Download - IPsecurity
![Page 1: IPsecurity](https://reader036.vdocuments.pub/reader036/viewer/2022062718/56812c29550346895d909f2a/html5/thumbnails/1.jpg)
IPsecurity
Segurança na Camada de Rede
![Page 2: IPsecurity](https://reader036.vdocuments.pub/reader036/viewer/2022062718/56812c29550346895d909f2a/html5/thumbnails/2.jpg)
Introdução (1)
• A IETF sabia há algum tempo da necessidade de segurança na Internet.
• Porém havia uma discussão sobre em que camada implementá-la.
• Especialistas em segurança acreditam que a segurança, incluindo a criptografia e a verificação de integridade, deve ser fim-a-fim.– Camada de Aplicação.
• A dificuldade dessa implementação está em alterar todas as aplicações.
![Page 3: IPsecurity](https://reader036.vdocuments.pub/reader036/viewer/2022062718/56812c29550346895d909f2a/html5/thumbnails/3.jpg)
Introdução (2)
• A segunda melhor abordagem é inserir segurança na Camada de Transporte ou em uma nova camada entre a Aplicação e Transporte.– Tornando-a fim-a-fim.– Evitaria alterações nas aplicações.
![Page 4: IPsecurity](https://reader036.vdocuments.pub/reader036/viewer/2022062718/56812c29550346895d909f2a/html5/thumbnails/4.jpg)
Introdução (3)
• A visão oposta é que os usuários não entendem de segurança não sendo capazes de usá-la corretamente.
• Logo, a Camada de Rede deveria autenticar ou codificar os segmentos, sem o envolvimento dos usuários.
• A segurança na Camada de Rede não impede os usuários de também utilizá-la na Camada de Aplicação.
![Page 5: IPsecurity](https://reader036.vdocuments.pub/reader036/viewer/2022062718/56812c29550346895d909f2a/html5/thumbnails/5.jpg)
IPsecurity
• RFCs 2401, 2402, 2406.• O projeto completo para IPsec é uma
estrutura para vários:– Serviços.– Algoritmos.– Detalhamentos.
![Page 6: IPsecurity](https://reader036.vdocuments.pub/reader036/viewer/2022062718/56812c29550346895d909f2a/html5/thumbnails/6.jpg)
Serviços
• Nem todo o mundo quer pagar por todo e qualquer serviço.
• Serviços podem ser:– Integridade.– Sigilo.– Proteção contra reprodução.
• Todos os serviços se baseiam na criptografia de chave simétrica, devido ao custo computacional menor.
![Page 7: IPsecurity](https://reader036.vdocuments.pub/reader036/viewer/2022062718/56812c29550346895d909f2a/html5/thumbnails/7.jpg)
Algoritmos
• Um algoritmo atualmente seguro poderá ser violado no futuro.
• Tornar o IPsec independente do algoritmo mantém a sua estrutura mesmo que determinados algoritmos sejam quebrados no futuro.
![Page 8: IPsecurity](https://reader036.vdocuments.pub/reader036/viewer/2022062718/56812c29550346895d909f2a/html5/thumbnails/8.jpg)
Detalhamento
• Proteger uma única conexão TCP.• Proteger toda a comunicação entre dois
hosts.• Ou todo o tráfego entre um par de
roteadores seguros.
![Page 9: IPsecurity](https://reader036.vdocuments.pub/reader036/viewer/2022062718/56812c29550346895d909f2a/html5/thumbnails/9.jpg)
Conexões
• O IPsec é orientado à conexão apesar de estar na Camada de Rede.
• Uma chave é estabelecida e utilizada por um período de tempo.
• Conexões amortizam o custo das transmissões.• No contexto do IPsec, as conexões são
Associações de Segurança.– Ou AS (Security Association).
![Page 10: IPsecurity](https://reader036.vdocuments.pub/reader036/viewer/2022062718/56812c29550346895d909f2a/html5/thumbnails/10.jpg)
Associações de Segurança
• Conexão simplex entre duas extremidades.• Identificador de segurança associado a ela.
– Os identificadores são transportados por pacotes entre estas conexões seguras.
– Usados para pesquisar chaves e outras informações relevantes ao chegar um pacote seguro.
![Page 11: IPsecurity](https://reader036.vdocuments.pub/reader036/viewer/2022062718/56812c29550346895d909f2a/html5/thumbnails/11.jpg)
IPsec
• Possui duas partes:– A primeira parte descreve dois novos cabeçalhos
que podem ser acrescentados aos pacotes para transportar o identificador, os dados de controle de integridade.
– A outra parte trata do estabelecimento de chaves.• ISAKMP (Internet Security Association and Key
Management Protocol).
![Page 12: IPsecurity](https://reader036.vdocuments.pub/reader036/viewer/2022062718/56812c29550346895d909f2a/html5/thumbnails/12.jpg)
ISAKMP (Internet Security Association and Key Management Protocol)
• É um framework.• O protocolo principal para a
execução do trabalho é o IKE (Internet Key Exchange).
![Page 13: IPsecurity](https://reader036.vdocuments.pub/reader036/viewer/2022062718/56812c29550346895d909f2a/html5/thumbnails/13.jpg)
Modo de Transporte
• O cabeçalho IPsec é inserido logo após o cabeçalho IP.
• O Campo Protocolo é alterado para indicar que o cabeçalho IPsec vem logo após o cabeçalho IP.
• O cabeçalho IPsec contém:– Identificador do AS.– Novo número de sequência.– Possivelmente uma verificação de integridade da
carga útil.
![Page 14: IPsecurity](https://reader036.vdocuments.pub/reader036/viewer/2022062718/56812c29550346895d909f2a/html5/thumbnails/14.jpg)
Modo de Tunelamento
• Todo o pacote IP, inclusive o cabeçalho, é encapsulado dentro de um novo pacote IP com um cabeçalho totalmente novo.
• Em alguns casos o túnel termina em gateways como, por exemplo, os firewalls.– As máquinas de trabalho da empresa não precisam se
preocupar com a criptografia da Camada de Rede.– Permite também que um conjunto de pacotes de diferentes
conexões sejam agregados e tratados como um único fluxo.• Impede algum intruso de ver quem está enviando ou recebendo
pacotes IPs.
![Page 15: IPsecurity](https://reader036.vdocuments.pub/reader036/viewer/2022062718/56812c29550346895d909f2a/html5/thumbnails/15.jpg)
Cabeçalho de Autenticação
• AH (Authentication Header).– Fornece verificação de integridade.– Não oferece sigilo.
• Não criptografa os dados.
• IPv4.– Inserido entre o cabeçalho IP e o TCP.
• IPv6.– Simplesmente um outro cabeçalho de extensão.
![Page 16: IPsecurity](https://reader036.vdocuments.pub/reader036/viewer/2022062718/56812c29550346895d909f2a/html5/thumbnails/16.jpg)
Cabeçalho de autenticação IPsec em modo de transporte para o IPv4
![Page 17: IPsecurity](https://reader036.vdocuments.pub/reader036/viewer/2022062718/56812c29550346895d909f2a/html5/thumbnails/17.jpg)
Campos do cabeçalho AH (1)
• Próximo cabeçalho.– Armazena o valor anterior que o campo Protocolo
do IP tinha antes de ser substituído por 51.• Indica que haverá um cabeçalho AH em seguida.
• Tamanho da carga útil é o número de palavras de 32 bits no cabeçalho AH, menos duas unidades.
![Page 18: IPsecurity](https://reader036.vdocuments.pub/reader036/viewer/2022062718/56812c29550346895d909f2a/html5/thumbnails/18.jpg)
Campos do cabeçalho AH (2)
• Índice de parâmetros de segurança.– É o identificador da conexão.– Inserido pelo transmissor indicando um registro específico
no banco de dados do receptor.• Contém a chave usada nesta conexão e outras informações
relacionadas à conexão.
• Número de sequência.– Usado para numerar todos os pacotes enviados em uma AS.
• Finalidade é detectar Ataques de Reprodução.
– Se todos os 232 se esgotarem terá que se estabelecer uma nova SA. Para dar continuidade à comunicação.
![Page 19: IPsecurity](https://reader036.vdocuments.pub/reader036/viewer/2022062718/56812c29550346895d909f2a/html5/thumbnails/19.jpg)
Campos do cabeçalho AH (3)
• Dados de Autenticação (HMAC).– Comprimento variável.– Contém a assinatura digital da carga útil.– Quando a AS é estabelecida, ambas as partes
negociam o algoritmo de assinatura que vão usar.• Usam o modo de chave simétrica.
– Ocorre negociação para a troca da chave.– A chave compartilhada é usada no cálculo da assinatura.
» Calcula o hash sobre o pacote somado à chave compartilhada.
» Obviamente que a chave não é transmitida.
![Page 20: IPsecurity](https://reader036.vdocuments.pub/reader036/viewer/2022062718/56812c29550346895d909f2a/html5/thumbnails/20.jpg)
HMAC (Hashed Message Authentication Code)
• Esse esquema é denominado HMAC (Hashed Message Authentication Code).
• É muito mais rápido calcular o valor desse esquema do que executar primeiro o SHA-1 e depois executar o RSA sobre o resultado.
![Page 21: IPsecurity](https://reader036.vdocuments.pub/reader036/viewer/2022062718/56812c29550346895d909f2a/html5/thumbnails/21.jpg)
ESP (Encapsulating Security Payload) (1)
• Cabeçalho IPsec alternativo.• Pode ser usado no Modo Transporte ou no
Modo Túnel.• Consiste de duas palavras de 32 bits.
– Índice de parâmetros de segurança.– Número de sequência.– Terceira palavra que geralmente segue esses
campos, porém tecnicamente não faz parte do cabeçalho é o Vetor de Referência.
![Page 22: IPsecurity](https://reader036.vdocuments.pub/reader036/viewer/2022062718/56812c29550346895d909f2a/html5/thumbnails/22.jpg)
ESP (Encapsulating Security Payload) (2)
• A ESP também fornece verificação de integridade para o HMAC como o AH.
• Porém ela vem depois da carga útil.– Facilita a implementação em hardware.
• O HMAC pode ser calculado a medida que os bits saem pela interface de rede e colocados no final.
• Com o AH o pacote tem que ser armazenado no buffer, a assinatura é calculada antes que seja possível enviar o pacote.
![Page 23: IPsecurity](https://reader036.vdocuments.pub/reader036/viewer/2022062718/56812c29550346895d909f2a/html5/thumbnails/23.jpg)
ESP (Encapsulating Security Payload) (3)
(a) ESP em modo de transporte. (b) ESP em modo túnel.
![Page 24: IPsecurity](https://reader036.vdocuments.pub/reader036/viewer/2022062718/56812c29550346895d909f2a/html5/thumbnails/24.jpg)
Redes Privadas Virtuais
• Muitas empresas tem fábricas e escritórios espalhados por muitas cidades.
• Antigamente, era comum essas empresas alugarem linhas dedicadas, de uma companhia telefônica, para conectar sua matriz com as filiais.
• Uma rede criada a partir de computadores de uma empresa e linhas dedicadas é chamada rede privada.
![Page 25: IPsecurity](https://reader036.vdocuments.pub/reader036/viewer/2022062718/56812c29550346895d909f2a/html5/thumbnails/25.jpg)
Redes privadas
• Redes privadas funcionam muito bem.
• São bastante seguras.–Intrusos tem de grampear fisicamente
as linhas para entrar.• Deficiência: Custo muito elevado.
![Page 26: IPsecurity](https://reader036.vdocuments.pub/reader036/viewer/2022062718/56812c29550346895d909f2a/html5/thumbnails/26.jpg)
Demandas
• Surgimento das redes públicas de dados e, mais tarde, da Internet.
• Empresas transferem seus dados para rede pública.
• Não querem abrir mão da segurança.• Demanda levou a criação das Redes Privadas
Virtuais.
![Page 27: IPsecurity](https://reader036.vdocuments.pub/reader036/viewer/2022062718/56812c29550346895d909f2a/html5/thumbnails/27.jpg)
Redes Privadas Virtuais
• Redes sobrepostas (overlay) às redes públicas.• Mas, com a maioria das propriedades das redes
privadas.• Uma técnica comum é construir uma VPN
diretamente sobre a Internet.• Um projeto comum é equipar cada escritório com
um firewall e criar tuneis pela Internet entre todos os pares de escritórios.
• É possível também incluir computadores domésticos.
![Page 28: IPsecurity](https://reader036.vdocuments.pub/reader036/viewer/2022062718/56812c29550346895d909f2a/html5/thumbnails/28.jpg)
Criação do sistema
• Cada par de firewalls negocia os parâmetros de sua AS incluindo:– Serviços.– Modos.– Algoritmos.– Chaves.
• Permitem inclusive uma certa imunidade à análise de tráfego.
![Page 29: IPsecurity](https://reader036.vdocuments.pub/reader036/viewer/2022062718/56812c29550346895d909f2a/html5/thumbnails/29.jpg)
Principais escolhas
• Muitos firewalls têm recursos internos para VPNs.
• Alguns roteadores comuns também.• Firewalls, VPN e Ipsec com ESP em modo túnel
formam uma combinação natural e muito utilizada.
![Page 30: IPsecurity](https://reader036.vdocuments.pub/reader036/viewer/2022062718/56812c29550346895d909f2a/html5/thumbnails/30.jpg)
Roteamento
• Para um roteador, o pacote dentro da VPN é apenas um pacote comum.– O cabeçalho IPsec vem após o cabeçalho IP.– Sem efeito para o encaminhamento.