2001, Edgard Jamhour Segurança em Redes TCP/IP Redes Virtuais Privadas e Extranets Edgard Jamhour.

Apresentação em tema: "2001, Edgard Jamhour Segurança em Redes TCP/IP Redes Virtuais Privadas e Extranets Edgard Jamhour."— Transcrição da apresentação:

1

2 2001, Edgard Jamhour Segurança em Redes TCP/IP Redes Virtuais Privadas e Extranets Edgard Jamhour

3 2001, Edgard Jamhour Acesso por linha discada Serviço de Acesso Remoto: –Implementado pelos sistemas operacionais comerciais mais difundidos. –Permite que um usuário acesse um servidor por linha discada. MODEM PRECISA DE UM MODEM PARA CADA USUÁRIO PPP: POINT TO POINT PROTOCOL RAS OU NAS PSTN REDE

4 2001, Edgard Jamhour PPP: Point to Point Protocol Permite criar conexão de rede através de links ponto a ponto. –O PPP é um protocolo do nível de enlace destinado a transportar mensagens ponto a ponto. –O PPP supõem que o link físico transporta os pacotes na mesma ordem em que foram gerados. O PPP permite transportar diversos protocolos de rede. IP IPX link físico

5 2001, Edgard Jamhour Frame PPP O Frame PPP segue uma variante da estrutura do HDLC (High-level Data Link Control) –FLAG: 0x7E –ADDRESS: Usualmente FF (broadcast) –CONTROL: 0x03 –FCS: Checksum FLAGADDRESSCONTROLPROTOCOLFCSFLAG 8 bits 16 bits 8 bits DADOS

6 2001, Edgard Jamhour Sequência PPP Link Control Protocols (LCP) –Configura parâmetros do link como tamanho dos quadros. Protocolos de Autenticação –Determina o método para validar a senha do usuário no servidor. Pode variar de texto aberto até criptografia. Network control protocols (NCP): –Configura parâmetros específicos do protocolo transportado, como IP, IPX, and NetBEUI.

7 2001, Edgard Jamhour Acesso por linhas privativas EMPRESAFILIAL Links Redundantes Alto custo e Pouca Flexibilidade

8 2001, Edgard Jamhour Tecnologias para Linhas Privativas Linhas privativas podem ser implementadas com: –ATM ou Frame-Relay Comunicação Orientada a Conexão –Connecion-Oriented Ambas as tecnologias permitem dividir a banda de um enlace físico através de circuitos virtuais. ATM: –VPI e VCI FRAME RELAY –DLCI

9 2001, Edgard Jamhour Circuitos Virtuais ATM ATM utiliza uma estrutura hierárquica para criar circuitos virtuais. VPIVCIDADOS CÉLULA

10 2001, Edgard Jamhour Frame-Relay Frame-relay utiliza uma estrutura simples para criação de circuitos virtuais. DLCIDADOS

11 2001, Edgard Jamhour Backbone Embratel

12 2001, Edgard Jamhour Backbone Embratel

13 2001, Edgard Jamhour Rede Frame Relay HUB roteador FRAD usual FRAD REDE ATM FRAME-RELAY ATM Interface Frame-Relay

14 2001, Edgard Jamhour Estrutura Geral de Quadros

15 2001, Edgard Jamhour Estrutura do Quadro Frame Relay

16 2001, Edgard Jamhour Quadro Frame-Relay DLCI: Data Link Connection Identifier –Número de 10 bits –DLCI indica a porta em que a rede de destino está conectada. Normalmente o termo “porta” refere-se a porta física de um roteador. Todavia, as redes frame-relay podem ser implementadas também em switches ou bridges.

17 2001, Edgard Jamhour Velocidade do Frame-Relay O serviço frame-relay é oferecido normalmente como: –Frações de canais T1/E1 –Taxas completas de T1/E1 Alguns vendedores oferecem frame relay até taxas T3: –45 Mbp.

18 2001, Edgard Jamhour CIR - Committed Information Rate bits/s tempo CIR = média no intervalo Tc CIR

19 2001, Edgard Jamhour SLA: Service Level Agreement SLA define as métricas usadas para descrever o desempenho de um serviço Frame Relay. Essas métricas pode ser usadas para estabelecer um contrato entre o provedor de serviço e um usuário ou entre provedores de serviço. –Frame Transfer Delay –Frame Delivery Ratio –Data Delivery Ratio –Service Availability

20 2001, Edgard Jamhour SERVIÇO Intranet EMBRATEL BACKBONE EMBRATEL QUALIDADE DE SERVIÇO CONTROLADA Empresa A Empresa B Empresa A Internet Mundial INTERNET VIA EMBRATEL Empresa D SEM QUALIDADE DE SERVIÇO DLCI=1 DLCI=10

21 2001, Edgard Jamhour VPN X Circuitos Virtuais Circuitos Virtuais ATM ou Frame Relay –Objetivo: Garantia de Qualidade de Serviço (QoS). –Princípio: Criam canais com QoS controlado. –Limitação: Depende do provedor de serviço.

22 2001, Edgard Jamhour VPN X Circuitos Virtuais VPN: Virtual Private Networks –Objetivos: Oferecer segurança através de redes IP potencialmente inseguras. Permitir o transporte de outros protocolos de rede sobre a Internet. –Princípios: Encapsulamento adcional de quadros e pacotes. –Limitação: Não oferece qualidade de serviço

23 2001, Edgard Jamhour Tipos de VPN ENTRE DUAS MÁQUINAS ENTRE UMA MÁQUINA E UMA REDE (VPN DE ACESSO) ENTRE DUAS REDES (INTRANET OU EXTRANET VPN) redeInsegura redeInsegura redeInsegura

24 2001, Edgard Jamhour VPN = Tunelamento redeInsegura pacote protegido redeInsegura pacote desprotegido redeInsegura

25 2001, Edgard Jamhour Exemplo: VPN de Acesso Vendedor que precisa acessar a rede corporativa de um ponto remoto. INTERNET CATÁLOGO DE PRODUTOS SISTEMA DE PEDIDOS SERVIDOR DE VPN

26 2001, Edgard Jamhour Intranet VPN Permite construir uma intranet utilizando recursos de uma infra-estrutura de comunicação pública (e.g. Internet). INTERNET EMPRESA VPN

27 2001, Edgard Jamhour Extranet VPN Permite construir uma rede que compartilha parcialmente seus recursos com empresas parceiras (fornecedores, clientes, parceiros,etc.). INTERNET PARCEIRO VPN EMPRESA PARCEIRO VPN

28 2001, Edgard Jamhour Conceitos Básicos de uma VPN TUNELAMENTO: –Permite tranportar pacotes com IP privado ou com outros protocolos de rede através da Internet. AUTENTICAÇÃO: –Permite controlar quais usuários podem acessar a VPN –Reduz o risco de ataques por roubo de conexão e spoofing. CRIPTOGRAFIA: –Garante a confidencialidade dos dados transportados através da VPN.

29 2001, Edgard Jamhour TUNELAMENTO TUNELAR: Significa colocar as estruturas de dados de um protocolo da mesma camada do modelo OSI dentro do outro. Existem dois tipos de Tunelamento: –Camada 3: Transporta apenas pacotes IP –Camada 2: Permite tranportar outros protocolos de rede: IP, NetBEUI, IPX. CABEÇALHO QUADRO CABEÇALHO PACOTE CRC CABEÇALHO QUADRO CABEÇALHO IP CRC CABEÇALHO PACOTE IP TUNELAMENTO DA CAMADA 3 TUNELAMENTO DA CAMADA 2 DADOS CABEÇALHO QUADRO CABEÇALHO PACOTE IP CRC DADOS CABEÇALHO QUADRO

