View
786
Download
1
Category
Preview:
Citation preview
Inst
ituto
de
Info
rmát
ica
-UFR
GS Redes de Computadores
IPsecVirtual Private Network (VPN)
Aula 42Redes de Computadores 2
Inst
ituto
de
Info
rmát
ica
-UFR
GS
A. C
aris
sim
i -18
-sep
t.-09
Introdução
! Constatação: os protocolos Internet (TCP/IP) não seguros!! Necessidade de inserir garantias para segurança da informação! Duas �correntes� ideológicas: fim a fim versus infra-estrutura de rede
! Corrente �fim a fim�:! Camada de aplicação: processo origem cifra e/ou protege integridade dos
dados e os envia para o destino que executa a decifração e/ou verificação! Desvantagem: aplicação necessita �estar ciente�
! Camada de transporte (ou imediatamente acima – nova, sessão e/ouapresentação): tornar a segurança transparente para a aplicação (ex. SSL)
! Corrente �infra-estrutura de rede�:! Camada de rede: autentica e/ou cifra os datagramas sem envolver as
aplicações (ex. IPsec)
Redes de Computadores 3
Inst
ituto
de
Info
rmát
ica
-UFR
GS
A. C
aris
sim
i -18
-sep
t.-09
Protocolos orientados a segurança
IPsec IPv4
SSL
HTTPSPGP SSMTP
TCP
Hardware
...
Redes de Computadores 4
Inst
ituto
de
Info
rmát
ica
-UFR
GS
A. C
aris
sim
i -18
-sep
t.-09
IP Security (IPsec)
! IPsec é especificação de um conjunto de serviços! Nem todos querem �pagar� o preço computacional necessário a criptografia! Fornece uma estrutura e um mecanismo deixando a escolha do usuário o tipo
de cifragem, autenticação e métodos de hashing! Descrito nas RFCs 2401, 2402 e 2406
! Benefícios de IPsec! Transparente para as aplicações (abaixo do nível de transporte (TCP, UDP))! Oferece seguranca para usuários individuais
! Principais serviços: ! Confidencialidade! Integridade! Proteção contra ataques de reprodução (reply)
Redes de Computadores 5
Inst
ituto
de
Info
rmát
ica
-UFR
GS
A. C
aris
sim
i -18
-sep
t.-09
Características do IPsec
! É um protocolo orientado a conexão ! Security Association (SA) na terminologia IPsec! �amortizar� os custos de configuração da segurança
! SA é uma conexão é unidirecional (simplex)! Possui um identificador associado a ela! Comunicação bidirecional necessita duas SAs
! Dois modos de operação: ! Transporte e túnel
! Dois protocolos de segurança:! Authentication Header (AH) e Encapsulating Security (ESP)
Redes de Computadores 6
Inst
ituto
de
Info
rmát
ica
-UFR
GS
A. C
aris
sim
i -18
-sep
t.-09
Security Association (SA)
! Estabelecido através de um protocolo de sinalização! Define uma conexão entre dois pontos! Identificada por:
! Um SPI (Security Parameter Index) que age como um identificador de circuito virtual
! Tipo do protocolo usado para a segurança (AH ou ESP)! O endereço IP de destino
Redes de Computadores 7
Inst
ituto
de
Info
rmát
ica
-UFR
GS
A. C
aris
sim
i -18
-sep
t.-09
Gerenciamento de Chaves
! Relacionado com a determinação e a distribuição de chaves! Dois tipos:
! Manual: configurado pelo administrador da rede! Automática: gerado sob demanda
! Oakley Key Determination Protocol (Internet Key Excahnge – iKE)! Baseado em Diffie-Hellman
! Internet Security Association and Key Management Protocol (ISAKMP)! Define formatos de pacotes
! ISAKMP possui problemas de definição (ainda não usado)
Redes de Computadores 8
Inst
ituto
de
Info
rmát
ica
-UFR
GS
A. C
aris
sim
i -18
-sep
t.-09
Modo de transporte
! Cabeçalho IPsec é inserido logo após o cabeçalho IP
Redes de Computadores 9
Inst
ituto
de
Info
rmát
ica
-UFR
GS
A. C
aris
sim
i -18
-sep
t.-09
Modo túnel
! Cabeçalho IPsec é colocado na frente do cabeçalho IP e o resultado é encapsulado em novo datagrama IP! Particularmente útil quando o �túnel� seguro não inicia/termina nos sistemas
finais (ex. entre firewalls)
Redes de Computadores 10
Inst
ituto
de
Info
rmát
ica
-UFR
GS
A. C
aris
sim
i -18
-sep
t.-09
Protocolo Authentication Header (AH)
! Objetivos:! Autenticar a origem e assegurar a integridade da mensagem! Não oferece confidencialidade
! Procedimento:! Calcula uma função de resumo com o corpo da mensagem usando uma
função de hashing e uma chave simétrica! Chave é negociada antes de se instalar a SA
! Insere o resumo no cabeçalho AH antes da área de dados (payload)! O cabeçalho IP é adicionado indicando 51 como tipo de protocolo
Redes de Computadores 11
Inst
ituto
de
Info
rmát
ica
-UFR
GS
A. C
aris
sim
i -18
-sep
t.-09
Descrição dos campos do protocolo AH
TCP, UDP, ICMP etc
Tamanho do cabeçalho AHem palavras de 32 bits
Identificador da conexão
Fornece a ordem dos datagramas enviados
(mesmo em retransmissões é único)
Resumo da áreade dados original + campos do IP
Redes de Computadores 12
Inst
ituto
de
Info
rmát
ica
-UFR
GS
A. C
aris
sim
i -18
-sep
t.-09
Protocolo Encapsulating Security Payload (ESP)
! Objetivo:! Fornecer autenticação, integridade e privacidade
! Procedimento:! Uma �rabeira� ESP é adicionada a área de dados do datagrama! A área de dados e a rabeira são cifrados, formando uma nova área de dados ! Um cabeçalho ESP é adicionado a nova área de dados →novo datagrama! Gera informação de autenticação (resumo) do novo datagrama! Agrega autenticação no final da rabeira! Insere cabeçalho IP indicando 50 como tipo de protocolo
Redes de Computadores 13
Inst
ituto
de
Info
rmát
ica
-UFR
GS
A. C
aris
sim
i -18
-sep
t.-09
Descrição dos campos do protocolo ESP
TCP, UDP, ICMP etc
Tamanho da áreaDe padding
Resumo da áreade dados original +
rabeira + cabeçalho ESPIdentificador da conexão
Fornece a ordem dos datagramas enviados
(mesmo em retransmissões é
único)
Redes de Computadores 14
Inst
ituto
de
Info
rmát
ica
-UFR
GS
A. C
aris
sim
i -18
-sep
t.-09
Virtual Private Networks (VPNs)
! Rede privadas são usadas dentro de uma organização fornecendo privacidade e acesso a recursos compartilhados
! Idéia da extranet! É uma intranet coorporativa exceto pelo fato que alguns recursos podem ser
acessados por usuários externos a rede da organização! (intranet = rede privativa que usa o modelo Internet, i.é., roda aplicativos
baseados em TCP/IP limitando o acesso a seus usuários internos)! Endereçamento é baseado em IP
! Normalmente utiliza os endereços privativos ou não roteáveis! 10.0.0.0/8 ; 172.16.0.0/12 e 192.168.0.0/16
Redes de Computadores 15
Inst
ituto
de
Info
rmát
ica
-UFR
GS
A. C
aris
sim
i -18
-sep
t.-09
Provendo privacidade a uma rede
Redes de Computadores 16
Inst
ituto
de
Info
rmát
ica
-UFR
GS
A. C
aris
sim
i -18
-sep
t.-09
Princípio de funcionamento
Os datagramas de comunicação entre as máquinas 100 e 200são tunelados sobre um datagrama IP enviado, no caso, pelosroteadores responsáveis por implementar a VPN.
Os datagramas de comunicação entre as máquinas 100 e 200são tunelados sobre um datagrama IP enviado, no caso, pelosroteadores responsáveis por implementar a VPN.
Emprega IPsec no modo tunelamentoEmprega IPsec no modo tunelamento
Redes de Computadores 17
Inst
ituto
de
Info
rmát
ica
-UFR
GS
A. C
aris
sim
i -18
-sep
t.-09
Leituras complementares
! Tanenbaum, A. Redes de Computadores (4a edição), Campus 2003.! Capítulo 8 (seção 8.6)
Recommended