A apresentação está carregando. Por favor, espere

A apresentação está carregando. Por favor, espere

2001, Edgard Jamhour IPsec: IP Seguro Edgard Jamhour.

PublicouMirella Alencastre Penha Alterado mais de 8 anos atrás

Apresentações semelhantes

Apresentação em tema: "2001, Edgard Jamhour IPsec: IP Seguro Edgard Jamhour."— Transcrição da apresentação:

1

2 2001, Edgard Jamhour IPsec: IP Seguro Edgard Jamhour

3 2001, Edgard Jamhour IP Sec - IP Seguro Padrão aberto baseado em RFC (IETF). –Comunicação segura em camada 3 (IPv4 e IPv6) –Provê recursos de segurança sobre redes IP: Autenticação, Integridade e Confidencialidade Dois modos de funcionamento: –Modo Transporte –Modo Túnel Dois Protocolos (Mecanismos) –IPsec ESP: IP Encapsulating Security Payload (50) –IPsec AH: IP Autentication Header (51)

4 2001, Edgard Jamhour Tipos de IPSec IP Autentication Header (AH) –Oferece recursos de: Autenticação Integridade IP Encapsulating Security Payload (ESP) –Oferece recursos de: Confidencialidade Autenticação Integridade

5 2001, Edgard Jamhour IPsec AH e IPsec ESP IPTCP/UDPDADOS IPTCP/UDPDADOSAH IP TCP/UDPDADOS ESPH ESPT ESPA criptografia IPv4 AH modo transporte ESP transporte autenticação e integridade

6 2001, Edgard Jamhour Estrutura Geral do IPsec

7 2001, Edgard Jamhour Implementação do IPsec IPsec pode ser implementado de três formas: –Como um driver –Reescrevendo-se o código do protocolo IP –Dispositivo externo "Bump-in-the-wire" (BITW) IP IPsec Driver Enlace (Driver da Placa de Rede) IP/IPsec Nativo Enlace (Driver da Placa de Rede) Sistemas OperacionaisRoteadores

8 2001, Edgard Jamhour Modos de Utilização do IPsec Modo transporte –Garante a segurança apenas dos dados provenientes das camadas superiores. –Utilizado geralmente para comunicação "fim-a-fim" entre computadores. Modo tunel –Fornece segurança também para a camada IP. –Utilizado geralmente para comunicação entre roteadores.

9 2001, Edgard Jamhour Modo Tunel e Transporte INTERNET Conexão IPsec em modo Transporte INTERNET Conexão IPsec em modo Túnel

10 2001, Edgard Jamhour Modos de Utilização do IPsec Rede não Confiável Rede não Confiável Rede não Confiável Rede Confiável Gateway Seguro Host

11 2001, Edgard Jamhour IPSec : Estrutura AH e ESP IPTCP/UDPDADOS IPv4 IPTCP/UDPDADOSAH modo transporte IP TCP/UDPDADOS ESPH ESPT ESPA ESP transporte IP ESPH TCP/UDPDADOS ESPT ESPA criptografia ESP tunel autenticação e integridade IPTCP/UDP DADOS AHIP AH modo tunel autenticação e integridade

12 2001, Edgard Jamhour Authentication Header Next Headerreserved 1 byte Lengthreserved SPI: Security Parameter Index Authentication Data (ICV: Integrity Check Value) Campo de Tamanho Variável, depende do protocolo de autenticação utilizado 1 byte Provê serviços de autenticação e Integridade de Pacotes. Sequence Number

13 2001, Edgard Jamhour Campos do IPsec AH Next Header: –Código do protocolo encapsulado pelo IPsec, de acordo com os códigos definidos pela IANA (UDP, TCP, etc...) Length: –comprimento do cabeçalho em múltiplos de 32. Security Parameter Index: –identificador de 32 bits, com a SA compartilhada pelo transmissor e pelo receptor. Authentication Data: –Código de verificação de integridade (ICV) de tamanho variável, depende do protocolo utilizado.

