Protocolos VPN: o que são e qual é o melhor?

Dependendo da VPN que você usa, você terá diferentes opções de protocolo VPN.

Alguns serviços de VPN oferecem uma variedade de protocolos. Já outros não permitem que você escolha.

Cada protocolo tem suas vantagens e desvantagens, e é preciso entender as diferenças entre eles para escolher o protocolo certo para suas atividades online.

Veja abaixo os sete protocolos VPN mais populares e suas vantagens:

 

1. OpenVPN: o melhor protocolo VPN

Criado em 2001 por James Yonan, o OpenVPN é considerado o protocolo VPN mais seguro.

O software é de código aberto e está no mercado há mais de duas décadas. Isso significa que pesquisadores de segurança passaram muito tempo realizando testes em busca de vulnerabilidades e instabilidades.

Atualmente, o OpenVPN não tem vulnerabilidades conhecidas. Por isso, você pode ter certeza que ao usar esse protocolo estará usando uma conexão de VPN segura e privada.

O protocolo é compatível com diversas cifras de criptografia, incluindo AES, Blowfish e ChaCha20.

O OpenVPN também é um protocolo altamente configurável. Quase todos os aplicativos de VPN tem compatibilidade nativa com o OpenVPN, na maioria das principais plataformas, como Microsoft Windows, Apple macOS, Android, Linux e iOS.

Para as plataformas sem compatibilidade, geralmente é possível baixar um arquivo de configuração e configurar manualmente uma conexão com o OpenVPN.

O OpenVPN funciona com dois protocolos de comunicação diferentes: TCP e UDP. São protocolos de camada de transporte que determinam o cuidado com que seus dados são transmitidos pela rede.

A principal diferença entre eles é que o OpenVPN UDP é mais rápido, mas o OpenVPN TCP fornece uma conexão mais estável, pois é melhor para contornar firewalls.

Nossa recomendação é testar primeiro o UDP na sua conexão VPN. Se não gostar do funcionamento, mude para o TCP.

A principal desvantagem do OpenVPN é que ele não é tão rápido, leve ou eficiente quanto alguns dos demais protocolos VPN. Suas velocidades são boas, mas não tão rápidas quanto às do WireGuard ou do IKEv2.

É também o protocolo VPN com os maiores requisitos de largura de banda. Como verificado em nossos testes de consumo de dados de VPNs, o OpenVPN é o protocolo VPN que mais consome dados. Ou seja, se estiver usando sua VPN no celular, você vai atingir o seu limite de dados cerca de 20% mais rápido.

Quando usar o OpenVPN:

• Se privacidade e segurança forem sua prioridade máxima, use o OpenVPN sempre que possível.

Quando não usar o OpenVPN:

• Se velocidade for crucial para o que deseja fazer (por exemplo, jogos).
• Se estiver usando uma VPN para se conectar a redes móveis (por exemplo, 3G/4G). Você irá atingir o seu limite máximo mais rapidamente e pagará tarifas de roaming maiores no exterior.

2. WireGuard: um protocolo novo e impressionante

O WireGuard é um novo protocolo de tunelamento de código aberto. Foi projetado para ser mais rápido e eficiente do que o protocolo OpenVPN, a opção mais popular.

Lançado em 2019, o WireGuard impactou o setor de VPN. Inúmeras VPNs integraram rapidamente o WireGuard em seus serviços e muitas fizeram dele seu protocolo padrão.

O WireGuard cumpre muitas das promessas do desenvolvedor, Jason A. Donenfeld:

• É muito rápido. Segundo testes internos do WireGuard, ele tem o triplo da velocidade do OpenVPN. Alcançamos resultados semelhantes em nossos próprios testes, em especial para conexões de longa distância.
• A base de código tem uma eficiência impressionante. O WireGuard tem apenas 4.000 linhas de código, o que é cerca de 100 vezes menor do que temos no OpenVPN e IKEv2. Além de uma base de código menor ser bom para o desempenho, ela também aumenta a segurança. Ela ainda facilita a auditoria do protocolo e reduz a superfície de ataque para hackers.
• Consumo de dados mínimo. Nossos testes verificaram que o WireGuard é de longe o protocolo VPN com menor uso de largura de banda. Comparado com os 20% do OpenVPN, o WireGuard aumenta apenas em 4% o consumo de dados em relação à atividade normal. Saiba mais em nosso guia de VPNs e dados móveis.

