Académique Documents
Professionnel Documents
Culture Documents
autor
Marcelo Fontes
marcelofontesfsa@yahoo.com.br
RESUMO
A VPN (Virtual Private Network) uma forma simples e de baixo custo de se
estabelecer conexes por aproveitar a infraestrutura disponibilizada pela
Internet. Uma VPN deve oferecer mecanismos que garantam a segurana da
comunicao em um meio inseguro como a Internet. Os principais protocolos
adotados e difundidos em VPNs para garantir a segurana nas
comunicaes atravs da Internet so o IPSEC (Internet Protocol Security) e o
SSL/TLS (Secure Socket Layer/Transport Layer Secure). Esses protocolos so
apresentados e comparados por meio de suas principais caractersticas, tais
como formas de autenticao, criptografia, estabilidade, escalabilidade,
algoritmos de trocas de chaves e gerenciamento, e tambm so apresentados
os seus benefcios e limitaes quando empregados nas VPNs.
ABSTRACT
The VPN is a simple and low-cost way of establishing connections by using
the infrastructure available through the internet. A VPN has to provide
mechanisms which guarantees communication security inside an insecure
environment like the internet. The main protocols adopted and disseminated
in VPNs to guarantee security to internet based communications are the
IPSEC (Internet Protocol Security) and the SSL/TLS (Secure Socket
Layer/Transport Layer Secure). Those protocols are here presented and
compared by their characteristics, such as authentication method,
encryption, stability, scalability, key changing algorithms and management.
Benefits and limitations when VPNs are applied is also shown.
1. INTRODUO
O crescimento do uso da World Wide Web para fins comerciais, Intranets, Extranets,
aplicaes B2B (Business to Business) faz-se necessrio o uso de estratgias e de protocolos
de redes que garantam a segurana na comunicao atravs da Internet .
Muitas empresas possuem vrios escritrios e fbricas espalhadas por estados e
at em outros pases e adotam a infraestrutura da Internet para poderem conectar-se de
forma segura e eficaz para compartilhar recursos como Banco de Dados, softwares de
gesto, entre outras aplicaes remotas.
Outro fator importante o crescimento dos funcionrios mveis que utilizam
computadores portteis para acessarem as redes da corporao para desenvolverem os
seus trabalhos normalmente como se estivessem nas dependncias da companhia.
Neste contexto, as VPNs (Virtual Private Network) entram como um mecanismo
de garantir a segurana e possibilitar o acesso somente s pessoas autorizadas, e assim
permitir que os recursos da companhia no fiquem disponveis pessoas estranhas.
Atualmente existem inmeros fabricantes que oferecem diversas solues de
VPNs, principalmente baseadas nos protocolos IPSEC (Internet Protocol Security) e
SSL/TLS (Secure Transport Layer / Transport Layer Security) para garantir a segurana e a
operao adequada das VPNs.
Esse trabalho tem por objetivo apresentar os conceitos de VPNs e mostrar as
caractersticas gerais dos protocolos IPSEC e SSL/TLS e compar-los quando aplicados
em VPNs.
Marcelo Fontes
3.1. Tunelamento
As VPNs so baseadas na tecnologia de tunelamento que adotam o processo de
encapsular um protocolo dentro do outro. O uso de encapsulamento em VPNs possibilita
criptografar o pacote que ser transportado.
Este pacote encapsulado trafega atravs da Internet at alcanar o destino onde
desencapsulado e decriptografado, retornando ao seu formato original.
Outra possibilidade encapsular pacotes de um determinado protocolo em
protocolos diferentes. Por exemplo, pacotes IPX (Internet Packet Exchange) podem ser
encapsulados e transportados dentro de pacotes TCP/IP.
O protocolo de tunelamento encapsula o pacote por meio de um cabealho
adicional que contm as informaes de roteamento que permitem a travessia de pacotes
ao longo das redes intermedirias. Os pacotes encapsulados so roteados entre as
extremidades do tnel na rede intermediria, retornando ao estado original no seu
destino final.
A rede intermediria em questo por onde os pacotes trafegaram pode ser
qualquer rede pblica ou privada.
Marcelo Fontes
Mais detalhes sobre o IPSEC sero apresentados na seo sobre VPN IPSEC.
4. VPN IPSEC
A VPN IPSEC utiliza a completa infraestrutura oferecida pelo IPSEC para garantir os
requisitos bsicos de seguranas mencionados anteriormente.
