VPN: IPSec vs SSL

Nesse artigo irei explicar, fazer comparações e mostrar qual é a melhor solução entre duas dessas tecnologias usadas para prover acesso seguro ao túnel VPN - o IPSec e o SSL.

[ Hits: 87.034 ]

Por: Wagner M Queiroz em 14/07/2009


As vantagens e desvantagens



Os mecanismos de segurança IPSec e SSL são ambos eficazes para a segurança de acesso remoto em corporações utilizando a Internet, porém esses mecanismos possuem suas vantagens e desvantagens. São elas: [4]
  • Segurança;
  • Acessibilidade e facilidade de uso;
  • Complexidade de gerenciamento;
  • Desempenho e escalabilidade;
  • Custo.

Segurança [4]

Entre os protocolos IPSec e SSL, a grande diferença entre eles está na segurança que eles provêem. Em alguns casos a segurança é usada como o principal critério para se adotar uma tecnologia em especial.

Existem dois fatores críticos quando comparamos IPSec e SSL, a autenticação e a encriptação. A autenticação garante a identidade do usuário ou sistema, garantindo que outras pessoas ou sistemas não autorizados não se passem por verdadeiros.

Encriptação é usada para manter a privacidade dos dados que trafegam pela Internet.

Autenticação: [4]

Ambos os protocolos suportam autenticação para se ter a certeza da validação de cada extremidade (cliente e servidor) para que ocorra o estabelecimento do túnel VPN.

Ao contrário da encriptação, tanto o IPSec quanto o SSL podem utilizar as mesmas técnicas de autenticação. Ambos os protocolos podem utilizar os seguintes mecanismos de autenticação: login e senha, login e token +pin ou certificados digitais.

O IPSec VPN é basicamente mais seguro em relação ao SSL VPN, isso devido a autenticação do IPSec ser associado ao software de VPN instalado no computador para conectar-se no túnel, com isso restringindo o acesso a equipamentos não autorizados, ou seja, os que não possuem o software IPSec VPN instalado e configurado.

No SSL VPN, usuários podem acessar os recursos da corporação a partir de qualquer equipamento que possua web browser que suporte SSL, incluindo computadores inseguros encontrados em locais públicos, como bibliotecas, universidades, LAN houses, entre outros.

Para o uso da VPN SSL, a autenticação depende da verificação do certificado pelo usuário após o seu recebimento, onde o mesmo pode aceitar um certificado falso pensando ser o verdadeiro.

Encriptação: [4]

Ambos os protocolos suportam o uso de encriptação. O IPSec suporta os algorítimos RC4 (40 ou 128 bit), AES (256 bit), DES (56 bit) e o 3DES (112 ou 168 bit). Tipicamente o IPSec utiliza o DES (56 bit) ou 3DES (112 ou 168 bit). Já o SSL suporta RC4 (40 ou 128 bit), DES (56 bit) e 3DES (112 ou 168 bit). Tipicamente o SSL utiliza o RC4 (40 ou 128 bit). Cada um desses algoritmos de encriptação são similares e com isso eles podem assegurar a privacidade dos dados que trafegam pela Internet.

Com o IPSec VPN as pontas (host para host, host para LAN ou LAN para LAN) durante o estabelecimento do túnel VPN, o usuário deve concordar com a AS, ou seja, deve concordar com as políticas de segurança impostas pela corporação, com isso assegurando o administrador de rede que o usuário aderiu a política de segurança devido a forma que a encriptação trabalha, isso é uma vantagem que o IPSec tem em relação ao SSL.

Já com o SSL, algumas implementações utilizam algoritmos de encriptação RC4 de 40 e 128 bit, ou seja, não é uma encriptação fraca, não permitindo que empresas a utilizem para seus usuários remotos quando os mesmos precisam de uma encriptação forte. Empresas como a Nortel estão desenvolvendo produtos para suprir essas deficiências do SSL.

Em se tratando de segurança, O SSL possui uma fragilidade. Usuários podem acessar a VPN em qualquer computador que se tenha web browser, onde o risco está, se essa máquina onde o usuário irá se conectar ao túnel VPN, não haver nenhum software malicioso que possa capturar informações ou geração de cookies durante o estabelecimento do túnel VPN. Empresas desenvolvedoras de soluções SSL VPN estão criando a conexão do túnel VPN, todos os cookies serão removidos, inatividade do cliente, entre outras soluções.

Acessibilidade e facilidade de uso [4]

Para o usuário usar o IPSec VPN é preciso que ele tenha instalado em seu computador um software específico para isso. Alguns sistemas operacionais como o Microsoft Windows dão suporte para protocolos de tunelamento como o Point-to-Point Tunneling Protocol (PPTP) e o Layer 2 Tunneling Protocol (L2TP) por cima do IPSec, porém isso não é um padrão, foi a partir daí que surgiram softwares para serem instalados em sistemas operacionais para que os mesmos suportem o IPSec para se conectar aos gateways IPSec.

Isso é um grande problema, pois para se conectar a VPN é preciso utilizar o produto de um fabricante em específico, pois não há interoperabilidade entre softwares de fabricantes diferentes. Por um lado isso é uma vantagem, pois aumenta a segurança amarrando o acesso a VPN para máquinas específicas e usuários específicos, por outro lado limita o acesso e a mobilidade. Para a configuração do IPSec na máquina cliente é necessário a configuração manual, tornando-se uma tarefa difícil para usuários que não tem conhecimento de como configurá-la.

A primeira vantagem do IPSec é que ele opera na camada de rede, garantindo a segurança das informações entre as duas pontas do túnel VPN, incluindo todas as aplicações [4]. Usuários remotos tem acesso aos recursos da corporação como se eles estivessem fisicamente em seu escritório conectado a LAN. Com o IPSec os usuários podem acessar aplicações como correio eletrônico, compartilhamento e transferência de arquivos, HTTP, base de dados, entre outros.

O SSL usa o web browser (Internet Explorer e Netscape) como interface para usuários remotos. A grande vantagem é que os web browsers são familiares para quase todos os usuários e são encontrados em plataformas como Windows, Unix, MAC OS, entre outros, e devido a isso, o acesso remoto usando o SSL se torna fácil, pois pode-se conectar a rede corporativa a partir de qualquer web browser.

Pelo fato de não precisar de um software especial para o uso do VPN SSL, as organizações podem usar o SSL para prover acesso extranet rápido e fácil para funcionários e clientes. A empresa Open Reach recomenta o uso do acesso LAN via SSL para usos casuais, porém para conexões permanentes é melhor utilizar VPN IPSec.

A primeira desvantagem do SSL é que ele opera na camada de aplicação, limitando o acesso somente de alguns recursos que é acessível para o web browser ou para o VPN SSL Proxy.

As aplicações suportadas pelo SSL são o correio eletrônico, compartilhamento de arquivos e web (HTTP).

Complexidade de gerenciamento [4]

Até agora foi visto que o IPSec é considerado mais seguro do que o SSL, porém o IPSec VPN é mais complexo em seu gerenciamento, implementação e configuração, pois para que se possa ser implementado é requerido configurações de vários parâmetros da rede e políticas de segurança da corporação para o que usuário possa estabelecer o túnel com o VPN IPSec.

Para aqueles usuários que não possuem conhecimento o bastante para instalar o software IPSec em seu computador, essa tarefa se torna um tanto quanto complicada. Empresas disponibilizam CDs e softwares para downloads para que seus usuários possam instalar, mas mesmo assim continua sendo complicado para o usuário instalá-lo. A solução para isso é treinar o usuário e dar a eles manuais de instalação e configuração.