A principal desvantagem atual do WireGuard é seu pouco tempo no mercado. Embora seus parâmetros de desempenho sejam excelentes e ainda não haja sinais de vulnerabilidades de segurança, levará tempo para conquistar a confiança dos usuários.

Isso também se aplica à sua cifra. O WireGuard não é compatível com cifras de confiança, como AES-256. Em vez disso, ele utiliza a ChaCha20. Todos os indicadores sugerem que a ChaCha20 é muito segura e potencialmente ainda mais rápida do que a AES, mas usuários preocupados com a privacidade sempre levam tempo para se acostumar com novas tecnologias de criptografia.

A configuração padrão do WireGuard também gera algumas preocupações de privacidade. Os servidores VPN que utilizam o protocolo precisam armazenar um log temporário do seu endereço IP para que o protocolo funcione. Outros protocolos VPN não têm essa exigência, o que é preocupante e precisa ser corrigido.

Felizmente, o problema pode ser solucionado. O NordVPN, por exemplo, integra o WireGuard ao sistema Double NAT, um dos recursos exclusivos da empresa, para criar um protocolo personalizado e mais seguro denominado NordLynx. Da mesma forma, o Mullvad exclui seu endereço IP após 10 minutos de inatividade.

Quando usar o WireGuard:

• Tudo indica que o WireGuard seja tão seguro quanto o OpenVPN e significativamente mais rápido. Se você não se importa de confiar em um protocolo mais recente, recomendamos o uso do WireGuard para qualquer atividade.
• O WireGuard é especialmente útil para usuários de VPNs móveis devido ao baixo consumo de largura de banda.

Quando não usar o WireGuard:

• Se tiver um zelo maior pela sua privacidade e segurança online, talvez prefira esperar até que o WireGuard se estabeleça melhor. Tome cuidado com VPNs que não estejam tomando medidas para solucionar o requisito de registro de IP do protocolo.
• O WireGuard não é tão bom em contornar firewalls quanto outros protocolos VPN, pois é compatível apenas com o UDP. Para contornar a censura, tente outras opções.

3. PPTP: obsoleto e inseguro

O Point-to-Point Tunneling Protocol (PPTP) foi o primeiro protocolo VPN. Desenvolvido por um engenheiro da Microsoft, Gurdeep Singh-Pall, em 1996, ele marcou o início da tecnologia de VPNs.

Hoje em dia, o PPTP é desatualizado e nada seguro para uso em uma VPN pessoal.

Não recomendamos o uso do PPTP, a menos que seja absolutamente necessário. É uma ferramenta de privacidade e segurança obsoleta.

O PPTP oferece velocidades altas, em parte porque a chave de criptografia mais forte que pode usar é a de 128 bits. Ele não é compatível com a criptografia militar AES-256, usada nas VPNs mais seguras.

O protocolo compromete a segurança em favor da velocidade, o que gera várias vulnerabilidades conhecidas. Por exemplo, foi demonstrado que um hacker habilidoso consegue invadir uma conexão de VPN criptografada pelo PPTP em questão de minutos.

Supostamente, a NSA também explorou vulnerabilidades do PPTP para coletar grandes quantidades de dados de usuários de VPNs.

Ainda que às vezes seja usado em redes empresariais de VPN, você deve evitar o uso do PPTP em sua VPN pessoal. Alguns provedores de VPN pararam de oferecer o PPTP devido às vulnerabilidades.

