Escolar Documentos
Profissional Documentos
Cultura Documentos
• Adilson Michel
• Isac Sansão
• Emilda de Carmen
• Lina da Glória
Aplicação do IPSec
Internet Protocol Security
Introdução
O IPSec é um conjunto de regras ou protocolos de comunicação para configurar conexões seguras em uma
rede. O Protocolo da Internet (IP) é o padrão comum que determina como os dados trafegam pela Internet. O
IPSec adiciona criptografia e autenticação para tornar esse protocolo ainda mais seguro.
A Internet Engineering Task Force, ou IETF, desenvolveu os protocolos IPsec em meados da década de 1990
para fornecer segurança na camada IP por meio de autenticação e criptografia de pacotes de rede IP.
O IPsec originalmente definiu dois protocolos para proteger os pacotes IP: Authentication Header (AH) e
Encapsulating Security Payload (ESP). O primeiro fornece integridade de dados e serviços anti-replay, e o
último criptografa e autentica os dados.
O pacote IPsec também inclui o Internet Key Exchange (IKE), que é usado para gerar chaves de segurança
compartilhadas para estabelecer uma associação de segurança (SA). As SAs são necessárias para os processos
de criptografia e descriptografia para negociar um nível de segurança entre duas entidades. Um roteador ou
firewall especial que fica entre duas redes geralmente lida com o processo de negociação de SA.
Aplicação e finalidade
O IPsec é usado para proteger dados confidenciais, como transações financeiras, registros médicos e
comunicações corporativas, à medida que são transmitidos pela rede. Ele também é usado para
proteger redes privadas virtuais (VPNs), onde o encapsulamento IPsec criptografa todos os dados
enviados entre dois pontos de extremidade. O IPsec também pode criptografar dados da camada de
aplicativo e fornecer segurança para roteadores que enviam dados de roteamento pela Internet
pública. O IPsec também pode ser usado para fornecer autenticação sem criptografia -- por exemplo,
para autenticar os dados originados de um remetente conhecido.
A criptografia no aplicativo ou nas camadas de transporte do modelo Open Systems Interconnection
(OSI) pode transmitir dados com segurança sem usar IPsec. Na camada de aplicação, o Hypertext
Transfer Protocol Secure (HTTPS) executa a criptografia. Enquanto na camada de transporte, o
protocolo Transport Layer Security (TLS) fornece a criptografia. No entanto, criptografar e autenticar
nessas camadas mais altas aumenta a chance de exposição de dados e de invasores interceptarem
informações de protocolo.
Arquitetura de segurança
Modo de tunelamento
Modo de transporte
No modo de tunelamento, o pacote IP é criptografado por inteiro.
No modo transporte, somente a mensagem Deve, assim, encapsular um novo pacote IP para distribuí-lo. O
(payload) é criptografada. O roteamento tunelamento é usado para comunicações da rede-a-rede (túneis
permanece intacto, desde que o cabeçalho do IP seguros entre roteadores) ou comunicações de host-a-rede e de
não seja modificado e nem cifrado; entretanto, host-a-host sobre a internet.
quando o cabeçalho da autenticação é usado, os
endereços IP não podem ser traduzidos, porque
isto invalida o valor de hash. As camadas de
transporte e de aplicação são fixas sempre pelo
hash, assim, não podem sofrer nenhuma
modificação. O modo transporte é usado para
comunicações de host-a-host.
Protocolos IPsec
O IPsec autentica e criptografa os pacotes de dados enviados por redes baseadas em IPv4 e IPv6. Os
cabeçalhos de protocolo IPsec são encontrados no cabeçalho IP de um pacote e definem como os dados
em um pacote são tratados, incluindo seu roteamento e entrega em uma rede. O IPsec adiciona vários
componentes ao cabeçalho IP, incluindo informações de segurança e um ou mais algoritmos
criptográficos.
IKE- Internet Key Exchange
Nessa política de segurança é determinada o endereço das máquinas e dos protocolos IPsec que eles
utilizam.
• Gerencia as chaves criptografadas( realiza a troca de chaves de forma segura);
• Garante autenticidade e integridade ( garante a comunicação entre os dois pontos);
• Criado para estabelecer de forma segura uma relação de confiança entre cada computador.
ESP- Encapsulamento de Dados de Segurança
1 - Reconhecimento do anfitrião
O processo IPsec começa quando um sistema host reconhece que um pacote precisa de proteção e deve ser transmitido usando diretivas
IPsec. Esses pacotes são considerados "tráfego interessante" para fins de IPsec e acionam as políticas de segurança. Para pacotes de saída,
isso significa que a criptografia e a autenticação apropriadas são aplicadas. Quando um pacote recebido é considerado interessante, o
sistema host verifica se ele foi criptografado e autenticado corretamente.
2 - Negociação, ou IKE Fase 1
Na segunda etapa, os hosts usam o IPsec para negociar o conjunto de políticas que usarão para um circuito seguro. Eles também se
autenticam entre si e configuram um canal seguro entre eles que é usado para negociar a forma como o circuito IPsec irá criptografar ou
autenticar os dados enviados por ele. Esse processo de negociação ocorre usando o modo principal ou o modo agressivo.
3 - Circuito IPsec, ou IKE Fase 2
A etapa três configura um circuito IPsec pelo canal seguro estabelecido na IKE Fase 1. Os hosts IPsec negociam os algoritmos que serão
usados durante a transmissão de dados. Os hosts também concordam e trocam as chaves de criptografia e descriptografia que planejam usar
para o tráfego de e para a rede protegida. Os hosts também trocam nonces criptográficos, que são números aleatórios usados para
autenticar sessões.
4 - Transmissão IPsec
Na quarta etapa, os hosts trocam os dados reais pelo túnel seguro que estabeleceram. As SAs IPsec configuradas anteriormente são usadas
para criptografar e descriptografar os pacotes.
5 - Terminação do IPsec
Finalmente, o túnel IPsec é encerrado. Normalmente, isso acontece depois que um número de bytes especificado anteriormente passa pelo
túnel IPsec ou a sessão atinge o tempo limite. Quando um desses eventos acontece, os hosts se comunicam e ocorre o encerramento. Após o
término, os hosts descartam as chaves privadas usadas durante a transmissão de dados.
Uso do IPsec numa VPN
Uma VPN é essencialmente uma rede privada implementada em uma rede pública. Qualquer pessoa
que se conecte à VPN pode acessar essa rede privada como se estivesse conectada diretamente a ela.
As VPNs são comumente usadas em empresas para permitir que os funcionários acessem sua rede
corporativa remotamente.
O IPsec é comumente usado para proteger VPNs. Enquanto uma VPN cria uma rede privada entre o
computador de um usuário e o servidor VPN, os protocolos IPsec implementam uma rede segura que
protege os dados VPN de acesso externo. As VPNs podem ser configuradas usando um dos dois modos
IPsec: modo de túnel e modo de transporte.
Conclusão