Basicamente o IPsec é uma extensão do protocolo IP usado para obter privacidade para o usuário através do tunelamento, criptografia e autenticação. Um cenário de aplicação comum são as VPNs, as quais usaremos com base do estudo. Vamos observar aqui os objetivos do IPsec e os métodos usados para implementá-los. Show
A confidencialidade é garantida através da criptografia ao trocar um texto explícito em uma versão cifrada que só poderá ser revertida entre os participantes. A integridade dos dados é garatida por meio de hashing e / ou código de autenticação de mensagem com hash (HMAC) para verificar se os dados não foram manipulados durante seu trânsito pela rede. A autenticação é garantida por meio da autenticação de pontos de VPN no início de uma sessão de VPN usando chaves pré-compartilhadas (Pre-Shared Keys – PSK) ou assinaturas digitais (aproveitando certificados digitais). A autenticação também pode ser feita continuamente através do uso de HMAC (Hashed Message Authentication Code) que inclui um segredo conhecido apenas pelas duas extremidades da VPN. A proteção antireplay é garantida quando a VPN é estabelecida, os pares podem numerar os pacotes sequencialmente e, se houver uma tentativa de repetir um pacote (talvez por um invasor), o pacote não será aceito porque o dispositivo VPN acredita que já o processou. Protocolo IKE (Internet Key Exchange)O IPsec usa o protocolo IKE para negociar e estabelecer túneis de rede privada virtual (VPN) de acesso remoto ou site a site protegidos. IKE é uma estrutura fornecida pela Internet Security Association e Key Management Protocol (ISAKMP) e partes de dois outros protocolos de gerenciamento de chaves,
nomeadamente Oakley e Secure key exchange Mechanism (SKEME). Existem 2 versões do protocolo IKE:
IKEv2 aprimora a função de realizar a troca dinâmica de chaves e autenticação de pares. Ele simplifica os fluxos de troca de chaves e apresenta medidas para corrigir vulnerabilidades presentes no IKEv1. Ambos IKEv1 e v2 operam em duas fases. Na práticaCenário de uma conexão VPNPara entendermos vamos usar este cenário onde um funcionário remoto precisa acessar informações armazenadas no servidor da empresa. Na casa do cliente encontramos uma conexão com a Internet padrão por meio de uma conexão PPPoE com o provedor. No lado da empresa encontramos uma linha privada com o provedor e IP fixo. Vamos assumir nesse exemplo que ambos os roteadores estão devidamente configurados para conectarem via VPN e possuem rotas padrão apontadas para a Internet. Em uma VPN site-to-site cada um dos roteadores serão chamados de Gateways VPN servindo os usuários das redes a qual participam. Se o roteador R1 estiver configurado para proteger o tráfego originado na rede 192.168.15.0 com destino à rede 10.100.12.0 ele aguardará este tráfego aparecer. Se o cliente na rede de R1 tentar enviar um pacote para a rede de R2, este precisa ser criptografado e protegido antes do envio. Para isso R1 precisa estabelecer um túnel VPN com R2. Etapa 1: Negociação da fase 1 com IKEv1 O que esses dois roteadores negociam primeiro é algo chamado de túnel da Fase 1 do Internet Key Exchange (IKE). Isso pode ser feito em um dos dois modos: modo principal ou modo agressivo, mas o modo principal é considerado mais seguro. A maioria das implementações VPN atuais usa o modo principal como padrão. Este primeiro túnel é usado entre os dois roteadores para se comunicarem diretamente. Este túnel não será usado
para encaminhar pacotes de usuários, mas apenas para proteger o tráfego de gerenciamento relacionado à VPN entre os dois roteadores. Exemplos de pacotes usados nessa sessão são os keepalive para verificar de a VPN ainda está ativa.
O objetivo do DH é gerar a chave secreta compartilhada (chaves simétricas) que podem ser usados pelos dois lados da VPN em algoritmos simétricos, como AES. É importante notar que a troca DH em si é assimétrica e as chaves resultantes que são geradas são simétricas.
Etapa 2: Executar o DH Key Exchange O DH permite que dois dispositivos que ainda não tenham uma conexão segura estabeleçam a troca de chaves compartilhadas. Agora, tendo concordado com a política IKE da fase 1 do par, os dois dispositivos executam a troca de chaves DH. Eles usam o grupo DH com o qual concordaram durante as negociações e, no final dessa troca de chave, ambos têm material de chave simétrico (ambos têm as mesmas chaves secretas que podem usar com algoritmos simétricos). Etapa 3: Autenticando o par A última parte da fase 1 do IKE é validar ou autenticar o par do outro lado. Para autenticação, eles usam tudo o que concordaram inicialmente e, se eles se autenticarem com êxito, agora temos um túnel de fase 1 IKE instalado entre os dois gateways VPN. Este túnel é bidirecional, o que significa que qualquer um dos dispositivos pode enviar ou receber naquele túnel IKE Fase 1. A autenticação pode ser feita usando um PSK ou RSA, dependendo do que foi acordado na etapa 1. E agora? O que acontece com os pacotes originais do emissor? Como dito anteriormente, a função do túnel da fase 1 do IKE é permitir a troca de informações de controle entre os participantes. No momento em que a fase 1 é finalizada, os dispositivos iniciam a negociação de um segundo túnel para a troca de pacotes de fato. Esse segundo túnel é chamado de Fase 2 do IKE (é comumente chamado de IPsec túnel). Imediatamente após a criação do túnel IKE fase 1 os roteadores começam a estabelecer o segundo (fase 2). Toda a negociação do segundo túnel ocorre de forma privada pois já existe um túnel para esta troca. O túnel IKE fase 2 inclui hash e algoritmos de criptografia. O nome do modo de construção do túnel IKE Fase 2 é denominado modo rápido. Estabelecido o segundo túnel os roteadores podem encaminhar os pacotes criptografados. ReferênciasCCNA Security (210-260) – Official Cert Guide (Ciscopress) Dúvidas?Entre em contato por um dos meios abaixo e tire suas dúvidas, mande comentários, sugestões!! Compartilhe com seus amigos! Que tipo de VPN envolve o encaminhamento de tráfego pela espinha dorsal através do uso de rótulos distribuídos entre os roteadores principais?VPNs MPLS do provedor de serviços
O tráfego é encaminhado por meio do backbone MPLS usando rótulos previamente distribuídos entre os roteadores principais. Como as conexões WAN legadas, o tráfego é seguro porque os clientes do provedor de serviços não podem ver o tráfego uns dos outros.
Que característica descreve uma VPN?VPN significa “Virtual Private Network” (Rede Privada Virtual) e descreve a oportunidade de estabelecer uma conexão de rede protegida ao usar redes públicas. As VPNs criptografam seu tráfego de Internet e disfarçam sua identidade online.
Quais as tecnologias oferecem soluções de VPN gerenciadas pela empresa?VPNs corporativos – VPNs gerenciados por empresas são uma solução comum para proteger o tráfego corporativo na Internet. VPNs site a site e de acesso remoto são criados e gerenciados pela empresa usando VPNs IPsec e SSL.
Qual requisito de comunicação segura é garantido pela implementação de algoritmos de geração de hash MD5 ou SHA?Qual requisito de comunicações seguras é garantido pela implementação de algoritmos de geração de hash MD5 ou SHA? Explicação: A integridade é garantida pela implementação de algoritmos de geração de hash MD5 ou SHA.
|