Protocolos de segurança
Protocolos de segurança
IPSec
Assegura confidencialidade, integridade e autenticidade
para a comunicação de dados em uma rede pública de
IP.
Aplicações:
– Conectividade segura do escritório pela Internet;
– Acesso remoto seguro pela Internet;
– Segurança de intranets;
– Aprimoramento da segurança de comércio eletrônico.
– Virtual Private Networks (VPNs)
Cenário de segurança de IP
IPSec
Transparente para aplicações
– Embaixo da camada de transporte (TCP, UDP)
Documentos IPSec
– RFC 2401: Visão geral da arquitetura de segurança (RFC 1825)
– RFC 2402: Descrição de uma extensão para autenticação de
um pacote no IPv4 e no IPv6
– RFC 2406: Descrição de uma extensão para codificação de um
pacote no IPv4 e no IPv6
– RFC 2408: Especificação dos recursos de gerência de chaves
IPSec
Protocolo Authentication Header
Fornece serviços de integridade e autenticação para os
pacotes IP.
Utiliza função de hash com chaves em vez de
assinaturas.
Cálculo do valor da verificação de integridade através de
HMAC-MD5 ou HMAC-SHA1.
Protocolo AH
Modo transporte
• Fornece proteção para os protocolos
de camada superior
• Payload do pacote IP
Modo túnel
• Provê proteção para o pacote IP inteiro
• Usado entre gateways de segurança
• Hosts antes de firewall não precisam rodar IPSec
Protocolo Encapsulating Security Payload (ESP)
Fornece serviços de confidencialidade para os dados IP.
Sistemas modernos devem ter algoritmo AES
Outros algoritmos definidos:
– Triple DES
– RC5
– IDEA
– CAST
– Blowfish
– 3IDEA
Protocolo ESP
ESP – Modo transporte e túnel
Modos transporte e túnel
Associações de segurança (SA)
Cada par de hosts que utilize IPSec deve estabelecer
uma associação de segurança (uma espécie de contrato)
Identificada por 3 parâmetros:
– Indexação de parâmetros de segurança – localizado nos
cabeçalhos de AH e ESP
– Endereço IP de destino
– Identificador do protocolo de segurança
Negociação (ESP)
Combinações básicas de SAs
Configuração do IPSec
Cada dispositivo de rede (Host ou Gateway) possui uma política de
segurança que orienta o uso de IPsec.
Uma política IPsec é formada por um conjunto de regras, muito
semelhantes as regras de um firewall.
As políticas IPsec são definidas de maneira distinta para os pacotes
transmitidos e para os pacotes recebidos.
Ações IPSec na transmissão
Ações IPSec na recepção
Implementação de Políticas
Para que dois computadores "A" e "B" criem uma comunicação IPsec: – Computador A:
deve ter políticas IPsec para transmitir pacotes cujo endereço de destino é "B".
deve ter políticas IPsec para receber pacotes cujo endereço de origem é "B".
– Computador B: deve ter políticas IPsec para transmitir pacotes cujo endereço
de destino é "A".
deve ter políticas IPsec para receber pacotes cujo endereço de origem é "A".
Gerenciamento de chaves
Fornecer um meio para negociar os protocolos
com outras pessoas, algoritmos de criptografia e
chaves
Manual – eficaz em ambientes estáticos
pequenos
Automatizada – padrão IKE (Internet Key
Exchange Protocol)
Troca de chaves – modo principal
Troca de chaves
Modo agressivo
Modo rápido