O uso do IPSec como elemento provedor de conectividade segura é mais do que padronizado pelo IETF ( é um conjunto de padrões amplamente aceito e implementado no mercado). Isso ocorre principalmente por dois motivos:

  • O IPSec é um framework que traz respostas diretas para várias disciplinas de Segurança (criptografia, integridade, autenticação e gerenciamento de chaves criptográficas).
  • Cada uma das tarefas previstas pelo IPSec é executada utilizando protocolos e algoritmos padronizados. Isso permite, por exemplo, a substituição de um algoritmo que tenha se tornado “fraco” sob o ponto de vista criptográfico, sem necessidade de se alterar a arquitetura.

Tudo isso era muito bom mas as redes evoluíram, se tornaram mais relevantes como plataforma de negócios e novas demandas de clientes foram surgindo… E isto acabou por inspirar a criação de novas ofertas de VPN baseadas em IPSec, algumas das quais são listadas a seguir:

  • EasyVPN: espécie de conexão site-to-site dinâmica em que os elementos remotos (normalmente roteadores) se comportam como hardware clients. A solução é prática mas restrita ao modelo de rede conhecido como hub-and-spoke.
  • Virtual Tunnel Interface (VTI) : resolve o incoveniente de não se ter uma interface lógica (roteável) associada aos túneis IPSec. Similar ao que se faz com GRE (Generic Routing Encapsulation) mas permitindo encapsulamento direto em IP.
  • DMVPN: permitindo estabelecimento de túneis sob demanda entre os remotos (spokes). Isso é particularmente importante para redes que transportam tráfego real-time (voz, vídeo), pois permite uma melhor adequação aos requisitos de delay e jitter desses tipos de aplicações.

Mas mesmo com essas opções, havia espaço para inovação, não apenas no que diz respeito a funcionalidades mas também no aspecto de facilidade de configuração. Por isso foram criadas duas novas soluções:

  • FLEX VPN: Condensa todas as opções de configuração baseadas em túneis site-to-site listadas anteriormente e ainda permite tratar conexões VPN de acesso remoto (tanto as que empregam o Anyconnect Client como as que usam o cliente nativo do Windows 7). Um aspecto notável do FLEX VPN é o uso do padrão IKEv2 (mais seguro que a implementação original, IKEv1) para negociação dos componentes de segurança a serem usados na sessão IPSec (Security Associations).
  • GET VPN: VPNs sem túnel, destinadas a agregar os benefícios do IPSec na montagem de INTRANETS seguras. Baseado na RFC 3547 e muito útil para atender à regulamentações dos segmentos de indústria (PCI, SOX, HIPAA, etc).

A fim de prover mais detalhes sobre essas importantes implementações tecnológicas, produzi os seguintes artigos:

Naturalmente espero que o material seja útil ;-)

Boa leitura!

Alexandre Moraes

Popularity: 2% [?]

Share
Leia também:

6 Respostas para “Entendendo as modalidades avançadas de VPN IPSec oferecidas pela Cisco”
  1. Diogo MendesNo Gravatar diz:

    Alexandre, obrigado pelas informações!

    Espero ver mais contribuições suas por aqui!

    Abraços!

    Diogo.

  2. Fernando AvelinoNo Gravatar diz:

    Ja tive a oportunidade de acompanhar a implantação de GETVPN, é uma das tecnologias mais fantasticas que vi

  3. Clayton CoelhoNo Gravatar diz:

    Alexandre Parabéns pelo post.. Muito bom.

  4. Cledir JustoNo Gravatar diz:

    Ótimo post Alexandre.

  5. Plinio MonteiroNo Gravatar diz:

    Obrigado pela contribuição Alexandre. :)

  6. Sérgio F.SNo Gravatar diz:

    Thanks boy. Ótima contribuição.

Deixe um Comentário

Você deve estar logado para postar um comentário. Login »