Segurana em Redes TCPIP Redes Virtuais Privadas e

Segurança em Redes TCP/IP Redes Virtuais Privadas e Extranets • Edgard Jamhour 2001, Edgard Jamhour

Acesso por linha discada • Serviço de Acesso Remoto: – Implementado pelos sistemas operacionais comerciais mais difundidos. – Permite que um usuário acesse um servidor por linha discada. PRECISA DE UM MODEM PARA CADA USUÁRIO MODEM PSTN RAS OU NAS MODEM REDE MODEM PPP: POINT TO POINT PROTOCOL 2001, Edgard Jamhour

PPP: Point to Point Protocol • Permite criar conexão de rede através de links ponto a ponto. – O PPP é um protocolo do nível de enlace destinado a transportar mensagens ponto a ponto. – O PPP supõem que o link físico transporta os pacotes na mesma ordem em que foram gerados. IPX IP O PPP permite transportar diversos protocolos de rede. link físico 2001, Edgard Jamhour

Frame PPP • O Frame PPP segue uma variante da estrutura do HDLC (High-level Data Link Control) – FLAG: 0 x 7 E – ADDRESS: Usualmente FF (broadcast) – CONTROL: 0 x 03 – FCS: Checksum FLAG ADDRESS CONTROL PROTOCOL 8 bits 16 bits DADOS FCS FLAG 16 bits 8 bits 2001, Edgard Jamhour

Sequência PPP • Link Control Protocols (LCP) – Configura parâmetros do link como tamanho dos quadros. • Protocolos de Autenticação – Determina o método para validar a senha do usuário no servidor. Pode variar de texto aberto até criptografia. • Network control protocols (NCP): – Configura parâmetros específicos do protocolo transportado, como IP, IPX, and Net. BEUI. 2001, Edgard Jamhour

Acesso por linhas privativas EMPRESA • Links Redundantes FILIAL • Alto custo e Pouca Flexibilidade 2001, Edgard Jamhour

Tecnologias para Linhas Privativas • Linhas privativas podem ser implementadas com: – ATM ou Frame-Relay • Comunicação Orientada a Conexão – Connecion-Oriented • Ambas as tecnologias permitem dividir a banda de um enlace físico através de circuitos virtuais. • ATM: – VPI e VCI • FRAME RELAY – DLCI 2001, Edgard Jamhour

Circuitos Virtuais ATM • ATM utiliza uma estrutura hierárquica para criar CÉLULA circuitos virtuais. VPI VCI DADOS 2001, Edgard Jamhour

Frame-Relay • Frame-relay utiliza uma estrutura simples para criação de circuitos virtuais. DLCI DADOS 2001, Edgard Jamhour

Backbone Embratel 2001, Edgard Jamhour

Backbone Embratel 2001, Edgard Jamhour

Rede Frame Relay REDE ATM ATM FRAD FRAME-RELAY Interface Frame-Relay FRAD HUB usual roteador 2001, Edgard Jamhour

Estrutura Geral de Quadros 2001, Edgard Jamhour

Estrutura do Quadro Frame Relay 2001, Edgard Jamhour

Quadro Frame-Relay • DLCI: Data Link Connection Identifier – Número de 10 bits – DLCI indica a porta em que a rede de destino está conectada. • Normalmente o termo “porta” refere-se a porta física de um roteador. • Todavia, as redes frame-relay podem ser implementadas também em switches ou bridges. 2001, Edgard Jamhour

Velocidade do Frame-Relay • O serviço frame-relay é oferecido normalmente como: – Frações de canais T 1/E 1 – Taxas completas de T 1/E 1 • Alguns vendedores oferecem frame relay até taxas T 3: – 45 Mbp. 2001, Edgard Jamhour

CIR - Committed Information Rate bits/s CIR tempo CIR = média no intervalo Tc 2001, Edgard Jamhour

