1 / 77

IPsec: IP Seguro

IPsec: IP Seguro. Edgard Jamhour. 1) Introdução ao IP Sec - IP Seguro. Padrão aberto baseado em RFC (IETF) . Comunicação segura em camada 3 (IPv4 e IPv6) Provê recursos de segurança sobre redes IP: Autenticação , Integridade e Confidencialidade Dois modos de funcionamento:

abraham-nichols
Download Presentation

IPsec: IP Seguro

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. IPsec: IP Seguro Edgard Jamhour

  2. 1) Introdução ao IP Sec - IP Seguro • Padrão aberto baseado em RFC (IETF). • Comunicação segura em camada 3 (IPv4 e IPv6) • Provê recursos de segurança sobre redes IP: • Autenticação, Integridade e Confidencialidade • Dois modos de funcionamento: • Modo Transporte • Modo Túnel • Dois Protocolos (Mecanismos) • IPsec ESP: IP Encapsulating Security Payload (50) • IPsec AH: IP Autentication Header (51)

  3. Estrutura Geral do IPsec Administrador configura Aplicação IKE Base de Políticas Solicita criação do SA Protocolo Aplicação Sockets Transporte (TCP/UDP) refere consulta IP/IPsec(AH,ESP) Base de SAs Enlace consulta

  4. Modos de Utilização do IPsec • Modo transporte • Garante a segurança apenas dos dados provenientes das camadas superiores. • Utilizado geralmente para comunicação "fim-a-fim" entre computadores. • Modo tunel • Fornece segurança também para a camada IP. • Utilizado geralmente para comunicação entre roteadores.

  5. Modo Túnel e Transporte INTERNET Conexão IPsec em modo Transporte INTERNET Conexão IPsec em modo Túnel

  6. Modos de Utilização do IPsec HOST A HOST rede Insegura rede Insegura HOST A REDE rede Insegura REDE A REDE

  7. rede Insegura pacote desprotegido rede Insegura Modos de Utilização do IPsec pacote protegido Túnel ou Transporte rede Insegura Túnel Túnel

  8. TUNELAMENTO = VPN • TUNELAR: Significa colocar as estruturas de dados de um protocolo da mesma camada do modelo OSI dentro do outro. • Existem dois tipos de Tunelamento: • Camada 3: Transporta apenas pacotes IP • Camada 2: Permite tranportar outros protocolos de rede: IP, NetBEUI, IPX. CABEÇALHOQUADRO CABEÇALHO PACOTE DADOS CRC QUADRO IP NORMAL CABEÇALHOQUADRO CABEÇALHO IP CABEÇALHO IP DADOS CRC TUNELAMENTO DA CAMADA 3 CABEÇALHOQUADRO CABEÇALHO IP CABEÇALHOCAMADA 2 CABEÇALHO CAMADA 3 DADOS CRC TUNELAMENTO DA CAMADA 2

  9. Tunelamento IPsec • Os endereços IP externos correspondem as extremidades do túnel, e os endereços IP internos correspondem aos hosts. SERVIDOR C SERVIDOR A SERVIDOR B INTERNET

  10. PROTOCOLOS PARA VPN • L2F: • Layer 2 Fowarding Protocol (Cisco) • Não é mais utilizado. • PPTP: • Tunelamento de Camada 2 • Point-to-Point tunneling Protocol • L2TP: • Tunelamento de Camada 2 • Level 2 Tunneling Protocol (L2TP) • Combinação do L2F e PPTP • IPSec: • Tunelamento de Camada 3 • IETF (Internet Engineering Task Force)

  11. QUADRO COMPARATIVO Tunelamento Camada 2 Tunelamento Camada 3 Pilha Normal SSL Aplicação APLICAÇÃO APLICAÇÃO APLICAÇÃO APLICAÇÃO SSL TRANSPORTE TRANSPORTE TRANSPORTE TRANSPORTE S.O. REDE REDE (IP) REDE) REDE REDE IP (TUNEL) ENLACE PPP REDE IP (TUNEL) Placa de Rede ENLACE ENLACE ENLACE ENLACE FISICA FISICA FISICA FISICA

  12. Protocolos para VPN

  13. Tipos de IPSec • IP Autentication Header (AH) • Protocolo 51 • Oferece recursos de: • Autenticação • Integridade • IP Encapsulating Security Payload (ESP) • Protocolo 50 • Oferece recursos de: • Confidencialidade • Autenticação • Integridade

  14. 2) Protocolo AH • Definido pelo protocolo IP tipo 51 • Utilizando para criar canais seguros com autenticação e integridade, mas sem criptografia. • Permite incluir uma “assinatura digital” em cada pacote transportado. • Protege a comunicação pois atacantes não conseguem falsificar pacotes assinados.

  15. AH e Modo Túnel e Modo Transporte IPv4 IP Normal IP TCP/UDP DADOS IPv4 com autenticação IP AH TCP/UDP DADOS Modo Transporte IPv4 com autenticação e tunelamento IP AH IP TCP/UDP DADOS Modo Tunel Especifica os Computadores Especifica os Gateways nas Pontas do Tunnel

  16. Authentication Header • Provê serviços de autenticação e Integridade de Pacotes. 1 byte 1 byte 1 byte 1 byte Next Header Length reserved reserved SPI: Security Parameter Index Sequence Number Authentication Data (ICV: Integrity Check Value) Campo de Tamanho Variável, depende do protocolo de autenticação utilizado

  17. Campos do IPsec AH • Next Header: • Código do protocolo encapsulado pelo IPsec, de acordo com os códigos definidos pela IANA (UDP, TCP, etc ...) • Length: • comprimento do cabeçalho em múltiplos de 32. • Security Parameter Index: • identificador de 32 bits, com a SA compartilhada pelo transmissor e pelo receptor. • Authentication Data: • Código de verificação de integridade (ICV) de tamanho variável, depende do protocolo utilizado.

  18. Authentication Data • Para enviar um pacote: • O transmissor constrói um pacote com todos os campos IP e protocolos das camadas superiores. • Ele substitui todos os campos que mudam ao longo da transmissão com 0’s (por exemplo, o TTL) • O pacote é completado com 0’s para se tornar múltiplo de 16 bits. • Um checksum criptográfico é computado para concatenação: • Algoritmos: HMAC-MD5 ou HMAC-SHA-1 • MAC: Message Authentication Code

  19. Autenticação • Para receber um pacote: • O receptor utiliza o SPI para determinar qual o algoritmo a ser utilizado para validar o pacote recebido. • O receptor substitui os campos mutáveis por “0” e calcula o checksum criptográfico do pacote. • Se ele concordar com o checksum contido no cabeçalho do pacote de autorização, ele é então aceito. ICV Algoritmo de Integridade iguais? IP AH TCP/UDP DADOS ICV

  20. HMAC • h = função de hashing (MD5 ou SHA1) • k = chave secreta • ipad = 0x363636 ... 3636 • opad = 0x5c5c5 ... c5c5c

  21. Security Association • Uma vez definida uma política comum a ambos os computadores, uma associação de segurança (SA) é criada para “lembrar” as condições de comunicação entre os hosts. • Isso evita que as políticas sejam revistas pelo IPsec a cada novo pacote recebido ou transmitido. • Cada pacote IPsec identifica a associação de segurança ao qual é relacionado pelo campo SPI contido tanto no IPsec AH quanto no IPsec ESP.

  22. Associação de Segurança • SA: Associação de Segurança • Contrato estabelecido após uma negociação que estabelece como uma comunicação IPsec deve ser realizada. • Algoritmo de Autenticaçã/Criptografia • Chave de Sessão • SPI: Secure Parameter Index • Número inteiro (32 bits) que identifica um SA. • É transmitido junto com os pacotes IPsec para permitir ao destinatário validar/decriptografar os pacotes recebidos.

  23. Security Association (SA) • Dois computadores podem possuir um conjunto amplo de políticas para transmissão e recepção de pacotes. • É necessário encontrar uma política que seja comum ao transmissor e ao receptor. Eu transmito para qualquer rede sem IPsec Eu transmito para qualquer rede em IPsec AH MD5 Eu aceito pacotes de qualquer rede em com IPsec AH MD5 A B Eu transmito para qualquer rede em IPsec AH MD5 Eu transmito para qualquer rede em IPsec AH SHA1 Eu aceito pacotes de qualquer rede em com IPsec AH MD5 Eu aceito pacotes de qualquer rede em com IPsec AH SHA1

  24. Campos do IPsec AH • Sequence Number: • Numero incremental, que começa a contagem quando o SA é criada. • Permite que apenas 232-1 pacotes sejam transmitidos na mesma SA. Após esse número, uma nova SA deve ser criada. negociam SA e definem SPI SPI=deBparaA SPI=daAparaB. SPI=deAparaB SPI=deBparaA SPI=deAparaB e SN=1 Host B Host A SPI=deAparaB e SN=2 SPI=deBparaA e SN=1 ...

  25. assinatura comparação SPI=5 assinatura Algo SHA1 SPI=5 assinatura Algo SHA1 DADOS IP AH DADOS IP AH Transmissão dos Dados B A Quando transmitir para B use SPI=5 SPI=5 algo. SHA1 chave: xxxx SPI=5 algo. SHA1 chave: xxxx

  26. IP IP IP IP AH Modo Tunel e Transporte IPsec AH IPsec AH IPsec AH IPsec AH IPsec AH SA SA INTERNET Conexão IPsec em modo Transporte IPsec AH IPsec AH IPsec AH SA SA INTERNET Conexão IPsec em modo Túnel

  27. 3) Protocolo ESP • Definido pelo protocolo IP tipo 50 • Utilizando para criar canais seguros com autenticação, integridade e criptografia. • Além da criptografia, permite incluir uma “assinatura digital” em cada pacote transportado. • Protege a comunicação pois atacantes não conseguem falsificar pacotes assinados e criptografados.

  28. ESP IPSec : Tunel e Transporte MODO TRANSPORTE autenticado criptografado IP ESPHEADER TCP UDP DADOS ESP TRAILER ESP AUTH IP TCP UDP DADOS IP ESPHEADER IP TCP UDP DADOS ESP TRAILER ESP AUTH criptografado autenticado MODO TUNNEL

  29. Encrypted Security Payload Header • ESP provê recursos de autenticação, integridade e criptografia de pacotes. 1 byte 1 byte 1 byte 1 byte Security Parameter Index HEADER Sequence Number Encrypted Payload (dados criptografados) TRAILER Pad (0 – 255 bytes) Pad Length Next Header Authentication Data (tamanho variável) AUTH

  30. Campos do IPsec ESP • Header: • SPI e Sequence Number: Mesmas funções do AH • O algoritmo de criptografia pode ser qualquer, mas o DES Cipher-Block Chaining é o default. • Trailler: • Torna os dados múltiplos de um número inteiro, conforme requerido pelo algoritmo de criptografia. • O trailler também é criptografado. • Auth: • ICV (Integrity Check Value) calculado de forma idêntica ao cabeçalho AH. Este campo é opcional.

  31. DES com chave yyyy DES com chave yyyy SPI=6 SPI=6 DADOS CRIPTO. IP ESP ESP DADOS CRIPTO. IP ESP ESP enchimento enchimento Transmissão dos Dados A C Quando transmitir para C use SPI=6 SPI=6 algo. DES chave: yyyyy SPI=6 algo. DES chave: yyyy

  32. IP IP IP IP ESP Modo Tunel e Transporte IPsec ESP IPsec ESP IPsec ESP IPsec ESP IPsec ESP SA SA INTERNET Conexão IPsec em modo Transporte IPsec ESP IPsec ESP IPsec ESP SA SA INTERNET Conexão IPsec em modo Túnel

  33. 4) Configuração do IPsec • Cada dispositivo de rede (Host ou Gateway) possui uma política de segurança que orienta o uso de IPsec. • Uma política IPsec é formada por um conjunto de regras, muito semelhantes as regras de um firewall. • As políticas IPsec são definidas de maneira distinta para os pacotes transmitidos e para os pacotes recebidos.

  34. Estrutura Geral do IPsec Administrador configura Aplicação IKE Base de Políticas Solicita criação do SA Protocolo Aplicação Sockets Transporte (TCP/UDP) refere consulta IP/IPsec(AH,ESP) Base de SAs Enlace consulta

  35. Políticas de Segurança • Uma Política IPsec é formada por um conjunto de regras com o seguinte formato: • Se CONDICAO SatisfeitaEntão executar ACAO da POLÍTICA • A CONDIÇÃO (Chamada de Filtro): • define quando uma regra de Política deve ser tornar ATIVA. • A AÇÃO: • define o que deve ser feito quando a condição da REGRA for SATISFEITA.

  36. Elementos para Configuração do IPsec Lista de Regras Ações (Ação de Filtro) Regra de Política Política IPsec Regra de Política Condições (Lista de Filtros) Regra de Política

  37. Condição (Lista de Filtros) • Cada filtro define as condições em que uma política deve ser ativa. • IP de origem e destino: • nome, IP ou sub-rede b) Tipo de protocolo • código IANA para TCP, UDP, ICMP, etc... c) Portas de origem e destino • se TCP/UDP

  38. Ação • A ação define o que deverá ser feito com o pacote recebido ou transmitido. • O IPsec define 3 ações: • repassar o pacote adiante sem tratamento • ação: bypass IPsec • rejeitar o pacode • ação discard • negociar IPsec • define um modo de comunicação incluindo as opções Tunel, Transporte, IPsec ESP e IPsec AH.

  39. Ações IPsec na Transmissão IP Regras IPsec IP IPsec Driver Discard Bypass Negociar IPsec • gerar assinaturas digitais • criptografar os dados IPsec ESP IP X IPsec AH Enlace

  40. Ações IPsec na Recepção IP Regras IPsec X X IP IP • verifica assinaturas • decriptografa Discard Negociar IPsec Bypass IPsec Driver IPsec AH IP IPsec ESP Enlace

  41. Negociar IPsec • Se a ação for do tipo Negociar IPsec, deve-se definir: • Obrigatoriedade: • Facultativo: aceita comunicação insegura • (se o outro não suporta IPsec). • Obrigatório: aceita apenas comunicação segura. • (rejeita a comunicação se o outro não suportar IPsec) • Tipo de IPsec: • AH(hash) ou ESP(cripto,hash) • Modo Túnel ou Modo Transporte • Se modo túnel, especificar o IP do fim do túnel

  42. Algoritmos IPsec • CRIPTOGRAFIA • MUST NULL (1) • MUST- TripleDES-CBC [RFC2451] • SHOULD+ AES-CBC with 128-bit keys [RFC3602] • SHOULD AES-CTR [RFC3686] • SHOULD NOT DES-CBC [RFC2405] (3) • AUTENTICAÇÃO • MUST HMAC-SHA1-96 [RFC2404] • MUST NULL (1) • SHOULD+ AES-XCBC-MAC-96 [RFC3566] • MAY HMAC-MD5-96 [RFC2403] (2)

  43. Implementação de Políticas • Para que dois computadores "A" e "B" criem uma comunicação IPsec: • Computador A: • deve ter políticas IPsec para transmitir pacotes cujo endereço de destino é "B". • deve ter políticas IPsec para receber pacotes cujo endereço de origem é "B". • Computador B: • deve ter políticas IPsec para transmitir pacotes cujo endereço de destino é "A". • deve ter políticas IPsec para receber pacotes cujo endereço de origem é "A".

  44. Observação: Políticas com Tunelamento • É necessário criar uma regra para enviar e outra para receber pacotes pelo túnel, em cada um dos gateways VPN. terminação do túnel R_A R_A IP_B IP_A R_B IP_B IP_A R_B in in IP_A IP_B R_A R_B IP_A IP_B R_A R_B out out A B Rede B Rede A IP_A IP_B

  45. Ordenamento dos Regras • Uma política IPsec pode ter regras conflitantes, por exemplo: • Política ICMP • RegraSubRede: • Localhost de/para 10.26.128.0/24::ICMP negociar IPsec • RegraExceção: • Localhost de/para 10.26.128.17::ICMP passar • Existem duas abordagems para resolver esse caso: • As regras são avaliadas em ordem: a primeira ser satisfeita é utilizada (abordagem Intoto) • As regras são avaliadas da mais específica para a mais genérica, independente da ordem (abordagem Microsoft).

  46. Priorização • Idealmente, as regras deveriam ser avaliadas de acordo com a granulariadade dos filtros: • My IP Address • Specific IP Address defined • Specific IP Subnet • Any IP Address • A mesma abordagem vale em relação as portas e protocolos: • Specific Protocol/Port combination • Specific Protocol/Any Port • Any Protocol • Em implementações em que o ordenamento não é automático, cabe ao administrador da rede escolher a ordem.

  47. Política Default • Assim como um firewall, também é possível estabelecer uma política default para o IPsec. • A políticas default será aplicada quando as condições do pacote não forem satisfeitas por nenhuma das regras pré-definidas. • A política default pode ser: • Bloquear (INTOTO) • Bypass IPsec (WINDOWS) • Negociar IPsec em vários modos: • IPsec ESP 3DES, SHA1, • IPsec ESP DES, MD5 • AH SHA1 • AH MD5

  48. Exemplo1: Proteção com AH 2 REGRAS POLÍTICA: o host B só aceita mensagens ICMP vindas do host A protegidas com AH ICMP HOST_A HOST_B HOST_B HOST_A ICMP HOST B ICMP HOST A 192.168.1.7 192.168.1.1 ICMP (AH) rede

  49. Exemplo 2: Proteção com ESP 2 REGRAS POLÍTICA: o HOST C só pode acessar o HOST B via telnet protegido pelo protocolo ESP ICMP HOST_C HOST_B HOST_B HOST_C ICMP HOST B TELNET HOST C HOST A 192.168.1.7 192.168.1.2 192.168.1.1 TELNET (ESP) rede

  50. 6) IKE: Internet Key Exchange • O IPsec define um mecanismo que permite negociar as chaves de criptografia de forma automática • A negociação de SA e o gerenciamento de chaves é implementado por mecanismos externos ao IPsec. • A única relação entre esses mecanismos externos e o IPsec é através do SPI (Secure Parameter Index). • O gerenciamento de chaves é implementado de forma automática pelo protocolo: • IKE: Internet Key Exchange Protocol

More Related