O que é uma VPN? Um guia completo

Uma rede privada virtual — VPN — é um serviço que roteia o tráfego de internet de um dispositivo por um túnel criptografado até um servidor operado pelo provedor. Este guia explica como uma VPN funciona em nível técnico, o que ela pode e o que não pode fazer pela sua privacidade e segurança, e como avaliar as opções disponíveis.

O que uma VPN realmente faz

Um app de VPN cria um túnel de rede entre o dispositivo do usuário e um servidor remoto. Todo o tráfego do dispositivo destinado à internet é encapsulado, criptografado e enviado por esse túnel até o servidor, que então encaminha o tráfego ao seu destino na internet pública. O tráfego de retorno segue o caminho inverso.

Duas mudanças práticas decorrem desse arranjo. Primeiro, as redes entre o dispositivo e o servidor VPN — incluindo o Wi-Fi local, o provedor de internet e quaisquer redes de trânsito — observam apenas tráfego criptografado entre o dispositivo e o servidor VPN. Segundo, a internet pública vê requisições originadas do endereço IP do servidor VPN, e não do endereço real do dispositivo.

Uma VPN, portanto, altera quem pode observar o tráfego e qual endereço fica visível para serviços remotos. Ela não torna, por si só, uma conexão anônima, nem elimina todas as formas de rastreamento.

Como uma VPN funciona

O mecanismo central é o encapsulamento combinado com a criptografia. Quando o cliente VPN está ativo, o sistema operacional roteia os pacotes de saída por uma interface de rede virtual criada pelo app de VPN. Cada pacote é envolvido dentro de um novo pacote — encapsulado — e criptografado usando uma chave de sessão negociada quando a conexão foi estabelecida.

Tunelamento

O encapsulamento significa que o pacote original — incluindo seu endereço de destino e seu conteúdo — se torna o conteúdo de um pacote externo endereçado ao servidor VPN. O pacote externo viaja pela internet pública até o servidor, que descriptografa o conteúdo e encaminha o pacote original adiante.

Criptografia

Os protocolos de VPN modernos usam algoritmos de criptografia autenticada como ChaCha20-Poly1305 ou AES-GCM. As chaves de sessão são negociadas no momento da conexão usando protocolos de troca de chaves baseados em criptografia de chave pública. Isso garante que um observador no meio da conexão não consiga ler o tráfego encapsulado nem modificá-lo sem ser detectado.

Roteamento e DNS

Além da criptografia, o app de VPN também reconfigura a tabela de roteamento do sistema operacional para que todo o tráfego — ou, em algumas configurações, apenas destinos específicos — seja enviado pelo túnel. As consultas de DNS também são, em geral, roteadas pela VPN para evitar vazamentos para a rede local.

Casos de uso comuns

As VPNs servem a vários propósitos distintos, e a configuração adequada do provedor depende de qual deles é a motivação principal.

• Privacidade diante de redes locais. Conexões de Wi-Fi público — cafés, hotéis, aeroportos — podem expor tráfego não criptografado a outros usuários da mesma rede. Uma VPN elimina essa exposição porque o tráfego é criptografado antes de sair do dispositivo.
• Privacidade diante dos provedores de internet. Os provedores de internet podem observar os destinos de consultas DNS não criptografadas e os metadados de conexões TLS. Uma VPN transfere essa visibilidade do provedor de internet para o provedor de VPN.
• Seleção de localização geográfica. Alguns serviços restringem o acesso com base no endereço IP do usuário. Uma VPN permite que o usuário pareça estar se conectando do país onde o servidor VPN está localizado.
• Acesso à rede para organizações. VPNs corporativas são usadas para permitir que trabalhadores remotos alcancem serviços internos privados que não estão expostos à internet pública.

Protocolos nas VPNs modernas

O protocolo determina como o túnel é estabelecido, quais algoritmos criptográficos são usados e como a conexão se comporta diante de perda de pacotes ou mudanças de rede. Os protocolos mais comumente encontrados em serviços de VPN para consumidores são WireGuard, OpenVPN e IKEv2/IPsec.

