Escolar Documentos
Profissional Documentos
Cultura Documentos
Origem do IPsec
do uso de protocolo da internet em grandes redes de empresas; Democratizao de internet; Facilidade de ataques.
Origem do IPsec
IPsec = IP Security
Padro
desenvolvido pela IETF desde 1992; Primeira verso lanada em 1995; Verso melhorada, com administrao dinmica dos parmetros de segurana(IKE), em 1998; At hoje ainda trabalhado na IETF.
Problema do IP
Problemas do IP
Monitoramento,
no autorizadas, de pacotes; Explorao de aplicaes cuja autenticao feita baseada no endereo IP.
IPsec
Proposta:
Implementar
Objetivo
Como Funciona
Opera na camada de rede; Processa todos os datagramas IP; Protege todas as aplicaes de modo transparente; Pode ser implementado em qualquer ponto da rede (hospedeiros, servidores, roteadores).
8
Como Funciona
Pode-se criar polticas para cada situao especfico; Obrigatrio no IPv6 e opcional no IPv4; IKE Internet Key Exchange
Protocolo
Como Funciona
Criao de uma ligao lgica para troca de datagramas (SA Security Agreement) Autenticao e proteo da identidade dos hospedeiros; Negociao da poltica a ser usada pelo SA; Troca autenticada das chaves secretas.
10
SA Security Agreement
Um dos mais importantes conceitos no IPsec chamado Security Agreement (Acordo de Segurana). Definido no RFC 1825; Canal lgico entre origem e destino; SAs so uma combinao do SPI(Security Parameter Index) fornecido e do endereo de destino; SAs so unidirecionais. Para uma conexo so necessrias no mnimo duas SAs.
11
Um servidor pode ter ao mesmo tempo vrias associaes de segurana diferentes (SA), pois pode manter comunicaes seguras com vrios usurios ao mesmo tempo.
IPsec SPI1
SA1
SPI1
IPsec SPI2 SA1 SA2 SA3 SPI1
SA2
SPI2
SPI2
SPI3 12
SA
Rede Confivel
SA
Rede no Confivel Host
SA
Rede Confivel Gateway Seguro
SA
Rede no Confivel
Host Host
SA
13
Combinao de SAs
Acordo de Segurana 1 Acordo de Segurana 2
Rede no Confivel
Rede no Confivel
Acordo de Segurana 2
Acordo de Segurana 1
Rede no Confivel
Rede no Confivel
14
Pacotes recebem:
Modo Tnel:
Modos de proteo:
Transporte:
Protege apenas os dados, sem um novo cabealho; Usado apenas em IPsec fim a fim.
15
Protocolos
AH Authentication Header (Protocolo de autenticao de cabealho); ESP Encapsulation Security Payload (Protocolo de Segurana de Encapsulamento da Carga til);
Ambos fazem o acordo de segurana (SA)
16
AH - Autenticao de Cabealho
Oferece:
Autenticao
17
Protocolo AH
O cabealho AH no permite criptografia dos dados; portanto, ele til principalmente quando a verificao da integridade necessria, mas no o sigilo.
[TANENBAUM, Redes de Computador, P581, PDF]
Exemplo de integridade: Evitar que um intruso falsifique um pacote, neste caso, seria possvel ler mas no alterar.
18
Oferece:
Autenticao
19
Datagrama:
Modo
de transporte:
Modo
Tnel:
20
AH vs ESP
Considerando que a ESP pode fazer tudo que o AH pode fazer e muito mais, alm de ser mais eficiente durante a inicializao, surge a questo: Afinal, qual e a necessidade do AH?
21
AH vs ESP
A resposta principalmente histrica. No inicio, o AH cuidava apenas da integridade, enquanto o ESP tratava do sigilo. Mais tarde, a integridade foi acrescentada no ESP, mas as pessoas que projetaram o AH no queriam deixa-lo morrer depois de tanto trabalho. provvel que o AH fique defasado no futuro.
[TANENBAUM, Redes de Computador, P581, PDF]
22
Referncias Bibliogrficas
KUROSE, J. F. ; ROSS, K. W.; Redes de Computadores e a Internet. Pearson Education, 2003. TANENBAUM, A. S. , Redes de Computadores, Editora Campus, 2003. http://www.javvin.com/protocolESP.html; http://www.cert-rs.tche.br/docs_html/ipsec.html; http://www.rnp.br/newsgen/9907/ipsec3.html; http://www.ietf.org/rfc/rfc2402.txt; http://www.ietf.org/rfc/rfc2406.txt
23