POSTED BY

POSTED ON

December 21, 2023

POSTED UNDER

Home Lab Server, Pensamentos, Segurança

COMMENTS

Comments Off on VPN Tailscale – Software defined VPN-as-a-Service. E agora? Selfhosted ou VPN-as-a-Service?

VPN Tailscale – Software defined VPN-as-a-Service. E agora? Selfhosted ou VPN-as-a-Service?

Olá a todos!!

O post de hoje é algo que muitos dos nossos homelabbers tem intimamente como uma coisa necessária quando se tem um lab: O acesso remoto.
Ter a capacidade de gerir e monitorizar os nossos sistemas a partir de qualquer lugar do mundo é uma necessidade crescente, especialmente no mundo atual, onde a mobilidade é a nova realidade.
Neste artigo, iremos explorar a VPN Tailscale e discutir por que é uma escolha interessante para montar acessos remotos e que agora está tão badalada. Contudo, também discutiremos o perigo potencial de depender inteiramente de uma solução de terceiros e porque a opção de uma VPN self-hosted, como o OpenVPN, IPsec ou WireGuard, pode ser uma alternativa mais segura e com maior controle sobre os acessos à tua infraestrutura.

Building a Multi-Region Kubernetes Worker Nodes Cluster with Tailscale VPN | by Renjith Ravindranathan | FAUN — Developer Community 🐾

O que é Tailscale?

Tailscale é uma solução de VPN (Virtual Private Network) que tenta tornar o acesso remoto mais simples e seguro. Esta ferramenta visa facilitar a conectividade entre dispositivos em diferentes redes, eliminando muitas das complexidades tradicionalmente associadas às VPNs. Através da criação de uma rede segura / mesh, o Tailscale permite que os utilizadores se liguem de forma segura a servidores e dispositivos em qualquer sitio no mundo.

A simplicidade é uma das principais atrações do Tailscale. Basta instalar o cliente em cada dispositivo, autenticar-se e criar uma rede segura. A partir daí, podemos aceder a qualquer dispositivo na rede Tailscale, independentemente da sua localização, como se estivesses na mesma rede local. Isto é particularmente útil para administradores de sistemas que necessitam de acesso remoto para gerir servidores ou dispositivos em locais diferentes. Notem que eu disse, na rede Tailscale. Falaremos disto mais tarde.

Por que o Tailscale é Interessante para Acessos Remotos?

A simplicidade de utilização do Tailscale torna-o uma escolha interessante para acessos remotos. Não é necessário configurar manualmente port forwarding, lidar com endereços IP dinâmicos ou com configurações de firewall complexas.
Esta facilidade de uso é um dos principais pontos fortes do Tailscale, pois permite que qualquer pessoa, mesmo sem conhecimentos avançados de redes, crie uma rede segura em minutos.

Além disso, o Tailscale oferece recursos de segurança sólidos, como autenticação de dois fatores, criptografia de ponta a ponta e autenticação de dispositivos. Isso significa que as comunicações entre os dispositivos na rede Tailscale estão protegidas contra olhares indiscretos, garantindo a confidencialidade dos dados.

Outra característica interessante do Tailscale é a sua capacidade de operar através de firewalls e NATs (Network Address Translation) sem a necessidade de configurações complexas. Isto é possível graças à tecnologia de encapsulamento WireGuard, que permite que os dispositivos comuniquem através de barreiras de rede com facilidade.

O Perigo da Dependência de Terceiros em Software as a Service

Apesar das vantagens que o Tailscale oferece em termos de simplicidade e segurança, é importante considerar os riscos associados à dependência de uma solução de terceiros. Afinal de contas it’s not the cloud, its another person’s computer, pelo que quando utilizas uma VPN como o Tailscale, estamos a confiar na nossa infraestrutura e os nossos servidores para facilitar as conexões entre os nossos dispositivos.

Este nível de dependência significa que não temos controlo total – e muitas vezes nem granular –  sobre o funcionamento da VPN. Passamos a depender da disponibilidade e segurança dos servidores do Tailscale. Em caso de problemas técnicos ou falhas de segurança, estaremos sujeito às ações da empresa que fornece o serviço.