O WireGuard é o mais recente dos três. Ele usa um pequeno conjunto de primitivas criptográficas modernas, cabe em cerca de quatro mil linhas de código e está integrado ao kernel do Linux, bem como à maioria dos sistemas operacionais de consumidores. Seu design favorece simplicidade, desempenho e uma pequena superfície de auditoria.

O OpenVPN é mais antigo e consideravelmente mais flexível: ele oferece suporte a muitas suítes de cifras, transportes e opções de configuração. Essa flexibilidade vem ao custo de complexidade. O OpenVPN continua amplamente implantado, em especial em ambientes corporativos.

O IKEv2/IPsec é integrado ao iOS, ao macOS e ao Windows. Ele tem bom desempenho em dispositivos móveis e lida com mudanças de rede — por exemplo, a alternância entre Wi-Fi e dados móveis — de forma elegante.

Uma comparação detalhada dos dois protocolos de consumidor mais comuns está disponível na nossa comparação entre WireGuard e OpenVPN.

VPN versus proxy e Tor

As VPNs às vezes são confundidas com proxies e com a rede Tor. Os mecanismos e os modelos de ameaça são diferentes.

Um servidor proxy encaminha o tráfego de um aplicativo específico — mais comumente HTTP — para um destino em nome do usuário. Os proxies, em geral, não criptografam o tráfego por conta própria e operam no nível do aplicativo, e não no nível da rede.

O Tor é uma rede de anonimato que roteia o tráfego por três relés escolhidos de um conjunto operado por voluntários, criptografando cada salto separadamente. O Tor oferece anonimato diante da rede — nenhum relé isolado pode observar tanto a origem quanto o destino — mas é mais lento que uma VPN e é inadequado para tarefas de alta vazão.

Uma VPN oferece criptografia diante da rede local e altera o endereço IP observável, mas transfere a confiança para o provedor de VPN, que vê o endereço real do usuário e os destinos que o usuário alcança.

Limitações que você deve entender

Uma VPN é um componente de uma postura de privacidade mais ampla e não deve ser tratada como uma solução completa. Várias limitações importantes se aplicam.

O provedor de VPN é um novo ponto de confiança. Onde o provedor de internet antes tinha visibilidade das conexões, o provedor de VPN agora tem visibilidade equivalente. A credibilidade da política sem registros do provedor e do design da sua infraestrutura passa, portanto, a ser importante. Nosso guia sobre políticas de VPN sem registros explica o que essas afirmações realmente significam.

A segurança do dispositivo não muda. Uma VPN não protege contra malware em execução no dispositivo, ataques de phishing, extensões de navegador comprometidas ou rastreamento por aplicativos que já receberam acesso aos dados do usuário.

O rastreamento no nível do site continua. Uma VPN altera o endereço IP visível para serviços remotos, mas não afeta cookies, impressões digitais do navegador ou contas nas quais o usuário está conectado.

Como escolher um provedor

Ao avaliar serviços de VPN, vale a pena examinar vários fatores.

• Suporte a protocolos. Provedores modernos devem oferecer suporte a WireGuard ou IKEv2/IPsec. O OpenVPN continua sendo uma escolha razoável por compatibilidade.
• Política de privacidade e histórico de auditoria.Uma política de privacidade curta e específica, com resultados de auditoria independente, é mais confiável que um texto de marketing alegando “criptografia de nível militar” sem mais detalhes.
• Requisitos de conta. Serviços que operam sem contas de usuário retêm menos dados e reduzem o volume de informações que poderiam ser expostas em caso de uma violação.
• Implementação do kill switch. Um kill switch funcional evita a exposição do tráfego se o túnel for desconectado. Nossa visão geral sobre kill switches de VPN explica como verificar se ele está operando corretamente.
• Jurisdição. O país no qual o provedor está constituído afeta o regime jurídico sob o qual ele opera.

O Snap VPN é construído em torno de vários desses princípios: um único protocolo, sem contas de usuário, um kill switch ativado por padrão e uma rede de servidores selecionada em três regiões, em vez de dezenas de localizações pouco usadas. As etapas detalhadas de configuração estão documentadas no guia de configuração no iPhone.