14 2001, Edgard Jamhour Campos do IPsec AH Sequence Number: –Numero incremental, que começa a contagem quando o SA é criada. –Permite que apenas 2 32 -1 pacotes sejam transmitidos na mesma SA. Após esse número, uma nova SA deve ser criada. Host A Host B negociam SA e definem SPI SPI=x e SN=1 SPI=x e SN=2... SPI=y trans. SPI=x recep. SPI=x trans. SPI=y recep. SPI=y e SN=1

15 2001, Edgard Jamhour Authentication Data Para enviar um pacote: 1.O transmissor constrói um pacote com todos os campos IP e protocolos das camadas superiores. 2.Ele substitui todos os campos que mudam ao longo da transmissão com 0’s (por exemplo, o TTL) 3.O pacote é completado com 0’s para se tornar múltiplo de 16 bits. 4.Um checksum criptográfico é computado para concatenação: –Algoritmos: HMAC-MD5 ou HMAC-SHA-1 –MAC: Message Authentication Code

16 2001, Edgard Jamhour Autenticação Para receber um pacote: 1.O receptor utiliza o SPI para determinar qual o algoritmo a ser utilizado para validar o pacote recebido. 2.O receptor substitui os campos mutáveis por “0” e calcula o checksum criptográfico do pacote. 3.Se ele concordar com o checksum contido no cabeçalho do pacote de autorização, ele é então aceito. IPTCP/UDPDADOSAH Algoritmo de Integridade ICV iguais?

17 2001, Edgard Jamhour AH e Modo Túnel e Modo Transporte IPTCP/UDPDADOS IPTCP/UDPDADOSAH IPTCP/UDPDADOSAHIP IPv4 IPv4 com autenticação IPv4 com autenticação e tunelamento Especifica os Gateways nas Pontas do Tunnel Especifica os Computadores IP Normal Modo Transporte Modo Tunel

18 2001, Edgard Jamhour AH Modo Tunel e Transporte SA INTERNE T SA INTERNET SA Conexão IPsec em modo Túnel IPsec AH Conexão IPsec em modo Transporte IPsec AH IP

19 2001, Edgard Jamhour Encrypted Security Payload Header ESP provê recursos de autenticação, integridade e criptografia de pacotes. Next HeaderPad (0 – 255 bytes) 1 byte Pad Length Security Parameter Index Encrypted Payload (dados criptografados) 1 byte Sequence Number Authentication Data (tamanho variável) HEADER TRAILER AUTH

20 2001, Edgard Jamhour Campos do IPsec ESP Header: –SPI e Sequence Number: Mesmas funções do AH –O algoritmo de criptografia pode ser qualquer, mas o DES Cipher- Block Chaining é o default. Trailler: –Torna os dados múltiplos de um número inteiro, conforme requerido pelo algoritmo de criptografia. –O trailler também é criptografado. Auth: –ICV (Integrity Check Value) calculado de forma idêntica ao cabeçalho AH. Este campo é opcional.

21 2001, Edgard Jamhour ESP IPSec : Tunel e Transporte TCP UDP DADOSESP HEADER ESP TRAILER ESP AUTH criptografado autenticado TCP UDP DADOSIP TCP UDP DADOSESP HEADER ESP TRAILER ESP AUTH criptografado autenticado IP MODO TRANSPORTE MODO TUNNEL

22 2001, Edgard Jamhour ESP Modo Tunel e Transporte SA INTERNE T SA INTERNET SA Conexão IPsec em modo Túnel IPsec ESP Conexão IPsec em modo Transporte IPsec ESP IP

23 2001, Edgard Jamhour ESP IPSec : Tunel e Transporte TCP UDP DADOSESP HEADER ESP TRAILER ESP AUTH criptografado autenticado TCP UDP DADOSIP TCP UDP DADOSESP HEADER ESP TRAILER ESP AUTH criptografado autenticado IP MODO TRANSPORTE MODO TUNNEL

24 2001, Edgard Jamhour Configuração do IPsec Cada dispositivo de rede (Host ou Gateway) possui uma política de segurança que orienta o uso de IPsec. Uma política IPsec é formada por um conjunto de regras, muito semelhantes as regras de um firewall. As políticas IPsec são definidas de maneira distinta para os pacotes transmitidos e para os pacotes recebidos.

