VPN de site para site: tipos, requisitos e configuração

O que é uma VPN de site para site?

Uma rede privada virtual (VPN) de site para site é uma ligação VPN segura entre duas ou mais redes. Em vez de proteger dispositivos individuais, protege a comunicação entre redes locais (LAN) integradas, como a da sede de uma empresa e de uma filial.

Este tipo de VPN funciona como uma rede de longa distância (WAN), permitindo que equipas instaladas em diferentes locais acedam a recursos partilhados como se estivessem na mesma rede local. No entanto, ao contrário de outros tipos de WAN, uma VPN de site a site cria um túnel VPN seguro entre várias LAN, sendo normalmente usada para:

• Ligar geograficamente escritórios afastados da empresa;
• Proteger ligações entre infraestruturas locais e centros de dados remotos;
• Permitir a comunicação segura entre empresas parceiras.

É utilizada uma VPN de acesso remoto para estabelecer a ligação entre os utilizadores individuais e uma rede central (como no caso de um funcionário que acede aos recursos da empresa a partir de casa). Entretanto, as VPN de site para site criam uma ligação encriptada entre redes inteiras, em que uma assegura uma ligação dispositivo-rede e outra faz uma ponte entre redes.

Como funciona uma ligação VPN de site para site?

Uma VPN de site para site estabelece uma ligação segura entre redes criando um túnel entre sites através de protocolos VPN como o IPsec (Internet Protocol Security), que encripta todo o tráfego, tornando-o ilegível para pessoas externas.

Cada rede tem um gateway (por norma, um router ou firewall compatível com VPN) que se encarrega da encriptação e desencriptação do tráfego. Estes gateways encaminham os dados entre locais através de regras predefinidas, o que permite que os dispositivos de uma rede comuniquem com os dispositivos da outra como se estivessem no mesmo edifício.

O IPsec é o protocolo mais comum utilizado para o efeito, tratando da encriptação e autenticação e sendo muitas vezes emparelhado com o L2TP ou o GRE para a criação de túneis. O GRE por si só não encripta nada, limitando-se a criar o túnel, pelo que costuma ser utilizado com o IPsec. Há ainda configurações que podem optar pelo OpenVPN, sobretudo no caso das mais flexíveis ou personalizadas.

Vejamos um exemplo concreto: suponhamos que uma empresa tem escritórios em Berlim e Nova Iorque, cada qual funcionando com a sua própria rede de computadores portáteis, servidores, impressoras e outros dispositivos. A empresa pretende que essas redes funcionem como uma só, sem expor nada na internet pública. Para isso:

1. 1.Configura gateways VPN em ambos os escritórios para servirem como tradutores seguros entre a rede local e o túnel VPN;
2. 2.O IPsec cria um túnel entre os gateways;
3. 3.Todo o tráfego entre ambos os escritórios é encriptado quando entra no túnel e desencriptado quando sai.

Assim, se o Joe, em Berlim, quiser consultar uma base de dados de Nova Iorque, o pedido passa pelo gateway de Berlim, é encriptado, atravessa o túnel em segurança, é desencriptado pelo gateway de Nova Iorque e transmitido à base de dados. A resposta segue o mesmo caminho encriptado em sentido oposto, sem que o Joe se aperceba do que quer que seja, uma vez que todo este processo demora apenas alguns segundos.

Requisitos das VPN de site para site

Para configurar uma VPN de site a site, precisa de:

• Routers ou firewalls compatíveis com VPN em cada local: o seu hardware tem de suportar o IPsec ou outros protocolos semelhantes;
• Endereços IP públicos para cada gateway: para que possam encontrar-se na internet;
• Um protocolo VPN partilhado: a maioria das configurações utiliza o IPsec para a encriptação e a autenticação;
• Planeamento de endereços de rede: evita a sobreposição de sub-redes entre sites para simplificar o encaminhamento;
• Acesso de administrador ao router e à firewall de cada rede: terá de configurar as definições do túnel de ambos os lados;
• Ligações fiáveis à internet em ambos os locais: a configuração completa exige uma conetividade estável.

