Entender as Opções de VPN de Acesso Remoto
IPSec VPN
O IPSec VPN é um protocolo de camada 3 que se comunica por um protocolo IP 50, Encapsulando Payload de Segurança (ESP). Também pode exigir a porta UDP 500 para Internet Key Exchange (IKE) para gerenciar chaves de criptografia e a porta UDP 4500 para IPSec NAT-Traversal (NAT-T). Às vezes, se as portas UDP forem bloqueadas, os dispositivos VPN tentarão usar a porta TCP 500 e a porta TCP 4500.
Devido às variáveis das configurações da Fase 1 e da Fase 2, pode ser difícil obter dois fornecedores diferentes para estabelecer um túnel estável e escalável. Além disso, alguns fornecedores podem suportar somente túneis baseados em rota ou em política. A prática recomendada é usar o mesmo fornecedor em ambas as extremidades do túnel IPSec.
A IPSec VPN tem o seguinte pré e cons.
- Rápido para implantar
- Criptografia e autenticação incorporadas
- Os túneis entre sites podem ficar ativos desde que os fluxos de tráfego interessantes nos links
- Os algoritmos de segurança são atualizados com o passar do tempo
- Pode estabelecer conectividade ao sair das conexões da internet
- O IKEv2 permite melhor suporte para casos de uso de conectividade em nuvem pública e NAT-T
- Problemas de Interoperabilidade o tornam o desafio para se obter conectividade estável
- Requer hardware dedicado, clientes de software ou ambos para ativar a conectividade
- Como todo o payload é criptografado, a Descoberta de MTU do Caminho deve ser ativada para garantir que pacotes não estão sendo fragmentados
- A complexidade do protocolo pode dificultar a solução de problemas
- As listas de acesso ou filtragem de rota são necessárias para restringir o acesso à rede
SSL VPN
Os VPNs de SSL operam na camada OSI 4, a camada da aplicação. Como resultado, os clientes e servidores podem se conectar um ao outro com mais facilidade. A porta TCP 443 está aberta em muitos servidores Web na internet e os firewalls baseados na rede permitem que a porta TCP 80 (HTTP) e a porta TCP 443 (HTTPS/SSL) ativem o tráfego baseado na Web.
A VPN SSL tem os seguintes prós e cons.
- Nenhum software cliente necessário
- SSL/TLS é padronizado entre a maioria dos fornecedores e aplicações
- Suportado pela maioria dos Web browsers
- Os certificados do servidor podem ser gerenciados de forma centralizada
- Pode criar túneis para aplicativos específicos, em vez de na rede inteira
- Autenticação de usuário opcional (versus criada com o IPSec)
- Só é possível acessar aplicativos baseados na Web, a menos que você ative controles do Java/ActiveX
- Pode ser intenso processo, o que leva a desempenho insatisfatório sob cargas altas
- Geralmente, permite recursos de tunelamento de divisão da VPN, que podem ser explorados por hackers e definições fracas de segurança do web browser