Você está na página 1de 44

IPsec VPNs

Componentes e Caractersticas de uma VPN com IPsec

2006 Cisco Systems, Inc. All rights reserved.

ISCW v1.04-1

IPsec Overview

2006 Cisco Systems, Inc. All rights reserved.

ISCW v1.04-2

O que IPsec?
IPsec um padro da IETF que aplica criptografia na camada de rede: Authenticao de cada pacote IP Verificao de integridade dos dados para cada pacote Confidencialidade do payload do pacote Consiste de um padro aberto para segurana de comunicaes

Escala de pequenas redes a redes muito grandes


Disponvel a partir da verso 11.3(T) do IOS Disponvel a partir da verso 5.0 do PIX Firewall

2006 Cisco Systems, Inc. All rights reserved.

ISCW v1.04-3

Caractersticas de Segurana do IPsec

IPsec o nico padro de tecnologia de camada 3 que proporciona:


Confidencialidade Integridade dos Dados Autenticao Proteo contra Replay
ISCW v1.04-4

2006 Cisco Systems, Inc. All rights reserved.

Protocolos IPsec
O Framework do IPsec composto de tres protocolos principais:
Internet Key Exchange (IKE):

Proporciona um framework para negociao de parmetros de segurana


Estabelecimento de chaves autenticadas Encapsulating Security Payload (ESP):

Proporciona um framework para criptografar, autenticar e dar segurana aos dados


Authentication Header (AH): Proporciona um framework para autenticar e dar segurana aos dados

2006 Cisco Systems, Inc. All rights reserved.

ISCW v1.04-5

IPsec Headers

IPsec ESP proporciona:


Autenticao e integridade dos dados (MD5 ou SHA-1 HMAC) com AH e ESP Confidencialidade (DES, 3DES, ou AES) apenas com ESP
2006 Cisco Systems, Inc. All rights reserved. ISCW v1.04-6

Autenticao do Peer

Mtodos de autenticao do Peer:


Usurio e Senha
OTP (Pin/Tan) One time password Biometria Chaves compartilhadas - Preshared keys Certificados Digitais
2006 Cisco Systems, Inc. All rights reserved. ISCW v1.04-7

Internet Key Exchange

2006 Cisco Systems, Inc. All rights reserved.

ISCW v1.04-8

Internet Key Exchange


IKE soluciona o problema o problema de escalar a implementao do IPsec automatizando a troca de chaves:
Negociao das caractersticas da SA Gera chaves automaticamente Renova chaves automaticamente Configurao manual gerencivel

2006 Cisco Systems, Inc. All rights reserved.

ISCW v1.04-9

Fases do IKE
Fase 1: Autenticao dos peers Negociao da SA bidirecional

Main mode ou aggressive mode


Fase 1.5: Xauth Mode config Fase 2: IPsec SAs/SPIs Quick mode

2006 Cisco Systems, Inc. All rights reserved.

ISCW v1.04-10

IKE Modes

2006 Cisco Systems, Inc. All rights reserved.

ISCW v1.04-11

IKE: Outras funes

2006 Cisco Systems, Inc. All rights reserved.

ISCW v1.04-12

IKE: Outras Funes


Dead peer detection (DPD): Bi-direcional Enviado periodicamente em intervalos Quem envia deve receber uma resposta ou desconectar Keepalives do IKE so unidirecionais e enviados a cada 10 segundos. NAT traversal: Definido na RFC 3947 Encapsula um pacote IPsec em um pacote UDP Mode config (Envia configurao) e Xauth (Autentica Usurio)

2006 Cisco Systems, Inc. All rights reserved.

ISCW v1.04-13

IPsec e NAT: O problema

2006 Cisco Systems, Inc. All rights reserved.

ISCW v1.04-14

IPsec NAT Traversal


NAT traversal com IPsec sobre TCP/UDP:
NAT traversal : deteco NAT traversal : deciso

Encapsulamento UDP de pacotes IPsec


Software para processo de Encapsulamento UDP

2006 Cisco Systems, Inc. All rights reserved.

ISCW v1.04-15

Mode Configuration

Mecanismo utilizado para enviar atributos para os clientes de VPN

2006 Cisco Systems, Inc. All rights reserved.

ISCW v1.04-16

Easy VPN

Autaliza dinamicamente: Polticas de segurana centrais Alivia a carga de funes de VPN nos dispositivos locais Modos client e network extension

Controle Centralizado: Polticas de segurana e configurao enviadas no momento de estabelecimento do tunel

2006 Cisco Systems, Inc. All rights reserved.

ISCW v1.04-17

Xauth

Mecanismo usado para autenticao de clientes de VPN

2006 Cisco Systems, Inc. All rights reserved.

ISCW v1.04-18

ESP e AH

2006 Cisco Systems, Inc. All rights reserved.

ISCW v1.04-19

ESP e AH
Protocolos IPsec:

ESP ou AH
ESP usa protocolo IP nmero 50 AH usa protocolo IP nmero51 Modos IPsec:

Tunnel ou transport mode


Tunnel mode cria um header IP adicional A mensagem concatenada com uma chave simtrica

2006 Cisco Systems, Inc. All rights reserved.

ISCW v1.04-20

Headers ESP e AH

ESP permite criptografia e autenticao do pacote original. AH autentica todo o pacote (incluindo o header) e no aceita criptografia.

2006 Cisco Systems, Inc. All rights reserved.

ISCW v1.04-21

Autenticao e integridade do AH

2006 Cisco Systems, Inc. All rights reserved.

ISCW v1.04-22

Protocolo ESP

Proporciona confidencialidade com criptografia


Proporciona integridade com autenticao

2006 Cisco Systems, Inc. All rights reserved.

ISCW v1.04-23

Modo Tunnel e Transport

2006 Cisco Systems, Inc. All rights reserved.

ISCW v1.04-24

Autenticao da Mensagem e Verificao de Integridade

2006 Cisco Systems, Inc. All rights reserved.

ISCW v1.04-25

Autenticao e verificao da integridade da mensagem usando Hash


Um MAC usado para autenticao e e verificao de integridade. Hashes so muito usados para este propsito (HMAC).

2006 Cisco Systems, Inc. All rights reserved.

ISCW v1.04-26

Funes de Hash comuns


MD5 proporciona uma sada de 128-bit. SHA-1 proporciona uma sada de 160-bit (apenas os primeiros 96 bits so usados no IPsec). SHA-1 computacionalmente mais lento que MD5, mas mais seguro.

2006 Cisco Systems, Inc. All rights reserved.

ISCW v1.04-27

Algoritimos de Criptografia Simtricos X Assimtricos

2006 Cisco Systems, Inc. All rights reserved.

ISCW v1.04-28

Algoritimos de Criptografia Simtricos X Assimtricos


Algoritmo Simtrico: Criptografia Secret key Criptografa e Descriptografa usando a mesma chave Uso tpico para criptografar o contedo de uma mensagem Exemplos: DES, 3DES, AES Algoritmo Assimtrico: Criptografia Public key Criptografa e Descriptografa usando chaves diferentes Uso tpico com certificados digitais e gerenciamento de chaves Exemplos: RSA

2006 Cisco Systems, Inc. All rights reserved.

ISCW v1.04-29

Tamanhos de chaves para algoritmos Simtricos e Assimtricos


Quadro de comparao entre tamanhos de chave simtricas e assimtricas Tamanho Chave Simtrica 80 112 128 192 256 Tamanho Chave Assimtrica 1024 2048 3072 7680 15,360

2006 Cisco Systems, Inc. All rights reserved.

ISCW v1.04-30

Nvel de segurana dos algoritmos

Nvel de Segurana Weak Legacy Baseline Standard High Ultra

Fator de Trabalho O(240) O(264) O(280) O(2128) O(2192) O(2256)

Algoritmos DES, MD5 RC4, SHA-1 3DES AES-128, SHA-256 AES-192, SHA-384 AES-256, SHA-512

2006 Cisco Systems, Inc. All rights reserved.

ISCW v1.04-31

Criptografia Simtrica: DES


Algoritmo de criptografia simtrica Block cipher: Funciona em blocos de 64-bits, usa chave de 56bit (ultimo bit de cada byte usado para paridade) Modo de operao: Aplica DES para encriptar blocos de dados

2006 Cisco Systems, Inc. All rights reserved.

ISCW v1.04-32

Criptografia Simtrica: 3DES

168-bit total para o tamanho da chave Modo de operao decide como processar DES trs vezes Normalmente: encripta, decripta, encripta 3DES requer mais processamento que DES

2006 Cisco Systems, Inc. All rights reserved.

ISCW v1.04-33

Criptografia Simtrica: AES


Nome formal Rijndael Sucessor do DES e 3DES Bloco de chaves Simtrico

Criptografia Forte com expectativa de vida longa


AES pode suportar chaves de 128-, 192-, e 256-bit; 128-bit considerado seguro

2006 Cisco Systems, Inc. All rights reserved.

ISCW v1.04-34

Criptografia assimtrica : RSA

Baseada nos princpios do algoritmo de troca de chaves Diffie-Hellman (IKE) Chave pblica para criptografar dados e para verificar assinaturas digitais Chave privada para descriptografar dados e para assinar digitalmente Perfeito para canais de comunicao insegura
2006 Cisco Systems, Inc. All rights reserved. ISCW v1.04-35

Troca de chaves Diffie-Hellman

2006 Cisco Systems, Inc. All rights reserved.

ISCW v1.04-36

Troca de chaves Diffie-Hellman (Cont.)

2006 Cisco Systems, Inc. All rights reserved.

ISCW v1.04-37

Ambiente PKI

2006 Cisco Systems, Inc. All rights reserved.

ISCW v1.04-38

Ambiente PKI

2006 Cisco Systems, Inc. All rights reserved.

ISCW v1.04-39

Certificate Authority (Autoridade de Certificado)


A base de confiana de um sistema PKI Verifica a identidade do usurio, fornece certificados vinculando a identidade do usurio a uma chave publica com um certificado digital Revoga certificados e publica a CRL Implementao dentro de casa ou com outsourcing

2006 Cisco Systems, Inc. All rights reserved.

ISCW v1.04-40

Certificado X.509 v3

2006 Cisco Systems, Inc. All rights reserved.

ISCW v1.04-41

Troca de mensagens PKI

2006 Cisco Systems, Inc. All rights reserved.

ISCW v1.04-42

Credenciais PKI
Como guardar credenciais de PKI:
Chaves RSA e certificados NVRAM

eToken:
Cisco 871, 1800, 2800, 3800 Series router Cisco IOS Release 12.3(14)T image Cisco USB eToken Uma imagem de IOS k9

2006 Cisco Systems, Inc. All rights reserved.

ISCW v1.04-43

2006 Cisco Systems, Inc. All rights reserved.

ISCW v1.04-44