SLA: Service Level Agreement • SLA define as métricas usadas para descrever o desempenho de um serviço Frame Relay. • Essas métricas pode ser usadas para estabelecer um contrato entre o provedor de serviço e um usuário ou entre provedores de serviço. – Frame Transfer Delay – Frame Delivery Ratio – Data Delivery Ratio – Service Availability 2001, Edgard Jamhour

SERVIÇO Intranet EMBRATEL BACKBONE EMBRATEL QUALIDADE DE SERVIÇO CONTROLADA Empresa D Empresa A Empresa B SEM QUALIDADE DE SERVIÇO DLCI=1 INTERNET VIA EMBRATEL Empresa B Internet Mundial Empresa A DLCI=10 2001, Edgard Jamhour

VPN X Circuitos Virtuais • Circuitos Virtuais ATM ou Frame Relay – Objetivo: • Garantia de Qualidade de Serviço (Qo. S). – Princípio: • Criam canais com Qo. S controlado. – Limitação: • Depende do provedor de serviço. 2001, Edgard Jamhour

VPN X Circuitos Virtuais • VPN: Virtual Private Networks – Objetivos: • Oferecer segurança através de redes IP potencialmente inseguras. • Permitir o transporte de outros protocolos de rede sobre a Internet. – Princípios: • Encapsulamento adcional de quadros e pacotes. – Limitação: • Não oferece qualidade de serviço 2001, Edgard Jamhour

Tipos de VPN ENTRE DUAS MÁQUINAS rede Insegura ENTRE UMA MÁQUINA E UMA REDE (VPN DE ACESSO) rede Insegura ENTRE DUAS REDES (INTRANET OU EXTRANET VPN) 2001, Edgard Jamhour

VPN = Tunelamento pacote protegido rede Insegura pacote desprotegido rede Insegura 2001, Edgard Jamhour

Exemplo: VPN de Acesso • Vendedor que precisa acessar a rede corporativa de um ponto remoto. SERVIDOR DE VPN CATÁLOGO DE PRODUTOS SISTEMA DE PEDIDOS INTERNET 2001, Edgard Jamhour

Intranet VPN • Permite construir uma intranet utilizando recursos de uma infra-estrutura de comunicação pública (e. g. Internet). EMPRESA VPN INTERNET 2001, Edgard Jamhour

Extranet VPN • Permite construir uma rede que compartilha parcialmente seus recursos com empresas parceiras (fornecedores, clientes, parceiros, etc. ). INTERNET EMPRESA PARCEIRO VPN PARCEIRO 2001, Edgard Jamhour

Conceitos Básicos de uma VPN • TUNELAMENTO: – Permite tranportar pacotes com IP privado ou com outros protocolos de rede através da Internet. • AUTENTICAÇÃO: – Permite controlar quais usuários podem acessar a VPN – Reduz o risco de ataques por roubo de conexão e spoofing. • CRIPTOGRAFIA: – Garante a confidencialidade dos dados transportados através da VPN. 2001, Edgard Jamhour

TUNELAMENTO • TUNELAR: Significa colocar as estruturas de dados de um protocolo da mesma camada do modelo OSI dentro do outro. • Existem dois tipos de Tunelamento: – Camada 3: Transporta apenas pacotes IP – Camada 2: Permite tranportar outros protocolos de rede: IP, Net. BEUI, IPX. CABEÇALHO QUADRO CABEÇALHO IP CABEÇALHO QUADRO CABEÇALHO PACOTE IP CABEÇALHO PACOTE DADOS CRC CABEÇALHO PACOTE IP DADOS CRC CABEÇALHO QUADRO DADOS CRC TUNELAMENTO DA CAMADA 3 TUNELAMENTO DA CAMADA 2 2001, Edgard Jamhour

TUNELAMENTO Aplicação Pilha Normal APLICAÇÃO SSL Tunelamento Camada 3 Tunelamento Camada 2 APLICAÇÃO TRANSPORTE REDE ENLACE SSL S. O. TRANSPORTE REDE Placa de Rede ENLACE FISICA 2001, Edgard Jamhour

