IPsec Vs. SSL VPN: Comparando Velocidade, Segurança e Tecnologia

À medida que mais usuários exigem acesso remoto a sistemas de rede empresarial, software, aplicativos e outros recursos, a necessidade de produtos de VPN confiáveis e seguros continua a crescer.

Com a VPN certa, uma empresa pode mitigar os riscos de segurança inerentes ao fornecimento de acesso remoto à rede, oferecendo criptografia forte para fornecer segurança de dados e autenticação forte para limitar o acesso a aplicativos com base em políticas de segurança definidas.

Conteúdo

Como Escolher?

Uma das escolhas mais importantes ao considerar uma VPN é optar por uma VPN SSL ou uma VPN IPsec. As empresas devem equilibrar não apenas os diferentes riscos de segurança de cada tipo de criptografia de conexão de rede, mas também pesar as vantagens relativas relacionadas ao desempenho, manutenção e configuração da rede ao comparar IPsec vs. SSL VPNs.the need for produtos confiáveis e seguros de rede privada virtual continua a crescer.

A principal diferença entre uma VPN ipsec e uma VPN SSL se resume às camadas de rede em que a criptografia e a autenticação são executadas. O IPsec opera na camada de rede e pode ser usado para criptografar dados enviados entre quaisquer sistemas que possam ser identificados por endereços IP.

O protocolo De Segurança da Camada de Transporte (TLS), que substituiu o protocolo SSL agora preterido – opera na camada de transporte e é usado para criptografar dados enviados entre quaisquer dois processos identificados pelos números das portas em conexão com a rede Hosts.

Outra diferença importante é que a IPsec não especifica explicitamente a criptografia das conexões, enquanto as VPNs SSL padrão para criptografia de tráfego de rede.

Secure ShellSSH

Nenhuma discussão de VPNs estaria completa sem mencionar o SSH, que pode ser usado para permitir túneis seguros entre clientes e servidores. O SSH implementa seus próprios protocolos de criptografia e autenticação para permitir circuitos seguros entre um cliente e o servidor.

Às vezes, ele é usado como uma espécie de VPN ad hoc, como quando usuários remotos fazem login em seu sistema de trabalho para acessar serviços e sistemas dentro da rede corporativa.

Entender os prós e contras do IPsec vs. SSL VPNs começa com a compreensão de como o IPsec e o SSL trabalham para proteger as conexões de rede remotas. E nenhuma comparação dos benefícios do IPsec vs. SSL VPNs está completa sem sugestões para testar produtos e software vpn.

Como Funciona O IPsec?

IPSec
IPSec

O IPsec, também conhecido como Internet Protocol Security, define a arquitetura oficial para garantir o tráfego da rede IP. Ele também especifica maneiras pelas quais os hosts ip podem criptografar e autenticar dados que estão sendo enviados na camada de rede IP. Ele é usado para criar um túnel seguro entre entidades identificadas por seus endereços IP.

As VPNs do IPsec normalmente são usadas para conectar um host remoto a um servidor VPN de rede; o tráfego enviado pela internet pública é criptografado entre o servidor VPN e o host remoto. O IPsec permite que os hosts comunicativos negociem quais algoritmos criptográficos devem ser usados para criptografar ou autenticar dados.

Esse tipo de tunelamento permite que o sistema do usuário remoto – o cliente VPN – se comunique com quaisquer sistemas por trás do servidor VPN. O host remoto negocia a conexão inicial com o servidor VPN, após o que todo o tráfego entre o suporte remoto e quaisquer sistemas dentro da rede protegida é criptografado.

A autenticação de dados de rede pode ser negociada entre o suporte remoto e o servidor VPN, além ou, em vez de, criptografia. No entanto, as VPNs usam criptografia para obscurecer todos os dados enviados entre o cliente e o servidor da VPN.

Um invasor que monitora o tráfego de rede criptografado entre o cliente VPN e o servidor VPN seria capaz de ver que os dois anfitriões estão se comunicando e seria capaz de identificar o tráfego como sendo criptografado com IPsec – mas isso é tudo.

As VPNs do IPsec geralmente exigem que cada ponto final remoto use software específico para criar e gerenciar os circuitos ipsec, o que significa que eles podem ser mais complicados de configurar, configurar e administrar do que as VPNs SSL.

Como Funciona O SSL?

SSL
SSL

As VPNs SSL modernas realmente usam o TLS para criptografar fluxos de dados de rede enviados entre os processos. O protocolo TLS permite criptografia e autenticação de conexões entre programas. Essas conexões geralmente são definidas pelos endereços IP dos pontos finais, bem como os números portuários dos programas em execução nesses pontos finais.

O TLS permite que os hosts comunicativos negociem quais algoritmos criptográficos devem ser usados para criptografar ou autenticar dados. Embora algumas configurações permitam o uso de versões SSL depreciadas, as melhores práticas de segurança recomendam o uso apenas das versões mais recentes do TLS.

As VPNs SSL podem ser usadas para proteger as interações de rede entre um navegador web e um servidor web ou entre um cliente de e-mail e um servidor de e-mail. Os clientes da SSL VPN acessam serviços específicos conectando-se ao servidor SSL VPN, que por si só atua como um proxy para os serviços protegidos dentro da rede corporativa.

Tipo De Controle

As VPNs ssl permitem um controle mais granular sobre conexões. Enquanto uma VPN ipsec permite conexões entre um host remoto autorizado e qualquer sistema dentro do perímetro empresarial, uma VPN SSL pode ser configurada para permitir conexões apenas entre hosts remotos autorizados e serviços específicos oferecidos dentro da empresa Perímetro.

Operar na camada de transporte também significa que um tráfego externo de rede de monitoramento de invasores pode ser capaz de identificar os protocolos de aplicação que estão sendo usados por usuários remotos.

Em vez de um único circuito de túnel carregando todas as interações de rede como com IPsec, haverá um circuito de rede separado para cada conexão diferente, de modo que o invasor pode ser capaz de obter algumas informações sobre os aplicativos e serviços que estão sendo usados por Usuários.

As VPNs SSL podem ser implementadas sem a necessidade de instalar software de cliente em hosts remotos porque os clientes modernos do navegador habilitado para TLS podem ser usados para criar túneis seguros.

Comparando VPNs IPsec Vs SSL

A escolha entre um IPsec e a SSL VPN deve ser baseada nas condições e requisitos da organização. Embora possa haver preferências filosóficas ou teóricas para um modelo ou outro, a decisão real deve ser baseada em comparações baseadas em fatos das vantagens e desvantagens que se aplicam à implantação real.

IPsec x SSL VPN

Comparar uma VPN IPsec vs. SSL significa pesar prós e contras.

O primeiro passo na comparação de VPNs IPsec vs SSL é determinar os requisitos para a organização e seus usuários e decidir os recursos e funções mais importantes da VPN. Algumas das diferenças entre ipsec e SSL VPNs incluem o seguinte:

  • Desempenho:

Com hardware moderno, o tipo de criptografia usado pelo IPsec e vpns SSL geralmente não causa problemas de desempenho, mas as organizações devem usar benchmarks para testar candidatos vpn.

Vpns IPsec configurar um túnel entre cliente e servidor usando um pedaço de software sobre o cliente, o que pode exigir um processo de configuração relativamente longa; As VPNs SSL que operam através de navegadores da Web geralmente serão capazes de configurar conexões muito mais rápido.

  • Segurança:

Um tipo de VPN não é necessariamente mais seguro em todas as circunstâncias. O fator mais importante para determinar em que tipo de VPN será mais seguro é o modelo de ameaça em que a organização está baseando seus requisitos de VPN.

Cada tipo VPN deve ser avaliado no contexto do tipo de ataques contra os quais a organização está defendendo. A segurança dos algoritmos de criptografia que estão sendo usados é importante, mas também a segurança dos outros componentes da implementação.

  • Autenticação De Dados:

AS VPNs podem criptografar todos os dados transmitidos, mas também podem adicionar autenticação de dados para se defender contra adulteração usando algoritmos de autenticação criptográfica fortes para verificar se os dados não foram modificados em trânsito entre clientes e servidores de VPN.

Ebook capa 3d

E-Book GRÁTIS! – Guia Definitivo Como Montar Sua Rede De Computadores
O Passo a Passo Inicial Para Criar a Sua Própria Rede Totalmente Do Zero, De Maneira Fácil e Rápida

E-Book GRÁTIS! – Como Montar Sua Rede De Computadores
O Passo a Passo Inicial Para Criar a Sua Própria Rede Totalmente Do Zero, De Maneira Fácil e RápidaEbook capa 3d

No entanto, eles exigem um mecanismo de troca de chave seguro para habilitar a autenticação. Embora o protocolo SSL/TLS incorpore a negociação de algoritmos-chave de intercâmbio, o IPsec conta com um protocolo externo, o Internet Key Exchange, para esse fim.

  • Defesa De Ataque:

Os ataques a VPNs e VPNs SSL da IPsec – e defesa contra esses ataques – serão diferentes com base no protocolo vpn subjacente, implementação e recursos adicionados. A principal diferença entre ipsec e ssl vpns reside na diferença de pontos finais para cada protocolo.

Uma VPN ipsec normalmente permite acesso remoto a toda uma rede e todos os dispositivos e serviços oferecidos nessa rede.

Se os invasores tiverem acesso ao túnel seguro, eles podem ser capazes de acessar qualquer coisa na rede privada. O SSL permite conexões entre um dispositivo, sistemas específicos e aplicativos para que a superfície de ataque seja mais limitada.

  • Segurança Do Cliente:

Embora o protocolo IPsec faça parte do conjunto TCP/IP, nem sempre é implementado como um componente padrão dos OSes que suportam o TCP/IP.

Em contraste, as VPNs SSL dependem do TLS, que é incorporado por padrão em navegadores da web, bem como muitos outros protocolos de camada de aplicativos.

