Escolar Documentos
Profissional Documentos
Cultura Documentos
18 - Introdução Ao IPsec PDF
18 - Introdução Ao IPsec PDF
Esta a dcima oitava parte do Tutorial de TCP/IP. Na Parte 1 tratei dos aspectos
bsicos do protocolo TCP/IP. Na Parte 2falei sobre clculos binrios, um importante
tpico para entender sobre redes, mscara de sub-rede e roteamento. Na Parte 3 falei
sobre Classes de endereos, na Parte 4 fiz uma introduo ao roteamento e na Parte
5apresentei mais alguns exemplos e anlises de como funciona o roteamento e
na Parte 6 falei sobre a Tabela de Roteamento. Na Parte 7 tratei sobre a diviso de uma
rede em sub-redes, conceito conhecido como subnetting. NaParte 8 fiz uma
apresentao de um dos servios mais utilizados pelo TCP/IP, que o Domain Name
System: DNS. O DNS o servio de resoluo de nomes usado em todas as redes
TCP/IP, inclusive pela Internet que, sem dvidas, a maior rede TCP/IP existente.
Na Parte 9 fiz uma introduo ao servio Dynamic Host Configuration Protocol DHCP.
Na Parte 10 fiz uma introduo ao servio Windows Internet Name Services WINS.
Na Parte 11 falei sobre os protocolos TCP, UDP e sobre portas de comunicao.
Na Parte 12, mostrei como so efetuadas as configuraes de portas em diversos
aplicativos que voc utiliza e os comandos do Windows 2000/XP/2003 utilizados para
exibir informaes sobre portas de comunicao. Na Parte 13 falei sobre a instalao e
a configurao do protocolo TCP/IP. Na Parte 14 fiz uma introduo sobre o protocolo
de roteamento dinmico RIP e na Parte 15 foi a vez de fazer a introduo a um outro
protocolo de roteamento dinmico, o OSPF. NaParte 16 voc aprendeu sobre um
recurso bem til: O compartilhamento da conexo Internet, oficialmente conhecida
como ICS Internet Connection Sharing. Este recurso til quando voc tem uma
pequena rede, no mais do que cinco mquinas, conectadas em rede, todas com o
protocolo TCP/IP instalado e uma das mquinas tem conexo com a Internet. Voc
pode habilitar o ICS no computador que tem a conexo com a Internet. Com isso os
demais computadores da rede tambm passaro a ter acesso Internet.. Na Parte 17,
voc aprendeu a utilizar o IFC Internet Firewall Connection (Firewall de Conexo com
a Internet). O IFC faz parte do Windows XP e do Windows Server 2003, no estando
disponvel no Windows 2000.O IFC tem como objetivo proteger o acesso do
usurio contra ataques e perigos vindos da Internet
Nesta dcima oitava parte, farei uma apresentao sobre o protocolo IPSec. O IPSec
faz parte do Windows 2000, Windows XP, Windows Server 2003, Windows Vista e
Longhorn Server. O IPSec pode ser utilizado para criar um canal de comunicao
seguro, onde todos os dados que so trocados entre os computaodres habilitados ao
IPSec, so criptografados.
O protocolo IPSec
Por exemplo, vamos imaginar uma rede local de uma empresa, onde voc quer garantir
a segurana das informaes que so trocadas entre a estao de trabalho do
Presidente da empresa e as estaes de trabalho da diretoria. Ou seja, se um dos
diretores acessar um arquivo em uma pasta compartilhada, no computador do
Presidente da empresa, voc quer garantir que todos os dados enviados atravs da
rede sejam criptografados, para garantir um nvel adicional de segurana. Este um
http://www.juliobattisti.com.br/artigos/windows/tcpip_p18.asp 1/5
24/1/2014 Julio Battisti
Uma proteo agressiva contra ataques rede privada e Internet mantendo a facilidade de
uso. Ao mesmo tempo que fornece uma proteo efetiva contra ataques e tentativas de captura
dos dados, o IPSec fcil de configurar, com o uso de polticas de segurana.
Segurana do comeo ao fim. Os nicos computadores na comunicao que devem saber sobre
a proteo de IPSec so o remetente e o receptor, ou seja, o meio atravs do qual os pacotes
so enviados no precisa estar habilitado ao IPSec. Observem que este o conceito de enviar
informaes de uma maneira segura, usando um meio no seguro. O exemplo tpico a criao
de VPNs, usando a Internet. A Internet em si, baseada apenas no protocolo TCP/IP no um
meio seguro, uma vez que, por padro, os dados no so criptografados. Porm adicionando
tcnicas de criptografia e tunelamento, disponveis com o uso do IPSec com o L2TP, podemos
criar tneis seguros, atravs de um meio no seguro. o conceito de VPN em sua essncia.
Nota: Para detalhes completos sobre Group Policy Objects (GPOs), consulte o livro:
Windows Server 2003 Curso Completo, 1568 pginas, de minha autoria, publicado
pela Axcel Books. Para comprar este livro com um excelente desconto e ainda ganhar
cursos de brinde, acesse o seguinte
endereo:http://www.juliobattisti.com.br/clube.htm
http://www.juliobattisti.com.br/artigos/windows/tcpip_p18.asp 2/5
24/1/2014 Julio Battisti
Existe um conjunto de diretivas bsicas, para habilitar o IPSec, que determinam como
ser efetuada a comunicao entre os computadores com o IPSec habilitado. A seguir
descrevo, resumidamente, estas diretivas padro, disponveis no Windows 2000 Server
e no Windows Server 2003:
Server (Request Security): Ao habilitar esta diretiva, tambm sero aceitas comunicaes no
seguras, porm para estabelecer uma conexo segura, os clientes devem utilizar um mtodo de
autenticao aceito pelo servidor. Com esta poltica sero aceitas comunicaes no seguras
(no utilizando IPSec), se o outro lado no suportar o uso do IPSec. Ou seja, quando o cliente
tenta se comunicar com o servidor, o Servidor tenta estabelecer uma comunicao usando IPSec.
Se o cliente no estiver configurado para utilizar o IPSec, a comunicao ser estabelecida
mesmo assim, sem a utilizao de IPSec.
Client (Respond only): Esta poltica indicada para computadores da rede interna, da Intranet
da empresa. Ao iniciar a comunicao com outros computadores, no ser utilizado o IPSec.
Contudo se o outro computador exigir o uso do IPSec, a comunicao via IPSec ser
estabelecida.
Security Server (Request Security): Aceita um incio de comunicao no seguro, mas requer
que os clientes estabeleam uma comunicao segura, usando IPSec e um dos mtodos aceitos
pelo servidor. Se o cliente no puder atender estas condies, a comunicao no ser
estabelecida.
utilizado para verificar a integridade dos dados, ou seja, para verificar se os dados no foram
alterados ou corrompidos durante o transporte.
Impede ataques do tipo repetio, onde pacotes IPSec so capturados e em seguida reenviados
ao destino, em uma tentativa de ter acesso ao computador de destino. O cabealho de
autenticao impede este tipo de ataque, pois contm informaes que permitem ao destinatrio
identificar se um pacote j foi entregue ou no. No cabealho AH esto, dentre outras, as
seguintes informaes: A identificao do prximo cabealho, o tamanho do cabealho,
parmetros de segurana, nmero de seqncia e autenticao de dados (contm informaes
para a verificao da integridade de dados).
Quando dois computadores vo trocar dados usando IPSec, a primeira etapa fazer a
http://www.juliobattisti.com.br/artigos/windows/tcpip_p18.asp 4/5
24/1/2014 Julio Battisti
autenticao mtua entre os dois computadores. Nenhuma troca de dados efetuada, at que a
autenticao mtua tenha sido efetuada com sucesso.
Quando dois computadores vo se comunicar via IPSec, criada uma SA (Securtiy Association
associao de segurana) entre os computadores. Na SA esto definidas as regras de
comunicao, os filtros a serem aplicados e o conjunto de chaves que ser utilizado para
criptografia e autenticao.
O protocolo IPSec pode utilizar certificados de chave pblica para confiar em computadores que
utilizam outros sistemas operacionais, como por exemplo o Linux.
Concluso
Nesta parte do tutorial fiz uma breve apresentao do protocolo IPSec, o qual j
parte integrante do Windows 2000, Windows XP e Windows Server 2003. Inicialmente
apresentei a fundamentao terica sobre IPSec, para que o leitor possa entender
exatamente o que o IPSec e quando utiliz-lo. Mostrei que este protocolo
configurado e habilitado atravs do uso de polticas de segurana e que existem
diferentes modelos de polticas de segurana disponveis no Windows 2000 Server e/ou
Windows Server 2003.
http://www.juliobattisti.com.br/artigos/windows/tcpip_p18.asp 5/5