VPN: IPSec vs SSL

Nesse artigo irei explicar, fazer comparações e mostrar qual é a melhor solução entre duas dessas tecnologias usadas para prover acesso seguro ao túnel VPN - o IPSec e o SSL.

[ Hits: 78.194 ]

Por: Wagner M Queiroz em 14/07/2009


Resumo



As Virtual Private Networks (VPNs) ou Redes Privadas Virtuais surgiram da necessidade de se utilizar redes de comunicação não confiáveis, como a Internet, para trafegar informações de forma segura.

Para garantir a segurança das VPNs existem algumas tecnologias como o Internet Protocol Security (IPSec), o Secure Socket Layer (SSL), o Multi-protocol Label Switching (MPLS) entre outras. Todas essas tecnologias possuem vantagens e desvantagens onde os fatores a serem considerados são:
  • aplicação e a acessibilidade do usuário;
  • facilidade de utilização,
  • segurança de encriptação e autenticação;
  • escalabilidade;
  • desempenho; e
  • custo.

Nesse artigo vamos explicar, fazer comparações e mostrar qual é a melhor solução entre duas dessas tecnologias usadas para prover acesso seguro ao túnel VPN - o IPSec e o SSL.

Esse documento foi baseado no artigo: IPsec and SSL: Complementary solutions. A shorthand guide to selecting the right protocol for your remote-access and extranet virtual private network - feito pela Nortel Networks [4]

Introdução

Acessos remotos tradicionais como Linhas Privadas (LPs) e Serviços de Acesso Remoto(RAS) estão caindo em desuso por motivos de complexidade de distribuição, custos com linhas e contas telefônicas e manutenções, falta de boas soluções de segurança entre outros. Essas razões levaram organizações a adotarem outras alternativas.

Foi a partir daí que surgiram as VPNs como solução para prover acesso remoto seguro. A VPN permite que organizações estendam seus acessos as suas redes permitindo que usuários externos a acessem de forma segura utilizando a rede pública de computadores como meio de acesso, reduzindo custos externos com redes privadas e telefonia.

Muitos pensam que as VPNs são baseadas somente em IPSec, mas na realidade existem outras formas de encriptação e segurança de protocolos que são usadas para garantir segurança da conexão entre os usuários remotos e a rede corporativa. A outra forma de garantir essa segurança para o uso da VPN é o SSL.

No ponto de vista do usuário, os mecanismos de segurança IPSec e SSL fazem a grosso modo a mesma coisa, ou seja, provê confidencialidade e autenticação dos dados. Para o ponto de vista dos profissionais de TI o mecanismo de segurança IPSec são usadas para comunicações de host para host, de host para LAN e de LAN para LAN (LAN - Local Área Network).

O SSL pode ser usado somente para comunicações de host para host.

O IPSec provê serviços de encriptação, autenticação ou a combinação de ambos. Isso significa que a encriptação pode ocorrer entre dois hosts ou dois gateways quando se comunicam através da internet. Os dados dentro de uma rede corporativa podem trafegar de forma não encriptada, isso porque o tráfego será encriptado na camada IP pelo roteador que se encarrega de enviar esses dados não encriptados da rede local para internet em forma cifrada.

O SSL provê serviços de confidencialidade e autenticidade somente entre dois hosts ou tipicamente entre um host e um servidor. Para aplicações host para LAN e LAN para LAN não é possível porque o SSL fornece suas características somente para portas definidas [1].

Veremos agora, uma breve descrição sobre as tecnologias VPN, IPSec e SSL.

    Próxima página

Páginas do artigo
   1. Resumo
   2. VPN
   3. IPSec
   4. SSL
   5. As vantagens e desvantagens
   6. Conclusão
Outros artigos deste autor

Implementando um kernel GNU/Linux mais seguro

Leitura recomendada

Monitorando as conversas do MSN

TinyOS

Ferramenta Forense de Análise de Rede (NFAT) - Xplico

Monitorando máquinas Windows com o Nagios

Bootando CDROM com o grub / lilo

  
Comentários
[1] Comentário enviado por andersoncw em 15/07/2009 - 08:41h

Olá Wagner, muito bom o seu artigo. Parabéns por ir direto ao assunto.
Só tem um detalhe, o pdf do artigo original (http://www.nortelnetworks.com/solutions/ip_vpn/collateral/nn102260-110802.pdf) não está mais disponível.

[2] Comentário enviado por rogerio_gentil em 28/07/2009 - 17:22h

Excelente artigo. Estava estudando sobre VPN para uma implementação e encontrei este artigo. Muito bem argumentado, estruturado e com referências, coisas que muitos não fazem por aqui. É uma pena que alguns links já estejam quebrados (error 404).

Parabéns!

[3] Comentário enviado por wmqueiroz em 28/07/2009 - 23:41h

Obrigado pelos elogios. Realmente alguns dos links não estão mais ativos. Eu fiz esse artigo no começo do ano passado.
Segue link para baixar o artigo feito pela Nortel.

http://rapidshare.com/files/261218060/ipsec_x_ssl_nortel.pdf.html

[4] Comentário enviado por dailson em 29/07/2009 - 16:57h

Parabéns Queiroz

Excelente artigo e com alto nível técnico.

[5] Comentário enviado por fernandoborges em 05/06/2010 - 20:44h

Meus sinceros parabéns pelo excelente nível do artigo!!!

[6] Comentário enviado por marimbeta em 01/09/2010 - 12:00h

Apenas uma ressalva: quando você diz "encriptação RC4 de 40 e 128 bit (...) não é uma encriptação fraca" é preciso atentar para o que Tanenbaum diz em seu livro de Redes (4a edição). É citado que SSL com RC4 é uma escolha instável, pois o algoritmo do RC4 gera algumas chaves fracas. Ou seja, soluções implementadas sobre o RC4 apresentarão vulnerabilidades. Em outra situação, no livro, é mostrado como o protocolo WEP é facilmente quebrado (chave de 128 quebrada em uma semana), pois o RC4 apresenta deficiências criptográficas.

[7] Comentário enviado por marimbeta em 01/09/2010 - 12:07h

Ah, também há um adendo: o IPsec pode operar como você falou: "encapsula esses pacotes protegidos em outros pacotes IP para serem transmitidos.". É o chamado modo de túnel do IPsec. Vale também dizer que o IPsec apresenta outro modo de operação: o modo de transporte, onde a mensagem é protegida mas os endereços IP do cabeçalho não são.


Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner
Linux banner
Linux banner

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts