[MASOCH-L] Montar VPN entre dois links ADSL sem IP fixo

Rubens Kuhl Jr. rubensk at gmail.com
Fri Feb 24 00:18:42 BRT 2006


> Eu tenho um amigo que está pretendendo montar uma VPN entre dois links
> ADSL (velox) que não possuem IP fixo. Ele pretende colocar cada ponta
> configurada usando o no-ip.{com,org} e configurar cada ponta através do
> nome DNS e não do endereço IP (já que os IPs não são fixos).
> Pergunto:
>
> 1) Quais as implicações, principalmente com respeito à segurança, de se
> usar essa solução?

Você tem que considerar a exigência de mútua autenticação: qualquer
uma das duas pontas pode ter sua entrada subvertida no no-ip ou sofrer
DNS poisoning da entrada do outro ao tentar resolvê-la. Você também
que levar em contas coisas como replay-attacks, man-in-the-middle...
eu acho inviável considerar autenticação por senhas para esse cenário.
Certificados digitais (ou pelo menos a parte aritmética deles, chaves
de criptografia assimétrica) das duas pontas devem ser requeridos.

> 2) Cada ponta irá rodar um servidor Linux e ele está pretendendo usar o
> OpenVPN ou o IPsec nativo do kernel. Alguma recomendação e/ou sugestão
> sobre um ou outro?

IPsec por design prefere IPs fixos por usá-los como critério de
identificação dos peers... uma SSL-VPN como o OpenVPN parece um
caminho mais simples do que IPsec.



Rubens


More information about the masoch-l mailing list