25 2001, Edgard Jamhour Políticas de Segurança Uma Política IPsec é formada por um conjunto de regras com o seguinte formato: –Se CONDICAO Satisfeita Então executar ACAO da POLÍTICA A CONDIÇÃO (Chamada de Filtro): – define quando uma regra de Política deve ser tornar ATIVA. A AÇÃO: –define o que deve ser feito quando a condição da REGRA for SATISFEITA.

26 2001, Edgard Jamhour Elementos para Configuração do IPsec Ações (Ação de Filtro) Condições (Lista de Filtros) Política IPsec Regra de Política Lista de Regras

27 2001, Edgard Jamhour Condição (Lista de Filtros) Cada filtro define as condições em que uma política deve ser ativa. a) IP origem (nome, IP ou subrede) b) IP destino (nome, IP ou subrede) c) Tipo de Protocolo (código IANA para TCP, UDP, ICMP, etc...) d) Porta Origem (se TCP/UDP) e) Porta de Destino (se TCP/UDP)

28 2001, Edgard Jamhour Ação A ação define o que deverá ser feito com o pacote recebido ou transmitido. O IPsec define 3 ações: –repassar o pacote adiante sem tratamento ação: bypass IPsec –rejeitar o pacode ação discard –negociar IPsec define um modo de comunicação incluindo as opções Tunel, Transporte, IPsec ESP e IPsec AH.

29 2001, Edgard Jamhour Negociar IPsec Se a ação for do tipo Negociar IPsec, deve-se definir: –Obrigatoriedade: Facultativo: Aceita comunicação insegura (se o outro não suporta IPsec). Obrigatório: Aceita apenas comunicação segura. –Tipo de IPsec: AH: Define o algoritmo de Hashing ESP: Define o algotimo de Hashing e Criptografia –Modo Túnel ou Modo Transporte Se modo túnel, especificar o IP do fim do túnel

30 2001, Edgard Jamhour Ações IPsec na Transmissão Discard Bypass Regras IPsec gerar assinaturas digitais criptografar os dados IPsec Driver Enlace IP IPsec AH IP Negociar IPsec IP X IPsec ESP

31 2001, Edgard Jamhour Ações IPsec na Recepção Discard Bypass Regras IPsec verifica assinaturas decriptografa IPsec Driver Enlace IP IPsec AH IP Negociar IPsec IP X IPsec ESP X IP

32 2001, Edgard Jamhour Implementação de Políticas Para que dois computadores "A" e "B" criem uma comunicação IPsec: –Computador A: deve ter políticas IPsec para transmitir pacotes cujo endereço de destino é "B". deve ter políticas IPsec para receber pacotes cujo endereço de origem é "B". –Computador B: deve ter políticas IPsec para transmitir pacotes cujo endereço de destino é "A". deve ter políticas IPsec para receber pacotes cujo endereço de origem é "A".

33 2001, Edgard Jamhour Exemplo de Política em Modo Transporte 10.32.1.45 10.26.128.0 255.255.128.0 HOST B 10.26.128.110.32.1.1

34 2001, Edgard Jamhour Formato das Regras Modo: –Modo Tunel ou Modo Transporte? –IP do Túnel (se houver) Filtro: –IP de Origem e Destino (pode ser subrede) –Protocolo (TCP, UDP, etc) –Porta de Origem e Destino (se houver) Ação: –Tipo: Aceitar, Bloquear, Negociar –Protocolo IPsec (AH, ESP) –Obrigatório (S/N) –Integridade: MD5, SHA –Criptografia: DES, 3DES

35 2001, Edgard Jamhour Política 1: ICMP Objetivo: –Evitar ataques ICMP com spoofing. Política: Para o HOST B: –Apenas mensagens ICMP vindas da subrede 10.26.128.0/17 em modo IPsec AH são aceitas. –Se o solicitante não suporta IPsec, então a comunicação é Rejeitada

36 2001, Edgard Jamhour Exemplo de Política Transporte: ICMP 10.26.128.0/17 10.32.1.45 ICMP ICMP (AH) HOST B REDE A REDE_AHOST_B ICMP HOST_BREDE_AICMP 2 REGRAS

37 2001, Edgard Jamhour Política para o HOST B ModoIP Origem IP Destino ProtocolPorta Origem Porta Destino Acao

38 2001, Edgard Jamhour Políticas Básicas Algumas implementações de IPsec, como no Windows 2000 oferecem políticas pré-definidas para facilitar a configuração das regras`. –Sem IPsec –Client (Respond Only) Implementa IPsec apenas se exigido pelo Servidor. –Secure Server (Require Security) Efetua apenas comunicação IPsec. Rejeita conexões com clientes que não suportam IPsec. –Server (Request Security) Solicita sempre comunicação IPsec. Aceita conexões sem segurança se o cliente não suportar IPsec.

39 2001, Edgard Jamhour Políticas Básicas Não Fala IPsec Cliente IPsec Request Security Require Security CLIENTE SERVIDOR

40 2001, Edgard Jamhour Pergunta: Que política Básica deve ser configurada nos hosts da rede A para que eles possam enviar as mensagens de ping? RESPOSTA: –Sem IPsec: –Cliente: –Request Security –Require Security

41 2001, Edgard Jamhour Expandindo a política: Acesso HTTP Objetivo: –Possibilitar que usuários da Intranet possam estabelecer comunicação em modo seguro, com criptografia de dados. Política: Para o HOST B: –Apenas o acesso da subrede 10.26.128.0/17 em modo IPsec ESP é permitido. –Se o solicitante não suporta IPsec, então a comunicação não é Permitida. –Se o solicitante pertencer a uma outra subrede, então a comunicação é bloqueada.

42 2001, Edgard Jamhour Acesso HTTP 10.26.128.0 10.32.1.45 HTTP (ESP) HTTP HOST B HTTP REDE_AHOST_B HTTP HOST_BREDE_AHTTP 2 REGRAS REDE A

43 2001, Edgard Jamhour Política para o HOST B ModoIP Origem IP Destino ProtocolPorta Origem Porta Dest. Acao Transp.10.26.128.0 /17 10.32.1.45ICMP**AH SHA1 AH MD5 Transp.10.32.1.4510.26.128.0 /17 ICMP**AH SHA1 AH MD5

44 2001, Edgard Jamhour Política Default Assim como um firewall, é necessário definir uma políticas Default para o IPsec. A políticas default será aplicada quando as condições do pacote não forem satisfeitas por nenhuma das regras pré- definidas. A política default pode ser: –Bloquear –Bypass IPsec –Negociar IPsec em vários modos: IPsec ESP 3DES, SHA1 IPsec ESP DES, MD5 AH SHA1 AH MD5

45 2001, Edgard Jamhour Security Association (SA) Dois computadores podem possuir um conjunto amplo de políticas para transmissão e recepção de pacotes. É necessário encontrar uma política que seja comum ao transmissor e ao receptor. A B Eu transmito para qualquer rede sem IPsec Eu transmito para qualquer rede em IPsec AH MD5 E aceito pacotes de qualquer rede em com IPsec AH MD5 Eu transmito para qualquer rede em IPsec AH MD5 Eu transmito para qualquer rede em IPsec AH SHA1 Eu aceito pacotes de qualquer rede em com IPsec AH MD5

46 2001, Edgard Jamhour Security Association Uma vez definida uma política comum a ambos os computadores, uma associação de segurança (SA) é criada para “lembrar” as condições de comunicação entre os hosts. Isso evita que as políticas sejam revistas pelo IPsec a cada novo pacote recebido ou transmitido. Cada pacote IPsec identifica a associação de seguraça ao qual é relacionado pelo campo SPI contido tanto no IPsec AH quanto no IPsec ESP.

47 2001, Edgard Jamhour Negociação de SA’s A negociação de SA e o gerenciamento de chaves é implementado por mecanismos externos ao IPsec. A única relação entre esses mecanismos externos e o IPsec é através do SPI (Secure Parameter Index). O gerenciamento de chaves é implementado de forma automática pelo protocolo: –IKE: Internet Key Exchange Protocol

48 2001, Edgard Jamhour IKE: The Internet Key Exchange Mecanismo estabelecimento das Associações de Segurança. Anteriormente conhecido como ISAKMP/Oakley –ISAKMP( The Internet Security Association and Key Management Protocol) Protocolo para negociar, modificar e eliminar associações de segurança e chaves. Define os conteúdos para geração de chaves de intercâmbio de dados de autenticação. –Oakley Protocolo para intercâmbio de chaves de sessão.

