Upload
andre-nobre
View
1.381
Download
7
Embed Size (px)
DESCRIPTION
Definições e Funcionamento do Protocolo IPSec - IKE - Protocolo AH e ESP Tire suas Dúvidas: [email protected]
Citation preview
IPsec
Prof. Esp. André Nobre
2
Origem do IPsec
O IPsec surgiu com o desejo de fornecer segurança no nível de IP.Aumento do uso de protocolo da internet em
grandes redes de empresas;Democratização de internet;Facilidade de ataques.
3
Origem do IPsec
IPsec = IP SecurityPadrão desenvolvido pela IETF desde 1992;Primeira versão lançada em 1995;Versão melhorada, com administração
dinâmica dos parâmetros de segurança(IKE), em 1998;
Até hoje ainda é trabalhado na IETF.
4
Problema do IP
Problemas do IPMonitoramento, não autorizadas, de pacotes;Exploração de aplicações cuja autenticação é
feita baseada no endereço IP.
5
IPsec
Proposta: Implementar segurança no próprio nível IP.
Segurança na camada aplicação; Segurança na camada de rede;
6
Objetivo
Previnir espionagem dos pacotes que trafegam;
Impedir acesso ilícito aos dados.
7
Solução com IPsec
Confidencialidade dos dados; Autenticidade dos dados trafegados; Alta segurança quando usado com
algoritmos fortes; Não substitui as soluções já existentes de
segurança, mas adiciona funcionalidades.
8
Como Funciona
Opera na camada de rede; Processa todos os
datagramas IP; Protege todas as aplicações
de modo transparente; Pode ser implementado em
qualquer ponto da rede (hospedeiros, servidores, roteadores).
9
Como Funciona Pode-se criar políticas para
cada situação específico; Obrigatório no IPv6 e opcional
no IPv4; IKE – Internet Key Exchange
Protocolo padrão de administração de chaves para o IPsec.
Negociação de parâmetros; Troca de chaves; Autenticidade dos pontos.
10
Como Funciona
Criação de uma ligação lógica para troca de datagramas (SA – Security Agreement)
Autenticação e proteção da identidade dos hospedeiros;
Negociação da política a ser usada pelo SA;
Troca autenticada das chaves secretas.
11
SA – Security Agreement
Um dos mais importantes conceitos no IPsec é chamado Security Agreement (Acordo de Segurança). Definido no RFC 1825;
Canal lógico entre origem e destino; SAs são uma combinação do SPI(Security
Parameter Index) fornecido e do endereço de destino;
SAs são unidirecionais. Para uma conexão são necessárias no mínimo duas SAs.
12
Security Parameter Index - SPI
SPI1
SPI1
SPI2
SPI3
SPI2
SA1
SA2
SA3
SA1
SA2
Um servidor pode ter ao mesmo tempo várias associações de segurança diferentes (SA), pois pode manter comunicações seguras com vários usuários ao mesmo tempo.
IPsec –SPI1
IPsec –SPI2
13
Utilização do IPSec com SA’s
Rede não Confiável
Rede não Confiável
Rede não Confiável
Rede Confiável
Rede Confiável
Rede Confiável
Gateway Seguro
Gateway SeguroGateway Seguro
Host
Host Host
SA SA
SA SA
SA SA
14
Combinação de SA’s
Acordo de Segurança 1 Acordo de Segurança 2
Acordo de Segurança 2
Acordo de Segurança 1
Rede não Confiável
Rede não Confiável
Rede não Confiável
Rede não Confiável
15
Proteção dos Dados Pacotes recebem:
Compressão; Encriptação; Autenticação.
Modos de proteção: Túnel:
Encapsulamento em um novo datagrama IP;
Mais usado. Transporte:
Protege apenas os dados, sem um novo cabeçalho; Usado apenas em IPsec fim a fim.
Modo Túnel:
Transporte:Modo Transporte:
16
Protocolos
AH – Authentication Header (Protocolo de autenticação de cabeçalho);
ESP – Encapsulation Security Payload (Protocolo de Segurança de Encapsulamento da Carga útil);
Ambos fazem o acordo de segurança (SA)
17
AH - Autenticação de Cabeçalho
Oferece:Autenticação da fonte; Integridade de dados. Sem Criptografia.
Adiciona um campo ao datagrama IP; RFC 2402.
18
“O cabeçalho AH não permite criptografia dos dados; portanto, ele é útil principalmente quando a verificação da integridade é necessária, mas não o sigilo.”
[TANENBAUM, Redes de Computador, P581, PDF]
Exemplo de integridade: Evitar que um intruso falsifique um pacote, neste caso, seria possível ler mas não alterar.
Protocolo AH
19
ESP – Protocolo de Segurança de Encapsulamento de Carga Útil
Oferece:Autenticação da fonte; Integridade de dados.Com Criptografia.
Mais complexo, portanto exige mais processamento;
RFC 2406.
20
ESP – Protocolo de Segurança de Encapsulamento de Carga Útil
Datagrama: Modo de transporte:
Modo Túnel:
21
AH vs ESP
Considerando que a ESP pode fazer tudo que o AH pode fazer e muito mais, além de ser mais eficiente durante a inicialização, surge a questão:
Afinal, qual e a necessidade do AH?
22
AH vs ESP
“A resposta é principalmente histórica. No inicio, o AH cuidava apenas da integridade, enquanto o ESP tratava do sigilo. Mais tarde, a integridade foi acrescentada no ESP, mas as pessoas que projetaram o AH não queriam deixa-lo morrer depois de tanto trabalho. É provável que o AH fique defasado no futuro.”
[TANENBAUM, Redes de Computador, P581, PDF]
23
Referências Bibliográficas
KUROSE, J. F. ; ROSS, K. W.; Redes de Computadores e a Internet. Pearson Education, 2003.
TANENBAUM, A. S. , Redes de Computadores, Editora Campus, 2003.
http://www.javvin.com/protocolESP.html;http://www.cert-rs.tche.br/docs_html/ipsec.html;http://www.rnp.br/newsgen/9907/ipsec3.html;http://www.ietf.org/rfc/rfc2402.txt;http://www.ietf.org/rfc/rfc2406.txt