IPSEC
|
OpenVPN
|
Para que as chaves trocadas sejam confiáveis,
é necessário haver uma PKI global. O mais próximo disso que
temos é a PKI de certificados X.509, utilizados em servidores Web
seguros. Só que obter um certificado "legítimo" custa
dinheiro, dificilmente cada computador da Internet iria ter um
certificado pago
|
O OpenVPN depende de certificados X.509, então
é problema do administrador se ele vai usar a PKI oficial (ou
seja, adquirindo certificados "oficiais" para cada nó
da VPN), ou criar uma Autoridade Certificadora fictícia, o que
permite gerar os certificados de graça (mais usual no mundo
OpenVPN)
|
A difusão das chaves tem de ser eficiente e
distribuída. O sistema imaginado para essa difusão, o DNSSEC,
também não está no ar
|
Como cada VPN é pré-configurada, e os
certificados são parte integrante dessa configuração, o OpenVPN
não precisa de PKI on-line
|
O DNSSEC associa uma chave por IP, o que
implica que um computador protegido por IPSEC tenha IP fixo. Mas a
regra da Internet hoje é o IP dinâmico. Lembrar que o IPSEC foi
concebido para IPv6, onde pode-se atribuir faixas fixas de IPs
para cada usuário de provedor
|
O OpenVPN aceita configurar VPNs tanto com IP
fixo como IP dinâmico (até o lado "servidor" pode ter
IP dinâmico)
|
Apesar da transparência de criptografia uma
vez implantado, a implantação em si do IPSEC não é simples
|
Por ser restrito a VPNs, o OpenVPN é simples
de configurar e usar
|
O IPSEC definitivamente não foi concebido para
funcionar em conjunto com NAT, e NAT hoje também é a regra do
lado do usuário pessoa física
|
Os pacotes VPN são transportados sobre TCP ou
UDP, então o cliente consegue "furar" NATs sem maiores
problemas, tal qual IPSEC sobre UDP
|
O IPSEC autentica *computadores*, não
usuários. Para autenticar o usuário, é preciso continuar usando
protocolos como HTTPS (Web seguro), PGP (e-mail criptografado) ou
SSH (shell e FTP seguro)
|
O OpenVPN autentica apenas VPNs, nem sequer
computadores (nem tem a pretensão de fazê-lo)
|
IPSEC exige que o sistema operacional o
implemente no kernel, por usar cabeçalhos opcionais na terceira
camada (IP)
|
Os pacotes de rede que vão passar pela VPN são
selecionados unicamente por conta do seu IP de destino. E eles são
apenas reencapsulados sem qualquer manipulação. Assim, o OpenVPN
não precisa ter qualquer módulo implementado dentro do kernel
|
A tabela de roteamento não explicita se um
determinado pacote vai sair via IPSEC ou via normal, o que
dificulta a depuração de problemas de rede
|
Cada VPN cria uma interface virtual de rede,
baseada na interface genérica TUN/TAP. Ou seja, cada VPN aparece
na tabela de roteamento como se fosse uma placa adicional de rede.
Isto facilita muito a depuração de problemas de rede
|
Fonte: https://epx.com.br/artigos/openvpn_ipsec.php
0 comentários:
Postar um comentário