49 2001, Edgard Jamhour Distribuição de Chaves no IPsec A distribuição de chaves no IPsec é implementado de forma independente do protocolo, na forma de uma aplicação. UDP 500

50 2001, Edgard Jamhour Princípios para Criação das SA Princípio: –Todo dispositivo que estabelece um SA deve ser previamente autenticado. –Toda informação trocada para criar os SA’s deve ser autenticada e criptografada. IKE: –Autenticação de “peers” numa comunicação IPsec. –Negocia políticas de segurança. –Manipula a troca de chaves de sessão. Através de certificados. Através de segredos pré-definidos. Através do OakLey. Através de Certificados.

51 2001, Edgard Jamhour IPsec faz uma negociação em Duas Fases FASE 1: –Criação de uma SA Temporária –Cria um canal seguro temporário para Negociação da SA Definitiva. FASE 2: –Criação de uma SA Permanente –Cria o canal seguro para transmissão dos dados. O driver IPsec: Verifica mudanças de política a cada 180 minutos. Refaz a autenticação a cada 480 minutos Pode reutilizar ou não a chave mestra da Fase 1 para gerar novas chaves de sessão em comunicações seguras com o mesmo computador.

52 2001, Edgard Jamhour Algoritmos Utilizados Algoritmo de Chave Pública: –Diffie-Hellman –Algorítimo de chave pública, utilizado pelo IKE para transportar as chaves de sessão. Algoritmos de Criptografia: –DES-CBC with Explicit IV –40-bit DES-CBC with Explicit IV –DES-CBC with Derived IV as specified in RFC 1829 Algoritmos de Autenticação: –HMAC-MD5 –HMAC-SHA –Keyed MD5 conforme RFC 1828

53 2001, Edgard Jamhour Fases de Criação da SA FASE 1: Autenticação Utiliza um SA temporário (ISAKMP AS) 1.Policy Negotiation –Determina: oO Algoritmo de criptografia: DES, 3DES, 40bitDES, ou nenhum. oO Algoritmo de integridade: MD5 or SHA. oO Método de autenticação: Public Key Certificate, preshared key, or Kerberos V5 (método default utilizado pelo Windows2000, por exemplo). oO grupo Diffie-Hellman.

54 2001, Edgard Jamhour Fases de Criação da SA 2. Key Information Exchange oUtiliza Diffie-Helman para trocar um segredo compartilhado 3. Authentication oUtiliza um dos mecanismos da fase 1 para autenticar o usuário.

55 2001, Edgard Jamhour Fases de Criação da SA FASE 2: Criação do SA para IPsec –Define o SA que será realmente usado para comunicação segura 1.Policy Negotiation –Determina: oO protocolo IPsec: AH, ESP. oO Algoritmo de Integridade: MD5, SHA. oO Algoritmo de Criptografia: DES, 3DES, 40bitDES, or none. 2.O SA e as chaves são passadas para o driver IPsec, junto com o SPI.

56 2001, Edgard Jamhour Modos do SA Assim como o IPsec, as SA podem ser de dois modos: –Transporte Provê segurança apenas para as camadas superiores (ESP) e autenticação para alguns campos do IP (AH). Utilizado para estabelecer a segurança entre dois Hosts. –Tunel Aplica segurança em um pacote tunelado. Utilizado para estabelecer a segurança: –entre dois roteadores –entre um computador e um roteador.

