[FUGSPBR] IPsec X PPTP (was FreeBSD 5.2-p2 + mpd)

Eduardo Alvarenga eduardo-kw-fugspbr.1acd40 em thrx.org
Qui Fev 12 19:17:10 BRST 2004


-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

On Thu, 12 Feb 2004, Renato Frederick wrote:

> >> Estou usando o windows 2000, deixei habilitada apenas a opcao de
> >> MSCHAP 2.0 e a criptografia opcional, e dah a mesma mensagem, soh
> >> consigo conectar usando PAP. Estou quase desistindo, existe alguma
> >> outra solucao que eu possa implementar no lugar do mpd?
> > 
> >  isakmpd. Estou desenvolvendo um tutorial que será publicado em
> > breve.
> > 
> 
> Eu utilizo o poptop. Disponivel nos ports.
> 
> Aliás acabei de instalar um bsd 4.9 com qmail.
> 
> Um cliente windows 2003 com echange 2003 vai fazer uma vpn via pptp
> nesse bsd e o exchange vai enviar todos os emails remotos pro meu
> qmail e meu qmail via link Intelig vai entregar.
> 
> Funciona muito bem e super simples de configurar.

 De fato, PPTP funciona muito bem, mas a escolha entre PPTP e IPsec/L2TP 
 vai depender muito de sua aplicação. O PPTP possui um histórico de 
 falhas muito grandes (algumas já corrigidas) além de ser uma solução 
 proprietária da Microsoft.

 O protocolo PPTP requer a utilização de túneis GRE (Generic Routing 
 Encapsulation) para prover um encapsulamento de tráfego entre as duas 
 pontas. Esse tráfego é considerado "privado" pois o que entra no túnel 
 só pode sair do outro lado e vice-versa. Túneis não inspiram
 confidencialidade real (como a encriptação) porém podem carregar
 dados criptografados. Pelo fato do PPTP estabelecer um "túnel" entre as 
 pontas TODO o tráfego é encriptado, o que gera uma significante perda 
 de performance.

 Já o IPsec é um protocolo mais inteligente e elegante e só criptografa 
 o tráfego destinado a outra ponta e não todo ele. Isso resulta em uma 
 melhor performance e elimina a utilização de recursos de tunelamento e 
 interfaces de rede especiais (ppp0/tun0). (No nosso caso BSD, elimina a 
 utilização de softwares de terceiros)

 Se você necessita de algo que "funcione" e que não precise garantir sua 
 privacidade, utilize PPTP, mas se os dados que você pretende trafegar
 são realmente pessoais, recomendo seriamente IPSec.

 PPTP:
 - Utiliza TCP e uma versão modificada do GRE.
 - Fácil de usar e instalar, qualquer Windows tem.
 - Proprietário da Microsoft.
 - Não inspira confiança, é apenas um "meio" de estar internamente em 
 uma rede corporativa.
 - Requer que dispositivos de tunelamento sejam criados para cada 
 conexão.

 IPsec:
 - Utiliza UDP e não requer dispositivos nem softwares adicionais.
 - Configuração não muito simples, mas lógica e flexível.
 - Padrão industrial, existem peculiaridades em IPsec de cada 
 distribuidor, mas em geral tudo é compatível.
 - Extremamente confiável e seguro.
 - Excelente perfomance.
 - Utiliza roteamento para designar o tráfego criptografado.

 Além desses dois existe o L2TP, uma "mistura" entre os dois também 
 proprietária da Microsoft (me corrijam se eu estiver errado).


 Dúvidas?

 [1] http://www.cisco.com/warp/public/707/which_vpn.html

 -- 
 Eduardo A. Alvarenga 
 Analista de Suporte
 Centro Estratégico Integrado / SEGUP-PA
 (91) 259-0555 / 8116-0036

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.2.2 (OpenBSD)

iD8DBQFAK+1ZpKK2uJoGDlMRAnD4AJ9VkG32WvQPP12OHc0JwPG40P/KlgCeKyFS
SLGlo4KFU1HHWtLjjSKQmAk=
=686/
-----END PGP SIGNATURE-----

_______________________________________________________________
Sair da Lista: http://lists.fugspbr.org/listinfo.cgi
Historico: http://www4.fugspbr.org/lista/html/FUG-BR/



Mais detalhes sobre a lista de discussão freebsd