Segurança de Redes de Computadores - Aula 13 VPN II

Prévia do material em texto

AULA 13: VPN II 
Segurança de redes de computadores 
SEGURANÇA DE REDES DE COMPUTADORES 
Aula 13: VPN II 
AULA 13: VPN II 
Segurança de redes de computadores 
VPN com IPSec 
• Uma rede VPN pode utilizar o padrão denominado IPSec, criado pelo IETF (Internet 
Engineering Task Force), o que torna todo o tráfego de informação, nesse túnel, seguro. 
AULA 13: VPN II 
Segurança de redes de computadores 
IP Sec - IP seguro 
• Padrão aberto baseado em RFC (IETF). 
o Comunicação segura em camada 3 (IPv4 e IPv6); 
o Provê recursos de segurança sobre redes IP: 
 Autenticação, Integridade e Confidencialidade 
• Dois modos de funcionamento: 
o Modo Transporte; 
o Modo Túnel. 
• Dois Protocolos (Mecanismos) 
o IPsec ESP: IP Encapsulating Security Payload (50); 
o IPsec AH: IP Autentication Header (51). 
AULA 13: VPN II 
Segurança de redes de computadores 
Estrutura geral do IPsec 
Enlace 
IP/IPsec(AH,ESP) 
Transporte (TCP/UDP) 
Sockets 
Aplicação 
Protocolo Aplicação 
IKE 
 
Base de 
SAs 
Base de 
Políticas 
consulta refere 
consulta 
Solicita criação 
do SA 
Administrador 
configura 
AULA 13: VPN II 
Segurança de redes de computadores 
Modos de utilização do IPsec 
• Modo transporte 
o Garante a segurança apenas dos dados provenientes das camadas superiores; 
o Utilizado geralmente para comunicação "fim a fim" entre computadores. 
• Modo tunel 
o Fornece segurança também para a camada IP; 
o Utilizado geralmente para comunicação entre roteadores. 
AULA 13: VPN II 
Segurança de redes de computadores 
Modo túnel e transporte 
INTERNET 
 
Conexão IPsec em modo Transporte 
INTERNET 
 
 
Conexão IPsec em modo Túnel 
AULA 13: VPN II 
Segurança de redes de computadores 
Modos de utilização do IPsec 
HOST A HOST 
HOST A REDE 
REDE A REDE 
Rede 
insegura 
Rede 
insegura 
Rede 
insegura 
AULA 13: VPN II 
Segurança de redes de computadores 
Modos de utilização do IPsec 
AULA 13: VPN II 
Segurança de redes de computadores 
Tunelamento = VPN 
• Tunelar: Significa colocar as estruturas de dados, de um protocolo da mesma camada, do modelo OSI, 
dentro do outro. 
Existem dois tipos de Tunelamento: 
o Camada 3: Transporta apenas pacotes IP; 
o Camada 2: Permite tranportar outros protocolos de rede: IP, NetBEUI, IPX. 
TUNELAMENTO DA CAMADA 3 
TUNELAMENTO DA CAMADA 2 
CABEÇALHO 
QUADRO 
CABEÇALHO 
PACOTE 
DADOS CRC 
CABEÇALHO 
QUADRO 
CABEÇALHO IP CABEÇALHO IP DADOS CRC 
CABEÇALHO 
QUADRO 
CABEÇALHO IP 
CABEÇALHO 
CAMADA 2 
CABEÇALHO 
CAMADA 3 
DADOS CRC 
QUADRO IP NORMAL 
AULA 13: VPN II 
Segurança de redes de computadores 
Tunelamento IPsec 
• Os endereços IP externos correspondem às extremidades do túnel, e os endereços IP internos 
correspondem aos hosts. 
INTERNET 
SERVIDOR 
B 
SERVIDOR 
C 
SERVIDOR 
A 
AULA 13: VPN II 
Segurança de redes de computadores 
Protocolos para VPN 
• L2F: 
o Layer 2 Fowarding Protocol (Cisco); 
o Não é mais utilizado. 
• PPTP: 
o Tunelamento de Camada 2; 
o Point-to-Point tunneling Protocol. 
• L2TP: 
o Tunelamento de Camada 2; 
o Level 2 Tunneling Protocol (L2TP); 
o Combinação do L2F e PPTP. 
• IPSec: 
o Tunelamento de Camada 3; 
o IETF (Internet Engineering Task Force). 
AULA 13: VPN II 
Segurança de redes de computadores 
Quadro comparativo 
AULA 13: VPN II 
Segurança de redes de computadores 
Protocolos para VPN 
Protocolo Tunelamento Criptografia Autenticação Aplicação Típica 
PPTP Camada 2 Sim Sim Host - Host 
Host - Rede 
L2TP Camada 2 Não Sim Host - Rede (iniciado 
pelo NAS) 
IPsec Camada 3 Sim Sim Host - Host 
Host - Rede 
Rede - Rede 
IPsec e 
L2TP 
Camada 2 Sim Sim Host - Host 
Host - Rede 
Rede - Rede 
AULA 13: VPN II 
Segurança de redes de computadores 
Tipos de IPSec 
• IP Autentication Header (AH) 
o Protocolo 51; 
o Oferece recursos de: 
 Autenticação; 
 Integridade. 
• IP Encapsulating Security Payload (ESP) 
o Protocolo 50; 
o Oferece recursos de: 
 Confidencialidade; 
 Autenticação; 
 Integridade. 
AULA 13: VPN II 
Segurança de redes de computadores 
2) Protocolo AH 
• Definido pelo protocolo IP tipo 51; 
• Utilizando para criar canais seguros com autenticação e integridade, mas sem criptografia; 
• Permite incluir uma “assinatura digital” em cada pacote transportado; 
• Protege a comunicação, pois atacantes não conseguem falsificar pacotes assinados. 
AULA 13: VPN II 
Segurança de redes de computadores 
AH e Modo Túnel e Modo Transporte 
AULA 13: VPN II 
Segurança de redes de computadores 
Authentication Header 
• Provê serviços de autenticação e Integridade de Pacotes. 
1 byte 1 byte 1 byte 1 byte 
Next Header Length reserved reserved 
SPI: Security Parameter Index 
Sequence Number 
Authentication 
Data (ICV: Integrity 
Check Value) 
 
