ipsecurity
DESCRIPTION
IPsecurity. Segurança na Camada de Rede. Introdução (1). A IETF sabia há algum tempo da necessidade de segurança na Internet. Porém havia uma discussão sobre em que camada implementá-la. - PowerPoint PPT PresentationTRANSCRIPT
IPsecurity
Segurança na Camada de Rede
Introdução (1)
• A IETF sabia há algum tempo da necessidade de segurança na Internet.
• Porém havia uma discussão sobre em que camada implementá-la.
• Especialistas em segurança acreditam que a segurança, incluindo a criptografia e a verificação de integridade, deve ser fim-a-fim.– Camada de Aplicação.
• A dificuldade dessa implementação está em alterar todas as aplicações.
Introdução (2)
• A segunda melhor abordagem é inserir segurança na Camada de Transporte ou em uma nova camada entre a Aplicação e Transporte.– Tornando-a fim-a-fim.– Evitaria alterações nas aplicações.
Introdução (3)
• A visão oposta é que os usuários não entendem de segurança não sendo capazes de usá-la corretamente.
• Logo, a Camada de Rede deveria autenticar ou codificar os segmentos, sem o envolvimento dos usuários.
• A segurança na Camada de Rede não impede os usuários de também utilizá-la na Camada de Aplicação.
IPsecurity
• RFCs 2401, 2402, 2406.• O projeto completo para IPsec é uma
estrutura para vários:– Serviços.– Algoritmos.– Detalhamentos.
Serviços
• Nem todo o mundo quer pagar por todo e qualquer serviço.
• Serviços podem ser:– Integridade.– Sigilo.– Proteção contra reprodução.
• Todos os serviços se baseiam na criptografia de chave simétrica, devido ao custo computacional menor.
Algoritmos
• Um algoritmo atualmente seguro poderá ser violado no futuro.
• Tornar o IPsec independente do algoritmo mantém a sua estrutura mesmo que determinados algoritmos sejam quebrados no futuro.
Detalhamento
• Proteger uma única conexão TCP.• Proteger toda a comunicação entre dois
hosts.• Ou todo o tráfego entre um par de
roteadores seguros.
Conexões
• O IPsec é orientado à conexão apesar de estar na Camada de Rede.
• Uma chave é estabelecida e utilizada por um período de tempo.
• Conexões amortizam o custo das transmissões.• No contexto do IPsec, as conexões são
Associações de Segurança.– Ou AS (Security Association).
Associações de Segurança
• Conexão simplex entre duas extremidades.• Identificador de segurança associado a ela.
– Os identificadores são transportados por pacotes entre estas conexões seguras.
– Usados para pesquisar chaves e outras informações relevantes ao chegar um pacote seguro.
IPsec
• Possui duas partes:– A primeira parte descreve dois novos cabeçalhos
que podem ser acrescentados aos pacotes para transportar o identificador, os dados de controle de integridade.
– A outra parte trata do estabelecimento de chaves.• ISAKMP (Internet Security Association and Key
Management Protocol).
ISAKMP (Internet Security Association and Key Management Protocol)
• É um framework.• O protocolo principal para a
execução do trabalho é o IKE (Internet Key Exchange).
Modo de Transporte
• O cabeçalho IPsec é inserido logo após o cabeçalho IP.
• O Campo Protocolo é alterado para indicar que o cabeçalho IPsec vem logo após o cabeçalho IP.
• O cabeçalho IPsec contém:– Identificador do AS.– Novo número de sequência.– Possivelmente uma verificação de integridade da
carga útil.
Modo de Tunelamento
• Todo o pacote IP, inclusive o cabeçalho, é encapsulado dentro de um novo pacote IP com um cabeçalho totalmente novo.
• Em alguns casos o túnel termina em gateways como, por exemplo, os firewalls.– As máquinas de trabalho da empresa não precisam se
preocupar com a criptografia da Camada de Rede.– Permite também que um conjunto de pacotes de diferentes
conexões sejam agregados e tratados como um único fluxo.• Impede algum intruso de ver quem está enviando ou recebendo
pacotes IPs.
Cabeçalho de Autenticação
• AH (Authentication Header).– Fornece verificação de integridade.– Não oferece sigilo.
• Não criptografa os dados.
• IPv4.– Inserido entre o cabeçalho IP e o TCP.
• IPv6.– Simplesmente um outro cabeçalho de extensão.
Cabeçalho de autenticação IPsec em modo de transporte para o IPv4
Campos do cabeçalho AH (1)
• Próximo cabeçalho.– Armazena o valor anterior que o campo Protocolo
do IP tinha antes de ser substituído por 51.• Indica que haverá um cabeçalho AH em seguida.
• Tamanho da carga útil é o número de palavras de 32 bits no cabeçalho AH, menos duas unidades.
Campos do cabeçalho AH (2)
• Índice de parâmetros de segurança.– É o identificador da conexão.– Inserido pelo transmissor indicando um registro específico
no banco de dados do receptor.• Contém a chave usada nesta conexão e outras informações
relacionadas à conexão.
• Número de sequência.– Usado para numerar todos os pacotes enviados em uma AS.
• Finalidade é detectar Ataques de Reprodução.
– Se todos os 232 se esgotarem terá que se estabelecer uma nova SA. Para dar continuidade à comunicação.
Campos do cabeçalho AH (3)
• Dados de Autenticação (HMAC).– Comprimento variável.– Contém a assinatura digital da carga útil.– Quando a AS é estabelecida, ambas as partes
negociam o algoritmo de assinatura que vão usar.• Usam o modo de chave simétrica.
– Ocorre negociação para a troca da chave.– A chave compartilhada é usada no cálculo da assinatura.
» Calcula o hash sobre o pacote somado à chave compartilhada.
» Obviamente que a chave não é transmitida.
HMAC (Hashed Message Authentication Code)
• Esse esquema é denominado HMAC (Hashed Message Authentication Code).
• É muito mais rápido calcular o valor desse esquema do que executar primeiro o SHA-1 e depois executar o RSA sobre o resultado.
ESP (Encapsulating Security Payload) (1)
• Cabeçalho IPsec alternativo.• Pode ser usado no Modo Transporte ou no
Modo Túnel.• Consiste de duas palavras de 32 bits.
– Índice de parâmetros de segurança.– Número de sequência.– Terceira palavra que geralmente segue esses
campos, porém tecnicamente não faz parte do cabeçalho é o Vetor de Referência.
ESP (Encapsulating Security Payload) (2)
• A ESP também fornece verificação de integridade para o HMAC como o AH.
• Porém ela vem depois da carga útil.– Facilita a implementação em hardware.
• O HMAC pode ser calculado a medida que os bits saem pela interface de rede e colocados no final.
• Com o AH o pacote tem que ser armazenado no buffer, a assinatura é calculada antes que seja possível enviar o pacote.
ESP (Encapsulating Security Payload) (3)
(a) ESP em modo de transporte. (b) ESP em modo túnel.
Redes Privadas Virtuais
• Muitas empresas tem fábricas e escritórios espalhados por muitas cidades.
• Antigamente, era comum essas empresas alugarem linhas dedicadas, de uma companhia telefônica, para conectar sua matriz com as filiais.
• Uma rede criada a partir de computadores de uma empresa e linhas dedicadas é chamada rede privada.
Redes privadas
• Redes privadas funcionam muito bem.
• São bastante seguras.–Intrusos tem de grampear fisicamente
as linhas para entrar.• Deficiência: Custo muito elevado.
Demandas
• Surgimento das redes públicas de dados e, mais tarde, da Internet.
• Empresas transferem seus dados para rede pública.
• Não querem abrir mão da segurança.• Demanda levou a criação das Redes Privadas
Virtuais.
Redes Privadas Virtuais
• Redes sobrepostas (overlay) às redes públicas.• Mas, com a maioria das propriedades das redes
privadas.• Uma técnica comum é construir uma VPN
diretamente sobre a Internet.• Um projeto comum é equipar cada escritório com
um firewall e criar tuneis pela Internet entre todos os pares de escritórios.
• É possível também incluir computadores domésticos.
Criação do sistema
• Cada par de firewalls negocia os parâmetros de sua AS incluindo:– Serviços.– Modos.– Algoritmos.– Chaves.
• Permitem inclusive uma certa imunidade à análise de tráfego.
Principais escolhas
• Muitos firewalls têm recursos internos para VPNs.
• Alguns roteadores comuns também.• Firewalls, VPN e Ipsec com ESP em modo túnel
formam uma combinação natural e muito utilizada.
Roteamento
• Para um roteador, o pacote dentro da VPN é apenas um pacote comum.– O cabeçalho IPsec vem após o cabeçalho IP.– Sem efeito para o encaminhamento.