Quando usar o PPTP:

• Não recomendamos usar o PPTP, a não ser que apenas queira velocidades altas e não se preocupe com privacidade ou segurança.

Quando não usar o PPTP:

• É essencial que nunca use o PPTP em atividades que envolvam informações sigilosas, como dados bancários ou senhas.

4. IKEv2/IPSec: um bom protocolo para usuários móveis

O Internet Key Exchange versão 2 (IKEv2) é um protocolo VPN muito popular entre usuários móveis.

Ele oferece velocidades de conexão muito rápidas e usa um protocolo MOBIKE para evitar interrupções na mudança de redes. Isso torna o IKEv2 ótimo para usuários móveis de VPN, que geralmente alternam entre redes móveis e redes Wi-Fi.

O IKEv2 é fruto de uma colaboração entre a Microsoft e a Cisco e é um sucessor do IKEv1 original.

O IKEv2/IPSec é compatível com a maioria dos serviços de VPN, mas, infelizmente, a sua base é de código fechado.

O protocolo é aparentemente seguro, mas sem a transparência do código aberto é impossível verificar se a Microsoft não inseriu backdoors ou outras vulnerabilidades nele.

Pesquisadores de segurança, como Edward Snowden, também sugeriram que o IPSec foi deliberadamente enfraquecido durante seu desenvolvimento. Embora não haja confirmação disso, há uma grande suspeita de que qualquer protocolo VPN baseado em IPSec possa estar comprometido pela NSA.

Nada sugere que o IKEv2/IPSec seja vulnerável a adversários menos sofisticados, como hackers ou provedores de internet. É um protocolo VPN rápido, flexível e basicamente seguro, que vai funcionar bem no seu celular.

O IKEv2 funciona apenas com a porta UDP 500. Essa é uma porta fácil de ser bloqueada por firewalls e administradores de rede Wi-Fi, o que significa que o IKEv2/IPSec não é um protocolo VPN eficaz para contornar a censura em locais como China ou Rússia.

Quando usar o IKEv2/IPSec:

• Se você usa uma VPN em seu celular e alterna frequentemente entre rede Wi-Fi e rede móvel (por exemplo, 3G/4G).

Quando não usar o IKEv2/IPSec:

• Se estiver tentando contornar firewalls na rede local de sua escola ou trabalho ou driblar a censura em um país autoritário.
• Se a privacidade e anonimato forem muito importantes para você. O fato de o IKEv2 ser de código fechado e a possível associação do IPSec com a NSA são o suficiente para colocar a privacidade do IKEv2/IPSec em xeque.

5. L2TP/IPSec: é lento e não vale a pena

Criado em 1999 como um sucessor do PPTP, o Layer 2 Tunneling Protocol (L2TP) é um protocolo fácil de usar e com compatibilidade nativa para a maioria das VPNs e dispositivos.

Assim como o IKEv2, o L2TP é combinado com o IPSec para formar um protocolo VPN híbrido L2TP/IPSec. Infelizmente, isso significa que ele está suscetível às mesmas preocupações de privacidade, levantadas por Edward Snowden, de que o IPSec foi comprometido pela NSA.

Há ainda outra falha de segurança no L2TP. Esse problema surge quando é usado com uma VPN que utiliza chaves pré-compartilhadas.

Quando as chaves de criptografia da VPN estão disponíveis para serem baixadas online, isso abre a possibilidade de invasores falsificarem credenciais de autenticação, simularem o servidor VPN e espionarem sua conexão, algo conhecido como ataque Man-in-the-Middle.

O L2TP oferece um recurso de encapsulamento duplo, que envolve seus dados em duas camadas de proteção. Embora esse recurso aumente a segurança do protocolo, também reduz a velocidade consideravelmente.

Protocolos mais antigos, como o L2TP, também podem ser incompatíveis com NAT, o que pode causar problemas de conectividade. Nesse caso, é preciso usar um recurso de passagem de VPN no roteador para se conectar à VPN usando o L2TP.

