[GTER] OpenVPN ou Openswan ?

Felipe - Rasputin felipe.nix at gmail.com
Thu Aug 14 11:17:22 -03 2008 

Algumas considerações de por que utilizar IPSEC

IPSEC é um padrão, de fato, definido por RFC, com características técnicas
claras e abertas.

Openvpn,vtun, são implementações de uma equipe, á parte. Mas isto não indica
que é melhor ou pior. Pelo contrário, tem cenários que só uma ou outra
solução funciona.

IPSEC, verifica o IP de origem e destino + chave ou certificado.
Se algum deles é modificado, a sessão é terminada.

O openvpn, só verifica a senha ou certificado essa conexão pode ser "nateada"
redirecionada, etc...

O fato é que o resultado, de encriptar a conexão é obtido por ambas.
Porém o ipsec além de fazer a autentiação que o openswan já faz,
checa o cabeçalho de cada pacote propriamente dito,
Enquanto o openswan, só verifica se o ip de origem é o mesmo que está
na configuração
se essa requisição for redirecionada ou filtrada, pra ele é indiferente....
Devido a isso funciona tão bem passando por NAT, firewall etc... faz
menos checagens


Quanto a economizar largura de banda, no openswan é possivel
adicionar a opção compression=yes para habilitar compressão de dados


#========================#
 Felipe Santos '<\( Rasputin )/>'
 felipe.nix at gmail.com
 LPI ID: LPI000123744
 http://br.groups.yahoo.com/group/openswan-br
#========================#



2008/8/14 Bruno Ayub <bruno.ayub at gmail.com>

> Utilizo o OpenVPN em duas situações distintas: site-to-site e
> site-to-client, na segunta opçao tenho clientes Linux, Windows XP e Vista.
> Outra vantagem que ele tem é a possibilidade de implementação do algoritmo
> LZO (mesmo do winzip), economizando largura de banda!
>
>
>
> [ ]'s
>
>
> Bruno Ayub.
>
>
> 2008/8/14 Cristina Fernandes Silva <cristinafs.listas at gmail.com>
>
> > O openvpn é voltado sim para site-to-site.. tenho implementado aqui
> > com relação a limitação de 50mb/s.. onde vc tem essa informação ??
> >
> > 2008/8/14 Humberto S Sartini <humberto at hss.blog.br>:
> > > -----BEGIN PGP SIGNED MESSAGE-----
> > > Hash: SHA1
> > >
> > > Pedro,
> > >
> > >        Poderia ser separado da seguinte forma (na minha opinião):
> > >
> > >        OpenVPN
> > >        - Usuário final (Gui Windows free)
> > >        - Sem suporte a Ipsec
> > >        - É mais lento que o Openswan
> > >        - É obrigatório um cliente OpenVPN
> > >        - Não aconselhável para links acima de 50Mb/s
> > >
> > >        OpenSwan
> > >        - VPN ponto a ponto
> > >        - Mais rápido
> > >        - Maior interoperabilidade
> > >        - "Fala" Ipsec
> > >        - NAT-T
> > >
> > >        Quanto a colocação de "amadorismo" do OpenVPN eu não encarro
> dessa
> > > forma, é um excelente projeto e que conta com uma documentação muito
> boa
> > > além de sempre existir novas características.
> > >
> > >        Seguem alguns links com mais informações:
> > >        http://www.debian-administration.org/articles/563
> > >        http://www.sans.org/rr/whitepapers/vpns/1459.php
> > >
> > > [ ]'s
> > > Humberto Sartini
> > > Certificado LPIC-1
> > > http://www.hss.blog.br
> > > PGP KEY ID 0xB32E5C8D
> > >
> > >
> > > Pedro Lemes escreveu:
> > > | Ola amigos,
> > > |
> > > | Avaliando a necessidade de ter uma VPN entre a empresa onde trabalho
> e
> > > | uma outra, percebi que pro meu cenário (Gateway/Firewall Linux) eu
> > > | poderia utilizar OpenVPN ou Openswan. Porém, o OpenVPN não trabalha
> com
> > > | IPSec e sim com SSH-Tunneling ao contrário do Openswan.
> > > |
> > > | Em termos de segurança, qual seria mais recomendado ? Apesar da
> > > | facilidade de configuração e manutenção do OpenVPN, este me pareceu
> > meio
> > > | "amador".
> > > |
> > > | Estou certo ou me equivoquei na impressão ? Se for uma exigência da
> > > | outra ponta, por exemplo, utilizar o IPSec realmente o OpenVPN não
> > serve ?
> > > |
> > > | Agradeço desde já a todos !
> > > -----BEGIN PGP SIGNATURE-----
> > > Version: GnuPG v1.4.6 (GNU/Linux)
> > > Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org
> > >
> > > iD8DBQFIpDTR6g1qNqemoCARAsSgAJ0dMa8sFJskzOvu5aEdsgDJ0gDNvgCdFa4Z
> > > LdifnRkKPj6gImBkGbrUkk4=
> > > =iM0T
> > > -----END PGP SIGNATURE-----
> > > --
> > > gter list    https://eng.registro.br/mailman/listinfo/gter
> > >
> > --
> > gter list    https://eng.registro.br/mailman/listinfo/gter
> >
>
>
>
> --
> Bruno Ayub.
> bruno.ayub at gmail.com
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>



-- 
#========================#
Felipe Santos '<\( Rasputin )/>'
felipe.nix at gmail.com
LPI ID: LPI000123744
http://br.groups.yahoo.com/group/openswan-br
#========================#

More information about the gter mailing list