Nas prximas sees sero apresentadas as caractersticas e uma viso geral dos
protocolos que compem a arquitetura do IPSEC e os mecanismos adotados para atingir
os objetivos de uma VPN.
servios
de
autenticao,
integridade,
controle
de
acesso
Marcelo Fontes
Marcelo Fontes
RC5;
10
CAST;
Blowfish.
Marcelo Fontes
11
protocolo,
segurana
na
transmisso
Cliente/Servidor,
interoperabilidade,
extensibilidade e eficincia.
12
5.3.
Marcelo Fontes
13
14
Marcelo Fontes
15
6.
16
Marcelo Fontes
17
Criptografia
Segurana
Acessibilidade
Custo
Instalao
Simplicidade
Certificado Digital
Forte
Depende da implementao
Aplicaes
Usurios
Escalabilidade
18
IPSec
SSL
Configurao
Funo
Complexa
Simples
Autenticao do Cliente
Obrigatria
Opcional
Pre-Shared Key
Sim
No
Problemas de Interoperabilidade
Sim
No
Suporte ao TCP
Todas
Algumas
Suporte ao UDP
Sim
No
Taxa de Transmisso
Alta
Alta
Compresso
Tempo de Handshake
Sim
Lento
Apenas no SSL
Rpido
Sim
Sim
Sim
Sim
Sim
Sim
Sim
Sim
Aplicaes Web
Contedo de Intranet
Voz sobre IP
File Servers
Controle de acesso para Intranets
e Extranets
Email
Sim
Sim
No
Sim
Sim
Sim
Sim
Sim
Sim
No
Sim
Sim
Tipo de conexo
Tipo de dispositivo
Tipo de Acesso
Controle de Acesso
Fonte:( WITNETWORKS )
Marcelo Fontes
19
Proxy protection
Strong user authentication
Strong central authorization
Suporte Single Sign-On (SSO)
Dual/Stacked Authentication
Proibe a visibilidade de nomes e IP
Forms-based Authentication
Controle ao nvel de URL
Computador Corporativo
Acesso de casa ou de um hotel com
banda larga
Parceiro de negcio
Atravs de um Firewall de outra
Companhia
Atravs de Quiosque Pblicou ou PC
Pblico
Atravs de rede Wireless
Sim
Sim
Sim
Varia de acordo com o
dispositivo e Sistema
operacional
Sim
Sim
PDA Wireless
Sim
Dispositivo Macintosh
No
Sim
No
Dispositivo Linux
Smartphone
Sim
Fonte: (CONNEWS)
Nas tabelas a seguir so comparadas a eficincia dos algoritmos dos protocolos SSL/TLS e
IPSEC.
Tabela 7 - Portas utilizadas
Protocolo
Modo
Servidor
IPSec
Cliente
SSL
Portas
ESP-50/TCP
AH 51 50/TCP
ESP-50/TCP
AH 51 50/TCP
Servidor
HTTPS 443
Cliente
Nenhum
20
Tabela 8 - Overhead
Protocolo
IPSec - Modo Tunel
IPSec - Modo Transporte
SSL
Modo
Tamanho - Byte
ESP
32
ESP e AH
44
ESP
36
ESP e AH
48
HMAQ - MD5
21
HMAQ -SHA -1
25
Modo
Estabelecimento
97 msec
56 msec
170 msec
Modo
Estabelecimento
Autenticao do Servidor
41,7 msec
Autenticao do Cliente
74,8 msec
66,1 msec
118,6 msec
Algoritmo
Sem Algoritmo
3DES - EDE - CBC - SHA
DES - CBC - SHA
RC4 - 128 - SHA
RC4 - 128 - MD5
EXP - RC2 - CBC - MD5
Fon te: (ALSHAMSI; SAITO, 2004)
Tempo (s)
2
9,8
5,5
3,8
3,4
3,9
Marcelo Fontes
21
Algoritmo
Sem Algoritmo
3DES - SHA-1
3DES - MD5
3DES - SHA-1 - DEFLATE
3DES - MD5 - DEFLATE
AES - 128 - SHA-1
Tempo (s)
2
12
10,5
8,4
7,8
4,5
22
7.
