ADMINISTRAÇÃO DE REDES – CV5

• Jorge Fernando Jairoce Júnior

• Adilson Michel

• Isac Sansão

• Emilda de Carmen

• Lina da Glória
Aplicação do IPSec
Internet Protocol Security
Introdução

Este trabalho aborda o tema de segurança da

informação apresentando um estudo sobre o IPsec,
um sistema de segurança da camada de rede do
modelo TCP/IP da pilha de protocolos. Apresenta
conceitos básicos de funcionamento do protocolo,
que servem como base para os termos que
aparecerem por todo restante do texto.
Originalmente o IPsec foi desenvolvido para a sexta versão do Protocolo de
Internet (IPv6). Porém, a adoção do IPv6 mostrou-se muito lenta com o
tempo, e o IPsec teve que ser retrabalhado (ainda em seu
desenvolvimento) para ser compatível também com a versão 4 (IPv4). Isto
explica algumas incompatibilidades que o sistema apresenta com NAT
(Tradução de Endereço de Rede). Neste texto discute-se conceitos básicos
de segurança de informação, como introdução aos protocolos utilizados
pelo IPsec. Após, aprofunda-se a discussão nestes protocolos, como
funcionam, o que oferecem e seus modos de operação. Breves
contextualizações estão presentes ao longo do texto, para melhor
compreensão
Significado e funcionamento

O IPSec é um conjunto de regras ou protocolos de comunicação para configurar conexões seguras em uma
rede. O Protocolo da Internet (IP) é o padrão comum que determina como os dados trafegam pela Internet. O
IPSec adiciona criptografia e autenticação para tornar esse protocolo ainda mais seguro.
A Internet Engineering Task Force, ou IETF, desenvolveu os protocolos IPsec em meados da década de 1990
para fornecer segurança na camada IP por meio de autenticação e criptografia de pacotes de rede IP.
O IPsec originalmente definiu dois protocolos para proteger os pacotes IP: Authentication Header (AH) e
Encapsulating Security Payload (ESP). O primeiro fornece integridade de dados e serviços anti-replay, e o
último criptografa e autentica os dados.
O pacote IPsec também inclui o Internet Key Exchange (IKE), que é usado para gerar chaves de segurança
compartilhadas para estabelecer uma associação de segurança (SA). As SAs são necessárias para os processos
de criptografia e descriptografia para negociar um nível de segurança entre duas entidades. Um roteador ou
firewall especial que fica entre duas redes geralmente lida com o processo de negociação de SA.
 
Aplicação e finalidade

O IPsec é usado para proteger dados confidenciais, como transações financeiras, registros médicos e
comunicações corporativas, à medida que são transmitidos pela rede. Ele também é usado para
proteger redes privadas virtuais (VPNs), onde o encapsulamento IPsec criptografa todos os dados
enviados entre dois pontos de extremidade. O IPsec também pode criptografar dados da camada de
aplicativo e fornecer segurança para roteadores que enviam dados de roteamento pela Internet
pública. O IPsec também pode ser usado para fornecer autenticação sem criptografia -- por exemplo,
para autenticar os dados originados de um remetente conhecido.
A criptografia no aplicativo ou nas camadas de transporte do modelo Open Systems Interconnection
(OSI) pode transmitir dados com segurança sem usar IPsec. Na camada de aplicação, o Hypertext
Transfer Protocol Secure (HTTPS) executa a criptografia. Enquanto na camada de transporte, o
protocolo Transport Layer Security (TLS) fornece a criptografia. No entanto, criptografar e autenticar
nessas camadas mais altas aumenta a chance de exposição de dados e de invasores interceptarem
informações de protocolo.
Arquitetura de segurança

Modo de tunelamento
Modo de transporte
No modo de tunelamento, o pacote IP é criptografado por inteiro.
No modo transporte, somente a mensagem Deve, assim, encapsular um novo pacote IP para distribuí-lo. O
(payload) é criptografada. O roteamento tunelamento é usado para comunicações da rede-a-rede (túneis
permanece intacto, desde que o cabeçalho do IP seguros entre roteadores) ou comunicações de host-a-rede e de
não seja modificado e nem cifrado; entretanto, host-a-host sobre a internet.
quando o cabeçalho da autenticação é usado, os
endereços IP não podem ser traduzidos, porque
isto invalida o valor de hash. As camadas de
transporte e de aplicação são fixas sempre pelo
hash, assim, não podem sofrer nenhuma
modificação. O modo transporte é usado para
comunicações de host-a-host.
Protocolos IPsec

O IPsec autentica e criptografa os pacotes de dados enviados por redes baseadas em IPv4 e IPv6. Os
cabeçalhos de protocolo IPsec são encontrados no cabeçalho IP de um pacote e definem como os dados
em um pacote são tratados, incluindo seu roteamento e entrega em uma rede. O IPsec adiciona vários
componentes ao cabeçalho IP, incluindo informações de segurança e um ou mais algoritmos
criptográficos.
IKE- Internet Key Exchange

Nessa política de segurança é determinada o endereço das máquinas e dos protocolos IPsec que eles
utilizam.
 
• Gerencia as chaves criptografadas( realiza a troca de chaves de forma segura);
• Garante autenticidade e integridade ( garante a comunicação entre os dois pontos);
• Criado para estabelecer de forma segura uma relação de confiança entre cada computador.

 
ESP- Encapsulamento de Dados de Segurança

É o principal protocolo do IPsec:

• Previne contra ataques (ex: ataque sniffer: onde o atacante captura os pacotes trafegados na rede e tenta
quebrar a criptografia para ter acesso aos dados);
• Pode ser aplicado isoladamente tal como combinado com o AH ( o AH protege os pacotes contra a modificação
porém dos dados não possuírem criptografia, já o ESP é importante porque além de fazer oque o AH faz ele
criptografa os pacotes também);
• Possui criptografia;
AH

Cabeçalho de Autenticação (AH)

Foi projetado para ser inserido em um pacote IP adicionar a autenticação e proteger contra modificações.
• Garante autenticidade e integridade da informação: nisto ele confirma se a pessoa que transmitiu e a pessoa que
recebe certa informação é a pessoa que diz que é;
• Protege de ataque como : roubo de conexão, Replay;
• Não possui criptografia é um ponto fraco.
ISAKMP

Associação de Segurança da Internet e Protocolo de Gerenciamento de Chaves.

O ISAKMP e o protocolo que negocia a politica e fornece uma estrutura comum gerando as chaves de que os
Ipsec podem compartilhar:
• Cria um tunel seguro entre duas entidades em seguida negocia a associação de segurança para Ipsec;
• Este protocolo exige que as duas entidades em seguida negocia a associação de segurança para Ipsec.
5 Etapas principais envolvidas no funcionamento do IPsec

1 - Reconhecimento do anfitrião
O processo IPsec começa quando um sistema host reconhece que um pacote precisa de proteção e deve ser transmitido usando diretivas
IPsec. Esses pacotes são considerados "tráfego interessante" para fins de IPsec e acionam as políticas de segurança. Para pacotes de saída,
isso significa que a criptografia e a autenticação apropriadas são aplicadas. Quando um pacote recebido é considerado interessante, o
sistema host verifica se ele foi criptografado e autenticado corretamente.
2 - Negociação, ou IKE Fase 1
Na segunda etapa, os hosts usam o IPsec para negociar o conjunto de políticas que usarão para um circuito seguro. Eles também se
autenticam entre si e configuram um canal seguro entre eles que é usado para negociar a forma como o circuito IPsec irá criptografar ou
autenticar os dados enviados por ele. Esse processo de negociação ocorre usando o modo principal ou o modo agressivo.
3 - Circuito IPsec, ou IKE Fase 2
A etapa três configura um circuito IPsec pelo canal seguro estabelecido na IKE Fase 1. Os hosts IPsec negociam os algoritmos que serão
usados ​durante a transmissão de dados. Os hosts também concordam e trocam as chaves de criptografia e descriptografia que planejam usar
para o tráfego de e para a rede protegida. Os hosts também trocam nonces criptográficos, que são números aleatórios usados ​para
autenticar sessões.
4 - Transmissão IPsec
Na quarta etapa, os hosts trocam os dados reais pelo túnel seguro que estabeleceram. As SAs IPsec configuradas anteriormente são usadas
para criptografar e descriptografar os pacotes.
5 - Terminação do IPsec
Finalmente, o túnel IPsec é encerrado. Normalmente, isso acontece depois que um número de bytes especificado anteriormente passa pelo
túnel IPsec ou a sessão atinge o tempo limite. Quando um desses eventos acontece, os hosts se comunicam e ocorre o encerramento. Após o
término, os hosts descartam as chaves privadas usadas durante a transmissão de dados.
Uso do IPsec numa VPN

Uma VPN é essencialmente uma rede privada implementada em uma rede pública. Qualquer pessoa
que se conecte à VPN pode acessar essa rede privada como se estivesse conectada diretamente a ela.
As VPNs são comumente usadas em empresas para permitir que os funcionários acessem sua rede
corporativa remotamente.
O IPsec é comumente usado para proteger VPNs. Enquanto uma VPN cria uma rede privada entre o
computador de um usuário e o servidor VPN, os protocolos IPsec implementam uma rede segura que
protege os dados VPN de acesso externo. As VPNs podem ser configuradas usando um dos dois modos
IPsec: modo de túnel e modo de transporte.
Conclusão

Este trabalho abordau o tema IPsec, um sistema de segurança da

camada de rede do modelo TCP/IP da pilha de protocolos.
Apresentaram-se os conceitos básicos de funcionamento do
protocolo. Ilustrou-se e definiu-se os campos dos protocolos de
segurança usados pelo IPsec e seus modos de funcionamento.
Descreveu-se também o funcionamento de seu protocolo e cada
etapa envolvida no funcionamento do IPSec.