30 2001, Edgard Jamhour TUNELAMENTO FISICA ENLACE REDE TRANSPORTE APLICAÇÃO FISICA ENLACE REDE SSL APLICAÇÃO FISICA ENLACE REDE TRANSPORTE APLICAÇÃO FISICA ENLACE REDE TRANSPORTE APLICAÇÃO TRANSPORTE REDE ENLACE Aplicação S.O. Placa de Rede Pilha Normal SSL Tunelamento Camada 3 Tunelamento Camada 2

31 2001, Edgard Jamhour Exemplo REDE A REDE B IP F1 IP F3 IP F4 IP F2 IP F IP Q1 IP Q2 IP F IP F1 IP F4 DADOSIP F1 IP F4 DADOSIP Q 2 IP Q1 IP F1 IP F4 DADOS

32 2001, Edgard Jamhour Autenticação EMPRESA FILIAL INTERNET LOGIN

33 2001, Edgard Jamhour Criptografia REDE A REDE B IP F1 IP F3 IP F4 IP F2 IP F IP Q1 IP Q2 IP F IP F1 IP F4 DADOSIP F DADOSIP Q2 IP Q1 IP F1 IP F4 DADOS TODO O PACOTE, INCLUINDO O CABEÇALHO É CRIPTOGRAFADO. XXXXXXXXXXXXXXXX

34 2001, Edgard Jamhour PROTOCOLOS PARA VPN L2F: –Layer 2 Fowarding Protocol (Cisco) –Não é mais utilizado. PPTP: –Tunelamento de Camada 2 –Point-to-Point tunneling Protocol L2TP: –Tunelamento de Camada 2 –Level 2 Tunneling Protocol (L2TP) –Combinação do L2F e PPTP IPSec: –Tunelamento de Camada 3 –IETF (Internet Engineering Task Force)

35 2001, Edgard Jamhour Protocolos para VPN ProtocoloTunelamentoCriptografiaAutenticaçãoAplicação PPTPCamada 2Sim VPN de Acesso Iniciada no Cliente L2TPCamada 2NãoSimVPN de Acesso Iniciada no NAS Intranet e Extranet VPN IPsecCamada 3Sim VPN de Acesso Intranet e Extranet VPN IPsec e L2TP Camada 2Sim VPN de Acesso Iniciada no NAS Intranet e Extranet VPN

36 2001, Edgard Jamhour PPTP: Point-to-Point tunneling Protocol Definido pelo PPTP Forum: –Ascend Communication, U.S. Robotics, 3Com Corporation, Microsoft Corporation e ECI Telematics –Formalizado por RFC Requisitos para Utilização: –Os sistemas operacionais do cliente e do servidor devem suportar PPTP –PPTP é o protocolo de tunelamento mais difundido no mercado: Windows, Linux, Roteadores, etc...

37 2001, Edgard Jamhour Cenários de Utilização do PPTP Cenários: –A) Acesso por modem: O cliente estabelece uma conexão com um provedor (ISP) e depois com o servidor de VPN. –B) Acesso por placa de rede: O cliente já está na Internet, ele se conecta diretamente ao servidor de VPN. O cliente e o servidor da VPN se encontram na mesma rede corporativa.

38 2001, Edgard Jamhour Tipos de Conexão O cliente tem acesso direto ao servidor, seja via linha discada, seja via rede. Protocolo TCP/IP IPX/SPX NetBEUI possui protocolo PPTP instalado e serviço de dial up possui protocolo PPTP instalado e serviço RAS configurado Protocolo TCP/IP IPX/SPX NetBEUI permanente discado PLACA DE REDE MODEM

39 2001, Edgard Jamhour Opções de Configuração Opção no Cliente: - Conexões Virtuais Simultâneas (1 no WINDOWS 95/98). - Criptografia - Método de Autenticação Opções no Servidor: - Número de portas VPN - DHCP ou RAS - O cliente pode especificar seu IP (S/N) - Range de IP’s - Tipo de Autenticação - Criptografia de Dados (S/N) - Acesso ao servidor ou a toda rede. PORTAS VPN PARA DISCAGEM PORTAS VPN PARA RECEPÇÃO discado rede

