VPN: IPSec vs SSL

Resumo
As Virtual Private Networks (VPNs) ou Redes Privadas Virtuais surgiram da necessidade de se utilizar redes de comunicao no confiveis, como a Internet, para trafegar informaes de forma segura. Para garantir a segurana das VPNs existem algumas tecnologias como o Internet Protocol Security (IPSec), o Secure Socket Layer (SSL), o Multi-protocol Label Switching (MPLS) entre outras. Todas essas tecnologias possuem vantagens e desvantagens onde os fatores a serem considerados so: aplicao e a acessibilidade do usurio; facilidade de utilizao, segurana de encriptao e autenticao; escalabilidade; desempenho; e custo.

Nesse artigo vamos explicar, fazer comparaes e mostrar qual a melhor soluo entre duas dessas tecnologias usadas para prover acesso seguro ao tnel VPN - o IPSec e o SSL. Esse documento foi baseado no artigo: IPsec and SSL: Complementary solutions. A shorthand guide to selecting the right protocol for your remote-access and extranet virtual private network feito pela Nortel Networks [4]

Introduo
Acessos remotos tradicionais como Linhas Privadas (LPs) e Servios de Acesso Remoto(RAS) esto caindo em desuso por motivos de complexidade de distribuio, custos com linhas e contas telefnicas e manutenes, falta de boas solues de segurana entre outros. Essas razes levaram organizaes a adotarem outras alternativas. Foi a partir da que surgiram as VPNs como soluo para prover acesso remoto seguro. A VPN permite que organizaes estendam seus acessos as suas redes permitindo que usurios externos a acessem de forma segura utilizando a rede pblica de computadores como meio de acesso, reduzindo custos externos com redes privadas e telefonia. Muitos pensam que as VPNs so baseadas somente em IPSec, mas na realidade existem outras formas de encriptao e segurana de protocolos que so usadas para garantir segurana da conexo entre os usurios remotos e a rede corporativa. A outra forma de garantir essa segurana para o uso da VPN o SSL. No ponto de vista do usurio, os mecanismos de segurana IPSec e SSL fazem a grosso modo a mesma coisa, ou seja, prov confidencialidade e autenticao dos dados. Para o ponto de vista dos profissionais de TI o mecanismo de segurana IPSec so usadas para comunicaes de host para host, de host para LAN e de LAN para LAN (LAN - Local rea Network).

O SSL pode ser usado somente para comunicaes de host para host. O IPSec prov servios de encriptao, autenticao ou a combinao de ambos. Isso significa que a encriptao pode ocorrer entre dois hosts ou dois gateways quando se comunicam atravs da internet. Os dados dentro de uma rede corporativa podem trafegar de forma no encriptada, isso porque o trfego ser encriptado na camada IP pelo roteador que se encarrega de enviar esses dados no encriptados da rede local para internet em forma cifrada. O SSL prov servios de confidencialidade e autenticidade somente entre dois hosts ou tipicamente entre um host e um servidor. Para aplicaes host para LAN e LAN para LAN no possvel porque o SSL fornece suas caractersticas somente para portas definidas [1]. Veremos agora, uma breve descrio sobre as tecnologias VPN, IPSec e SSL. VPN um tipo especfico de ligao entre um host e uma LAN ou entre LANs que utiliza a Internet como meio de conexo ao invs de links dedicados ou redes de pacotes como Frame Relay e X.25. A grande vantagem da VPN a reduo de custos, pois elimina a necessidade de links dedicados de longa distncia que podem ser substitudos pela Internet. Todas as informaes trafegam pela Internet em forma criptografadas entre as redes. Sua implementao se d atravs de firewalls ou caixas especficas para VPN, tambm conhecidas como Appliances, que instaladas nas "pontas" das redes (entre as redes e a Internet), fazem um trabalho denominado tunneling ou tunelamento, que o processo de encapsular um protocolo dentro do outro. O tunelamento nada mais do que um "tnel" entre as redes conectadas, autenticando e criptografando as informaes que ali trafegam, protegendo a conexo de acessos externos provenientes do restante da Internet. A segurana a primeira e mais importante funo da VPN. Uma vez que dados privados sero transmitidos pela Internet, que um meio de transmisso inseguro, eles devem ser protegidos de forma a no permitir que sejam modificados ou interceptados. [2][4][18] A VPN pode ser implementada de duas formas: [5] a) A primeira forma um host em trnsito conectado a um provedor Internet e atravs dessa conexo, estabelece um tnel com a rede remota.

