300 likes | 375 Views
IPsecurity. Segurança na Camada de Rede. Introdução (1). A IETF sabia há algum tempo da necessidade de segurança na Internet. Porém havia uma discussão sobre em que camada implementá-la.
E N D
IPsecurity Segurança na Camada de Rede
Introdução (1) • A IETF sabia há algum tempo da necessidade de segurança na Internet. • Porém havia uma discussão sobre em que camada implementá-la. • Especialistas em segurança acreditam que a segurança, incluindo a criptografia e a verificação de integridade, deve ser fim-a-fim. • Camada de Aplicação. • A dificuldade dessa implementação está em alterar todas as aplicações.
Introdução (2) • A segunda melhor abordagem é inserir segurança na Camada de Transporte ou em uma nova camada entre a Aplicação e Transporte. • Tornando-a fim-a-fim. • Evitaria alterações nas aplicações.
Introdução (3) • A visão oposta é que os usuários não entendem de segurança não sendo capazes de usá-la corretamente. • Logo, a Camada de Rede deveria autenticar ou codificar os segmentos, sem o envolvimento dos usuários. • A segurança na Camada de Rede não impede os usuários de também utilizá-la na Camada de Aplicação.
IPsecurity • RFCs 2401, 2402, 2406. • O projeto completo para IPsec é uma estrutura para vários: • Serviços. • Algoritmos. • Detalhamentos.
Serviços • Nem todo o mundo quer pagar por todo e qualquer serviço. • Serviços podem ser: • Integridade. • Sigilo. • Proteção contra reprodução. • Todos os serviços se baseiam na criptografia de chave simétrica, devido ao custo computacional menor.
Algoritmos • Um algoritmo atualmente seguro poderá ser violado no futuro. • Tornar o IPsec independente do algoritmo mantém a sua estrutura mesmo que determinados algoritmos sejam quebrados no futuro.
Detalhamento • Proteger uma única conexão TCP. • Proteger toda a comunicação entre dois hosts. • Ou todo o tráfego entre um par de roteadoresseguros.
Conexões • O IPsec é orientado à conexão apesar de estar na Camada de Rede. • Uma chave é estabelecida e utilizada por um período de tempo. • Conexões amortizam o custo das transmissões. • No contexto do IPsec, as conexões são Associações de Segurança. • Ou AS (Security Association).
Associações de Segurança • Conexão simplex entre duas extremidades. • Identificador de segurança associado a ela. • Os identificadores são transportados por pacotes entre estas conexões seguras. • Usados para pesquisar chaves e outras informações relevantes ao chegar um pacote seguro.
IPsec • Possui duas partes: • A primeira parte descreve dois novos cabeçalhos que podem ser acrescentados aos pacotes para transportar o identificador, os dados de controle de integridade. • A outra parte trata do estabelecimento de chaves. • ISAKMP (Internet Security Associationand Key Management Protocol).
ISAKMP (Internet Security Associationand Key Management Protocol) • É um framework. • O protocolo principal para a execução do trabalho é o IKE (Internet Key Exchange).
Modo de Transporte • O cabeçalho IPsec é inserido logo após o cabeçalho IP. • O Campo Protocolo é alterado para indicar que o cabeçalho IPsec vem logo após o cabeçalho IP. • O cabeçalho IPsec contém: • Identificador do AS. • Novo número de sequência. • Possivelmente uma verificação de integridade da carga útil.
Modo de Tunelamento • Todo o pacote IP, inclusive o cabeçalho, é encapsulado dentro de um novo pacote IP com um cabeçalho totalmente novo. • Em alguns casos o túnel termina em gateways como, por exemplo, os firewalls. • As máquinas de trabalho da empresa não precisam se preocupar com a criptografia da Camada de Rede. • Permite também que um conjunto de pacotes de diferentes conexões sejam agregados e tratados como um único fluxo. • Impede algum intruso de ver quem está enviando ou recebendo pacotes IPs.
Cabeçalho de Autenticação • AH (Authentication Header). • Fornece verificação de integridade. • Não oferece sigilo. • Não criptografa os dados. • IPv4. • Inserido entre o cabeçalho IP e o TCP. • IPv6. • Simplesmente um outro cabeçalho de extensão.
Cabeçalho de autenticaçãoIPsec emmodode transportepara o IPv4
Campos do cabeçalho AH (1) • Próximo cabeçalho. • Armazena o valor anterior que o campo Protocolo do IP tinha antes de ser substituído por 51. • Indica que haverá um cabeçalho AH em seguida. • Tamanho da carga útil é o número de palavras de 32 bits no cabeçalho AH, menos duas unidades.
Campos do cabeçalho AH (2) • Índice de parâmetros de segurança. • É o identificador da conexão. • Inserido pelo transmissor indicando um registro específico no banco de dados do receptor. • Contém a chave usada nesta conexão e outras informações relacionadas à conexão. • Número de sequência. • Usado para numerar todos os pacotes enviados em uma AS. • Finalidade é detectar Ataques de Reprodução. • Se todos os 232 se esgotarem terá que se estabelecer uma nova SA. Para dar continuidade à comunicação.
Campos do cabeçalho AH (3) • Dados de Autenticação (HMAC). • Comprimento variável. • Contém a assinatura digital da carga útil. • Quando a AS é estabelecida, ambas as partes negociam o algoritmo de assinatura que vão usar. • Usam o modo de chave simétrica. • Ocorre negociação para a troca da chave. • A chave compartilhada é usada no cálculo da assinatura. • Calcula o hash sobre o pacote somado à chave compartilhada. • Obviamente que a chave não é transmitida.
HMAC (HashedMessageAuthenticationCode) • Esse esquema é denominado HMAC (HashedMessageAuthenticationCode). • É muito mais rápido calcular o valor desse esquema do que executar primeiro o SHA-1 e depois executar o RSA sobre o resultado.
ESP (Encapsulating Security Payload) (1) • Cabeçalho IPsec alternativo. • Pode ser usado no Modo Transporte ou no Modo Túnel. • Consiste de duas palavras de 32 bits. • Índice de parâmetros de segurança. • Número de sequência. • Terceira palavra que geralmente segue esses campos, porém tecnicamente não faz parte do cabeçalho é o Vetor de Referência.
ESP (Encapsulating Security Payload) (2) • A ESP também fornece verificação de integridade para o HMAC como o AH. • Porém ela vem depois da carga útil. • Facilita a implementação em hardware. • O HMAC pode ser calculado a medida que os bits saem pela interface de rede e colocados no final. • Com o AH o pacote tem que ser armazenado no buffer, a assinatura é calculada antes que seja possível enviar o pacote.
ESP (Encapsulating Security Payload) (3) (a) ESP em modo de transporte. (b) ESP em modo túnel.
Redes Privadas Virtuais • Muitas empresas tem fábricas e escritórios espalhados por muitas cidades. • Antigamente, era comum essas empresas alugarem linhas dedicadas, de uma companhia telefônica, para conectar sua matriz com as filiais. • Uma rede criada a partir de computadores de uma empresa e linhas dedicadas é chamada rede privada.
Redes privadas • Redes privadas funcionam muito bem. • São bastante seguras. • Intrusos tem de grampear fisicamente as linhas para entrar. • Deficiência: Custo muito elevado.
Demandas • Surgimento das redes públicas de dados e, mais tarde, da Internet. • Empresas transferem seus dados para rede pública. • Não querem abrir mão da segurança. • Demanda levou a criação das Redes Privadas Virtuais.
Redes Privadas Virtuais • Redes sobrepostas (overlay) às redes públicas. • Mas, com a maioria das propriedades das redes privadas. • Uma técnica comum é construir uma VPN diretamente sobre a Internet. • Um projeto comum é equipar cada escritório com um firewall e criar tuneis pela Internet entre todos os pares de escritórios. • É possível também incluir computadores domésticos.
Criação do sistema • Cada par de firewalls negocia os parâmetros de sua AS incluindo: • Serviços. • Modos. • Algoritmos. • Chaves. • Permitem inclusive uma certa imunidade à análise de tráfego.
Principais escolhas • Muitos firewalls têm recursos internos para VPNs. • Alguns roteadores comuns também. • Firewalls, VPN e Ipsec com ESP em modo túnel formam uma combinação natural e muito utilizada.
Roteamento • Para um roteador, o pacote dentro da VPN é apenas um pacote comum. • O cabeçalho IPsec vem após o cabeçalho IP. • Sem efeito para o encaminhamento.