57 2001, Edgard Jamhour Modos de Utilização do IPsec Rede não Confiável Rede não Confiável Rede não Confiável Rede Confiável Gateway Seguro Host SA

58 2001, Edgard Jamhour Combinação de SA (SA bundle) As funcionalidades oferecidas nos modos Tunel, Tranporte AH e ESP não são idênticas. Muita vezes são necessárias mais de uma SA para satisfazer os requisitos de segurança de uma comunicação segura. INTERNET SA Tunnel com ESP SA Transporte com AH

59 2001, Edgard Jamhour Tunelamento Múltiplo (Iterate Tunneling) IPsec permite criar várias camadas de tunelamento terminando em end points diferentes. INTERNET

60 2001, Edgard Jamhour Combinação de SA’s Associação de Segurança 1Associação de Segurança 2 Associação de Segurança 1 Rede não Confiável Rede não Confiável Rede não Confiável Rede não Confiável

61 2001, Edgard Jamhour Exemplo de Política Túnel Cenário: 10.26.128.25310.32.1.45 10.32.1.0 255.255.255.0 10.26.128.0 255.255.128.0 AH (obrigatório) ESP (túnel, obrigatório) AH (obrigatório) Host A Host B Rede A Rede B

62 2001, Edgard Jamhour Observação: Políticas com Tunelamento É necessário criar uma regra para enviar e outra para receber pacotes pelo túnel, em cada um dos gateways VPN. IP_IA B Rede A Rede B IP_EAIP_IBIP_EB R_B R_A IP_EBIP_EA R_BR_AIP_EAIP_EB A R_B R_A IP_EBIP_EA R_BR_AIP_EAIP_EB

63 2001, Edgard Jamhour Objetivos da Política Permitir que duas redes da organização troquem informação em modo seguro. A informação deve ser criptograda enquanto estiver transitando entre as duas redes. Apenas os hosts pertencentes as subredes 10.16.128.0/17 e 10.32.1.0/24 podem utilizar o canal VPN. Deve-se evitar que computadores pertencentes a outras redes utilizem o canal VPN através de técnicas de spoofing.

64 2001, Edgard Jamhour Política para o HOST B ModoIP Origem IP Destino ProtocolPorta Origem Porta Dest. Acao

65 2001, Edgard Jamhour Política para o HOST A ModoIP Origem IP Destino ProtocolPorta Origem Porta Dest. Acao

66 2001, Edgard Jamhour Observações Limitações do VPN IPsec no Windows 2000 –Os tuneis não podem ser criados para protocolos ou portas específicas. APENAS TUNEIS ESTÁTICOS ENTRE DOIS ENDEREÇOS IP SÃO SUPORTADOS.

67 2001, Edgard Jamhour Armazenamento das Políticas e das SA As normas relativas ao IPsec não definem como as políticas e as associações de segurança devem ser implementadas. –Todavia, conceitualmente, elas são armazenadas em duas bases distintas Security Policy Database: SPD Security Association Database: SAD –Cada dispositivo de rede que suporta IPsec deve possuir 4 bases: SPD para transmissão, SPD para recepção SAD para transmissão, SAD para recepção

68 2001, Edgard Jamhour Base de Dados IPsec (SPD e SA) HOST ou GATEWAY oubound inbound pacotes IP (SPI) SPD pacotes IP SA SPD SA Políticas e Associações para Pacotes Transmitidos Políticas e Associações para Pacotes Recebidos define protocolo de hashing, criptografia e a chave criptográfica. conjunto de regras que diz o que fazer com cada pacote.

69 2001, Edgard Jamhour Security Policy Database (SPD) SPD –Lista ordenada de entradas de política de segurança (Security Policy Entries - SPE). –Cada SPE está associada a um ou mais selectors que definem qual tráfego IP deve ser submetido a esta política. Cada SPE: –Classifica o tráfego em: bypass discard IPsec processing: SPE inclui um SA (ou SA bundle)

70 2001, Edgard Jamhour Security Association Database: SAD As políticas IPsec podem ser definidas: –Com alta granularidade Determina uma SA diferente para cada tipo de tráfego. –Com baixa gralularidade Determina SA genéricas que se aplicam a diversos tipos de tráfego. Num dado instante, um host pode ter várias SA ativas. As SA’s ativas são armazenadas na SAD (Security Association Database).