O L2TP/IPSec é o protocolo VPN mais lento da lista.

Quando usar o L2TP/IPSec:

• Não recomendamos usar o L2TP/IPSec.

Quando não usar o L2TP/IPSec:

• Não use o L2TP caso vá revelar informações pessoais, se preocupe com a vigilância da NSA ou use uma VPN que compartilhe publicamente as chaves de criptografia online.

6. SSTP: código fechado com riscos potenciais

O Secure Socket Tunneling Protocol (SSTP) é um protocolo exclusivo criado e operado pela Microsoft. Por ser de código fechado os detalhes de implementação não são claros.

Sabemos que o SSTP é baseado nos padrões de criptografia SSL/TLS.

Isso é bom porque permite que o SSTP use a porta TCP 443. Essa é a porta pela qual passa todo o tráfego normal de HTTPS, o que dificulta muito o bloqueio por firewalls.

Como resultado, o SSTP é um protocolo VPN eficaz para tentar contornar a censura, como o Grande Firewall da China.

Por outro lado, o SSL 3.0 é vulnerável a um ataque Man-in-the-Middle específico, conhecido como POODLE. Não foi confirmado se o SSTP também é afetado por essa vulnerabilidade, mas não achamos que valha a pena arriscar.

Há ainda a questão das cooperações anteriores da Microsoft com a NSA. Por ser um protocolo de código fechado produzido pela Microsoft, existe a possibilidade de que a NSA tenha inserido um backdoor nele.

Quando usar o SSTP:

• Se estiver tentando contornar firewalls da escola, do trabalho ou do governo e não houver um protocolo melhor disponível.

Quando não usar o SSTP:

• Diante da possibilidade de um ataque POODLE e/ou vigilância da NSA, não use o SSTP em atividades em que sua privacidade, segurança ou anonimato seja de extrema importância.

7. SoftEther: útil para contornar a censura

O SoftEther é um protocolo VPN de código aberto desenvolvido inicialmente como parte de uma tese de mestrado na Universidade de Tsukuba.

Lançado em 2014, o SoftEther é um dos protocolos VPN mais recentes. As primeiras impressões são de que oferece boa segurança, sem comprometer a velocidade.

O SoftEther é compatível com cifras de criptografia fortes, como AES-256 e RSA-4096. Também dizem que tem velocidades 13 vezes mais rápidas do que as do OpenVPN.

Além disso, ele foi bem projetado para contornar a forte censura pesada na internet. Os protocolos de criptografia e autenticação do SoftEther são baseados no OpenSSL. Assim como o SSTP e o OpenVPN, isso significa que ele pode usar a porta TCP 433, que é muito dificilmente bloqueada por firewalls e sistemas de censura.

Em 2018, o SoftEther passou por uma auditoria de segurança de 80 horas que revelou 11 vulnerabilidades de segurança, que foram corrigidas em uma atualização posterior. Todavia, pesquisadores da Universidade Aalto constataram recentemente que o SoftEther às vezes é vulnerável a ataques Man-in-the-Middle.

Isso ocorre porque na configuração padrão os clientes não precisam verificar o certificado do servidor. Invasores podem, portanto, simular um servidor VPN e obter acesso às credenciais e à atividade online do usuário.

Ao usar o SoftEther, selecione o campo “Sempre verificar certificado do servidor” para configurar uma nova conexão de VPN.

Nenhum sistema operacional conta com compatibilidade nativa com o SoftEther e pouquíssimos provedores de VPN possibilitam seu uso. Dos que já testamos, apenas Hide.me e CactusVPN são compatíveis com o protocolo SoftEther.

Quando usar o SoftEther:

• Se a sua VPN for compatível, você pode usar o SoftEther para uma navegação rápida e segura.
• É especialmente eficaz para contornar firewalls e driblar a censura.

Quando não usar o SoftEther:

• Não use SoftEther sem ativar a opção “Sempre verificar certificado do servidor”.

