Visão geral do IPsecO IPsec é um conjunto de protocolos relacionados para proteger as comunicações criptograficamente na Camada de Pacotes IP. O IPsec também fornece métodos para a negociação manual e automática de associações de segurança (SAs) e distribuição chave, todos os atributos para os quais são coletados em um domínio de interpretação (DOI). O IPsec DOI é um documento que contém definições para todos os parâmetros de segurança necessários para a negociação bem-sucedida de um túnel VPN — essencialmente, todos os atributos necessários para as negociações de SA e IKE. Consulte a RFC 2407 e a RFC 2408 para obter mais informações. Show
Para usar serviços de segurança IPsec, você cria SAs entre hosts. Uma SA é uma conexão simples que permite que dois hosts se comuniquem entre si com segurança por meio do IPsec. Existem dois tipos de SAs: manual e dinâmica. O IPsec oferece suporte a dois modos de segurança (modo de transporte e modo de túnel). Associações de segurançaUma associação de segurança (SA) é um acordo unidirecional entre os participantes da VPN sobre os métodos e parâmetros a serem usados na proteção de um canal de comunicação. A comunicação bidirecional completa requer pelo menos dois SAs, um para cada direção. Por meio do SA, um túnel IPsec pode fornecer as seguintes funções de segurança:
As funções de segurança que você emprega dependem de suas necessidades. Se você precisar apenas autenticar a integridade da origem e do conteúdo do pacote IP, você pode autenticar o pacote sem aplicar nenhuma criptografia. Por outro lado, se você estiver preocupado apenas com a preservação da privacidade, você pode criptografar o pacote sem aplicar nenhum mecanismo de autenticação. Opcionalmente, você pode criptografar e autenticar o pacote. A maioria dos designers de segurança de rede escolhe criptografar, autenticar e proteger o tráfego VPN. Um túnel IPsec consiste em um par de SAs unidirecionais — um SA para cada direção do túnel — que especificam o índice de parâmetros de segurança (SPI), endereço IP de destino e protocolo de segurança (Cabeçalho de autenticação [AH] ou payload de segurança encapsulado [ESP] empregado. Um grupo de SA reúne os seguintes componentes para proteger as comunicações:
Para tráfego de entrada, o Junos OS observa o SA usando o seguinte trigêmeo:
Para tráfego VPN de saída, a política invoca a SA associada ao túnel VPN. Gerenciamento de chave IPsecA distribuição e o gerenciamento de chaves são essenciais para o uso de VPNs com sucesso. O Junos OS oferece suporte à tecnologia IPsec para criar túneis VPN com três tipos de mecanismos essenciais de criação:
Você pode escolher seu mecanismo de criação chave — também chamado de método de autenticação — durante a configuração da proposta de Fase 1 e Fase 2. Consulte o Internet Key Exchange. Este tópico inclui as seguintes seções:
Chave manualCom chaves manuais, os administradores em ambas as extremidades de um túnel configuram todos os parâmetros de segurança. Esta é uma técnica viável para redes pequenas e estáticas onde a distribuição, manutenção e rastreamento de chaves não são difíceis. No entanto, a distribuição segura de configurações de chave manual em grandes distâncias apresenta problemas de segurança. Além de passar as chaves cara a cara, você não pode ter certeza absoluta de que as chaves não foram comprometidas durante o trânsito. Além disso, sempre que você quiser mudar a chave, você enfrenta os mesmos problemas de segurança que quando a distribuiu inicialmente. AutoKey IKEQuando você precisa criar e gerenciar vários túneis, você precisa de um método que não exija que você configure todos os elementos manualmente. O IPsec oferece suporte à geração e negociação automatizadas de associações de chaves e segurança usando o protocolo Internet Key Exchange (IKE). O Junos OS refere-se a uma negociação automatizada de túneis como AutoKey IKE e oferece suporte a AutoKey IKE com chaves pré-compartilhadas e AutoKey IKE com certificados.
