Oque é IPSEC ?
Bom dia,
Hoje irei explicar um pouco sobre o que é IPSec e como implementar.
Primeiro de tudo. O que é IPSec?
IPSec faz parte de um dos protocolos mais utilizados para a criação de uma VPN, Desenvolvido pela IETF ( Padrão aberto) o IPSec realiza tunelamento de camada 3 com criptografia e autenticação.
Junto ao IPSec temos mais 3 protocolos ;
• Authentication Header (AH),
• Encapsulating Security Protocol (ESP),
• Internet Key Exchange (IKE),
Todos esses protocolos fazem usos de associações de segurança (Sas), Isso significa que sao acordadas entre as duas pontas as configurações de segurança da VPN antes da mesma ser criada (isso deve ja estar combinado para as configurações não divergirem nss dois nós que formarão a VPN.
Uma Associaçao de segurança e identificada por tres parametros:
• Security Parameter Index (SPI) : Algoritmos escolhidos,
• IP Destination Address: identifica o IP onde deve ser usado essa associaçao,
• Security Protocol Identifier: Identificador do protocolo. Exemplo : AH, ESP, ESP com autenticaçao.
Authentication Header (AH)
Utilizando o AH nos podemos ter integridade e autenticação da origem dos dados para datagramas IP e oferece proteção contra ataques de replay. A autenticação realizada por meio do uso de um HMAC-MD5 ou HMAC-SHA-1
Aqui temos um exemplo de um pacote IPV6/IPV4 sem AH;
Agora vemos um pacote IPV6/IPV4 com AH no modo Transporte ( Com Autenticação de payload e dados não mutaveis);
Agora vemos um pacote IPV4/IPV6 com AH no modo Tunnel ( Autenticação do pacote inteiro e encapsulamento em novo pacote);
Utilizando o AH junto ao IPsec teremos;
• Integridade dos dados e autenticaçao do pacote IP.
• O Campo SPI india um conjunto de parametros de segurança a serem usados na conexao ( EX: Algoritmos de criptografia)
• O Campo Sequence Number evite ataques de replay.
Cabeçalho AH;
Encapsulating Security Payload (ESP)
Utilizando o ESP junto ao IPsec podemos tirar proveito de ;
• Confidencialidade, autenticação da origem dos dados, integridade. O campo sequence number evita ataques de replay
• A autenticação é realizada por meio do uso de um HMAC com MD5 ou SHA-1
• A confidencialidade é obtida por uso de um algoritmo simétrico. Algoritmo escolhido é parte do campo SPI;
Cabeçalho ESP;
Aqui temos Alguns algoritmos de Criptografia que podem ser utilizados junto ao ESP;
Simétricos;
• Triple DES
• AES
• RC5
• IDEA
• RC5
• Three-Key Triple IDEA
• CAST
• Blowfish
Autenticação
• HMAC-MD5-96
• HMAC-SHA-1-96
Utilizando o ESP em modo transporte (confidencialidade do Payload) pacote IPV4/IPV6;
Utilizando o ESP no modo Tunnel ( Confidencialidade do pacote inteiro e encapsulamento em outro pacote);
IKE - Gerenciamento de Chaves
O gerencimento de chaves no Ipsec pode ser manual, ou Automatizado no modo manual uma pessoa precisa configurar as duas pontas com uma chave pré estabelecida e as informações sobre a SA escolhida. No modo automatico o gerenciamento de chaves SAs são automaticos usando o protocolo IKE que é uma combinação dos protocolos internet security association e key managemente protocol (ISAKMP) e Oakley key determination Protocol
Internet Key Exchange (IKE); Definido na RFC 2409
O IKE é responsavel pela configuração e associações de segurança através da negociação de protocolos e algoritmos
Na primeira Fase do IKE;
• IKE Gera as chaves de autenticaçãoe encriptação que serão utilizadas pelo IPsec
• Usa Diffie-Hellman para criar a chave de sessão. Usam certificados X.509 para validar as chaves Diffie-Hellman
Na segunda Fase do IKE;
• Negocia a associação de segurança (SA) a ser usada entre os pontos
Mensagem IKE- ISAKMAP
Essa explicação só vai fazer algum sentido para quem ja tem alguma vivencia com redes, mesmo assim espero que tenham entendido pelo menos um pouco de como é segmentado o Protocolo IPsec.
Obrigado!!
Hoje irei explicar um pouco sobre o que é IPSec e como implementar.
Primeiro de tudo. O que é IPSec?
IPSec faz parte de um dos protocolos mais utilizados para a criação de uma VPN, Desenvolvido pela IETF ( Padrão aberto) o IPSec realiza tunelamento de camada 3 com criptografia e autenticação.
Junto ao IPSec temos mais 3 protocolos ;
• Authentication Header (AH),
• Encapsulating Security Protocol (ESP),
• Internet Key Exchange (IKE),
Todos esses protocolos fazem usos de associações de segurança (Sas), Isso significa que sao acordadas entre as duas pontas as configurações de segurança da VPN antes da mesma ser criada (isso deve ja estar combinado para as configurações não divergirem nss dois nós que formarão a VPN.
Uma Associaçao de segurança e identificada por tres parametros:
• Security Parameter Index (SPI) : Algoritmos escolhidos,
• IP Destination Address: identifica o IP onde deve ser usado essa associaçao,
• Security Protocol Identifier: Identificador do protocolo. Exemplo : AH, ESP, ESP com autenticaçao.
Authentication Header (AH)
Utilizando o AH nos podemos ter integridade e autenticação da origem dos dados para datagramas IP e oferece proteção contra ataques de replay. A autenticação realizada por meio do uso de um HMAC-MD5 ou HMAC-SHA-1
Aqui temos um exemplo de um pacote IPV6/IPV4 sem AH;
Agora vemos um pacote IPV6/IPV4 com AH no modo Transporte ( Com Autenticação de payload e dados não mutaveis);
Agora vemos um pacote IPV4/IPV6 com AH no modo Tunnel ( Autenticação do pacote inteiro e encapsulamento em novo pacote);
Utilizando o AH junto ao IPsec teremos;
• Integridade dos dados e autenticaçao do pacote IP.
• O Campo SPI india um conjunto de parametros de segurança a serem usados na conexao ( EX: Algoritmos de criptografia)
• O Campo Sequence Number evite ataques de replay.
Cabeçalho AH;
Encapsulating Security Payload (ESP)
Utilizando o ESP junto ao IPsec podemos tirar proveito de ;
• Confidencialidade, autenticação da origem dos dados, integridade. O campo sequence number evita ataques de replay
• A autenticação é realizada por meio do uso de um HMAC com MD5 ou SHA-1
• A confidencialidade é obtida por uso de um algoritmo simétrico. Algoritmo escolhido é parte do campo SPI;
Cabeçalho ESP;
Aqui temos Alguns algoritmos de Criptografia que podem ser utilizados junto ao ESP;
Simétricos;
• Triple DES
• AES
• RC5
• IDEA
• RC5
• Three-Key Triple IDEA
• CAST
• Blowfish
Autenticação
• HMAC-MD5-96
• HMAC-SHA-1-96
Utilizando o ESP em modo transporte (confidencialidade do Payload) pacote IPV4/IPV6;
Utilizando o ESP no modo Tunnel ( Confidencialidade do pacote inteiro e encapsulamento em outro pacote);
IKE - Gerenciamento de Chaves
O gerencimento de chaves no Ipsec pode ser manual, ou Automatizado no modo manual uma pessoa precisa configurar as duas pontas com uma chave pré estabelecida e as informações sobre a SA escolhida. No modo automatico o gerenciamento de chaves SAs são automaticos usando o protocolo IKE que é uma combinação dos protocolos internet security association e key managemente protocol (ISAKMP) e Oakley key determination Protocol
Internet Key Exchange (IKE); Definido na RFC 2409
O IKE é responsavel pela configuração e associações de segurança através da negociação de protocolos e algoritmos
Na primeira Fase do IKE;
• IKE Gera as chaves de autenticaçãoe encriptação que serão utilizadas pelo IPsec
• Usa Diffie-Hellman para criar a chave de sessão. Usam certificados X.509 para validar as chaves Diffie-Hellman
Na segunda Fase do IKE;
• Negocia a associação de segurança (SA) a ser usada entre os pontos
Mensagem IKE- ISAKMAP
Essa explicação só vai fazer algum sentido para quem ja tem alguma vivencia com redes, mesmo assim espero que tenham entendido pelo menos um pouco de como é segmentado o Protocolo IPsec.
Obrigado!!
Comentários
Postar um comentário