IPSEC IP Security Protocol

*Utilize este material para fins educativos e no comerciais*

Introduo
O IPSec, ou IP Security Protocol, tem o objetivo de fornecer mecanismos de proteo ao pacote IP e s aplicaes que rodam sobre o protocolo IP, estabelecendo nveis de seguranca entre host para host, subnet para subnet e host para subnet. Sua essncia , basicamente, a busca por pacotes IP privados, realiza ndo funes de segurana de dados, bem como: criptografia, autenticidade e integridade. As funes de gerenciamento de chaves tambm fazem parte das funes do IPSec.

Arquitetura Bsica
O IPSec combina diversas tecnologias diferentes de segurana em um sistema completo que prov confidencialidade, integridade e autenticidade. Os dois lados precisam seguir os seguintes passos, para que haja uma comunicao segura por IPSec: Entrar em acordo quanto aos algoritmos de criptografia e autenticao que sero utilizados; Trocar as chaves secretas que alimentaro os algoritmos de autenticao e criptografia; Enviar os dados atravs da rede utilizando os mtodos acordados.

O primeiro passo est ligado ao estabelecimento de SAs (Security Associations); o segundo, ao protocolo IKE (Internet Key Exchange); e o ltimo, aos protocolos AH (Authentication Header) e ESP (Encapsulation Security Payload), que utilizaro as Security Associations criadas.

Para isso, o IPSec composto, basicamente, por: Protocolo AH Authentication Header Protocolo ESP Encapsulating Security Payload IKE Internet Key Exchange

Possui um padro aberto. possvel incluir otros algoritmos de autenticao e criptografia.

Protocolos Criptogrficos: algoritmos de encriptao para grandes volumes de dados, como o DES (Data Encryption Standard); algoritmos de hash com utilizao de chaves, com o HMAC combinado com os algoritmos de hash tradicionais como o MD5 ou SHA, autenticando os pacotes; certificados digitais assinados por uma autoridade certificadora.

PROTOCOLOS AH E ESP
Os protocolos AH e ESP so parte da arquitetura bsica do IPSec. E, por questes de interoperabilidade, estes protocolos estabelecem que qualquer implementao de IPSec devem suportar alguns algoritmos prdefinidos. Para autenticao de cabealho: MD5 ou SHA-1 Para criptografia: DES-CBC, Null Authentication Algorithm e Null Encryption Algorithm. - Podem ser implementados separados ou em conjunto, para prover autenticao e criptografia. - Funcionam tanto em rede Ipv4 e Ipv6.

Protocolo AH IP Authentication Header: Protocolo AH fornece integridade do pacote, adicionando um cabealho entre o cabealho IP e DADOS. Sendo assim, impossibilitando que o pacote seja alterado durante uma transao. - Fornece integridade. - Autentio do IP de origem. - Servio OPCIONAL de anti-replay.

Protocolo ESP IP Encapsulating Security Payload: Fornece criptografia dos dados transmitidos, entretanto o cabealho IP no criptografado. - Fornece confidencialidade, integridade e autenticidade. - Informaes de destino e origem ficam mostra, permitindo anlise de trfego. - Servio OPCIONAL de anti-replay.

Modos de utilizao:
- Ambos suportam dois modos de utilizao: Transporte e Tnel. Transporte: - Modo mais simples. - Funciona basicamente para conexes fim-a-fim. - adicionado um cabealho IPSec entre o cabealho IP e de DADOS. - Implementados os protocolos ESP/AH, inclusive criptografando o contedo, o cabealho IP mantido inalterado, deixando mostra a origem e destino.

Tnel: - Mais complexo. - Muito utilizado para estabelecimento de VPNs. - Funciona para comunicaes onde o host de destino est atrs de um gateway de segurana. - Todo datagrama IP original encriptado, sendo encapsulado em um NOVO PACOTE IP, onde contm origem e destino os roteadores que geraram e receberam o pacote. - Roteador de destino, ao receber este pacote tunelado, o desencripta e rotear o pacote original para o destino desejado. - Protege contra anlise de trfego, pois o atacante s saber o incio e fim dos roteadores (tneis) e no da origem e destino reais.

Security Associations
Um fundamento importante do IPSec so as Security Associations. Uma Security Association (SA) um conjunto de parmetros que representa uma relao unidirecional entre um emissor e um receptor. Ou seja, para cada par de sistemas que se comunicam, devem existir duas SAs. Trs parmetros atuam como identificadores de uma SA: Security Parameters Index, um identificador numrico nico de 32 bits, presente nos cabealhos dos protocolos IPSec; endereo IP de destino; identificador de protocolo de segurana, que relaciona a SA ao AH ou ao ESP.

Funcionamento: 1 Sistema A para enviar um pacote que necessita proteo IPSec, verifica as SAs armazenadas em seu BD, processa as informaes e adiciona o SPI da SA no cabealho IPSec. 2 Sistema B recebe o pacote, procura a SA em seu BD, de acordo com o endereo de origem e SPI, e ento processa o pacote da forma necessria. Quando um sistema envia um pacote que requer proteo IPSec, ele olha as SAs armazenadas em seus banco de dados, processa as informaes, e adiciona o SPI da SA no cabealho IPSec. Quando o destino IPSec recebe o pacote, ele procura a SA em seus banco de dados de acordo com o endereo de destino e SPI, e ento processa o pacote da forma necessria.

Gerenciamento de chaves - IKE:

Gerenciamento pode ser manual ou automtico, dependendo do nmero de nodes conectados na rede. Manual: - Define as chaves manualmente, em cada node. - No escalvel. Caso a rede cresa, ter que configurar cada node. Automtico: - Altamente escalvel. - Escolhada chave secreta utilizando Diffie-Hellman - Utiliza o ISAKMP, para criar as SAs nos dois lados da comunicao.

- Criptografia de chaves pblicas com Diffie-Hellman, garantindo, assim, a identidade de ambas as partes* e evitando ataques do tipo man-in-themiddle. *Saber a origem e destino de um pacote considerado ataque por inferncia.