O uso do IPSec como elemento provedor de conectividade segura é mais do que padronizado pelo IETF ( é um conjunto de padrões amplamente aceito e implementado no mercado). Isso ocorre principalmente por dois motivos:

• O IPSec é um framework que traz respostas diretas para várias disciplinas de Segurança (criptografia, integridade, autenticação e gerenciamento de chaves criptográficas).
• Cada uma das tarefas previstas pelo IPSec é executada utilizando protocolos e algoritmos padronizados. Isso permite, por exemplo, a substituição de um algoritmo que tenha se tornado “fraco” sob o ponto de vista criptográfico, sem necessidade de se alterar a arquitetura.

Tudo isso era muito bom mas as redes evoluíram, se tornaram mais relevantes como plataforma de negócios e novas demandas de clientes foram surgindo… E isto acabou por inspirar a criação de novas ofertas de VPN baseadas em IPSec, algumas das quais são listadas a seguir:

• EasyVPN: espécie de conexão site-to-site dinâmica em que os elementos remotos (normalmente roteadores) se comportam como hardware clients. A solução é prática mas restrita ao modelo de rede conhecido como hub-and-spoke.
• Virtual Tunnel Interface (VTI) : resolve o incoveniente de não se ter uma interface lógica (roteável) associada aos túneis IPSec. Similar ao que se faz com GRE (Generic Routing Encapsulation) mas permitindo encapsulamento direto em IP.
• DMVPN: permitindo estabelecimento de túneis sob demanda entre os remotos (spokes). Isso é particularmente importante para redes que transportam tráfego real-time (voz, vídeo), pois permite uma melhor adequação aos requisitos de delay e jitter desses tipos de aplicações.

Mas mesmo com essas opções, havia espaço para inovação, não apenas no que diz respeito a funcionalidades mas também no aspecto de facilidade de configuração. Por isso foram criadas duas novas soluções:

• FLEX VPN: Condensa todas as opções de configuração baseadas em túneis site-to-site listadas anteriormente e ainda permite tratar conexões VPN de acesso remoto (tanto as que empregam o Anyconnect Client como as que usam o cliente nativo do Windows 7). Um aspecto notável do FLEX VPN é o uso do padrão IKEv2 (mais seguro que a implementação original, IKEv1) para negociação dos componentes de segurança a serem usados na sessão IPSec (Security Associations).
• GET VPN: VPNs sem túnel, destinadas a agregar os benefícios do IPSec na montagem de INTRANETS seguras. Baseado na RFC 3547 e muito útil para atender à regulamentações dos segmentos de indústria (PCI, SOX, HIPAA, etc).

A fim de prover mais detalhes sobre essas importantes implementações tecnológicas, produzi os seguintes artigos:

• Flex VPN: A new paradigm for IPSec deployment on Cisco Routers
• INTRANETS Seguras e Expansíveis com GET VPN
• GET VPN or Flex VPN…? Do I need both ?

Naturalmente espero que o material seja útil

Boa leitura!

Alexandre Moraes

Popularity: 1% [?]

• Tutorial básico sobre VPNs de Camada 2 (L2VPN)
• Cisco Dynamic Multipoint VPN (DMVPN)
• Para descontrair: Técnicas avançadas de troubleshooting
• Webcast Cisco: Entendendo a segurança: redes integradas
• Implementação de stateful firewalls em roteadores de serviços integrados
• Entendendo NAT (Network Address Translation)
• Cisco compra Starent para avançar no mercado de wireless
• [P&R] Quais as diferenças entre switches L2 e L3?
• Entendendo NAT em Roteadores Cisco
• Criando um “As Built” de Instalação de Rede
• WebCast Cisco: Multicast VPN – Fundamentos, Configurações e Troubleshooting
• Tutorial sobre o exame CCNA, apresentado pela própria Cisco
• Redes Metro-Ethernet
• Níveis de privilégio no IOS Cisco
• Afinal, o que é um Sistema Autônomo (AS)?

Este post foi postado Thursday, 9 de August de 2012 às 5:46 pm e está em Artigos de Colabs, Security, Cisco. Você pode verificar qualquer resposta a este post através do feed RSS 2.0. Você pode deixar uma resposta, ou fazer um trackback de seu próprio site.