VPN: IPSec vs SSL
Nesse artigo irei explicar, fazer comparações e mostrar qual é a melhor solução entre duas dessas tecnologias usadas para prover acesso seguro ao túnel VPN - o IPSec e o SSL.
[ Hits: 87.563 ]
Por: Wagner M Queiroz em 14/07/2009
IPSec
O mecanismo de segurança IPSec é um protocolo padrão de camada 3 do modelo OSI (Open System Interconection) que foi projetado pelo IETF (Internet Engineering Task Force). Primeiramente esse protocolo foi desenvolvido para o Internet Protocol version 6 (IPv6) e a partir da alta demanda o IPSec foi adaptado para o Internet Protocol version 4 (IPv4).
Esse mecanismo de segurança oferece transferência segura de informações fim a fim através de rede IP pública ou privada. Essencialmente, ele pega pacotes IP privados, realiza funções de segurança de dados como criptografia, autenticação e integridade, e então encapsula esses pacotes protegidos em outros pacotes IP para serem transmitidos. Esse processo é conhecido como tunelamento (figura 3). As funções de gerenciamento de chaves também fazem parte das funções do IPSec.[1][11]
[11]
Características: [19]
Apesar de ser um protocolo flexível, ele acaba se tornando complexo. Para que duas entidades se conectem via IPSec, é preciso que ambos os lados aceitem o mesmo padrão de política de segurança, chamada de Security Association (SA), onde deve ser configurado em ambos os gateways VPN.
Um único túnel IPSec protege todas as comunicações entre ambos os equipamentos de cada ponta sem ligação com o tipo de trafego (TCP, UDP, SNMP) ou aplicação (correio eletrônico, FTP, HTTP). Os túneis podem ser estabelecidos de LAN para LAN, host para LAN e host para host. Um gateway IPSec garante a segurança das aplicações da LAN. Um único usuário usando IPSec é chamado de host.
Pelo fato de o IPSec operar na camada de rede, usuários ganham acesso a todos os recursos da LAN da corporação como se eles estivessem fisicamente na empresa conectados a ela. Já existem soluções que alguns fabricantes dispõem em seus equipamentos que provêem túneis VPN via IPSec. [1][10]
[12]
IPSec VPN gateways são usualmente implementados em firewalls para se ter o controle de permissão ou negação de acesso de um determinado host.
Esse mecanismo de segurança oferece transferência segura de informações fim a fim através de rede IP pública ou privada. Essencialmente, ele pega pacotes IP privados, realiza funções de segurança de dados como criptografia, autenticação e integridade, e então encapsula esses pacotes protegidos em outros pacotes IP para serem transmitidos. Esse processo é conhecido como tunelamento (figura 3). As funções de gerenciamento de chaves também fazem parte das funções do IPSec.[1][11]
[11]
- Tunelamento: Authentication Header (AH) ou Encapsulating Security Payload (ESP);
- Encriptação: 56-bit DES, 112- or 168-bit 3DES, 128-, 192- or 256-bit AES, ou nenhum;
- Autenticação: login e senha, login e token + pin ou o certificado digital.
Apesar de ser um protocolo flexível, ele acaba se tornando complexo. Para que duas entidades se conectem via IPSec, é preciso que ambos os lados aceitem o mesmo padrão de política de segurança, chamada de Security Association (SA), onde deve ser configurado em ambos os gateways VPN.
Um único túnel IPSec protege todas as comunicações entre ambos os equipamentos de cada ponta sem ligação com o tipo de trafego (TCP, UDP, SNMP) ou aplicação (correio eletrônico, FTP, HTTP). Os túneis podem ser estabelecidos de LAN para LAN, host para LAN e host para host. Um gateway IPSec garante a segurança das aplicações da LAN. Um único usuário usando IPSec é chamado de host.
Pelo fato de o IPSec operar na camada de rede, usuários ganham acesso a todos os recursos da LAN da corporação como se eles estivessem fisicamente na empresa conectados a ela. Já existem soluções que alguns fabricantes dispõem em seus equipamentos que provêem túneis VPN via IPSec. [1][10]
[12]
Páginas do artigo
1. Resumo2. VPN
3. IPSec
4. SSL
5. As vantagens e desvantagens
6. Conclusão
Outros artigos deste autor
Implementando um kernel GNU/Linux mais seguro
Leitura recomendada
Vulnerabilidade em mais de 6 milhões de sites com flash
Instalando e integrando o amavis e o viruscan no sendmail
Introdução ao Personal Firewall (PF)
Comentários
[1] Comentário enviado por andersoncw em 15/07/2009 - 08:41h
Olá Wagner, muito bom o seu artigo. Parabéns por ir direto ao assunto.
Só tem um detalhe, o pdf do artigo original (http://www.nortelnetworks.com/solutions/ip_vpn/collateral/nn102260-110802.pdf) não está mais disponível.
Olá Wagner, muito bom o seu artigo. Parabéns por ir direto ao assunto.
Só tem um detalhe, o pdf do artigo original (http://www.nortelnetworks.com/solutions/ip_vpn/collateral/nn102260-110802.pdf) não está mais disponível.
