![Page 1: Protocolos de segurança - professor.ufabc.edu.brprofessor.ufabc.edu.br › ~joao.kleinschmidt › aulas › ... · Transparente para aplicações ... • Fornece proteção para](https://reader033.vdocuments.co/reader033/viewer/2022042400/5f0f234f7e708231d442acfe/html5/thumbnails/1.jpg)
Protocolos de segurança
![Page 2: Protocolos de segurança - professor.ufabc.edu.brprofessor.ufabc.edu.br › ~joao.kleinschmidt › aulas › ... · Transparente para aplicações ... • Fornece proteção para](https://reader033.vdocuments.co/reader033/viewer/2022042400/5f0f234f7e708231d442acfe/html5/thumbnails/2.jpg)
IPSec
Assegura confidencialidade, integridade e autenticidade
para a comunicação de dados em uma rede pública de
IP.
Aplicações:
– Conectividade segura do escritório pela Internet;
– Acesso remoto seguro pela Internet;
– Segurança de intranets;
– Aprimoramento da segurança de comércio eletrônico.
– Virtual Private Networks (VPNs)
![Page 3: Protocolos de segurança - professor.ufabc.edu.brprofessor.ufabc.edu.br › ~joao.kleinschmidt › aulas › ... · Transparente para aplicações ... • Fornece proteção para](https://reader033.vdocuments.co/reader033/viewer/2022042400/5f0f234f7e708231d442acfe/html5/thumbnails/3.jpg)
Cenário de segurança de IP
![Page 4: Protocolos de segurança - professor.ufabc.edu.brprofessor.ufabc.edu.br › ~joao.kleinschmidt › aulas › ... · Transparente para aplicações ... • Fornece proteção para](https://reader033.vdocuments.co/reader033/viewer/2022042400/5f0f234f7e708231d442acfe/html5/thumbnails/4.jpg)
IPSec
Transparente para aplicações
– Embaixo da camada de transporte (TCP, UDP)
Documentos IPSec
– RFC 2401: Visão geral da arquitetura de segurança (RFC 1825)
– RFC 2402: Descrição de uma extensão para autenticação de
um pacote no IPv4 e no IPv6
– RFC 2406: Descrição de uma extensão para codificação de um
pacote no IPv4 e no IPv6
– RFC 2408: Especificação dos recursos de gerência de chaves
![Page 5: Protocolos de segurança - professor.ufabc.edu.brprofessor.ufabc.edu.br › ~joao.kleinschmidt › aulas › ... · Transparente para aplicações ... • Fornece proteção para](https://reader033.vdocuments.co/reader033/viewer/2022042400/5f0f234f7e708231d442acfe/html5/thumbnails/5.jpg)
IPSec
![Page 6: Protocolos de segurança - professor.ufabc.edu.brprofessor.ufabc.edu.br › ~joao.kleinschmidt › aulas › ... · Transparente para aplicações ... • Fornece proteção para](https://reader033.vdocuments.co/reader033/viewer/2022042400/5f0f234f7e708231d442acfe/html5/thumbnails/6.jpg)
Protocolo Authentication Header
Fornece serviços de integridade e autenticação para os
pacotes IP.
Utiliza função de hash com chaves em vez de
assinaturas.
Cálculo do valor da verificação de integridade através de
HMAC-MD5 ou HMAC-SHA1.
