Uma rede privada virtual (VPN) é uma ligação ponto a ponto numa rede pública ou privada, tal como a Internet. Um cliente VPN utiliza protocolos especiais baseados no TCP/IP, designados por protocolos de túnel, que estabelecem um canal seguro entre dois computadores através dos quais podem enviar dados. Da perspectiva dos dois computadores participantes, existe uma ligação ponto a ponto entre eles, embora na realidade os dados sejam encaminhados através da Internet tal como qualquer pacote. Numa implementação VPN típica, um cliente inicia uma ligação ponto a ponto virtual com um servidor de acesso remoto através da Internet. O servidor de acesso remoto atende a chamada virtual, autentica o chamador e transfere os dados entre o cliente VPN e a rede empresarial privada.
Para emular uma ligação ponto a ponto, os dados são encapsulados, ou envoltos, com um cabeçalho. O cabeçalho fornece informações de encaminhamento que permitem que os dados atravessem a rede partilhada ou pública para alcançarem o ponto final. Para emular uma ligação privada, os dados enviados são encriptados para assegurar a confidencialidade. Para mais informações sobre os protocolos de túnel suportados nesta versão do Windows, consulte
Para obter requisitos de instalação, consulte Requisitos Para Instalar o RRAS Como Servidor VPN.
Ligação VPN
Existem dois tipos de ligações VPN:
VPN de acesso remoto
Uma ligação VPN de acesso remoto permite que um utilizador que esteja a trabalhar em casa ou que esteja em viagem aceda a um servidor numa rede privada, utilizando a infra-estrutura fornecida por uma rede pública, tal como a Internet. Da perspectiva do utilizador, a VPN é uma ligação ponto a ponto entre o computador cliente e o servidor da organização. A infra-estrutura da rede partilhada ou pública é irrelevante, porque parece que os dados são enviados através de uma ligação privada dedicada.
VPN local a local
Uma ligação VPN local a local (por vezes denominada ligação VPN router a router) permite que uma organização tenha ligações encaminhadas entre escritórios separados, ou com outras organizações, através de uma rede pública, ajudando a manter comunicações seguras. Quando as redes são ligadas através da Internet, conforme ilustrado na figura seguinte, um router compatível com VPN encaminha os pacotes para outro router compatível com VPN através de uma ligação VPN. Para os routers, a ligação VPN é apresentada de forma lógica como um ligação da camada de ligação de dados dedicada.
Uma ligação VPN local a local estabelece ligação entre duas redes privadas. O servidor VPN fornece uma ligação encaminhada para a rede à qual o servidor VPN está ligado. O router chamador autentica-se perante o router atendedor e, para autenticação mútua, o router atendedor autentica-se perante o router chamador. Numa ligação VPN local a local, os pacotes enviados a partir de qualquer um dos routers através da ligação VPN não são tipicamente originados nos routers.
VPN a ligar dois locais remotos através da Internet
Propriedades das ligações VPN
- Encapsulamento. Os dados privados são encapsulados com um cabeçalho que contém informações de encaminhamento que permitem que os dados atravessem a rede de trânsito. Para obter exemplos de encapsulamento, consulte
Protocolos de Túnel VPN (pode estar em inglês) (https://go.microsoft.com/fwlink/?linkid=140602). - Autenticação. A autenticação das ligações VPN assume três formas diferentes:
- Autenticação de nível de utilizador utilizando autenticação PPP (Point-to-Point Protocol). Para estabelecer a ligação VPN, o servidor VPN autentica o cliente VPN que está a tentar a ligação utilizando um método de autenticação de nível de utilizador PPP e verifica se o cliente VPN tem a autorização adequada. Se for utilizada autenticação mútua, o cliente VPN também autentica o servidor VPN, o que proporciona protecção contra computadores que se fazem passar por servidores VPN.
- Autenticação de nível de computador utilizando IKE (Internet Key Exchange). Para estabelecer uma associação de segurança (SA) IPsec (Internet Protocol security), o cliente e o servidor VPN utilizam o protocolo IKE para trocarem certificados de computador ou uma chave pré-partilhada. Em qualquer um dos casos, o cliente e o servidor VPN autenticam-se mutuamente ao nível do computador. A autenticação de certificados de computador é um método de autenticação muito mais forte e é, por conseguinte, altamente recomendado. A autenticação de nível de computador é utilizada pelas ligações L2TP (Layer Two Tunneling Protocol)/IPsec ou IKE versão 2.
- Autenticação de origem e integridade de dados. Para verificar se os dados enviados através da ligação VPN têm origem numa das extremidades da ligação e não foram modificados em trânsito, os dados contêm uma soma de verificação criptográfica, baseada numa chave de encriptação que só é conhecida pelo remetente e pelo receptor. A autenticação de origem e integridade de dados está disponível para ligações L2TP/IPsec e IKE versão 2.
- Autenticação de nível de utilizador utilizando autenticação PPP (Point-to-Point Protocol). Para estabelecer a ligação VPN, o servidor VPN autentica o cliente VPN que está a tentar a ligação utilizando um método de autenticação de nível de utilizador PPP e verifica se o cliente VPN tem a autorização adequada. Se for utilizada autenticação mútua, o cliente VPN também autentica o servidor VPN, o que proporciona protecção contra computadores que se fazem passar por servidores VPN.
- Encriptação de dados. Para assegurar a confidencialidade dos dados à medida que estes atravessam a rede de trânsito partilhada ou pública, os dados são encriptados pelo remetente e desencriptados pelo receptor. Os processos de encriptação e desencriptação requerem que o remetente e o receptor utilizem uma chave de encriptação comum.
Os pacotes interceptados ao longo da ligação VPN na rede de trânsito são ininteligíveis para qualquer pessoa que não possua a chave de encriptação comum. O comprimento da chave de encriptação é um parâmetro de segurança importante. É possível utilizar técnicas de cálculo para determinar a chave de encriptação. Contudo, a capacidade de cálculo e o tempo requerido por estas técnicas é proporcional ao tamanho das chaves de encriptação. Por conseguinte, é importante que utilize o maior tamanho de chave possível para assegurar a confidencialidade dos dados.