Além disso, devemos ter em mente que o Tailscale, como muitas outras hospedadas e geridas por terceiros, pode ter acesso aos nossos dados de rede.
Embora afirmem proteger a privacidade dos utilizadores, a realidade é que a nossa infraestrutura de rede passará por servidores pertencentes à Tailscale. Isto cria uma camada de exposição adicional, que pode ser preocupante para organizações que lidam com informações sensíveis.

Qual a Importância do Controlo Total em Acessos Remotos?

Para muitos administradores de sistemas, a ideia de ter um controlo total sobre os acessos à infraestrutura de rede é fundamental. Ter o poder de configurar e manter a VPN a partir do zero, bem como a capacidade de gerir os detalhes de segurança e a política de acesso, é uma necessidade para garantir a integridade dos sistemas.

É aqui que entram as VPNs self-hosted, como o OpenVPN, IPsec e WireGuard. Estas soluções permitem que configuremos e mantenhamos os servidores VPN na nossa própria infraestrutura. Isso significa que teremos total controlo sobre todos os aspetos da VPN, desde a configuração até às políticas de acesso, bem como a responsabilidade de atualizações de segurança das mesmas.

VPN Self-Hosted vs. Tailscale

A escolha entre uma VPN self-hosted e uma solução como o Tailscale depende das nossas necessidades específicas e do nível de controlo que desejamos manter sobre a infraestrutura de rede. Aqui estão algumas considerações a ter em mente:

  1. Controlo Total: Com uma VPN self-hosted, temos controlo total sobre a configuração e gestão da VPN. Podemos adaptá-la às nossas necessidades específicas e manter o controlo total sobre a infraestrutura de rede. No caso do Tailscale, estaremos a depender da empresa para a operação e manutenção dos servidores.
  2. Segurança Personalizada: Com uma VPN self-hosted, podemos implementar políticas de segurança personalizadas e escolher as medidas de segurança que melhor se adequam às nossas necessidades. No Tailscale, estaremos limitados às políticas de segurança da empresa.
  3. Custos e Complexidade: As VPNs self-hosted podem ser mais complexas de configurar, mas também oferecem um maior controlo. O Tailscale é mais fácil de configurar, mas implica custos mensais ou anuais. Seja em dinheiro, seja em segurança.
  4. Privacidade e Dados: Utilizando uma VPN self-hosted, os nossos dados de rede não passam por terceiros, o que pode ser uma consideração importante, especialmente para informações sensíveis.
  5. Bait and Switch: Não seria a primeira vez que um operador “gratis” de um produto altera as condições do mesmo, e passa a pedir um pagamento efetivo por algo que anteriormente era fundamentalmente de graça. Embora não costume ser numa janela de hoje –> para a semana, o risco pode acontecer e o homelabber poderá a meio de umas ferias impedido de aceder ao seu laboratório ou serviços.

Concluindo o post de hoje, recordo que a escolha entre o Tailscale e uma VPN self-hosted depende das nossas necessidades específicas e das nossas  preocupações com a segurança e a privacidade dos dados. O Tailscale é uma solução atraente devido à sua simplicidade e às funcionalidades que oferece. No entanto, é importante reconhecer a dependência de terceiros e o potencial risco de segurança associado.
Uma VPN self-hosted, como o OpenVPN, IPsec ou WireGuard, oferece um maior controlo sobre a nossa infraestrutura de rede e garante que os nossos dados não passem por servidores de terceiros. Embora possa ser mais complexa de configurar, é uma opção que muitos administradores de sistemas preferem para manter o controlo total sobre os acessos remotos.

Em última análise, a escolha entre estas opções (ou tipos de opções) deve ser cuidadosamente ponderada, tendo em conta as necessidades específicas da nossa infraestrutura e a importância do controlo sobre a segurança e a privacidade dos dados.

Se tiverem algum reparo ou comentário sabem onde me encontrar. Até ao proximo post! Festas Felizes para todos.

Abraço
Nuno