Exemplo IPF 1 REDE A IPF 2 IPF 3 IPF IPF 4 REDE B IPF 1 IPF 4 DADOS IPQ 1 IPQ 2 IPF 1 IPF 4 DADOS 2001, Edgard Jamhour

Autenticação EMPRESA FILIAL LOGIN INTERNET 2001, Edgard Jamhour

Criptografia IPF 1 REDE A IPF 2 IPF 3 IPF IPF 4 REDE B IPF 1 IPF 4 DADOS IPQ 1 IPQ 2 XXXXXXXX IPQ 1 IPQ 2 IP F IPF DADOS TODO O PACOTE, INCLUINDO O CABEÇALHO É CRIPTOGRAFADO. 2001, Edgard Jamhour

PROTOCOLOS PARA VPN • L 2 F: – Layer 2 Fowarding Protocol (Cisco) – Não é mais utilizado. • PPTP: – Tunelamento de Camada 2 – Point-to-Point tunneling Protocol • L 2 TP: – Tunelamento de Camada 2 – Level 2 Tunneling Protocol (L 2 TP) – Combinação do L 2 F e PPTP • IPSec: – Tunelamento de Camada 3 – IETF (Internet Engineering Task Force) 2001, Edgard Jamhour

Protocolos para VPN Protocolo Tunelamento Criptografia Autenticação Aplicação PPTP Camada 2 Sim VPN de Acesso Iniciada no Cliente L 2 TP Camada 2 Não Sim VPN de Acesso Iniciada no NAS Intranet e Extranet VPN IPsec Camada 3 Sim VPN de Acesso Intranet e Extranet VPN IPsec e L 2 TP Camada 2 Sim VPN de Acesso Iniciada no NAS Intranet e Extranet VPN 2001, Edgard Jamhour

PPTP: Point-to-Point tunneling Protocol • Definido pelo PPTP Forum: – Ascend Communication, U. S. Robotics, 3 Com Corporation, Microsoft Corporation e ECI Telematics – Formalizado por RFC • Requisitos para Utilização: – Os sistemas operacionais do cliente e do servidor devem suportar PPTP – PPTP é o protocolo de tunelamento mais difundido no mercado: • Windows, Linux, Roteadores, etc. . . 2001, Edgard Jamhour

Cenários de Utilização do PPTP • Cenários: – A) Acesso por modem: • O cliente estabelece uma conexão com um provedor (ISP) e depois com o servidor de VPN. – B) Acesso por placa de rede: • O cliente já está na Internet, ele se conecta diretamente ao servidor de VPN. • O cliente e o servidor da VPN se encontram na mesma rede corporativa. 2001, Edgard Jamhour

Tipos de Conexão • O cliente tem acesso direto ao servidor, seja via linha discada, seja via rede. Protocolo TCP/IP IPX/SPX Net. BEUI possui protocolo PPTP instalado e serviço RAS configurado possui protocolo PPTP instalado e serviço de dial up discado MODEM permanente PLACA DE REDE 2001, Edgard Jamhour

Opções de Configuração Opções no Servidor: - Número de portas VPN - DHCP ou RAS - O cliente pode especificar seu IP (S/N) - Range de IP’s - Tipo de Autenticação - Criptografia de Dados (S/N) - Acesso ao servidor ou a toda rede. Opção no Cliente: - Conexões Virtuais Simultâneas (1 no WINDOWS 95/98). - Criptografia - Método de Autenticação PORTAS VPN PARA DISCAGEM discado PORTAS VPN PARA RECEPÇÃO rede 2001, Edgard Jamhour

Conexão PPTP MODEM NAS MODEM USUÁRIO REMOTO PPP REDE TELEFÔNICA PSTN MODEM ISP SERVIDOR EMPRESA PPTP PROVEDOR DE ACESSO A INTERNET TUNEL 2001, Edgard Jamhour