Campo de tamanho variável, depende do protocolo de autenticação utilizado. 
AULA 13: VPN II 
Segurança de redes de computadores 
Campos do IPsec AH 
• Next Header: 
o código do protocolo encapsulado pelo IPsec, de acordo com os códigos definidos pela 
IANA (UDP, TCP etc.). 
• Length: 
o comprimento do cabeçalho em múltiplos de 32. 
• Security Parameter Index: 
o identificador de 32 bits, com a SA compartilhada pelo transmissor e pelo receptor. 
• Authentication Data: 
o código de verificação de integridade (ICV) de tamanho variável, depende do protocolo 
utilizado. 
AULA 13: VPN II 
Segurança de redes de computadores 
Authentication Data 
• Para enviar um pacote: 
1. O transmissor constrói um pacote com todos os campos IP e protocolos das camadas 
superiores; 
2. Ele substitui todos os campos que mudam ao longo da transmissão com 0s (por 
exemplo, o TTL); 
3. O pacote é completado com 0s para se tornar múltiplo de 16 bits; 
4. Um checksum criptográfico é computado para concatenação: 
– Algoritmos: HMAC-MD5 ou HMAC-SHA-1; 
– MAC: Message Authentication Code. 
AULA 13: VPN II 
Segurança de redes de computadores 
Autenticação 
• Para receber um pacote: 
1. O receptor utiliza o SPI para determinar qual o algoritmo a ser utilizado para validar o pacote recebido; 
2. O receptor substitui os campos mutáveis por “0” e calcula o checksum criptográfico do pacote; 
3. Se ele concordar com o checksum contido, no cabeçalho do pacote de autorização, ele então é aceito. 
AULA 13: VPN II 
Segurança de redes de computadores 
HMAC 
• h = função de hashing (MD5 ou SHA1) 
• k = chave secreta 
• ipad = 0x363636 ... 3636 
• opad = 0x5c5c5 ... c5c5c 
AULA 13: VPN II 
Segurança de redes de computadores 
Security Association 
• Uma vez definida uma política comum a ambos os computadores, uma associação de 
segurança (SA) é criada para “lembrar” as condições de comunicação entre os hosts; 
• Isso evita que as políticas sejam revistas pelo IPsec a cada novo pacote recebido ou 
transmitido; 
• Cada pacote IPsec identifica a associação de segurança ao qual é relacionado pelo campo SPI 
contido tanto no IPsec AH quanto no IPsec ESP. 
AULA 13: VPN II 
Segurança de redes de computadores 
Associação de segurança 
• SA: Associação de Segurança 
o Contrato estabelecido após uma negociação que estabelece como uma comunicação 
IPsec deve ser realizada. 
 Algoritmo de Autenticaçã/Criptografia; 
 Chave de Sessão. 
• SPI: Secure Parameter Index 
 Número inteiro (32 bits) que identifica um SA; 
 É transmitido junto com os pacotes IPsec para permitir ao destinatário 
validar/decriptografaros pacotes recebidos. 
AULA 13: VPN II 
Segurança de redes de computadores 
Security Association (SA) 
• Dois computadores podem possuir um conjunto amplo de políticas para transmissão e recepção de pacotes; 
• É necessário encontrar uma política que seja comum ao transmissor e ao receptor. 
AULA 13: VPN II 
Segurança de redes de computadores 
Campos do IPsec AH 
• Sequence Number: 
o Número incremental que começa a contagem quando a SA é criada; 
o Permite que apenas 232-1 pacotes sejam transmitidos na mesma SA. Após esse número, uma nova SA 
deve ser criada. 
AULA 13: VPN II 
Segurança de redes de computadores 
Transmissão dos dados 
AULA 13: VPN II 
Segurança de redes de computadores 
AH Modo Túnel e Transporte 
AULA 13: VPN II 
Segurança de redes de computadores 
3) Protocolo ESP 
• Definido pelo protocolo IP tipo 50; 
• Utilizando para criar canais seguros com autenticação, integridade e criptografia; 
• Além da criptografia, permite incluir uma “assinatura digital” em cada pacote transportado; 
• Protege a comunicação, pois atacantes não conseguem falsificar pacotes assinados e 
criptografados. 
AULA 13: VPN II 
Segurança de redes de computadores 
ESP IPSec : Túnel e Transporte 
AULA 13: VPN II 
Segurança de redes de computadores 
Encrypted Security Payload Header 
• ESP provê recursos de autenticação, integridade e criptografia de pacotes. 
AULA 13: VPN II 
Segurança de redes de computadores 
Campos do IPsec ESP 
• Header: 
o SPI e Sequence Number: Mesmas funções do AH; 
o O algoritmo de criptografia pode ser qualquer, mas o DES Cipher-Block Chaining é o 
default. 
• Trailler: 
o Torna os dados múltiplos de um número inteiro, conforme requerido pelo algoritmo de 
criptografia; 
o O trailler também é criptografado. 
• Auth: 
o ICV (Integrity Check Value) calculado de forma idêntica ao cabeçalho AH. Este campo é 
opcional. 
AULA 13: VPN II 
Segurança de redes de computadores 
Transmissão dos dados 
AULA 13: VPN II 
Segurança de redes de computadores 
ESP Modo Túnel e Transporte 
AULA 13: VPN II 
Segurança de redes de computadores 
4) Configuração do IPsec 
• Cada dispositivo de rede (Host ou Gateway) possui uma política de segurança que orienta o 
uso de IPsec; 
• Uma política IPsec é formada por um conjunto de regras, muito semelhantes às regras de um 
firewall; 
• As políticas IPsec são definidas de maneira distinta para os pacotes transmitidos e para os 
pacotes recebidos. 
AULA 13: VPN II 
Segurança de redes de computadores 
Estrutura geral do IPsec 
AULA 13: VPN II 
Segurança de redes de computadores 
Políticas de segurança 
• Uma Política IPsec é formada por um conjunto de regras com o seguinte formato: 
o Se CONDIÇÃO satisfeita então executar AÇÃO da POLÍTICA 
• A CONDIÇÃO (Chamada de Filtro): 
o define quando uma regra de política deve ser tornar ativa. 
• A AÇÃO: 
o define o que deve ser feito quando a condição da regra for satisfeita. 
AULA 13: VPN II 
Segurança de redes de computadores 
Elementos para configuração do IPsec 
AULA 13: VPN II 
Segurança de redes de computadores 
Condição (lista de filtros) 
• Cada filtro define as condições em que uma política deve ser ativa. 
a) IP de origem e destino: 
– nome, IP ou sub-rede 
b) Tipo de protocolo 
• código IANA para TCP, UDP, ICMP etc. 
c) Portas de origem e destino 
• se TCP/UDP 
AULA 13: VPN II 
Segurança de redes de computadores 
Ação 
• A ação define o que deverá ser feito com o pacote recebido ou transmitido; 
• O IPsec define 3 ações: 
o repassar o pacote adiante sem tratamento 
 ação: bypass IPsec 
o rejeitar o pacote 
 ação discard 
o negociar IPsec 
 define um modo de comunicação incluindo as opções Túnel, Transporte, IPsec 
ESP e IPsec AH. 
AULA 13: VPN II 
Segurança de redes de computadores 
Ações IPsec na transmissão 
AULA 13: VPN II 
Segurança de redes de computadores 
Ações IPsec na recepção 
AULA 13: VPN II 
Segurança de redes de computadores 
Negociar IPsec 
• Se a ação for do tipo Negociar IPsec, deve-se definir: 
o Obrigatoriedade: 
 Facultativo: aceita comunicação insegura 
 (se o outro não suporta IPsec). 
 Obrigatório: aceita apenas comunicação segura. 
 (rejeita a comunicação se o outro não suportar IPsec) 
• Tipo de IPsec: 
o AH(hash) ou ESP(cripto,hash) 
• Modo Túnel ou Modo Transporte 
o Se modo túnel, especificar o IP do fim do túnel 
AULA 13: VPN II 
Segurança de redes de computadores 
Algoritmos IPsec 
• CRIPTOGRAFIA 
o MUST 
o MUST- 
o SHOULD+ 
o SHOULD 
o SHOULD NOT DES-CBC [RFC2405] (3) 
 
• AUTENTICAÇÃO 
o MUST 
o MUST 
o SHOULD+ 
o MAY 
• NULL (1) 
• TripleDES-CBC [RFC2451] 
o AES-CBC with 128-bit keys [RFC3602] AES-CTR [RFC3686] 
 
 
 
 
 
HMAC-SHA1-96 [RFC2404] NULL (1) 
AES-XCBC-MAC-96 [RFC3566] HMAC-MD5-96 [RFC2403] (2) 
AULA 13: VPN II 
Segurança de redes de computadores 
Implementação de políticas 
• Para que dois computadores "A" e "B" criem uma comunicação IPsec: 
o Computador A: 
 deve ter políticas IPsec para transmitir pacotes cujo endereço de destino é "B"; 
 deve ter políticas IPsec para receber pacotes cujo endereço de origem é "B". 
o Computador B: 
 deve ter políticas IPsec para transmitir pacotes cujo endereço de destino é "A"; 
 deve ter políticas IPsec para receber pacotes cujo endereço de origem é "A". 
AULA 13: VPN II 
Segurança de redes de computadores 
Observação: políticas com tunelamento 
• É necessário criar uma regra para enviar e outra para receber pacotes pelo túnel, em cada um dos 
gateways VPN. 
AULA 13: VPN II 
Segurança de redes de computadores 
Ordenamento dos regras 
• Uma política IPsec pode ter regras conflitantes, por exemplo: 
• Política ICMP 
o RegraSubRede: 
 Localhost de/para 10.26.128.0/24::ICMP negociar IPsec 
o RegraExceção: 
 Localhost de/para 10.26.128.17::ICMP passar 
• Existem duas abordagems para resolver esse caso: 
o As regras são avaliadas em ordem: a primeira ser satisfeita é utilizada (abordagem 
Intoto); 
o As regras são avaliadas da mais específica para a mais genérica, independente da ordem 
(abordagem Microsoft). 
AULA 13: VPN II 
Segurança de redes de computadores 
Priorização 
• Idealmente, as regras deveriam ser avaliadas de acordo com a granulariadade dos filtros: 
1. My IP Address; 
2. Specific IP Address defined; 
3. Specific IP Subnet; 
4. Any IP Address. 
• A mesma abordagem vale em relação às portas e aos protocolos: 
1. Specific Protocol/Port combination; 
2. Specific Protocol/Any Port; 
3. Any Protocol. 
– Nas implementações em que o ordenamento não é automático, cabe ao administrador da rede 
escolher a ordem. 
AULA 13: VPN II 
Segurança de redes de computadores 
Política Default 
• Assim como um firewall, também é possível estabelecer uma política default para o Ipsec; 
• A política default será aplicada quando as condições do pacote não forem satisfeitas por 
nenhuma das regras predefinidas; 
• A política default pode ser: 
o Bloquear (INTOTO); 
o Bypass IPsec (WINDOWS); 
o Negociar IPsec em vários modos: 
 IPsec ESP 3DES, SHA1; 
 IPsec ESP DES, MD5; 
 AH SHA1; 
 AH MD5. 
AULA 13: VPN II 
Segurança de redes de computadores 
Exemplo1: Proteção com AH 
AULA 13: VPN II 
Segurança de redes de computadores 
Exemplo 2: Proteção com ESP 
AULA 13: VPN II 
Segurança de redes de computadores 
6) IKE: Internet Key Exchange 
• O IPsec define um mecanismo que permite negociar as chaves de criptografia de forma 
automática;• A negociação de SA e o gerenciamento de chaves é implementado por mecanismos externos 
ao IPsec; 
• A única relação entre esses mecanismos externos e o IPsec é através do SPI (Secure Parameter 
Index); 
• O gerenciamento de chaves é implementado de forma automática pelo protocolo: 
– IKE: Internet Key Exchange Protocol 
AULA 13: VPN II 
Segurança de redes de computadores 
Princípios para criação das SA 
• Princípio: 
o Todo dispositivo que estabelece um SA deve ser previamente autenticado; 
o Autenticação de “peers” em uma comunicação Ipsec: 
 Através de segredos predefinidos; 
 Através do Kerberos; 
 Através de Certificados. 
o Negocia políticas de segurança; 
o Manipula a troca de chaves de sessão. 
AULA 13: VPN II 
Segurança de redes de computadores 
IKE 
• O protocolo IKE é implementado sobre UDP, e utiliza a porta padrão 500. 
AULA 13: VPN II 
Segurança de redes de computadores 
IPsec faz uma negociação em Duas Fases 
• FASE 1: Main Mode 
o O resultado da negociação da fase 1 é denominado "IKE Main Mode SA"; 
o A “IKE Main Mode SA” é utilizada para as futuras negociações de SA entre os peers: 
 A IKE SA tem um tempo de vida limitado por tempo e o número de IPsec SAs 
negociadas. 
• FASE 2: Quick Mode 
o O resultado da negociação da fase 2 é denominado “IPsec SA”; 
o O “IPsec SA” é utilizado para transmissão de dados: 
 A IKE SA tem um tempo de vida limitado por tempo e a quantidade de bytes 
trocados pela SA. 
AULA 13: VPN II 
Segurança de redes de computadores 
Resultado da negociação IKE 
• O resultado de uma negociação IKE é o estabelecimento de 3 SAs. 
 Uma IKE main mode SA e duas IPsec Sas; 
 A IKE main mode é bidirecional. 
 
• PEER1 [IP1] <-------- IKE main mode SA [IP1, IP2] -----> [IP2] PEER 2 
 
• PEER1 [IP1] ---------- IPsec SA [SPI=x] --------------------> [IP2] PEER 2 
 
• PEER1 [IP1] <-------- IPsec SA [SPI=y] ---------------------- [IP2] PEER 2 
AULA 13: VPN II 
Segurança de redes de computadores 
Perfect Forward Secrecy (PFS) 
• PFS determina se o material negociado para chave mestra pode ser reutilizado para calcular a 
chave de sessão; 
• Quando session key PFS é habilitado, uma nova troca de chaves Diffie-Hellman é utilizada para 
recalcular a chave de sessão; 
• O mecanismo PFS implica em uma nova renegociação “Main Mode” para cada negociação 
“Quick Mode”; 
• Dessa forma, essa opção só deve ser utilizada em ambiente muito hostis. 
AULA 13: VPN II 
Segurança de redes de computadores 
IKE = ISAKMP e OAKLEY 
• O IKE (RFC 2409) é uma combinação de dois protocolos definidos anteriormente: 
o OAKLEY (RFC 2412) 
 Protocolo de Troca de Chaves; 
 Utiliza o algoritmo Diffie-Hellman. 
o ISAKMP (RFC 2408) 
 Internet Security Association and Key Management Protocol; 
 Conjunto de mensagens para autenticar os peers e definir os parâmetros da 
associação de segurança. 
AULA 13: VPN II 
Segurança de redes de computadores 
Negociação Diffie-Hellman 
• O IPsec utiliza a negociação Diffie-Hellman para criar uma chave de sessão (simétrica) entre os 
hosts da comunicação segura; 
• O protocolo Diffie-Hellman é composto de três fases: 
o Fase 1: 
 Cada host gera uma chave pública a partir de parâmetros pré- combinados 
(Diffie-Helman parameters) e um número aleatório secreto. 
o Fase 2: 
 Os hosts trocam as chaves públicas. 
o Fase 3: 
 A chave de sessão é calculada a partir das chaves públicas e dos números 
aleatórios secretos. 
AULA 13: VPN II 
Segurança de redes de computadores 
Algoritmo Diffie-Hellman 
• 1) Cada host obtém os parâmetros "Diffie-Hellman“ (podem ser hard-coded). 
o Um número primo 'p' (> 2) e uma base g (numero inteiro < p). 
• 2) Cada host gera um número privado X < (p – 1). 
• 3) Cada host gera sua chave pública Y: 
o Y = g^X % p 
• 4) Os hosts trocam as chaves públicas e calculam a chave secreta Z. 
o Zb = Ya^Xb % p e Za=Yb ^Xa % p 
• Matematicamente ,Z é idêntica para ambos os hosts: Za = Zb. 
AULA 13: VPN II 
Segurança de redes de computadores 
Diffie-HellMan 
AULA 13: VPN II 
Segurança de redes de computadores 
ISAKMP 
• O ISAKMP permite que os peers definam todos os parâmetros da associação de segurança e 
façam a troca de chaves; 
• Os parâmetros negociados são: 
o modo de autenticação; 
o SPI; 
o modo túnel ou transporte; 
o modo ESP ou AH; 
o protocolos de assinatura; 
o protocolos de criptografia. 
AULA 13: VPN II 
Segurança de redes de computadores 
Fases de criação da SA 
• FASE 1: Cria o IKE Main Mode SA 
• 1. Policy Negotiation, determina: 
o O Algoritmo de criptografia: DES, 3DES, 40bitDES, ou nenhum; 
o O Algoritmo de integridade: MD5 or SHA; 
o O Método de autenticação: Public Key Certificate, preshared key, or Kerberos V5; 
o O grupo Diffie-Hellman. 
• 2. Key Information Exchange 
o Utiliza Diffie-Helman para trocar um segredo compartilhado. 
• 3. Authentication 
o Utiliza um dos mecanismos da fase 1 para autenticar o usuário. 
AULA 13: VPN II 
Segurança de redes de computadores 
Fases de criação da SA 
• FASE 2: Cria a IPsec SA 
o Define o SA que será realmente usado para comunicação segura. 
• 1. Policy Negotiation 
o Determina: 
 O protocolo IPsec: AH, ESP; 
 O Algoritmo de Integridade: MD5, SHA; 
 O Algoritmo de Criptografia: DES, 3DES, 40bitDES, or none. 
• O SA e as chaves são passadas para o driver IPsec, junto com o SPI. 
AULA 13: VPN II 
Segurança de redes de computadores 
Modos ISAKMP 
• O ISAKMP define quatro modos de operação: 
o Troca Básica 
 Consiste de 4 mensagens; 
 A troca de chaves é feita com as identidades; 
 Não protege a identidade. 
o Troca com Proteção de Identidade 
 Consiste de 6 mensagens; 
