VPN (Virtual Private Network)

Obrigado Leonardo! Fico lisonjeado.

Muito obrigado Benoni, fico lisonjeado com teus comentários. Sempre tem um risco envolvido, tem que ficar de olho aberto ;)

Obrigado Keith! Fico feliz que tenha curtido!

+Ana Martins Obrigado pelo feedback! Não deixe de assistir aos demais vídeos =)

Muito obrigado Leandro!

Show João!

Oi Luiz! Obrigado por voltar =)
No momento os vídeos são feitos mais por diversão e estou me dedicando a outros projetos também!
Mas ainda esse mês vou lançar um vídeo. O assunto será DDoS.
Volte sempre!

entendo, deixo aqui meus agradecimentos pelo conteúdo passado, conteúdo esse de excelente qualidade e muito bem explicado.obrigado!!

+Thiago Ferreira Boa!! Obrigado, assina o canal e vai acompanhando =) Abraço!

Hehe... ja dizia Sun Tzu: conheça seu inimigo e a si mesmo e vencerá todas as batalhas!
Abs

Obrigado Laércio

na vdd túnel nada mais é que uma sequência de zero e um no começo e no fim do pacote

Ou seja vai continuar usando a mesma infraestrutura da Internet mas devido a esses zeros e um nos cabeçalhos dizemos que criamos uma espécie de túnel, devido só as extremidades entenderem esse pacote

Caro José Roberto, excelente pergunta. Sempre há um risco (tudo em Segurança da Informação é baseado em mitigação de risco), mas nesse caso o risco é menor por se tratar de um fabricante grande.
Abs

Não Lucas, mas é possível fazer citações de vídeos en conteúdo "bibliográfico"

Tem razão Michel. Quando esse vídeo foi gravado o Whatsapp não tinha a criptografia fim-a-fim.

Verdade, foi anunciada cobertura total poucos meses depois. Mas a questão do Firewall vc falou algumas coisas incongruentes. Firewall bloqueia portas e IPs conhecidos. Quando ativado ele bloqueia tudo e permite apenas tráfego em portas conhecidas. No caso de um site como Facebook vc não pode mandar bloquear a porta 80, pois isso causaria a perda total de acesso à internet. Então ele lista todos IP's usados pelo Facebook mundo a fora e então os bloqueia. Facebook há várias URLs e IP's que balanceia o tráfego. Há inclusive um endereço para "beta" que é totalmente independente mas tem acesso ao conteúdo do Facebook.
Então no caso da questão ali que vc exemplifica como um "firewall" enxergaria uma comunicação VPN. Ela é equivocada a porta usada pelo VPN precisa está aberta e alguns usam a porta 80 assim como túneis do ngrok ou localtunnel.
A maioria dos sites com HTTPS são encriptados e nem por isso impossibilita o uso de firewall saca? outro exemplo seria o Torrent, ele pode ser forçado a usar encriptação e o firewall não tem essa necessidade de ver oq tem naquela comunicação para bloqueá-lo. Ele apenas precisa bloquear portas e IPs. Como torrent é com portas aleatórias e IP's aleatórios ficaria virtualmente impossível de bloquear via firewall se ele dependesse de "ver o q tem no tráfego". Pois no seu exemplo o firewall não enxergaria a comunicação do Torrent. Sendo que n é assim.
Abraço.