40 2001, Edgard Jamhour Conexão PPTP PSTN INTERNET ISP EMPRESA USUÁRIO REMOTO TUNEL PROVEDOR DE ACESSO A INTERNET REDE TELEFÔNICA NAS MODEM SERVIDOR PPP PPTP

41 2001, Edgard Jamhour Topologias de Conexão O servidor VPN libera acesso a toda rede RAS Acesso apenas a esta máquina Outro Servidor da Rede PORTAS VPN WINDOWS 95/98 WINDOWS NT WINDOWS 95/98 WINDOWS NT/LINUX

42 2001, Edgard Jamhour Exemplo 1) Situação Inicial –Considere um cliente e um servidor conectados por uma rede TCP/IP. –Ambos possuem endereços pré-definidos. IP NORMAL1 IP NORMAL2 SERVIDOR RAS RANGE IP IP VPN1 IP VPN2... INTERNET EXEMPLO: 192.168.0.1.. 192.168.0.254

43 2001, Edgard Jamhour Estabelecimento da Conexão PPTP 2) O cliente disca para o endereço IP do servidor. –Nesse processo, o cliente deve fornecer seu login e senha. –A conta do usuário deve existir no servidor, e ele deve ter direitos de acesso via dial up. –O servidor atribui um IP para o cliente, e reconfigura suas rotas. IP NORMAL2 IP NORMAL1 SERVIDOR RAS RANGE IP IP VPN1 IP VPN2... INTERNET LOGIN SENHA IP VPN E ROTAS

44 2001, Edgard Jamhour IP’s de tunelamento Uma conexão PPTP que encapsula protocolos TCP/IP em outro datagrama IP envolve a utilização de 2 pares de IP: –IP sem tunelamento cliente: IP NORMAL2 (e.g. 210.0.0.1) servidor: IP NORMAL1 (eg. 200.0.0.1) –IP com tunelamento cliente: IP VPN2 (192.168.0.2) servidor: IP VPN1 (192.168.0.1)

45 2001, Edgard Jamhour Rotas do Cliente antes da Conexão VPN DESTINO GATEWAYINTERFACE INTERNETIP GATEWAY IP NORMAL2 IP NORMAL2 LOOPBACKLOOPBACK REDELOCAL IP NORMAL2 IP NORMAL2 IP NORMAL2 IP NORMAL1 INTERNET IP GATEWAY

46 2001, Edgard Jamhour Rotas do Cliente após a Conexão VPN DESTINO GATEWAYINTERFACE REDE VPNIP VPN2 IP VPN2 IP VPN2 LOOBACKLOOBACK INTERNETIP GATEWAY IP NORMAL2 IP NORMAL2 LOOPBACKLOOPBACK REDELOCAL IP NORMAL2 IP NORMAL2 IP NORMAL2 IP NORMAL1 INTERNET IP GATEWAY IP VPN2

47 2001, Edgard Jamhour Rede Virtual VPN Os clientes conectados a rede virtual utilizam o servidor RAS como roteador. SERVIDOR RAS

48 2001, Edgard Jamhour Rotas do Servidor antes da Conexão VPN DESTINO GATEWAYINTERFACE INTERNETIP GATEWAY IP NORMAL1 IP NORMAL1 LOOPBACKLOOPBACK REDELOCAL IP NORMAL1 IP NORMAL1 IP NORMAL2 IP NORMAL1 INTERNET IP GATEWAY

