Como Funciona uma VPN Corporativa

O trabalho remoto deixou de ser exceção. Funcionários acessam sistemas da empresa de casa, durante viagens e em cafeterias. Mas abrir recursos corporativos diretamente para a internet é convite para ataques. VPN (Virtual Private Network) resolve esse problema criando uma conexão segura entre o dispositivo remoto e a rede da empresa.

Para quem toma decisões sobre infraestrutura, entender como a VPN funciona, quando é necessária e como implementar corretamente faz toda diferença entre acesso remoto seguro e vulnerabilidade exposta na internet.

O problema do acesso remoto

Antes de entender a solução, vale entender o problema. Sua empresa tem recursos internos: servidores de arquivo, sistemas de gestão, impressoras, banco de dados? Quando o funcionário está no escritório, acessa tudo normalmente através da rede local?

Quando esse funcionário trabalha remotamente, ele precisa acessar os mesmos recursos. A tentação é simplesmente abrir esses sistemas para a internet: liberar a porta do servidor de arquivos, configurar acesso externo ao sistema de gestão. Simples e direto.

Mas também é extremamente perigoso. Cada recurso exposto se torna uma porta de entrada para ataques. Bots vasculham a internet constantemente em busca de serviços expostos. Quando os encontram, tentam explorar vulnerabilidades, forçar senhas e injetar malware. E muitas vezes conseguem.

Mesmo com senhas fortes e sistemas atualizados, expor recursos diretamente aumenta drasticamente a superfície de ataque. A VPN resolve esse problema ao manter os recursos protegidos enquanto permite o acesso remoto.

Como a VPN funciona?

A VPN cria túnel criptografado entre o dispositivo do usuário e a rede da empresa. Todo o tráfego passa por esse túnel, protegido e invisível para quem está observando a conexão.

Quando o funcionário conectar à VPN, três coisas acontecem. Primeiro, o dispositivo autentica a rede da empresa. O usuário fornece as credenciais (usuário e senha, ou certificado digital) que são validadas pelo servidor VPN.

Segundo, uma vez autenticado, o dispositivo recebe o endereço IP da rede interna da empresa. Do ponto de vista da rede, é como se o dispositivo estivesse fisicamente conectado no escritório.

Terceiro, todo tráfego entre o dispositivo e a rede corporativa é criptografado. Mesmo que alguém intercepte a comunicação (em rede WiFi pública, por exemplo), vê apenas dados criptografados sem sentido.

O funcionário então acessa o servidor de arquivos, o sistema de gestão, a impressora, qualquer recurso interno usando os mesmos endereços e métodos que usaria no escritório. A diferença é que tudo passa pelo túnel VPN criptografado.

Tipos de VPN corporativa

VPN site-to-site

Conecta redes inteiras. Útil quando a empresa tem múltiplos escritórios ou filiais. Em vez de cada funcionário conectar individualmente, os roteadores dos escritórios estabelecem um túnel VPN permanente entre si.

O resultado é que as redes se comportam como se estivessem no mesmo local físico. O funcionário da filial acessa o servidor da matriz normalmente. A impressora do escritório B é visível para usuários do escritório A. Tudo transparente, sem que usuários precisem fazer nada.

A VPN site-to-site é implementada em firewalls ou roteadores corporativos. Fabricantes como SonicWall, Fortinet e WatchGuard oferecem recursos robustos de VPN site-to-site com alta performance e confiabilidade.

VPN remote access

Conecta dispositivos individuais à rede corporativa. É o tipo mais comum quando falamos de trabalho remoto. O funcionário instala o cliente VPN no notebook, autentica com suas credenciais, e ganha acesso aos recursos internos.

A VPN remote access pode ser sempre ativa (conecta automaticamente quando usuário liga o computador) ou sob demanda (usuário conecta quando precisa acessar recursos internos). A escolha depende do modelo de trabalho e políticas de segurança da empresa.

A implementação típica usa servidor VPN no firewall corporativo ou appliance dedicado. Usuários instalam o cliente VPN fornecido pelo fabricante do equipamento (SonicWall NetExtender, Fortinet FortiClient, etc.).

VPN clientless

Não exige instalação de software. O usuário acessa o portal web seguro (HTTPS) e autentica. Através desse portal, consegue acessar aplicações web internas. A limitação é que funciona apenas para recursos baseados em web, não para compartilhamentos de arquivos ou aplicações desktop.

A VPN clientless é útil para cenários específicos: acesso ocasional de dispositivos não gerenciados pela empresa (computador pessoal, dispositivo de fornecedor), ambientes onde não é possível instalar software, acesso apenas a aplicações web.

