Buscar

IPsec: Segurança na Camada de Rede

Faça como milhares de estudantes: teste grátis o Passei Direto

Esse e outros conteúdos desbloqueados

16 milhões de materiais de várias disciplinas

Impressão de materiais

Agora você pode testar o

Passei Direto grátis

Faça como milhares de estudantes: teste grátis o Passei Direto

Esse e outros conteúdos desbloqueados

16 milhões de materiais de várias disciplinas

Impressão de materiais

Agora você pode testar o

Passei Direto grátis

Faça como milhares de estudantes: teste grátis o Passei Direto

Esse e outros conteúdos desbloqueados

16 milhões de materiais de várias disciplinas

Impressão de materiais

Agora você pode testar o

Passei Direto grátis

Você viu 3, do total de 23 páginas

Faça como milhares de estudantes: teste grátis o Passei Direto

Esse e outros conteúdos desbloqueados

16 milhões de materiais de várias disciplinas

Impressão de materiais

Agora você pode testar o

Passei Direto grátis

Faça como milhares de estudantes: teste grátis o Passei Direto

Esse e outros conteúdos desbloqueados

16 milhões de materiais de várias disciplinas

Impressão de materiais

Agora você pode testar o

Passei Direto grátis

Faça como milhares de estudantes: teste grátis o Passei Direto

Esse e outros conteúdos desbloqueados

16 milhões de materiais de várias disciplinas

Impressão de materiais

Agora você pode testar o

Passei Direto grátis

Você viu 6, do total de 23 páginas

Faça como milhares de estudantes: teste grátis o Passei Direto

Esse e outros conteúdos desbloqueados

16 milhões de materiais de várias disciplinas

Impressão de materiais

Agora você pode testar o

Passei Direto grátis

Faça como milhares de estudantes: teste grátis o Passei Direto

Esse e outros conteúdos desbloqueados

16 milhões de materiais de várias disciplinas

Impressão de materiais

Agora você pode testar o

Passei Direto grátis

Faça como milhares de estudantes: teste grátis o Passei Direto

Esse e outros conteúdos desbloqueados

16 milhões de materiais de várias disciplinas

Impressão de materiais

Agora você pode testar o

Passei Direto grátis

Você viu 9, do total de 23 páginas

Faça como milhares de estudantes: teste grátis o Passei Direto

Esse e outros conteúdos desbloqueados

16 milhões de materiais de várias disciplinas

Impressão de materiais

Agora você pode testar o

Passei Direto grátis

Prévia do material em texto

IPsec 
Prof. Esp. André Nobre 
2 
Origem do IPsec 
 O IPsec surgiu com o desejo de fornecer 
segurança no nível de IP. 
Aumento do uso de protocolo da internet em 
grandes redes de empresas; 
Democratização de internet; 
Facilidade de ataques. 
3 
Origem do IPsec 
 IPsec = IP Security 
Padrão desenvolvido pela IETF desde 1992; 
Primeira versão lançada em 1995; 
Versão melhorada, com administração 
dinâmica dos parâmetros de segurança(IKE), 
em 1998; 
Até hoje ainda é trabalhado na IETF. 
4 
Problema do IP 
 Problemas do IP 
Monitoramento, não autorizadas, de pacotes; 
Exploração de aplicações cuja autenticação é 
feita baseada no endereço IP. 
5 
IPsec 
 Proposta: 
 Implementar segurança no próprio nível IP. 
 Segurança na camada aplicação; 
 Segurança na camada de rede; 
 
6 
Objetivo 
 Previnir espionagem dos pacotes que 
trafegam; 
 
 Impedir acesso ilícito aos dados. 
 
7 
Solução com IPsec 
 Confidencialidade dos dados; 
 Autenticidade dos dados trafegados; 
 Alta segurança quando usado com 
algoritmos fortes; 
 Não substitui as soluções já existentes de 
segurança, mas adiciona funcionalidades. 
8 
Como Funciona 
 Opera na camada de rede; 
 Processa todos os 
datagramas IP; 
 Protege todas as aplicações 
de modo transparente; 
 Pode ser implementado em 
qualquer ponto da rede 
(hospedeiros, servidores, 
roteadores). 
 
9 
Como Funciona 
 Pode-se criar políticas para 
cada situação específico; 
 Obrigatório no IPv6 e opcional 
no IPv4; 
 IKE – Internet Key Exchange 
 Protocolo padrão de 
administração de chaves para o 
IPsec. 
 Negociação de parâmetros; 
 Troca de chaves; 
 Autenticidade dos pontos. 
10 
Como Funciona 
 Criação de uma ligação lógica para troca 
de datagramas (SA – Security Agreement) 
 Autenticação e proteção da identidade dos 
hospedeiros; 
 Negociação da política a ser usada pelo 
SA; 
 Troca autenticada das chaves secretas. 
 
11 
SA – Security Agreement 
 Um dos mais importantes conceitos no IPsec é 
chamado Security Agreement (Acordo de 
Segurança). Definido no RFC 1825; 
 Canal lógico entre origem e destino; 
 SAs são uma combinação do SPI(Security 
Parameter Index) fornecido e do endereço de 
destino; 
 SAs são unidirecionais. Para uma conexão são 
necessárias no mínimo duas SAs. 
12 
Security Parameter Index - SPI 
SPI1 
SPI1 
SPI2 
SPI3 
SPI2 
SA1 
SA2 
SA3 
SA1 
SA2 
 Um servidor pode ter ao mesmo tempo várias associações de 
segurança diferentes (SA), pois pode manter comunicações seguras 
com vários usuários ao mesmo tempo. 
IPsec –SPI1 
IPsec –SPI2 
13 
Utilização do IPSec com SA’s 
Rede não 
Confiável 
Rede não 
Confiável 
Rede não 
Confiável 
Rede 
Confiável 
Rede 
Confiável 
Rede 
Confiável 
Gateway Seguro 
Gateway Seguro Gateway Seguro 
Host 
Host Host 
SA SA 
SA SA 
SA SA 
14 
Combinação de SA’s 
Acordo de Segurança 1 Acordo de Segurança 2 
Acordo de Segurança 2 
Acordo de Segurança 1 
Rede não 
Confiável 
Rede não 
Confiável 
Rede não 
Confiável 
Rede não 
Confiável 
15 
Proteção dos Dados 
 Pacotes recebem: 
 Compressão; 
 Encriptação; 
 Autenticação. 
 Modos de proteção: 
 Túnel: 
 Encapsulamento em um novo 
datagrama IP; 
 Mais usado. 
 Transporte: 
 Protege apenas os 
 dados, sem um novo 
cabeçalho; 
 Usado apenas em 
IPsec fim a fim. 
Modo Túnel: 
Transporte: Modo Transporte: 
16 
Protocolos 
 AH – Authentication Header (Protocolo de 
autenticação de cabeçalho); 
 
 ESP – Encapsulation Security Payload 
(Protocolo de Segurança de 
Encapsulamento da Carga útil); 
 
 Ambos fazem o acordo de segurança (SA) 
 
17 
AH - Autenticação de 
Cabeçalho 
 Oferece: 
Autenticação da fonte; 
 Integridade de dados. 
 Sem Criptografia. 
 Adiciona um campo ao datagrama IP; 
 RFC 2402. 
 
18 
“O cabeçalho AH não permite criptografia dos dados; 
portanto, ele é útil principalmente quando a verificação da 
integridade é necessária, mas não o sigilo.” 
[TANENBAUM, Redes de Computador, P581, PDF] 
Exemplo de integridade: 
Evitar que um intruso falsifique um pacote, neste caso, seria 
possível ler mas não alterar. 
Protocolo AH 
19 
ESP – Protocolo de Segurança de 
Encapsulamento de Carga Útil 
 Oferece: 
Autenticação da fonte; 
 Integridade de dados. 
Com Criptografia. 
 Mais complexo, portanto exige mais 
processamento; 
 RFC 2406. 
 
20 
ESP – Protocolo de Segurança de 
Encapsulamento de Carga Útil 
 Datagrama: 
 Modo de transporte: 
 
 
 
 
 Modo Túnel: 
21 
AH vs ESP 
Considerando que a ESP pode fazer tudo 
que o AH pode fazer e muito mais, além de 
ser mais eficiente durante a inicialização, 
surge a questão: 
 
Afinal, qual e a necessidade do AH? 
22 
AH vs ESP 
 “A resposta é principalmente histórica. 
No inicio, o AH cuidava apenas da 
integridade, enquanto o ESP tratava do 
sigilo. Mais tarde, a integridade foi 
acrescentada no ESP, mas as pessoas que 
projetaram o AH não queriam deixa-lo 
morrer depois de tanto trabalho. É provável 
que o AH fique defasado no futuro.” 
 
[TANENBAUM, Redes de Computador, P581, PDF] 
 
23 
Referências Bibliográficas 
KUROSE, J. F. ; ROSS, K. W.; Redes de Computadores e 
a Internet. Pearson Education, 2003. 
TANENBAUM, A. S. , Redes de Computadores, Editora 
Campus, 2003. 
http://www.javvin.com/protocolESP.html; 
http://www.cert-rs.tche.br/docs_html/ipsec.html; 
http://www.rnp.br/newsgen/9907/ipsec3.html; 
http://www.ietf.org/rfc/rfc2402.txt; 
http://www.ietf.org/rfc/rfc2406.txt

Outros materiais