49 2001, Edgard Jamhour Rotas do Servidor após a Conexão VPN DESTINO GATEWAYINTERFACE IP VPN1 LOOBACK LOOBACK IP VPN2 IP VPN1 IP VPN1 IP VPN3 IP VPN1 IP VPN1 IP VPN4 IP VPN1 IP VPN1 INTERNETIP GATEWAY IP NORMAL1 IP NORMAL2 LOOPBACKLOOPBACK REDELOCAL IP NORMAL1 IP NORMAL1 VPN SERVIDOR RAS IP VPN2 IP VPN3 IP VPN4 IP VPN1

50 2001, Edgard Jamhour Comunicação com Tunelamento IPN2 IPN1 SERVIDOR RAS IPVPN1IPVPN2 IPN2IPN1IPVPN2IPVPN3 CLIENTE IPN1IPN3IPVPN2IPVPN3 IPN3 IPVPN3 CLIENTE

51 2001, Edgard Jamhour Pacotes PPTP A técnica de encapsulamento PPTP é baseada no padrão Internet (RFC 1701 e 1702) denominado: –Generic Routing Encapsulation (GRE) –O PPTP é conhecido como GREv2, devido as extensões que acrescentou: controle de velocidade da conexão identificação das chamadas.

52 2001, Edgard Jamhour Estrutura do PPTP Um pacote PPTP é feito de 4 partes: –Delivery Header: adapta-se ao meio físico utilizado –IP Header: endereço IP de origem e destino sem tunelamento –GREv2 Header: indentifica qual protocolo foi encapsulado –Payload Datagram: pacote encapsulado (IPX, IP, NetBEUI, etc.)

53 2001, Edgard Jamhour Formato Geral de um Pacote PPTP A figura abaixo mostra o formato geral de um pacote PPTP. O conteúdo de cada campo varia de acordo como o meio utilizado e com o protocolo transportado. Delivery Header IP Header GREv2 Header Payload Datagram Corresponde ao cabeçalho do protocolo de enlace (Ethernet, FrameRelay, etc.) Cabeçalho do Datagrama IP de encapsulamento Intentifica o Protocolo Encapsulado Datagrama do Protocolo Encapsulado

54 2001, Edgard Jamhour Datagramas Tunelados A figura abaixo mostra o que acontece quando um datagrama IP é tunelado através de uma rede local Ethernet, com protocolo TCP/IP. Delivery Header IP Header GREv2 Header Payload Datagram Ethernet Header GREv2 Header IP Header Protocolo de Transporte Protocolo de Aplicação IP Origem e Destino Sem Tunelamento IP Origem e Destino com Tunelamento

55 2001, Edgard Jamhour Porta de Controle O estabelecimento de uma conexão PPTP é feito pela porta de controle TCP 1723. Esta porte precisa ser liberada no firewall para implantar uma VPN de acesso. 1723 > 1024 configuração do link autenticação configuração de rotas TCP IP: Protocol Type = 2F

56 2001, Edgard Jamhour Exemplo de VPN com Firewall INTERNET 1723>1023 IP_Servidor_VPN FIREWALL: Liberar a porta TCP 1723 no IP = Servidor_VPN Liberar o protocolo PPTP (Protocol Type=2F) para o IP=Servidor_VPN

57 2001, Edgard Jamhour Segurança do PPTP PPTP fonece dois serviços de segurança: –Autenticação –Criptografia de Dados Diversos tipos de autenticação podem ser utilizadas: –CHAP: Standard Encrypted Authentication –MS-CHAP: Microsoft Encrypted Authentication Unico Método que Permite Criptografia –PAP: Password Authentication Protocol Autenticação Sem Criptografia

58 2001, Edgard Jamhour Autenticação por CHAP CHAP: Challeng HandShake Authentication Protocol –Definido pela RFC 1994 como uma extensão para PPP Não utiliza passwords em aberto Um password secreto, criado apenas para a sessão, é utilizado para o processo de autenticação. CHAP permite repetir o processo de validação da senha durante a conexão para evitar ataques por roubo de conexão.

59 2001, Edgard Jamhour Autenticação CHAP O processo utilizado é do tipo challenge-response: –a) O cliente envia sua identificação ao servidor (mas não a senha) –b) O servidor responde enviando ao cliente uma “challenge string”, única, criada no momento do recebimento do pedido. –c) O cliente aplica um algoritmo RSA’s MD5 (one-way hashing), e combinado-se password e a string recebida. –d) O servidor compara a senha criptografada recebida pelo usuário aplicado a mesma operação na senha armazenada localmente.

60 2001, Edgard Jamhour Autenticação no CHAP 1. Pedido de Login (Identificação)2. Challenge String2. One-Way-Hash(Passord+Challenge String) = RSA’s MD5 5 MD5 Senha + Challenge String Senha Criptografada COMPARAÇÃO 4. VALIDAÇÃO 5. OK

61 2001, Edgard Jamhour Autenticação por MS-CHAP MS-CHAP: Microsoft - Challeng HandShake Authentication Protocol –Técnica de autenticação proprietária da Microsoft, exclusiva para redes Windows. –Similar ao CHAP, mas utiliza técnicas de hashing RSA’s MD4 e DES. –Permite compatibilidade com outros produtos Microsoft (Windows 3.11, por exemplo) –Permite utilizar criptografia de dados na seção PPTP. RSA RC4 – 40 ou 128 bits

62 2001, Edgard Jamhour Autenticação no MS-CHAP 1. Pedido de Login (Identificação)2. Challenge String2. One-Way-Hash(Passord+Challenge String) = RSA’s MD4 5 MD5 Senha + Challenge String Senha Criptografada COMPARAÇÃO 4. VALIDAÇÃO 6) SENHA => CHAVE SIMÉTRICA RSA – RC4 (40 OU 128 BITS) 6) SENHA => CHAVE SIMÉTRICA RSA – RC4 (40 OU 128 BITS) 5. OK

63 2001, Edgard Jamhour Criptografia de Dados Uma conexão PPTP nem sempre implica em criptografia de dados. –Esta opção deve ser selecionada no servidor RAS para que a criptografia seja utilizada. –Apenas o modo MS-CHAP suporta criptografia. Criptografia PPTP –O algorítmo de hashing MD4 gera uma chave de sessão de 40 bits. –O algorítmo RSA’s RC4, com a chave de 40 bits é utilizado para criptografar os dados. OBS. –A versão americana do NT inclui um módulo de criptografia forte, com chaves de 128 bits, instalado com o service pack 2 ou superior.

64 2001, Edgard Jamhour Password Authentication Protocol (PAP) Para que o processo de autenticação possa ocorrer, é necessário que o processo de autenticação que seja conhecido pelo cliente e pelo servidor. O método de autenticação PAP é o mais simples de todos. Utiliza passwords transmitidos em texto aberto, e é suportado pela maioria dos servidores PPP utilizados pelos ISP’s. –PAP não deve ser utilizado em VPN, pois compromete todo processo de segurança da conexão. –A única razão de existir é permitir que servidores ou clientes que não suportam CHAP ou MS-CHAP possam estabelecer conexões PPTP.

65 2001, Edgard Jamhour L2TP: Layer Two Tunneling Protocol Baseado nos Protocolos: –PPTP –L2F As mensagens do protocolo L2TP são de dois tipos: –Mensagens de controle: Utilizadas para estabelecer e manter as conexões –Mensagens de dados: Utilizadas para transportar informações

66 2001, Edgard Jamhour PPTP e L2TP PPTP: –Utiliza uma conexão TCP para negociar o túnel, independente da conexão utilizada para transferir dados. –No Windows 2000, por exemplo, o cliente e o servidor utilizam a porta TCP 1723 para negociar os túneis PPTP. –Não possui mecanismos fortes de integridade dos pacotes (baseia- se apenas no PPP). –Túneis são usualmente criados pelo cliente. L2TP: –Envia tanto as mensagens de controle quanto os dados encapsulados em datagramas UDP. –No Windows 2000, por exemplo, o cliente e o servidor utilizam a porta UDP 1701 para negociar os túneis L2TP. –Túneis são usualmente criados automaticamente pelo NAS.

