ISCW10S04L01

IPsec VPNs
Componentes e Caractersticas de uma VPN com IPsec
2006 Cisco Systems, Inc. All rights reserved.
ISCW v1.04-1
IPsec Overview
ISCW v1.04-2
O que IPsec?
IPsec um padro da IETF que aplica criptografia na camada de rede: Authenticao de cada pacote IP Verificao de integridade dos dados para cada pacote Confidencialidade do payload do pacote Consiste de um padro aberto para segurana de comunicaes
Escala de pequenas redes a redes muito grandes

Disponvel a partir da verso 11.3(T) do IOS Disponvel a partir da verso 5.0 do PIX Firewall
ISCW v1.04-3
Caractersticas de Segurana do IPsec
IPsec o nico padro de tecnologia de camada 3 que proporciona:

Confidencialidade Integridade dos Dados Autenticao Proteo contra Replay
ISCW v1.04-4
Protocolos IPsec
O Framework do IPsec composto de tres protocolos principais:
Internet Key Exchange (IKE):
Proporciona um framework para negociao de parmetros de segurana

Estabelecimento de chaves autenticadas Encapsulating Security Payload (ESP):
Proporciona um framework para criptografar, autenticar e dar segurana aos dados

Authentication Header (AH): Proporciona um framework para autenticar e dar segurana aos dados
ISCW v1.04-5
IPsec Headers
IPsec ESP proporciona:

Autenticao e integridade dos dados (MD5 ou SHA-1 HMAC) com AH e ESP Confidencialidade (DES, 3DES, ou AES) apenas com ESP
2006 Cisco Systems, Inc. All rights reserved. ISCW v1.04-6
Autenticao do Peer
Mtodos de autenticao do Peer:

Usurio e Senha
OTP (Pin/Tan) One time password Biometria Chaves compartilhadas - Preshared keys Certificados Digitais
Internet Key Exchange
ISCW v1.04-8
Internet Key Exchange

IKE soluciona o problema o problema de escalar a implementao do IPsec automatizando a troca de chaves:
Negociao das caractersticas da SA Gera chaves automaticamente Renova chaves automaticamente Configurao manual gerencivel
ISCW v1.04-9
Fases do IKE
Fase 1: Autenticao dos peers Negociao da SA bidirecional
Main mode ou aggressive mode

Fase 1.5: Xauth Mode config Fase 2: IPsec SAs/SPIs Quick mode
ISCW v1.04-10
IKE Modes
ISCW v1.04-11
IKE: Outras funes
ISCW v1.04-12
IKE: Outras Funes

Dead peer detection (DPD): Bi-direcional Enviado periodicamente em intervalos Quem envia deve receber uma resposta ou desconectar Keepalives do IKE so unidirecionais e enviados a cada 10 segundos. NAT traversal: Definido na RFC 3947 Encapsula um pacote IPsec em um pacote UDP Mode config (Envia configurao) e Xauth (Autentica Usurio)
ISCW v1.04-13
IPsec e NAT: O problema
ISCW v1.04-14
IPsec NAT Traversal

NAT traversal com IPsec sobre TCP/UDP:
NAT traversal : deteco NAT traversal : deciso
Encapsulamento UDP de pacotes IPsec

Software para processo de Encapsulamento UDP
ISCW v1.04-15
Mode Configuration
Mecanismo utilizado para enviar atributos para os clientes de VPN
ISCW v1.04-16
Easy VPN
Autaliza dinamicamente: Polticas de segurana centrais Alivia a carga de funes de VPN nos dispositivos locais Modos client e network extension
Controle Centralizado: Polticas de segurana e configurao enviadas no momento de estabelecimento do tunel
ISCW v1.04-17
Xauth
Mecanismo usado para autenticao de clientes de VPN
ISCW v1.04-18
ESP e AH
ISCW v1.04-19
ESP e AH
Protocolos IPsec:
ESP ou AH
ESP usa protocolo IP nmero 50 AH usa protocolo IP nmero51 Modos IPsec:
Tunnel ou transport mode

Tunnel mode cria um header IP adicional A mensagem concatenada com uma chave simtrica
ISCW v1.04-20
Headers ESP e AH
ESP permite criptografia e autenticao do pacote original. AH autentica todo o pacote (incluindo o header) e no aceita criptografia.
ISCW v1.04-21
Autenticao e integridade do AH
ISCW v1.04-22
Protocolo ESP
Proporciona confidencialidade com criptografia

Proporciona integridade com autenticao
ISCW v1.04-23
Modo Tunnel e Transport
ISCW v1.04-24
Autenticao da Mensagem e Verificao de Integridade
ISCW v1.04-25
Autenticao e verificao da integridade da mensagem usando Hash

Um MAC usado para autenticao e e verificao de integridade. Hashes so muito usados para este propsito (HMAC).
ISCW v1.04-26
Funes de Hash comuns

MD5 proporciona uma sada de 128-bit. SHA-1 proporciona uma sada de 160-bit (apenas os primeiros 96 bits so usados no IPsec). SHA-1 computacionalmente mais lento que MD5, mas mais seguro.
ISCW v1.04-27
Algoritimos de Criptografia Simtricos X Assimtricos
ISCW v1.04-28
Algoritimos de Criptografia Simtricos X Assimtricos

Algoritmo Simtrico: Criptografia Secret key Criptografa e Descriptografa usando a mesma chave Uso tpico para criptografar o contedo de uma mensagem Exemplos: DES, 3DES, AES Algoritmo Assimtrico: Criptografia Public key Criptografa e Descriptografa usando chaves diferentes Uso tpico com certificados digitais e gerenciamento de chaves Exemplos: RSA
ISCW v1.04-29
Tamanhos de chaves para algoritmos Simtricos e Assimtricos

Quadro de comparao entre tamanhos de chave simtricas e assimtricas Tamanho Chave Simtrica 80 112 128 192 256 Tamanho Chave Assimtrica 1024 2048 3072 7680 15,360
ISCW v1.04-30
Nvel de segurana dos algoritmos
Nvel de Segurana Weak Legacy Baseline Standard High Ultra
Fator de Trabalho O(240) O(264) O(280) O(2128) O(2192) O(2256)
Algoritmos DES, MD5 RC4, SHA-1 3DES AES-128, SHA-256 AES-192, SHA-384 AES-256, SHA-512
ISCW v1.04-31
Criptografia Simtrica: DES

Algoritmo de criptografia simtrica Block cipher: Funciona em blocos de 64-bits, usa chave de 56bit (ultimo bit de cada byte usado para paridade) Modo de operao: Aplica DES para encriptar blocos de dados
ISCW v1.04-32
Criptografia Simtrica: 3DES
168-bit total para o tamanho da chave Modo de operao decide como processar DES trs vezes Normalmente: encripta, decripta, encripta 3DES requer mais processamento que DES
ISCW v1.04-33
Criptografia Simtrica: AES

Nome formal Rijndael Sucessor do DES e 3DES Bloco de chaves Simtrico
Criptografia Forte com expectativa de vida longa

AES pode suportar chaves de 128-, 192-, e 256-bit; 128-bit considerado seguro
ISCW v1.04-34
Criptografia assimtrica : RSA
Baseada nos princpios do algoritmo de troca de chaves Diffie-Hellman (IKE) Chave pblica para criptografar dados e para verificar assinaturas digitais Chave privada para descriptografar dados e para assinar digitalmente Perfeito para canais de comunicao insegura
Troca de chaves Diffie-Hellman
ISCW v1.04-36
Troca de chaves Diffie-Hellman (Cont.)
ISCW v1.04-37
Ambiente PKI
ISCW v1.04-38
Ambiente PKI
ISCW v1.04-39
Certificate Authority (Autoridade de Certificado)

A base de confiana de um sistema PKI Verifica a identidade do usurio, fornece certificados vinculando a identidade do usurio a uma chave publica com um certificado digital Revoga certificados e publica a CRL Implementao dentro de casa ou com outsourcing
ISCW v1.04-40
Certificado X.509 v3
ISCW v1.04-41
Troca de mensagens PKI
ISCW v1.04-42
Credenciais PKI
Como guardar credenciais de PKI:
Chaves RSA e certificados NVRAM
eToken:
Cisco 871, 1800, 2800, 3800 Series router Cisco IOS Release 12.3(14)T image Cisco USB eToken Uma imagem de IOS k9
ISCW v1.04-43
ISCW v1.04-44

ISCW10S04L01

Enviado por

Dados do documento

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

ISCW10S04L01

Enviado por

Direitos autorais:

Formatos disponíveis

IPsec VPNs

Componentes e Caractersticas de uma VPN com IPsec

2006 Cisco Systems, Inc. All rights reserved.

2006 Cisco Systems, Inc. All rights reserved.

Escala de pequenas redes a redes muito grandes

2006 Cisco Systems, Inc. All rights reserved.

Caractersticas de Segurana do IPsec

IPsec o nico padro de tecnologia de camada 3 que proporciona:

2006 Cisco Systems, Inc. All rights reserved.

Proporciona um framework para negociao de parmetros de segurana

Proporciona um framework para criptografar, autenticar e dar segurana aos dados

2006 Cisco Systems, Inc. All rights reserved.

IPsec ESP proporciona:

Mtodos de autenticao do Peer:

Internet Key Exchange

2006 Cisco Systems, Inc. All rights reserved.

Internet Key Exchange

2006 Cisco Systems, Inc. All rights reserved.

Main mode ou aggressive mode

2006 Cisco Systems, Inc. All rights reserved.

2006 Cisco Systems, Inc. All rights reserved.

IKE: Outras funes

2006 Cisco Systems, Inc. All rights reserved.

IKE: Outras Funes

2006 Cisco Systems, Inc. All rights reserved.

IPsec e NAT: O problema

2006 Cisco Systems, Inc. All rights reserved.

IPsec NAT Traversal

Encapsulamento UDP de pacotes IPsec

2006 Cisco Systems, Inc. All rights reserved.

Mecanismo utilizado para enviar atributos para os clientes de VPN

2006 Cisco Systems, Inc. All rights reserved.

Controle Centralizado: Polticas de segurana e configurao enviadas no momento de estabelecimento do tunel

2006 Cisco Systems, Inc. All rights reserved.

Mecanismo usado para autenticao de clientes de VPN

2006 Cisco Systems, Inc. All rights reserved.

2006 Cisco Systems, Inc. All rights reserved.

Tunnel ou transport mode

2006 Cisco Systems, Inc. All rights reserved.

2006 Cisco Systems, Inc. All rights reserved.

2006 Cisco Systems, Inc. All rights reserved.

Proporciona confidencialidade com criptografia

2006 Cisco Systems, Inc. All rights reserved.

Modo Tunnel e Transport

2006 Cisco Systems, Inc. All rights reserved.

Autenticao da Mensagem e Verificao de Integridade

2006 Cisco Systems, Inc. All rights reserved.

Autenticao e verificao da integridade da mensagem usando Hash

2006 Cisco Systems, Inc. All rights reserved.

Funes de Hash comuns

2006 Cisco Systems, Inc. All rights reserved.

Algoritimos de Criptografia Simtricos X Assimtricos

2006 Cisco Systems, Inc. All rights reserved.

Algoritimos de Criptografia Simtricos X Assimtricos

2006 Cisco Systems, Inc. All rights reserved.

Tamanhos de chaves para algoritmos Simtricos e Assimtricos

2006 Cisco Systems, Inc. All rights reserved.

Nvel de segurana dos algoritmos

Nvel de Segurana Weak Legacy Baseline Standard High Ultra

Fator de Trabalho O(240) O(264) O(280) O(2128) O(2192) O(2256)

2006 Cisco Systems, Inc. All rights reserved.

Criptografia Simtrica: DES

2006 Cisco Systems, Inc. All rights reserved.

Criptografia Simtrica: 3DES