[5] b) Na segunda forma, duas redes se interligam atravs de hosts com link dedicado ou discado via internet, formando assim um tnel entre as duas redes.

[5] IPSec O mecanismo de segurana IPSec um protocolo padro de camada 3 do modelo OSI (Open System Interconection) que foi projetado pelo IETF (Internet Engineering Task Force). Primeiramente esse protocolo foi desenvolvido para o Internet Protocol version 6 (IPv6) e a partir da alta demanda o IPSec foi adaptado para o Internet Protocol version 4 (IPv4). Esse mecanismo de segurana oferece transferncia segura de informaes fim a fim atravs de rede IP pblica ou privada. Essencialmente, ele pega pacotes IP privados, realiza funes de segurana de dados como criptografia, autenticao e integridade, e ento encapsula esses pacotes protegidos em outros pacotes IP para serem transmitidos. Esse processo conhecido como tunelamento (figura 3). As funes de gerenciamento de chaves tambm fazem parte das funes do IPSec.[1][11]

[11] Caractersticas: [19] Tunelamento: Authentication Header (AH) ou Encapsulating Security Payload (ESP); Encriptao: 56-bit DES, 112- or 168-bit 3DES, 128-, 192- or 256-bit AES, ou nenhum; Autenticao: login e senha, login e token + pin ou o certificado digital. Apesar de ser um protocolo flexvel, ele acaba se tornando complexo. Para que duas entidades se conectem via IPSec, preciso que ambos os lados aceitem o mesmo padro de poltica de segurana, chamada de Security Association (SA), onde deve ser configurado em ambos os gateways VPN. Um nico tnel IPSec protege todas as comunicaes entre ambos os equipamentos de cada ponta sem ligao com o tipo de trafego (TCP, UDP, SNMP) ou aplicao (correio eletrnico, FTP, HTTP). Os tneis podem ser estabelecidos de LAN para LAN, host para LAN e host para host. Um gateway IPSec garante a segurana das aplicaes da LAN. Um nico usurio usando IPSec chamado de host.

Pelo fato de o IPSec operar na camada de rede, usurios ganham acesso a todos os recursos da LAN da corporao como se eles estivessem fisicamente na empresa conectados a ela. J existem solues que alguns fabricantes dispem em seus equipamentos que provem tneis VPN via IPSec. [1][10]

[12] IPSec VPN gateways so usualmente implementados em firewalls para se ter o controle de permisso ou negao de acesso de um determinado host. SSL O mecanismo de segurana SSL um protocolo localizado entre a camada de transporte e a camada de aplicao (figura 5) projetado pela Netscape que permite a conexo de servios de HTTP via Internet, porm de maneira segura: com criptografia dos dados, autenticao de servidor e integridade de mensagens na conexo TCP/IP. [7]

[11] Caractersticas: [19] Encriptao - 40-bit ou 128-bit RC4 Autenticao - Login e senha, login e token + pin, ou certificado digital De acordo com este protocolo, o cliente e o servidor entram num acordo sobre o nvel de segurana que ser utilizado na conexo e completam todos os requisitos necessrios para a autenticao da conexo. Em seguida, o protocolo executa a criptografia e decriptografia dos pacotes de mensagens que esto sendo transmitidas na rede. No caso de pacotes HTTP, todas as informaes contidas tanto nas requisies quanto nas respostas da aplicao estaro completamente criptografadas, inclusive a URL que o cliente est pedindo, senhas, nmeros de cartes de crdito, demais informaes de acesso, e todos os dados enviados pelo servidor. [7] Com o SSL, cada aplicao protegida separadamente, diferentemente do IPSec que opera independente da aplicao. Para existir segurana cada aplicao servidora deve suportar acesso de usurios via web browser que suporte o protocolo SSL. Na maioria dos web browsers como o Internet Explorer e o Netscape o SSL suportado por padro, porm nem todas as aplicaes suportam sendo necessrio que seus sistemas sejam atualizados e com isso, talvez gerando custo. [6] Para resolver esse problema, alguns fabricantes tiveram a ideia de desenvolver o VPN SSL proxy, sua funo de armazenar informaes (cache) entre a rede privada e a rede pblica. Essa

tecnologia usada para aplicaes LAN como correio eletrnico, transferncia de arquivos, entre outros recursos. Com o web browser conectado ao proxy como se estivesse diretamente comunicando com a aplicao e a aplicao se comunicando diretamente com o web browser. O SSL proxy faz com que esse processo se torne transparente para os web browsers, clientes e aplicaes. [15]

