Com SSL sob ataque, IPsec vira alternativa de segurança para rede

Com o Secure Sockets Layer (SSL) sob vigilância contínua e as autoridades de certificação em busca de violações de dados, é hora de seu rival IPsec (Protocolo de Segurança IP, um conjunto de protocolos para ajudar a proteger os dados em uma rede) dar um passa à frente?

 

O IPsec tem algumas características essenciais, como suporte para vários algoritmos e aplicações, incluindo Voz sobre IP (VoIP). Isso fornece verificação de dados para autenticação. Contudo, o parâmetro nunca teve como objetivo o protocolo VPN, por causa das preocupações acerca de seu elemento client, e maior manutenção e gerenciamento do que o SSL, que é amplamente disponível comercialmente. Mesmo assim, algumas empresas estão reavaliando o IPsec e executando juntamente com o SSL, para obter maior segurança.

 

Segundo Rainer Enders, CTO da NCP Engineering Americas – empresa que vende produtos IPsec e SSL –, o “IPsec é um conjunto robusto de protocolos, visando aplicações bem mais seguras. Ele oferece mais segurança por meio de seu projeto – não pelo tipo de codificação, e sim, pela implementação”.

 

Enders afirma que o protocolo é mais seguro, em parte por algumas implementações do SSL ainda serem executadas em antigas versões de seu protocolo TLS (Transport Layer Security, um protocolo criptográfico).

 

Mas alguns especialistas afirmam que o IPsec se apoia na mesma rede do SSL, e que o modelo está em colapso.

 

O especialista em segurança Taher Elgamal, que chefia o desenvolvimento SSL na Netscape, também deu sua opinião: “acredito que o IPsec é um protocolo perfeito para uso, mas com ele estamos evitando o problema real. Quando utilizado, se faz necessário o uso de PKI [Public Key Infrastructure], então se o problema real não for avaliado, teremos com ele os mesmos problemas. Ainda existirão problemas com o CA”.

 

Consertar a infraestrutura do certificado de autoridade (CA) não é tão fácil. Moxie Marlinspike desenvolveu um modelo de autenticação de rede chamado Convergence que usa uma camada adicional de vigilância, conhecida como tabelião. Qualquer pessoa pode ser eleita a agir como tabelião, mas as empresas de segurança e especialistas em autenticação de rede provavelmente tomarão à frente, criando históricos de sites de certificados de SSL e os listando por consistências. Depois disso, os usuários decidirão se confiam ou não em um site, em vez de se apoiarem no navegador para realizar essa tarefa.

 

Então o IPsec decolará? “A vantagem do IPsec é ser construído dentro do IPv6. Ao usarem o protocolo, as empresas já o terão embutido, e podem usá-lo como comunicação de segurança interna”, afirmou Ben Greenberg, pesquisador sênior de ameaça à segurança na Fidelis.

 

Para finalizar, o especialista em segurança Dan Kaminsky afirmou: “O DNS SEC [extensão que autentica as informações do DNS que garante autenticidade e integridade] será a resposta para muitas das falhas essenciais em gerenciamento, e revitalizará o IPsec e corrigirá o SSL”.

 

Tradução: Alba Milena, especial para o IT Web | Revisão: Adriele Marchesini