VPN: IPSec vs SSL
Nesse artigo irei explicar, fazer comparações e mostrar qual é a melhor solução entre duas dessas tecnologias usadas para prover acesso seguro ao túnel VPN - o IPSec e o SSL.
[ Hits: 87.107 ]
Por: Wagner M Queiroz em 14/07/2009
SSL
O mecanismo de segurança SSL é um protocolo localizado entre a camada de transporte e a camada de aplicação (figura 5) projetado pela Netscape que permite a conexão de serviços de HTTP via Internet, porém de maneira segura: com criptografia dos dados, autenticação de servidor e integridade de mensagens na conexão TCP/IP. [7]
[11]
Características: [19]
De acordo com este protocolo, o cliente e o servidor entram num acordo sobre o nível de segurança que será utilizado na conexão e completam todos os requisitos necessários para a autenticação da conexão. Em seguida, o protocolo executa a criptografia e decriptografia dos pacotes de mensagens que estão sendo transmitidas na rede. No caso de pacotes HTTP, todas as informações contidas tanto nas requisições quanto nas respostas da aplicação estarão completamente criptografadas, inclusive a URL que o cliente está pedindo, senhas, números de cartões de crédito, demais informações de acesso, e todos os dados enviados pelo servidor. [7]
Com o SSL, cada aplicação é protegida separadamente, diferentemente do IPSec que opera independente da aplicação. Para existir segurança cada aplicação servidora deve suportar acesso de usuários via web browser que suporte o protocolo SSL. Na maioria dos web browsers como o Internet Explorer e o Netscape o SSL é suportado por padrão, porém nem todas as aplicações suportam sendo necessário que seus sistemas sejam atualizados e com isso, talvez gerando custo. [6]
Para resolver esse problema, alguns fabricantes tiveram a ideia de desenvolver o VPN SSL proxy, sua função é de armazenar informações (cache) entre a rede privada e a rede pública. Essa tecnologia é usada para aplicações LAN como correio eletrônico, transferência de arquivos, entre outros recursos.
Com o web browser conectado ao proxy é como se estivesse diretamente comunicando com a aplicação e a aplicação se comunicando diretamente com o web browser. O SSL proxy faz com que esse processo se torne transparente para os web browsers, clientes e aplicações. [15]
[12]
Os SSL VPN gateway são usualmente implementados por trás dos firewalls, com regras que permitem e negam acesso de aplicações ou dados. Nesse exemplo o usuário tem acesso a sua caixa postal e as URLs hospedadas no servidor web.
[11]
- Encriptação - 40-bit ou 128-bit RC4
- Autenticação - Login e senha, login e token + pin, ou certificado digital
De acordo com este protocolo, o cliente e o servidor entram num acordo sobre o nível de segurança que será utilizado na conexão e completam todos os requisitos necessários para a autenticação da conexão. Em seguida, o protocolo executa a criptografia e decriptografia dos pacotes de mensagens que estão sendo transmitidas na rede. No caso de pacotes HTTP, todas as informações contidas tanto nas requisições quanto nas respostas da aplicação estarão completamente criptografadas, inclusive a URL que o cliente está pedindo, senhas, números de cartões de crédito, demais informações de acesso, e todos os dados enviados pelo servidor. [7]
Com o SSL, cada aplicação é protegida separadamente, diferentemente do IPSec que opera independente da aplicação. Para existir segurança cada aplicação servidora deve suportar acesso de usuários via web browser que suporte o protocolo SSL. Na maioria dos web browsers como o Internet Explorer e o Netscape o SSL é suportado por padrão, porém nem todas as aplicações suportam sendo necessário que seus sistemas sejam atualizados e com isso, talvez gerando custo. [6]
Para resolver esse problema, alguns fabricantes tiveram a ideia de desenvolver o VPN SSL proxy, sua função é de armazenar informações (cache) entre a rede privada e a rede pública. Essa tecnologia é usada para aplicações LAN como correio eletrônico, transferência de arquivos, entre outros recursos.
Com o web browser conectado ao proxy é como se estivesse diretamente comunicando com a aplicação e a aplicação se comunicando diretamente com o web browser. O SSL proxy faz com que esse processo se torne transparente para os web browsers, clientes e aplicações. [15]
[12]
Páginas do artigo
1. Resumo2. VPN
3. IPSec
4. SSL
5. As vantagens e desvantagens
6. Conclusão
Outros artigos deste autor
Implementando um kernel GNU/Linux mais seguro
Leitura recomendada
Buffer Overflow: Entendendo e explorando
OUTGUESS: Oculte mensagens em fotos
Race condition - vulnerabilidades em suids
Gerar par de chaves com o GnuPG em 11 passos
Comentários
[1] Comentário enviado por andersoncw em 15/07/2009 - 08:41h
Olá Wagner, muito bom o seu artigo. Parabéns por ir direto ao assunto.
Só tem um detalhe, o pdf do artigo original (http://www.nortelnetworks.com/solutions/ip_vpn/collateral/nn102260-110802.pdf) não está mais disponível.
Olá Wagner, muito bom o seu artigo. Parabéns por ir direto ao assunto.
Só tem um detalhe, o pdf do artigo original (http://www.nortelnetworks.com/solutions/ip_vpn/collateral/nn102260-110802.pdf) não está mais disponível.