Que tipos de VPN de site para site existem?

Existem dois grandes tipos de VPN entre sites:

• As VPN de site para site baseadas na intranet ligam vários escritórios ou sucursais dentro da mesma organização. Por exemplo, uma cadeia de retalho pode ligar todas as suas lojas à sede para criar uma rede interna unificada. Isto é feito através da internet pública, mas a ligação é privada e segura.
• As VPN de site a site baseadas na extranet são utilizadas entre organizações distintas, incluindo empresas de fornecedores, parceiros ou clientes. Uma VPN baseada na extranet permite o acesso controlado a partes específicas da sua rede sem a expor por inteiro.

No caso de configurações maiores, algumas empresas optam por uma VPN MPLS, uma alternativa privada e gerida com a capacidade de lidar com encaminhamentos mais complexos.

Qual a diferença entre uma VPN entre sites vs. uma VPN de acesso remoto?

Uma VPN de site para site é diferente de uma rede privada virtual de acesso remoto, que é o tipo mais comum utilizado pelo consumidor, do tipo que pode utilizar no seu telemóvel ou portátil para gozar de privacidade pessoal no dia a dia.

As VPN de acesso remoto utilizam um modelo cliente/servidor. O cliente é uma aplicação que instala no dispositivo para encaminhar a sua atividade na internet através de um servidor e encriptar os seus dados à medida que estes são transmitidos entre o cliente e o servidor. É uma forma eficaz de proteger a sua privacidade online, ocultar os endereços IP dos seus dispositivos e limitar os ataques man-in-the-middle.

As VPN entre sites não utilizam um modelo cliente/servidor: o túnel de encriptação passa entre os gateways de cada local, pelo que um utilizador não precisa de ter um cliente instalado no seu dispositivo, desde que envie e receba informações através do gateway VPN.

Claro que as VPN de acesso remoto também podem ser utilizadas por empresas e organizações de maior dimensão. Os funcionários podem utilizar um cliente nos seus dispositivos para aceder a um servidor específico da empresa onde estejam alojados ficheiros e outros recursos de rede, por exemplo. Muitas empresas utilizam tanto as VPN de acesso remoto como as VPN de site para site.

Qual a diferença entre uma VPN de site para site e uma VPN de ponto a site?

As VPN de site para site ligam redes inteiras e são ideais para empresas com vários escritórios, que precisem de criar uma ligação constante e segura entre locais, que funcione como uma ponte para as equipas partilharem recursos como se estivessem na mesma rede local.

As VPN de ponto a site, por outro lado, foram pensadas para os utilizadores individuais, permitindo que os funcionários remotos se liguem de modo seguro à rede do escritório onde quer que estejam: em casa, no café ou na estrada. É flexível, voltada para o utilizador e ideal para empresas com uma força de trabalho distribuída.

Como criar um túnel VPN de site para site

Vejamos os passos para configurar um túnel VPN de site para site:

1. 1.Escolha routers ou firewalls compatíveis com VPN em cada local.
2. 2.Configure cada dispositivo com:
   • Endereços IP públicos estáticos, para que possam encontrar-se mutuamente.
   • Um protocolo VPN adequado (o IPsec é o mais comum).
   • Definições de encriptação condizentes.
3. 3.Defina as sub-redes locais e remotas para indicar a cada gateway qual o tráfego a encapsular.
4. 4.Configure a autenticação (chave pré-partilhada ou certificado digital).
5. 5.Abra as portas de firewall necessárias (geralmente a UDP 500 e a 4500 para o IPsec).
6. 6.Teste o túnel para se certificar de que o tráfego está encriptado e o encaminhamento está a ser bem feito.

