VPNs site-to-site: tipos, exigências e configurações

O que é uma VPN site-to-site?

Uma rede virtual privada (VPN) do tipo site-to-site (local para local) é uma conexão VPN segura entre duas ou mais redes separadas. Ao invés de proteger dispositivos individuais, esse tipo de VPN protege as comunicações entre redes de áreas locais (LANs) inteiras, como a conexão entre a rede de uma sede e uma filial, por exemplo.

Esse tipo de VPN age como uma rede de área ampla (wide area network, WAN) e permite que equipes em locais diferentes possam acessar recursos compartilhados como se estivessem na mesma rede local. Diferente de outros tipos de WAN, entretanto, uma VPN site-to-site cria um túnel VPN seguro entre múltiplas LANs. Esse tipo de VPN é muito usada para:

• Conectar unidades e escritórios em localidades geográficas diferentes
• Proteger links entre infraestrutura no local e em data centers remotos.
• Ativar a comunicação segura entre empresas parceiras.

Uma VPN de acesso remoto é usada para estabelecer uma conexão entre usuários individuais e uma rede central. Isso permite que um funcionário acesse recursos da empresa de casa, por exemplo. Enquanto isso, VPNs do tipo site-to-site fornecem uma conexão criptografada entre redes inteiras. Então, as VPNs de acesso remoto protegem conexões entre dispositivos e uma rede, e as VPNs de site-to-site protegem conexões entre redes inteiras.

Como a conexão de uma VPN site-to-site funciona?

Uma VPN site-to-site conecta redes em segurança ao criar um túnel site-to-site usando protocolos VPN como o IPsec (Internet Protocol Security, ou Protocolo de Segurança de Internet). Esse túnel criptografa todo o tráfego entre os diferentes locais, tornando-o indecifrável para elementos externos.

Cada rede tem um gateway (geralmente, um roteador compatível com VPN ou um firewall) que lida com a criptografia e a descriptografia do tráfego. Esses gateways roteiam os dados entre os locais usando regras pré-definidas, então os dispositivos em uma rede podem se comunicar com os dispositivos de outra rede como se estivessem no mesmo local.

O IPsec é o protocolo mais comum usado para isso. Ele lida com a criptografia e a autenticação, muitas vezes pareando com L2TP ou GRE para fazer tunelamento. O GRE por si só não criptografa nada. Ele só cria um túnel, então ele geralmente é usado junto com o IPsec. Algumas configurações podem usar o OpenVPN, especialmente em configurações mais flexíveis ou customizadas.

Vamos pegar um exemplo. Digamos que uma empresa tenha escritórios em Berlim e Nova Iorque. Cada local tem sua própria rede de notebooks, servidores, impressoras e outros dispositivos. A empresa quer que essas redes funcionem como uma, sem expor nada na Internet pública. Para fazer isso, eles precisam:

1. 1.De gateways de VPN configurados nas duas unidades. Eles agem como tradutores seguros entre a rede local e o túnel VPN.
2. 2.Um túnel estabelecido entre os gateways, usando IPsec.
3. 3.Todo o tráfego entre os dois escritórios é criptografado quando entra nesse túnel e depois é decodificado quando sai.

Então, se um funcionário em Berlim quer acessar um banco de dados em Nova Iorque, essa solicitação passa pelo gateway de Berlim, é criptografado, viaja em segurança através do túnel, é decodificado pelo gateway em Nova Iorque e aí é enviado para esse banco de dados. A resposta percorre o mesmo caminho de volta. Apesar de parecer complicado, esse processo todo leva só alguns segundos.

Requisitos de uma VPN site-to-site

Para configurar uma VPN site-to-site, você vai precisar dos seguintes elementos:

• Roteadores ou firewalls compatíveis com VPN em cada uma das localidades. Seu hardware precisa ser compatível com IPsec ou protocolos similares.
• Endereços públicos de IP para cada gateway. Isso é fundamental para que cada rede possa se encontrar na Internet.
• Um protocolo VPN compartilhado. A maioria das configurações utiliza IPsec para criptografia e autenticação.
• Planejamento de endereçamento de rede. É importante evitar sobrepor subredes entre os locais para manter o roteamento simples.
• Acesso de admin a cada roteador e firewall da rede. Você vai precisar definir as configurações do túnel nas duas pontas.
• Conexões de Internet confiáveis em cada local. A configuração inteira depende da estabilidade das conexões.

