VPN: IPSec vs SSL

Nesse artigo irei explicar, fazer comparações e mostrar qual é a melhor solução entre duas dessas tecnologias usadas para prover acesso seguro ao túnel VPN - o IPSec e o SSL.

[ Hits: 87.067 ]

Por: Wagner M Queiroz em 14/07/2009


Resumo



As Virtual Private Networks (VPNs) ou Redes Privadas Virtuais surgiram da necessidade de se utilizar redes de comunicação não confiáveis, como a Internet, para trafegar informações de forma segura.

Para garantir a segurança das VPNs existem algumas tecnologias como o Internet Protocol Security (IPSec), o Secure Socket Layer (SSL), o Multi-protocol Label Switching (MPLS) entre outras. Todas essas tecnologias possuem vantagens e desvantagens onde os fatores a serem considerados são:
  • aplicação e a acessibilidade do usuário;
  • facilidade de utilização,
  • segurança de encriptação e autenticação;
  • escalabilidade;
  • desempenho; e
  • custo.

Nesse artigo vamos explicar, fazer comparações e mostrar qual é a melhor solução entre duas dessas tecnologias usadas para prover acesso seguro ao túnel VPN - o IPSec e o SSL.

Esse documento foi baseado no artigo: IPsec and SSL: Complementary solutions. A shorthand guide to selecting the right protocol for your remote-access and extranet virtual private network - feito pela Nortel Networks [4]

Introdução

Acessos remotos tradicionais como Linhas Privadas (LPs) e Serviços de Acesso Remoto(RAS) estão caindo em desuso por motivos de complexidade de distribuição, custos com linhas e contas telefônicas e manutenções, falta de boas soluções de segurança entre outros. Essas razões levaram organizações a adotarem outras alternativas.

Foi a partir daí que surgiram as VPNs como solução para prover acesso remoto seguro. A VPN permite que organizações estendam seus acessos as suas redes permitindo que usuários externos a acessem de forma segura utilizando a rede pública de computadores como meio de acesso, reduzindo custos externos com redes privadas e telefonia.

Muitos pensam que as VPNs são baseadas somente em IPSec, mas na realidade existem outras formas de encriptação e segurança de protocolos que são usadas para garantir segurança da conexão entre os usuários remotos e a rede corporativa. A outra forma de garantir essa segurança para o uso da VPN é o SSL.

No ponto de vista do usuário, os mecanismos de segurança IPSec e SSL fazem a grosso modo a mesma coisa, ou seja, provê confidencialidade e autenticação dos dados. Para o ponto de vista dos profissionais de TI o mecanismo de segurança IPSec são usadas para comunicações de host para host, de host para LAN e de LAN para LAN (LAN - Local Área Network).

O SSL pode ser usado somente para comunicações de host para host.

O IPSec provê serviços de encriptação, autenticação ou a combinação de ambos. Isso significa que a encriptação pode ocorrer entre dois hosts ou dois gateways quando se comunicam através da internet. Os dados dentro de uma rede corporativa podem trafegar de forma não encriptada, isso porque o tráfego será encriptado na camada IP pelo roteador que se encarrega de enviar esses dados não encriptados da rede local para internet em forma cifrada.

O SSL provê serviços de confidencialidade e autenticidade somente entre dois hosts ou tipicamente entre um host e um servidor. Para aplicações host para LAN e LAN para LAN não é possível porque o SSL fornece suas características somente para portas definidas [1].

Veremos agora, uma breve descrição sobre as tecnologias VPN, IPSec e SSL.

    Próxima página

Páginas do artigo
   1. Resumo
   2. VPN
   3. IPSec
   4. SSL
   5. As vantagens e desvantagens
   6. Conclusão
Outros artigos deste autor

Implementando um kernel GNU/Linux mais seguro

Leitura recomendada

Uma breve abordagem sobre Criptografia

Descobrindo serviço através das portas

Enganando invasores com Honeyperl

Instalação e configuração do HexChat com a rede Tor

Criando um repositório criptografado de dados com Cryptsetup (dm-crypt) sem (re)particionamento do HD

  
Comentários
[1] Comentário enviado por andersoncw em 15/07/2009 - 08:41h

Olá Wagner, muito bom o seu artigo. Parabéns por ir direto ao assunto.
Só tem um detalhe, o pdf do artigo original (http://www.nortelnetworks.com/solutions/ip_vpn/collateral/nn102260-110802.pdf) não está mais disponível.

[2] Comentário enviado por rogerio_gentil em 28/07/2009 - 17:22h

Excelente artigo. Estava estudando sobre VPN para uma implementação e encontrei este artigo. Muito bem argumentado, estruturado e com referências, coisas que muitos não fazem por aqui. É uma pena que alguns links já estejam quebrados (error 404).

Parabéns!

[3] Comentário enviado por wmqueiroz em 28/07/2009 - 23:41h

Obrigado pelos elogios. Realmente alguns dos links não estão mais ativos. Eu fiz esse artigo no começo do ano passado.
Segue link para baixar o artigo feito pela Nortel.

http://rapidshare.com/files/261218060/ipsec_x_ssl_nortel.pdf.html

[4] Comentário enviado por dailson em 29/07/2009 - 16:57h

Parabéns Queiroz

Excelente artigo e com alto nível técnico.

[5] Comentário enviado por fernandoborges em 05/06/2010 - 20:44h

Meus sinceros parabéns pelo excelente nível do artigo!!!

[6] Comentário enviado por marimbeta em 01/09/2010 - 12:00h

Apenas uma ressalva: quando você diz "encriptação RC4 de 40 e 128 bit (...) não é uma encriptação fraca" é preciso atentar para o que Tanenbaum diz em seu livro de Redes (4a edição). É citado que SSL com RC4 é uma escolha instável, pois o algoritmo do RC4 gera algumas chaves fracas. Ou seja, soluções implementadas sobre o RC4 apresentarão vulnerabilidades. Em outra situação, no livro, é mostrado como o protocolo WEP é facilmente quebrado (chave de 128 quebrada em uma semana), pois o RC4 apresenta deficiências criptográficas.

[7] Comentário enviado por marimbeta em 01/09/2010 - 12:07h

Ah, também há um adendo: o IPsec pode operar como você falou: "encapsula esses pacotes protegidos em outros pacotes IP para serem transmitidos.". É o chamado modo de túnel do IPsec. Vale também dizer que o IPsec apresenta outro modo de operação: o modo de transporte, onde a mensagem é protegida mas os endereços IP do cabeçalho não são.


Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts