Introdução

Redes de Computadores ! Constatação: os protocolos Internet (TCP/IP) não seguros!

Instituto de Informática - UFRGS

! Necessidade de inserir garantias para segurança da informação

! Duas “correntes” ideológicas: fim a fim versus infra-estrutura de rede
IPsec ! Corrente “fim a fim”:
Virtual Private Network (VPN) ! Camada de aplicação: processo origem cifra e/ou protege integridade dos
dados e os envia para o destino que executa a decifração e/ou verificação

Instituto de Informática - UFRGS

! Desvantagem: aplicação necessita “estar ciente”
! Camada de transporte (ou imediatamente acima – nova, sessão e/ou
apresentação): tornar a segurança transparente para a aplicação (ex. SSL)

A. Carissimi -18-sept.-09
! Corrente “infra-estrutura de rede”:
! Camada de rede: autentica e/ou cifra os datagramas sem envolver as
aplicações (ex. IPsec)
Aula 42
Redes de Computadores 2

Protocolos orientados a segurança IP Security (IPsec)

! IPsec é especificação de um conjunto de serviços

PGP ... HTTPS SSMTP ! Nem todos querem “pagar” o preço computacional necessário a criptografia
! Fornece uma estrutura e um mecanismo deixando a escolha do usuário o tipo
SSL de cifragem, autenticação e métodos de hashing
TCP ! Descrito nas RFCs 2401, 2402 e 2406
! Benefícios de IPsec
Instituto de Informática - UFRGS

Instituto de Informática - UFRGS

IPsec IPv4
! Transparente para as aplicações (abaixo do nível de transporte (TCP, UDP))
Hardware
! Oferece seguranca para usuários individuais
! Principais serviços:
A. Carissimi -18-sept.-09

A. Carissimi -18-sept.-09

! Confidencialidade
! Integridade
! Proteção contra ataques de reprodução (reply)

Redes de Computadores 3 Redes de Computadores 4

 Características do IPsec Security Association (SA)

! É um protocolo orientado a conexão ! Estabelecido através de um protocolo de sinalização

! Security Association (SA) na terminologia IPsec ! Define uma conexão entre dois pontos
! “amortizar” os custos de configuração da segurança
! Identificada por:
! SA é uma conexão é unidirecional (simplex) ! Um SPI (Security Parameter Index) que age como um identificador de circuito
! Possui um identificador associado a ela virtual
! Comunicação bidirecional necessita duas SAs ! Tipo do protocolo usado para a segurança (AH ou ESP)
Instituto de Informática - UFRGS

Instituto de Informática - UFRGS

! Dois modos de operação: ! O endereço IP de destino
! Transporte e túnel
! Dois protocolos de segurança:
A. Carissimi -18-sept.-09

A. Carissimi -18-sept.-09
! Authentication Header (AH) e Encapsulating Security (ESP)

Redes de Computadores 5 Redes de Computadores 6

Gerenciamento de Chaves Modo de transporte

! Relacionado com a determinação e a distribuição de chaves ! Cabeçalho IPsec é inserido logo após o cabeçalho IP
! Dois tipos:
! Manual: configurado pelo administrador da rede
! Automática: gerado sob demanda
! Oakley Key Determination Protocol (Internet Key Excahnge – iKE)
! Baseado em Diffie-Hellman
Instituto de Informática - UFRGS

Instituto de Informática - UFRGS

! Internet Security Association and Key Management Protocol (ISAKMP)

! Define formatos de pacotes
! ISAKMP possui problemas de definição (ainda não usado)
A. Carissimi -18-sept.-09

A. Carissimi -18-sept.-09

Redes de Computadores 7 Redes de Computadores 8

 Modo túnel Protocolo Authentication Header (AH)

! Cabeçalho IPsec é colocado na frente do cabeçalho IP e o ! Objetivos:

resultado é encapsulado em novo datagrama IP ! Autenticar a origem e assegurar a integridade da mensagem
! Particularmente útil quando o “túnel” seguro não inicia/termina nos sistemas ! Não oferece confidencialidade
finais (ex. entre firewalls) ! Procedimento:
! Calcula uma função de resumo com o corpo da mensagem usando uma
função de hashing e uma chave simétrica
Instituto de Informática - UFRGS

Instituto de Informática - UFRGS

! Chave é negociada antes de se instalar a SA
! Insere o resumo no cabeçalho AH antes da área de dados (payload)
! O cabeçalho IP é adicionado indicando 51 como tipo de protocolo
A. Carissimi -18-sept.-09

A. Carissimi -18-sept.-09
Redes de Computadores 9 Redes de Computadores 10

Descrição dos campos do protocolo AH Protocolo Encapsulating Security Payload (ESP)

! Objetivo:
! Fornecer autenticação, integridade e privacidade
! Procedimento:
! Uma “rabeira” ESP é adicionada a área de dados do datagrama
! A área de dados e a rabeira são cifrados, formando uma nova área de dados
! Um cabeçalho ESP é adicionado a nova área de dados →novo datagrama
Instituto de Informática - UFRGS

Instituto de Informática - UFRGS

Identificador da conexão ! Gera informação de autenticação (resumo) do novo datagrama

! Agrega autenticação no final da rabeira
Fornece a ordem dos ! Insere cabeçalho IP indicando 50 como tipo de protocolo
A. Carissimi -18-sept.-09

A. Carissimi -18-sept.-09

datagramas enviados
TCP, UDP, ICMP etc (mesmo em
retransmissões é único)
Resumo da área
Tamanho do cabeçalho AH
de dados original + campos do IP
em palavras de 32 bits
Redes de Computadores 11 Redes de Computadores 12
 Descrição dos campos do protocolo ESP Virtual Private Networks (VPNs)

! Rede privadas são usadas dentro de uma organização fornecendo

privacidade e acesso a recursos compartilhados
! Idéia da extranet
! É uma intranet coorporativa exceto pelo fato que alguns recursos podem ser
acessados por usuários externos a rede da organização
! (intranet = rede privativa que usa o modelo Internet, i.é., roda aplicativos
Instituto de Informática - UFRGS

Instituto de Informática - UFRGS

baseados em TCP/IP limitando o acesso a seus usuários internos)
! Endereçamento é baseado em IP
Resumo da área ! Normalmente utiliza os endereços privativos ou não roteáveis
A. Carissimi -18-sept.-09

A. Carissimi -18-sept.-09
Fornece a ordem dos de dados original + TCP, UDP, ICMP etc
datagramas enviados ! 10.0.0.0/8 ; 172.16.0.0/12 e 192.168.0.0/16
rabeira + cabeçalho ESP
Identificador (mesmo em
da conexão retransmissões é Tamanho da área
único) De padding

Redes de Computadores 13 Redes de Computadores 14

Provendo privacidade a uma rede Princípio de funcionamento

Emprega
Emprega IPsec
IPsec no
no modo
modo tunelamento
tunelamento
Instituto de Informática - UFRGS

Instituto de Informática - UFRGS

A. Carissimi -18-sept.-09

A. Carissimi -18-sept.-09

Os
Osdatagramas
datagramasdedecomunicação
comunicaçãoentre
entreas
asmáquinas
máquinas100
100ee200
200
são
são tunelados sobre um datagrama IP enviado, no caso,pelos
tunelados sobre um datagrama IP enviado, no caso, pelos
roteadores
roteadoresresponsáveis
responsáveispor
porimplementar
implementaraaVPN.
VPN.
Redes de Computadores 15 Redes de Computadores 16
 Leituras complementares

! Tanenbaum, A. Redes de Computadores (4a edição), Campus 2003.

! Capítulo 8 (seção 8.6)
Instituto de Informática - UFRGS
A. Carissimi -18-sept.-09

Redes de Computadores 17