Como resultado, comparar VPNs IPsec e SSL deve incluir a consideração de como os clientes se conectam e usam a VPN, bem como a segurança dessas opções.

Os implementadores devem considerar como os clientes se conectam à VPN, à superfície de ataque dos clientes habilitados para VPN e aos perfis de usuário seleção de VPN.

Um gateway VpN SSL provavelmente permitirá opções de configuração muito mais granulares no que diz respeito a limitar o acesso a sistemas ou serviços específicos na rede protegida.

Gateways para produtos VPN IPsec são susceptíveis de ter muito menos capacidade de configurarr.

Embora possam ter adicionado recursos de filtragem de pacotes que permitem que políticas ou configurações limitem o acesso a endereços IP específicos ou subconjuntos da rede protegida, devem ser tomados cuidados para evitar a adição de complexidade desnecessária e riscos de segurança extras que ocorrem com complementos de software.

Em ambos os casos, considere implantar uma VPN ao lado de um sistema de controle de acesso à rede que possa aumentar a segurança geral, restringindo o acesso aos recursos da rede com base em políticas explicitamente definidas.

  • Rede De Ponta A Ponta:

O TLS é usado na camada de transporte, o que significa a camada de rede onde a comunicação é conduzida entre os processos. Em contraste, o IPsec opera na camada de rede onde a comunicação é conduzida entre nós de rede com endereços IP.

Isso torna a segurança da criptografia de ponta a ponta mais difícil quando qualquer extremidade do circuito VPN seguro está em uma rede que usa a Tradução de Endereços de Rede (NAT) para virtualizar endereços IP.

Com uma VPN ipsec, habilitar uma comunicação segura entre gateways NAT requer configuração e gerenciamento adicionais.

Embora muitas das diferenças entre as VPNs IPsec e SSL sejam atribuíveis às diferenças entre os protocolos subjacentes que estão sendo implementados, as implementações específicas também devem ser consideradas.

A implementação vpn ipsec que você prefere adicionar recursos que o tornam funcionalmente comparável às implementações de VPN ssl? Como a implementação de qualquer VPN de protocolo se compara a outros produtos de outros fornecedores?

Como Testar Suas Implementações de VPN

As implementações de VPN devem ser testadas com o mesmo grau de rigor que qualquer produto de segurança. Os testes adequados devem ser precedidos por pesquisas sobre as implementações da VPN sendo consideradas. Também, assim como outros sistemas e serviços de segurança, os testes do sistema VPN nunca devem ser feitos inicialmente em sistemas ou redes de produção.

Os testes de VPN devem abordar todos os aspectos de segurança, especialmente no que se refere aos modelos de ameaças e superfícies de ataque da organização. Os testes de VPN devem abordar o seguinte:

  • Infraestrutura VPN:

isso inclui qualquer hardware, software e aplicativos de nuvem vpn e a maneira como eles são integrados com sistemas e aplicativos a serem protegidos.

Mesmo a melhor VPN não pode proteger contra ataques a serviços ou aplicativos que não estão seguros, então eles devem ser testados também.

  • Algoritmos E Protocolos Criptográficos VPN:

Os componentes vpn implementam protocolos de criptografia fortes?

Os sistemas VPN usam algoritmos atualizados?

As implementações de IPsec e TLS às vezes são lentas para depreciar algoritmos inseguros, o que pode permitir alguns tipos de ataque, como a vulnerabilidade Heartbleed que tornou algumas implementações de TLS vulneráveis.

  • Usuários VPN:

O elemento humano é sempre um aspecto crítico de qualquer sistema de segurança.

As pessoas que usam a VPN entendem como ela funciona?

Eles são capazes de usá-lo com segurança?

Eles entendem o tipo de ameaças que podem enfrentar dos atacantes?

O sistema VPN escolhido pode resistir a ataques de insiders mal-intencionados?

Resumo

Idealmente, as empresas implantariam VPNs IPsec e SSL, já que cada uma resolve problemas de segurança ligeiramente diferentes. No entanto, na prática, a necessidade de cobertura completa pode ser superequilibrada pela despesa de compra, teste, instalação, administração e gerenciamento de dois sistemas VPN.

E-Book Gratis! - Guia Definitivo: Como Montar Sua Rede De Computadores

E-Book Gratis! - Guia Definitivo: Como Montar Sua Rede De Computadores

O Passo a Passo Inicial Para Criar a Sua Própria Rede Totalmente Do Zero, De Maneira Fácil e Rápida

Não enviamos spam. Seu e-mail está 100% seguro!

Sobre o Autor

Rodolfo Teixeira Neto
Rodolfo Teixeira Neto

Formado em gerenciamento de redes pelo ICEC - Instituto Cuiabá de Ensino e Cultura; Professor na área de Informática, montagem e manutenção de computadores e instalação, configuração e manutenção de redes de computadores a mais de 10 anos; Trabalhei na área de telecomunicações por mais de três anos e possuo curso preparatório para certificação Cisco CCNA, Firewall Checkpoint CCSA, Red Hat RHCP, Microsoft MCSA e Ethical hacker CEH;

0 Comentários

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *