A apresentação está carregando. Por favor, espere

A apresentação está carregando. Por favor, espere

Criptografia e Segurança de Redes Capítulo 16 Quarta Edição por William Stallings Lecture slides by Lawrie Brown.

Apresentações semelhantes


Apresentação em tema: "Criptografia e Segurança de Redes Capítulo 16 Quarta Edição por William Stallings Lecture slides by Lawrie Brown."— Transcrição da apresentação:

1 Criptografia e Segurança de Redes Capítulo 16 Quarta Edição por William Stallings Lecture slides by Lawrie Brown

2 Capítulo 16 –Segurança de IP Se uma noticia secreta é divulgada por um espião antes da hora certa, ele precisa cer morto, juntamente com o homen a quem o segredo foi dito. A arte da guerra, Sun TzuA arte da guerra, Sun Tzu

3 Segurança de IP Têm uma gama de aplicações específicas e mecanismos de segurança Têm uma gama de aplicações específicas e mecanismos de segurança ex. S/MIME, PGP, Kerberos, SSL/HTTPS ex. S/MIME, PGP, Kerberos, SSL/HTTPS No entanto, existem preocupações de segurança que abranjam várias camadas do protocolo No entanto, existem preocupações de segurança que abranjam várias camadas do protocolo Gostaria* de segurança implementadas pela rede para todas as aplicações Gostaria* de segurança implementadas pela rede para todas as aplicações

4 IPSec Mecanismos gerais de segurança IP Mecanismos gerais de segurança IP Fornece Fornece autenticação autenticação confidencialidade confidencialidade Chave de gerenciamento Chave de gerenciamento aplicável no uso sobre LANs, entre WANs público e privado, e para a Internet aplicável no uso sobre LANs, entre WANs público e privado, e para a Internet

5 IPSec Uses

6 Beneficios do IPSec em um firewall / router fornece forte segurança para todo o tráfego travessia do perímetro em um firewall / router fornece forte segurança para todo o tráfego travessia do perímetro em um firewall / router é resistente à derivação em um firewall / router é resistente à derivação é inferior a camada de transporte, por conseguinte, transparentes para aplicações é inferior a camada de transporte, por conseguinte, transparentes para aplicações pode ser transparente para os usuários finais pode ser transparente para os usuários finais pode fornecer segurança para usuários individuais pode fornecer segurança para usuários individuais secures routing architecture secures routing architecture

7 Arquitetura de Segurança IP especificação são bastante complexas especificação são bastante complexas definidas em numerosas RFCs definidas em numerosas RFCs incl. RFC 2401/2402/2406/2408 incl. RFC 2401/2402/2406/2408 Muintos outros, agrupados por categorias Muintos outros, agrupados por categorias obrigatórios em IPv6, opticional no IPv4 obrigatórios em IPv6, opticional no IPv4 Cabeçalho de segurança tem duas extenções: Cabeçalho de segurança tem duas extenções: Autenticação do Cabeçalho(AH) Autenticação do Cabeçalho(AH) Encapsulamento de Securança do Payload (ESP) Encapsulamento de Securança do Payload (ESP)

8 Servicos IPSec Controle de acesso Controle de acesso Integridade sem conexão Integridade sem conexão Autenticação da origem de dados Autenticação da origem de dados Rejeição de pacotes repetidos Rejeição de pacotes repetidos uma forma de integridade de sequência parcial uma forma de integridade de sequência parcial Confidencialidade (criptografia) Confidencialidade (criptografia) Confidencialidade limitada do fluxo de tráfego Confidencialidade limitada do fluxo de tráfego

9 Security Associations Um one-way é uma relação entre remetente e receptor que ofereça segurança para o tráfego Um one-way é uma relação entre remetente e receptor que ofereça segurança para o tráfego definida por 3 parametros: definida por 3 parametros: Indice de Parametros de Segurança (SPI) Indice de Parametros de Segurança (SPI) Endereço IP de destino Endereço IP de destino Identificador de protocolo de segurança Identificador de protocolo de segurança tem uma série de outros parâmetros tem uma série de outros parâmetros seq no, AH & EH info, lifetime etc seq no, AH & EH info, lifetime etc tem uma base de dados de Associações de Segurança tem uma base de dados de Associações de Segurança

10 Cabeçalho de autenticação (AH) Oferece suporte para integridade de dados e autenticação dos pacotes de IP Oferece suporte para integridade de dados e autenticação dos pacotes de IP Sistema final/router podem autenticar usuário/app Sistema final/router podem autenticar usuário/app Impedem ataques de spoofing de endereços por monitoramento de sequências numericas Impedem ataques de spoofing de endereços por monitoramento de sequências numericas com base na utilização de um MAC com base na utilização de um MAC HMAC-MD5-96 ou HMAC-SHA-1-96 HMAC-MD5-96 ou HMAC-SHA-1-96 partes devem compartilhar uma chave secreta partes devem compartilhar uma chave secreta

11 Cabeçalho de autenticação

12 Modo Transporte & Túnel

13 Encapsulamento de Segurança do Payload (ESP) fornece confidencialidade de conteúdo da mensagem & sigilo limitado de fluxo de tráfego fornece confidencialidade de conteúdo da mensagem & sigilo limitado de fluxo de tráfego opcionalmente pode fornecer os mesmos serviços de autenticação como AH opcionalmente pode fornecer os mesmos serviços de autenticação como AH Suporta um range de cifras, modos, padding Suporta um range de cifras, modos, padding incl. DES, Triple-DES, RC5, IDEA, CAST etc incl. DES, Triple-DES, RC5, IDEA, CAST etc CBC & outros modos CBC & outros modos padding necessário para preencher blocksize, campos, para o fluxo de tráfego padding necessário para preencher blocksize, campos, para o fluxo de tráfego

14 Encapsulamento de Segurança do Payload

15 Modo Transporte vs Túnel ESP modo de transporte é utilizado para criptografar e opcionalmente autenticar dados IP modo de transporte é utilizado para criptografar e opcionalmente autenticar dados IP data protected but header left in clear data protected but header left in clear pode fazer análise de tráfego, mas é eficiente pode fazer análise de tráfego, mas é eficiente bom para ESP host to traffic host bom para ESP host to traffic host Modo túnel criptografa todo pacote IP Modo túnel criptografa todo pacote IP adiciona um novo cabeçalho para o próximo salto adiciona um novo cabeçalho para o próximo salto bom para VPNs, e de gateway para gateway de segurança bom para VPNs, e de gateway para gateway de segurança

16 Combinando Associações de Segurança SAs podem implementar qualquer AH ou ESP SAs podem implementar qualquer AH ou ESP para implementar ambos precisa combinar SAs para implementar ambos precisa combinar SAs forma uma combinação de associação de security forma uma combinação de associação de security pode terminar em diferentes ou mesma extremidade pode terminar em diferentes ou mesma extremidade combinados por combinados por Adjacencia de transporteAdjacencia de transporte Túnel com iteraçãoTúnel com iteração issue of authentication & encryption order issue of authentication & encryption order

17 Combinando Associações de Segurança

18 Gerenciamento de chaves handles key generation & distribution handles key generation & distribution Tipicamente precisa de 2 pares de chaves Tipicamente precisa de 2 pares de chaves 2 por direção para AH & ESP 2 por direção para AH & ESP Gerenciamento manual de chaves Gerenciamento manual de chaves Admsis configura manualmente cada sistema Admsis configura manualmente cada sistema Gerenciamento automatizado de chaves Gerenciamento automatizado de chaves sistema automatizado por uma demanda criação de chaves para SAs em grandes sistemas sistema automatizado por uma demanda criação de chaves para SAs em grandes sistemas tem elements Oakley & ISAKMP tem elements Oakley & ISAKMP

19 Oakley um protocolo de troca de chaves um protocolo de troca de chaves baseado na troca de chave Diffie-Hellman baseado na troca de chave Diffie-Hellman adiciona funcionalidades para endereço weaknesses adiciona funcionalidades para endereço weaknesses cookies, grupos (parametro global), nonces, troca de chaves DH com autenticação cookies, grupos (parametro global), nonces, troca de chaves DH com autenticação pode usar aritimetica no primeiro fields ou curvas elipticas fields pode usar aritimetica no primeiro fields ou curvas elipticas fields

20 ISAKMP Associação de Segurança da Internet e protocolo de gerenciamento de chaves Associação de Segurança da Internet e protocolo de gerenciamento de chaves prove framework para gerenciamento de chaves prove framework para gerenciamento de chaves define procedimentos e formatos de pacotes para estabelecer, negociar, modificar e apagar SAs define procedimentos e formatos de pacotes para estabelecer, negociar, modificar e apagar SAs independente do protocolo de troca de chaves, alg criptografia, & método de autenticação independente do protocolo de troca de chaves, alg criptografia, & método de autenticação

21 ISAKMP

22 ISAKMP Payloads & Exchanges tem um número de tipos de payload ISAKMP : tem um número de tipos de payload ISAKMP : Segurança, Proposta, Transform, chave, Identificação, Certificação, Certificado, Hash, Assinatura, Nonce, Notificação, Apagar Segurança, Proposta, Transform, chave, Identificação, Certificação, Certificado, Hash, Assinatura, Nonce, Notificação, Apagar ISAKMP tem framework para 5 tipos de mensagem de troca: ISAKMP tem framework para 5 tipos de mensagem de troca: base, proteção da identidade, autenticação somente, agressivo, informativos base, proteção da identidade, autenticação somente, agressivo, informativos

23 Resumo ter considerado: ter considerado: Segurança IPSec framework Segurança IPSec framework AH AH ESP ESP gestão de chave & Oakley/ISAKMP gestão de chave & Oakley/ISAKMP


Carregar ppt "Criptografia e Segurança de Redes Capítulo 16 Quarta Edição por William Stallings Lecture slides by Lawrie Brown."

Apresentações semelhantes


Anúncios Google