Professional Documents
Culture Documents
Introduo
O IPSec, ou IP Security Protocol, tem o objetivo de fornecer mecanismos de proteo ao pacote IP e s aplicaes que rodam sobre o protocolo IP, estabelecendo nveis de seguranca entre host para host, subnet para subnet e host para subnet. Sua essncia , basicamente, a busca por pacotes IP privados, realiza ndo funes de segurana de dados, bem como: criptografia, autenticidade e integridade. As funes de gerenciamento de chaves tambm fazem parte das funes do IPSec.
Arquitetura Bsica
O IPSec combina diversas tecnologias diferentes de segurana em um sistema completo que prov confidencialidade, integridade e autenticidade. Os dois lados precisam seguir os seguintes passos, para que haja uma comunicao segura por IPSec: Entrar em acordo quanto aos algoritmos de criptografia e autenticao que sero utilizados; Trocar as chaves secretas que alimentaro os algoritmos de autenticao e criptografia; Enviar os dados atravs da rede utilizando os mtodos acordados.
O primeiro passo est ligado ao estabelecimento de SAs (Security Associations); o segundo, ao protocolo IKE (Internet Key Exchange); e o ltimo, aos protocolos AH (Authentication Header) e ESP (Encapsulation Security Payload), que utilizaro as Security Associations criadas.
Para isso, o IPSec composto, basicamente, por: Protocolo AH Authentication Header Protocolo ESP Encapsulating Security Payload IKE Internet Key Exchange
Protocolos Criptogrficos: algoritmos de encriptao para grandes volumes de dados, como o DES (Data Encryption Standard); algoritmos de hash com utilizao de chaves, com o HMAC combinado com os algoritmos de hash tradicionais como o MD5 ou SHA, autenticando os pacotes; certificados digitais assinados por uma autoridade certificadora.
PROTOCOLOS AH E ESP
Os protocolos AH e ESP so parte da arquitetura bsica do IPSec. E, por questes de interoperabilidade, estes protocolos estabelecem que qualquer implementao de IPSec devem suportar alguns algoritmos prdefinidos. Para autenticao de cabealho: MD5 ou SHA-1 Para criptografia: DES-CBC, Null Authentication Algorithm e Null Encryption Algorithm. - Podem ser implementados separados ou em conjunto, para prover autenticao e criptografia. - Funcionam tanto em rede Ipv4 e Ipv6.
Protocolo AH IP Authentication Header: Protocolo AH fornece integridade do pacote, adicionando um cabealho entre o cabealho IP e DADOS. Sendo assim, impossibilitando que o pacote seja alterado durante uma transao. - Fornece integridade. - Autentio do IP de origem. - Servio OPCIONAL de anti-replay.
Protocolo ESP IP Encapsulating Security Payload: Fornece criptografia dos dados transmitidos, entretanto o cabealho IP no criptografado. - Fornece confidencialidade, integridade e autenticidade. - Informaes de destino e origem ficam mostra, permitindo anlise de trfego. - Servio OPCIONAL de anti-replay.
Modos de utilizao:
- Ambos suportam dois modos de utilizao: Transporte e Tnel. Transporte: - Modo mais simples. - Funciona basicamente para conexes fim-a-fim. - adicionado um cabealho IPSec entre o cabealho IP e de DADOS. - Implementados os protocolos ESP/AH, inclusive criptografando o contedo, o cabealho IP mantido inalterado, deixando mostra a origem e destino.
Tnel: - Mais complexo. - Muito utilizado para estabelecimento de VPNs. - Funciona para comunicaes onde o host de destino est atrs de um gateway de segurana. - Todo datagrama IP original encriptado, sendo encapsulado em um NOVO PACOTE IP, onde contm origem e destino os roteadores que geraram e receberam o pacote. - Roteador de destino, ao receber este pacote tunelado, o desencripta e rotear o pacote original para o destino desejado. - Protege contra anlise de trfego, pois o atacante s saber o incio e fim dos roteadores (tneis) e no da origem e destino reais.
Security Associations
Um fundamento importante do IPSec so as Security Associations. Uma Security Association (SA) um conjunto de parmetros que representa uma relao unidirecional entre um emissor e um receptor. Ou seja, para cada par de sistemas que se comunicam, devem existir duas SAs. Trs parmetros atuam como identificadores de uma SA: Security Parameters Index, um identificador numrico nico de 32 bits, presente nos cabealhos dos protocolos IPSec; endereo IP de destino; identificador de protocolo de segurana, que relaciona a SA ao AH ou ao ESP.
Funcionamento: 1 Sistema A para enviar um pacote que necessita proteo IPSec, verifica as SAs armazenadas em seu BD, processa as informaes e adiciona o SPI da SA no cabealho IPSec. 2 Sistema B recebe o pacote, procura a SA em seu BD, de acordo com o endereo de origem e SPI, e ento processa o pacote da forma necessria. Quando um sistema envia um pacote que requer proteo IPSec, ele olha as SAs armazenadas em seus banco de dados, processa as informaes, e adiciona o SPI da SA no cabealho IPSec. Quando o destino IPSec recebe o pacote, ele procura a SA em seus banco de dados de acordo com o endereo de destino e SPI, e ento processa o pacote da forma necessria.
- Criptografia de chaves pblicas com Diffie-Hellman, garantindo, assim, a identidade de ambas as partes* e evitando ataques do tipo man-in-themiddle. *Saber a origem e destino de um pacote considerado ataque por inferncia.