CONSIDERAES FINAIS
A VPN uma forma segura e econmica de realizar conexes atravs da infraestrutura
oferecida pela Internet. No entanto, a escolha do protocolo de segurana adequado
depender do tipo de aplicao, sendo que os protocolos IPSEC e SSL/TLS possuem
benefcios e limitaes, que de acordo com o tipo de projeto, poder oferecer maior ou
menor desempenho. O IPSEC possui caractersticas que o torna vivel em aplicaes siteto-site, estabelecendo uma conexo confivel entre dois pontos atravs de dispositivos e
softwares que adotam o IPSEC. No entanto, no demonstra pontos fortes em ambientes em
que se exige um alto grau de mobilidade. Para os casos onde se exige um alto fator de
mobilidade e escalabilidade, o SSL/TLS apresenta benefcios que o torna mais adequado a
este tipo de ambiente. Alm dos protocolos de seguranas tratados neste artigo, outros
procedimentos devem ser adotados para garantir a segurana das comunicaes atravs
da Internet que no foram mencionados, sendo o foco desse trabalho apenas comparar as
caractersticas gerais do IPSEC e do SSL/TLS quando usados em VPNs.
Marcelo Fontes
23
AGRADECIMENTOS
Este artigo teve inspirao nas aulas de Redes Wireless e Segurana de Redes ministradas
pelo professor Alessandro Coneglian Bianchini durante o curso de ps graduao no
Centro Universitrio Anhanguera.
REFERNCIAS
MORIMOTO, C. E. Servidores Linux. 2. ed. Porto Alegre: EdSUL, 2009. 736p.
CHIN, L. K. Rede Privada Virtual. Rio de Janeiro, jun. 2004. Seo NewsGeneration . Disponvel
em: < http://www.rnp.br/newsgen/9811/vpn.html>. Acesso em: 28 jan. 2011.
NAKAMURA, E. S.; GEUS, P. L. Segurana de Redes em Ambientes Cooperativos. 2. ed. So
Paulo:Novatec, 2007. 482 p.
SILVA, S. J.;TEIXEIRA, R. C. Arquitetura IPSEC. Rio de Janeiro, abr. 2004. Seo NewsGeneration.
Disponvel em: < h ttp://www.rnp.br/newsgen/9907/ipsec3.html#ng-introducao>. Acesso em: 3
abr. 2011.
STALLINGS, W. Criptografia e se gurana de redes. 4. ed. So Paulo: Pearson, 2008. 492p.
TANENBAUM, A. S. Redes de Computadores. 4. ed. Rio de Janeiro: Ca mpus, 2003. 945 p.
PETERSON, L. L. ; DAVIE, B. S. Redes de Computadores: Uma abordagem de sistemas. 3. ed. Rio
de Janeiro: Campus, 2003. 588p.
JUNIPER NETWORKS. Whitepaper 2010: SSL versus IPSEC. Disponvel em
<http://www.juniper.net/us/en/local/pdf/whitepapers/2000232 -en.pdf>. Acesso em: 5 abr.
2011.
ARRAY NETWORKS. SSL VPN vs. IPSEC VPN. Disponvel em:
<http://www.arraynetworks.net/ufiles/File/SSLVPNvsIPSecWhitePaper021006.pdf>. Acesso em:
5 abr. 2011.
WITNETWORKS. IPSEC Protocol. Disponvel em:
<http://www.witnetworks.com/Downloads/Aventail/IPSec_v.pdf>. Acesso em: 7 abr. 2011.
ISSA. Aventail IPSec vs SSL. Disponvel em:
<http://www.issa.org/info_resources/ISSA_20050421_Aventail_IPSec_vs_SSL_A4.pdf>. Acesso
em: 6 abr. 2011.
CONNEWS. IPSEC vs. SSL. Disponvel em:
<http://www.comnews.com/WhitePaper_Library/Security/pdfs/IPSevsSSL.pdf>. Acesso em: 8
abr. 2011.
SANOG. IPSEC vs.SSL. Disponvel em: <http://www.sanog.org/resources/sanog8/sanog8ipsecvsssl-kudsi.pdf>. Acesso em: 10 abr. 2011.
ALSHAMSI, A.; SAITO, T. Technical Comparison of IPSec and SSL. TOKY O, 2004. Disponvel
em: < http://eprint.iacr.org/2004/314.pdf>. Acesso em: 12 abr. 2011.