Desempenho e escalabilidade [4]

As SSL VPNs são escaláveis devido ao fato do usuário remoto poder se conectar por qualquer computador que tenha-se web browser que suporte SSL e ter mobilidade, já o IPSec é mais escalável em relação a transparência da rede (LAN). Para os usuários remotos e para as aplicações a segurança da rede é a mesma imposta para a segurança da LAN. Aplicações que são acessíveis pelo IPSec VPN podem ser usadas sem que elas precisem ser modificadas.

O SSL VPN requer uma forte integração com a aplicação tornando a interface gráfica para o usuário. Mudanças nas aplicações requerem mudanças também no web browser do usuário.

A desvantagem do SSL é quem nem todas as aplicações são adequadas para serem usadas via web browser.

Custo

Ambas as tecnologias requerem caixas VPN, mas pelo fato do SSL VPN não necessitar de software específico e facilidade de implementação, como já foi dito nesse artigo, a solução SSL VPN se torna mais barata.

SSL VPN x IPSec VPN [15]

Linux: VPN: IPSec vs SSL
Página anterior     Próxima página

Páginas do artigo
   1. Resumo
   2. VPN
   3. IPSec
   4. SSL
   5. As vantagens e desvantagens
   6. Conclusão
Outros artigos deste autor

Implementando um kernel GNU/Linux mais seguro

Leitura recomendada

Melhorias generalizadas de segurança (parte 1)

Aprenda a capturar a página inicial de seus usuários

Reforçando a segurança das conexões HTTPS no Apache

Diminua os vetores de exploração, conheça o DOAS

Definição de hacker

  
Comentários
[1] Comentário enviado por andersoncw em 15/07/2009 - 08:41h

Olá Wagner, muito bom o seu artigo. Parabéns por ir direto ao assunto.
Só tem um detalhe, o pdf do artigo original (http://www.nortelnetworks.com/solutions/ip_vpn/collateral/nn102260-110802.pdf) não está mais disponível.

[2] Comentário enviado por rogerio_gentil em 28/07/2009 - 17:22h

Excelente artigo. Estava estudando sobre VPN para uma implementação e encontrei este artigo. Muito bem argumentado, estruturado e com referências, coisas que muitos não fazem por aqui. É uma pena que alguns links já estejam quebrados (error 404).

Parabéns!

[3] Comentário enviado por wmqueiroz em 28/07/2009 - 23:41h

Obrigado pelos elogios. Realmente alguns dos links não estão mais ativos. Eu fiz esse artigo no começo do ano passado.
Segue link para baixar o artigo feito pela Nortel.

http://rapidshare.com/files/261218060/ipsec_x_ssl_nortel.pdf.html

[4] Comentário enviado por dailson em 29/07/2009 - 16:57h

Parabéns Queiroz

Excelente artigo e com alto nível técnico.

[5] Comentário enviado por fernandoborges em 05/06/2010 - 20:44h

Meus sinceros parabéns pelo excelente nível do artigo!!!

[6] Comentário enviado por marimbeta em 01/09/2010 - 12:00h

Apenas uma ressalva: quando você diz "encriptação RC4 de 40 e 128 bit (...) não é uma encriptação fraca" é preciso atentar para o que Tanenbaum diz em seu livro de Redes (4a edição). É citado que SSL com RC4 é uma escolha instável, pois o algoritmo do RC4 gera algumas chaves fracas. Ou seja, soluções implementadas sobre o RC4 apresentarão vulnerabilidades. Em outra situação, no livro, é mostrado como o protocolo WEP é facilmente quebrado (chave de 128 quebrada em uma semana), pois o RC4 apresenta deficiências criptográficas.

[7] Comentário enviado por marimbeta em 01/09/2010 - 12:07h

Ah, também há um adendo: o IPsec pode operar como você falou: "encapsula esses pacotes protegidos em outros pacotes IP para serem transmitidos.". É o chamado modo de túnel do IPsec. Vale também dizer que o IPsec apresenta outro modo de operação: o modo de transporte, onde a mensagem é protegida mas os endereços IP do cabeçalho não são.


Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts