IPSEC – Internet Protocol Security

DEFINIÇÃO

O IPSec pode ser definido como uma plataforma formada por um conjunto de protocolos que fornecem os seguintes serviços de segurança:

  • Controle de acesso;
  • Integridade dos dados (pacotes);
  • Autenticação do host origem;
  • Privacidade nos dados (pacotes);
  • Privacidade no fluxo dos dados (pacotes);
  • Reenvio de pacotes;

FUNCIONAMENTO (Back-end)

Nesse item iremos abordar como funciona o IPSec em seu back-end, ou seja, onde o usuário não tem acesso.

Por ser uma plataforma aberta, o IPSec permite a adição de outros algoritmos de criptografia. Nativamente possui o MD5 e o SHA-1, que são algoritmos de autenticação e criptografia e também o DES-CBC, que é utilizado apenas para criptografia.

A RFC que trata a organização e o relacionamento dos diversos componentes desse protocolo a organiza modularmente, da mesma forma apresentada abaixo:

Agora faremos uma breve descrição de cada ítem apresentado no diagrama acima.

  • Arquitetura: Conceitos, mecanismos, requisitos e definições definidos pelo IPSec;
  • Encapsulamento seguro de Payload: Controla a formatação dos pacotes IP, no que se diz respeito à criptografia;
  • Autenticação de cabeçalho: Controla a formatação dos pacotes IP, no que se diz respeito à autenticação.
  • Algoritmos de criptografia: Define os algoritmos de criptografia a serem utilizados pelo IPSec
  • Gerência de chaves: Controle dos mecanismos de gerência de chaves utilizados pelo IPSec;
  • Domínio de interpretação: Valores pelos quais os ítens se comunicam, ou seja, qual o objetivo de determinada criptografia/autenticação.

O PROTOCOLO

Como dito anteriormente, o IPSec de uma forma bem resumida, é um conjunto de padrões utilizados para que possamos garantir uma comunicação segura (criptografada) entre dois ou mais hosts em uma rede, mesmo que as informações sejam enviadas por um meio não seguro, como a internet por exemplo.
Como exemplo para o que foi dito acima, temos o conveito de VPN. VPN nada mais é do que um túnel fechado entre um computador e um servidor, por exemplo, onde ambos têm uma chave que criptografa toda espécie de dados que trafeguem por esse túnel, daí o nome “VPN”, que significa “Rede Privada Virtual”.
É importante saber que, logicamente, hosts com IPSec habilitado não conseguem comunicação com hosts sem IPSec.

FUNCIONAMENTO (Front-End)

Até agora utilizamos termos técnicos, mas quais são as vantagens em se utilizar o IPSec? De que forma podemos “informar” os benefícios do protocolo à um leigo?
Antes de tudo precisamos saber que o IPSec é baseado em um modelo ponto-a-ponto, onde dois (ou mais) computadores, para trocarem informações, precisam concordar em alguns aspectos ou regras.
Enfim… quais as vantagens, os diferencias e os usos do IPSec?
Teremos uma grande proteçãoa ataques feitos à uma rede, seja privada ou não. Obtem-se com ele uma interessante política de proteção à captura de dados. O IPSec não é de complexa configuração.
Utilizamos sistemas de criptografia e protocolos de segurança, que são os grandes diferencias e que torna o IPSec tão atrativo quando falamos em uma conexão segura.
Apenas os Hosts destino e origem deve “conversar” IPSec, todos os hops da rede apenas encaminharão o pacote IP ao seu destino.

IPSEC E O PROTOCOLO IP

O primeiro tratamento que o IPSec faz no pacote IP é adicionar um header (cabeçalho), chamado de cabeçalho de autenticação (authentication header). Este cabeçalho é responsável por três funçoes muito importantes:
É utilizado para a autenticação entre os hosts; É utilizado para verificação d aintegridade dos dados; Impede ataques de replay que são ataques de repetição;
É importante deixar claro que o cabeçalho, logicamente, não é criptografado.
Para garantia que os dados são confidenciais, um dos três elos da segurança da informação, o IPSec utiliza o padrão Encapsulating Security Payload (ESP).
Na negociação dos itens que serão usados durante a conexão, são usados 3 algoritmos diferentes, descritos abaixo:

  1. United States Encryption Standard;
  2. Data Encryptation Standard;
  3. Triple Data Encryptation Standard;

Mas qual o motivo de se usar 3 padrões diferentes para um mesmo objetivo?
Usa-se três padrões justamente pela questão da segurança, definindo um nível absurdo de dificuldade de um invasor descobrir a chava de encriptação final.

Todas estas técnicas e tecnologias provém mais recusos ainda ao IPSec.
Graças a elas podemos dizer que o IPSec é baseado no uso de políticas (polices), como se fossem regras conjuntas que determinam o tipo e o nível de segurança (como as políticas de firewall, eu posso liberar acesso à minha máquina na porta 80, mas bloquear acesso na porta 22, por exemplo).
Um detalhe interessante é que o IPSec utiliza o Kerberos para a autenticação. Caso a comunicação seja entre dois computadores com diferentes sistemas operacionais, faz-se o usop de chaves públicas, como um exemplo um servidor Linux e um cliente Windows.

CONCLUSÃO

Todos nós devemos ter a ciência de que nenhuma rede é 100 segura e confiável. Dito isso, devemos nos conscientizar de que políticas de controle de acesso são mais do que necessárias para garantirmos os três elos da segurança da informação (integridade, confidencialidade e disponibilidade).
O IPSec nos fornece um sistema de segurança tão flexível pois adiciona no próprio cabeçalho do IP todos os dados necessários para uma comunicação segura. Isso o torna flexível e seus módulos e suas políticas o torna de simples configuração e manutenção.

BIBLIOGRAFIA

BATTISTI, Júlio. – Tutorial de TCP/IP, parte 18. < http://www.juliobattisti.com.br/artigos/windows/tcpip_p18.asp&gt;

Autor anônimo. – Seguranca Máxima – Editora Campus Elsevier – Publicação: 2000

Anúncios

Um comentário sobre “IPSEC – Internet Protocol Security

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s