VPN: IPSec vs SSL
Nesse artigo irei explicar, fazer comparações e mostrar qual é a melhor solução entre duas dessas tecnologias usadas para prover acesso seguro ao túnel VPN - o IPSec e o SSL.
Parte 5: As vantagens e desvantagens
Os mecanismos de segurança IPSec e SSL são ambos eficazes para a segurança de acesso remoto em corporações utilizando a Internet, porém esses mecanismos possuem suas vantagens e desvantagens. São elas: [4]
Existem dois fatores críticos quando comparamos IPSec e SSL, a autenticação e a encriptação. A autenticação garante a identidade do usuário ou sistema, garantindo que outras pessoas ou sistemas não autorizados não se passem por verdadeiros.
Encriptação é usada para manter a privacidade dos dados que trafegam pela Internet.
Autenticação: [4]
Ambos os protocolos suportam autenticação para se ter a certeza da validação de cada extremidade (cliente e servidor) para que ocorra o estabelecimento do túnel VPN.
Ao contrário da encriptação, tanto o IPSec quanto o SSL podem utilizar as mesmas técnicas de autenticação. Ambos os protocolos podem utilizar os seguintes mecanismos de autenticação: login e senha, login e token +pin ou certificados digitais.
O IPSec VPN é basicamente mais seguro em relação ao SSL VPN, isso devido a autenticação do IPSec ser associado ao software de VPN instalado no computador para conectar-se no túnel, com isso restringindo o acesso a equipamentos não autorizados, ou seja, os que não possuem o software IPSec VPN instalado e configurado.
No SSL VPN, usuários podem acessar os recursos da corporação a partir de qualquer equipamento que possua web browser que suporte SSL, incluindo computadores inseguros encontrados em locais públicos, como bibliotecas, universidades, LAN houses, entre outros.
Para o uso da VPN SSL, a autenticação depende da verificação do certificado pelo usuário após o seu recebimento, onde o mesmo pode aceitar um certificado falso pensando ser o verdadeiro.
Encriptação: [4]
Ambos os protocolos suportam o uso de encriptação. O IPSec suporta os algorítimos RC4 (40 ou 128 bit), AES (256 bit), DES (56 bit) e o 3DES (112 ou 168 bit). Tipicamente o IPSec utiliza o DES (56 bit) ou 3DES (112 ou 168 bit). Já o SSL suporta RC4 (40 ou 128 bit), DES (56 bit) e 3DES (112 ou 168 bit). Tipicamente o SSL utiliza o RC4 (40 ou 128 bit). Cada um desses algoritmos de encriptação são similares e com isso eles podem assegurar a privacidade dos dados que trafegam pela Internet.
Com o IPSec VPN as pontas (host para host, host para LAN ou LAN para LAN) durante o estabelecimento do túnel VPN, o usuário deve concordar com a AS, ou seja, deve concordar com as políticas de segurança impostas pela corporação, com isso assegurando o administrador de rede que o usuário aderiu a política de segurança devido a forma que a encriptação trabalha, isso é uma vantagem que o IPSec tem em relação ao SSL.
Já com o SSL, algumas implementações utilizam algoritmos de encriptação RC4 de 40 e 128 bit, ou seja, não é uma encriptação fraca, não permitindo que empresas a utilizem para seus usuários remotos quando os mesmos precisam de uma encriptação forte. Empresas como a Nortel estão desenvolvendo produtos para suprir essas deficiências do SSL.
Em se tratando de segurança, O SSL possui uma fragilidade. Usuários podem acessar a VPN em qualquer computador que se tenha web browser, onde o risco está, se essa máquina onde o usuário irá se conectar ao túnel VPN, não haver nenhum software malicioso que possa capturar informações ou geração de cookies durante o estabelecimento do túnel VPN. Empresas desenvolvedoras de soluções SSL VPN estão criando a conexão do túnel VPN, todos os cookies serão removidos, inatividade do cliente, entre outras soluções.
Isso é um grande problema, pois para se conectar a VPN é preciso utilizar o produto de um fabricante em específico, pois não há interoperabilidade entre softwares de fabricantes diferentes. Por um lado isso é uma vantagem, pois aumenta a segurança amarrando o acesso a VPN para máquinas específicas e usuários específicos, por outro lado limita o acesso e a mobilidade. Para a configuração do IPSec na máquina cliente é necessário a configuração manual, tornando-se uma tarefa difícil para usuários que não tem conhecimento de como configurá-la.
A primeira vantagem do IPSec é que ele opera na camada de rede, garantindo a segurança das informações entre as duas pontas do túnel VPN, incluindo todas as aplicações [4]. Usuários remotos tem acesso aos recursos da corporação como se eles estivessem fisicamente em seu escritório conectado a LAN. Com o IPSec os usuários podem acessar aplicações como correio eletrônico, compartilhamento e transferência de arquivos, HTTP, base de dados, entre outros.
