FACULDADE ESTÁCIO

REDES DE COMPUTADORES

RICARDO DE SOUZA FERREIRA

A IMPORTANCIA DO IPSEC PARA AS REDES VPN

ARACAJU
2020
 RICARDO DE SOUZA FERREIRA

A IMPORTANCIA DO IPSEC PARA AS REDES VPN

Trabalho de conclusão de curso de pós-

graduação como requisito para conclusão do
curso de pós graduação em rede de
computadores na Faculdade Estácio.

ORIENTADOR(A):
Titulação e nome completo do(a) professor(a)

ARACAJU
2020
 A IMPORTÂNCIA DO IPSEC PARA AS REDES VPN

RICARDO DE SOUZA FERREIRA1

RESUMO

Palavras-chave

ABSTRACT

Keywords:

TEXTO
Usar recuo de 1,5 cm na primeira linha de cada parágrafo; usar espaço 1,5 após o
título e entre títulos; usar espaço 1,5 nas entrelinhas do texto; usar fonte 12 em todo o
trabalho. Citações e Notas de Rodapé conforme a ABNT NBR 10520.

1
Credenciais da autoria (breve currículo).
1 INTRODUÇÃO

Com a recente explosão de aplicativos de e-commerce na Internet, Intranets,

Extranets, B2B (Business to Business), o uso de VPNs (Virtual Private Networks) e
protocolos de rede que proporcionam maior segurança na comunicação tornaram-se
peças estratégicas na implementação dessas aplicações. O sigilo e a integridade dos
dados transmitidos pela Internet se tornaram a principal preocupação, e a criptografia
e autenticação de dados criptográficos constituem as ferramentas para lidar com essa
preocupação. É considerado que a camada de Protocolo da Internet (IP) é um bom
local para proteger os dados que estão sendo transmitidos. O principal motivo é que a
camada IP está no ponto mais importante da comunicação na Internet onde é
capturado todos os pacotes enviados pelos aplicativos da camada superior e todos os
pacotes recebidos pelos protocolos de rede da camada inferior[1].
Assim, um padrão de comunicação segura que merece destaque, entre
outros, é o IPSec (IP Secure). Isso se deve ao fato do IPSec ser o protocolo que
oferece a estrutura mais completa para VPNs. Os outros protocolos estão se
aproximando cada vez mais dos seus serviços de segurança. O IPSec fornece uma
conexão de rede local (LAN) e um cliente de rede local. Este protocolo está sendo
adotado por um número crescente de fabricantes de equipamentos de rede e
programas de computador, tornando-se cada vez mais o padrão de fato. Este
trabalho apresenta ao leitor uma breve visão da tecnologia VPN e do protocolo
IPSec, seu uso no mundo real das redes de computadores. Na primeira parte do
artigo é apresentado um conceito geral do que é VPN. Na outra seção, é feita uma
explicação do que é o IPSec mostrando suas características e o seu funcionamento
e por fim é apresentado a importância de seu uso em redes VPN’s.

2 DESENVOLVIMENTO

A definição de VPN pode ser feita como sendo uma emulação de uma rede
privativa de longa distância usando redes IP, tais como, a Internet que é uma rede
pública, ou backbones com IP privados [11]. Ou seja, é uma forma de rede
implementada em rede pública para oferecer suporte à privacidade em redes públicas
compartilhadas; A VPN surgiu como uma solução econômica e confiável em
organizações de redes e telecomunicações. Ela é a parte mais rentável de qualquer
setor de TI, pois economiza o enorme custo da infraestrutura, usando a Internet
pública para estabelecer um meio de comunicação altamente seguro, de escritório
corporativo para sites remotos e usuários remotos[2].
As VPN podem ser vistas também como redes virtuais operando sobre
redes reais (IP, ATM, Frame Relay, etc) [4].

2.1 TIPOS DE VPN

As VPN podem ser baseadas em conexão usuário-gateway e gateway-

gateway. Nó podemos dividir as VPN em quatro tipos básicos [4]:
• Virtual Leased Line – VLL.
•Virtual Private Routed Network – VPRN.
•Virtual Private Dial Network – VPDN.
•Virtual Private LAN Segment – VPLS.

2.1.1 – Virtual Leased Line Network

O primeiro tipo de VPN é a VLL, que consiste em uma emulação do serviço

tradicional de linha alugada. Emula a linha alugada por uma rede IP e fornece o
serviço assimétrico de rede de dados digitais (DDN) a baixo custo. Para usuários nas
duas extremidades de uma VLL, ela é semelhante à linha alugada tradicional [3].
Assim, a VLL é uma tecnologia de conexão privada virtual ponto a ponto que pode
suportar quase todos os protocolos da camada de enlace.

2.1.2 – Virtual Private Routed Network

O segundo tipo é a VPRN que é um serviço VPN de Camada 3 multiponto

para multiponto que conecta várias ramificações em uma única arquitetura roteada
lógica na rede IP/MPLS de um provedor de serviços. Diferentes ramificações de um
cliente passam pela rede IP / MPLS do provedor de serviços e essa infraestrutura VPN
são exibidas ao cliente, pois suas filiais estão conectadas a um roteador de uma única
empresa[3]. Existem muitas redes de clientes diferentes nessa rede IP/MPLS. E eles
são gerenciados pelo provedor de serviços. Cada cliente na rede IP/MPLS não
conhece a outra rede e usa a rede IP/MPLS gerenciada pelo provedor de serviços sua
própria rede. Isso fornece independência ao cliente e uso eficiente da rede ao
provedor de serviços.
2.1.3 – Virtual Private Dial Network

O terceiro tipo é a VPDN que é uma rede dial-up privada virtual (VPDN) que
fornece serviços e recursos de acesso remoto ao serviço de discagem de redes
privadas, além de uma infraestrutura compartilhada. Ela é um mecanismo de rede
para conectar usuários de discagem remota e de longa distância a redes corporativas
ou empresariais usando uma combinação de redes PSTN e IP. O VPDN é usado
principalmente para criar uma conexão de longa distância e ponto a ponto de forma
eficiente e econômica entre usuários dial-up remotos e de redes privadas. O VPDN
elimina a necessidade de usar o PSTN para criar conexões de longa distância com
uma rede remota. Em vez de discar diretamente para um local à distância, o VPDN
funciona conectando-se a uma infraestrutura de ponto de presença do Provedor de
Serviço (ISP), que passa os usuários e dados pela Internet para a rede privada ou do
cliente.
O VPDN usa a tecnologia de encapsulamento da Camada 2, como L2F e
L2TP, para permitir que a Camada 2 e partes de uma rede de um usuário sejam
conectadas ao ISP e à rede privada[3].

2.1.4 - Virtual Private Lan Segment

O quarto tipo de VPN é a VPLS (Virtual Private LAN Service), que é uma
rede VPN multiponto da Camada 2 que emula serviços de LAN através de uma
WAN. O VPLS permite que os provedores de serviços interconectem vários sites de
clientes (cada um sendo um segmento de LAN) em uma rede comutada por pacotes,
efetivamente fazendo com que todos os segmentos de LAN do cliente se comportem
como uma única LAN. Com o VPLS, nenhuma interação de roteamento ocorre entre o
cliente e o provedor de serviços, e o cliente pode executar qualquer tipo de protocolo
da Camada 3 entre sites.
O VPLS pode utilizar o Multiprotocol Label Switching (MPLS) para oferecer
conectividade multiponto à Internet através de uma malha de circuitos lógicos ou
túneis, com os benefícios adicionais de engenharia de tráfego (TE) e failover[3]. O
VPLS permite que as operadoras e os SPs ofereçam serviços de VPN Ethernet
gerenciados com facilidade e economia.
 Há vários protocolos de rede que podem ser utilizados para formar uma VPN.
Entre eles podemos citar o L2TP, MPLS, IPSec, GRE e IP/IP. Neste trabalho
descreveremos o IPSec.

2.2 IPSEC

O IPSec é um tipo de protocolo de segurança proposto pelo grupo de

trabalho IETF para fornecer comunicação segura para a camada IP. Ele inclui
protocolo de segurança e negociação de chaves. No protocolo de segurança, os
métodos de proteção de comunicação são definidos. Já na negociação de chave, os
parâmetros de autenticação de identidade é que são definidos.
O protocolo IPSec fornece dois tipos de mecanismos de proteção de
comunicação: ESP (Encapsulating Security Payload) e AH (Authentication Head). O
mecanismo ESP fornece proteção de confidencialidade e integridade para
comunicação; O mecanismo AH fornece proteção de integridade. Mecanismos de
ESP e AH podem impedir ataques anti-replay. No protocolo IPSec, o protocolo IKE é
adotado para realizar a negociação automática de parâmetros de segurança; os
parâmetros de segurança negociados no IKE incluem algoritmos de criptografia e
autenticação, chaves de criptografia e autenticação, modo de comunicação protegido
(modo de transmissão ou túnel) e tempo de vida útil da chave. Para pacotes IP, dois
modos de encapsulamento, incluindo o modo de transferência e o modo de túnel, são
oferecidos pelo ESP.
No modo de transmissão, o cabeçalho IP original permanece inalterado,
apenas os dados da camada de transporte são criptografados. No modo de
encapsulamento, todo o pacote de dados IP é encapsulado com um novo cabeçalho
IP [5]. A estrutura da segurança IPSec é mostrada na Figura 1:
 Arquitetura de Segurança

ESP AH

Algoritmo de Algoritmo de
Criptografia Criptografia

DI

Gerência de
Chaves

Figure 1. Estrutura do Protocolo IPSec

2.2.1 – Arquitetura do IPSec

Os serviços de segurança (autenticação, integridade e confidencialidade)

são oferecidos de maneira idêntica no IPv4 e IPv6. Sua implementação é opcional
no IPv4 e obrigatória no IPv6 e tendo um uso opcional. O mecanismo IPSec
(Internet Protocol Security) pode ser usado com hosts LAN ou gateways de
segurança localizados na interface entre as redes LAN e WAN. Na figura 2, pode ser
visto onde se encaixa o IPSec em algumas aplicações.
O primeiro aplicativo consiste em vincular redes LAN remotas por meio de
uma rede WAN não confiável. O mecanismo IPSec é implantado nos gateways de
segurança de cada rede LAN. Nesse caso, as duas redes LAN são consideradas
redes protegidas (Figura 2).
O segundo aplicativo consiste em vincular um host a uma rede LAN remota
por meio de uma rede LAN (do host) e de uma rede WAN não confiável. O
mecanismo IPSec é implantado no host e em um gateway de segurança localizado
na rede LAN remota, considerada uma rede protegida (Figura 2).
O terceiro aplicativo consiste em conectar dois hosts via duas redes LAN e
uma rede WAN não confiável. O mecanismo IPSec é implantado de ponta a ponta,
em cada host (Figura 2).
 Figure 2. Arquitetura IPSec

2.2.2 Cabeçalhos de Segurança

O mecanismo IPSec apresenta duas extensões de cabeçalho IPv4 ou IPv6:

- O cabeçalho de autenticação (AH) foi projetado para garantir a integridade
e autenticação de pacotes IP sem criptografia de dados (sem confidencialidade).
- O Encapsulating Security Payload (ESP) garante a integridade,
autenticação e confidencialidade dos pacotes IP.
A extensão AH oferece serviços de autenticação e integridade de dados e
permite proteção contra a repetição de pacotes IP. A mesma extensão AH é usada
em associação com um cabeçalho IPv4 ou IPv6. A presença da extensão é indicada
pelo campo “Próximo cabeçalho” (no IPv6) ou Protocolo (no IPv4) do cabeçalho
anterior, com um valor 51.
Além do campo Próximo cabeçalho, a extensão AH contém os seguintes
campos (Figura 3):

 Comprimento da carga útil(Payload Length): Esse campo, codificado

em 1 byte, fornece o tamanho da extensão em múltiplos de 4 bytes,
sem incluir os primeiros 8 bytes. O tamanho da extensão no IPv6
deve permanecer um múltiplo de 8 bytes.
  Índice de Parâmetros de Segurança (SPI): Esse campo, codificado
em 4 bytes, contém um valor referente à Associação de Segurança
(SA) negociada anteriormente.
 Número de sequência (Sequence Number): Esse campo, codificado
em 4 bytes, contém um valor com acréscimo em uma unidade para
cada pacote IPv4 ou IPv6 transmitido. Ele permite proteção contra
repetição e tem um valor de 1 para o primeiro pacote transmitido.
Quando o contador atingir o valor máximo, uma nova SA deve ser
negociada para evitar o início de um novo ciclo.
 Valor de verificação da integridade (ICV): Esse campo é codificado
em um múltiplo de 4 bytes e contém o selo de dados que garante a
autenticação e a verificação de integridade.

Figure 3. Formato da extensão AH

Um Número de Sequência Estendida (ESN), conectado em 8 bytes, constitui

uma opção que torna possível que a vida útil da SA seja prolongada. Para preservar
a estrutura da extensão, os 32 bits menos significativos são transmitidos no campo
Número de Sequência. No entanto, a digitação de dados é calculada em todos os 64
bits.
A extensão ESP oferece um serviço de confidencialidade além daqueles
oferecidos pela extensão AH. A mesma extensão ESP é usada em associação com
um cabeçalho IPv4 ou IPv6. A presença da extensão é indicada pelo campo Próximo
cabeçalho (no IPv6) ou Protocolo (no IPv4) do cabeçalho anterior, com um valor de
50.
 A extensão ESP contém os mesmos campos que a extensão AH. Começa com
os campos SPI e Número de sequência (Figura 4). Após esses campos, vêm os
dados encapsulados, que podem conter dados de sincronização do criptografador do
vetor de inicialização (IV). Após os dados encapsulados, a extensão termina com os
seguintes campos: Preenchimento, Comprimento do bloco, Próximo cabeçalho e,
opcionalmente, ICV (dados de autenticação).

Figure 4. Formato da extensão AH

O campo Preenchimento é necessário quando a criptografia de bloco é usada,

e o bloco deve ter um determinado tamanho e alinhar o tamanho do pacote com um
múltiplo de 4 bytes.

2.2.3 Modos de Funcionamento do IPSec

Para o modo de transporte, o cabeçalho AH ou ESP é inserido entre o

cabeçalho IP e a carga útil do pacote IP de origem. No ambiente IPv6, o cabeçalho
AH ou ESP aparece após as extensões de Hop-by-Hop, destino, roteamento e
fragmento.
Para o modo de túnel, o cabeçalho AH ou ESP encapsula o pacote IP de
origem e o todo é encapsulado, por sua vez, por um novo cabeçalho IP. O túnel
corresponde a uma estrutura de dados na qual um pacote IP contém outro pacote IP.
Quando o cabeçalho AH é usado, a autenticação é aplicada a todo o pacote,
exceto aos campos variáveis do cabeçalho IP (Figura 5).
 Os campos variáveis do cabeçalho IPv4 são definidos como zero para calcular
o resumo da autenticação:
- DSCP: o valor desse campo pode ser modificado por um roteador
intermediário ao verificar as características do tráfego;
- ECN: o valor desse campo pode ser modificado por um roteador intermediário
para alertar o destino de que vai surgir congestionamento;
- DF: esse bit pode ser definido como 1 por um roteador intermediário;
- Deslocamento de fragmento: a inserção do cabeçalho AH ocorre em pacotes
IP não fragmentados e, portanto, este campo tem um valor zero;
- TTL: o valor desse campo é reduzido em uma unidade por cada roteador
cruzado;
- Checksum: o valor desse campo é recalculado assim que um campo no
cabeçalho IP muda de valor.
O grupo de opções de cabeçalho IPv4 é considerado como uma única
entidade. Algumas opções podem ser modificadas por um roteador intermediário. Se
uma única opção modificável aparecer, o grupo de opções será definido como zero
para o cálculo do resumo da autenticação.
Os campos variáveis do cabeçalho IPv6 são definidos como zero para o
cálculo do resumo da autenticação. Esses são campos idênticos aos do cabeçalho
IPv4 (DSCP, ECN e Hop Limit), bem como o campo Flow Label.
As extensões Hop-by-Hop e Destination do cabeçalho IPv6 indica se a opção
pode ser modificada por um roteador intermediário ou não. Se esse bit estiver
definido como 1, a extensão será definida como 0 para o cálculo do resumo da
autenticação.
 Figura 5. Posição do cabeçalho AH

Quando o cabeçalho ESP é usado no modo de transporte, o serviço de

confidencialidade é aplicado aos dados encapsulados e à parte final do ESP. Os
serviços de autenticação e integridade cobrem o cabeçalho ESP, dados
encapsulados e à parte final do ESP (Figura 6).

Figura 6. Posição do cabeçalho ESP

 Quando o cabeçalho ESP é usado no modo de encapsulamento, o serviço de
confidencialidade é aplicado ao pacote IP de origem e a parte final do ESP. Os
serviços de autenticação e integridade abordam o cabeçalho ESP, o pacote IP de
origem e a parte final do ESP (Figura 6).
Observe que no modo de transporte, a extensão de destino pode aparecer
antes, depois ou simultaneamente antes e depois da extensão AH ou ESP.

2.3 Aplicações do IPSec em VPN

A VPN IPSec é adequada para a comunicação entre LAN’s. Nala, um túnel é

criado entre dois sites. O PC remoto parece funcionar na LAN da sede corporativa e
fornecer às filiais da empresa o acesso remoto aos recursos da LAN da sede.
Enquanto o túnel VPN IPSec for construído, escritórios remotos e usuários móveis
poderão acessar quase todos os aplicativos e recursos de LAN da matriz. O IPSec é
independente da tecnologia do aplicativo, portanto, o cliente VPN IPSec suporta todos
os protocolos da camada IP.
A estrutura de segurança IPsec combina ESP, AH e IKE [11]. O ESP
criptografa e protege o conteúdo dos pacotes IP para impedir que o conteúdo do
pacote seja espionado durante a transmissão. O algoritmo de criptografia é
implementado principalmente por meio de um sistema de chave simétrica, que usa a
mesma chave para criptografar e descriptografar dados. De fato, a maioria das VPNs
corporativas que possuem filiais em todo o mundo são protegidas por IPsec [12].
Existem dois métodos básicos usados para estabelecer uma troca de
chaves autenticada: modo principal e modo agressivo. Porém o modo agressivo é
menos seguro em relação ao modo principal.
O modo principal é uma instanciação da troca de proteção de identidade
ISAKMP. A negociação no modo principal contém 6 pacotes, nos quais os dois
primeiros pacotes negociam políticas; os próximos dois trocam valores públicos de
Diffie-Hellman e dados auxiliares necessários para a troca; e os dois últimos pacotes
autenticam o Diffie-Hellman Exchange.

3 CONCLUSÃO

REFERÊNCIAS
1. Check Point Software Technologies Ltd., Redefining the Virtual Private Network,
1999.
2. Fergusson P., Huston G., What is a VPN? - Part I, The Internet Protocol Journal –
Cisco, vol. 1, no. 1, 1998.
3. Fergusson, Paul e outros. What is a VPN? - Part II. The Internet Protocol
Journal, Cisco, vol. 1, no. 2, 1998.
4. Gleeson, B., A Framework for IP Based Virtual Private Networks, IETF
RFC2764, 2000.
5. Horak R., Communications Systems & Networks, M&T Books, 1999.
6. Kaufman C., Perlman R., Speciner M., “Network Security – PRIVATE
Communication in a PUBLIC World”, Prentice Hall, 1995.
7. Kent S., Security Architecture for the Internet Protocol, IETF RFC2401, 1995.
8. Stallings W., “IP Security”, The Internet Protocol Journal – Cisco, vol. 3, no. 1,
2000.
9. Stephen K., Atkinson R., Security Architecture for the Internet Protocol, IETF
RFC1825, 1995.
10. Wilma I., Deploying IPSec Reference Guide, Cisco Systems, 1999.
11. REZENDE, Pedro. Redes Privadas Virtuais com IPSec. 2000. p13.
Monografia(Ciência da Computação) – UnB, Brasilia, 11 de agosto.