67 2001, Edgard Jamhour Tunelamento L2TP O tunelamento no L2TP é feito com o auxílio do protocolo UDP. Observe como o L2TP é construído sobre o protocolo PPP.

68 2001, Edgard Jamhour Tipos de VPN de Acesso As VPNs de acesso podem ser de dois tipos, dependendo do ponto onde começa a rede segura: A) Iniciada pelo Cliente B) Iniciada pelo Servidor de Acesso a Rede (NAS)

69 2001, Edgard Jamhour Iniciada pelo Cliente PSTN INTERNET ISP EMPRESA USUÁRIO REMOTO TUNEL PROVEDOR DE ACESSO A INTERNET REDE TELEFÔNICA NAS MODEM SERVIDOR PPP PPTP

70 2001, Edgard Jamhour Iniciada pelo Servidor de Acesso a Rede (NAS) PSTN INTERNET ISP EMPRESA USUÁRIO REMOTO PPP TUNEL PROVEDOR DE ACESSO A INTERNET REDE TELEFÔNICA NAS MODEM SERVIDOR PPP PPTP

71 2001, Edgard Jamhour Conexão L2TP Típica PSTN INTERNET EMPRESA USUÁRIO REMOTO PPP TUNEL LAC MODEM LNS L2TP PPP USUÁRIO REMOTO MODEM LAC: L2TP Access Concentrator LNS: L2TP Network Server

72 2001, Edgard Jamhour L2TP Possui suporte as seguintes funções: –Tunnelamento de múltiplos protocolos –Autenticação –Anti-spoofing –Integridade de dados Certificar parte ou todos os dados –Padding de Dados Permite esconder a quantidade real de dados Transportados Não possui suporte nativo para criptografia.

73 2001, Edgard Jamhour IPSec – IP Seguro Protocolo projetado pelo IETF para permitir comunicações seguras no interior de redes TCP (IPv4 ou IPv6). Possui dois modos de utilização: –Modo túnel Adiciona o cabeçalho de tunelamento e um cabeçalho de controle. –Modo transporte Adiciona apenas o cabeçalho de controle.

74 2001, Edgard Jamhour Elementos do IPSec IP Autentication Header (AH) –Integridade, Autenticação da Origem de Dados e evita interceptação de pacotes IP Encapsulating Security Payload (ESP) –Confidencialidade, Integridade, Autenticação da Origem e evita interceptação de pacotes. Internet Security Association and Key Management Protocol (ISAKMP) –Implementa o gerenciamento de chaves.

75 2001, Edgard Jamhour IPSec : Estrutura IPTCP/UDPDADOS IPTCP/UDPDADOSAH IPTCP/UDPDADOSAHIP TCP/UDPDADOS ESP HEADER ESP TRAILER ESP AUTH IPv4 IPv4 com autenticação IPv4 com autenticação e tunelamento IPv4 com autenticação e criptofafia criptografado autenticado AH: calculado sobre todos os dados que não são alterados durante o trajeto do pacote

76 2001, Edgard Jamhour Security Associations Antes que os dados possam ser trocados de forma segura, um contrato, denominado “SECURITY ASSOCIATION (SA)”, deve ser estabelecido entre dois computadores. Num SA, ambos os computadores concordam em como trocar e proteger a informação, definindo: –Tipo de autenticação, Tipo de criptografia, Algoritmo de Criptografia, Tamanho da Chave, etc.

77 2001, Edgard Jamhour Distribuição de Chaves no IPsec A distribuição de chaves no IPsec é implementado de forma independente do protocolo, na forma de uma aplicação. O ISAKMP (Definido em RFC), tornou-se o principal padrão para distribuição de chaves em redes heterogêneas.