Segurança no mundo Apple: VPN

VPN

VPNVirtual Private Network é um recurso muito utilizado dentro de ambientes corporativos para garantir a confidencialidade e a integridade dos dados durante a comunicação. O conceito é simples e fácil de entender: VPN é um túnel criptografado criado entre o computador cliente e um servidor — ele estende recursos de uma rede privada através de um meio público, por isso da criptografia.

Vamos imaginar que sua empresa possui um servidor de arquivos conectado na rede interna e você em viagem de negócios precisa de um determinado arquivo armazenado no servidor. Embora existam muitos recursos alternativos, como um colega de trabalho enviar o arquivo por email, o administrador da rede criar uma rota do mundo externo até o servidor de arquivos e muitas outras “gambiarras”, nenhuma dessas soluções atendem o mínimo de segurança.

O correto é que a sua empresa, através do administrador da rede, crie um serviço de VPN para que você se conecte remotamente e tenha acesso ao servidor de arquivos. Uma vez conectado, o seu computador ou dispositivo móvel recebe um endereço IP da rede interna e passa a ter acesso a todos os serviços presentes, como por exemplo impressoras, câmeras ou qualquer outro serviço na rede. Quando me refiro a “ter acesso”, estou mencionando a comunicação entre o seu dispositivo conectado na VPN e o serviço, daí em diante você precisa de um programa cliente, autenticação e autorização.

VPN no iOSAntes de configurar um cliente VPN você precisa saber que existem diversos tipos de protocolos e recursos de segurança e cabe ao administrador da rede informar a você os dados de conexão. O cliente VPN do OS X tem suporte nativo a L2TP sobre IPSec, PPTP e Cisco IPSec, o que o torna compatível com os mais populares servidores VPN. Para configurá-lo, abra as Preferências do Sistema (System Preferences) e vá à área Rede (Network); agora, como administrador do sistema, adicione uma interface VPN clicando sobre o botão de mais (+) e siga com as configurações fornecidas pelo administrador da rede. O iOS também possui um cliente VPN nativo e pode ser configurado através de Ajustes » Geral » VPN; ele possui os mesmos recursos disponíveis no OS X. Configurar um cliente VPN é similar ao que fazíamos antigamente quando criávamos uma conexão discada com o provedor de internet.

Durante a etapa de conexão a um servidor VPN você precisa informar as suas credenciais de autenticação, podendo ser um usuário e senha da rede ou outra forma de autenticação fornecida pelo administrador. Lembrando que também podem ser utilizados certificados digitais e tokens RSA ou CRYPTOCard para autenticação. Os tokens de senha única fornecem um código numérico gerado aleatoriamente que são utilizadas como senhas de conexão VPN, uma ótima solução para aumentar o nível de segurança, similar aos tokens fornecidos pelos bancos hoje em dia.

Uma observação importante, tanto no OS X quanto no iOS, é quanto a qual tráfego será encaminhado pela conexão VPN. Normalmente um sistema possui várias rotas de comunicação e nas configurações avançadas do cliente VPN você pode configurar para que todo o tráfego do sistema seja encaminhado pela VPN. E também pode-se configurar o proxy, caso a sua empresa utilize esse tipo de recurso.

VPN sobre demanda era um recurso disponível até pouco tempo atrás e que foi removido nos últimos updates de sistema em função da quebra de uma patente. O sistema detectava a solicitação de acesso a um determinado domínio e estabelecia uma conexão VPN previamente configurada. Até o momento a Apple ainda não se pronunciou sobre o assunto, mas tudo indica que o recurso poderá voltar ao sistema pois ainda existem muitas referências ao recurso nos arquivos internos do OS X e também nos arquivos de ajuda.

Caso você seja um administrador de rede e queira criar uma solução automatizada de configuração de cliente VPN que funcione tanto para OS X quanto para iOS (e a sua empresa ainda não tenha investido em uma solução de MDM corporativa), você pode criar manualmente um perfil (profile) de configuração e disponibilizá-lo em um site para download ou enviá-lo por email. Para criá-lo baixe o iPhone Configurator Utility, disponível em versões para OS X quanto para Windows. O mesmo arquivo .profile que será exportado funciona tanto para iOS quanto para sistemas OS X a partir do Lion. Opcionalmente, você pode criptografar o arquivo perfil com um certificado digital válido, evitando que pessoas modifiquem o conteúdo, ou também criar uma senha de segurança para evitar que usuários desconhecedores da senha apaguem as configurações aplicadas pelo perfil após instalado.

Caso você tenha interesse em configurar um servidor VPN na sua empresa ou até mesmo na sua casa, existem diversos roteadores que possuem este tipo de serviço embutido ou, se você preferir, o próprio OS X Server possui o serviço de servidor VPN nativo e pode ser instalado em qualquer computador Mac que rode o Mountain Lion. Por questões de segurança, ao habilitar um serviço de VPN dê preferencia ao protocolo L2TP sobre IPSec em vez de PPTP.

·   ·   ·

Sempre quando inicio um novo artigo, faço um trabalho de pesquisa para tentar levantar o máximo de informações atualizadas para você, leitor. Isto engloba pesquisa no próprio MacMagazine para saber o que já foi tratado e como foi abordado o assunto. Na pesquisa de hoje, me deparei com alguns artigos relacionados com VPN e acesso a serviços de entretenimento de video. Dentre eles, ao ler o artigo “Como desfrutar do Hulu Plus na sua Apple TV mesmo estando no Brasil”, me deparei com um modelo de negócio que vem sendo utilizado por empresas que vendem facilidades e ilegalidades. O que mais me surpreendeu é que, fazendo um busca rápida no Google, encontrei inúmeras empresas que vendem uma nova forma não-documentada de VPN (risos).

Primeiramente gostaria de deixar claro que alterar DNS não tem nada a ver com estabelecer uma conexão VPN, essas empresas estão utilizando técnicas que são exploradas por hackers para sob o seu consentimento interceptar as requisições DNS e redirecioná-lo para um site falsificado (DNS spoofing) o qual agirá como um intermediador (“man-in-the-middle”) entre o cliente (Apple TV, smart TV, iPad ou qualquer dispositivo que queira configurar) e o servidor (Netflix, Hulu Plus ou qualquer outro serviço de video que faça restrição de conteúdo por país). Quem garante que eles estão interceptando apenas os serviços de vídeo? E quem garante que, na etapa de autenticação do serviço, eles não capturam e armazenam as informações da sua conta? Sem falar nos casos onde você insere os dados do cartão de crédito para faturamento do serviço de vídeo. Fica a dica.

Posts relacionados

Comentários