IPSEc-Naasson

•

ESTÁCIO

Sorveteia Valegelado

27/09/2020

Esta é uma pré-visualização de arquivo. Entre para ver o arquivo original

Faculdade Estácio de Sá
MBA em Segurança da Informação

IPSec

Aluno: Naasson Mizael Factum dos Santos
Professor Dr.: SAMPAIO, Paulo Nazareno Maia; SAMPAIO, Paulo

Salvador -BA
Setembro / 2020
Faculdade Estácio de Sá
MBA em Segurança da Informação

pág. 2

Sumário
1 - INTRODUÇÃO ............................................................................................................................... 3
2 - IPSEC ............................................................................................................................................. 4
2.1 – Protocolos de Segurança ....................................................................................................... 4
2.2 – Propriedades de segurança ................................................................................................... 4
2.3 – Datagramas IP .......................................................................................................................... 5
2.4 – Implementações do IPSec ...................................................................................................... 5
2.5 – Protocolos Criptográficos ...................................................................................................... 6
2.6 – Arquitetura do IPSec ............................................................................................................... 6
2.7 – Gerenciamento de Chaves ..................................................................................................... 7
2.8 – Aplicações de VPN com IPSec .............................................................................................. 9
3 – Conclusão ..................................................................................................................................... 9
4 – REFERÊNCIAS ........................................................................................................................... 10

Faculdade Estácio de Sá
MBA em Segurança da Informação

pág. 3

1 - INTRODUÇÃO

A utilização da internet vem crescendo a cada segundo que se passa,
comercialmente nem se fala, a cada dia o número de compras, transferências de
arquivos, dinheiro é cada vez mais necessário que a rede tenha segurança. Mais
como fazer esta segurança? Usando métodos de proteção como firewall,
antivírus, segurança no acesso web com Securete Socket Layer (SSL) –
(DIERKS; ALLEN, 1999).
FARREL, 2005 (diz na página 484), que a melhor alternativa para
segurança em nível de aplicação é fornecida na camada de rede, onde os
pacotes IP e cabeçalho são protegidos.
O IPSec é a base da segurança em nível de rede. Ele é usado para
autenticar o emissor das mensagens, verificar se os dados da mensagem não
foram alterados e para ocultar informações de pessoas não autorizadas.
Tendo sua segurança incorporada ao IPV6, utilizando as extensões AH e
ESP para funcionamento, sua criptografia e autenticação de pacotes são feitas
na camada de rede a qual fornece uma solução de segurança fim-a-fim,
garantindo a integridade, confidencialidade e autenticidade dos dados.
No IPV6 o suporte é obrigatório, já com seus principais elementos
integrados, facilitando sua utilização. No IPV4 ele foi adaptado para funcionar,
sendo opcional a sua utilização.

Faculdade Estácio de Sá
MBA em Segurança da Informação

pág. 4

2 - IPSEC

Sendo uma extensão do protocolo IP que visa a ser o método padrão para
o fornecimento de privacidade do usuário aumentando a confiabilidade das
informações fornecidas pelo usuário. Integridade dos dados que garante o
conteúdo que chegou ao seu destino seja o mesmo de origem e autenticidade
das informações ou prevenção de identity spoofing método que garante que uma
pessoa é quem diz ser quando se transferir informações através de rede IP pela
Internet.

Fig – 1
Fonte: FARREL (2005 p 488)

A imagem 1 demonstra uma solução de segurança fim-a-fim que garante
a integridade, confidencialidade e autenticidade dos dados

2.1 – Protocolos de Segurança
Os primeiros protocolos de segurança foram publicados em 1995 nas
RFC1825 à RFC1829 (Request for comment – RFC), protocolos estes que
estabelecem fundamentos da arquitetura do IPSec, estes protocolos foram
substituídos pelas RFC2401 à RFC2406, vale salientar que estes previam o uso
de dois tipos de cabeçalhos para serem utilizados no datagrama IP.

2.2 – Propriedades de segurança
A propriedade de segurança baseá-se nos três pilares da SI (Segurança
da Informação:
I. Confidencialidade: Processo que objetiva manter os dados
escondidos de pessoas não autorizadas. (RICCI,2007).
Faculdade Estácio de Sá
MBA em Segurança da Informação

pág. 5

II. Integridade: Garantir que os dados transmitidos não tenham
sido alterados durante sua transmissão de um ponto para outro. (RICCI,
2007)
III. Autenticidade: Garante a prova da identidade dos objetos,
faz com que usuários ou sistemas provem que são reais ou seja que
realmente quem alegam ser. (RICCI, 2007).
Quando o modo ESP do IPSec é utilizado, é garantido a confidencialidade
na transmissão dos dados. O modo AH garante a autenticidade e
integridade.

2.3 – Datagramas IP
Foram definidos dois cabeçalhos para o IPSec, o de autenticação (AH) e
o de encapsulamento de segurança de carga útil (ESP), lida com a criptografia
do conteúdo do pacote. IpSec compatível com IPV6, o desenvolvimento foi feito
paralelo ao do IPV6.

Fig – 2
Figura 2 demonstra o cabeçalho no IPV4 e IPV6.

2.4 – Implementações do IPSec
As aplicações atuais que utilizam o IPSec teve que incluir pilhas especiais.
À que outras redes mudarem para o IPV6, a necessidade de se utilizar pilhas
compatíveis com o IPSec será menor. Existem muitas maneiras de
implementação, desde servidores, roteadores e até firewalls. Os mais utilizados
são:
I. Acesso ao código fonte onde são implementados em
servidores e gateways de segurança.
II. Bump-in-the-stack (bits), o ipsec já vem implementado sob a
pilha tcp/ip, entre a camada IP nativa, e o drive de rede local existente.
Faculdade Estácio de Sá
MBA em Segurança da Informação

pág. 6

Este é o tipo ideal para sistemas legados pois é usualmente empregado
em servidores.
III. Bump-in-the-wire(BITW), quando se faz uso de dispositivo
físico dedicado para criptografia em sistemas militares e comerciais
dedicados. Usado em Servidores e Gateway. Quando implementado em
um único servidor ele é análogo ao BITS, quando implementado em
roteadores ou frewall o memo opera como gateway de segurança.

2.5 – Protocolos Criptográficos
O IPSec foi construído baseado em determinados padrões de criptografia
para prover confidencialidade, integridade e autenticidade.
I. Protocolo Diffie-Hellman – usado para troca de senha secreta entre duas
partes quaisquer pela rede publica;
II. Criptografia de chave pública para assinar trocas de Diffie-Hellman, esta
garante a identidade das partes e evita ataque conhecido como “homem
do meio”.
III. DES, 3DES e outros algoritmos para criptografia dos dados
IV. HASH – algorítimo de resumo digital, usado para autenticação dos
pacotes como HMAC, MD5 e SHA-1
V. Certificados digitais para validação de chaves públicas.

2.6 – Arquitetura do IPSec
Existem duas formas distintas de utilizar o IPSec, Modo Túnel e modo
Transporte:
No modo de tunelamento (VPN) é protegido o pacote IP inteiro, todo
pacote é encapsulado dentro de outro pacote IP, após isto é criado um cabeçalho
IP externo, que fica visível, tornando possível a ligação entre o emissor com o
receptor do túnel.
Fig – 3
Fonte: NIC.BR(2009)
Faculdade Estácio de Sá
MBA em Segurança da Informação

pág. 7

Observa-se na figura 3, que o cabeçalho IP e dados foram encapsulados
dentro de outro
cabeçalho. Criando um novo cabeçalho externo para
comunicação com outros dispositivos do túnel.

No modo de transporte o emissor e receptor da comunicação segura
necessitam de suporte ao IPSec. Neste modo mantém-se original, protegendo
apenas os cabeçalhos superiores, pois o cabeçalho IPSec é adicionado
imediatamente após o Cabeçalho IP, e antes dos cabeçalhos dos protocolos das
camadas superiores, conforme Figura 4.

