Esta é uma pré-visualização de arquivo. Entre para ver o arquivo original
Faculdade Estácio de Sá MBA em Segurança da Informação IPSec Aluno: Naasson Mizael Factum dos Santos Professor Dr.: SAMPAIO, Paulo Nazareno Maia; SAMPAIO, Paulo Salvador -BA Setembro / 2020 Faculdade Estácio de Sá MBA em Segurança da Informação pág. 2 Sumário 1 - INTRODUÇÃO ............................................................................................................................... 3 2 - IPSEC ............................................................................................................................................. 4 2.1 – Protocolos de Segurança ....................................................................................................... 4 2.2 – Propriedades de segurança ................................................................................................... 4 2.3 – Datagramas IP .......................................................................................................................... 5 2.4 – Implementações do IPSec ...................................................................................................... 5 2.5 – Protocolos Criptográficos ...................................................................................................... 6 2.6 – Arquitetura do IPSec ............................................................................................................... 6 2.7 – Gerenciamento de Chaves ..................................................................................................... 7 2.8 – Aplicações de VPN com IPSec .............................................................................................. 9 3 – Conclusão ..................................................................................................................................... 9 4 – REFERÊNCIAS ........................................................................................................................... 10 Faculdade Estácio de Sá MBA em Segurança da Informação pág. 3 1 - INTRODUÇÃO A utilização da internet vem crescendo a cada segundo que se passa, comercialmente nem se fala, a cada dia o número de compras, transferências de arquivos, dinheiro é cada vez mais necessário que a rede tenha segurança. Mais como fazer esta segurança? Usando métodos de proteção como firewall, antivírus, segurança no acesso web com Securete Socket Layer (SSL) – (DIERKS; ALLEN, 1999). FARREL, 2005 (diz na página 484), que a melhor alternativa para segurança em nível de aplicação é fornecida na camada de rede, onde os pacotes IP e cabeçalho são protegidos. O IPSec é a base da segurança em nível de rede. Ele é usado para autenticar o emissor das mensagens, verificar se os dados da mensagem não foram alterados e para ocultar informações de pessoas não autorizadas. Tendo sua segurança incorporada ao IPV6, utilizando as extensões AH e ESP para funcionamento, sua criptografia e autenticação de pacotes são feitas na camada de rede a qual fornece uma solução de segurança fim-a-fim, garantindo a integridade, confidencialidade e autenticidade dos dados. No IPV6 o suporte é obrigatório, já com seus principais elementos integrados, facilitando sua utilização. No IPV4 ele foi adaptado para funcionar, sendo opcional a sua utilização. Faculdade Estácio de Sá MBA em Segurança da Informação pág. 4 2 - IPSEC Sendo uma extensão do protocolo IP que visa a ser o método padrão para o fornecimento de privacidade do usuário aumentando a confiabilidade das informações fornecidas pelo usuário. Integridade dos dados que garante o conteúdo que chegou ao seu destino seja o mesmo de origem e autenticidade das informações ou prevenção de identity spoofing método que garante que uma pessoa é quem diz ser quando se transferir informações através de rede IP pela Internet. Fig – 1 Fonte: FARREL (2005 p 488) A imagem 1 demonstra uma solução de segurança fim-a-fim que garante a integridade, confidencialidade e autenticidade dos dados 2.1 – Protocolos de Segurança Os primeiros protocolos de segurança foram publicados em 1995 nas RFC1825 à RFC1829 (Request for comment – RFC), protocolos estes que estabelecem fundamentos da arquitetura do IPSec, estes protocolos foram substituídos pelas RFC2401 à RFC2406, vale salientar que estes previam o uso de dois tipos de cabeçalhos para serem utilizados no datagrama IP. 2.2 – Propriedades de segurança A propriedade de segurança baseá-se nos três pilares da SI (Segurança da Informação: I. Confidencialidade: Processo que objetiva manter os dados escondidos de pessoas não autorizadas. (RICCI,2007). Faculdade Estácio de Sá MBA em Segurança da Informação pág. 5 II. Integridade: Garantir que os dados transmitidos não tenham sido alterados durante sua transmissão de um ponto para outro. (RICCI, 2007) III. Autenticidade: Garante a prova da identidade dos objetos, faz com que usuários ou sistemas provem que são reais ou seja que realmente quem alegam ser. (RICCI, 2007). Quando o modo ESP do IPSec é utilizado, é garantido a confidencialidade na transmissão dos dados. O modo AH garante a autenticidade e integridade. 2.3 – Datagramas IP Foram definidos dois cabeçalhos para o IPSec, o de autenticação (AH) e o de encapsulamento de segurança de carga útil (ESP), lida com a criptografia do conteúdo do pacote. IpSec compatível com IPV6, o desenvolvimento foi feito paralelo ao do IPV6. Fig – 2 Figura 2 demonstra o cabeçalho no IPV4 e IPV6. 2.4 – Implementações do IPSec As aplicações atuais que utilizam o IPSec teve que incluir pilhas especiais. À que outras redes mudarem para o IPV6, a necessidade de se utilizar pilhas compatíveis com o IPSec será menor. Existem muitas maneiras de implementação, desde servidores, roteadores e até firewalls. Os mais utilizados são: I. Acesso ao código fonte onde são implementados em servidores e gateways de segurança. II. Bump-in-the-stack (bits), o ipsec já vem implementado sob a pilha tcp/ip, entre a camada IP nativa, e o drive de rede local existente. Faculdade Estácio de Sá MBA em Segurança da Informação pág. 6 Este é o tipo ideal para sistemas legados pois é usualmente empregado em servidores. III. Bump-in-the-wire(BITW), quando se faz uso de dispositivo físico dedicado para criptografia em sistemas militares e comerciais dedicados. Usado em Servidores e Gateway. Quando implementado em um único servidor ele é análogo ao BITS, quando implementado em roteadores ou frewall o memo opera como gateway de segurança. 2.5 – Protocolos Criptográficos O IPSec foi construído baseado em determinados padrões de criptografia para prover confidencialidade, integridade e autenticidade. I. Protocolo Diffie-Hellman – usado para troca de senha secreta entre duas partes quaisquer pela rede publica; II. Criptografia de chave pública para assinar trocas de Diffie-Hellman, esta garante a identidade das partes e evita ataque conhecido como “homem do meio”. III. DES, 3DES e outros algoritmos para criptografia dos dados IV. HASH – algorítimo de resumo digital, usado para autenticação dos pacotes como HMAC, MD5 e SHA-1 V. Certificados digitais para validação de chaves públicas. 2.6 – Arquitetura do IPSec Existem duas formas distintas de utilizar o IPSec, Modo Túnel e modo Transporte: No modo de tunelamento (VPN) é protegido o pacote IP inteiro, todo pacote é encapsulado dentro de outro pacote IP, após isto é criado um cabeçalho IP externo, que fica visível, tornando possível a ligação entre o emissor com o receptor do túnel. Fig – 3 Fonte: NIC.BR(2009) Faculdade Estácio de Sá MBA em Segurança da Informação pág. 7 Observa-se na figura 3, que o cabeçalho IP e dados foram encapsulados dentro de outro cabeçalho. Criando um novo cabeçalho externo para comunicação com outros dispositivos do túnel. No modo de transporte o emissor e receptor da comunicação segura necessitam de suporte ao IPSec. Neste modo mantém-se original, protegendo apenas os cabeçalhos superiores, pois