Protocolos de VPN

As VPNs usam protocolos diferentes para criar túneis criptografados. Os mais comuns em ambientes corporativos são IPsec, SSL/TLS e WireGuard.

O IPsec é padrão da indústria, suportado por praticamente todos equipamentos corporativos. Oferece segurança robusta e performance excelente, mas a configuração pode ser complexa. É o protocolo típico para VPN site-to-site.

O SSL/TLS (também chamado de SSL VPN) funciona sobre HTTPS, mesma tecnologia que protege sites bancários. Por usar porta 443 (HTTPS), raramente é bloqueado por firewalls ou redes corporativas restritivas. É comum em VPN remote access e VPN clientless.

O WireGuard é protocolo mais recente, com código muito mais simples que o IPsec. Isso facilita a auditoria de segurança e reduz a superfície de ataque. A performance também é superior. Ainda não é tão amplamente suportado quanto o IPsec ou SSL VPN, mas está ganhando adoção rapidamente.

Para a maioria das empresas, a escolha do protocolo é determinada pelo equipamento que você usa. Firewalls corporativos modernos suportam múltiplos protocolos, e você escolhe baseado em necessidade específica (compatibilidade com dispositivos, requisitos de performance, complexidade de configuração).

Autenticação e controle de acesso

O VPN sem autenticação forte é porta aberta. Não basta ter um túnel criptografado. Você precisa garantir que apenas pessoas autorizadas consigam se conectar.

A autenticação básica usa usuário e senha. Mas senhas podem ser fracas, roubadas, compartilhadas. A autenticação de dois fatores (2FA) adiciona uma camada essencial de proteção. O usuário fornece senha e código temporário de aplicativo no celular ou token físico.

Com 2FA, mesmo que senha seja comprometida, o invasor não consegue conectar sem o segundo fator. Para ambientes corporativos, 2FA em VPN não deveria ser opcional.

A autenticação pode ser local (usuários cadastrados no próprio servidor da VPN) ou integrada a um diretório corporativo, como Active Directory e LDAP. A integração com um diretório centraliza o controle de acesso. Quando um funcionário deixa a empresa, basta desativar a conta no Active Directory e, automaticamente, ele perde o acesso à VPN, ao e-mail, aos sistemas internos e a todos os demais recursos corporativos.

O controle de acesso granular permite definir quais recursos cada usuário pode acessar através da VPN. O departamento financeiro acessa o sistema contábil, mas não o sistema de RH. Os estagiários acessam apenas recursos específicos necessários para seu trabalho. Essa segmentação limita o dano em caso de credenciais comprometidas.

Performance e capacidade

A VPN adiciona overhead. A criptografia e o encapsulamento consomem recursos e aumentam a latência. Para uso ocasional (verificar e-mails, acessar documentos), o impacto é praticamente imperceptível. Já para trabalho remoto intensivo (videoconferências, transferência de arquivos grandes), a performance do servidor da VPN faz diferença.

Os Firewalls corporativos têm capacidade limitada de túneis VPN simultâneos. Um firewall de entrada pode suportar 10 ou 20 usuários VPN. Um firewall de médio porte, 50 a 100. Equipamentos top de linha, centenas ou milhares.

É importante dimensionar baseado em uso real. Se você tem 50 funcionários mas apenas 10 trabalham remotamente simultaneamente, não precisa de equipamento que suporte 50 túneis. Mas precisa considerar o crescimento. Se a empresa está expandindo o trabalho remoto, a capacidade precisa acomodar isso.

A latência também importa. A VPN adiciona alguns milissegundos ao tempo de resposta. Para maioria das aplicações, não faz diferença. Mas para aplicações que exigem resposta instantânea (VoIP, controle remoto de máquinas, sistemas de automação industrial), latência extra pode ser um problema.

VPN e trabalho remoto permanente

As empresas que adotaram o trabalho remoto permanente enfrentam um desafio: manter todos os funcionários conectados à VPN o tempo todo coloca uma carga enorme no servidor da VPN e no link de internet da empresa.

Se 80% da equipe trabalha remotamente, todo tráfego de internet deles passa pelo escritório (conectar à VPN, VPN roteia para internet). Isso pode saturar o link e criar gargalos desnecessários.

A solução moderna é split tunneling. O tráfego para recursos internos passa pela VPN. Já o tráfego para internet vai direto, sem passar pelo escritório. Isso reduz a carga no servidor VPN e melhora a experiência do usuário (sites carregam mais rápido, videoconferências não sobrecarregam o link do escritório).