![Page 7: Protocolos de segurança - professor.ufabc.edu.brprofessor.ufabc.edu.br › ~joao.kleinschmidt › aulas › ... · Transparente para aplicações ... • Fornece proteção para](https://reader033.vdocuments.co/reader033/viewer/2022042400/5f0f234f7e708231d442acfe/html5/thumbnails/7.jpg)
Protocolo AH
![Page 8: Protocolos de segurança - professor.ufabc.edu.brprofessor.ufabc.edu.br › ~joao.kleinschmidt › aulas › ... · Transparente para aplicações ... • Fornece proteção para](https://reader033.vdocuments.co/reader033/viewer/2022042400/5f0f234f7e708231d442acfe/html5/thumbnails/8.jpg)
Modo transporte
• Fornece proteção para os protocolos
de camada superior
• Payload do pacote IP
![Page 9: Protocolos de segurança - professor.ufabc.edu.brprofessor.ufabc.edu.br › ~joao.kleinschmidt › aulas › ... · Transparente para aplicações ... • Fornece proteção para](https://reader033.vdocuments.co/reader033/viewer/2022042400/5f0f234f7e708231d442acfe/html5/thumbnails/9.jpg)
Modo túnel
• Provê proteção para o pacote IP inteiro
• Usado entre gateways de segurança
• Hosts antes de firewall não precisam rodar IPSec
![Page 10: Protocolos de segurança - professor.ufabc.edu.brprofessor.ufabc.edu.br › ~joao.kleinschmidt › aulas › ... · Transparente para aplicações ... • Fornece proteção para](https://reader033.vdocuments.co/reader033/viewer/2022042400/5f0f234f7e708231d442acfe/html5/thumbnails/10.jpg)
Protocolo Encapsulating Security Payload (ESP)
Fornece serviços de confidencialidade para os dados IP.
Sistemas modernos devem ter algoritmo AES
Outros algoritmos definidos:
– Triple DES
– RC5
– IDEA
– CAST
– Blowfish
– 3IDEA
![Page 11: Protocolos de segurança - professor.ufabc.edu.brprofessor.ufabc.edu.br › ~joao.kleinschmidt › aulas › ... · Transparente para aplicações ... • Fornece proteção para](https://reader033.vdocuments.co/reader033/viewer/2022042400/5f0f234f7e708231d442acfe/html5/thumbnails/11.jpg)
Protocolo ESP
![Page 12: Protocolos de segurança - professor.ufabc.edu.brprofessor.ufabc.edu.br › ~joao.kleinschmidt › aulas › ... · Transparente para aplicações ... • Fornece proteção para](https://reader033.vdocuments.co/reader033/viewer/2022042400/5f0f234f7e708231d442acfe/html5/thumbnails/12.jpg)
ESP – Modo transporte e túnel
![Page 13: Protocolos de segurança - professor.ufabc.edu.brprofessor.ufabc.edu.br › ~joao.kleinschmidt › aulas › ... · Transparente para aplicações ... • Fornece proteção para](https://reader033.vdocuments.co/reader033/viewer/2022042400/5f0f234f7e708231d442acfe/html5/thumbnails/13.jpg)
Modos transporte e túnel
![Page 14: Protocolos de segurança - professor.ufabc.edu.brprofessor.ufabc.edu.br › ~joao.kleinschmidt › aulas › ... · Transparente para aplicações ... • Fornece proteção para](https://reader033.vdocuments.co/reader033/viewer/2022042400/5f0f234f7e708231d442acfe/html5/thumbnails/14.jpg)
Associações de segurança (SA)
Cada par de hosts que utilize IPSec deve estabelecer
uma associação de segurança (uma espécie de contrato)
Identificada por 3 parâmetros:
– Indexação de parâmetros de segurança – localizado nos
cabeçalhos de AH e ESP
– Endereço IP de destino
– Identificador do protocolo de segurança
![Page 15: Protocolos de segurança - professor.ufabc.edu.brprofessor.ufabc.edu.br › ~joao.kleinschmidt › aulas › ... · Transparente para aplicações ... • Fornece proteção para](https://reader033.vdocuments.co/reader033/viewer/2022042400/5f0f234f7e708231d442acfe/html5/thumbnails/15.jpg)
Negociação (ESP)
![Page 16: Protocolos de segurança - professor.ufabc.edu.brprofessor.ufabc.edu.br › ~joao.kleinschmidt › aulas › ... · Transparente para aplicações ... • Fornece proteção para](https://reader033.vdocuments.co/reader033/viewer/2022042400/5f0f234f7e708231d442acfe/html5/thumbnails/16.jpg)
Combinações básicas de SAs
![Page 17: Protocolos de segurança - professor.ufabc.edu.brprofessor.ufabc.edu.br › ~joao.kleinschmidt › aulas › ... · Transparente para aplicações ... • Fornece proteção para](https://reader033.vdocuments.co/reader033/viewer/2022042400/5f0f234f7e708231d442acfe/html5/thumbnails/17.jpg)
Configuração do IPSec
Cada dispositivo de rede (Host ou Gateway) possui uma política de
segurança que orienta o uso de IPsec.
