Si encuentras algo que no entiendes puedes comentarlo y te ayudaremos rápidamente.
Solución:
Hay diferentes capas de transporte seguro a considerar aquí:
- VPN
- SSL VPN (incluidos túneles)
- VPN IPSec
- SSL / TLS para servicios individuales
IPSec vs SSL VPN
Tanto las VPN SSL como las IPSec son buenas opciones, ambas con un historial de seguridad considerable, aunque pueden adaptarse a diferentes aplicaciones.
Las VPN IPsec operan en la capa 3 (red) y, en una implementación típica, brindan acceso completo a la red local (aunque el acceso se puede bloquear mediante firewalls y algunos servidores VPN admiten ACL). Por lo tanto, esta solución se adapta mejor a situaciones en las que desea que los clientes remotos se comporten como si estuvieran conectados localmente a la red y es particularmente buena para las VPN de sitio a sitio. Las VPN IPSec también tienden a requerir un software específico proporcionado por el proveedor, que es más difícil de mantener en los dispositivos del usuario final y restringe el uso de la VPN a los dispositivos administrados.
Las VPN SSL a menudo se mencionan como la opción preferida para el acceso remoto. Operan en las capas 5 y 6, y en una implementación típica otorgan acceso a servicios específicos según el rol del usuario, las más convenientes de las cuales son las aplicaciones basadas en navegador. Por lo general, es más fácil configurar una VPN SSL con un control más granular sobre los permisos de acceso, lo que puede proporcionar un entorno más seguro para el acceso remoto en algunos casos. Además, SSL / TLS es inherentemente compatible con los dispositivos modernos y, por lo general, se puede implementar sin la necesidad de un software especializado en el lado del cliente o, de lo contrario, con clientes livianos basados en navegador. Estos clientes livianos a menudo también pueden ejecutar verificaciones locales para garantizar que las máquinas conectadas cumplan con ciertos requisitos antes de que se les otorgue acceso, una característica que sería mucho más difícil de lograr con IPSec.
En ambos casos, una se puede configurar para lograr cosas similares a la otra: las VPN SSL se pueden usar para crear simplemente un túnel con acceso completo a la red, y las VPN IPSec se pueden bloquear para servicios específicos; sin embargo, se acepta ampliamente que son se adapta mejor a los escenarios anteriores.
Sin embargo, exactamente por estas razones, muchas organizaciones utilizarán una combinación de ambos; a menudo, una VPN IPSec para conexiones de sitio a sitio y SSL para acceso remoto.
Hay una serie de referencias sobre el tema de SSL frente a IPSec (algunas de ellas provienen directamente de los proveedores):
- https://supportforums.cisco.com/document/113896/quick-overview-ipsec-and-ssl-vpn-technologies
- http://netsecurity.about.com/cs/generalsecurity/a/aa111703.htm
- http://www.sonicwall.com/downloads/EB_Why_Switch_from_IPSec_to_SSL_VPN.pdf
- http://searchsecurity.techtarget.com/feature/Tunnel-vision-Choosing-a-VPN-SSL-VPN-vs-IPSec-VPN
- http://www.networkworld.com/article/2287584/lan-wan/ipsec-vs–ssl-vpns.html
Encriptado de fin a fin
En algunos de los casos anteriores, como las VPN IPSec y los túneles VPN SSL, es posible que no obtenga el cifrado de extremo a extremo con el servicio real que está utilizando. Aquí es donde resulta útil utilizar una capa adicional de SSL / TLS.
Supongamos que es remoto e intenta conectarse a una aplicación web alojada internamente a través de una VPN IPSec. Si utiliza el protocolo HTTP a través de su navegador, su tráfico se cifra mientras se ejecuta a través del túnel VPN, pero luego se descifra cuando llega al punto final VPN remoto y viaja a través de la red interna en texto sin cifrar. Esto podría ser aceptable en algunos casos de uso, pero en aras de la defensa en profundidad, lo ideal sería saber que nuestros datos no pueden ser interceptados en ningún lugar entre usted y el servicio real. Al conectarse a esta aplicación a través de HTTPS, efectivamente tiene dos capas de seguridad: una entre usted y el punto final de la VPN, y otra viajando a través de ella (entre usted y el servidor web).
Por supuesto, esto no se limita a HTTPS; también debe emplear otros protocolos seguros como SSH, FTPS, SMTP con STARTTLS, etc.
Aquí hay un buen artículo de Cisco sobre IPSEC y SSL. Incluye fortalezas y debilidades, así como una descripción general de cada una, y también la implementación de ambas juntas.
Depende de que tenga un túnel VPN corporativo (que funciona en IPSEC), pero una capa por encima del servidor web interno al que está llegando a través de VPN en la red corporativa podría ser HTTPS (que es a través de SSL)
Hace mucho tiempo hice una charla sobre esto
Sección de Reseñas y Valoraciones
Te invitamos a añadir valor a nuestra información participando con tu experiencia en las observaciones.