Mas o split tunneling traz considerações de segurança. O dispositivo conectado à VPN com split tunneling tem pé na rede corporativa e pé na internet aberta simultaneamente. Se o dispositivo está comprometido, pode servir de ponte. A decisão de usar split tunneling precisa equilibrar performance e segurança.

VPN versus ZTNA

O ZTNA (Zero Trust Network Access) é uma abordagem mais moderna que a VPN tradicional. Em vez de dar acesso à rede inteira, o ZTNA dá acesso apenas às aplicações específicas que o usuário precisa.

Com VPN, o usuário autentica e ganha acesso à rede. Com ZTNA, o usuário autentica e cada aplicação valida novamente se aquele usuário pode acessá-la, baseado em políticas granulares.

O ZTNA é especialmente relevante para empresas com muitos sistemas em nuvem. Em vez de o usuário conectar à VPN para depois acessar o sistema SaaS na internet, o ZTNA cria uma camada de autenticação e autorização diretamente no acesso à aplicação.

Para a maioria das empresas, a VPN tradicional ainda é a solução adequada. Já o ZTNA faz mais sentido para organizações grandes, com infraestrutura complexa, múltiplos ambientes de nuvem, requisitos rígidos de conformidade.

Implementação prática

Implementar VPN corporativa envolve alguns passos bem definidos.

Primeiro – Definir requisitos. Quantos usuários simultâneos? Quais recursos eles precisam acessar? Qual nível de segurança é necessário (autenticação básica ou 2FA)? VPN será sempre ativa ou sob demanda?

Segundo – Escolher o equipamento. Para empresas pequenas (até 20 usuários VPN), um servidor VPN no firewall corporativo costuma ser suficiente. Para empresas maiores, pode fazer sentido appliance VPN dedicado ou solução baseada em nuvem.

Terceiro – Configurar servidor VPN. Isso inclui: escolher o protocolo, configurar a autenticação (local ou integrada a Active Directory), definir faixa de IPs para clientes VPN, configurar rotas (quais redes os clientes podem acessar), implementar 2FA se necessário.

Quarto – Preparar os clientes. Distribuir software cliente VPN para usuários, criar guias de configuração, treinar equipe em como conectar e resolver problemas básicos.

Quinto – Testar antes de liberar para todos. Alguns usuários piloto testam o acesso a diferentes recursos, reportam problemas, validam que tudo funciona como esperado.

Finalmente, monitorar e ajustar. Logs do servidor VPN mostram quem está conectado, quando, de onde, por quanto tempo. Essas informações ajudam a identificar problemas e otimizar a configuração.

Segurança de VPN

A VPN protege a conexão entre dispositivo e rede corporativa. Mas não protege o dispositivo em si. Se o notebook do funcionário está infectado com malware, o malware tem acesso à rede corporativa quando a VPN está ativa.

Por isso, a VPN precisa trabalhar em conjunto com outras proteções. Dispositivos que conectam à VPN devem ter antivírus atualizado, firewall ativo, sistema operacional com patches de segurança aplicados. Para ambientes com requisitos mais rígidos, EDR (Endpoint Detection and Response) adiciona camada extra de proteção.

Alguns servidores VPN podem verificar a postura de segurança do dispositivo antes de permitir a conexão. Se o dispositivo não tem antivírus ativo ou o sistema operacional está desatualizado, o VPN pode recusar conexão ou dar acesso limitado (apenas para atualizar proteções). Para entender melhor como estruturar a proteção completa, veja nosso guia sobre como proteger rede da empresa.

VPN e LGPD

A LGPD exige proteção adequada de dados pessoais, inclusive quando acessados remotamente. A VPN é uma técnica que demonstra conformidade. Sem a VPN, os dados trafegam sem proteção entre dispositivo remoto e empresa, vulneráveis a interceptação.

Além disso, logs de VPN são evidência de controle de acesso. Você consegue demonstrar quem acessou o quê e quando. Em caso de incidente ou auditoria, esses logs são fundamentais.

Para empresas que lidam com dados sensíveis (saúde, finanças, dados de crianças), a VPN não é opcional. É requisito básico de conformidade.

Custos envolvidos

O custo de implementar uma VPN varia significativamente baseado no tamanho da empresa e complexidade da solução.

Para empresas pequenas (até 20 usuários), um servidor VPN integrado ao firewall corporativo pode ser suficiente. O custo é basicamente o firewall (equipamentos de entrada custam entre R$ 3.000 e R$ 8.000) mais licenças se o fabricante cobrar por usuário VPN.

