2001, edgard jamhour ipsec: ip seguro edgard jamhour

2001, Edgard Jamhour

IPsec: IP Seguro

Edgard Jamhour


IP Sec - IP Seguro

• Padrão aberto baseado em RFC (IETF).– Comunicação segura em camada 3 (IPv4 e IPv6)– Provê recursos de segurança sobre redes IP:

• Autenticação, Integridade e Confidencialidade

• Dois modos de funcionamento:– Modo Transporte– Modo Túnel

• Dois Protocolos (Mecanismos)– IPsec ESP: IP Encapsulating Security Payload (50)– IPsec AH: IP Autentication Header (51)


Tipos de IPSec

• IP Autentication Header (AH)

– Oferece recursos de:• Autenticação• Integridade

• IP Encapsulating Security Payload (ESP)

– Oferece recursos de:• Confidencialidade• Autenticação• Integridade


IPsec AH e IPsec ESP

IP TCP/UDP DADOS

IP TCP/UDP DADOSAH

IP TCP/UDP DADOSESPH ESPT ESPA

criptografia

IPv4

AH modo transporte

ESPtransporte

autenticação e integridade



Estrutura Geral do IPsec


Implementação do IPsec

• IPsec pode ser implementado de três formas:

– Como um driver– Reescrevendo-se o código do protocolo IP– Dispositivo externo "Bump-in-the-wire" (BITW)

IP

IPsec Driver

Enlace

(Driver da Placa de Rede)

IP/IPsec Nativo

Enlace

(Driver da Placa de Rede)

Sistemas Operacionais Roteadores


Modos de Utilização do IPsec

• Modo transporte

– Garante a segurança apenas dos dados provenientes das camadas superiores.

– Utilizado geralmente para comunicação "fim-a-fim" entre computadores.

• Modo tunel

– Fornece segurança também para a camada IP.– Utilizado geralmente para comunicação entre

roteadores.


Modo Tunel e Transporte

INTERNET

Conexão IPsec em modo Transporte

INTERNET

Conexão IPsec em modo Túnel



Rede não Confiável



Rede Confiável

Rede Confiável

Rede Confiável

Gateway Seguro

Gateway SeguroGateway Seguro

Host

Host Host


IPSec : Estrutura AH e ESP

IP TCP/UDP DADOS IPv4

IP TCP/UDP DADOSAHAH modo transporte

IP TCP/UDP DADOSESPH ESPT ESPA ESPtransporte

IP IPESPH TCP/UDP DADOS ESPT ESPA

criptografia

ESPtunel


IP TCP/UDP DADOSAH IP AH modo tunel



Authentication Header

Next Header reserved

1 byte 1 byte

Length reserved

SPI: Security Parameter Index

Authentication Data(ICV: Integrity Check Value)

Campo de Tamanho Variável, depende do protocolo de autenticação utilizado

1 byte 1 byte

• Provê serviços de autenticação e Integridade de Pacotes.

Sequence Number


Campos do IPsec AH

• Next Header:– Código do protocolo encapsulado pelo IPsec, de acordo com os

códigos definidos pela IANA (UDP, TCP, etc ...)

• Length: – comprimento do cabeçalho em múltiplos de 32.

• Security Parameter Index:

– identificador de 32 bits, com a SA compartilhada pelo transmissor e pelo receptor.

• Authentication Data:

– Código de verificação de integridade (ICV) de tamanho variável, depende do protocolo utilizado.


Campos do IPsec AH

• Sequence Number:– Numero incremental, que começa a contagem quando o SA é

criada.– Permite que apenas 232-1 pacotes sejam transmitidos na mesma

SA. Após esse número, uma nova SA deve ser criada.

Host A Host B

negociam SA e definem SPI

SPI=x e SN=1

SPI=x e SN=2

...

SPI=y trans.SPI=x recep.

SPI=x trans.SPI=y recep.

SPI=y e SN=1


Authentication Data

• Para enviar um pacote:

1. O transmissor constrói um pacote com todos os campos IP e protocolos das camadas superiores.

2. Ele substitui todos os campos que mudam ao longo da transmissão com 0’s (por exemplo, o TTL)

3. O pacote é completado com 0’s para se tornar múltiplo de 16 bits.4. Um checksum criptográfico é computado para concatenação:

– Algoritmos: HMAC-MD5 ou HMAC-SHA-1– MAC: Message Authentication Code


Autenticação

• Para receber um pacote:

1. O receptor utiliza o SPI para determinar qual o algoritmo a ser utilizado para validar o pacote recebido.

2. O receptor substitui os campos mutáveis por “0” e calcula o checksum criptográfico do pacote.

3. Se ele concordar com o checksum contido no cabeçalho do pacote de autorização, ele é então aceito.

IP TCP/UDP DADOSAH

Algoritmo de Integridade ICV

ICV

iguais?


AH e Modo Túnel e Modo Transporte

IP TCP/UDP DADOS

IP TCP/UDP DADOSAH

IP TCP/UDP DADOSAH IP

IPv4

IPv4 com autenticação

IPv4 com autenticação e tunelamento

Especifica os Gateways nas Pontas do Tunnel

Especifica os Computadores

IP Normal

Modo Transporte

Modo Tunel


AH Modo Tunel e Transporte

SA

INTERNET

SA

SA INTERNET SA


IPsec AH IPsec AH IPsec AH IPsec AH IPsec AH


IPsec AH IPsec AH IPsec AH

IP

IPIP

IP


Encrypted Security Payload Header

• ESP provê recursos de autenticação, integridade e criptografia de pacotes.

Next HeaderPad (0 – 255 bytes)

1 byte 1 byte

Pad Length

Security Parameter Index

Encrypted Payload(dados criptografados)

1 byte 1 byte

Sequence Number

Authentication Data(tamanho variável)

HEADER

TRAILER

AUTH


Campos do IPsec ESP

• Header:– SPI e Sequence Number: Mesmas funções do AH– O algoritmo de criptografia pode ser qualquer, mas o DES Cipher-

Block Chaining é o default.

• Trailler:– Torna os dados múltiplos de um número inteiro, conforme

requerido pelo algoritmo de criptografia. – O trailler também é criptografado.

• Auth:– ICV (Integrity Check Value) calculado de forma idêntica ao

cabeçalho AH. Este campo é opcional.


ESP IPSec : Tunel e Transporte

TCPUDP

DADOSESP HEADER

ESPTRAILER

ESPAUTH

criptografadoautenticado

TCPUDP

DADOSIP

IP TCPUDP

DADOSESP HEADER

ESPTRAILER

ESPAUTH


IP

IP

MODO TRANSPORTE

MODO TUNNEL


ESP Modo Tunel e Transporte

SA

INTERNET

SA

SA INTERNET SA


IPsec ESP IPsec ESP IPsec ESP IPsec ESP IPsec ESP


IPsec ESP IPsec ESP IPsec ESP

IP

IPIP

IP


ESP IPSec : Tunel e Transporte

TCPUDP

DADOSESP HEADER

ESPTRAILER

ESPAUTH


TCPUDP

DADOSIP

IP TCPUDP

DADOSESP HEADER

ESPTRAILER

ESPAUTH


IP

IP

MODO TRANSPORTE

MODO TUNNEL


Configuração do IPsec

• Cada dispositivo de rede (Host ou Gateway) possui uma política de segurança que orienta o uso de IPsec.

• Uma política IPsec é formada por um conjunto de regras, muito semelhantes as regras de um firewall.

• As políticas IPsec são definidas de maneira distinta para os pacotes transmitidos e para os pacotes recebidos.


Políticas de Segurança

• Uma Política IPsec é formada por um conjunto de regras com o seguinte formato:

– Se CONDICAO SatisfeitaEntão executar ACAO da POLÍTICA

• A CONDIÇÃO (Chamada de Filtro):

– define quando uma regra de Política deve ser tornar ATIVA.

• A AÇÃO:

– define o que deve ser feito quando a condição da REGRA for SATISFEITA.


Elementos para Configuração do IPsec

Ações(Ação de Filtro)

Condições(Lista de Filtros)

Política IPsecRegra de Política

Regra de Política

Regra de Política

Lista de Regras


Condição (Lista de Filtros)

• Cada filtro define as condições em que uma política deve ser ativa.

a) IP origem (nome, IP ou subrede) b) IP destino (nome, IP ou subrede) c) Tipo de Protocolo (código IANA para

TCP, UDP, ICMP, etc...)d) Porta Origem (se TCP/UDP)e) Porta de Destino (se TCP/UDP)


Ação

• A ação define o que deverá ser feito com o pacote recebido ou transmitido.

• O IPsec define 3 ações:

– repassar o pacote adiante sem tratamento • ação: bypass IPsec

– rejeitar o pacode• ação discard

– negociar IPsec• define um modo de comunicação incluindo as

opções Tunel, Transporte, IPsec ESP e IPsec AH.


Negociar IPsec

• Se a ação for do tipo Negociar IPsec, deve-se definir:– Obrigatoriedade:

• Facultativo: Aceita comunicação insegura (se o outro não suporta IPsec).

• Obrigatório: Aceita apenas comunicação segura.– Tipo de IPsec:

• AH: Define o algoritmo de Hashing• ESP: Define o algotimo de Hashing e Criptografia

– Modo Túnel ou Modo Transporte• Se modo túnel, especificar o IP do fim do túnel


Ações IPsec na Transmissão

DiscardBypass

Regras IPsec

• gerar assinaturas digitais• criptografar os dados

IPsec Driver

Enlace

IP

IPsec AH

IP

Negociar IPsec

IPXX

IPsec ESP


Ações IPsec na Recepção

DiscardBypass

Regras IPsec

• verifica assinaturas • decriptografa

IPsec Driver

Enlace

IP

IPsec AH

IP

Negociar IPsec

IP

XX

IPsec ESP

XXIP


Implementação de Políticas

• Para que dois computadores "A" e "B" criem uma comunicação IPsec:– Computador A:

• deve ter políticas IPsec para transmitir pacotes cujo endereço de destino é "B".

• deve ter políticas IPsec para receber pacotes cujo endereço de origem é "B".

– Computador B:• deve ter políticas IPsec para transmitir pacotes

cujo endereço de destino é "A".• deve ter políticas IPsec para receber pacotes cujo

endereço de origem é "A".


Exemplo de Política em Modo Transporte

10.32.1.45

10.26.128.0255.255.128.0

HOST B

10.26.128.1 10.32.1.1


Formato das Regras

• Modo:– Modo Tunel ou Modo Transporte? – IP do Túnel (se houver)

• Filtro:– IP de Origem e Destino (pode ser subrede)– Protocolo (TCP, UDP, etc)– Porta de Origem e Destino (se houver)

• Ação:– Tipo: Aceitar, Bloquear, Negociar– Protocolo IPsec (AH, ESP) – Obrigatório (S/N)– Integridade: MD5, SHA– Criptografia: DES, 3DES


Política 1: ICMP

• Objetivo: – Evitar ataques ICMP com spoofing.

• Política: Para o HOST B:

– Apenas mensagens ICMP vindas da subrede 10.26.128.0/17 em modo IPsec AH são aceitas.

– Se o solicitante não suporta IPsec, então a comunicação é Rejeitada


Exemplo de Política Transporte: ICMP

10.26.128.0/17

10.32.1.45ICMP

ICMP (AH)

HOST B

REDE A

REDE_A HOST_B ICMP

HOST_B REDE_A ICMP

2 REGRAS


Política para o HOST B

Modo IPOrigem

IPDestino

Protocol Porta Origem

Porta Destino

Acao


Políticas Básicas

• Algumas implementações de IPsec, como no Windows 2000 oferecem políticas pré-definidas para facilitar a configuração das regras`.

– Sem IPsec– Client (Respond Only)

• Implementa IPsec apenas se exigido pelo Servidor.– Secure Server (Require Security)

• Efetua apenas comunicação IPsec. • Rejeita conexões com clientes que não suportam IPsec.

– Server (Request Security)• Solicita sempre comunicação IPsec.• Aceita conexões sem segurança se o cliente não suportar

IPsec.


Políticas Básicas

Não Fala IPsec

ClienteIPsec

RequestSecurity

Require Security

CLIENTE SERVIDOR


Pergunta:

• Que política Básica deve ser configurada nos hosts da rede A para que eles possam enviar as mensagens de ping?

• RESPOSTA:

– Sem IPsec:– Cliente:– Request Security– Require Security


Expandindo a política: Acesso HTTP

• Objetivo:

– Possibilitar que usuários da Intranet possam estabelecer comunicação em modo seguro, com criptografia de dados.

• Política: Para o HOST B:

– Apenas o acesso da subrede 10.26.128.0/17 em modo IPsec ESP é permitido.

– Se o solicitante não suporta IPsec, então a comunicação não é Permitida.

– Se o solicitante pertencer a uma outra subrede, então a comunicação é bloqueada.


Acesso HTTP

10.26.128.0

10.32.1.45HTTP (ESP)

HTTP

HOST B

HTTP

REDE_A HOST_B HTTP

HOST_B REDE_A HTTP

2 REGRAS

REDE A



Modo IPOrigem

IPDestino


Porta Dest.

Acao

Transp. 10.26.128.0/17

10.32.1.45 ICMP * * AH SHA1AH MD5

Transp. 10.32.1.45 10.26.128.0/17

ICMP * * AH SHA1AH MD5


Política Default

• Assim como um firewall, é necessário definir uma políticas Default para o IPsec.

• A políticas default será aplicada quando as condições do pacote não forem satisfeitas por nenhuma das regras pré-definidas.

• A política default pode ser:– Bloquear– Bypass IPsec– Negociar IPsec em vários modos:

• IPsec ESP 3DES, SHA1• IPsec ESP DES, MD5• AH SHA1• AH MD5


Security Association (SA)

• Dois computadores podem possuir um conjunto amplo de políticas para transmissão e recepção de pacotes.

• É necessário encontrar uma política que seja comum ao transmissor e ao receptor.

A B

Eu transmito para qualquer rede sem IPsecEu transmito para qualquer rede em IPsec AH MD5E aceito pacotes de qualquer rede em com IPsec AH MD5

Eu transmito para qualquer rede em IPsec AH MD5Eu transmito para qualquer rede em IPsec AH SHA1Eu aceito pacotes de qualquer rede em com IPsec AH MD5Eu aceito pacotes de qualquer rede em com IPsec AH MD5


Security Association

• Uma vez definida uma política comum a ambos os computadores, uma associação de segurança (SA) é criada para “lembrar” as condições de comunicação entre os hosts.

• Isso evita que as políticas sejam revistas pelo IPsec a cada novo pacote recebido ou transmitido.

• Cada pacote IPsec identifica a associação de seguraça ao qual é relacionado pelo campo SPI contido tanto no IPsec AH quanto no IPsec ESP.


Negociação de SA’s

• A negociação de SA e o gerenciamento de chaves é implementado por mecanismos externos ao IPsec.

• A única relação entre esses mecanismos externos e o IPsec é através do SPI (Secure Parameter Index).

• O gerenciamento de chaves é implementado de forma automática pelo protocolo:

– IKE: Internet Key Exchange Protocol


IKE: The Internet Key Exchange

• Mecanismo estabelecimento das Associações de Segurança.

• Anteriormente conhecido como ISAKMP/Oakley

– ISAKMP( The Internet Security Association and Key Management Protocol)

• Protocolo para negociar, modificar e eliminar associações de segurança e chaves.

• Define os conteúdos para geração de chaves de intercâmbio de dados de autenticação.

– Oakley• Protocolo para intercâmbio de chaves de sessão.


Distribuição de Chaves no IPsec

• A distribuição de chaves no IPsec é implementado de forma independente do protocolo, na forma de uma aplicação.

UDP500


Princípios para Criação das SA

• Princípio:– Todo dispositivo que estabelece um SA deve ser previamente

autenticado.– Toda informação trocada para criar os SA’s deve ser autenticada

e criptografada.

• IKE:– Autenticação de “peers” numa comunicação IPsec.– Negocia políticas de segurança.– Manipula a troca de chaves de sessão.

• Através de certificados.• Através de segredos pré-definidos.• Através do OakLey.• Através de Certificados.


IPsec faz uma negociação em Duas Fases

• FASE 1:– Criação de uma SA Temporária– Cria um canal seguro temporário para Negociação da SA

Definitiva.

• FASE 2:– Criação de uma SA Permanente– Cria o canal seguro para transmissão dos dados.

• O driver IPsec:• Verifica mudanças de política a cada 180 minutos.• Refaz a autenticação a cada 480 minutos• Pode reutilizar ou não a chave mestra da Fase 1 para gerar

novas chaves de sessão em comunicações seguras com o mesmo computador.


Algoritmos Utilizados

• Algoritmo de Chave Pública:

– Diffie-Hellman– Algorítimo de chave pública, utilizado pelo IKE para transportar as

chaves de sessão.

• Algoritmos de Criptografia:

– DES-CBC with Explicit IV – 40-bit DES-CBC with Explicit IV – DES-CBC with Derived IV as specified in RFC 1829

• Algoritmos de Autenticação:

– HMAC-MD5 – HMAC-SHA – Keyed MD5 conforme RFC 1828


Fases de Criação da SA

FASE 1: AutenticaçãoUtiliza um SA temporário (ISAKMP AS)

1. Policy Negotiation – Determina:

o O Algoritmo de criptografia: DES, 3DES, 40bitDES, ou nenhum.

o O Algoritmo de integridade: MD5 or SHA. o O Método de autenticação: Public Key Certificate,

preshared key, or Kerberos V5 (método default utilizado pelo Windows2000, por exemplo).

o O grupo Diffie-Hellman.



2. Key Information Exchange

o Utiliza Diffie-Helman para trocar um segredo compartilhado

3. Authentication

o Utiliza um dos mecanismos da fase 1 para autenticar o usuário.



FASE 2: Criação do SA para IPsec– Define o SA que será realmente usado para

comunicação segura

1. Policy Negotiation – Determina:

o O protocolo IPsec: AH, ESP. o O Algoritmo de Integridade: MD5, SHA. o O Algoritmo de Criptografia: DES, 3DES,

40bitDES, or none.

2. O SA e as chaves são passadas para o driver IPsec, junto com o SPI.


Modos do SA

• Assim como o IPsec, as SA podem ser de dois modos:– Transporte

• Provê segurança apenas para as camadas superiores (ESP) e autenticação para alguns campos do IP (AH).

• Utilizado para estabelecer a segurança entre dois Hosts.

– Tunel• Aplica segurança em um pacote tunelado.• Utilizado para estabelecer a segurança:

– entre dois roteadores– entre um computador e um roteador.






Rede Confiável

Rede Confiável

Rede Confiável

Gateway Seguro

Gateway SeguroGateway Seguro

Host

Host Host

SA SA

SA SA

SA SA


Combinação de SA (SA bundle)

• As funcionalidades oferecidas nos modos Tunel, Tranporte AH e ESP não são idênticas.

• Muita vezes são necessárias mais de uma SA para satisfazer os requisitos de segurança de uma comunicação segura.

INTERNET

SA Tunnel com ESP

SA Transporte com AH


Tunelamento Múltiplo (Iterate Tunneling)

• IPsec permite criar várias camadas de tunelamento terminando em end points diferentes.

INTERNET


Combinação de SA’s

Associação de Segurança 1 Associação de Segurança 2

Associação de Segurança 2

Associação de Segurança 1






Exemplo de Política Túnel

• Cenário:

10.26.128.253 10.32.1.45

10.32.1.0255.255.255.0

10.26.128.0255.255.128.0

AH(obrigatório)

ESP(túnel, obrigatório) AH

(obrigatório)

Host A Host B

Rede A Rede B


Observação: Políticas com Tunelamento

• É necessário criar uma regra para enviar e outra para receber pacotes pelo túnel, em cada um dos gateways VPN.

IP_IA

B

RedeA

RedeB

IP_EA IP_IBIP_EB

R_B R_AIP_EB IP_EA

R_B R_AIP_EA IP_EB

A

R_B R_AIP_EB IP_EA

R_B R_AIP_EA IP_EB


Objetivos da Política

• Permitir que duas redes da organização troquem informação em modo seguro.

• A informação deve ser criptograda enquanto estiver transitando entre as duas redes.

• Apenas os hosts pertencentes as subredes 10.16.128.0/17 e 10.32.1.0/24 podem utilizar o canal VPN.

• Deve-se evitar que computadores pertencentes a outras redes utilizem o canal VPN através de técnicas de spoofing.



Modo IPOrigem

IPDestino


Porta Dest.

Acao


Política para o HOST A

Modo IPOrigem

IPDestino


Porta Dest.

Acao


Observações

• Limitações do VPN IPsec no Windows 2000

– Os tuneis não podem ser criados para protocolos ou portas específicas.• APENAS TUNEIS ESTÁTICOS

ENTRE DOIS ENDEREÇOS IP SÃO SUPORTADOS.


Armazenamento das Políticas e das SA• As normas relativas ao IPsec não definem como as

políticas e as associações de segurança devem ser implementadas.

– Todavia, conceitualmente, elas são armazenadas em duas bases distintas

• Security Policy Database: SPD• Security Association Database: SAD

– Cada dispositivo de rede que suporta IPsec deve possuir 4 bases:

• SPD para transmissão, SPD para recepção• SAD para transmissão, SAD para recepção


Base de Dados IPsec (SPD e SA)

HOST ou GATEWAYoubound inbound pacotes IP

(SPI)

SPD

pacotes IP

SA

SPD SA

Políticas e Associações para Pacotes Transmitidos

Políticas e Associações para Pacotes Recebidos

define protocolo de hashing,criptografia e a chave criptográfica.

conjunto de regras que diz o que fazer com cada pacote.


Security Policy Database (SPD)

• SPD– Lista ordenada de entradas de política de segurança

(Security Policy Entries - SPE).– Cada SPE está associada a um ou mais selectors que

definem qual tráfego IP deve ser submetido a esta política.

• Cada SPE:– Classifica o tráfego em:

• bypass• discard• IPsec processing: SPE inclui um SA (ou SA bundle)


Security Association Database: SAD

• As políticas IPsec podem ser definidas:– Com alta granularidade

• Determina uma SA diferente para cada tipo de tráfego.

– Com baixa gralularidade• Determina SA genéricas que se aplicam a diversos

tipos de tráfego.

• Num dado instante, um host pode ter várias SA ativas.

• As SA’s ativas são armazenadas na SAD (Security Association Database).


Indentificação das SA

• Uma SA é definida de maneira única por um Triplé:

– SPI: Security Parameter Index• Parâmetro de 32 bits, escolhido pelo receptor.• É transportado dentro dos campos extendidos pelo IPsec.

– IP de destino (pode ser unicast, broadcast ou multicast)– Identificador AH ou ESP

IP_A IP_BSA1: SPI=1, IP=IP_B, AH

SA2: SPI=1, IP=IP_A, AH


Security Parameter Index - SPI

SPI1

SPI1

SPI2

SPI3

SPI1

SA1

SA2

SA3

SA1

SA2

• Um servidor pode ter ao mesmo tempo várias associações de segurança diferentes (SA), pois pode manter comunicações seguras com vários usuários ao mesmo tempo.

IPsec –SPI1

IPsec –SPI2


Base de Dados IPsec (SPD e SA)

HOST ou GATEWAYoubound inbound pacotes IP

(SPI)

SPD

pacotes IP

SA

SPD SA

Políticas e Associações para Pacotes Transmitidos

Políticas e Associações para Pacotes Recebidos

SPE

SPE SPI

SPI

SPI

SPI

SPI


Funcionamento

• O funcionamento do IPsec deve ser analisado em duas situações:

– Transmissão: • Quando o drive IPsec recebe dados das camadas superiores.• Antes de transmitir os dados o IPsec deve:

– AH: gerar as assinaturas digitais.– ESP: criptografar os dados.

– Tráfego Recebido: • O drive IPsec recebe dados das camadas Inferiores.• Antes de repassar os dados para as camadas superiores o

IPsec deve:– AH: validar as assinaturas digitais.– ESP: decriptografar os dados.


Transmissão de Dados em IPsec

• Sequência de ações do driver IPsec:

1. Consulta o SPD (Banco de Dados de Políticas)Determina se: a) bypassa IPsec, b) descarda os

dados, c) efetua o processamento IPsec.2. Determina o SA (apenas no caso c)3. Consulta o SAD (Security Association Database)

Se a SA já existe: ele utiliza a existente

Se a SA não existe: ele solicita ao IKE para criar uma nova SA com as

características necessárias.


Recepção de Dados em IPsec

• Sequência de ações do driver IPsec:1. Determina o tipo de protocolo IPsec (AH ou ESP).2. Identifica o SPI (Security Paramenter Index)3. Consulta a base de SAs (SAD).4. Utiliza as informações na SAD para:

• AH: Determinar como validar a assinatura digital.• ESP: Determina como decriptograr os dados.

5. Após a valiação dos pacote:• A base de políticas é consultada (SPD) para

determinar se a SAD aplicada ao pacote satisfaz as políticas de segurança relativas a este tipo de tráfego.


Alterações de Políticas

• Quando uma comunicação IPsec é bem sucedida, cria-se uma SA.

SA (ESP, DES, SHA)

• As SA continuam, mesmo se as políticas são modificadas. Deve-se aguardar um tempo para que as S.A. sejam desfeitas e então a nova política tenha efeito.

• Durante este perído, a criação de políticas incompatíveis com SA já estabelecidas faz com que a comunicação não funcione.

SA (ESP, DES, SHA)


L2TP e IPsec

• IPsec:

– Implementa tunelamento em camada 3.– Não é capaz de suportar o transporte de protocolos de

rede que não sejam IP.

• L2TP:

– Implementa tunelamento em camada 2.– Pode transportar qualquer tipo de protocolo de rede.– Não possui recursos para gerenciar criptografia dos

dados.


Tunelamento L2TP com IPsec

• L2TP e IPsec podem ser combinados para implementar um mecanismo completo de VPN para procotolos de rede diferentes do IP, como IPx e NetBEUI.


IPsec no Cisco: Exemplo

NATTranslation

PacketFiltering IPsec

201.1.1.1 201.2.2.1

roteador

switch

172.16.1.0/24 172.16.2.0/24

Desktop Desktop Desktop Servidor

Internet

switch

roteador


Exemplo de Configuração IPsec

• Passo 1: Verificar se os filtros de pacotes permitem a passagem de mensagens IPsec.

– Requisitos:• IKE usa a porta UDP 500• O IPsec utiliza os protocolos IP tipo:• ESP: 51• AH: 51


Exemplo de Configuração IPsec

• Passo 2: Indicar qual tráfego poderá passar pelo Firewall e ser tratado pelo IPsec:

– O comando abaixo define que todo tráfego trocado entre as redes 172.16.2.0/24 e 172.16.1.0/24 deve ser submetido ao IPsec.

• access-list 120 permit ip • 172.16.2.0 0.0.0.255 • 172.16.1.0 0.0.0.255


Exemplo: Cisco

• Passo 3: Define as opções do IKE– ! Políticas oferecidas ao outro peer.– ! A política com maior número é a preferencial.– crypto isakmp policy 1 – hash md5 – authentication pre-share – ! Esta política é mais segura que a 1 – crypto isakmp policy 2 – authentication pre-share – group 2 – lifetime 360 – ! Define chaves de autenticação pré-compartilhadas – crypto isakmp key itsnotverysecret address 201.1.1.1


Padrões Relacionados ao IPsec

• RFC 2401 : – Security Architecture for the Internet Protocol

• RFC 2402: – IP Authentication Header

• RFC 2403: – The Use of HMAC-MD5-96 within ESP and AH

• RFC 2404: – The Use of HMAC-SHA-1-96 within ESP and AH

• RFC 2405: – The ESP DES-CBC Cipher Algorithm With Explicit IV


Padrões Relacionados ao IPsec

• RFC 2406: – IP Encapsulating Security Payload (ESP)

• RFC 2407: – The Internet IP Security Domain of Interpretation for ISAKMP

• RFC 2408: – Internet Security Association and Key Management Protocol

(ISAKMP)

• RFC 2409:– The Internet Key Exchange (IKE)

2001, edgard jamhour ipsec: ip seguro edgard jamhour

Documents