Análise de Desempenho e Comparação de Dispositivos Cisco ASA e MikroTik RB sobre Túneis VPN IPsec

...

A seção 2 deste artigo trata sobre a linha de dispositivos das fabricantes Cisco e MikroTik utilizada na avaliação realizada. A seção 3 aborda o protocolo IPsec (Internet Protocol Security - Protocolo de Segurança IP), que foi o protocolo de VPN utilizado nos testes. Já a seção 4 descreve todo o processo de desenvolvimento do ambiente, os itens avaliados, os testes realizados, os resultados obtidos e a análise sobre estes resultados. Por fim, na seção 5, são apresentadas as conclusões referentes a análise realizada e a sugestão para trabalhos futuros.

2. Cisco Adaptive Security Appliance e MikroTik RouterBOARD

Esta seção aborda a linha de produtos selecionada para a análise e comparativo de desempenho das fabricantes Cisco e MikroTik. A escolha por estes fabricantes e dispositivos ocorreu pelo fato dos dois oferecerem recursos semelhantes no que diz respeito a túneis VPN, e por apresentarem uma grande diferença no que diz respeito ao custo de aquisição.

A seguir será apresentada uma breve descrição sobre as fabricantes e a linha de produtos Cisco ASA e MikroTik RouterBOARD escolhidas para o desenvolvimento deste artigo.

2.1. Cisco Adaptive Security Appliance

A Cisco Systems, Inc. é uma companhia com sede em San José, na Califórnia, Estados Unidos, e uma das suas principais atividades é oferecer soluções para redes, como roteadores, switches e firewall.

O Cisco Adaptive Security Appliance (ASA) é um dispositivo de segurança de rede que possui como principal característica agregar as funções firewall stateful, IPS, VPN IPsec e SSL (Secure Socket Layer) de alto desempenho, e que em sua linha de modelos atende desde pequenas até grandes organizações. A principal diferença existente entre os modelos é a taxa de transferência máxima de rede suportada e do número e tipo de interfaces.

Estes dispositivos são dimensionados para atender uma série de requisitos e tamanhos de rede, sendo que a escolha do modelo dependerá das necessidades de cada organização, tais como a taxa de transferência máxima, número máximo de conexões por segundo e de seu orçamento.

2.2. MikroTik RouterBOARD

A MikroTik é uma empresa sediada na Letônia e fabrica equipamentos para redes de computadores. Seu principal produto é o sistema operacional baseado em Linux, denominado de MikroTik RouterOS, que é embarcado em seus dispositivos ou que pode ser fornecido como appliance virtual.

O MikroTik RouterBOARD é um dispositivo de rede que pode agregar inúmeras funções, entre as quais firewall stateful, webproxy, QoS (Quality of Service), VPN, roteamento avançado e Wireless. Os modelos existentes no mercado podem atender desde usuários domésticos até provedores de Internet e grandes organizações.

A adoção de um dispositivo MikroTik pode ocorrer em virtude do baixo custo de aquisição quando comparado com os dispositivos da Cisco, porém uma organização deve avaliar também o suporte ao produto e a criticidade do ambiente onde planeja utilizá-lo.

Como este artigo propõe a análise e comparação de desempenho dos dispositivos Cisco e MikroTik sobre túneis VPN, o protocolo escolhido, por ser comum nas duas soluções e por ser um padrão de mercado, foi o IPsec, o qual será tratado na próxima seção.

3. VPN IPsec

Esta seção trata sobre o protocolo IPsec e é dividia em quatro subseções, sendo elas modos de operação, protocolos de segurança, associação de segurança e as principais vantagens e desvantagens em se utilizar VPN.

O IPsec é um conjunto de protocolos desenvolvidos pelo IETF (Internet Engineering Task Force) para oferecer segurança para um pacote no nível de rede. O IPsec ajuda a criar pacotes confidenciais e autenticados para a camada IP (Internet Protocol).

3.1. Modos de Operação

Segundo Forouzan (2008), o IPsec pode operar no modo de transporte ou no modo túnel, conforme mostrado na figura 1. No modo de transporte, o IPsec protege aquilo que é entregue da camada de transporte para a camada de rede, ou seja, ele não protege o cabeçalho IP, protege apenas as informações provenientes da camada de transporte.

[pic 1]

Figura 1. Modos de Operação do IPsec (Forouzan, 2008)

O modo de transporte normalmente é utilizado para proteger os dados fim a fim (host a host), quando o host emissor utiliza o IPsec para autenticar e/ou criptografar o payload entregue pela camada de transporte, enquanto que o receptor utiliza o IPsec para verificar a autenticação e/ou descriptografar o pacote IP e entregá-lo a camada de transporte.

Já no modo túnel, o IPsec aplica os métodos de segurança ao pacote IP inteiro, inclusive ao cabeçalho original, e em seguida acrescenta um novo cabeçalho IP, sendo que este tem informações distintas do cabeçalho IP original. Este modo é utilizado geralmente entre dois roteadores, entre um host e um roteador ou entre um roteador e um host.

3.2. Protocolos de Segurança

O IPsec possui dois protocolos de segurança, o protocolo AH (Authentication Header – Cabeçalho de Autenticação), e o ESP (Encapsulating Security Payload – Payload de Segurança de Encapsulamento). Uma VPN baseada em IPsec pode utilizar um destes protocolos ou os dois ao mesmo tempo, sendo que cada um possui suas próprias funções, apesar de que na prática o protocolo ESP é mais utilizado.

O protocolo AH oferece capacidades de autenticação e verificação de integridade, mas não oferece confidencialidade para o payload do pacote, limitando sua eficácia como único método de segurança para a maioria das implementações VPN. A autenticação e proteção de integridade são obtidas através da inclusão de um cabeçalho adicional ao pacote IP. Este cabeçalho contém uma assinatura digital, chamada de valor de verificação de integridade, que é basicamente um valor de hash verificando se o pacote não foi alterado em trânsito.

O protocolo ESP oferece privacidade total, criptografando completamente o payload dos pacotes IP. Segundo Northcutt et al (2002), o modo como o ESP funciona difere ligeiramente, dependendo do modo IPsec que estiver sendo usado.

No modo de transporte, ESP simplesmente acrescenta sua própria camada após o cabeçalho IP e criptografa o restante da informação do pacote, da camada 4 para cima. Se o servidor de autenticação do