RES: [FUGSPBR] Capriotti - VPN

Capriotti capriotti em fugspbr.org
Seg Dez 16 13:50:24 BRST 2002


Vamos a alguns dados:

(Esse artigo de VPN tem "rodado"... Acreditam que até amigos da minha 
família já acharam ele ? hehehe)

PPtP significa simplesmente Point to Point Tunneling Protocol, que, em 
português castiço, é uma maneira de encapsular todo o tráfego IP por um 
único canal (a porta da VPN), tudo isso entre dois peers.

Bueno, isto posto, tem-se que esclarecer que isso não tem NADA a haver com 
criptografia ! A criptografia tem que ser gerada em "separado".

Estou dizendo isso pois, no caso do meu tutorial (acho que realmente não dá 
pra chamar de "artigo", pois tem alguns pontos que eu explicitamente deixei 
de fora... Mas ficou muito melhor que muitas reportagens que eu já vi !) o 
a criptografia e o pptp andam de mãos dadas, sendo feitas pelo mesmo 
pacote, ao passo que, até onde eu já estudei de implementação de IPSec 
(pouco) túnel e criptografia são dissociados, feitos por pacotes 
diferentes, funcionando em conjunto sim, porém, independentes.

Isto posto, vamos à comparação.

Clientes com acesso discado ou com xDLS de IP dinâmico não 
poderiam/deveriam utilizar IPSes, pois o IPSec, dentre outras coisas, 
DEVERIA basear-se em um IP fixo. Ele pode ser  burlado", mas parte da 
segurança dele vai pelo ralo se fizer isso.

Por outro lado, a comunicação feita pelo PPtP padrão MS é baseada em um par 
username-senha que é passado de maneira não exemplarmente segura pela rede 
(MS chat v2). A chave de 128 bits, por não trafegar em "aberto" (como 
acontece no wireless de 11 Mbits) é muito mais difícil de quebrar, e por 
isso considerada segura.

Em resumo:

IPSec: indicado para comunicação servidor-servidor, com IPs fixos.

PPtP: indicado para uso com IPs dinâmicos, e com clientes MS, principalmente.

Nota: Tem muita gente usando o tal do "meu" tutorial para conectar 
SERVIDORES em xDLS-xDSL pois um dos peers tem IP dinâmico. A partir do 
momento que o link está estabelecido, não vejo problema de segurança.

[]s


At 10:48 AM 12/16/2002, you wrote:
>Mas isso exigiria uma mudança aqui na empresa.
>
>Gostaria de saber se existe alguma desvantagem significativa em se
>utilizar o PPTP, e migrar para o IPSEC, já que para mim foi uma escolha
>bem pratica pois já eh nativo do 2000/XP/98 essa opção de VPN, e ate por
>telefone os clientes conseguem fazer o client logar no meu free

_______________________________________________________________
Sair da Lista: http://www2.fugspbr.org/mailman/listinfo/fugspbr
Historico: http://www4.fugspbr.org/lista/html/FUG-BR/



Mais detalhes sobre a lista de discussão freebsd