[12] Os SSL VPN gateway so usualmente implementados por trs dos firewalls, com regras que permitem e negam acesso de aplicaes ou dados. Nesse exemplo o usurio tem acesso a sua caixa postal e as URLs hospedadas no servidor web. As vantagens e desvantagens Os mecanismos de segurana IPSec e SSL so ambos eficazes para a segurana de acesso remoto em corporaes utilizando a Internet, porm esses mecanismos possuem suas vantagens e desvantagens. So elas: [4] Segurana; Acessibilidade e facilidade de uso; Complexidade de gerenciamento; Desempenho e escalabilidade; Custo.

Segurana [4]
Entre os protocolos IPSec e SSL, a grande diferena entre eles est na segurana que eles provem. Em alguns casos a segurana usada como o principal critrio para se adotar uma tecnologia em especial. Existem dois fatores crticos quando comparamos IPSec e SSL, a autenticao e a encriptao. A autenticao garante a identidade do usurio ou sistema, garantindo que outras pessoas ou sistemas no autorizados no se passem por verdadeiros. Encriptao usada para manter a privacidade dos dados que trafegam pela Internet. Autenticao: [4] Ambos os protocolos suportam autenticao para se ter a certeza da validao de cada extremidade (cliente e servidor) para que ocorra o estabelecimento do tnel VPN.

Ao contrrio da encriptao, tanto o IPSec quanto o SSL podem utilizar as mesmas tcnicas de autenticao. Ambos os protocolos podem utilizar os seguintes mecanismos de autenticao: login e senha, login e token +pin ou certificados digitais. O IPSec VPN basicamente mais seguro em relao ao SSL VPN, isso devido a autenticao do IPSec ser associado ao software de VPN instalado no computador para conectar-se no tnel, com isso restringindo o acesso a equipamentos no autorizados, ou seja, os que no possuem o software IPSec VPN instalado e configurado. No SSL VPN, usurios podem acessar os recursos da corporao a partir de qualquer equipamento que possua web browser que suporte SSL, incluindo computadores inseguros encontrados em locais pblicos, como bibliotecas, universidades, LAN houses, entre outros. Para o uso da VPN SSL, a autenticao depende da verificao do certificado pelo usurio aps o seu recebimento, onde o mesmo pode aceitar um certificado falso pensando ser o verdadeiro. Encriptao: [4] Ambos os protocolos suportam o uso de encriptao. O IPSec suporta os algortimos RC4 (40 ou 128 bit), AES (256 bit), DES (56 bit) e o 3DES (112 ou 168 bit). Tipicamente o IPSec utiliza o DES (56 bit) ou 3DES (112 ou 168 bit). J o SSL suporta RC4 (40 ou 128 bit), DES (56 bit) e 3DES (112 ou 168 bit). Tipicamente o SSL utiliza o RC4 (40 ou 128 bit). Cada um desses algoritmos de encriptao so similares e com isso eles podem assegurar a privacidade dos dados que trafegam pela Internet. Com o IPSec VPN as pontas (host para host, host para LAN ou LAN para LAN) durante o estabelecimento do tnel VPN, o usurio deve concordar com a AS, ou seja, deve concordar com as polticas de segurana impostas pela corporao, com isso assegurando o administrador de rede que o usurio aderiu a poltica de segurana devido a forma que a encriptao trabalha, isso uma vantagem que o IPSec tem em relao ao SSL. J com o SSL, algumas implementaes utilizam algoritmos de encriptao RC4 de 40 e 128 bit, ou seja, no uma encriptao fraca, no permitindo que empresas a utilizem para seus usurios remotos quando os mesmos precisam de uma encriptao forte. Empresas como a Nortel esto desenvolvendo produtos para suprir essas deficincias do SSL. Em se tratando de segurana, O SSL possui uma fragilidade. Usurios podem acessar a VPN em qualquer computador que se tenha web browser, onde o risco est, se essa mquina onde o usurio ir se conectar ao tnel VPN, no haver nenhum software malicioso que possa capturar informaes ou gerao de cookies durante o estabelecimento do tnel VPN. Empresas desenvolvedoras de solues SSL VPN esto criando a conexo do tnel VPN, todos os cookies sero removidos, inatividade do cliente, entre outras solues.

Acessibilidade e facilidade de uso [4]

Para o usurio usar o IPSec VPN preciso que ele tenha instalado em seu computador um software especfico para isso. Alguns sistemas operacionais como o Microsoft Windows do suporte para protocolos de tunelamento como o Point-to-Point Tunneling Protocol (PPTP) e o Layer 2 Tunneling Protocol (L2TP) por cima do IPSec, porm isso no um padro, foi a partir da que surgiram softwares para serem instalados em sistemas operacionais para que os mesmos suportem o IPSec para se conectar aos gateways IPSec.

Isso um grande problema, pois para se conectar a VPN preciso utilizar o produto de um fabricante em especfico, pois no h interoperabilidade entre softwares de fabricantes diferentes. Por um lado isso uma vantagem, pois aumenta a segurana amarrando o acesso a VPN para mquinas especficas e usurios especficos, por outro lado limita o acesso e a mobilidade. Para a configurao do IPSec na mquina cliente necessrio a configurao manual, tornando-se uma tarefa difcil para usurios que no tem conhecimento de como configur-la. A primeira vantagem do IPSec que ele opera na camada de rede, garantindo a segurana das informaes entre as duas pontas do tnel VPN, incluindo todas as aplicaes [4]. Usurios remotos tem acesso aos recursos da corporao como se eles estivessem fisicamente em seu escritrio conectado a LAN. Com o IPSec os usurios podem acessar aplicaes como correio eletrnico, compartilhamento e transferncia de arquivos, HTTP, base de dados, entre outros. O SSL usa o web browser (Internet Explorer e Netscape) como interface para usurios remotos. A grande vantagem que os web browsers so familiares para quase todos os usurios e so encontrados em plataformas como Windows, Unix, MAC OS, entre outros, e devido a isso, o acesso remoto usando o SSL se torna fcil, pois pode-se conectar a rede corporativa a partir de qualquer web browser. Pelo fato de no precisar de um software especial para o uso do VPN SSL, as organizaes podem usar o SSL para prover acesso extranet rpido e fcil para funcionrios e clientes. A empresa Open Reach recomenta o uso do acesso LAN via SSL para usos casuais, porm para conexes permanentes melhor utilizar VPN IPSec. A primeira desvantagem do SSL que ele opera na camada de aplicao, limitando o acesso somente de alguns recursos que acessvel para o web browser ou para o VPN SSL Proxy. As aplicaes suportadas pelo SSL so o correio eletrnico, compartilhamento de arquivos e web (HTTP).

Complexidade de gerenciamento [4]

At agora foi visto que o IPSec considerado mais seguro do que o SSL, porm o IPSec VPN mais complexo em seu gerenciamento, implementao e configurao, pois para que se possa ser implementado requerido configuraes de vrios parmetros da rede e polticas de segurana da corporao para o que usurio possa estabelecer o tnel com o VPN IPSec. Para aqueles usurios que no possuem conhecimento o bastante para instalar o software IPSec em seu computador, essa tarefa se torna um tanto quanto complicada. Empresas disponibilizam CDs e softwares para downloads para que seus usurios possam instalar, mas mesmo assim continua sendo complicado para o usurio instal-lo. A soluo para isso treinar o usurio e dar a eles manuais de instalao e configurao.

Desempenho e escalabilidade [4]

As SSL VPNs so escalveis devido ao fato do usurio remoto poder se conectar por qualquer computador que tenha-se web browser que suporte SSL e ter mobilidade, j o IPSec mais escalvel em relao a transparncia da rede (LAN). Para os usurios remotos e para as aplicaes a segurana da rede a mesma imposta para a segurana da LAN. Aplicaes que so acessveis pelo IPSec VPN podem ser usadas sem que elas precisem ser modificadas.

O SSL VPN requer uma forte integrao com a aplicao tornando a interface grfica para o usurio. Mudanas nas aplicaes requerem mudanas tambm no web browser do usurio. A desvantagem do SSL quem nem todas as aplicaes so adequadas para serem usadas via web browser.

Custo
Ambas as tecnologias requerem caixas VPN, mas pelo fato do SSL VPN no necessitar de software especfico e facilidade de implementao, como j foi dito nesse artigo, a soluo SSL VPN se torna mais barata.