[2] Comentário enviado por rogerio_gentil em 28/07/2009 - 17:22h
Excelente artigo. Estava estudando sobre VPN para uma implementação e encontrei este artigo. Muito bem argumentado, estruturado e com referências, coisas que muitos não fazem por aqui. É uma pena que alguns links já estejam quebrados (error 404).
Parabéns!
Excelente artigo. Estava estudando sobre VPN para uma implementação e encontrei este artigo. Muito bem argumentado, estruturado e com referências, coisas que muitos não fazem por aqui. É uma pena que alguns links já estejam quebrados (error 404).
Parabéns!
[3] Comentário enviado por wmqueiroz em 28/07/2009 - 23:41h
Obrigado pelos elogios. Realmente alguns dos links não estão mais ativos. Eu fiz esse artigo no começo do ano passado.
Segue link para baixar o artigo feito pela Nortel.
http://rapidshare.com/files/261218060/ipsec_x_ssl_nortel.pdf.html
Obrigado pelos elogios. Realmente alguns dos links não estão mais ativos. Eu fiz esse artigo no começo do ano passado.
Segue link para baixar o artigo feito pela Nortel.
http://rapidshare.com/files/261218060/ipsec_x_ssl_nortel.pdf.html
[4] Comentário enviado por dailson em 29/07/2009 - 16:57h
Parabéns Queiroz
Excelente artigo e com alto nível técnico.
Parabéns Queiroz
Excelente artigo e com alto nível técnico.
[5] Comentário enviado por fernandoborges em 05/06/2010 - 20:44h
Meus sinceros parabéns pelo excelente nível do artigo!!!
Meus sinceros parabéns pelo excelente nível do artigo!!!
[6] Comentário enviado por marimbeta em 01/09/2010 - 12:00h
Apenas uma ressalva: quando você diz "encriptação RC4 de 40 e 128 bit (...) não é uma encriptação fraca" é preciso atentar para o que Tanenbaum diz em seu livro de Redes (4a edição). É citado que SSL com RC4 é uma escolha instável, pois o algoritmo do RC4 gera algumas chaves fracas. Ou seja, soluções implementadas sobre o RC4 apresentarão vulnerabilidades. Em outra situação, no livro, é mostrado como o protocolo WEP é facilmente quebrado (chave de 128 quebrada em uma semana), pois o RC4 apresenta deficiências criptográficas.
Apenas uma ressalva: quando você diz "encriptação RC4 de 40 e 128 bit (...) não é uma encriptação fraca" é preciso atentar para o que Tanenbaum diz em seu livro de Redes (4a edição). É citado que SSL com RC4 é uma escolha instável, pois o algoritmo do RC4 gera algumas chaves fracas. Ou seja, soluções implementadas sobre o RC4 apresentarão vulnerabilidades. Em outra situação, no livro, é mostrado como o protocolo WEP é facilmente quebrado (chave de 128 quebrada em uma semana), pois o RC4 apresenta deficiências criptográficas.
[7] Comentário enviado por marimbeta em 01/09/2010 - 12:07h
Ah, também há um adendo: o IPsec pode operar como você falou: "encapsula esses pacotes protegidos em outros pacotes IP para serem transmitidos.". É o chamado modo de túnel do IPsec. Vale também dizer que o IPsec apresenta outro modo de operação: o modo de transporte, onde a mensagem é protegida mas os endereços IP do cabeçalho não são.
Ah, também há um adendo: o IPsec pode operar como você falou: "encapsula esses pacotes protegidos em outros pacotes IP para serem transmitidos.". É o chamado modo de túnel do IPsec. Vale também dizer que o IPsec apresenta outro modo de operação: o modo de transporte, onde a mensagem é protegida mas os endereços IP do cabeçalho não são.
Patrocínio
Site hospedado pelo provedor RedeHost.
Destaques
Artigos
Enviar mensagem ao usuário trabalhando com as opções do php.ini
Meu Fork do Plugin de Integração do CVS para o KDevelop
Compartilhando a tela do Computador no Celular via Deskreen
Como Configurar um Túnel SSH Reverso para Acessar Sua Máquina Local a Partir de uma Máquina Remota
Configuração para desligamento automatizado de Computadores em um Ambiente Comercial
Dicas
Compartilhamento de Rede com samba em modo Público/Anônimo de forma simples, rápido e fácil
Cups: Mapear/listar todas as impressoras de outro Servidor CUPS de forma rápida e fácil
Criando uma VPC na AWS via CLI
Tópicos
É possível baixar o dicionário pt-br para /usr/share/dict no Linux Min... (1)
Arch Linux - Guia para Iniciantes (0)
Top 10 do mês
-
Xerxes
1° lugar - 69.067 pts -
Fábio Berbert de Paula
2° lugar - 51.229 pts -
Renato Michnik de Carvalho
3° lugar - 27.302 pts -
Buckminster
4° lugar - 18.018 pts -
Mauricio Ferrari
5° lugar - 15.464 pts -
Alberto Federman Neto.
6° lugar - 14.349 pts -
Diego Mendes Rodrigues
7° lugar - 14.187 pts -
Daniel Lara Souza
8° lugar - 14.081 pts -
edps
9° lugar - 11.912 pts -
Alessandro de Oliveira Faria (A.K.A. CABELO)
10° lugar - 11.369 pts
Scripts
A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.
Site hospedado por:
