1 / 30

IPsecurity

IPsecurity. Segurança na Camada de Rede. Introdução (1). A IETF sabia há algum tempo da necessidade de segurança na Internet. Porém havia uma discussão sobre em que camada implementá-la.

Download Presentation

IPsecurity

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript


  1. IPsecurity Segurança na Camada de Rede

  2. Introdução (1) • A IETF sabia há algum tempo da necessidade de segurança na Internet. • Porém havia uma discussão sobre em que camada implementá-la. • Especialistas em segurança acreditam que a segurança, incluindo a criptografia e a verificação de integridade, deve ser fim-a-fim. • Camada de Aplicação. • A dificuldade dessa implementação está em alterar todas as aplicações.

  3. Introdução (2) • A segunda melhor abordagem é inserir segurança na Camada de Transporte ou em uma nova camada entre a Aplicação e Transporte. • Tornando-a fim-a-fim. • Evitaria alterações nas aplicações.

  4. Introdução (3) • A visão oposta é que os usuários não entendem de segurança não sendo capazes de usá-la corretamente. • Logo, a Camada de Rede deveria autenticar ou codificar os segmentos, sem o envolvimento dos usuários. • A segurança na Camada de Rede não impede os usuários de também utilizá-la na Camada de Aplicação.

  5. IPsecurity • RFCs 2401, 2402, 2406. • O projeto completo para IPsec é uma estrutura para vários: • Serviços. • Algoritmos. • Detalhamentos.

  6. Serviços • Nem todo o mundo quer pagar por todo e qualquer serviço. • Serviços podem ser: • Integridade. • Sigilo. • Proteção contra reprodução. • Todos os serviços se baseiam na criptografia de chave simétrica, devido ao custo computacional menor.

  7. Algoritmos • Um algoritmo atualmente seguro poderá ser violado no futuro. • Tornar o IPsec independente do algoritmo mantém a sua estrutura mesmo que determinados algoritmos sejam quebrados no futuro.

  8. Detalhamento • Proteger uma única conexão TCP. • Proteger toda a comunicação entre dois hosts. • Ou todo o tráfego entre um par de roteadoresseguros.

  9. Conexões • O IPsec é orientado à conexão apesar de estar na Camada de Rede. • Uma chave é estabelecida e utilizada por um período de tempo. • Conexões amortizam o custo das transmissões. • No contexto do IPsec, as conexões são Associações de Segurança. • Ou AS (Security Association).

  10. Associações de Segurança • Conexão simplex entre duas extremidades. • Identificador de segurança associado a ela. • Os identificadores são transportados por pacotes entre estas conexões seguras. • Usados para pesquisar chaves e outras informações relevantes ao chegar um pacote seguro.

  11. IPsec • Possui duas partes: • A primeira parte descreve dois novos cabeçalhos que podem ser acrescentados aos pacotes para transportar o identificador, os dados de controle de integridade. • A outra parte trata do estabelecimento de chaves. • ISAKMP (Internet Security Associationand Key Management Protocol).

  12. ISAKMP (Internet Security Associationand Key Management Protocol) • É um framework. • O protocolo principal para a execução do trabalho é o IKE (Internet Key Exchange).

  13. Modo de Transporte • O cabeçalho IPsec é inserido logo após o cabeçalho IP. • O Campo Protocolo é alterado para indicar que o cabeçalho IPsec vem logo após o cabeçalho IP. • O cabeçalho IPsec contém: • Identificador do AS. • Novo número de sequência. • Possivelmente uma verificação de integridade da carga útil.

  14. Modo de Tunelamento • Todo o pacote IP, inclusive o cabeçalho, é encapsulado dentro de um novo pacote IP com um cabeçalho totalmente novo. • Em alguns casos o túnel termina em gateways como, por exemplo, os firewalls. • As máquinas de trabalho da empresa não precisam se preocupar com a criptografia da Camada de Rede. • Permite também que um conjunto de pacotes de diferentes conexões sejam agregados e tratados como um único fluxo. • Impede algum intruso de ver quem está enviando ou recebendo pacotes IPs.

  15. Cabeçalho de Autenticação • AH (Authentication Header). • Fornece verificação de integridade. • Não oferece sigilo. • Não criptografa os dados. • IPv4. • Inserido entre o cabeçalho IP e o TCP. • IPv6. • Simplesmente um outro cabeçalho de extensão.

