El día 25 de noviembre de 2009 18:50, Jorge Sarmiento <[email protected]> escribió: >> >> A favor de Openvpn, también puedes usar mecanismos de autenticación como >> tokens. >> La implementación ipsec ya sea por freeswan, openswan, son mas >> robustas si no son con claves compartidas. > > Más robustas? a qué te refieres?
A que un openswan es mas seguro que otro openswan con claves compartidas ... > > OpenVPN utiliza la librería OpenSSL para realizar la encriptación, y al > mismo certificado se le puede agregar una clave para que sea inutilizable si > no la colocan. Adicionalmente OpenVPN también soporta autenticación por > usuario y clave. > Por lo tanto, OpenVPN podría ser configurado para pedir DOS claves (una > clave del certificado + usuario/clave del mismo openvpn). > Correcto ! solo que la autentifiicación de certificados es local, esa clave esta en el mismo fichero que puedes copiar de un lado a otro ... Yo me voy mejor a autenticarlo con tokens o quiza con pam a ldap. > Una ventaja de OpenVPN es que trabaja en userspace (OpenSwan trabaja a nivel > del stack tcp/ip, osea el kernel) y puede ser chrooted, por lo tanto en caso > de un exploit del software (puede ocurrir en instalaciones que se instalan y > se dejan funcionando sin mantenimiento por años) es menos riesgoso que > ingresen al userspace enjaulado que a un exploit a nivel de módulo de > kernel. Totalmente de acuerdo > > Otra ventaja es que, al trabajar las conexiones a través de puertos tcp/ip, > es más simple filtrar / monitorear / enmascarar / enrutar el tráfico entre > dos redes. Y hacer innumerables tun y darles qos por puertos, entre otras cosas. Creo que con openswan lo tendria que hacer todo a nivel de IP ... > no entiendo entonces por qué entonces hay gente afirmando que OpenSwan es > "más robusto" que OpenVPN. > > Jorge S. Yo tampoco entiendo ;-) a mi me gusta openvpn Saludos ! Ronald - _______________________________________________ Lista de correo Linux-plug Temática: Discusión general sobre Linux Peruvian Linux User Group (http://www.linux.org.pe) Participa suscribiéndote y escribiendo a: [email protected] Para darte de alta, de baja o hacer ajustes a tu suscripción visita: http://listas.linux.org.pe/mailman/listinfo/linux-plug IMPORTANTE: Reglas y recomendaciones http://www.linux.org.pe/listas/reglas.php http://www.linux.org.pe/listas/comportamiento.php http://www.linux.org.pe/listas/recomendaciones.php