Uma política IPsec é formada por um conjunto de regras, muito
semelhantes as regras de um firewall.
As políticas IPsec são definidas de maneira distinta para os pacotes
transmitidos e para os pacotes recebidos.
![Page 18: Protocolos de segurança - professor.ufabc.edu.brprofessor.ufabc.edu.br › ~joao.kleinschmidt › aulas › ... · Transparente para aplicações ... • Fornece proteção para](https://reader033.vdocuments.co/reader033/viewer/2022042400/5f0f234f7e708231d442acfe/html5/thumbnails/18.jpg)
Ações IPSec na transmissão
![Page 19: Protocolos de segurança - professor.ufabc.edu.brprofessor.ufabc.edu.br › ~joao.kleinschmidt › aulas › ... · Transparente para aplicações ... • Fornece proteção para](https://reader033.vdocuments.co/reader033/viewer/2022042400/5f0f234f7e708231d442acfe/html5/thumbnails/19.jpg)
Ações IPSec na recepção
![Page 20: Protocolos de segurança - professor.ufabc.edu.brprofessor.ufabc.edu.br › ~joao.kleinschmidt › aulas › ... · Transparente para aplicações ... • Fornece proteção para](https://reader033.vdocuments.co/reader033/viewer/2022042400/5f0f234f7e708231d442acfe/html5/thumbnails/20.jpg)
Implementação de Políticas
Para que dois computadores "A" e "B" criem uma comunicação IPsec: – Computador A:
deve ter políticas IPsec para transmitir pacotes cujo endereço de destino é "B".
deve ter políticas IPsec para receber pacotes cujo endereço de origem é "B".
– Computador B: deve ter políticas IPsec para transmitir pacotes cujo endereço
de destino é "A".
deve ter políticas IPsec para receber pacotes cujo endereço de origem é "A".
![Page 21: Protocolos de segurança - professor.ufabc.edu.brprofessor.ufabc.edu.br › ~joao.kleinschmidt › aulas › ... · Transparente para aplicações ... • Fornece proteção para](https://reader033.vdocuments.co/reader033/viewer/2022042400/5f0f234f7e708231d442acfe/html5/thumbnails/21.jpg)
Gerenciamento de chaves
Fornecer um meio para negociar os protocolos
com outras pessoas, algoritmos de criptografia e
chaves
Manual – eficaz em ambientes estáticos
pequenos
Automatizada – padrão IKE (Internet Key
Exchange Protocol)
![Page 22: Protocolos de segurança - professor.ufabc.edu.brprofessor.ufabc.edu.br › ~joao.kleinschmidt › aulas › ... · Transparente para aplicações ... • Fornece proteção para](https://reader033.vdocuments.co/reader033/viewer/2022042400/5f0f234f7e708231d442acfe/html5/thumbnails/22.jpg)
Troca de chaves – modo principal
![Page 23: Protocolos de segurança - professor.ufabc.edu.brprofessor.ufabc.edu.br › ~joao.kleinschmidt › aulas › ... · Transparente para aplicações ... • Fornece proteção para](https://reader033.vdocuments.co/reader033/viewer/2022042400/5f0f234f7e708231d442acfe/html5/thumbnails/23.jpg)
Troca de chaves
Modo agressivo
Modo rápido