Para empresas maiores, a adoção de um appliance de VPN dedicado ou de uma solução em nuvem pode ser mais adequada. Appliances podem variar de R$ 10.000 a R$ 50.000, dependendo da capacidade. Já as soluções em nuvem costumam cobrar por usuário mensalmente (R$ 20 a R$ 80 por usuário).

Custos indiretos incluem tempo de configuração, treinamento de usuários e suporte contínuo. Mas comparado ao custo de dados vazados ou conformidade inadequada, o investimento é insignificante.

Alternativas a VPN tradicional

Para algumas situações, a VPN tradicional pode ser exagerada. Empresas muito pequenas, com poucos recursos internos, podem usar soluções mais simples.

Acesso remoto a desktop (RDP, VNC, TeamViewer) permite ao usuário controlar o computador do escritório remotamente. Limita o tráfego (só tela vai e vem) e centraliza dados (arquivos ficam no computador do escritório, não no dispositivo remoto).

Soluções SaaS (sistemas de gestão, e-mail, armazenamento em nuvem) já têm segurança embutida. Se a empresa opera principalmente com ferramentas em nuvem, a necessidade de uma VPN diminui.

Mas para empresas com infraestrutura interna significativa (servidores de arquivo, sistemas legacy, banco de dados local), a VPN é praticamente inevitável.

Problemas comuns e soluções

A VPN não conecta. Causas comuns: credenciais erradas, servidor VPN offline, firewall bloqueando porta, problema na internet do usuário. Processo de diagnóstico começa verificando credenciais, depois conectividade básica (ping ao IP público da empresa), depois logs do servidor VPN.

VPN conecta mas não acessa recursos. Problema de roteamento ou DNS. O cliente VPN precisa saber que recursos internos devem ser acessados através do túnel, e precisa conseguir resolver nomes internos. Verificar configuração de rotas no servidor VPN e configuração de DNS.

VPN lenta. Pode ser limitação do servidor VPN (CPU saturada criptografando tráfego), link de internet insuficiente (na empresa ou do usuário), ou overhead de criptografia em dispositivo antigo. Verificar utilização de recursos do servidor VPN e testar velocidade em diferentes horários.

Desconexões frequentes. Pode ser internet instável do usuário, timeout agressivo no servidor VPN, ou conflito com firewall/antivírus local. Ajustar timeouts no servidor e verificar se o software de segurança está bloqueando VPN.

Equipamentos necessários

Implementar uma VPN corporativa exige alguns equipamentos essenciais. O servidor VPN é o núcleo da solução. Pode ser integrado ao firewall corporativo ou appliance dedicado. Para infraestrutura híbrida (parte local, parte em nuvem), pode fazer sentido servidor VPN também em nuvem. Se você está avaliando onde hospedar sua infraestrutura, veja nosso artigo sobre servidor físico ou nuvem.

Link de internet com IP fixo é necessário para que o servidor VPN seja acessível. Link também precisa ter banda adequada para o número de usuários simultâneos esperado.

Certificado digital para servidor VPN garante que usuários estão se conectando ao servidor legítimo da empresa, não a servidor falso. Certificados podem ser auto-assinados (grátis mas geram avisos nos clientes) ou de autoridade certificadora comercial.

A Wide Lan fornece equipamentos de infraestrutura de rede incluindo firewalls com servidor VPN integrado de fabricantes como SonicWall, Fortinet e WatchGuard. Orientamos na escolha do equipamento adequado ao número de usuários e requisitos de performance.

Próximos passos

Se sua empresa tem funcionários trabalhando remotamente e ainda não usa VPN, está expondo recursos internos ou forçando usuários a métodos inseguros de acesso. Implementar VPN precisa ser prioridade.

Comece avaliando quantos usuários precisam de acesso remoto e quais recursos. Isso define o dimensionamento do equipamento. Depois, escolha se vai usar o servidor VPN integrado ao firewall ou solução dedicada.

Implementar autenticação de dois fatores desde o início. Não adie essa proteção para depois. É muito mais fácil implementar logo do que adicionar posteriormente quando todos já estão acostumados com senha simples.

Documente o processo de conexão e crie material de treinamento para usuários. A VPN só é efetiva se os usuários conseguem usá-la sem dificuldade. E certifique-se de que usuários sabem a quem recorrer quando têm problemas. 

A Wide Lan fornece equipamentos para implementação de VPN corporativa. Entre em contato para orientação técnica sobre a solução mais adequada ao porte e necessidade da sua empresa.