71 2001, Edgard Jamhour Indentificação das SA Uma SA é definida de maneira única por um Triplé: –SPI: Security Parameter Index Parâmetro de 32 bits, escolhido pelo receptor. É transportado dentro dos campos extendidos pelo IPsec. –IP de destino (pode ser unicast, broadcast ou multicast) –Identificador AH ou ESP IP_A IP_B SA1: SPI= 1, IP= IP_B, AH SA2: SPI= 1, IP= IP_A, AH

72 2001, Edgard Jamhour Security Parameter Index - SPI SPI1 SPI2 SPI3 SPI1 SA1 SA2 SA3 SA1 SA2 Um servidor pode ter ao mesmo tempo várias associações de segurança diferentes (SA), pois pode manter comunicações seguras com vários usuários ao mesmo tempo. IPsec –SPI1 IPsec –SPI2

73 2001, Edgard Jamhour Base de Dados IPsec (SPD e SA) HOST ou GATEWAY oubound inbound pacotes IP (SPI) SPD pacotes IP SA SPD SA Políticas e Associações para Pacotes Transmitidos Políticas e Associações para Pacotes Recebidos SPE SPI

74 2001, Edgard Jamhour Funcionamento O funcionamento do IPsec deve ser analisado em duas situações: –Transmissão: Quando o drive IPsec recebe dados das camadas superiores. Antes de transmitir os dados o IPsec deve: –AH: gerar as assinaturas digitais. –ESP: criptografar os dados. –Tráfego Recebido: O drive IPsec recebe dados das camadas Inferiores. Antes de repassar os dados para as camadas superiores o IPsec deve: –AH: validar as assinaturas digitais. –ESP: decriptografar os dados.

75 2001, Edgard Jamhour Transmissão de Dados em IPsec Sequência de ações do driver IPsec: 1. Consulta o SPD (Banco de Dados de Políticas) Determina se: a) bypassa IPsec, b) descarda os dados, c) efetua o processamento IPsec. 2. Determina o SA (apenas no caso c) 3. Consulta o SAD (Security Association Database) Se a SA já existe: ele utiliza a existente Se a SA não existe: ele solicita ao IKE para criar uma nova SA com as características necessárias.

76 2001, Edgard Jamhour Recepção de Dados em IPsec Sequência de ações do driver IPsec: 1. Determina o tipo de protocolo IPsec (AH ou ESP). 2. Identifica o SPI (Security Paramenter Index) 3. Consulta a base de SAs (SAD). 4. Utiliza as informações na SAD para: AH: Determinar como validar a assinatura digital. ESP: Determina como decriptograr os dados. 5. Após a valiação dos pacote: A base de políticas é consultada (SPD) para determinar se a SAD aplicada ao pacote satisfaz as políticas de segurança relativas a este tipo de tráfego.

77 2001, Edgard Jamhour Alterações de Políticas Quando uma comunicação IPsec é bem sucedida, cria-se uma SA. SA (ESP, DES, SHA) As SA continuam, mesmo se as políticas são modificadas. Deve-se aguardar um tempo para que as S.A. sejam desfeitas e então a nova política tenha efeito. Durante este perído, a criação de políticas incompatíveis com SA já estabelecidas faz com que a comunicação não funcione. SA (ESP, DES, SHA)

78 2001, Edgard Jamhour L2TP e IPsec IPsec: –Implementa tunelamento em camada 3. –Não é capaz de suportar o transporte de protocolos de rede que não sejam IP. L2TP: –Implementa tunelamento em camada 2. –Pode transportar qualquer tipo de protocolo de rede. –Não possui recursos para gerenciar criptografia dos dados.

79 2001, Edgard Jamhour Tunelamento L2TP com IPsec L2TP e IPsec podem ser combinados para implementar um mecanismo completo de VPN para procotolos de rede diferentes do IP, como IPx e NetBEUI.

80 2001, Edgard Jamhour IPsec no Cisco: Exemplo NAT Translation Packet Filtering IPsec 201.1.1.1 201.2.2.1 roteador switch 172.16.1.0/24 172.16.2.0/24 Desktop Servidor Internet switch roteador

81 2001, Edgard Jamhour Exemplo de Configuração IPsec Passo 1: Verificar se os filtros de pacotes permitem a passagem de mensagens IPsec. –Requisitos: IKE usa a porta UDP 500 O IPsec utiliza os protocolos IP tipo: ESP: 51 AH: 51