[2] Comentário enviado por rogerio_gentil em 28/07/2009 - 17:22h
Excelente artigo. Estava estudando sobre VPN para uma implementação e encontrei este artigo. Muito bem argumentado, estruturado e com referências, coisas que muitos não fazem por aqui. É uma pena que alguns links já estejam quebrados (error 404).
Parabéns!
Excelente artigo. Estava estudando sobre VPN para uma implementação e encontrei este artigo. Muito bem argumentado, estruturado e com referências, coisas que muitos não fazem por aqui. É uma pena que alguns links já estejam quebrados (error 404).
Parabéns!
[3] Comentário enviado por wmqueiroz em 28/07/2009 - 23:41h
Obrigado pelos elogios. Realmente alguns dos links não estão mais ativos. Eu fiz esse artigo no começo do ano passado.
Segue link para baixar o artigo feito pela Nortel.
http://rapidshare.com/files/261218060/ipsec_x_ssl_nortel.pdf.html
Obrigado pelos elogios. Realmente alguns dos links não estão mais ativos. Eu fiz esse artigo no começo do ano passado.
Segue link para baixar o artigo feito pela Nortel.
http://rapidshare.com/files/261218060/ipsec_x_ssl_nortel.pdf.html
[4] Comentário enviado por dailson em 29/07/2009 - 16:57h
Parabéns Queiroz
Excelente artigo e com alto nível técnico.
Parabéns Queiroz
Excelente artigo e com alto nível técnico.
[5] Comentário enviado por fernandoborges em 05/06/2010 - 20:44h
Meus sinceros parabéns pelo excelente nível do artigo!!!
Meus sinceros parabéns pelo excelente nível do artigo!!!
[6] Comentário enviado por marimbeta em 01/09/2010 - 12:00h
Apenas uma ressalva: quando você diz "encriptação RC4 de 40 e 128 bit (...) não é uma encriptação fraca" é preciso atentar para o que Tanenbaum diz em seu livro de Redes (4a edição). É citado que SSL com RC4 é uma escolha instável, pois o algoritmo do RC4 gera algumas chaves fracas. Ou seja, soluções implementadas sobre o RC4 apresentarão vulnerabilidades. Em outra situação, no livro, é mostrado como o protocolo WEP é facilmente quebrado (chave de 128 quebrada em uma semana), pois o RC4 apresenta deficiências criptográficas.
Apenas uma ressalva: quando você diz "encriptação RC4 de 40 e 128 bit (...) não é uma encriptação fraca" é preciso atentar para o que Tanenbaum diz em seu livro de Redes (4a edição). É citado que SSL com RC4 é uma escolha instável, pois o algoritmo do RC4 gera algumas chaves fracas. Ou seja, soluções implementadas sobre o RC4 apresentarão vulnerabilidades. Em outra situação, no livro, é mostrado como o protocolo WEP é facilmente quebrado (chave de 128 quebrada em uma semana), pois o RC4 apresenta deficiências criptográficas.
[7] Comentário enviado por marimbeta em 01/09/2010 - 12:07h
Ah, também há um adendo: o IPsec pode operar como você falou: "encapsula esses pacotes protegidos em outros pacotes IP para serem transmitidos.". É o chamado modo de túnel do IPsec. Vale também dizer que o IPsec apresenta outro modo de operação: o modo de transporte, onde a mensagem é protegida mas os endereços IP do cabeçalho não são.
Ah, também há um adendo: o IPsec pode operar como você falou: "encapsula esses pacotes protegidos em outros pacotes IP para serem transmitidos.". É o chamado modo de túnel do IPsec. Vale também dizer que o IPsec apresenta outro modo de operação: o modo de transporte, onde a mensagem é protegida mas os endereços IP do cabeçalho não são.
Patrocínio
Site hospedado pelo provedor RedeHost.
Destaques
Artigos
Resolver problemas de Internet
Como compartilhar a tela do Ubuntu com uma Smart TV (LG, Samsung, etc.)
Descritores de Arquivos e Swappiness
Dicas
Solução rápida para o problema do Network Manager conectar mas não navegar
Como instalar no Linux Jogos da Steam só para Windows
Instalando o Team Viewer no Debian Trixie - problema no Policykit
Tópicos
Chamadas de variável de uma página para outra no PHP8 (1)
Albfneto. Voltando devagar. (4)
como instalo o emulador de steam para manjaro arm (9)
Top 10 do mês
-
Xerxes
1° lugar - 67.917 pts -
Fábio Berbert de Paula
2° lugar - 44.709 pts -
Buckminster
3° lugar - 21.738 pts -
Mauricio Ferrari
4° lugar - 15.122 pts -
Alberto Federman Neto.
5° lugar - 12.593 pts -
Diego Mendes Rodrigues
6° lugar - 11.959 pts -
Daniel Lara Souza
7° lugar - 11.239 pts -
edps
8° lugar - 11.253 pts -
Alessandro de Oliveira Faria (A.K.A. CABELO)
9° lugar - 10.837 pts -
Andre (pinduvoz)
10° lugar - 9.442 pts
Scripts
A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.
Site hospedado por:
