Ce este IPsec și cum funcționează?

IPsec este un cadru de tehnici utilizate asigurați conexiunea dintre două puncte. Reprezintă securitatea protocolului Internet și este cel mai frecvent văzut în VPN-uri. Poate fi oarecum complex, dar este o opțiune utilă pentru asigurarea conexiunilor în anumite situații.

Acest ghid descompune IPsec în bucăți ușoare, oferindu-vă o introducere care acoperă ce este protocolul, cum funcționează și unele dintre problemele sale potențiale de securitate..

IPsec: o imagine de ansamblu

IPsec a fost inițial dezvoltat deoarece cel mai comun protocol de internet, IPv4, nu are o mulțime de prevederi de securitate în vigoare. Datele transmise prin IPv4 pot fi ușor interceptate, modificate sau oprite, ceea ce îl face un sistem sărac pentru orice transmisii importante.

Pentru protejarea informațiilor a fost nevoie de un nou set de standarde. IPsec a completat acest decalaj acționând ca un cadru care poate autentifica conexiunile, precum și dovedi integritatea datelor și îl face confidențial. IPsec este un standard deschis care acționează la nivelul rețelei. Poate fi utilizat pentru a transfera în siguranță date de la gazdă la gazdă, rețea în rețea sau între o rețea și o gazdă.

IPsec este cel mai frecvent utilizat pentru a asigura traficul care trece peste IPv4. Inițial, a existat și o cerință pentru implementările noului protocol internet, IPv6, pentru a suporta IPsec. În ciuda acestui fapt, acum este doar o recomandare și nu este pusă în aplicare.

Ca cadru, IPsec este format din trei elemente principale. Primele două sunt protocoalele, Încapsularea încărcării de securitate (ESP) și antetul de autentificare (AH). Asociații de securitate (SA) sunt aspectul final.

ESP poate fi utilizat atât pentru criptarea, cât și pentru autentificarea datelor, în timp ce AH poate fi utilizat doar pentru autentificarea acestora. Cele două opțiuni sunt utilizate în mod separat separat, deși este posibil să le utilizăm împreună.

IPsec utilizează SA-uri pentru a stabili parametrii conexiunilor. Acești parametri includ sistemele de gestionare a cheilor pe care fiecare parte le va utiliza pentru a se autentifica reciproc, precum și algoritmi de criptare, algoritmi de hashing și alte elemente care sunt importante pentru operarea unei conexiuni sigure și stabile.

IPsec poate utiliza atât ESP, cât și AH, fie în tunel, fie în modul de transport. Când se utilizează modul tunel, întregul pachet de date este fie criptat, fie autentificat (sau ambele). Sarcina utilă, antetul și remorca (dacă sunt incluse) sunt învelite într-un alt pachet de date pentru ao proteja.

În modul de transport, antetul original rămâne, dar dedesubt este adăugat un nou antet. Există, de asemenea, alte câteva modificări, în funcție de dacă se utilizează ESP sau AH. Acest lucru servește pentru a proteja pachetul, cu toate acestea, unele informații sunt încă disponibile atacatorilor.

Cea mai comună configurație pe care o vedem este ESP cu autentificare în modul tunel. Acest lucru se bazează pe multe VPN-uri pentru a securiza date. Funcționează ca un tunel criptat, oferind datelor un pasaj sigur pe măsură ce trece prin rețele intermediare potențial periculoase.

Istoricul IPsec

În primele zile ale internetului, securitatea nu a fost o prioritate în multe situații. Acest lucru se datorează faptului că comunitatea de internet a fost limitată la cei care aveau cunoștințele, resursele și dorința de a o utiliza. Numărul de utilizatori a fost mic în comparație cu zilele moderne și a fost transmisă o cantitate mult mai mică de date. Din această cauză, atacatorii au avut mult mai puține oportunități.

Pe măsură ce comunitatea a crescut și internetul a devenit mai activ, securitatea a devenit mai mult o necesitate. În anii optzeci, ANS a folosit programul său Secure Data Network Systems (SDNS) pentru a finanța dezvoltarea unui număr de protocoale axate pe securitate.

Rezultatele au fost publicate de Institutul Național de Standarde și Tehnologie (NIST) în 1988. Unul dintre protocoalele prezentate de NIST, Protocol de securitate la nivelul 3 (SP3), a sfârșit devenind un standard de internet, Protocolul de securitate al stratului de rețea (NLSP).

De-a lungul timpului, diverse organizații au început să se perfecționeze cu SP3, cu proiecte derulate de US Naval Research Lab (NRL), AT&Laboratoare T Bell, sisteme informaționale de încredere și altele. În același timp, alte progrese, cum ar fi driverul de dispozitiv pentru Standard Encryption Standard (DES), au permis trimiterea în siguranță a datelor între coastele SUA la viteze rezonabile pentru perioada de timp..

Dacă aceste evoluții ar fi continuat separat, ar fi dus la probleme de interoperabilitate între diferitele sisteme. Internet Engineering Task Force (IETF) a format Grupul de lucru pentru securitatea IP pentru a standardiza aceste evoluții într-un protocol interoperabil. În 1995, IETF a publicat detaliile standardului IPsec în RFC 1825, RFC 1826 și RFC 1827.

LNR a fost primul care a elaborat o implementare funcțională a standardului, care de atunci a intrat în uz curent. De-a lungul anilor, au existat numeroase actualizări la IPsec și documentația acesteia, dar este încă implementat pentru autentificarea ambelor părți ale unei conexiuni și securizarea datelor care călătoresc între ele.

Cum funcționează IPsec?

Înainte de a intra în detaliile mai tehnice ale IPsec și diferitele sale moduri, vom vorbi despre asta printr-o analogie care ușurează vizualizarea configurațiilor oarecum complicate. În primul rând, trebuie să înțelegeți un pic despre modul în care funcționează pachetele peste IPv4 și problemele de securitate asociate acestora.

Ce sunt pachetele de date și cum funcționează?

Datele sunt transmise în pachete, care constau dintr-o sarcină utilă și un antet în IPv4. Sarcina utilă reprezintă datele în sine care sunt transmise, în timp ce antetul include tipul de protocol, adresele și alte informații necesare pentru a vă asigura că datele pot ajunge la locația dorită..

Una dintre cele mai bune metode de a imagina pachetele de date este să le gândești la ele ca la cărți poștale. Sarcina utilă este mesajul pe care cineva îl scrie pe spate, iar antetul este informația de livrare pe care o puneți în față. La fel ca în cazul cărților poștale, datele trimise într-un pachet IPv4 normal nu sunt foarte sigure.

În aceste pachete standard, oricine poate vedea sarcina utilă, la fel cum poștașul sau orice atacator care vă interceptează cartea poștală o pot citi. Aceste pachete pot fi chiar modificate ca și cum ai fi scris inițial cartea poștală în creion și un atacator a șters mesajul original și a scris în altceva.

Atacatorii pot vedea, de asemenea, informațiile despre antet, la fel ca partea din față a cărții poștale. Acest lucru le permite să știe cu cine comunicați și cum faceți acest lucru. Își pot falsifica chiar și propriile pachete IPv4 pentru a le face să pară așa cum le-ai trimis, ceea ce seamănă foarte mult cu dacă ti-ar copia stilul de scriere de mână și s-ar preface că ești tu.

După cum puteți vedea, aceasta este o metodă sigură de comunicare și există multe moduri în care poate fi perturbată de atacatori. Acest lucru a dus la dezvoltarea IPsec. euNu a oferit o modalitate de autentificare a conexiunilor, de a dovedi integritatea datelor și de a le păstra confidențial, toate la nivelul rețelei. Fără IPsec sau alte protocoale de securitate în vigoare, atacatorii ar fi liberi să vizualizeze sau să modifice date sensibile și valoroase pe care le-au interceptat.

Încapsularea încărcării de securitate (ESP): o vizualizare

Vom vorbi mai întâi despre ESP, deoarece acesta este protocolul cel mai des utilizat. Atunci când este implementat cu autentificare în modul tunel, este utilizat pentru a forma VPN-uri care conectați în siguranță gazdele și rețelele prin rețelele intermediare nesigure care se află între ele.

După cum ați văzut mai sus, nu este sigur să transmiteți date sensibile cu IPv4. Modul ESP al IPsec rezolvă această problemă oferind o modalitate de a criptați datele, ceea ce face ca datele să fie confidențiale și să împiedice atacatorii să le poată accesa. ESP poate fi folosit și pentru autentificarea datelor, ceea ce poate dovedi legitimitatea acestora.

Când ESP este folosit cu criptare, este ca și cum ați introduce cartea poștală într-o cutie blocată și să o trimiteți prin curier. Nimeni nu poate vedea conținutul cărții poștale și nici nu le poate modifica. Ei pot vedea orice informații de trimitere sunt scrise pe căsuța blocată, dar acest lucru este diferit de ceea ce este scris pe poștă.

Dacă ESP se utilizează și cu autentificare, este asemănător cu semnarea cărții poștale sau punerea sigiliei personale pe ea înainte de a fi plasată în casetă. Când destinatarul primește caseta blocat, îl poate deschide și scoate cartea poștală. Când văd sigiliul sau semnătura, atunci știu că cartea poștală este în mod legitim de la tine.

Când ESP este în modul de transport, este ca și cum poșta este blocată într-o cutie și trimisă prin curier, cu excepția căsuței are o fereastră clară prin care puteți vedea informațiile de adresă ale cărții poștale. Când este în modul tunel, parcă cartea poștală se află într-o cutie solidă, cu informații de adresă diferite în exterior.

Desigur, aceasta este doar o analogie care să te ajute să vizualizezi ce se întâmplă. În realitate, există unele diferențe destul de semnificative, cum ar fi datele care călătoresc între rețele și gazde, mai degrabă decât doar o persoană care trimite informații către alta.

Încapsularea încărcării de securitate (ESP): detaliile tehnice

Acum, când ne-am oferit o idee bruscă despre modul în care funcționează ESP pentru protejarea datelor, este timpul să o analizăm la un nivel mai tehnic. ESP poate fi utilizat cu o serie de algoritmi de criptare diferiți, AES fiind unul dintre cele mai populare. Poate fi chiar implementat fără criptare, deși acest lucru se face foarte rar în practică. Anteturile pachetelor de date ESP au un index de parametri de securitate (SPI) și un număr de secvență.

SPI este un identificator care permite destinatarului să știe la ce conexiune se referă datele, precum și la parametrii conexiunii respective. Numărul de secvență este un alt identificator care ajută la prevenirea atacatorilor de a modifica pachetele de date.

ESP include și o remorcă, care conține căptușeală, detalii despre tipul de protocol pentru următorul antet și date de autentificare (dacă se folosește autentificarea). Când autentificarea este în vigoare, se face cu o Cod de autentificare a mesajului hashed (HMAC), care este calculat folosind algoritmi precum SHA-2 și SHA-3.

Autentificarea ESP validează doar antetul ESP și încărcarea utilă criptată, dar nu afectează restul pachetului. Când un pachet este criptat cu ESP, atacatorii pot vedea doar datele din antet și nu sarcina utilă.

Încapsularea sarcinii utile de securitate (ESP): Mod de transport

Modul de transport ESP este utilizat pentru a proteja informațiile trimise între două gazde. Antetul IP este păstrat în partea de sus a pachetului ESP și o mare parte a informațiilor despre antet rămâne aceeași, inclusiv adresele sursă și destinație. Criptează și autentifică opțional pachetul, ceea ce oferă confidențialitate și poate fi utilizat pentru a verifica integritatea pachetului.

Încapsularea sarcinii utile de securitate (ESP): modul tunel

Când ESP se află în modul tunel, întregul pachet de date IP este înfășurat în altul și se adaugă un nou antet. Când autentificarea este și ea în vigoare, modul tunel ESP poate fi utilizat ca VPN. Aceasta este cea mai frecventă configurație a IPsec.

Măsurile de autentificare, dovadă a integrității și a confidențialității implicate în modul tunel autentificat de ESP îl fac util pentru unirea în siguranță a două rețele separate în rețelele neîncredute și potențial periculoase care se află între ele.

Acest mod este cel mai bine descris de clișeul comun al construirii unui tunel criptat între cele două puncte, creând o conexiune sigură pe care atacatorii nu o pot pătrunde. Când se utilizează ESP pentru criptarea și autentificarea, atacatorii care interceptează datele pot vedea doar că se utilizează un VPN pentru conexiune. Nu pot vedea sarcina utilă sau antetul inițial.

VPN-urile au fost inițial folosite de companii pentru conectarea birourilor regionale cu sediul. Acest tip de conexiune permite companiilor să partajeze cu ușurință și în siguranță date între locațiile lor separate. În ultimii ani, VPN-urile au devenit, de asemenea, un serviciu popular pentru persoane fizice. Acestea sunt adesea utilizate pentru geo-spoofing sau pentru asigurarea conexiunilor, în special atunci când se utilizează wifi public.

Antet de autentificare (AH): o vizualizare

Acum că am acoperit ESP, AH ar trebui să fie ceva mai ușor de înțeles. Deoarece AH poate fi utilizat doar pentru autentificarea pachetelor de date, este la fel ca semnarea unei cărți poștale sau adăugarea propriei sigilii la ea. Deoarece nu este implicată nicio criptare, nu există nicio cutie sau curier încuiată în această analogie.

Lipsa protecției criptate este asemănătoare cu o carte poștală care este trimisă prin poștă obișnuită, unde poștașul și orice atacatori pot vedea atât informațiile despre adresă, cât și mesajul scris pe spatele cardului. Cu toate acestea, din cauza sigiliului sau a semnăturii, aceste informații nu pot fi modificate. La fel, sigiliul și semnătura vă permit să demonstrați că ați fost expeditorul adevărat, mai degrabă decât pe cineva care a încercat să vă imite.

În modul de transport AH, an se adaugă antetul de autentificare, care protejează sarcina utilă și marea majoritate a informațiilor despre antet. Este ca o carte poștală imaginară care are un sigiliu clar care protejează majoritatea conținutului.

Tot ce se află sub sigiliu nu poate fi schimbat, dar întreaga carte poștală poate fi văzută de oricine îl interceptează. Câteva detalii nu sunt acoperite de sigiliu și ar putea fi modificate, dar toate informațiile importante sunt securizate de sigiliu. Sigiliul ar avea, de asemenea, câteva informații scrise pe el, dar în sensul acestui exemplu, nu este important să se elaboreze în acest moment.

În în modul tunel, pachetul este înfășurat în interiorul altuia, iar majoritatea este autentificată. Analogia se descompune puțin în acest caz, dar este ca și cum ai înfășura cartea poștală într-un plic clar cu un sigiliu. Plicul conține, de asemenea, propriile informații despre adresă, iar sigiliul protejează aproape întregul lucru de la modificări.

Antet de autentificare (AH): detalii tehnice

AH este utilizat pentru a autentifica faptul că datele provin dintr-o sursă legitimă, precum și că își păstrează integritatea. Poate fi utilizat pentru a arăta că datele nu au fost modificate și pentru a vă proteja împotriva atacurilor de redare.

AH nu este implementat foarte des, dar este încă important să discutăm. Își adaugă propriul antet de autentificare și utilizări Coduri de autentificare a mesajului Hash (HMAC) pentru a proteja majoritatea pachetului de date. Aceasta include întreaga sarcină utilă, precum și majoritatea câmpurilor din antet. HMAC-urile sunt calculate cu algoritmi de hash precum SHA-2.

Antet de autentificare (AH): Mod de transport

Modul de transport AH este de obicei utilizat pentru comunicare bidirecțională între gazde. Un pachet AH este adăugat la pachet, iar o parte din codul de protocol este mutat. Când soseste un pachet AH și HMAC este verificat, antetul AH este luat și alte modificări sunt făcute. Odată ce pachetul de date este din nou în forma normală, acesta poate fi procesat ca de obicei.

Antet de autentificare (AH): modul tunel

În acest mod, pachetul original este ambalat în altul, apoi este autentificat cu un HMAC. Acest procesul adaugă un antet de autentificare, autentificarea întregii antete originale (în modul de transport, câteva părți ale antetului nu sunt acoperite), precum și majoritatea antetului recent adăugat. Sarcina utilă este, de asemenea, autentificată.

Când aceste pachete ajung la destinație, acestea sunt supuse unei verificări de autentificare, apoi pachetul este readus la normal, eliminând atât antetul nou adăugat, cât și antetul de autentificare..

Asociații de securitate (SA)

Asociațiile de securitate (SA) setează și stochează parametrii pentru o conexiune IPsec. Sunt utilizate atât de AH cât și de ESP pentru a stabili un proces de comunicare stabil, care să răspundă nevoilor de securitate ale fiecărei părți. Fiecare gazdă sau rețea are SA-uri separate pentru fiecare parte cu care se conectează, toate având propriul set de parametri.

Când două gazde negociază pentru prima dată conexiunea lor, ei formați o SA cu parametrii care vor fi folosiți în conexiune. Acestea fac acest lucru într-un proces pas cu pas, cu o parte care oferă o politică pe care cealaltă o poate accepta sau respinge. Acest proces continuă până când vin cu o politică care se acceptă reciproc și se repetă pentru fiecare parametru separat.

Fiecare SA include algoritmii care vor fi folosiți, indiferent dacă sunt pentru autentificare (cum ar fi SHA-2) sau criptare (cum ar fi AES). SA-urile includ, de asemenea, parametrii pentru schimbul de chei (precum IKE), politica de filtrare IP, restricții de rutare și multe altele. După ce a fost creată o asociație de securitate, aceasta este stocată în baza de date a asociației de securitate (SAD).

Când o interfață primește un pachet de date, utilizează trei informații diferite pentru a găsi SA-ul corect. Primul este Adresa IP a partenerului, care, după cum ați putea presupune, este adresa IP a celeilalte părți din conexiune. Al doilea este Protocolul IPsec, fie ESP sau AH.

Ultima informație este Indicele parametrilor de securitate (SPI), care este un identificator care se adaugă la antet. Este utilizat pentru a alege între SA-urile diferitelor conexiuni pentru a vă asigura că sunt aplicați parametrii corecți.

Fiecare SA merge doar într-un singur sens, deci cel puțin două sunt necesare pentru ca comunicarea să meargă în ambele direcții. Dacă AH și ESP trebuiau utilizate împreună, atunci va fi nevoie de un SA în fiecare direcție pentru fiecare protocol, totalizând patru.

IPsec vs. TLS / SSL

Uneori poate fi greu de înțeles diferența dintre IPsec și protocoale precum TLS / SSL. La urma urmei, ambii oferă doar securitate, nu? O fac, dar o fac în moduri diferite și la diferite niveluri.

Una dintre cele mai bune metode de a compara IPsec și TLS / SSL este priviți-le în contextul modelului OSI. Modelul OSI este un sistem conceptual care este utilizat pentru a ajuta la înțelegerea și standardizarea diferitelor aspecte și niveluri ale procesului nostru de comunicare complicat.

În acest model, Funcțiile IPsec la al treilea strat, stratul de rețea, ceea ce înseamnă că este poziționat pentru a transfera pachete de date către o gazdă pe o singură sau o serie de rețele.

Când ne uităm la TLS / SSL, lucrurile devin ceva mai confuze. Acest lucru se datorează faptului că trece peste un alt mediu de transport, TCP. Acest lucru ar trebui să se plaseze TLS / SSL deasupra stratului patru în modelul OSI.

TLS / SSL organizează, de asemenea, mesaje de strângere de mână, care sunt al cincilea nivel, nivelul de sesiune. Aceasta ar pune TLS / SSL în straturi șase sau șapte.

Se complică mai mult când considerați că aplicațiile folosesc TLS / SSL ca protocol de transport. Aceasta ar pune TLS / SSL la nivelul patru sau mai jos. Dar cum poate fi simultan în straturile șase sau șapte, precum și în stratul patru sau mai jos?

Răspunsul este că TLS / SSL pur și simplu nu se încadrează în model. Motivele care stau la baza acestui lucru se află în sfera de aplicare a acestui articol. Cel mai important lucru pe care trebuie să-l știți este că modelul OSI este doar acela, un model și, uneori, realitatea nu se conformează modelelor noastre îngrijite și ordonate..

Când vorbim despre aceste standarde în sens practic, Rolul TLS / SSL este de a autentifica datele, de a verifica integritatea acestora, de a le cripta și de a le comprima. Poate fi implementat pentru a securiza o serie de alte protocoale, cum ar fi HTTP sau SMTP, și este, de asemenea, văzut într-o gamă largă de aplicații, precum VoIP și navigarea web.

IPsec diferă în câteva moduri, primul este acela este un cadru, mai degrabă decât un singur protocol. De asemenea, este mai complex, ceea ce îngreunează configurarea și întreținerea.

În final, TLS / SSL este mai simplu decât IPsec, acesta fiind un alt motiv pentru care tinde să fie implementat într-o manieră mai răspândită. Este o parte centrală a unuia dintre principalele protocoale alternative de tunelare, OpenVPN.

Vezi si: Ghid final de TCP / IP

Securitate IPsec

În ultimii ani, s-au vorbit foarte multe agențiile guvernamentale care plasează în aer liber în IPsec și profită de vulnerabilități pentru a viza cei care utilizează protocolul. Unele dintre primele acuzații au apărut în 2010, când Greg Perry a luat legătura cu dezvoltatorul principal al OpenBSD.

El a afirmat că FBI a plasat numeroase spații în spate, precum și mecanisme de scurgere a cheilor de canal lateral în codul OpenBSD. Se presupunea că aceasta ar afecta stiva OpenBSD IPsec, care este utilizat pe scară largă.

În 2013 scurgerile Snowden, a fost dezvăluit că NSA a vizat diferite forme de criptare și alte instrumente de securitate. Documentele par să confirme că NSA avea propriile metode de accesare a tastelor utilizate în IPsec, ceea ce le permite să se retragă pe anumite conexiuni.

Documentația scursă de Brokerii Shadow în 2016 arată că NSA are un instrument care ar putea fi folosit pentru a sparge implementarea IPsec folosită în firewall-urile PIX ale Cisco. Deși aceste firewall-uri au fost întrerupte în 2009, atacul BENIGNCERTAIN poate fi folosit pentru a accesa parolele dispozitivelor PIX.

Atacul a implicat trimiterea de pachete Internet Key Exchange (IKE) către un server PIX, ceea ce l-ar determina să-și elibereze o parte din memorie. Aceste informații ar putea fi căutate pentru a găsi informațiile de configurare și cheia privată RSA, care ar putea fi apoi utilizate de NSA pentru a spiona conexiunea IPsec. Rețineți că aceasta este doar o implementare care a fost vulnerabilă și nu afectează nicio formă actuală de IPsec.

În [year], cercetătorii au exploatat un defect în protocolul IKE, care le-a permis să decripteze conexiunile. Dovada conceptului poate fi folosită pentru a efectua atacuri om-în-mijloc, în cazul în care atacatorii pot intercepta date, pot manipula sau chiar pot opri transmiterea acestora.

Tehnica utilizează oracole Bleichenbacher pentru a decripta nonces, ceea ce perturbă autentificarea RSA în faza I a IKE. Acest lucru le permite atacatorilor să utilizeze cheile simetrice autentificate în mod fraudulos cu ținta lor. Acestea pot distruge apoi punctul final IPsec, perturbând criptarea, ceea ce le permite să se insereze în ceea ce a fost anterior o conexiune sigură.

Deși acesta este un atac îngrijorător, patch-urile au fost eliberate pentru implementările pe care se știe că le afectează. Huawei, Cisco, Clavister și XyXEL au lansat toate patch-urile la scurt timp după ce au fost avertizați despre vulnerabilitate. Este sigur să folosiți aceste implementări afectate anterior, atât timp cât sunt actualizate.

Există mai multe vulnerabilități potențiale în IPsec, multe dintre ele implicând IKE. În ciuda acestor probleme, IPsec este încă considerat sigur pentru utilizare generală, atâta timp cât a fost implementată corect și implementarea utilizează cele mai recente actualizări.

IPsec în sine nu este spart. Este important să ne amintim că este doar un cadru, care poate utiliza o serie de protocoale diferite. Este încă posibil să utilizați IPsec în siguranță, atât timp cât protocoalele potrivite sunt utilizate în mod corespunzător. Cu toate acestea, configurațiile nesigure au potențialul de a fi atacate de către NSA și alte părți, de aceea este important să utilizați corect IPsec.

Dacă folosiți IPsec?

IPsec este utilizat mai ales pentru a forma un tunel securizat în VPN-uri, dar nu este singura opțiune. Dacă vă preocupă securitatea, cel mai bine este să luați în considerare celelalte opțiuni și să găsiți o soluție care să se potrivească cazului dvs. de utilizare și a profilului dvs. de risc.

Principalele alternative sunt PPTP, SSTP și OpenVPN. Protocolul de tunelare punct la punct (PPTP) este vechi și are o mulțime de probleme de securitate, așa este cel mai bine să-l evitați în toate circumstanțele. Secure Socket Tunneling Protocol (SSTP) este o opțiune mai bună pentru utilizatorii de Windows, însă este nu auditate independent.

OpenVPN este o alternativă open-source care are o serie de opțiuni de configurare diferite. Utilizează SSL / TLS și nu se știe că are probleme de securitate, deci este cea mai bună alegere pentru oricine este preocupat de problemele de securitate care au fost găsite în IPsec.

Aceasta nu înseamnă că toate conexiunile IPsec sunt în mod inerent nesigure, ci înseamnă că există alternative mai sigure pentru cei care sunt conștienți de securitate sau se confruntă cu un nivel ridicat de amenințări.

Legate de: IPSec vs SSL

Tastatura autorizat sub CC0