o cabeçalho IPSec é adicionado imediatamente após o Cabeçalho IP, e antes dos cabeçalhos dos protocolos das camadas superiores, conforme Figura 4. Fig – 4 Fonte: NIC.BR(2009) 2.7 – Gerenciamento de Chaves O gerenciamento de chaves pelo IPSec pode ser manual ou automático dependendo do número de sites conectados, tendo como protocolo padrão para o gerenciamento automático de chaves o IKE (Internet Key Management), combinanção do ISAKMP (Internet Security Association and Key Management Protocol) eu protocolo Oakley. O IKE é útilizado para como moldura para prover os serviços de autenticação e permuta de chaves e o ISAKMP, decreve os vários odos de troca de chaves de criptografia. Para o estabelecimento de uma associação segura IKE, o modo que inicia a negociação deve propor os seguintes itens: I. Especificação da função pseudo randômia para fazer o hash de certos valores durante a troca de chaves, para verificação. Se nada for especificado, o padrão é a versão HMAC. II. Um método de autenticação para assinar o hash III. Informação sobre qual grupo a troca Diffie-Helman deve ser feita IV. O algoritmo de Criptografia para proteger os dados V. Um algoritmo de hash para assinatura digital Faculdade Estácio de Sá MBA em Segurança da Informação pág. 8 A figura abaixo demonstra esquematicamente os elementos IKE e IPSec, com as funções de chaves providas por eles. Fig – 5 Fonte: Dêner L. Martins SKIP é mais um esquema para gerenciamento de chaves (Simple Key Managemente for Ip), utiliza chaves orientadas a pacotes e não orientadas a sessão, onde a comunicação em linha com os pacotes, o pacote não faz parte do padrão em uso pelo Grupo de Trabalho IPSec. O uso de certificados digitais é outro ponto forte da tecnologia VPN. Muitos fornecedores de certificados digitais usam por padrão X,509v3 para uso em VPN, sendo sua distribuição feita por intermédio de programas clientes e servidores web com conectores próprios para este dim. A autenticação das partes é feita com este certificado digital. Outro serviço existente para ajudar no gerenciamento das chaves públicas e distribuidas das CRLs (Certificate Revocation Access Protocol). Faculdade Estácio de Sá MBA em Segurança da Informação pág. 9 2.8 – Aplicações de VPN com IPSec O IPSec prover capacidade para garantir a segurança nas comunicações entre redes, torna-se atraente para várias aplicações. As VPNs têm sido utilizadas para conectividade entre parceiros de negócios (extranet), acesso remoto seguro, criação de sub-redes virtuais entre matriz e filical, fortalecimento do comércio eletrônico de modo geral. Na figura acima temos um claro exemplo de vpn, onde pode-se observar um tunel entre dois gateways de segurança de duas empresas fazendo uma Extranet, ou ainda entre clientes remoto e o gateway de segurança para acessar a Internet corporativa. 3 – Conclusão O IPSec possui como vantagem a sua flexibilidade quanto ao uso, pois ele pode residir em servidores, clientes móveis ou gateways de segurança (Firewalls). Caso seja necessário estabelecer a identidade de qualquer conexão basta instalar o IPSec em todos os equipamentos, além de as VPNs oferecerem QoS (Quality of Service), onde as bandas de dados pode ser alocada para determinado tipo de tráfego. O uso do IPSec, traz vantagens como: diminuição do número de linhas entre empresa e filial para acesso a internet e de comunicação direta entre as empresas e suas filiais. Faculdade Estácio de Sá MBA em Segurança da Informação pág. 10 4 – REFERÊNCIAS BASSO, CRISTINA . Implementação de IPSec integrado com o IPv6. <http://repositorio.roca.utfpr.edu.br/jspui/bitstream/1/198/1/PB_COADS_2011_1_07 .pdf> Acesso em setembro 2020. MARTINS, DÊNER LIMA FERNANDES. Redes privadas virtuais com IPSec. <https://cic.unb.br/~rezende/trabs/vpn.pdf> Acesso em setembro 2020. http://repositorio.roca.utfpr.edu.br/jspui/bitstream/1/198/1/PB_COADS_2011_1_07.pdf http://repositorio.roca.utfpr.edu.br/jspui/bitstream/1/198/1/PB_COADS_2011_1_07.pdf