Obrigado pela resposta, comentários e debate. Vale algumas colocações adicionais:
Verdade. O firewall "tradicional" funciona dessa forma. No entanto, a maior parte das empresas hoje utiliza NGFW, com capacidades de chegar à camada 7, além de incorporar a função de concentrador VPN, antes feita em um dispositivo separado.
Quanto ao Facebook: Isso tudo que tu falou é verdade tratando-se de Firewall tradicional, exceto por mencionar porta 80 (HTTP) pois o Facebook utiliza a porta 443 (HTTPS). Mas tem razão quando fala que não é possível (ou, no mínimo, não escalável) bloquear aplicações (como FB) tendo apenas IP e Portas como recurso.
Firewalls de Aplicação ou NGFWs têm sim a capacidade de "detectar tráfego VPN", devido ao comportamento do tráfego. Mesmo um Firewall tradicional (baseado em Portas) consegue alguma efetividade em bloquear VPN site-to-site que costuma utilizar IPSec como protocolo e utilizar portas tradicionais, como: 50, 51 e 500.
Agora, especificamente quanto a esse trecho:
"A maioria dos sites com HTTPS são encriptados e nem por isso impossibilita o uso de firewall saca? outro exemplo seria o Torrent, ele pode ser forçado a usar encriptação e o firewall não tem essa necessidade de ver oq tem naquela comunicação para bloqueá-lo. Ele apenas precisa bloquear portas e IPs. Como torrent é com portas aleatórias e IP's aleatórios ficaria virtualmente impossível de bloquear via firewall se ele dependesse de "ver o q tem no tráfego". Pois no seu exemplo o firewall não enxergaria a comunicação do Torrent. Sendo que n é assim."
Com um Firewall tradicional (novamente: Portas e IPs), tu não tem nenhuma garantia de bloquear qualquer aplicação. Não é porque tu bloqueia porta 22 (SSH) que então SSH não vai passar, pois tem outras 65.000 portas para usar. O mesmo é verdade para Torrent. Tu pode bloquear algumas aplicações específicas (ex.: se tu sabe que determinada aplicação de torrent usa portas 4.000-4.100, então, tendo essas portas fechadas, tu pode bloquear aquela aplicação... mas se em uma nova versão usar outras portas, fica inefetivo. Imagina se resolver utilizar portas 80 ou 443? Impossível de bloquear. Novamente torna-se necessário utilizar um Firewall de aplicação ou NGFW para detectar a aplicação em si, independente de portas ou IP.
Resumindo: como tu mesmo constatou, FW tradicional tem apenas IP e Porta e inviabiliza maior efetividade em bloqueios. Para maior visibilidade e controle tu precisa de um NGFW.

Boa! que massa ver que realmente virou um debate e não palavras ao vento. Eu não estou querendo causar nem nada. Eu vim pro teu vídeo pra tirar dúvidas e isso me chamou atenção.
Ali no caso onde eu dei o exemplo da porta 80, eu me referiria à porta 443 mesmo já que todas URLs do Facebook são HTTPS. Eu só fui escrevendo um exemplo não literal.
Sobre NGFWs identificar tráfego VPN não achei dados que corroborem. Mas se diz. A meu ver nem um firewall que não tenha acesso a uma chave PGP ou qualquer outra (certificado SSL) será capaz de ver algum tráfego criptografado. Dei o exemplo do Torrent pq alguém poderia usar a função que força encriptação no cliente Torrent. E se por acaso o Firewall for local e identifique o cliente pelos binários e o bloqueie BLZ. Aí certamente alguém já teria criado uma solução pra isso. Algo que engane o firewall de aplicação fazendo o cliente se passar por outra coisa. No caso o NGFWs teria que ter acesso local e escanear a aplicação. Pois por tráfego encriptado acho complicado algum firewall identificar padrões. Pois são todos homogêneos.
Se for por "comportamento" fica muito arbitrário. Correndo risco de muitos falso positivos, mas ainda sim se é criptografado é homogêneo.
Obvio que vc pode usar SSH em qualquer porta, eu sempre faço isso pra não ter de subscrever meus certificados xD (trabalho de preguiçoso)
Como eu disse, um ngrok da vida pode usar a porta 80 e passar qualquer tráfego ali. Inclusive criptografado. Na verdade ele pode usar qualquer porta livre.
Se NGFW trabalha na camada 7 OSI, então ele é limitado ao tráfego não criptografado e precisa escanear binários localmente. Não consigo conceber um firewall "arrombador de cofres" hehehehheheh - NGFW é muito bom com URLs e caça vários endereços a parti do primeiro além de dar controle mais avançado de quem poder usar oq via administração de usuários.
Na China mesmo ou Irã, há um firewall nacional rolando o da China se chama "Great Firewall". Camadas e camadas de barreiras. E mesmo assim muitos estrangeiros usam VPN por lá. É ilegal e se o governo te pegar usando ou provas, te deporta na hora. Eles são bloqueados apenas em festas militares quando todos os cabos internacionais são bloqueados fisicamente. Em breve isso pode ser vencido diretamente com os satélites do Elon Musk xD
Eu acredito que os Chineses iriam amar um Firewall que pudesse além de bloquear, espionar usuários de VPN. Não é vero?

