«

»

ago 09 2012

Entendendo as modalidades avançadas de VPN IPSec oferecidas pela Cisco

O uso do IPSec como elemento provedor de conectividade segura é mais do que padronizado pelo IETF ( é um conjunto de padrões amplamente aceito e implementado no mercado). Isso ocorre principalmente por dois motivos:

  • O IPSec é um framework que traz respostas diretas para várias disciplinas de Segurança (criptografia, integridade, autenticação e gerenciamento de chaves criptográficas).
  • Cada uma das tarefas previstas pelo IPSec é executada utilizando protocolos e algoritmos padronizados. Isso permite, por exemplo, a substituição de um algoritmo que tenha se tornado “fraco” sob o ponto de vista criptográfico, sem necessidade de se alterar a arquitetura.

Tudo isso era muito bom mas as redes evoluíram, se tornaram mais relevantes como plataforma de negócios e novas demandas de clientes foram surgindo… E isto acabou por inspirar a criação de novas ofertas de VPN baseadas em IPSec, algumas das quais são listadas a seguir:

  • EasyVPN: espécie de conexão site-to-site dinâmica em que os elementos remotos (normalmente roteadores) se comportam como hardware clients. A solução é prática mas restrita ao modelo de rede conhecido como hub-and-spoke.
  • Virtual Tunnel Interface (VTI) : resolve o incoveniente de não se ter uma interface lógica (roteável) associada aos túneis IPSec. Similar ao que se faz com GRE (Generic Routing Encapsulation) mas permitindo encapsulamento direto em IP.
  • DMVPN: permitindo estabelecimento de túneis sob demanda entre os remotos (spokes). Isso é particularmente importante para redes que transportam tráfego real-time (voz, vídeo), pois permite uma melhor adequação aos requisitos de delay e jitter desses tipos de aplicações.

Mas mesmo com essas opções, havia espaço para inovação, não apenas no que diz respeito a funcionalidades mas também no aspecto de facilidade de configuração. Por isso foram criadas duas novas soluções:

  • FLEX VPN: Condensa todas as opções de configuração baseadas em túneis site-to-site listadas anteriormente e ainda permite tratar conexões VPN de acesso remoto (tanto as que empregam o Anyconnect Client como as que usam o cliente nativo do Windows 7). Um aspecto notável do FLEX VPN é o uso do padrão IKEv2 (mais seguro que a implementação original, IKEv1) para negociação dos componentes de segurança a serem usados na sessão IPSec (Security Associations).
  • GET VPN: VPNs sem túnel, destinadas a agregar os benefícios do IPSec na montagem de INTRANETS seguras. Baseado na RFC 3547 e muito útil para atender à regulamentações dos segmentos de indústria (PCI, SOX, HIPAA, etc).

A fim de prover mais detalhes sobre essas importantes implementações tecnológicas, produzi os seguintes artigos:

Naturalmente espero que o material seja útil 😉

Boa leitura!

Alexandre Moraes

0
0

6 comentários

Pular para o formulário de comentário

  1. Diogo Mendes

    Alexandre, obrigado pelas informações!

    Espero ver mais contribuições suas por aqui!

    Abraços!

    Diogo.

    0
    0
  2. Fernando Avelino

    Ja tive a oportunidade de acompanhar a implantação de GETVPN, é uma das tecnologias mais fantasticas que vi

    0
    0
  3. Clayton Coelho

    Alexandre Parabéns pelo post.. Muito bom.

    0
    0
  4. Cledir Justo

    Ótimo post Alexandre.

    0
    0
  5. Plinio Monteiro

    Obrigado pela contribuição Alexandre. 🙂

    0
    0
  6. Sérgio F.S

    Thanks boy. Ótima contribuição.

    0
    0

Deixe uma resposta