  16. Cabeçalho de autenticaçãoIPsec emmodode transportepara o IPv4

  17. Campos do cabeçalho AH (1) • Próximo cabeçalho. • Armazena o valor anterior que o campo Protocolo do IP tinha antes de ser substituído por 51. • Indica que haverá um cabeçalho AH em seguida. • Tamanho da carga útil é o número de palavras de 32 bits no cabeçalho AH, menos duas unidades.

  18. Campos do cabeçalho AH (2) • Índice de parâmetros de segurança. • É o identificador da conexão. • Inserido pelo transmissor indicando um registro específico no banco de dados do receptor. • Contém a chave usada nesta conexão e outras informações relacionadas à conexão. • Número de sequência. • Usado para numerar todos os pacotes enviados em uma AS. • Finalidade é detectar Ataques de Reprodução. • Se todos os 232 se esgotarem terá que se estabelecer uma nova SA. Para dar continuidade à comunicação.

  19. Campos do cabeçalho AH (3) • Dados de Autenticação (HMAC). • Comprimento variável. • Contém a assinatura digital da carga útil. • Quando a AS é estabelecida, ambas as partes negociam o algoritmo de assinatura que vão usar. • Usam o modo de chave simétrica. • Ocorre negociação para a troca da chave. • A chave compartilhada é usada no cálculo da assinatura. • Calcula o hash sobre o pacote somado à chave compartilhada. • Obviamente que a chave não é transmitida.

  20. HMAC (HashedMessageAuthenticationCode) • Esse esquema é denominado HMAC (HashedMessageAuthenticationCode). • É muito mais rápido calcular o valor desse esquema do que executar primeiro o SHA-1 e depois executar o RSA sobre o resultado.

  21. ESP (Encapsulating Security Payload) (1) • Cabeçalho IPsec alternativo. • Pode ser usado no Modo Transporte ou no Modo Túnel. • Consiste de duas palavras de 32 bits. • Índice de parâmetros de segurança. • Número de sequência. • Terceira palavra que geralmente segue esses campos, porém tecnicamente não faz parte do cabeçalho é o Vetor de Referência.

  22. ESP (Encapsulating Security Payload) (2) • A ESP também fornece verificação de integridade para o HMAC como o AH. • Porém ela vem depois da carga útil. • Facilita a implementação em hardware. • O HMAC pode ser calculado a medida que os bits saem pela interface de rede e colocados no final. • Com o AH o pacote tem que ser armazenado no buffer, a assinatura é calculada antes que seja possível enviar o pacote.

  23. ESP (Encapsulating Security Payload) (3) (a) ESP em modo de transporte. (b) ESP em modo túnel.

  24. Redes Privadas Virtuais • Muitas empresas tem fábricas e escritórios espalhados por muitas cidades. • Antigamente, era comum essas empresas alugarem linhas dedicadas, de uma companhia telefônica, para conectar sua matriz com as filiais. • Uma rede criada a partir de computadores de uma empresa e linhas dedicadas é chamada rede privada.

  25. Redes privadas • Redes privadas funcionam muito bem. • São bastante seguras. • Intrusos tem de grampear fisicamente as linhas para entrar. • Deficiência: Custo muito elevado.

  26. Demandas • Surgimento das redes públicas de dados e, mais tarde, da Internet. • Empresas transferem seus dados para rede pública. • Não querem abrir mão da segurança. • Demanda levou a criação das Redes Privadas Virtuais.

  27. Redes Privadas Virtuais • Redes sobrepostas (overlay) às redes públicas. • Mas, com a maioria das propriedades das redes privadas. • Uma técnica comum é construir uma VPN diretamente sobre a Internet. • Um projeto comum é equipar cada escritório com um firewall e criar tuneis pela Internet entre todos os pares de escritórios. • É possível também incluir computadores domésticos.

  28. Criação do sistema • Cada par de firewalls negocia os parâmetros de sua AS incluindo: • Serviços. • Modos. • Algoritmos. • Chaves. • Permitem inclusive uma certa imunidade à análise de tráfego.

  29. Principais escolhas • Muitos firewalls têm recursos internos para VPNs. • Alguns roteadores comuns também. • Firewalls, VPN e Ipsec com ESP em modo túnel formam uma combinação natural e muito utilizada.

  30. Roteamento • Para um roteador, o pacote dentro da VPN é apenas um pacote comum. • O cabeçalho IPsec vem após o cabeçalho IP. • Sem efeito para o encaminhamento.

More Related