A apresentação está carregando. Por favor, espere

A apresentação está carregando. Por favor, espere

Protocolos de Segurança IP IPSec

PublicouLorenzo Bonilha Canejo Alterado mais de 6 anos atrás

Apresentações semelhantes

Apresentação em tema: "Protocolos de Segurança IP IPSec"— Transcrição da apresentação:

1 Protocolos de Segurança IP IPSec
Gabriel Mendonça

2 Motivação IP é bastante simples Não provê segurança Autenticidade
Confidencialidade Integridade

3 Motivação IPv6 Aumento do espaço de endereços
Comunicações mais seguras Internet Protocol Security - IPSec

4 IP Security Conjunto de Protocolos Principais RFCs:

5 IP Security Authentication Header – AH
Encapsulating Security Payload – ESP Internet Key Exchange - IKE

6 Conceito Canal Seguro Escolha de algoritmos de criptografia e/ou autenticação Troca de chaves Envio de dados com os métodos acordados

7 Conceito Associações de Segurança – SA Relação unidirecional
Algoritmos e chaves Identificador numérico

8 Modos de Operação Usado para comunicações fim-a-fim seguras entre terminais. Cabeçalho IP não é alterado, para haver o roteamento. Logo, não é encriptado. A integridade pode ser garantida para todo o pacote.

9 Modos de Operação O pacote IP é completamente encapsulado.
Novo cabeçalho forma um túnel. Verificação feita no primeiro destino. Gateway de Segurança. Usado em VPNs.

10 Authentication Header
Garante autenticidade e integridade Utiliza função de hash, como MD5 e SHA-1 H[Pacote || Chave] Chave definida pela SA “ Em alguns programas P2P para compartilhamento de arquivos, por exemplo, é realizada a autenticação dos usuários e o teste de integridade dos blocos de arquivos enviados. Entretanto, não há privacidade na troca de pacotes.”

11 Authentication Header

12 Encapsulating Security Payload
Confidencialidade, autenticação e integridade Criptografia - 3DES, Blowfish, AES etc. Algoritmos e chaves da SA Autenticação não inclui cabeçalho

13 Encapsulating Security Payload

14 Internet Key Exchange Uso de chaves compartilhadas
Escolha de chaves e algoritmos Configuração manual Gerenciamento automático IKE (Internet Key Exchange)

15 Internet Key Exchange Estabelecimento de SAs
Canal seguro – SA bidirecional Mas como fazer o canal seguro? Voltamos ao mesmo problema. Solução? Diffie-Hellman.

16 Diffie-Hellman Troca de chaves entre A e B Primo p e raiz primitiva r
Sorteio de XA e XB A envia para B: Chave secreta para B: Chave secreta para A: 𝑌 𝐴 = 𝑟 𝑋 𝐴 𝑚𝑜𝑑𝑝 𝐾= 𝑌 𝐴 𝑋 𝐵 𝑚𝑜𝑑𝑝 𝐾= 𝑌 𝐵 𝑋 𝐴 𝑚𝑜𝑑𝑝

17 Conclusão Conjunto de protocolos bastante complexo Muitas escolhas
Modo túnel / modo transporte AH / ESP MD5 / SHA-1 3DES / AES

18 Conclusão Complexidade é perigosa Más escolhas => insegurança
Boa solução para VPN Perde para SSL

19 Perguntas e Respostas O que significam os conceitos autenticação, confidencialidade e integridade? Autenticação - garantia de que uma entidade é, de fato, quem afirma ser Confidencialidade - garantia de que apenas as entidades autorizadas terão acesso à informação Integridade - garantia de que a informação foi preservada

20 Perguntas e Respostas Por que o Authentication Header não provê assinatura quando uma chave secreta é utilizada? Como a chave é conhecida por ao menos 2 pessoas, a mensagem pode ser forjada. Neste caso, o AH não garante o não-repúdio.