Claro! O objetivo aqui é debater!
Estás correto em dizer que o tráfego criptografado cria uma dificuldade, mas essa dificuldade é a de ver o tráfego interno e não de identificar a aplicação.
Ex.: tu não precisa de decriptação para bloquear o Facebook em um NGFW... isso porque tu usa outros atributos, como URI e (principalmente) certificado para identificar a Aplicação.
O mesmo é (parcialmente) verdade para VPN... tu consegue identificar devido a certas características. Como exemplo, estou olhando para um NGFW que permite bloqueio de Site-to-Site (bloqueando o protocolo IPSEc, independente de portas). Para a VPN remota (que geralmente usa SSL/TLS ou IPSec) ele também mostra uma lista de CLIENTES que ele consegue bloquear (exemplos: ExpressVPN, DotVPN, SuperVPN, Turbo VPN, outros e o prórpio ngrok).
Fatos: eventualmente tu talvez tenha que "ligar" a decriptação do tráfego para fazer o bloqueio.
No final das conta, "we are on the same page" quando concordamos que não existe o "Botão Mágico" de bloqueio contra VPN... todas estão sujeitas a falhas e bypass... muitos NGFW te entregam uma "blacklist" de IPs associados a terminações VPN, assim como URLs e Domínios associados com VPN também... isso pode bloquear boa parte do contato com servidores "pelo mundo", mas sempre (como na China) encontram uma forma de burlar... mas seguramente para 90+% dos usuários que só querem apertar 1 botão e ter tudo funcionando na China, o "great firewall" já deve causar bloqueios suficientes.
Bom debate, bela discussão! Obrigado Michel

Obrigado Júlio!
Que tal subir os dados para algum serviço de nuvem e ficar acessível desde qualquer lugar?

@@seginfobrasil Boa tarde. Eu pensei neste caso... mas achei interessante no primeiro momento acessar um servidor na minha residência, onde eu consiga gravar, salvar, modificar, sem necessidade de preocupar em contratar uma Google Drive por exemplo... quero é ficar totalmente invisível para a nuvem....
e ao mesmo tempo por exemplo se este meu servidor estiver com câmeras de monitoramento, eu consiga fazer o acesso remoto de onde tiver e abrir o aplicativo local da câmera e fazer as analise da gravação.

Fala Marcus. Sim senhor, o vídeo foi feito antes de lançarem o "end-to-end encryption" do WhatsApp. Mas não se preocupe, a maioria dos dados que tu manda pelo celular ainda não são encriptados e utilizar VPNs desconhecidas continua sendo alto-risco hehe.

sim!! parabens pelo video mto bom e didático esta me ajudando a relembrar desses assuntos. se você puder poder poderia fazer um video sobre VLAN. =)

oi Julie... dispensa sim e não... vamos la:
tu precisa ter conectividade TCP/IP entre os dois lados que vão fechar a VPN (seja 2 roteadores, 2 firewalls ou ainda uma máquina de um funcionário no starbucks fechando a VPN no roteador/firewall da empresa...)
Tu precisa de conectividade, então existe algum provedor com muitos roteadores no meio do caminho, mas é isso! Além disso, tu precisa que as portas estejam abertas entre os lados... no caso de uma VPN IPSec precisa das portas 50, 51, 500 e 4500 no mínimo... no caso de uma TLS/SSL precisa da porta 443 aberta...
Fora o que foi mencionado acima, não importa quem é o provedor DE INTERNET...
Em geral, VPN é algo configurado por uma entidade confiável (como a empresa que tu trabalha) e teu computador é configurado (cliente VPN) para chegar (através de TCP/IP) até o IP do Concentrador VPN onde o túnel será fechado, portanto, novamente, o provedor de Internet pouco importa, desde que haja conectividade...
Agora, se tu imaginar esse cenário onde tu vai fechar uma VPN com um APP de celular, por exemplo, para poder assistir a Netflix americana ao invés da brasileira, aí tu ta usando um provedor de VPN hospedado nos EUA e todos teus dados vão para lá, para que quando o NEtflix receba os pacotes ache que vêm dos USA e, portanto, vai te colocar no Range "USA"... nesse caso existe um provedor VPN e é esse o maior problema pois eles passam a ter visão de tudo que tu está enviando, potencialmente até fazendo um "Man-In-The-Middle" para observar teu tráfego.
Espero ter ajudado,
Cavinato

Oi Daniel, não compartilhamos o slide mas nada melhor do que esse vídeo publicamente acessível, não é =)

hehehe vou ter que regravar agora =P