Quais os tipos de VPN site-to-site?

Há dois tipos principais de VPN site-to-site:

• VPNs site-to-site baseadas em Intranet, que conectam múltiplos escritórios dentro da mesma organização. Por exemplo: uma rede de varejo pode conectar todas as suas unidades à sede para criar uma rede interna unificada. Tudo é feito na Internet pública, mas as conexões entre essas unidades são privadas e seguras.
• VPNs site-to-site baseadas em Extranet, que são usadas entre organizações separadas como fornecedores, parceiros ou clientes. Uma VPN baseada em Extranet permite o acesso controlado a partes específicas da sua rede sem expor tudo.

Para configurações mais amplas, algumas empresas podem escolher uma VPN MPLS, uma alternativa privada gerenciada que pode lidar com roteamentos mais complexos.

Qual a diferença entre uma VPN site-to-site e uma VPN de acesso remoto?

Uma VPN site-to-site é diferente de uma rede virtual privada de acesso remoto. Uma VPN de acesso remoto é o tipo mais comum de rede virtual privada para consumidores individuais, já que são do tipo que você pode instalar no seu smartphone ou no seu notebook para garantir privacidade no seu dia a dia.

Essas VPNs de acessso remoto usam um modelo cliente/servidor. O cliente é uma aplicação instalada no seu dispositivo que roteia sua atividade de internet por um servidor e criptografa seus dados conforme eles viajam entre um cliente e um servidor. Esse é um jeito eficiente de proteger sua privacidade online, ocultar os endereços de IP dos seus dispositivos e limitar ameaças como ataques man-in-the-middle.

As VPNs site-to-site não usam esse modelo de cliente e servidor. O túnel de criptografia é estabelecido entre gateways em cada local, então um usuário não precisa ter um cliente instalado nos dispositivos contanto que enviem e recebam informações através do gateway VPN.

Já as VPNs de acesso remoto podem ser usadas por empresas e grandes organizações. Os trabalhadores podem usar um cliente no dispositivo para acessar um servidor específico da empresa, por exemplo, no qual os arquivos e outros recursos da rede estão armazenados. Muitas empresas usam tanto VPNs de acesso remoto quanto VPNs de site-to-site.

Qual a diferença entre VPN site-to-site e VPN point-to-site?

As VPNs site-to-site conectam redes inteiras e são ótimas para empresas com várias unidades e escritórios que precisam de conexões constantes e seguras entre esses diferentes locais. Elas servem como uma ponte que permite que equipes possam compartilhar recursos como se estivessem na mesma rede local.

VPNs do tipo point-to-site (ponto para lugar), por outro lado, são feitas para usuários individuais. Elas permitem que pessoas que trabalham remotamente possam se conectar de modo seguro à rede da empresa de onde estiverem, seja em casa, em uma cafeteria, em uma loja ou durante uma viagem. Elas são opções flexíveis com foco nos usuários e que são perfeitas para empresas com força de trabalho dispersa.

Como criar um túnel VPN site-to-site

Vamos dar uma olhada nos passos necessários para configurar um túnel VPN site-to-site:

1. 1.Escolha roteadores ou firewalls compativeis com VPN em cada um dos locais que serão conectados.
2. 2.Configure cada um dos dispositivos com:
   • Endereços públicos de IP estáticos para que cada um deles possa se encontrar na rede.
   • Protocolo VPN compatível (o IPsec é o mais comum).
   • Configurações de encriptação compatíveis.
3. 3.Definir subredes locais e remotas para dizer a cada gateway qual tráfego deve ser tunelado.
4. 4.Configurar as portas de firewall necessárias (geralmente, UDP 500 e 4500 para IPsec).
5. 5.Testar o túnel para garantir que o tráfego é criptografado e que o roteamento é correto.

Como fazer a configuração de uma VPN site-to-site

Para configurar uma VPN site-to-site, você vai precisar de acesso a um roteador compatível com VPN ou um firewall em cada um dos locais. Siga esses passos para configurar:

1. 1.Faça login no seu roteador ou na interface de admin do firewall.
2. 2.Vá até a seção VPN e selecione a opção 'Site-to-site' ou 'IPsec'.
3. 3.Configure a sub rede local (sua rede interna) e o IP público remoto dos pares.
4. 4.Digite a sub rede remota (a outra rede interna ao local).
5. 5.Escolha sua criptografia e as configurações de autenticação (como AES ou SHA).
6. 6.Digite uma chave pré-compartilhada ou faça o upload dos certificados digitais.
7. 7.Habilite a NAT transversal caso seja necessário (dependendo das configurações da sua rede).
8. 8.Salve e aplique as configurações.
9. 9.Repita a configuração no dispositivo remoto.
10. 10.Teste a conexão para confirmar se o túnel está funcionando.

Quais são as melhores práticas para a configuração de uma VPN site-to-site?

Configurar o túnel é uma coisa, mas manter a segurança e a estabilidade desse túnel é outra coisa totalmente diferente. Essas são as melhores práticas que podem te ajudar a fazer isso:

• Use criptografia forte, como a AES-256 com IPsec.
• Atualize o firmware regularmente em todos os dispositivos com VPN.
• Limite o acesso usando regras para o firewall.
• Confira os logs regularmente e configure alertas para informar sobre qualquer tráfego incomum.
• Ative a configuração de failover caso seja crítico contar com uma alta disponibilidade.

Qual hardware é exigido para uma VPN site-to-site?

Você não precisa de equipamentos corporativos caríssimos para executar e manter uma VPN site-to-site, mas é fundamental contar com as ferramentas certas:

• Um roteador ou firewall compatível com protocolos VPN site-to-site (como o IPsec).
• Roteadores dual-WAN se você quiser redundância de Internet ou balanceamento de loading.
• Concentradores de VPN para gerenciar múltiplos túneis em redes de larga escala.
• Um modem para conexão estável com a internet em cada uma das localidades.

Além disso, vale a pena lembrar que o hardware deve ter capacidade de processamento suficiente para lidar com criptografia sem impactar o desempenho da rede.

Quais os benefícios de uma VPN site-to-site?

Para as empresas, os benefícios da VPN site-to-site incluem:

• Segurança de dados aprimorada. Uma VPN site-to-site criptografa os dados transferidos entre os usuários de diferentes locais (esse é o túnel VPN criptografado citado anteriormente). Isso significa que, caso seus dados sejam interceptados por agentes maliciosos enquanto trafegam entre diferentes locais, eles só estarão visíveis como códigos indecifráveis sem a chave correta de descriptografia.
• Compartilhamento de recursos dinamizado. Apesar de esse ser um benefício da maioria das WANs, vale a pena mencionar aqui. Uma VPN site-to-site permite que funcionários de qualquer lugar do mundo possam se comunicar, compartilhar recursos e acessar dados sensíveis em segurança. É um ótimo jeito de manter a sinergia entre equipes de trabalho dispersas, contanto que todos tenham acesso aos locais nos quais os gateways são configurados.
• Onboarding fácil. Outro benefício de usar uma solução de segurança de rede de VPN site-to-site é que elas não dependem de um modelo cliente/servidor. Ao invés de exigir que todos os usuários de uma rede corporativa instalem um software de cliente específico em seus dispositivos, eles podem só se conectar ao gateway VPN e aproveitar a segurança de dados. Usar um modelo sem cliente também ajuda nos raros casos nos quais sistemas operacionais e dispositivos específicos não são compatíveis com software VPN.

Quais são as limitações das VPNs site-to-site?

VPNs site-to-site também têm algumas limitações que precisam ser mencionadas:

• Inadequação ao serviço remoto. Desde 2020, o trabalho remoto ficou muito mais normalizado. Como resultado, muitos empregados passaram a trabalhar de casa ou a partir de espaços de coworking nos quais eles não possuem acesso a um gateway VPN designado. O mesmo vale para organizações que dependem de freelancers que raramente têm condições de comparecer presencialmente aos locais nos quais a VPN se conecta.
• Segurança e privacidade limitadas. Não importa o nível de segurança dos protocolos de VPN, uma VPN site-to-site só protege os dados que viajam entre os gateways. As LANs em cada lado desses gateways não são necessariamente protegidas contra cibercriminosos e intrusos. Então, uma vez que a informação é decodificada e enviada para um dispositivo ou site específico, ela pode ser exposta. Esse é um ponto no qual VPNs do tipo cliente/servidor possuem uma vantagem, já que os dados que vêm e vão de clientes instalados individualmente nos dispositivos geralmente são criptografados.
• Lançamento e gerenciamento descentralizados. Enquanto muitas empresas adotam soluções VPN para melhorar a segurança das redes, a maioria prefere sistemas que podem ser lançados e gerenciados a partir de um ponto de controle central. O gerenciamento centralizado melhora a resolução de problemas técnicos e o nível de segurança. Configurar uma VPN site-to-site envolve equipes diferentes em locais diferentes, o que dificulta o gerenciamento centralizado.

Por que usar uma VPN site-to-site para comunicação B2B?

Você deve usar uma VPN site-to-site para comunicação B2B principalmente pelos seguintes benefícios: 

• Segurança. Todo o tráfego é criptografado entre as redes, o que reduz a exposição às ameaças.
• Controle. Você decide exatamente quais partes da sua rede seus parceiros e contratados podem acessar.
• Eficiência de custos. Ela remove a necessidade de gastar muito com circuitos e linhas dedicados.
• Conveniência. Ela faz com que o acesso remoto seja tão fácil que pareça ser feito dentro do próprio ambiente, internamente.

How do corporate networks take advantage of site-to-site VPNs?

VPNs site-to-site permitem que as empresas possam operar como uma única unidade, não importando quantas localizações elas tenham. Aqui está como as empresas podem usá-las:

• Para proteger dados compartilhados entre diferentes unidades.
• Para fazer backups centralizados entre as diferentes unidades.
• Para habilitar apps internos (como CRM ou ERP) em diferentes locais.
• Para fornecer acesso a bancos de dados e ferramentas compartilhadas.
• Para criar uma política de segurança unificada entre diferentes localizações.
• Para garantir flexibilidade híbrida, combinando VPNs site-to-site para redes internas com VPN de acesso remoto para funcionários que trabalham de casa ou em campo.

Uma VPN site-to-site é melhor do que uma VPN web-based?

A resposta para essa pergunta depende das suas necessidades:

• Uma VPN site-to-site é construída para conectar redes inteiras. Esse tipo é melhor para operações internas de empresas e acesso de parceiros.
• Uma VPN web-based (como uma VPN SSL) é perfeita para indivíduos que precisam de acesso rápido baseado em navegador a apps ou serviços específicos. É uma ótima opção para uso remoto ocasional, mas não é adequada para integração completa de redes.

Uma VPN é a melhor opção para o seu negócio?

Uma VPN pode melhorar a privacidade online e a segurança dos dados da maioria das empresas. A NordLayer, uma das soluções VPN para B2B mais eficientes disponíveis, oferece uma variedade de opções para empresas de todos os portes. Se você escolher o serviço VPN site-to-site da NordLayer, você pode aproveitar os benefícios de gateways dedicados para todas as suas LANs.

Mesmo que você já tenha uma solução de rede (como uma MPLS, por exemplo), a NordLayer pode desempenhar um papel fundamental na sua estratégia de cibersegurança como um todo. A NordLayer também oferece um modelo cliente/servidor, permitindo que as organizações compartilhem dados e recursos em segurança tanto com funcionários que trabalham presencialmente quanto com aqueles que trabalham de forma remota.

NordVPN: uma solução de software alternativo em relação às VPNs site-to-site

A NordVPN oferece uma alternativa mais simples e barata em relação às VPNs site-to-site tradicionais, especialmente para pequenos negócios que precisam de acesso remoto seguro. Apesar de não ser uma VPN do tipo site-to-site, as empresas ainda podem usar um IP dedicado para dar aos seus funcionários remotos um acesso seguro e controlado às suas redes sem precisar lidar com a complexidade de uma configuração tradicional.

Com recursos como criptografia AES-256, uma rede global de servidores e opções de segurança adicionais, a NordVPN garante que as conexões sejam rápidas e robustas. Além disso, a interface fácil de usar e o suporte ao consumidor que funciona 24 horas por dia, 7 dias por semana, tornam essa uma ótima opção para negócios que precisam de acesso remoto confiável sem configurações complicadas demais.