SlideShare uma empresa Scribd logo
1 de 23
Baixar para ler offline
IPsec
Prof. Esp. André Nobre
Origem do IPsec


O IPsec surgiu com o desejo de fornecer
segurança no nível de IP.
 Aumento

do uso de protocolo da internet em
grandes redes de empresas;
 Democratização de internet;
 Facilidade de ataques.

2
Origem do IPsec


IPsec = IP Security
 Padrão

desenvolvido pela IETF desde 1992;
 Primeira versão lançada em 1995;
 Versão melhorada, com administração
dinâmica dos parâmetros de segurança(IKE),
em 1998;
 Até hoje ainda é trabalhado na IETF.

3
Problema do IP


Problemas do IP
 Monitoramento,

não autorizadas, de pacotes;
 Exploração de aplicações cuja autenticação é
feita baseada no endereço IP.

4
IPsec


Proposta:
 Implementar

segurança no próprio nível IP.

Segurança na camada aplicação;
 Segurança na camada de rede;


5
Objetivo


Previnir espionagem dos pacotes que
trafegam;



Impedir acesso ilícito aos dados.

6
Solução com IPsec
Confidencialidade dos dados;
 Autenticidade dos dados trafegados;
 Alta segurança quando usado com
algoritmos fortes;
 Não substitui as soluções já existentes de
segurança, mas adiciona funcionalidades.


7
Como Funciona





Opera na camada de rede;
Processa todos os
datagramas IP;
Protege todas as aplicações
de modo transparente;
Pode ser implementado em
qualquer ponto da rede
(hospedeiros, servidores,
roteadores).
8
Como Funciona





Pode-se criar políticas para
cada situação específico;
Obrigatório no IPv6 e opcional
no IPv4;
IKE – Internet Key Exchange
 Protocolo

padrão de
administração de chaves para o
IPsec.




Negociação de parâmetros;
Troca de chaves;
Autenticidade dos pontos.
9
Como Funciona
Criação de uma ligação lógica para troca
de datagramas (SA – Security Agreement)
 Autenticação e proteção da identidade dos
hospedeiros;
 Negociação da política a ser usada pelo
SA;
 Troca autenticada das chaves secretas.


10
SA – Security Agreement








Um dos mais importantes conceitos no IPsec é
chamado Security Agreement (Acordo de
Segurança). Definido no RFC 1825;
Canal lógico entre origem e destino;
SAs são uma combinação do SPI(Security
Parameter Index) fornecido e do endereço de
destino;
SAs são unidirecionais. Para uma conexão são
necessárias no mínimo duas SAs.
11
Security Parameter Index - SPI


Um servidor pode ter ao mesmo tempo várias associações de
segurança diferentes (SA), pois pode manter comunicações seguras
com vários usuários ao mesmo tempo.

IPsec –SPI1
SA1

SPI1
IPsec –SPI2

SA2

SPI2

SA1

SPI1

SA2

SPI2

SA3

SPI3 12
Utilização do IPSec com SA’s
SA

SA
Rede
Confiável

Rede não
Confiável
Gateway Seguro

Rede
Confiável
Gateway Seguro

SA

SA
Rede não
Confiável
Host

Rede
Confiável
Gateway Seguro

SA

SA
Rede não
Confiável
Host

Host

13
Combinação de SA’s
Acordo de Segurança 1

Acordo de Segurança 2

Rede não
Confiável

Rede não
Confiável

Acordo de Segurança 2

Acordo de Segurança 1

Rede não
Confiável

Rede não
Confiável
14
Proteção dos Dados


Pacotes recebem:







Modo Túnel:

Compressão;
Encriptação;
Autenticação.

Modos de proteção:


Túnel:





Encapsulamento em um novo
datagrama IP;
Mais usado.

Transporte:
Protege apenas os
dados, sem um novo
cabeçalho;
 Usado apenas em
IPsec fim a fim.


Modo Transporte:
Transporte:

15
Protocolos


AH – Authentication Header (Protocolo de
autenticação de cabeçalho);



ESP – Encapsulation Security Payload
(Protocolo de Segurança de
Encapsulamento da Carga útil);



Ambos fazem o acordo de segurança (SA)
16
AH - Autenticação de
Cabeçalho


Oferece:
 Autenticação

da fonte;
 Integridade de dados.
 Sem Criptografia.

Adiciona um campo ao datagrama IP;
 RFC 2402.


17
Protocolo AH
“O cabeçalho AH não permite criptografia dos dados;
portanto, ele é útil principalmente quando a verificação da
integridade é necessária, mas não o sigilo.”
[TANENBAUM, Redes de Computador, P581, PDF]

Exemplo de integridade:
Evitar que um intruso falsifique um pacote, neste caso, seria
possível ler mas não alterar.

18
ESP – Protocolo de Segurança de
Encapsulamento de Carga Útil


Oferece:
 Autenticação

da fonte;
 Integridade de dados.
 Com Criptografia.

Mais complexo, portanto exige mais
processamento;
 RFC 2406.


19
ESP – Protocolo de Segurança de
Encapsulamento de Carga Útil


Datagrama:
 Modo

de transporte:

 Modo

Túnel:

20
AH vs ESP
Considerando que a ESP pode fazer tudo
que o AH pode fazer e muito mais, além de
ser mais eficiente durante a inicialização,
surge a questão:
Afinal, qual e a necessidade do AH?

21
AH vs ESP
“A resposta é principalmente histórica.
No inicio, o AH cuidava apenas da
integridade, enquanto o ESP tratava do
sigilo. Mais tarde, a integridade foi
acrescentada no ESP, mas as pessoas que
projetaram o AH não queriam deixa-lo
morrer depois de tanto trabalho. É provável
que o AH fique defasado no futuro.”
[TANENBAUM, Redes de Computador, P581, PDF]
22
Referências Bibliográficas
KUROSE, J. F. ; ROSS, K. W.; Redes de Computadores e
a Internet. Pearson Education, 2003.
TANENBAUM, A. S. , Redes de Computadores, Editora
Campus, 2003.
http://www.javvin.com/protocolESP.html;
http://www.cert-rs.tche.br/docs_html/ipsec.html;
http://www.rnp.br/newsgen/9907/ipsec3.html;
http://www.ietf.org/rfc/rfc2402.txt;
http://www.ietf.org/rfc/rfc2406.txt

23

Mais conteúdo relacionado

Mais procurados

Mais procurados (20)

Cabos de rede
Cabos de redeCabos de rede
Cabos de rede
 
Cisco Networking (Routing and Switching)
Cisco Networking (Routing and Switching)Cisco Networking (Routing and Switching)
Cisco Networking (Routing and Switching)
 
Ipsec vpn v0.1
Ipsec vpn v0.1Ipsec vpn v0.1
Ipsec vpn v0.1
 
Ccna day3
Ccna day3Ccna day3
Ccna day3
 
CCNA presentation.
CCNA presentation.CCNA presentation.
CCNA presentation.
 
IPv6
IPv6IPv6
IPv6
 
CCNAS :Multi Area OSPF
CCNAS :Multi Area OSPFCCNAS :Multi Area OSPF
CCNAS :Multi Area OSPF
 
Endereçamento IPV4
Endereçamento IPV4Endereçamento IPV4
Endereçamento IPV4
 
CCNA PPT
CCNA PPTCCNA PPT
CCNA PPT
 
Ccna ppt1
Ccna ppt1Ccna ppt1
Ccna ppt1
 
Endereçamento IP
Endereçamento IPEndereçamento IP
Endereçamento IP
 
Static Routing
Static RoutingStatic Routing
Static Routing
 
CCNA 1 Routing and Switching v5.0 Chapter 6
CCNA 1 Routing and Switching v5.0 Chapter 6CCNA 1 Routing and Switching v5.0 Chapter 6
CCNA 1 Routing and Switching v5.0 Chapter 6
 
Ccna PPT
Ccna PPTCcna PPT
Ccna PPT
 
SubRedes
SubRedesSubRedes
SubRedes
 
Topologia modelo arvore
Topologia modelo arvoreTopologia modelo arvore
Topologia modelo arvore
 
Protocolo IPv4
Protocolo IPv4Protocolo IPv4
Protocolo IPv4
 
Route Redistribution
Route RedistributionRoute Redistribution
Route Redistribution
 
IPSec VPN Basics
IPSec VPN BasicsIPSec VPN Basics
IPSec VPN Basics
 
Rrjeta kompjuterike leksion 7 tcp-ip dhe interneti
Rrjeta kompjuterike leksion 7    tcp-ip dhe internetiRrjeta kompjuterike leksion 7    tcp-ip dhe interneti
Rrjeta kompjuterike leksion 7 tcp-ip dhe interneti
 

Destaque (8)

Sd07 (si) eleição
Sd07 (si)   eleiçãoSd07 (si)   eleição
Sd07 (si) eleição
 
slides PDI 2007 leonardo
slides PDI 2007 leonardoslides PDI 2007 leonardo
slides PDI 2007 leonardo
 
Internet Protocol Secure (IPSec)
Internet Protocol Secure (IPSec)Internet Protocol Secure (IPSec)
Internet Protocol Secure (IPSec)
 
Sincronização de um sistema distribuído
Sincronização de um sistema distribuídoSincronização de um sistema distribuído
Sincronização de um sistema distribuído
 
IPsec
IPsecIPsec
IPsec
 
Ipsec
IpsecIpsec
Ipsec
 
IPSec Overview
IPSec OverviewIPSec Overview
IPSec Overview
 
IP Security
IP SecurityIP Security
IP Security
 

Semelhante a Protocolo IPsec

Usando Kismet e Aircrack-ng para explorar vulnerabilidades em redes sem fio
Usando Kismet e Aircrack-ng para explorar vulnerabilidades em redes sem fioUsando Kismet e Aircrack-ng para explorar vulnerabilidades em redes sem fio
Usando Kismet e Aircrack-ng para explorar vulnerabilidades em redes sem fioUFPA
 
Explorando vulnerabilidades em redes sem fio
Explorando vulnerabilidades em redes sem fioExplorando vulnerabilidades em redes sem fio
Explorando vulnerabilidades em redes sem fioguest6d639fc
 
Estudo do Protocolo ISAKMP/OAkley como Norma de Gestão de Chaves da Arquitect...
Estudo do Protocolo ISAKMP/OAkley como Norma de Gestão de Chaves da Arquitect...Estudo do Protocolo ISAKMP/OAkley como Norma de Gestão de Chaves da Arquitect...
Estudo do Protocolo ISAKMP/OAkley como Norma de Gestão de Chaves da Arquitect...Rute C. Sofia
 
Comparação da Segurança Nativa entre os Protocolos IPv4 e IPv6
Comparação da Segurança Nativa entre os Protocolos IPv4 e IPv6Comparação da Segurança Nativa entre os Protocolos IPv4 e IPv6
Comparação da Segurança Nativa entre os Protocolos IPv4 e IPv6Rafael Pimenta
 
Aula src openvpn-configuração com chave publica
Aula src   openvpn-configuração com chave publicaAula src   openvpn-configuração com chave publica
Aula src openvpn-configuração com chave publicaRafael Simões
 
Entenda e Aplique o IPv6
Entenda e Aplique o IPv6Entenda e Aplique o IPv6
Entenda e Aplique o IPv6Kleber Silva
 
Webinar seguranca na nuvem
Webinar seguranca na nuvemWebinar seguranca na nuvem
Webinar seguranca na nuvemArtsoft Sistemas
 
Protocolo de memória I2C e SPI
Protocolo de memória I2C e SPIProtocolo de memória I2C e SPI
Protocolo de memória I2C e SPIPedro Raphael
 
Seguranca em IPv6 com Mikrotik RouterOS
Seguranca em IPv6 com Mikrotik RouterOSSeguranca em IPv6 com Mikrotik RouterOS
Seguranca em IPv6 com Mikrotik RouterOSWardner Maia
 
Rodando uma API Com Django Rest Framework no Google Cloud
Rodando uma API Com Django Rest Framework  no Google CloudRodando uma API Com Django Rest Framework  no Google Cloud
Rodando uma API Com Django Rest Framework no Google CloudAlvaro Viebrantz
 
Vulnerabilidades em Redes Wifi
Vulnerabilidades em Redes WifiVulnerabilidades em Redes Wifi
Vulnerabilidades em Redes WifiDavid de Assis
 
Introdução ao Protocolo IPv6
Introdução ao Protocolo IPv6Introdução ao Protocolo IPv6
Introdução ao Protocolo IPv6Abivio Pimenta
 

Semelhante a Protocolo IPsec (20)

Protocolos de Segurança
Protocolos de SegurançaProtocolos de Segurança
Protocolos de Segurança
 
Syslog e SNMP
Syslog e SNMPSyslog e SNMP
Syslog e SNMP
 
Usando Kismet e Aircrack-ng para explorar vulnerabilidades em redes sem fio
Usando Kismet e Aircrack-ng para explorar vulnerabilidades em redes sem fioUsando Kismet e Aircrack-ng para explorar vulnerabilidades em redes sem fio
Usando Kismet e Aircrack-ng para explorar vulnerabilidades em redes sem fio
 
Explorando vulnerabilidades em redes sem fio
Explorando vulnerabilidades em redes sem fioExplorando vulnerabilidades em redes sem fio
Explorando vulnerabilidades em redes sem fio
 
Ipv6
Ipv6Ipv6
Ipv6
 
Como a vpn funciona
Como a vpn funcionaComo a vpn funciona
Como a vpn funciona
 
Estudo do Protocolo ISAKMP/OAkley como Norma de Gestão de Chaves da Arquitect...
Estudo do Protocolo ISAKMP/OAkley como Norma de Gestão de Chaves da Arquitect...Estudo do Protocolo ISAKMP/OAkley como Norma de Gestão de Chaves da Arquitect...
Estudo do Protocolo ISAKMP/OAkley como Norma de Gestão de Chaves da Arquitect...
 
Comparação da Segurança Nativa entre os Protocolos IPv4 e IPv6
Comparação da Segurança Nativa entre os Protocolos IPv4 e IPv6Comparação da Segurança Nativa entre os Protocolos IPv4 e IPv6
Comparação da Segurança Nativa entre os Protocolos IPv4 e IPv6
 
Aula src openvpn-configuração com chave publica
Aula src   openvpn-configuração com chave publicaAula src   openvpn-configuração com chave publica
Aula src openvpn-configuração com chave publica
 
Entenda e Aplique o IPv6
Entenda e Aplique o IPv6Entenda e Aplique o IPv6
Entenda e Aplique o IPv6
 
Webinar seguranca na nuvem
Webinar seguranca na nuvemWebinar seguranca na nuvem
Webinar seguranca na nuvem
 
20 81-1-pb
20 81-1-pb20 81-1-pb
20 81-1-pb
 
Protocolo de memória I2C e SPI
Protocolo de memória I2C e SPIProtocolo de memória I2C e SPI
Protocolo de memória I2C e SPI
 
Seguranca em IPv6 com Mikrotik RouterOS
Seguranca em IPv6 com Mikrotik RouterOSSeguranca em IPv6 com Mikrotik RouterOS
Seguranca em IPv6 com Mikrotik RouterOS
 
Artigo ipv6
Artigo ipv6Artigo ipv6
Artigo ipv6
 
Rodando uma API Com Django Rest Framework no Google Cloud
Rodando uma API Com Django Rest Framework  no Google CloudRodando uma API Com Django Rest Framework  no Google Cloud
Rodando uma API Com Django Rest Framework no Google Cloud
 
Modelo TCP/IP
Modelo TCP/IPModelo TCP/IP
Modelo TCP/IP
 
Vulnerabilidades em Redes Wifi
Vulnerabilidades em Redes WifiVulnerabilidades em Redes Wifi
Vulnerabilidades em Redes Wifi
 
Segurança em redes sem fio
Segurança em redes sem fioSegurança em redes sem fio
Segurança em redes sem fio
 
Introdução ao Protocolo IPv6
Introdução ao Protocolo IPv6Introdução ao Protocolo IPv6
Introdução ao Protocolo IPv6
 

Mais de André Nobre

Algoritmo Variaveis
Algoritmo   VariaveisAlgoritmo   Variaveis
Algoritmo VariaveisAndré Nobre
 
Algoritmo Introdução
Algoritmo   IntroduçãoAlgoritmo   Introdução
Algoritmo IntroduçãoAndré Nobre
 
Protocolos TCP IP UDP
Protocolos TCP IP UDPProtocolos TCP IP UDP
Protocolos TCP IP UDPAndré Nobre
 
Modelo OSI Visão Geral
Modelo OSI   Visão GeralModelo OSI   Visão Geral
Modelo OSI Visão GeralAndré Nobre
 
Protocolos de Roteamento BGP IGP EGP
Protocolos de Roteamento BGP IGP EGPProtocolos de Roteamento BGP IGP EGP
Protocolos de Roteamento BGP IGP EGPAndré Nobre
 

Mais de André Nobre (7)

Algoritmo Variaveis
Algoritmo   VariaveisAlgoritmo   Variaveis
Algoritmo Variaveis
 
Algoritmo Introdução
Algoritmo   IntroduçãoAlgoritmo   Introdução
Algoritmo Introdução
 
Linguagem SQL
Linguagem SQLLinguagem SQL
Linguagem SQL
 
Protocolos TCP IP UDP
Protocolos TCP IP UDPProtocolos TCP IP UDP
Protocolos TCP IP UDP
 
Modelo OSI Visão Geral
Modelo OSI   Visão GeralModelo OSI   Visão Geral
Modelo OSI Visão Geral
 
Protocolos de Roteamento BGP IGP EGP
Protocolos de Roteamento BGP IGP EGPProtocolos de Roteamento BGP IGP EGP
Protocolos de Roteamento BGP IGP EGP
 
Protocolo SNMP
Protocolo SNMPProtocolo SNMP
Protocolo SNMP
 

Protocolo IPsec

  • 2. Origem do IPsec  O IPsec surgiu com o desejo de fornecer segurança no nível de IP.  Aumento do uso de protocolo da internet em grandes redes de empresas;  Democratização de internet;  Facilidade de ataques. 2
  • 3. Origem do IPsec  IPsec = IP Security  Padrão desenvolvido pela IETF desde 1992;  Primeira versão lançada em 1995;  Versão melhorada, com administração dinâmica dos parâmetros de segurança(IKE), em 1998;  Até hoje ainda é trabalhado na IETF. 3
  • 4. Problema do IP  Problemas do IP  Monitoramento, não autorizadas, de pacotes;  Exploração de aplicações cuja autenticação é feita baseada no endereço IP. 4
  • 5. IPsec  Proposta:  Implementar segurança no próprio nível IP. Segurança na camada aplicação;  Segurança na camada de rede;  5
  • 6. Objetivo  Previnir espionagem dos pacotes que trafegam;  Impedir acesso ilícito aos dados. 6
  • 7. Solução com IPsec Confidencialidade dos dados;  Autenticidade dos dados trafegados;  Alta segurança quando usado com algoritmos fortes;  Não substitui as soluções já existentes de segurança, mas adiciona funcionalidades.  7
  • 8. Como Funciona     Opera na camada de rede; Processa todos os datagramas IP; Protege todas as aplicações de modo transparente; Pode ser implementado em qualquer ponto da rede (hospedeiros, servidores, roteadores). 8
  • 9. Como Funciona    Pode-se criar políticas para cada situação específico; Obrigatório no IPv6 e opcional no IPv4; IKE – Internet Key Exchange  Protocolo padrão de administração de chaves para o IPsec.    Negociação de parâmetros; Troca de chaves; Autenticidade dos pontos. 9
  • 10. Como Funciona Criação de uma ligação lógica para troca de datagramas (SA – Security Agreement)  Autenticação e proteção da identidade dos hospedeiros;  Negociação da política a ser usada pelo SA;  Troca autenticada das chaves secretas.  10
  • 11. SA – Security Agreement     Um dos mais importantes conceitos no IPsec é chamado Security Agreement (Acordo de Segurança). Definido no RFC 1825; Canal lógico entre origem e destino; SAs são uma combinação do SPI(Security Parameter Index) fornecido e do endereço de destino; SAs são unidirecionais. Para uma conexão são necessárias no mínimo duas SAs. 11
  • 12. Security Parameter Index - SPI  Um servidor pode ter ao mesmo tempo várias associações de segurança diferentes (SA), pois pode manter comunicações seguras com vários usuários ao mesmo tempo. IPsec –SPI1 SA1 SPI1 IPsec –SPI2 SA2 SPI2 SA1 SPI1 SA2 SPI2 SA3 SPI3 12
  • 13. Utilização do IPSec com SA’s SA SA Rede Confiável Rede não Confiável Gateway Seguro Rede Confiável Gateway Seguro SA SA Rede não Confiável Host Rede Confiável Gateway Seguro SA SA Rede não Confiável Host Host 13
  • 14. Combinação de SA’s Acordo de Segurança 1 Acordo de Segurança 2 Rede não Confiável Rede não Confiável Acordo de Segurança 2 Acordo de Segurança 1 Rede não Confiável Rede não Confiável 14
  • 15. Proteção dos Dados  Pacotes recebem:     Modo Túnel: Compressão; Encriptação; Autenticação. Modos de proteção:  Túnel:    Encapsulamento em um novo datagrama IP; Mais usado. Transporte: Protege apenas os dados, sem um novo cabeçalho;  Usado apenas em IPsec fim a fim.  Modo Transporte: Transporte: 15
  • 16. Protocolos  AH – Authentication Header (Protocolo de autenticação de cabeçalho);  ESP – Encapsulation Security Payload (Protocolo de Segurança de Encapsulamento da Carga útil);  Ambos fazem o acordo de segurança (SA) 16
  • 17. AH - Autenticação de Cabeçalho  Oferece:  Autenticação da fonte;  Integridade de dados.  Sem Criptografia. Adiciona um campo ao datagrama IP;  RFC 2402.  17
  • 18. Protocolo AH “O cabeçalho AH não permite criptografia dos dados; portanto, ele é útil principalmente quando a verificação da integridade é necessária, mas não o sigilo.” [TANENBAUM, Redes de Computador, P581, PDF] Exemplo de integridade: Evitar que um intruso falsifique um pacote, neste caso, seria possível ler mas não alterar. 18
  • 19. ESP – Protocolo de Segurança de Encapsulamento de Carga Útil  Oferece:  Autenticação da fonte;  Integridade de dados.  Com Criptografia. Mais complexo, portanto exige mais processamento;  RFC 2406.  19
  • 20. ESP – Protocolo de Segurança de Encapsulamento de Carga Útil  Datagrama:  Modo de transporte:  Modo Túnel: 20
  • 21. AH vs ESP Considerando que a ESP pode fazer tudo que o AH pode fazer e muito mais, além de ser mais eficiente durante a inicialização, surge a questão: Afinal, qual e a necessidade do AH? 21
  • 22. AH vs ESP “A resposta é principalmente histórica. No inicio, o AH cuidava apenas da integridade, enquanto o ESP tratava do sigilo. Mais tarde, a integridade foi acrescentada no ESP, mas as pessoas que projetaram o AH não queriam deixa-lo morrer depois de tanto trabalho. É provável que o AH fique defasado no futuro.” [TANENBAUM, Redes de Computador, P581, PDF] 22
  • 23. Referências Bibliográficas KUROSE, J. F. ; ROSS, K. W.; Redes de Computadores e a Internet. Pearson Education, 2003. TANENBAUM, A. S. , Redes de Computadores, Editora Campus, 2003. http://www.javvin.com/protocolESP.html; http://www.cert-rs.tche.br/docs_html/ipsec.html; http://www.rnp.br/newsgen/9907/ipsec3.html; http://www.ietf.org/rfc/rfc2402.txt; http://www.ietf.org/rfc/rfc2406.txt 23