OpenVPN e OpenSwan

[Guzpido Krush]

Preciso implementar um esquema de VPN com IPSec e estava pensando em utilizar o OpenVPN com OpenSwan, mas nunca mexi com isso e estou começando a ler as docs agora. Alguém tem recomendações de segurança e/ou um bom tutorial? Minha escolha foi boa?

[Guzpido Krush]

Perai, acho que falei *****, pelo visto dá pra fazer a VPN direto com OpenSwan e o OpenVPN no caso só suporta SSL/TLS?

agora fiquei confuso

[G4n0nd0rf]

Basicamente e Superficialmente Falando...

O OpenVPN utiliza a biblioteca OpenSSL na Camada de Aplicação(TCP/IP) para efetuar a proteção dos dados, mais especificamente sobre UDP ou TCP, sendo assim, não temos problemas de reconfiguração de layout de rede ou com modificação de cabeçalho (NAT/PAT), sendo bem mais simples de configurar e com eficiência em alguns casos superior.

Agora, já o OpenSWAN(antes FreeSWAN, com um irmão strongSWAN) é uma implementação do IPsec, e seus vários protocolos, like Linux fornecendo proteção na camada de rede(l3) com autenticação, criptografia e proteção de cabeçalho no modo Tunnel ou Transport(Hash do cabeçalho) . Por ser um processo mais trabalhoso, tende a ser mais difícil de configurar e de operar, a nível de processamento, trocas periódicas de chaves e outros elementos de criptografia durante as fases de comunicação.

Material exemplificado:
IPSec Network Security * [Cisco IOS Software Releases 11.3] - Cisco Systems
Material Teorico:
Openswan Wiki | Openswan / FeatureComparison browse
IPsec - Wikipédia, a enciclopédia livre
OpenVPN - Wikipédia, a enciclopédia livre

Abraços!

[Guzpido Krush]

Valeu pelo material! Eu já tinha mexido com OpenVPN, mas coisa boba pra testar mesmo. Já IPSec nunca tive que usar.

abraços

[Guzpido Krush]

Putz, só pra registrar, pq eu perdi horas do meu dia procurando uma cagada.

Use "ipsec barf" para ele te mostrar TUDO que pode em relação as configurações. Economiza bastante tempo da sua vida se você souber que existe esse comando. Foi assim que descobri que eu tinha escrito PKS ao invés de PSK no arquivo de configuração e era isso que tava fodendo a ***** toda.

Mas minha dúvida é a seguinte: SHARED SECRETS. Não vale mais à pena usar chave RSA? Que argumentos posso usar para o adm da rede mudar? Realmente é mais inseguro ou eu que estou com frescura?

[G4n0nd0rf]

olá doutores!

Realmente é mais confiável, pois você utilizará uma Infra de Chave Pública(PKI) para autenticação dos seus nodes através de certificados conjuntos com uma Autoridade Certificadora. Neste caso, na Fase1(ISAKMP) a autenticação provê não repúdio, maior segurança e escalabilidade pra tua rede, ao passo de se tornar um pouco mais complicado implementá-la. Pre-shared é comum na utilização em ambientes menores, onde a chave compartilhada pode ser armazenada em número limitado de routers e a sua gerência não se torne complicada com o aumento de conexões.

mais info: Internet Key Exchange - Wikipedia, the free encyclopedia

abraços!