[FUGSPBR] IPsec X PPTP (was FreeBSD 5.2-p2 + mpd)
Eduardo Alvarenga
eduardo-kw-fugspbr.1acd40 em thrx.org
Qui Fev 12 19:17:10 BRST 2004
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
On Thu, 12 Feb 2004, Renato Frederick wrote:
> >> Estou usando o windows 2000, deixei habilitada apenas a opcao de
> >> MSCHAP 2.0 e a criptografia opcional, e dah a mesma mensagem, soh
> >> consigo conectar usando PAP. Estou quase desistindo, existe alguma
> >> outra solucao que eu possa implementar no lugar do mpd?
> >
> > isakmpd. Estou desenvolvendo um tutorial que será publicado em
> > breve.
> >
>
> Eu utilizo o poptop. Disponivel nos ports.
>
> Aliás acabei de instalar um bsd 4.9 com qmail.
>
> Um cliente windows 2003 com echange 2003 vai fazer uma vpn via pptp
> nesse bsd e o exchange vai enviar todos os emails remotos pro meu
> qmail e meu qmail via link Intelig vai entregar.
>
> Funciona muito bem e super simples de configurar.
De fato, PPTP funciona muito bem, mas a escolha entre PPTP e IPsec/L2TP
vai depender muito de sua aplicação. O PPTP possui um histórico de
falhas muito grandes (algumas já corrigidas) além de ser uma solução
proprietária da Microsoft.
O protocolo PPTP requer a utilização de túneis GRE (Generic Routing
Encapsulation) para prover um encapsulamento de tráfego entre as duas
pontas. Esse tráfego é considerado "privado" pois o que entra no túnel
só pode sair do outro lado e vice-versa. Túneis não inspiram
confidencialidade real (como a encriptação) porém podem carregar
dados criptografados. Pelo fato do PPTP estabelecer um "túnel" entre as
pontas TODO o tráfego é encriptado, o que gera uma significante perda
de performance.
Já o IPsec é um protocolo mais inteligente e elegante e só criptografa
o tráfego destinado a outra ponta e não todo ele. Isso resulta em uma
melhor performance e elimina a utilização de recursos de tunelamento e
interfaces de rede especiais (ppp0/tun0). (No nosso caso BSD, elimina a
utilização de softwares de terceiros)
Se você necessita de algo que "funcione" e que não precise garantir sua
privacidade, utilize PPTP, mas se os dados que você pretende trafegar
são realmente pessoais, recomendo seriamente IPSec.
PPTP:
- Utiliza TCP e uma versão modificada do GRE.
- Fácil de usar e instalar, qualquer Windows tem.
- Proprietário da Microsoft.
- Não inspira confiança, é apenas um "meio" de estar internamente em
uma rede corporativa.
- Requer que dispositivos de tunelamento sejam criados para cada
conexão.
IPsec:
- Utiliza UDP e não requer dispositivos nem softwares adicionais.
- Configuração não muito simples, mas lógica e flexível.
- Padrão industrial, existem peculiaridades em IPsec de cada
distribuidor, mas em geral tudo é compatível.
- Extremamente confiável e seguro.
- Excelente perfomance.
- Utiliza roteamento para designar o tráfego criptografado.
Além desses dois existe o L2TP, uma "mistura" entre os dois também
proprietária da Microsoft (me corrijam se eu estiver errado).
Dúvidas?
[1] http://www.cisco.com/warp/public/707/which_vpn.html
--
Eduardo A. Alvarenga
Analista de Suporte
Centro Estratégico Integrado / SEGUP-PA
(91) 259-0555 / 8116-0036
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.2.2 (OpenBSD)
iD8DBQFAK+1ZpKK2uJoGDlMRAnD4AJ9VkG32WvQPP12OHc0JwPG40P/KlgCeKyFS
SLGlo4KFU1HHWtLjjSKQmAk=
=686/
-----END PGP SIGNATURE-----
_______________________________________________________________
Sair da Lista: http://lists.fugspbr.org/listinfo.cgi
Historico: http://www4.fugspbr.org/lista/html/FUG-BR/
Mais detalhes sobre a lista de discussão freebsd