Respuesta corta:
IPSec y SSL VPN son generalmente su mejor apuesta. IPSec principalmente para red a red y SSL VPN para usuario a red. Detalles abajo.
EoIP está fuera ya que no tiene * ninguna * características de seguridad, ni siquiera autenticación rudimentaria. Al menos L2TP tiene eso.
No preguntó sobre L2TP, pero encapsula el tráfico L2 a través de PPP, tiene una autenticación rudimentaria y no proporciona ningún cifrado. En términos generales, las implementaciones de L2TP dependen de IPSec para los servicios criptográficos.
- ¿Hay una VPN que no ralentice mi internet?
- ¿Puedo ver el historial de búsqueda de una persona que usa mi punto de acceso sin una VPN?
- ¿Qué son mpls l3 VPN y mpls l2 VPN?
- Cuando nos conectamos a VPN, ¿aumenta mi uso de Internet más de lo normal?
- ¿Qué es una VPN? ¿Puedes describir cómo funciona?
PPTP
PPTP está fuera ya que la fuerza del mecanismo de cifrado se basa en un nombre de usuario / contraseña. Todos sabemos que los nombres de usuario / contraseñas se pueden adivinar fácilmente. Además, el nombre de usuario y la contraseña hash se transportan a través de la red y se pueden detectar para descifrarlos fuera de línea (suponiendo que tenga acceso para detectar los paquetes). Además, PPTP no tiene ninguna característica clave de administración y tiene otros problemas http://www.schneier.com/pptp.html (algunos se han abordado, pero no todos). Sin embargo, es muy fácil de usar.
Eso nos deja con IPSec y SSL. Diría que ambos son igualmente seguros para la definición de protección contra escuchas y garantizar la integridad de los datos (cifrado y hash). El valor real está en los detalles, como elegir buenos algoritmos y mecanismos de autenticación.
IPSec
IPSec tiene una serie de características interesantes que se pueden habilitar principalmente relacionadas con la gestión de claves, como la renovación de claves de tiempo o datos para el canal de control y datos, el secreto perfecto, algoritmos de cifrado / cifrado seleccionados y autenticación basada en certificados. Es más débil cuando se usan claves precompartidas, un nombre elegante para las contraseñas. Es mejor cuando se usan certificados. La autenticación es multual. También puede definir los parámetros del túnel IPSec para permitir / deshabilitar algunos hosts o protocolos. Es bastante flexible de esa manera.
Si bien IPSec es un estándar, no es muy interoperable y prácticamente se usa entre productos del mismo proveedor. Hay tantas opciones que pueden hacer que un túnel se rompa, como entregar una nueva clave cuando una nueva clave está en progreso, lo que implica que no es confiable entre múltiples proveedores. Además, si su VPN IPSec va a pasar a través de un dispositivo NAT, entonces debe encapsularlo en UDP, de lo contrario fallará.
Para la VPN de acceso remoto, la encapsulación es bastante importante ya que es probable que esté en un espacio de direcciones reservado o detrás de un firewall que bloquea el tráfico IPSec.
IPSec funciona realmente bien para la red a la red VPN cuando tiene idea de la red que interviene y puede administrar de forma centralizada los dispositivos.
SSL
SSL VPN es particularmente útil para el acceso de usuarios remotos a la red, ya que en la capa 4, puede pasar a través de NAT indemne y la mayoría de las redes pasan HTTPS. SSL VPN es mucho más simple que IPSec. Puede usarlo en el SSL del lado de servicio común donde el cliente autentica el servidor a través de un certificado digital y el servidor autentica al cliente a través del nombre de usuario / contraseña o del lado del cliente donde ambos pares usan certificados digitales para la autenticación. A partir de ese momento, se trata solo de la selección de cifrado. Para cualquier cosa que no sea el tráfico HTTP a través de un navegador, SSL VPN requiere software de agente en la computadora del cliente para redirigir el tráfico de la aplicación a través de la VPN.
SSL VPN se usa principalmente para VPN de cliente a red y rara vez para red a red, aunque no hay ninguna razón por la que no se pueda usar de esa manera. Simplemente no creo que haya sido productivo de esa manera. Creo que OpenVPN http://openvpn.net/index.php/ope… es compatible de red a red de forma nativa.
Actualización: acabo de ver este informe sobre “Desenmascarando los mitos de la seguridad VPN SSL: https://www.ncp-e.com/fileadmin/… Muchos de los mitos parecen ser aplicables a SSL en general (leí el artículo, pero no profundamente, así que esta es la primera impresión. Sin embargo, el Mito # 1 es más interesante para mí. Cuando una VPN SSL maneja el tráfico HTTP, actúa como un proxy HTTP. En algunos casos, modifica el nombre de host de la URL. Por ejemplo, ingresa www.example.com y la VPN SSL lo redirige a un nuevo nombre de host webvpn.www.example.com o hace que la URL original sea un argumento como en webvpn.mycompany.com/q=www.example.com/ . Una vez que eso suceda, todas las protecciones del navegador, como la misma política de origen, se perderán porque cualquier sitio web al que se acceda a través de la VPN es, de hecho, el mismo origen. Ooops. De todos modos, ese documento parece una buena lectura. está utilizando SSL VPN como una red VPN: utilizando un agente para redirigir IP (no HTTPS), entonces no se aplica el mismo problema de origen.
