I psec

973 visualizações

Publicada em

Publicada em: Educação
0 comentários
0 gostaram
Estatísticas
Notas
  • Seja o primeiro a comentar

  • Seja a primeira pessoa a gostar disto

Sem downloads
Visualizações
Visualizações totais
973
No SlideShare
0
A partir de incorporações
0
Número de incorporações
9
Ações
Compartilhamentos
0
Downloads
40
Comentários
0
Gostaram
0
Incorporações 0
Nenhuma incorporação

Nenhuma nota no slide

I psec

  1. 1. Introdução Redes de Computadores ! Constatação: os protocolos Internet (TCP/IP) não seguros! Instituto de Informática - UFRGS ! Necessidade de inserir garantias para segurança da informação ! Duas “correntes” ideológicas: fim a fim versus infra-estrutura de rede IPsec ! Corrente “fim a fim”: Virtual Private Network (VPN) ! Camada de aplicação: processo origem cifra e/ou protege integridade dos dados e os envia para o destino que executa a decifração e/ou verificação Instituto de Informática - UFRGS ! Desvantagem: aplicação necessita “estar ciente” ! Camada de transporte (ou imediatamente acima – nova, sessão e/ou apresentação): tornar a segurança transparente para a aplicação (ex. SSL) A. Carissimi -18-sept.-09 ! Corrente “infra-estrutura de rede”: ! Camada de rede: autentica e/ou cifra os datagramas sem envolver as aplicações (ex. IPsec) Aula 42 Redes de Computadores 2 Protocolos orientados a segurança IP Security (IPsec) ! IPsec é especificação de um conjunto de serviços PGP ... HTTPS SSMTP ! Nem todos querem “pagar” o preço computacional necessário a criptografia ! Fornece uma estrutura e um mecanismo deixando a escolha do usuário o tipo SSL de cifragem, autenticação e métodos de hashing TCP ! Descrito nas RFCs 2401, 2402 e 2406 ! Benefícios de IPsec Instituto de Informática - UFRGS Instituto de Informática - UFRGS IPsec IPv4 ! Transparente para as aplicações (abaixo do nível de transporte (TCP, UDP)) Hardware ! Oferece seguranca para usuários individuais ! Principais serviços: A. Carissimi -18-sept.-09 A. Carissimi -18-sept.-09 ! Confidencialidade ! Integridade ! Proteção contra ataques de reprodução (reply) Redes de Computadores 3 Redes de Computadores 4
  2. 2. Características do IPsec Security Association (SA) ! É um protocolo orientado a conexão ! Estabelecido através de um protocolo de sinalização ! Security Association (SA) na terminologia IPsec ! Define uma conexão entre dois pontos ! “amortizar” os custos de configuração da segurança ! Identificada por: ! SA é uma conexão é unidirecional (simplex) ! Um SPI (Security Parameter Index) que age como um identificador de circuito ! Possui um identificador associado a ela virtual ! Comunicação bidirecional necessita duas SAs ! Tipo do protocolo usado para a segurança (AH ou ESP) Instituto de Informática - UFRGS Instituto de Informática - UFRGS ! Dois modos de operação: ! O endereço IP de destino ! Transporte e túnel ! Dois protocolos de segurança: A. Carissimi -18-sept.-09 A. Carissimi -18-sept.-09 ! Authentication Header (AH) e Encapsulating Security (ESP) Redes de Computadores 5 Redes de Computadores 6 Gerenciamento de Chaves Modo de transporte ! Relacionado com a determinação e a distribuição de chaves ! Cabeçalho IPsec é inserido logo após o cabeçalho IP ! Dois tipos: ! Manual: configurado pelo administrador da rede ! Automática: gerado sob demanda ! Oakley Key Determination Protocol (Internet Key Excahnge – iKE) ! Baseado em Diffie-Hellman Instituto de Informática - UFRGS Instituto de Informática - UFRGS ! Internet Security Association and Key Management Protocol (ISAKMP) ! Define formatos de pacotes ! ISAKMP possui problemas de definição (ainda não usado) A. Carissimi -18-sept.-09 A. Carissimi -18-sept.-09 Redes de Computadores 7 Redes de Computadores 8
  3. 3. Modo túnel Protocolo Authentication Header (AH) ! Cabeçalho IPsec é colocado na frente do cabeçalho IP e o ! Objetivos: resultado é encapsulado em novo datagrama IP ! Autenticar a origem e assegurar a integridade da mensagem ! Particularmente útil quando o “túnel” seguro não inicia/termina nos sistemas ! Não oferece confidencialidade finais (ex. entre firewalls) ! Procedimento: ! Calcula uma função de resumo com o corpo da mensagem usando uma função de hashing e uma chave simétrica Instituto de Informática - UFRGS Instituto de Informática - UFRGS ! Chave é negociada antes de se instalar a SA ! Insere o resumo no cabeçalho AH antes da área de dados (payload) ! O cabeçalho IP é adicionado indicando 51 como tipo de protocolo A. Carissimi -18-sept.-09 A. Carissimi -18-sept.-09 Redes de Computadores 9 Redes de Computadores 10 Descrição dos campos do protocolo AH Protocolo Encapsulating Security Payload (ESP) ! Objetivo: ! Fornecer autenticação, integridade e privacidade ! Procedimento: ! Uma “rabeira” ESP é adicionada a área de dados do datagrama ! A área de dados e a rabeira são cifrados, formando uma nova área de dados ! Um cabeçalho ESP é adicionado a nova área de dados →novo datagrama Instituto de Informática - UFRGS Instituto de Informática - UFRGS Identificador da conexão ! Gera informação de autenticação (resumo) do novo datagrama ! Agrega autenticação no final da rabeira Fornece a ordem dos ! Insere cabeçalho IP indicando 50 como tipo de protocolo A. Carissimi -18-sept.-09 A. Carissimi -18-sept.-09 datagramas enviados TCP, UDP, ICMP etc (mesmo em retransmissões é único) Resumo da área Tamanho do cabeçalho AH de dados original + campos do IP em palavras de 32 bits Redes de Computadores 11 Redes de Computadores 12
  4. 4. Descrição dos campos do protocolo ESP Virtual Private Networks (VPNs) ! Rede privadas são usadas dentro de uma organização fornecendo privacidade e acesso a recursos compartilhados ! Idéia da extranet ! É uma intranet coorporativa exceto pelo fato que alguns recursos podem ser acessados por usuários externos a rede da organização ! (intranet = rede privativa que usa o modelo Internet, i.é., roda aplicativos Instituto de Informática - UFRGS Instituto de Informática - UFRGS baseados em TCP/IP limitando o acesso a seus usuários internos) ! Endereçamento é baseado em IP Resumo da área ! Normalmente utiliza os endereços privativos ou não roteáveis A. Carissimi -18-sept.-09 A. Carissimi -18-sept.-09 Fornece a ordem dos de dados original + TCP, UDP, ICMP etc datagramas enviados ! 10.0.0.0/8 ; 172.16.0.0/12 e 192.168.0.0/16 rabeira + cabeçalho ESP Identificador (mesmo em da conexão retransmissões é Tamanho da área único) De padding Redes de Computadores 13 Redes de Computadores 14 Provendo privacidade a uma rede Princípio de funcionamento Emprega IPsec no modo tunelamento Emprega IPsec no modo tunelamento Instituto de Informática - UFRGS Instituto de Informática - UFRGS A. Carissimi -18-sept.-09 A. Carissimi -18-sept.-09 Os datagramas de comunicação entre as máquinas 100 ee200 Os datagramas de comunicação entre as máquinas 100 200 são tunelados sobre um datagrama IP enviado, no caso, pelos são tunelados sobre um datagrama IP enviado, no caso, pelos roteadores responsáveis por implementar aaVPN. roteadores responsáveis por implementar VPN. Redes de Computadores 15 Redes de Computadores 16
  5. 5. Leituras complementares ! Tanenbaum, A. Redes de Computadores (4a edição), Campus 2003. ! Capítulo 8 (seção 8.6) Instituto de Informática - UFRGS A. Carissimi -18-sept.-09 Redes de Computadores 17

×