SSL VPN x IPSec VPN [15]

Concluso
Os mecanismos de segurana IPSec e SSL ambos podem ser utilizados em VPNs. Cada um deles com caractersticas diferentes, onde os mesmos possuem suas vantagens e desvantagens e um dos pontos em comum entre os dois de prover segurana em conexes VPNs. No existe uma soluo ideal que ir atender 100% as necessidades de acesso remoto e segurana de uma empresa, como foi visto, tanto o IPSec quanto o SSL possuem caractersticas diferentes em relao aos processos necessrios para o estabelecimento de uma conexo VPN. A escolha de um desses protocolos para se usar em VPN vai de encontro aos objetivos que a empresa almeja, polticas de segurana, custo, facilidade de implementao, tempo, recursos e mo de obra, entre outros fatores que foram citados nesse artigo. Finalizando, o mecanismo de segurana ideal aquele que bem projetado, bem implementado e bem administrado pela organizao, para que o mesmo esteja sempre disponvel atendendo as necessidades da empresa e dos funcionrios que usufruam das vantagens oferecidas pela tecnologia VPN.

Referncias bibliogrficas
[1] IPV6 Networks - Marcus Gonalves e Kitty Niles - McGraw-Hill 1998 [2] Segurana na Internet Microsoft Proxy Cache - Novell Border Manager - Gorky Starlin e Rafael Novo - Book Express [3] Guia Ilustrado do TCP/IP - Matthew Naugle - Editora Berkley 2001 [4] IPsec and SSL: Complementary solutions. A shorthand guide to selecting the right protocol for your remote-access and extranet virtual private network http://www.nortelnetworks.com/solutions/ip_vpn/collateral/nn102260-110802.pdf [5] O que VPN? Escrito por Jackson Ricardo http://www.portalchapeco.com.br/~jackson/vpn.htm [6] VPNs: Virtually Anything? By Lisa A. Phifer Last Update: April 2001 http://www.corecom.com/html/vpn.html [7] Introduction to SSL - Written by mr Eugene Mayevski, Entered on Friday, March 14 2003, http://www.howtodothings.com/showarticle.asp?article=576 [8] VPNs and VPN Technologies - By Andrew Mason. Sample Chapter is provided courtesy of Cisco Press. Jan 4, 2002. http://www.informit.com/articles/article.asp?p=24833&seqNum=3 [9] Making the VPN connection - By Keith Schultz - December 05, 2003 http://www.infoworld.com/article/03/12/05/48FEvpn_1.html

[10] Introduo ao IPSEC - Peter Welcher http://www.networkdesigners.com.br/Artigos/Pete/ipsec/ipsec.html [11] Secure Processor by Simon Stanley http://www.lightreading.com/document.asp?site=lightreading&doc_id=28307&page_number=3 [12] VPNs: Tunnel Visions - by Lisa Phifer - August 2003 http://infosecuritymag.techtarget.com/ss/0,295796,sid6_iss21_art83,00.html [13] VPNs - Predator or Partner? David Macfarlane - 3 March 2004 http://www.totaltele.com/interviews/display.asp?InterviewID=290 - SSL vs IPSec [14] SSL VPN Gateways: A New Approach to Secure Remote Access by Ken Araujo - CTO Netilla Networks - Wednesday, 5 November 2003. http://www.net-security.org/article.php?id=595 [15] Comparison of VPN Solutions: SSL vs IPSec http://www.netillavo.com/downloads/wp_ipsec-vs-ssl.pdf [16] SSL vs IPSec VPNs - By Ron Nutter Network World, 05/26/03 http://www.nwfusion.com/columnists/2003/0526nutter.html [17] A Private Debate SSL vs. IPsec: Which Is Right For Your VPN? by Douglas Schweitzer January 9, 2004 Vol.26 Issue 2 http://processor.com/proeditorial/article.asp?article=articles %2Fp2602%2F37p02%2F37p02%2Easp&guid=s56pymia&searchtype=&WordList= [18] Rede Privada Virtual - VPN - Rede Privada Virtual - VPN http://www.rnp.br/newsgen/9811/vpn.html [19] Security Application Note - Neil Gammage - 13/12/01 http://www.mot-sps.com/files/netcomm/doc/app_note/SECURITY-AN.pdf