O SSL usa o web browser (Internet Explorer e Netscape) como interface para usuários remotos. A grande vantagem é que os web browsers são familiares para quase todos os usuários e são encontrados em plataformas como Windows, Unix, MAC OS, entre outros, e devido a isso, o acesso remoto usando o SSL se torna fácil, pois pode-se conectar a rede corporativa a partir de qualquer web browser.
Pelo fato de não precisar de um software especial para o uso do VPN SSL, as organizações podem usar o SSL para prover acesso extranet rápido e fácil para funcionários e clientes. A empresa Open Reach recomenta o uso do acesso LAN via SSL para usos casuais, porém para conexões permanentes é melhor utilizar VPN IPSec.
A primeira desvantagem do SSL é que ele opera na camada de aplicação, limitando o acesso somente de alguns recursos que é acessível para o web browser ou para o VPN SSL Proxy.
As aplicações suportadas pelo SSL são o correio eletrônico, compartilhamento de arquivos e web (HTTP).
Para aqueles usuários que não possuem conhecimento o bastante para instalar o software IPSec em seu computador, essa tarefa se torna um tanto quanto complicada. Empresas disponibilizam CDs e softwares para downloads para que seus usuários possam instalar, mas mesmo assim continua sendo complicado para o usuário instalá-lo. A solução para isso é treinar o usuário e dar a eles manuais de instalação e configuração.
O SSL VPN requer uma forte integração com a aplicação tornando a interface gráfica para o usuário. Mudanças nas aplicações requerem mudanças também no web browser do usuário.
A desvantagem do SSL é quem nem todas as aplicações são adequadas para serem usadas via web browser.
- Segurança;
- Acessibilidade e facilidade de uso;
- Complexidade de gerenciamento;
- Desempenho e escalabilidade;
- Custo.
Segurança [4]
Entre os protocolos IPSec e SSL, a grande diferença entre eles está na segurança que eles provêem. Em alguns casos a segurança é usada como o principal critério para se adotar uma tecnologia em especial.Existem dois fatores críticos quando comparamos IPSec e SSL, a autenticação e a encriptação. A autenticação garante a identidade do usuário ou sistema, garantindo que outras pessoas ou sistemas não autorizados não se passem por verdadeiros.
Encriptação é usada para manter a privacidade dos dados que trafegam pela Internet.
Autenticação: [4]
Ambos os protocolos suportam autenticação para se ter a certeza da validação de cada extremidade (cliente e servidor) para que ocorra o estabelecimento do túnel VPN.
Ao contrário da encriptação, tanto o IPSec quanto o SSL podem utilizar as mesmas técnicas de autenticação. Ambos os protocolos podem utilizar os seguintes mecanismos de autenticação: login e senha, login e token +pin ou certificados digitais.
O IPSec VPN é basicamente mais seguro em relação ao SSL VPN, isso devido a autenticação do IPSec ser associado ao software de VPN instalado no computador para conectar-se no túnel, com isso restringindo o acesso a equipamentos não autorizados, ou seja, os que não possuem o software IPSec VPN instalado e configurado.
No SSL VPN, usuários podem acessar os recursos da corporação a partir de qualquer equipamento que possua web browser que suporte SSL, incluindo computadores inseguros encontrados em locais públicos, como bibliotecas, universidades, LAN houses, entre outros.
Para o uso da VPN SSL, a autenticação depende da verificação do certificado pelo usuário após o seu recebimento, onde o mesmo pode aceitar um certificado falso pensando ser o verdadeiro.
Encriptação: [4]
Ambos os protocolos suportam o uso de encriptação. O IPSec suporta os algorítimos RC4 (40 ou 128 bit), AES (256 bit), DES (56 bit) e o 3DES (112 ou 168 bit). Tipicamente o IPSec utiliza o DES (56 bit) ou 3DES (112 ou 168 bit). Já o SSL suporta RC4 (40 ou 128 bit), DES (56 bit) e 3DES (112 ou 168 bit). Tipicamente o SSL utiliza o RC4 (40 ou 128 bit). Cada um desses algoritmos de encriptação são similares e com isso eles podem assegurar a privacidade dos dados que trafegam pela Internet.
Com o IPSec VPN as pontas (host para host, host para LAN ou LAN para LAN) durante o estabelecimento do túnel VPN, o usuário deve concordar com a AS, ou seja, deve concordar com as políticas de segurança impostas pela corporação, com isso assegurando o administrador de rede que o usuário aderiu a política de segurança devido a forma que a encriptação trabalha, isso é uma vantagem que o IPSec tem em relação ao SSL.
Já com o SSL, algumas implementações utilizam algoritmos de encriptação RC4 de 40 e 128 bit, ou seja, não é uma encriptação fraca, não permitindo que empresas a utilizem para seus usuários remotos quando os mesmos precisam de uma encriptação forte. Empresas como a Nortel estão desenvolvendo produtos para suprir essas deficiências do SSL.
