Protocolos de segurança

IPSec

Assegura confidencialidade, integridade e autenticidade

para a comunicação de dados em uma rede pública de

IP.

Aplicações:

– Conectividade segura do escritório pela Internet;

– Acesso remoto seguro pela Internet;

– Segurança de intranets;

– Aprimoramento da segurança de comércio eletrônico.

– Virtual Private Networks (VPNs)

Cenário de segurança de IP

IPSec

Transparente para aplicações

– Embaixo da camada de transporte (TCP, UDP)

Documentos IPSec

– RFC 2401: Visão geral da arquitetura de segurança (RFC 1825)

– RFC 2402: Descrição de uma extensão para autenticação de

um pacote no IPv4 e no IPv6

– RFC 2406: Descrição de uma extensão para codificação de um

pacote no IPv4 e no IPv6

– RFC 2408: Especificação dos recursos de gerência de chaves

IPSec

Protocolo Authentication Header

Fornece serviços de integridade e autenticação para os

pacotes IP.

Utiliza função de hash com chaves em vez de

assinaturas.

Cálculo do valor da verificação de integridade através de

HMAC-MD5 ou HMAC-SHA1.

Protocolo AH

Modo transporte

• Fornece proteção para os protocolos

de camada superior

• Payload do pacote IP

Modo túnel

• Provê proteção para o pacote IP inteiro

• Usado entre gateways de segurança

• Hosts antes de firewall não precisam rodar IPSec

Protocolo Encapsulating Security Payload (ESP)

Fornece serviços de confidencialidade para os dados IP.

Sistemas modernos devem ter algoritmo AES

Outros algoritmos definidos:

– Triple DES

– RC5

– IDEA

– CAST

– Blowfish

– 3IDEA

Protocolo ESP

ESP – Modo transporte e túnel

Modos transporte e túnel

Associações de segurança (SA)

Cada par de hosts que utilize IPSec deve estabelecer

uma associação de segurança (uma espécie de contrato)

Identificada por 3 parâmetros:

– Indexação de parâmetros de segurança – localizado nos

cabeçalhos de AH e ESP

– Endereço IP de destino

– Identificador do protocolo de segurança

Negociação (ESP)

Combinações básicas de SAs

Configuração do IPSec

Cada dispositivo de rede (Host ou Gateway) possui uma política de

segurança que orienta o uso de IPsec.

Uma política IPsec é formada por um conjunto de regras, muito

semelhantes as regras de um firewall.

As políticas IPsec são definidas de maneira distinta para os pacotes

transmitidos e para os pacotes recebidos.

Ações IPSec na transmissão

Ações IPSec na recepção

Implementação de Políticas

Para que dois computadores "A" e "B" criem uma comunicação IPsec: – Computador A:

deve ter políticas IPsec para transmitir pacotes cujo endereço de destino é "B".

deve ter políticas IPsec para receber pacotes cujo endereço de origem é "B".

– Computador B: deve ter políticas IPsec para transmitir pacotes cujo endereço

de destino é "A".

deve ter políticas IPsec para receber pacotes cujo endereço de origem é "A".

Gerenciamento de chaves

Fornecer um meio para negociar os protocolos

com outras pessoas, algoritmos de criptografia e

chaves

Manual – eficaz em ambientes estáticos

pequenos

Automatizada – padrão IKE (Internet Key

Exchange Protocol)

Troca de chaves – modo principal

Troca de chaves

Modo agressivo

Modo rápido