I psec

Inst

ituto

de

Info

rmát

ica

-UFR

GS Redes de Computadores

IPsecVirtual Private Network (VPN)

Aula 42Redes de Computadores 2

Inst

ituto

de

Info

rmát

ica

-UFR

GS

A. C

aris

sim

i -18

-sep

t.-09

Introdução

! Constatação: os protocolos Internet (TCP/IP) não seguros!! Necessidade de inserir garantias para segurança da informação! Duas �correntes� ideológicas: fim a fim versus infra-estrutura de rede

! Corrente �fim a fim�:! Camada de aplicação: processo origem cifra e/ou protege integridade dos

dados e os envia para o destino que executa a decifração e/ou verificação! Desvantagem: aplicação necessita �estar ciente�

! Camada de transporte (ou imediatamente acima – nova, sessão e/ouapresentação): tornar a segurança transparente para a aplicação (ex. SSL)

! Corrente �infra-estrutura de rede�:! Camada de rede: autentica e/ou cifra os datagramas sem envolver as

aplicações (ex. IPsec)

Redes de Computadores 3

Inst

ituto

de

Info

rmát

ica

-UFR

GS

A. C

aris

sim

i -18

-sep

t.-09

Protocolos orientados a segurança

IPsec IPv4

SSL

HTTPSPGP SSMTP

TCP

Hardware

...

Redes de Computadores 4

Inst

ituto

de

Info

rmát

ica

-UFR

GS

A. C

aris

sim

i -18

-sep

t.-09

IP Security (IPsec)

! IPsec é especificação de um conjunto de serviços! Nem todos querem �pagar� o preço computacional necessário a criptografia! Fornece uma estrutura e um mecanismo deixando a escolha do usuário o tipo

de cifragem, autenticação e métodos de hashing! Descrito nas RFCs 2401, 2402 e 2406

! Benefícios de IPsec! Transparente para as aplicações (abaixo do nível de transporte (TCP, UDP))! Oferece seguranca para usuários individuais

! Principais serviços: ! Confidencialidade! Integridade! Proteção contra ataques de reprodução (reply)

Redes de Computadores 5

Inst

ituto

de

Info

rmát

ica

-UFR

GS

A. C

aris

sim

i -18

-sep

t.-09

Características do IPsec

! É um protocolo orientado a conexão ! Security Association (SA) na terminologia IPsec! �amortizar� os custos de configuração da segurança

! SA é uma conexão é unidirecional (simplex)! Possui um identificador associado a ela! Comunicação bidirecional necessita duas SAs

! Dois modos de operação: ! Transporte e túnel

! Dois protocolos de segurança:! Authentication Header (AH) e Encapsulating Security (ESP)

Redes de Computadores 6

Inst

ituto

de

Info

rmát

ica

-UFR

GS

A. C

aris

sim

i -18

-sep

t.-09

Security Association (SA)

! Estabelecido através de um protocolo de sinalização! Define uma conexão entre dois pontos! Identificada por:

! Um SPI (Security Parameter Index) que age como um identificador de circuito virtual

! Tipo do protocolo usado para a segurança (AH ou ESP)! O endereço IP de destino

Redes de Computadores 7

Inst

ituto

de

Info

rmát

ica

-UFR

GS

A. C

aris

sim

i -18

-sep

t.-09

Gerenciamento de Chaves

! Relacionado com a determinação e a distribuição de chaves! Dois tipos:

! Manual: configurado pelo administrador da rede! Automática: gerado sob demanda

! Oakley Key Determination Protocol (Internet Key Excahnge – iKE)! Baseado em Diffie-Hellman

! Internet Security Association and Key Management Protocol (ISAKMP)! Define formatos de pacotes

! ISAKMP possui problemas de definição (ainda não usado)

Redes de Computadores 8

Inst

ituto

de

Info

rmát

ica

-UFR

GS

A. C

aris

sim

i -18

-sep

t.-09

Modo de transporte

! Cabeçalho IPsec é inserido logo após o cabeçalho IP

Redes de Computadores 9

Inst

ituto

de

Info

rmát

ica

-UFR

GS

A. C

aris

sim

i -18

-sep

t.-09

Modo túnel

! Cabeçalho IPsec é colocado na frente do cabeçalho IP e o resultado é encapsulado em novo datagrama IP! Particularmente útil quando o �túnel� seguro não inicia/termina nos sistemas

finais (ex. entre firewalls)

Redes de Computadores 10

Inst

ituto

de

Info

rmát

ica

-UFR

GS

A. C

aris

sim

i -18

-sep

t.-09

Protocolo Authentication Header (AH)

! Objetivos:! Autenticar a origem e assegurar a integridade da mensagem! Não oferece confidencialidade

! Procedimento:! Calcula uma função de resumo com o corpo da mensagem usando uma

função de hashing e uma chave simétrica! Chave é negociada antes de se instalar a SA

! Insere o resumo no cabeçalho AH antes da área de dados (payload)! O cabeçalho IP é adicionado indicando 51 como tipo de protocolo

Redes de Computadores 11

Inst

ituto

de

Info

rmát

ica

-UFR

GS

A. C

aris

sim

i -18

-sep

t.-09

Descrição dos campos do protocolo AH

TCP, UDP, ICMP etc

Tamanho do cabeçalho AHem palavras de 32 bits

Identificador da conexão

Fornece a ordem dos datagramas enviados

(mesmo em retransmissões é único)

Resumo da áreade dados original + campos do IP

Redes de Computadores 12

Inst

ituto

de

Info

rmát

ica

-UFR

GS

A. C

aris

sim

i -18

-sep

t.-09

Protocolo Encapsulating Security Payload (ESP)

! Objetivo:! Fornecer autenticação, integridade e privacidade

! Procedimento:! Uma �rabeira� ESP é adicionada a área de dados do datagrama! A área de dados e a rabeira são cifrados, formando uma nova área de dados ! Um cabeçalho ESP é adicionado a nova área de dados →novo datagrama! Gera informação de autenticação (resumo) do novo datagrama! Agrega autenticação no final da rabeira! Insere cabeçalho IP indicando 50 como tipo de protocolo

Redes de Computadores 13

Inst

ituto

de

Info

rmát

ica

-UFR

GS

A. C

aris

sim

i -18

-sep

t.-09

Descrição dos campos do protocolo ESP

TCP, UDP, ICMP etc

Tamanho da áreaDe padding

Resumo da áreade dados original +

rabeira + cabeçalho ESPIdentificador da conexão

Fornece a ordem dos datagramas enviados

(mesmo em retransmissões é

único)

Redes de Computadores 14

Inst

ituto

de

Info

rmát

ica

-UFR

GS

A. C

aris

sim

i -18

-sep

t.-09

Virtual Private Networks (VPNs)

! Rede privadas são usadas dentro de uma organização fornecendo privacidade e acesso a recursos compartilhados

! Idéia da extranet! É uma intranet coorporativa exceto pelo fato que alguns recursos podem ser

acessados por usuários externos a rede da organização! (intranet = rede privativa que usa o modelo Internet, i.é., roda aplicativos

baseados em TCP/IP limitando o acesso a seus usuários internos)! Endereçamento é baseado em IP

! Normalmente utiliza os endereços privativos ou não roteáveis! 10.0.0.0/8 ; 172.16.0.0/12 e 192.168.0.0/16

Redes de Computadores 15

Inst

ituto

de

Info

rmát

ica

-UFR

GS

A. C

aris

sim

i -18

-sep

t.-09

Provendo privacidade a uma rede

Redes de Computadores 16

Inst

ituto

de

Info

rmát

ica

-UFR

GS

A. C

aris

sim

i -18

-sep

t.-09

Princípio de funcionamento

Os datagramas de comunicação entre as máquinas 100 e 200são tunelados sobre um datagrama IP enviado, no caso, pelosroteadores responsáveis por implementar a VPN.

Os datagramas de comunicação entre as máquinas 100 e 200são tunelados sobre um datagrama IP enviado, no caso, pelosroteadores responsáveis por implementar a VPN.

Emprega IPsec no modo tunelamentoEmprega IPsec no modo tunelamento

Redes de Computadores 17

Inst

ituto

de

Info

rmát

ica

-UFR

GS

A. C

aris

sim

i -18

-sep

t.-09

Leituras complementares

! Tanenbaum, A. Redes de Computadores (4a edição), Campus 2003.! Capítulo 8 (seção 8.6)