Fig – 4
Fonte: NIC.BR(2009)

2.7 – Gerenciamento de Chaves
O gerenciamento de chaves pelo IPSec pode ser manual ou automático
dependendo do número de sites conectados, tendo como protocolo padrão para
o gerenciamento automático de chaves o IKE (Internet Key Management),
combinanção do ISAKMP (Internet Security Association and Key Management
Protocol) eu protocolo Oakley. O IKE é útilizado para como moldura para prover
os serviços de autenticação e permuta de chaves e o ISAKMP, decreve os vários
odos de troca de chaves de criptografia.
Para o estabelecimento de uma associação segura IKE, o modo que inicia
a negociação deve propor os seguintes itens:
I. Especificação da função pseudo randômia para fazer o hash
de certos valores durante a troca de chaves, para verificação. Se nada for
especificado, o padrão é a versão HMAC.
II. Um método de autenticação para assinar o hash
III. Informação sobre qual grupo a troca Diffie-Helman deve ser
feita
IV. O algoritmo de Criptografia para proteger os dados
V. Um algoritmo de hash para assinatura digital
Faculdade Estácio de Sá
MBA em Segurança da Informação

pág. 8

A figura abaixo demonstra esquematicamente os elementos IKE e IPSec, com
as funções de chaves providas por eles.

Fig – 5
Fonte: Dêner L. Martins

SKIP é mais um esquema para gerenciamento de chaves (Simple Key
Managemente for Ip), utiliza chaves orientadas a pacotes e não orientadas a
sessão, onde a comunicação em linha com os pacotes, o pacote não faz parte
do padrão em uso pelo Grupo de Trabalho IPSec.
O uso de certificados digitais é outro ponto forte da tecnologia VPN. Muitos
fornecedores de certificados digitais usam por padrão X,509v3 para uso em VPN,
sendo sua distribuição feita por intermédio de programas clientes e servidores
web com conectores próprios para este dim.
A autenticação das partes é feita com este certificado digital. Outro serviço
existente para ajudar no gerenciamento das chaves públicas e distribuidas das
CRLs (Certificate Revocation Access Protocol).

Faculdade Estácio de Sá
MBA em Segurança da Informação

pág. 9

2.8 – Aplicações de VPN com IPSec
O IPSec prover capacidade para garantir a segurança nas comunicações
entre redes, torna-se atraente para várias aplicações. As VPNs têm sido
utilizadas para conectividade entre parceiros de negócios (extranet), acesso
remoto seguro, criação de sub-redes virtuais entre matriz e filical, fortalecimento
do comércio eletrônico de modo geral.

Na figura acima temos um claro exemplo de vpn, onde pode-se observar
um tunel entre dois gateways de segurança de duas empresas fazendo uma
Extranet, ou ainda entre clientes remoto e o gateway de segurança para acessar
a Internet corporativa.

3 – Conclusão
O IPSec possui como vantagem a sua flexibilidade quanto ao uso, pois
ele pode residir em servidores, clientes móveis ou gateways de segurança
(Firewalls).
Caso seja necessário estabelecer a identidade de qualquer conexão basta
instalar o IPSec em todos os equipamentos, além de as VPNs oferecerem QoS
(Quality of Service), onde as bandas de dados pode ser alocada para
determinado tipo de tráfego.
O uso do IPSec, traz vantagens como: diminuição do número de linhas
entre empresa e filial para acesso a internet e de comunicação direta entre as
empresas e suas filiais.
Faculdade Estácio de Sá
MBA em Segurança da Informação

pág. 10

4 – REFERÊNCIAS

BASSO, CRISTINA . Implementação de IPSec integrado com o IPv6.
<http://repositorio.roca.utfpr.edu.br/jspui/bitstream/1/198/1/PB_COADS_2011_1_07
.pdf> Acesso em setembro 2020.

MARTINS, DÊNER LIMA FERNANDES. Redes privadas virtuais com IPSec.
<https://cic.unb.br/~rezende/trabs/vpn.pdf> Acesso em setembro 2020.
http://repositorio.roca.utfpr.edu.br/jspui/bitstream/1/198/1/PB_COADS_2011_1_07.pdf
http://repositorio.roca.utfpr.edu.br/jspui/bitstream/1/198/1/PB_COADS_2011_1_07.pdf