21 Perguntas e Respostas O serviço de autenticação do Encapsulating Security Payload não inclui o cabeçalho IP. O endereço de origem do pacote pode ser alterado? Como pode ser garantida a autenticação nesse caso? Sim, o endereço de origem e outros campos do cabeçalho IP podem ser alterados. Ainda assim, a autenticação do restante do pacote garante que este veio de uma pessoa que conhece a chave de autenticação.

22 Perguntas e Respostas Alguns autores defendem a existência apenas do modo túnel, com autenticação e encriptação do ESP. Como o modo transporte e o AH podem ser substituídos? Um endereço de destino no novo cabeçalho IP igual ao original fará com que o pacote chegue ao destino da mesma forma. O pacote no modo transporte é menor. É possível realizar uma compressão nos campos do ESP para reduzir o uso de banda passante. No modo túnel, o ESP encripta e autentica todo o pacote original, reduzindo a necessidade do uso conjunto do AH neste caso.

23 Perguntas e Respostas O Internet Key Exchange, protocolo do IPSec para gerenciamento automático de chaves, utiliza um algoritmo baseado na troca de chaves de Diffie-Hellman, mas inclui mecanismos adicionais para a autenticação. Por que isso é necessário? Qual o principal tipo de ataque ao qual o Diffie-Hellman é vulnerável? Por não prover a autenticação dos comunicantes, o algoritmo de Diffie-Hellman é vulnerável ao "ataque do homem no meio", em que o atacante intercepta as mensagens enviadas e forja outras, assumindo a identidade das vítimas.

24 Obrigado!

Carregar ppt "Protocolos de Segurança IP IPSec"

Apresentações semelhantes

Leandro Alonso Xastre Thiago T. C. de Felipo

Leandro Alonso Xastre Thiago T. C. de Felipo
Exercícios de Revisão Redes de Computadores Edgard Jamhour

Exercícios de Revisão Redes de Computadores Edgard Jamhour
Exercícios de Revisão Redes de Computadores Edgard Jamhour

Exercícios de Revisão Redes de Computadores Edgard Jamhour
IPsec: IP Seguro Edgard Jamhour.

IPsec: IP Seguro Edgard Jamhour.
Criptografia e Segurança de Redes Capítulo 16

Criptografia e Segurança de Redes Capítulo 16
Segurança de Sistemas e Redes

Segurança de Sistemas e Redes
Introdução às Redes Privadas Virtuais - VPN

Introdução às Redes Privadas Virtuais - VPN
Protocolos Criptográficos

Protocolos Criptográficos
Execícios de Revisão Redes e Sistemas Distribuídos II Edgard Jamhour

Execícios de Revisão Redes e Sistemas Distribuídos II Edgard Jamhour
Auxilio a Resolução da Lista de Exercícios

Auxilio a Resolução da Lista de Exercícios
HIP Protocolo de Identificação do Usuário Uma visão geral sobre este protocolo que promete ser uma solução às atuais dificuldades de implementação da internet.

HIP Protocolo de Identificação do Usuário Uma visão geral sobre este protocolo que promete ser uma solução às atuais dificuldades de implementação da internet.
VPN Virtual Private Network.

VPN Virtual Private Network.
Segurança e Auditoria de Sistemas

Segurança e Auditoria de Sistemas
Módulo 3 Implantação do IPv6.

Módulo 3 Implantação do IPv6.
Tópicos Avançados em Redes de Computadores Prof. Fabiano Sabha.

Tópicos Avançados em Redes de Computadores Prof. Fabiano Sabha.
Tópicos Avançados em Redes de Computadores

Tópicos Avançados em Redes de Computadores
Segurança & Auditoria de Sistemas AULA 08 Eduardo Silvestri www.eduardosilvestri.com.br.

Segurança & Auditoria de Sistemas AULA 08 Eduardo Silvestri
Execícios de Revisão Redes de Computadores Edgard Jamhour

Execícios de Revisão Redes de Computadores Edgard Jamhour
3. Criptografia Assimétrica

3. Criptografia Assimétrica
SRC Prof. Luciano Brandão 5° Semestre ( UFA!!!)

SRC Prof. Luciano Brandão 5° Semestre ( UFA!!!)

Apresentações semelhantes

Anúncios Google