Protocolos VPN proprietários

Várias VPNs não oferecem apenas os protocolos listados acima. Muitas também desenvolvem seus próprios protocolos, conhecidos como protocolos VPN proprietários.

Um protocolo proprietário tem vantagens e desvantagens. A principal vantagem é que ele provavelmente terá uma velocidade maior que as demais opções oferecidas.

Depois de investir tempo e dinheiro em um novo protocolo, é natural que uma VPN dedique seus melhores servidores e infraestrutura para torná-lo o mais rápido possível. Em geral, os provedores também alegam que essa é a opção mais segura.

Por outro lado, a maioria desses protocolos não oferece transparência.

Protocolos de código aberto, como o OpenVPN, foram analisados por milhares de pessoas para garantir que são seguros e fazem exatamente o que prometem. Os protocolos VPN proprietários quase sempre têm código fechado. Por isso, é muito difícil saber exatamente o que se passa dentro deles.

O melhor protocolo VPN para você depende do seu motivo para usar uma VPN e das características que considera mais importantes.

Veja uma tabela comparativa concisa dos diferentes protocolos:

Protocolo	Criptografia	Velocidade	Estabilidade	Vulnerabilidades
OpenVPN TCP	256 bits	Moderada	Muito alta	Nenhuma conhecida
OpenVPN UDP	256 bits	Rápida	Alta	Nenhuma conhecida
PPTP	128 bits	Muito rápida	Moderada	Conhecidas
L2TP/IPSec	256 bits	Moderada	Moderada	Há suspeitas
SSTP	256 bits	Rápida	Muito alta	Há suspeitas
SoftEther	256 bits	Muito rápida	Muito alta	Precisa de correção
IKEv2/IPSe	256 bits	Muito rápida	Alta	Há suspeitas
WireGuard	256 bits	Muito rápida	Alta	Nenhuma conhecida

 

O OpenVPN é o protocolo VPN mais seguro. É a melhor opção quando a privacidade e a segurança são cruciais e você não se importa em ter menos velocidade e flexibilidade.

Use o OpenVPN para acessar uma internet livre em países com forte censura ou para torrent, por exemplo.

Se o OpenVPN não estiver disponível, o SoftEther é outra boa opção para contornar a censura.

O WireGuard é o protocolo VPN mais rápido que já analisamos. Também parece ser extremamente seguro, mas com seu pouco tempo de mercado, ainda preferimos o OpenVPN para atividades extremamente sigilosas. Use o WireGuard para qualquer atividade em que a velocidade seja essencial, como jogos ou streaming.

O WireGuard também é o protocolo VPN com o consumo de dados mais eficiente. Se você usa uma VPN no celular e esteja preocupado com o seu limite, use o WireGuard. O consumo de dados será mínimo.

O IKEv2 é outro bom protocolo para usuários móveis de VPN. Com o protocolo MOBIKE ele é o melhor para lidar com mudanças frequentes e repentinas de rede (por exemplo, entre rede Wi-Fi e rede móvel).

O consumo de dados do IKEv2 não é tão baixo quanto o do WireGuard, mas ainda é muito mais eficiente do que outros protocolos VPN, como o OpenVPN.

A maioria das VPNs permite alterar o protocolo VPN no menu de configurações do aplicativo VPN.

Se esse for o seu caso, basta abrir o menu de configurações e selecionar o protocolo VPN desejado.

Se não houver opção para selecionar o protocolo no aplicativo personalizado, é possível instalar protocolos alternativos usando a configuração manual.

O NordVPN é um exemplo de VPN que funciona com o OpenVPN, mas permite a instalação manual do IKEv2.

Se a sua VPN aceitar a configuração de protocolos alternativos, siga com atenção as instruções do site do provedor.

Lembre-se de que até uma VPN com os protocolos e cifras mais seguros pode colocar seus dados pessoais em risco.

Para saber mais, leia nosso guia sobre políticas de log de VPNs.