Intercâmbio Diffie-HellmanUma troca Diffie-Hellman (DH) permite que os participantes produzam um valor secreto compartilhado. A força da técnica é que ela permite que os participantes criem o valor secreto em um meio inseguro sem passar o valor secreto pelo fio. O tamanho do módulo principal usado no cálculo de cada grupo difere conforme mostrado na tabela abaixo. As operações de troca de Diffie Hellman (DH) podem ser realizadas em software ou em hardware. Quando essas operações de troca são realizadas em hardware, utilizamos criptografia da QuickAssist Technology (QAT). Os seguintes Tabela 1 listam diferentes grupos de Diffie Hellman (DH) e especificam se a operação realizada para esse grupo está no hardware ou no software. Tabela 1: Grupos Diffie Hellman (DH) e suas operações de intercâmbio realizadas
A partir do Junos OS Release 19.1R1, os dispositivos da Série SRX oferecem suporte aos grupos DH 15, 16 e 21. A partir do Junos OS Release 20.3R1, instâncias vSRX com pacote junos-ike instalado oferecem suporte aos grupos DH 15, 16 e 21. Não recomendamos o uso dos grupos de DH 1, 2 e 5. Como o modulus para cada grupo DH é de um tamanho diferente, os participantes devem concordar em usar o mesmo grupo. Protocolos de segurança IPsecO IPsec usa dois protocolos para proteger as comunicações na camada IP:
Você pode escolher seus protocolos de segurança — também chamados authentication and encryption algorithms— durante a configuração da proposta da Fase 2. Consulte o Internet Key Exchange. Para cada túnel VPN, as sessões de túnel AH e ESP são instaladas em Unidades de Processamento de Serviços (SPUs) e no plano de
controle. As sessões de túnel são atualizadas com o protocolo negociado após a conclusão da negociação. Para dispositivos SRX5400, SRX5600 e SRX5800, as sessões de túnel em SPUs âncora são atualizadas com o protocolo negociado, enquanto as SPUs não âncoras mantêm sessões de túnel ESP e AH. As sessões de túnel ESP e AH são exibidas nas saídas para os comandos de Este tópico inclui as seguintes seções:
Algoritmos de autenticação IPsec (protocolo AH)O protocolo cabeçalho de autenticação (AH) fornece um meio para verificar a autenticidade e integridade do conteúdo e da origem de um pacote. Você pode autenticar o pacote pelo checksum calculado através de um Hash Message Authentication Code (HMAC) usando uma chave secreta e funções de hash MD5 ou SHA.
Para obter mais informações sobre algoritmos de hashing MD5, consulte RFC 1321 e RFC 2403. Para obter mais informações sobre algoritmos de hashing sha, consulte RFC 2404. Para obter mais informações sobre o HMAC, consulte RFC 2104. Algoritmos de criptografia IPsec (protocolo ESP)O protocolo encapsulamento de payload de segurança (ESP) fornece um meio para garantir a privacidade (criptografia) e a autenticação de origem e integridade do conteúdo (autenticação). O ESP no modo de túnel encapsula todo o pacote IP (cabeçalho e carga) e, em seguida, aplica um novo cabeçalho IP ao pacote agora criptografado. Este novo cabeçalho IP contém o endereço de destino necessário para rotear os dados protegidos pela rede. (Veja o processamento de pacotes no modo túnel.) Com o ESP, você pode criptografar e autenticar, criptografar apenas ou autenticar apenas. Para criptografia, você pode escolher um dos seguintes algoritmos de criptografia:
Para autenticação, você pode usar algoritmos MD5 ou SHA. Embora seja possível selecionar NULL para criptografia, foi demonstrado que o IPsec pode estar vulnerável a ataques nessas circunstâncias. Portanto, sugerimos que você escolha um algoritmo de criptografia para segurança máxima. Negociação do túnel IPsecOs dois modos diferentes a seguir que determinam como o tráfego é trocado na VPN.
Padrões IPsec e IKE suportadosEm roteadores equipados com um ou mais MS-MPCs, MS-MICs ou DPCs, a versão canadense e americana do Junos OS oferece suporte substancial aos seguintes RFCs, que definem padrões de segurança IP (IPsec) e Internet Key Exchange (IKE).
O Junos OS oferece suporte parcialmente aos seguintes RFCs para IPsec e IKE:
Os seguintes RFCs e o rascunho da Internet não definem padrões, mas fornecem informações sobre IPsec, IKE e tecnologias relacionadas. O IETF os classifica como "Informativos".
Tabela de histórico de liberação 19.1R1 A partir do Junos OS Release 19.1R1, os dispositivos da Série SRX oferecem suporte aos grupos DH 15, 16 e 21. Quais são os tipos de protocolos IPsec?O IPsec originalmente definiu dois protocolos para proteger os pacotes IP: Authentication Header (AH) e Encapsulating Security Payload (ESP).. IP AH. O AH é especificado na RFC 4302. ... . IP ESP. ... . IKE. ... . Internet Security Association and Key Management Protocol (ISAKMP).. Quais são os componentes básicos do IPsec?O IPsec utiliza três protocolos para cumprir sua função: Cabeçalho de Autenticação (AH), que provê autenticação e integridade. Encapsulamento de Dados de Segurança (ESP), que provê além de confidencialidade, além de autenticação e integridade.
Como funciona o protocolo IPsec?O Protocolo IPSec implementa uma forma de tunelamento na camada da rede (IP) e é parte das especificações da pilha de protocolos IPV6. Ele fornece autenticação em nível da rede, a verificação da integridade de dados e transmissão com criptografia e chaves fortes de 128 bits.
São componentes do IP Security IPsec?Os componentes fundamentais do IPSec são os protocolos AH (Authentication Header), ESP ( Encapsulating Security Payload) e IKE (Internet Key Exchange) e IPComp (IP Payload Compression Protocol).
|