Puede que gran parte de la creencia que Openswan (strongswan o fresswan) es más robusto que OpenVPN se deba a simplemente creer que el sólo hecho de estar basado en IPSEC es de por sí más seguro. También podría creerse esto por ver cómo la mayoría de appliances comerciales se basan en IPSEC para sus conexiones VPN.
Sólo recordar que por lo general Openswan con IPSEC puede resultar algo más complejo en su entendimiento que OpenVPN con OpenSSL para algunos usuarios, y por lo general mientras más complejo sea un sistema sin dominar su comprensión es más probable que la solución se torne menos segura, no por su naturaleza sino por una incorrecta administración. Si dominan Openswan mejor que OpenVPN o viceversa, entonces definitivamente esa será la solución más segura para el administrador y su entorno. Sin embargo cabe recalcar que según lecturas en Internet (no recuerdo donde actualmente) Openswan al correr a nivel de kernel puede resultar ser un poco más rápido que OpenVPN que corre en espacio de usuario. ¿Debates? Sería interesante leer alguno sobre comparativos de rendimiento entre ambos. Saludos Ronald Urbano escribió: > El día 25 de noviembre de 2009 18:50, Jorge Sarmiento > <[email protected]> escribió: > >>> A favor de Openvpn, también puedes usar mecanismos de autenticación como >>> tokens. >>> La implementación ipsec ya sea por freeswan, openswan, son mas >>> robustas si no son con claves compartidas. >>> >> Más robustas? a qué te refieres? >> > > A que un openswan es mas seguro que otro openswan con claves compartidas ... > > > >> OpenVPN utiliza la librería OpenSSL para realizar la encriptación, y al >> mismo certificado se le puede agregar una clave para que sea inutilizable si >> no la colocan. Adicionalmente OpenVPN también soporta autenticación por >> usuario y clave. >> Por lo tanto, OpenVPN podría ser configurado para pedir DOS claves (una >> clave del certificado + usuario/clave del mismo openvpn). >> >> > > Correcto ! solo que la autentifiicación de certificados es local, esa > clave esta en el mismo fichero que puedes copiar de un lado a otro ... > Yo me voy mejor a autenticarlo con tokens o quiza con pam a ldap. > > > >> Una ventaja de OpenVPN es que trabaja en userspace (OpenSwan trabaja a nivel >> del stack tcp/ip, osea el kernel) y puede ser chrooted, por lo tanto en caso >> de un exploit del software (puede ocurrir en instalaciones que se instalan y >> se dejan funcionando sin mantenimiento por años) es menos riesgoso que >> ingresen al userspace enjaulado que a un exploit a nivel de módulo de >> kernel. >> > > Totalmente de acuerdo > > >> Otra ventaja es que, al trabajar las conexiones a través de puertos tcp/ip, >> es más simple filtrar / monitorear / enmascarar / enrutar el tráfico entre >> dos redes. >> > > Y hacer innumerables tun y darles qos por puertos, entre otras cosas. > Creo que con openswan lo tendria que hacer todo a nivel de IP ... > > >> no entiendo entonces por qué entonces hay gente afirmando que OpenSwan es >> "más robusto" que OpenVPN. >> >> Jorge S. >> > > > Yo tampoco entiendo ;-) a mi me gusta openvpn > > > Saludos ! > > > Ronald - > _______________________________________________ > Lista de correo Linux-plug > Temática: Discusión general sobre Linux > Peruvian Linux User Group (http://www.linux.org.pe) > > Participa suscribiéndote y escribiendo a: [email protected] > Para darte de alta, de baja o hacer ajustes a tu suscripción visita: > http://listas.linux.org.pe/mailman/listinfo/linux-plug > > IMPORTANTE: Reglas y recomendaciones > http://www.linux.org.pe/listas/reglas.php > http://www.linux.org.pe/listas/comportamiento.php > http://www.linux.org.pe/listas/recomendaciones.php > -- Angel Rengifo Cancino RHCE 5 | LPIC 1 Director Comercial SFI Networks EIRL Nextel: 127*7460 Cel: +511 997835382 Telf: +511 4583539 E-mail: [email protected] Website: http://www.sfinetworks.com _______________________________________________ Lista de correo Linux-plug Temática: Discusión general sobre Linux Peruvian Linux User Group (http://www.linux.org.pe) Participa suscribiéndote y escribiendo a: [email protected] Para darte de alta, de baja o hacer ajustes a tu suscripción visita: http://listas.linux.org.pe/mailman/listinfo/linux-plug IMPORTANTE: Reglas y recomendaciones http://www.linux.org.pe/listas/reglas.php http://www.linux.org.pe/listas/comportamiento.php http://www.linux.org.pe/listas/recomendaciones.php