82 2001, Edgard Jamhour Exemplo de Configuração IPsec Passo 2: Indicar qual tráfego poderá passar pelo Firewall e ser tratado pelo IPsec: –O comando abaixo define que todo tráfego trocado entre as redes 172.16.2.0/24 e 172.16.1.0/24 deve ser submetido ao IPsec. access-list 120 permit ip 172.16.2.0 0.0.0.255 172.16.1.0 0.0.0.255

83 2001, Edgard Jamhour Exemplo: Cisco Passo 3: Define as opções do IKE –! Políticas oferecidas ao outro peer. –! A política com maior número é a preferencial. – crypto isakmp policy 1 – hash md5 – authentication pre-share – ! Esta política é mais segura que a 1 – crypto isakmp policy 2 – authentication pre-share – group 2 – lifetime 360 – ! Define chaves de autenticação pré-compartilhadas – crypto isakmp key itsnotverysecret address 201.1.1.1

84 2001, Edgard Jamhour Padrões Relacionados ao IPsec RFC 2401 : –Security Architecture for the Internet Protocol RFC 2402: –IP Authentication Header RFC 2403: –The Use of HMAC-MD5-96 within ESP and AH RFC 2404: –The Use of HMAC-SHA-1-96 within ESP and AH RFC 2405: –The ESP DES-CBC Cipher Algorithm With Explicit IV

85 2001, Edgard Jamhour Padrões Relacionados ao IPsec RFC 2406: –IP Encapsulating Security Payload (ESP) RFC 2407: –The Internet IP Security Domain of Interpretation for ISAKMP RFC 2408: –Internet Security Association and Key Management Protocol (ISAKMP) RFC 2409: –The Internet Key Exchange (IKE)

Carregar ppt "2001, Edgard Jamhour IPsec: IP Seguro Edgard Jamhour."

Apresentações semelhantes

Leandro Alonso Xastre Thiago T. C. de Felipo

Leandro Alonso Xastre Thiago T. C. de Felipo
Bruno Rafael de Oliveira Rodrigues

Bruno Rafael de Oliveira Rodrigues
IPsec: IP Seguro Edgard Jamhour.

IPsec: IP Seguro Edgard Jamhour.
Exercícios de Revisão Redes de Computadores Edgard Jamhour

Exercícios de Revisão Redes de Computadores Edgard Jamhour
Exercícios de Revisão Redes de Computadores Edgard Jamhour

Exercícios de Revisão Redes de Computadores Edgard Jamhour
Exercícios de Revisão Redes de Computadores Edgard Jamhour

Exercícios de Revisão Redes de Computadores Edgard Jamhour
Exercícios IPsec Aluno:.

Exercícios IPsec Aluno:.
IPsec: IP Seguro Edgard Jamhour.

IPsec: IP Seguro Edgard Jamhour.
Criptografia e Segurança de Redes Capítulo 16

Criptografia e Segurança de Redes Capítulo 16
Redes Privadas Virtuais (VPN)

Redes Privadas Virtuais (VPN)
Introdução às Redes Privadas Virtuais - VPN

Introdução às Redes Privadas Virtuais - VPN
Sistemas Distribuídos

Sistemas Distribuídos
Execícios de Revisão Redes e Sistemas Distribuídos II Edgard Jamhour

Execícios de Revisão Redes e Sistemas Distribuídos II Edgard Jamhour
Escola Secundária Filipa de Vilhena Ano Lectivo 2010/ Turma IGR1

Escola Secundária Filipa de Vilhena Ano Lectivo 2010/ Turma IGR1
Auxilio a Resolução da Lista de Exercícios

Auxilio a Resolução da Lista de Exercícios
Modelo de referência OSI

Modelo de referência OSI
CCNA Exploration Camada de Rede OSI.

CCNA Exploration Camada de Rede OSI.
Segurança na Web SSL - Secure Socket Level TLS - Transport Layer Security SET – Secure Electronic Transaction.

Segurança na Web SSL - Secure Socket Level TLS - Transport Layer Security SET – Secure Electronic Transaction.
Autenticação de Mensagens

Autenticação de Mensagens
Firewall – Segurança nas redes

Firewall – Segurança nas redes

Apresentações semelhantes

Anúncios Google