 Protege a Identidade. 
• Troca somente Autenticação 
 Não calcula chaves; 
 Não protege a Identidade. 
o Troca Agressiva 
 Consiste de 3 mensagens; 
 Não protege a Identidade. 
AULA 13: VPN II 
Segurança de redes de computadores 
Negociação ISAKMP (Fase 1) 
modo básico 
AULA 13: VPN II 
Segurança de redes de computadores 
Negociação ISAKMP (Fase 1) 
com proteção de identidade 
AULA 13: VPN II 
Segurança de redes de computadores 
Negociação ISAKMP (Fase 1) 
modo agressivo 
AULA 13: VPN II 
Segurança de redes de computadores 
Negociação ISAKMP (Fase 2) 
modo rápido (quick mode) 
AULA 13: VPN II 
Segurança de redes de computadores 
7) Combinação de SA (SA bundle) 
• As funcionalidades oferecidas nos modos Túnel, Transporte AH e ESP não são idênticas; 
• Muita vezes são necessárias mais de uma SA para satisfazer os requisitos de segurança de uma 
comunicação segura. 
AULA 13: VPN II 
Segurança de redes de computadores 
Tunelamento múltiplo (Iterate Tunneling) 
• IPsec permite criar várias camadas de tunelamento terminando em end points diferentes. 
AULA 13: VPN II 
Segurança de redes de computadores 
Combinação de SAs 
• IPsec permite criar várias camadas de tunelamento terminando em end points diferentes. 
AULA 13: VPN II 
Segurança de redes de computadores 
8) Configuração do Firewall 
• Os firewalls devem ser configurados para: 
• 1) Liberar a porta usada pelo IKE para negociação do IPsec: 
o IKE usa a porta UDP 500. 
• 2) Liberar os protocolos IPsec: 
o ESP: Protocolo IP tipo 50; 
o AH: Protocolo IP tipo 51. 
AULA 13: VPN II 
Segurança de redes de computadores 
NAT Traversal (NAT-T) 
• Em seu modo básico, o IPsec não pode atravessar roteadores que implementam NAT, pois as 
portas TCP e UDP podem estar criptografadas; 
• Para resolver esse problema, um mecanismo denominado“Traversal NAT” encapsula os 
pacotes IPsec em UDP; 
• No caso do IPsec, o encapsula mento é feito na porta UDP 4500, a qual também deve ser 
liberada no firewall. 
AULA 13: VPN II 
Segurança de redes de computadores 
9) IPsec e L2TP 
• O IPsec realiza apenas tunelamento em camada 3; 
• Isto implica que apenas protocolos da pilha TCP/IP podem ser transportados pelo IPsec; 
• Uma técnica comum consiste em combinar o L2TP e o IPsec para criar tuneis de camada 2, 
capazes de transportar qualquer tipo de protocolo. 
AULA 13: VPN II 
Segurança de redes de computadores 
Tunelamento L2TP com IPsec 
• L2TP e IPsec podem ser combinados para implementar um mecanismo completo de VPN para 
procotolos de rede diferentes do IP, como IPx e NetBEUI. 
AULA 13: VPN II 
Segurança de redes de computadores 
Padrões relacionados ao IPsec 
• RFC 2401 : 
o Security Architecture for the Internet Protocol 
• RFC 2402: 
o IP Authentication Header 
• RFC 2403: 
o The Use of HMAC-MD5-96 within ESP and AH 
• RFC 2404: 
o The Use of HMAC-SHA-1-96 within ESP and AH 
• RFC 2405: 
o The ESP DES-CBC Cipher Algorithm With Explicit IV 
AULA 13: VPN II 
Segurança de redes de computadores 
Padrões relacionados ao IPsec 
• RFC 2406: 
o IP Encapsulating Security Payload (ESP) 
• RFC 2407: 
o The Internet IP Security Domain of Interpretation for ISAKMP 
• RFC 2408: 
o Internet Security Association and Key Management Protocol (ISAKMP) 
• RFC 2409: 
o The Internet Key Exchange (IKE) 
AULA 13: VPN II 
Segurança de redes de computadores 
Conclusão 
• IPsec é uma extensão de segurança para o protocolo IP definido pelo IETF, que permite criar 
políticas que servem tanto para intranets quanto para extranets; 
• IPsec define mecanismos que são padronizados tanto para IPv4 (IPsec é facultativo) quanto 
para IPv6 (neste caso, IPsec é mandatório); 
• Existem críticas sobre o modo atual de operação do IKE em dua fases, bem como o uso do 
protocolo AH. Esses temas são sujeitos a revisões futuras 
AULA 13: VPN II 
Segurança de redes de computadores 
VAMOS AOS PRÓXIMOS PASSOS? 
 
 
Criptografia I. 
AVANCE PARA FINALIZAR 
A APRESENTAÇÃO.