar e registrar todo o tráfego na própria saída ── a gestão fica centralizada. O custo: até a navegação comum faz o desvio pelo escritório
- Túnel dividido: só o tráfego com destino aos sistemas internos entra no túnel; o resto sai direto de casa. O desvio desaparece e tudo fica ágil ── em troca, passa a existir tráfego que a empresa não consegue ver
5-2. Nenhum dos dois é “o certo”
Não existe resposta única aqui, porque a escolha é uma questão de política da empresa: o que precisa ser protegido e o que precisa ser auditável. Setores com controles de informação rígidos tendem ao túnel completo; organizações que priorizam agilidade e custo de link tendem ao dividido. Qual deles sua empresa escolheu decide, em grande parte, a velocidade que o home office aparenta ter ── se “conectar à VPN deixa a internet inteira lenta” parece a sua vida, é quase certamente o desvio do túnel completo. A causa e efeito dessa lentidão está diagramada no §4 de “Por que a rede da empresa fica tão lenta?”.
Envelopar (encapsulamento) e criptografar cobram uma taxa fixa. O envelope ocupa espaço que a carga útil poderia ter usado, e lacrar e abrir consomem capacidade de processamento do gateway VPN. “Uma VPN é um pouco mais lenta que a linha nua” não é defeito ── é estrutural.
6. O que uma VPN não pode fazer ── quatro pontos contra o excesso de confiança
A VPN é uma ferramenta poderosa, mas “estou na VPN, então estou seguro” é um nível de confiança perigoso. Eis o que ela não pode fazer, dito sem rodeios.
6-1. Ela não barra malware
Uma VPN transporta o conteúdo do envelope ── ela não tem o menor interesse em saber se esse conteúdo é seguro. Um download malicioso é embrulhado no mesmo envelope criptografado e entregue com a mesma cortesia. Antivírus é um trabalho à parte, feito por ferramentas à parte.
6-2. Ela não esconde o que você faz no destino
Uma VPN esconde “a rota” ── nada mais. O site ou serviço ao qual você se conecta vê tudo o que você faz depois do login, exatamente como sempre viu. Passada a saída do túnel, é só a internet de sempre.
6-3. Na VPN da empresa, sua atividade fica mais visível, não menos
Numa VPN de acesso remoto (especialmente de túnel completo), todo o seu tráfego passa pela saída da empresa. Do lado dos administradores, seu tráfego não está nada escondido ── ele é visível e registrado como se você estivesse na sua mesa no escritório. Não se trata de vigilância; é que a maquinaria que protege os ativos e dados da empresa foi projetada para funcionar assim.
6-4. O próprio gateway VPN vira alvo
A entrada da VPN é uma das poucas portas que uma empresa deixa abertas para fora. A lógica do artigo do firewall ── toda porta aberta é superfície de ataque ── se aplica aqui por inteiro, e explorar vulnerabilidades de equipamentos VPN virou rota clássica para invadir empresas. A VPN é um equipamento de defesa que, sem atualizações, se transforma na maior fraqueza.
Resumo ── a essência em 4 linhas
- Uma VPN resolve dois problemas de uma vez ── “espionado no caminho” e “inalcançável de fora” ── com criptografia mais cabeamento virtual
- O mecanismo central é o encapsulamento: o cartão-postal entra num envelope criptografado endereçado à empresa e viaja pela via pública (a internet). Como a empresa o abre, seu PC consegue “fingir que está no escritório”
- “VPN” nomeia três coisas diferentes, conforme as pontas do túnel (pessoa↔empresa / filial↔filial / pessoa↔provedor). Um serviço de VPN para consumidor não é ferramenta de anonimato ── é uma realocação de confiança
- Túnel completo vs. dividido é um dilema velocidade-controle. E a VPN não barra malware enquanto o próprio gateway atrai ataques ── ela não é um escudo universal
Endereços e NAT vivem em O que é um endereço IP?, a defesa contra o tráfego de entrada em O que acontece sem um firewall?, e a verdade por trás da lentidão com gosto de VPN em Por que a rede da empresa fica tão lenta?. Junto com este artigo, o quadro completo de “conectar-se à empresa de fora” se une num único mapa.
Perguntas frequentes
P1. Usar uma VPN me deixa anônimo?
R. Não. Na VPN da empresa, os administradores veem seu tráfego como se você estivesse no escritório (§6-3). Num serviço de VPN para consumidor, o provedor na saída do túnel vê cada destino ── e qualquer site em que você faça login obviamente sabe quem você é. A única coisa que uma VPN muda é se terceiros ao longo da rota conseguem ver você. Não é uma ferramenta de anonimato (veja a armadilha do §4).
P2. Se eu só visito sites HTTPS, ainda preciso de VPN?
R. Eles protegem escopos diferentes. O HTTPS protege o conteúdo de uma conversa entre seu navegador e um site ── não esconde a qual site você está se conectando, e não faz nada por aplicativos que não o usam. Uma VPN embrulha todo o tráfego que sai do seu PC, destinos inclusos (a Dica do §1). E o problema B ── entrar na rede da empresa (§1-2) ── é algo que o HTTPS não resolve de jeito nenhum.
P3. Enquanto estou na VPN da empresa, a empresa vê meu tráfego pessoal?
R. Num túnel completo, estruturalmente sim ── tudo passa pela saída da empresa, então é visível se alguém resolver olhar (§5, §6-3). Num túnel dividido, o tráfego não corporativo nunca toca a empresa. Qual projeto você tem, e o que de fato é registrado, é política da empresa ── consulte as regras se isso importa para você. A suposição segura: tráfego em PC de trabalho é visível, ponto.
P4. Apps de VPN gratuitos são seguros?
R. Tenha cautela. Como o §4 mostrou, um serviço de VPN para consumidor é uma realocação de confiança ── o provedor vê o destino de todo o seu tráfego. Se o serviço é grátis, é preciso perguntar o que cobre os custos de operação: anúncios, análise ou venda de dados de tráfego, ou outra coisa. Você pode acabar entregando voluntariamente a uma empresa justamente a informação que queria proteger.
P5. Por que a internet fica lenta enquanto estou na VPN?
R. Duas causas principais. ① Num túnel completo, até a navegação comum faz o desvio físico “casa → escritório → site → escritório → casa” (§5). ② Ao custo fixo do encapsulamento e da criptografia soma-se o fato de que, quando os funcionários remotos se amontoam num gateway VPN, a capacidade de processamento do próprio aparelho entope. Para o “mapa da lentidão” completo de uma rede corporativa, este artigo permite trabalhar de trás para frente a partir dos sintomas.
Leave a Reply