Como configurar uma VPN entre sites

Para configurar uma VPN entre sites, precisará de acesso a um router ou firewall compatível com VPN em cada local. Siga estes passos para fazer a configuração:

1. 1.Inicie sessão na interface de administrador do seu router ou firewall;
2. 2.Procure a secção “VPN” e escolha a VPN de "Site para site" ou o "IPsec";
3. 3.Defina a sub-rede local (a sua rede interna) e o IP público do par remoto;
4. 4.Introduza a sub-rede remota (a rede interna do outro local);
5. 5.Escolha as definições de encriptação e autenticação (como AES ou SHA);
6. 6.Introduza uma chave pré-partilhada ou carregue os certificados digitais;
7. 7.Ative a travessia NAT, se necessário (dependendo da configuração da sua rede);
8. 8.Guarde e aplique as definições;
9. 9.Repita a configuração no dispositivo remoto;
10. 10.Teste a ligação para confirmar se o túnel está a funcionar.

Quais as melhores práticas para uma configuração VPN de site para site?

Se uma coisa é pôr o túnel a funcionar, outra é garantir a sua segurança e estabilidade. Eis algumas práticas recomendadas para o ajudar a fazê-lo corretamente:

• Utilize uma encriptação forte como a AES-256 com o IPsec;
• Atualize regularmente o firmware em todos os dispositivos VPN;
• Restrinja o acesso com regras de firewall;
• Verifique os registos regularmente e configure alertas para tráfego anormal;
• Ative as configurações de recuperação de falha se for essencial uma alta disponibilidade.

Que hardware é necessário para instalar uma VPN de site para site?

Não precisa de equipamento empresarial sofisticado para executar uma VPN de site para site, embora precise das ferramentas certas:

• Um router ou firewall que suporte protocolos VPN entre sites (como o IPsec);
• Routers com WAN dupla, se pretender redundância de internet ou equilíbrio de carga;
• Concentradores VPN para gerir vários túneis em redes de grande escala;
• Um modem para uma ligação estável à internet em cada local.

Convém também notar que o hardware deve ter capacidade de processamento suficiente para suportar a encriptação sem que isso afete o desempenho de rede.

Quais as vantagens das VPN de site para site?

Entre as vantagens que uma VPN de site para site proporciona a organizações de todas as dimensões contam-se:

• Segurança de dados reforçada: uma VPN de site para site encripta os dados transferidos entre utilizadores ou localizações diferentes (o túnel VPN encriptado a que nos referimos atrás). Isto significa que, se terceiros mal-intencionadas intercetarem os dados durante o trânsito entre locais, estes serão apenas visíveis como código indecifrável sem a chave de desencriptação certa.
• Partilha simplificada de recursos: embora esta seja uma vantagem da maioria das WAN, vale a pena mencioná-la aqui. Uma VPN de site para site permite que funcionários espalhados por todo o mundo comuniquem, partilhem recursos e acedam de modo seguro a dados confidenciais. É uma excelente forma de manter a sinergia entre uma força de trabalho dispersa, desde que todos tenham acesso aos locais onde os gateways estão configurados.
• Integração fácil: uma das vantagens de se utilizar uma solução de segurança de rede do tipo VPN de site para site é não depender de um modelo cliente/servidor. Em vez de obrigar todos os utilizadores de uma rede empresarial a instalar um software cliente específico nos seus dispositivos, eles podem simplesmente ligar-se ao gateway da VPN para começar a beneficiar da segurança de dados mencionada. A utilização de um modelo não-cliente também ajuda nos raros casos em que determinados sistemas operativos e dispositivos não sejam compatíveis com o software VPN.

Quais as limitações das VPN de site para site?

As VPN de site para site também têm algumas limitações a ter em conta:

• Não são recomendadas para o trabalho remoto: desde 2020, o trabalho remoto começou a normalizar-se, o que fez com que muitos funcionários passassem a trabalhar em casa ou em espaços de coworking, onde não têm acesso a um gateway VPN específico. O mesmo se aplica a qualquer organização que dependa de freelancers, que não costumam conseguir aceder fisicamente aos locais que a VPN liga entre si.
• Segurança e privacidade limitadas: por mais seguros que sejam os protocolos VPN, uma VPN de site para site só consegue proteger os dados enquanto estes são transmitidos entre gateways. As LAN de ambos os lados dos gateways não estão necessariamente a salvo de cibercriminosos e intrusos, o que significa que, assim que as informações forem desencriptadas e enviadas para um dispositivo específico num dos locais, podem ser expostas. Esta é uma área em que as VPN cliente/servidor têm mais vantagens, uma vez que os dados que são enviados de e para dispositivos individuais instalados pelo cliente são normalmente encriptados.
• Implementação e gestão descentralizadas: embora muitas empresas estejam a adotar soluções VPN para melhorar a segurança de rede, a maioria prefere sistemas que possam ser implementados e geridos a partir de um ponto de controlo central. A gestão centralizada melhora a resolução de problemas técnicos e a segurança. Uma vez que configuração de uma VPN entre sites envolve diferentes equipas, em diferentes locais, isso dificulta a gestão centralizada.

Porque utilizar uma VPN de site para site para as comunicações B2B?

Há muitas vantagens de se utilizar uma VPN de site para site para as comunicações B2B: 

• Segurança: todo o tráfego é encriptado entre redes, reduzindo a exposição a ameaças.
• Controlo: pode decidir a que partes específicas da sua rede os seus parceiros ou contratantes podem aceder.
• Eficiência de custos: acaba com a necessidade de linhas alugadas ou circuitos privados dispendiosos.
• Comodidade: faz com que o acesso externo pareça estar a acontecer dentro da sua própria rede.

Como é que as redes empresariais podem tirar partido das VPN de site para site?

As VPN de site para site ajudam as empresas a funcionar como uma só unidade, independentemente do número de escritórios que tenham. Eis como são utilizadas pelas empresas:

• Partilha segura de dados entre escritórios globais;
• Backups centralizados a partir de filiais;
• Ativação de aplicações internas (como sistemas de CRM ou ERP) em todos os locais;
• Acesso a bases de dados e ferramentas partilhadas;
• Criação de uma política de segurança unificada em todos os locais;
• Flexibilidade híbrida, conjugando as VPN de site a site nas redes do escritório com as VPN de acesso remoto para os funcionários que trabalhem a partir de casa ou no terreno.

Uma VPN de site para site é melhor do que uma VPN baseada na web?

Tudo depende das suas necessidades:

• As VPN site para site servem para ligar redes inteiras, pelo que são a melhor opção para operações empresariais internas e acesso de parceiros;
• As VPN baseadas na web (como as VPN SSL) são ideais para indivíduos que precisem de acesso rápido, no navegador, a aplicações ou serviços específicos. São ótimas para uma utilização remota ocasional, mas não foram concebidas para uma integração total de rede.

A sua empresa precisa de uma VPN?

Uma VPN melhora a privacidade online e a segurança dos dados da maioria das empresas. A NordLayer, uma das soluções VPN B2B mais eficazes disponíveis, oferece uma variedade de opções para empresas de todas as dimensões. Se escolher o serviço VPN de site para site da NordLayer, poderá usufruir de gateways dedicados para todas as suas redes LAN.

Mesmo que já tenha uma solução de rede – a tecnologia MPLS, por exemplo –, a NordLayer pode desempenhar um papel fundamental na sua estratégia global de cibersegurança com o seu modelo de cliente/servidor, que permite às empresas partilhar dados e recursos com os seus funcionários de forma segura, tanto dentro como fora do escritório.

NordVPN: solução de software alternativa às VPN entre sites

A NordVPN é uma alternativa mais simples e acessível às VPN entre sites comuns, sobretudo para as pequenas empresas que precisam de acesso remoto seguro. Embora não seja uma VPN de site para site, as empresas podem utilizar um IP dedicado para dar aos funcionários remotos acesso seguro e controlado à sua rede, sem a complexidade de uma configuração tradicional.

Com funcionalidades como a encriptação AES-256, uma rede de servidores global e opções de segurança adicionais, como a VPN dupla, a NordVPN garante ligações rápidas e seguras. Além disso, a sua interface de fácil utilização e o apoio ao cliente 24/7 tornam-na uma excelente opção para empresas que precisem de um acesso remoto de confiança, sem configurações complicadas.