A segurança é um ponto crucial na implementação e funcionamento de uma rede VPN, já que os dados estão sempre percorrendo um meio compartilhado, cujos usuários podem ter acesso a essas informações. Uma grande empresa por exemplo não pode se descuidar e permitir que dados de filiais diferentes percorram um meio tão aberto quanto a internet sem medidas de seguranças adicionais aplicadas a rede VPN.
Para que a segurança dos dados de VPN seja satisfatória, devem-se respeitar os princípios da integridade, autenticidade e confidencialidade, já descritos na seção sobre IPsec. Tais princípios podem ser alcançados com a utilização de diversas técnicas ou ferramentas, como por exemplo:
Um firewall funciona como uma porta de entrada à rede privada, baseada numa política de segurança previamente especificada. Dessa forma, é feito o controle de todo o tráfego de dados, permitindo ou não a entrada do mesmo. Portanto, o firewall é uma parte crucial de uma VPN, uma vez que, por mais que não resolva todos os problemas de segurança, é um risco muito alto não ter esse controle de acesso à rede.
Em redes privadas virtuais, é importante entendermos a questão da localização do firewall dentro da rede. Podemos ter um gateway VPN integrado a um firewall, um firewall entre a Internet e o ponto terminador da VPN ou após o ponto terminador da VPN. No primeiro caso, todos os princípios de segurança da VPN estão sendo feitos junto com a política de segurança determinada pela empresa. Assim, garante a segurança da VPN pois ocorre uma integração com a segurança do firewall. No caso do firewall entre a Internet e o ponto terminador da VPN, ocorre uma análise do tráfego fora do túnel VPN. Isso significa que pacotes não autorizados vindos da Internet serão protegidos, porém o tráfego da rede VPN não, pois este será analisado pelo gateway da VPN. Em último caso, os pacotes entram na rede interna da empresa e, então, são analisados pelo firewall.
Tendo em vista a centralidade na gerência e controle dos dados, a primeira opção é a mais viável em questão de segurança, além de possuir um melhor custo benefício. De certa forma, todas as opções tem suas particularidades e devem ser implementadas de acordo com o interesse da empresa.
Filtros de pacotes: são firewalls que analisam apenas o endereço de destino dos pacotes. Com isso, ganha vantagem na questão da velocidade, uma vez que não analisa a maior parte do pacote, que são os dados. Por isso, os filtros de pacotes possuem um baixo custo, porém proteção limitada.
Proxy: nesse tipo de configuração, o firewall funciona redirecionando o pacote ao servidor, após análise dos serviços de aplicação. Ocorre uma comunicação entre o cliente e o firewall, que por sua vez se comunica com o servidor. Essa solução é bem mais segura, mas peca no quesito velocidade.
Stateful Inspection: esse tipo de firewall é considerada a melhor opção no mercado. Ele funciona controlando toda a sessão aberta entre a origem e o destino, analisando o pacote nas camadas acima da Rede. Dessa forma, garante um alto nível de segurança dos dados.
A criptografia funciona como um método de codificar uma certa mensagem que se deseja transmitir, garantindo a privacidade da informação. Para isso, o texto é embaralhado a partir de uma chave de criptografia e o receptor utiliza uma chave de deciframento para conseguir ler a mensagem original. Existem dois tipos de chave: chave simétrica ou chave assimétrica. No caso da chave simétrica, tanto o emissor quanto o receptor utilizam a mesma chave para criptografar e descriptografar a mensagem. Essa chave possui a vantagem da velocidade em relação a chave assimétrica. Já a chave assimétrica, as chaves utilizadas por cada usuário são diferentes. Existe uma parte pública e uma parte privada da chave. Quando queremos enviar uma mensagem ao nosso destinatário, utilizamos a parte pública da chave dele e ele irá descriptografar com a parte privada da chave. Para que isso ocorra, existem algoritmos que a implementam, como o Diffie-Hellman e o RSA.
Como o nome diz, serve para controlar o acesso de usuários a acessar a rede como um todo. Funciona para restringir o acesso de usuários de diferentes áreas da empresa, garantindo a segurança de todos.
É preciso ter a noção de que mesmo se precavendo, riscos mesmo que pequenos ainda podem ocorrer, uma vez que nunca teremos um sistema 100% seguro. Por exemplo, caso ocorra alguma falha no sistema criptográfico, teríamos uma violação de um dos princípios de uma rede VPN, que é a privacidade. Assim, a rede seria um fácil alvo ao ataque de possíveis hackers, quebrando toda a ideia que a rede VPN possui, que é a de garantir a segurança da transmissão de pacotes. Assim, é importante equilibrar a questão do custo benefício, já que não queremos uma solução barata que não consiga cumprir o seu papel de forma eficiente.