Em se tratando de segurança, O SSL possui uma fragilidade. Usuários podem acessar a VPN em qualquer computador que se tenha web browser, onde o risco está, se essa máquina onde o usuário irá se conectar ao túnel VPN, não haver nenhum software malicioso que possa capturar informações ou geração de cookies durante o estabelecimento do túnel VPN. Empresas desenvolvedoras de soluções SSL VPN estão criando a conexão do túnel VPN, todos os cookies serão removidos, inatividade do cliente, entre outras soluções.
Acessibilidade e facilidade de uso [4]
Para o usuário usar o IPSec VPN é preciso que ele tenha instalado em seu computador um software específico para isso. Alguns sistemas operacionais como o Microsoft Windows dão suporte para protocolos de tunelamento como o Point-to-Point Tunneling Protocol (PPTP) e o Layer 2 Tunneling Protocol (L2TP) por cima do IPSec, porém isso não é um padrão, foi a partir daí que surgiram softwares para serem instalados em sistemas operacionais para que os mesmos suportem o IPSec para se conectar aos gateways IPSec.Isso é um grande problema, pois para se conectar a VPN é preciso utilizar o produto de um fabricante em específico, pois não há interoperabilidade entre softwares de fabricantes diferentes. Por um lado isso é uma vantagem, pois aumenta a segurança amarrando o acesso a VPN para máquinas específicas e usuários específicos, por outro lado limita o acesso e a mobilidade. Para a configuração do IPSec na máquina cliente é necessário a configuração manual, tornando-se uma tarefa difícil para usuários que não tem conhecimento de como configurá-la.
A primeira vantagem do IPSec é que ele opera na camada de rede, garantindo a segurança das informações entre as duas pontas do túnel VPN, incluindo todas as aplicações [4]. Usuários remotos tem acesso aos recursos da corporação como se eles estivessem fisicamente em seu escritório conectado a LAN. Com o IPSec os usuários podem acessar aplicações como correio eletrônico, compartilhamento e transferência de arquivos, HTTP, base de dados, entre outros.
O SSL usa o web browser (Internet Explorer e Netscape) como interface para usuários remotos. A grande vantagem é que os web browsers são familiares para quase todos os usuários e são encontrados em plataformas como Windows, Unix, MAC OS, entre outros, e devido a isso, o acesso remoto usando o SSL se torna fácil, pois pode-se conectar a rede corporativa a partir de qualquer web browser.
Pelo fato de não precisar de um software especial para o uso do VPN SSL, as organizações podem usar o SSL para prover acesso extranet rápido e fácil para funcionários e clientes. A empresa Open Reach recomenta o uso do acesso LAN via SSL para usos casuais, porém para conexões permanentes é melhor utilizar VPN IPSec.
A primeira desvantagem do SSL é que ele opera na camada de aplicação, limitando o acesso somente de alguns recursos que é acessível para o web browser ou para o VPN SSL Proxy.
As aplicações suportadas pelo SSL são o correio eletrônico, compartilhamento de arquivos e web (HTTP).
Complexidade de gerenciamento [4]
Até agora foi visto que o IPSec é considerado mais seguro do que o SSL, porém o IPSec VPN é mais complexo em seu gerenciamento, implementação e configuração, pois para que se possa ser implementado é requerido configurações de vários parâmetros da rede e políticas de segurança da corporação para o que usuário possa estabelecer o túnel com o VPN IPSec.Para aqueles usuários que não possuem conhecimento o bastante para instalar o software IPSec em seu computador, essa tarefa se torna um tanto quanto complicada. Empresas disponibilizam CDs e softwares para downloads para que seus usuários possam instalar, mas mesmo assim continua sendo complicado para o usuário instalá-lo. A solução para isso é treinar o usuário e dar a eles manuais de instalação e configuração.
Desempenho e escalabilidade [4]
As SSL VPNs são escaláveis devido ao fato do usuário remoto poder se conectar por qualquer computador que tenha-se web browser que suporte SSL e ter mobilidade, já o IPSec é mais escalável em relação a transparência da rede (LAN). Para os usuários remotos e para as aplicações a segurança da rede é a mesma imposta para a segurança da LAN. Aplicações que são acessíveis pelo IPSec VPN podem ser usadas sem que elas precisem ser modificadas.O SSL VPN requer uma forte integração com a aplicação tornando a interface gráfica para o usuário. Mudanças nas aplicações requerem mudanças também no web browser do usuário.
A desvantagem do SSL é quem nem todas as aplicações são adequadas para serem usadas via web browser.
Custo
Ambas as tecnologias requerem caixas VPN, mas pelo fato do SSL VPN não necessitar de software específico e facilidade de implementação, como já foi dito nesse artigo, a solução SSL VPN se torna mais barata.SSL VPN x IPSec VPN [15]
Só tem um detalhe, o pdf do artigo original (http://www.nortelnetworks.com/solutions/ip_vpn/collateral/nn102260-110802.pdf) não está mais disponível.