230 likes | 327 Views
Criptografia e Segurança de Redes Capítulo 16. Quarta Edição por William Stallings Lecture slides by Lawrie Brown. Capítulo 16 – Segurança de IP.
E N D
Criptografia e Segurança de Redes Capítulo 16 QuartaEdição por William Stallings Lecture slides by Lawrie Brown
Capítulo 16 –Segurança de IP Se umanoticiasecreta é divulgadapor um espião antes dahoracerta, eleprecisa ser morto, juntamente com o homen a quem o segredofoidito. —A arte daguerra, Sun Tzu
Segurança de IP • Têm uma gama de aplicações específicas e mecanismos de segurança • ex. S/MIME, PGP, Kerberos, SSL/HTTPS • No entanto, existem preocupações de segurança que abranjem várias camadas do protocolo • would like security implementadas pela rede para todas as aplicações
IPSec • Mecanismos gerais de segurança IP • Fornece • autenticação • confidencialidade • gerenciamento de chave • aplicável no uso sobre LANs, entre WANs público e privado, e para a Internet
Beneficios do IPSec • em um firewall / router fornece forte segurança para todo o tráfego cruzando o perímetro • em um firewall / router é resistente à bypass(derivação) • é inferior a camada de transporte, por conseguinte, transparente para aplicações • pode ser transparente para os usuários finais • pode fornecer segurança para usuários individuais • secures routing architecture
Arquitetura de Segurança IP • especificação são bastante complexas • definidasemnumerosas RFC’s • incl. RFC 2401/2402/2406/2408 • Muintosoutros, agrupados por categorias • obrigatórios em IPv6, opticional no IPv4 • Cabeçalho de segurança tem duasextenções: • Autenticação do Cabeçalho(AH) • Encapsulamento de Securança do Payload (ESP)
Serviços IPSec • Controle de acesso • Integridadesemconexão • Autenticação daorigem de dados • Rejeição de pacotes repetidos • uma forma de integridade de sequência parcial • Confidencialidade (criptografia) • Confidencialidadelimitada de fluxo de tráfego
Associações de Segurança • Um one-way é umarelação entre remetente e receptor que ofereça segurança para o tráfego • definidapor 3 parametros: • Indice de Parametros de Segurança (SPI) • Endereço IP de destino • Identificador de protocolo de segurança • tem uma série de outros parâmetros • seq no, AH & EH info, lifetime etc • tem uma base de dados de Associações de Segurança
Cabeçalho de autenticação (AH) • Oferecesuporteparaintegridade de dados e autenticação dos pacotes de IP • Sistema final/router podem autenticar usuário/app • Impedemataques de spoofing de endereçospormonitoramento desequênciasnumericas • com base na utilização de um MAC • HMAC-MD5-96 ou HMAC-SHA-1-96 • partes devem compartilhar uma chave secreta
Encapsulamento de Segurança do Payload (ESP) • fornece confidencialidade de conteúdo da mensagem & sigilo limitado de fluxo de tráfego • opcionalmente pode fornecer os mesmos serviços de autenticação como AH • Suporta um range de cifras, modos, padding • incl. DES, Triple-DES, RC5, IDEA, CAST etc • CBC & outrosmodos • padding necessário para preencherblocksize, campos, para o fluxo de tráfego
ModoTransportevsTúnel ESP • modo de transporte é utilizado para criptografar e opcionalmente autenticar dados IP • data protected but header left in clear • pode fazer análise de tráfego, mas é eficiente • bompara ESP host to traffic host • Modo túnel criptografa todo pacote IP • adiciona um novo cabeçalho para o próximo salto • bom para VPNs, e de gateway para gateway de segurança
Combinando Associações de Segurança • SA’s podemimplementarqualquer AH ou ESP • paraimplementar ambos precisacombinar SA’s • forma umacombinação de associação desegurança • podeterminaremdiferentesoumesmaextremidade • combinados por • Adjacencia de transporte • Túnel com iteração • issue of authentication & encryption order
Gerenciamento de chaves • handles key generation & distribution • Tipicamenteprecisa de 2 pares de chaves • 2 pordireçãopara AH & ESP • Gerenciamento manual de chaves • Admsisconfiguramanualmentecadasistema • Gerenciamentoautomatizado de chaves • sistemaautomatizadoporumademandacriação de chavespara SA’s emgrandessistemas • tem elements Oakley & ISAKMP
Oakley • um protocolo de troca de chaves • baseadonatroca de chaveDiffie-Hellman • adicionafuncionalidadesparaendereço weaknesses • cookies, grupos (parametro global), nonces, troca de chaves DH com autenticação • podeusararitimetica no primeiro fields oucurvaselipticas fields
ISAKMP • Associação de Segurançada Internet e protocolo de gerenciamento de chaves • prove framework paragerenciamento de chaves • define procedimentos e formatos de pacotes para estabelecer, negociar, modificar e apagar SAs • independente do protocolo de troca de chaves, algcriptografia, & método de autenticação
ISAKMP Payloads & Exchanges • tem um número de tipos de payload ISAKMP : • Segurança, Proposta, Transform, chave, Identificação, Certificação, Certificado, Hash, Assinatura, Nonce, Notificação, Apagar • ISAKMP tem framework para 5 tipos de mensagem de troca: • base, proteção da identidade, autenticação somente, agressivo, informativos
Resumo • ter considerado: • Segurança IPSecframework • AH • ESP • gestão de chave & Oakley/ISAKMP