Topologias de Conexão PORTAS VPN RAS Acesso apenas a esta máquina WINDOWS 95/98 WINDOWS NT/LINUX RAS Outro Servidor da Rede WINDOWS 95/98 WINDOWS NT/LINUX O servidor VPN libera acesso a toda rede 2001, Edgard Jamhour

Exemplo • 1) Situação Inicial – Considere um cliente e um servidor conectados por uma rede TCP/IP. – Ambos possuem endereços pré-definidos. IPNORMAL 2 IPNORMAL 1 SERVIDOR RAS INTERNET RANGE IP IPVPN 1 IPVPN 2. . . EXEMPLO: 192. 168. 0. 1. . 192. 168. 0. 254 2001, Edgard Jamhour

Estabelecimento da Conexão PPTP • (2 O cliente disca para o endereço IP do servidor. – Nesse processo, o cliente deve fornecer seu login e senha. – A conta do usuário deve existir no servidor, e ele deve ter direitos de acesso via dial up. – O servidor atribui um IP para o cliente, e reconfigura suas rotas. IPNORMAL 2 LOGIN SENHA IPVPN E ROTAS IPNORMAL 1 SERVIDOR RAS RANGE IP IPVPN 1 IPVPN 2. . . INTERNET 2001, Edgard Jamhour

IP’s de tunelamento • Uma conexão PPTP que encapsula protocolos TCP/IP em outro datagrama IP envolve a utilização de 2 pares de IP: – IP sem tunelamento • cliente: IPNORMAL 2 (e. g. 210. 0. 0. 1) • servidor: IPNORMAL 1 (eg. 200. 0. 0. 1) – IP com tunelamento • cliente: IPVPN 2 (192. 168. 0. 2) • servidor: IPVPN 1 (192. 168. 0. 1) 2001, Edgard Jamhour

Rotas do Cliente antes da Conexão VPN • DESTINO GATEWAY INTERFACE • INTERNET IPGATEWAY IPNORMAL 2 • IPNORMAL 2 LOOPBACK • REDELOCAL IPNORMAL 2 IPGATEWAY IPNORMAL 2 IPNORMAL 1 INTERNET 2001, Edgard Jamhour

Rotas do Cliente após a Conexão VPN • DESTINO GATEWAY INTERFACE • REDE VPN IPVPN 2 • IPVPN 2 LOOBACK • INTERNET IPGATEWAY IPNORMAL 2 • IPNORMAL 2 LOOPBACK • REDELOCAL IPNORMAL 2 IPGATEWAY IPNORMAL 2 IPNORMAL 1 IPVPN 2 INTERNET 2001, Edgard Jamhour

Rede Virtual • Os clientes conectados a rede virtual utilizam o servidor RAS como roteador. SERVIDOR RAS VPN VPN 2001, Edgard Jamhour

Rotas do Servidor antes da Conexão VPN • DESTINO GATEWAY INTERFACE • INTERNET IPGATEWAY IPNORMAL 1 • IPNORMAL 1 LOOPBACK • REDELOCAL IPNORMAL 1 IPGATEWAY IPNORMAL 2 IPNORMAL 1 INTERNET 2001, Edgard Jamhour

Rotas do Servidor após a Conexão VPN • DESTINO • IPVPN 1 LOOBACK • IPVPN 2 IPVPN 1 • IPVPN 3 IPVPN 1 • IPVPN 4 IPVPN 1 • INTERNET IPGATEWAY • IPNORMAL 2 LOOPBACK • REDELOCAL IPNORMAL 1 GATEWAY INTERFACE IPNORMAL 1 LOOPBACK IPNORMAL 1 SERVIDOR RAS IPVPN 2 VPN IPVPN 3 VPN IPVPN 4 VPN IPVPN 1 2001, Edgard Jamhour

Comunicação com Tunelamento CLIENTE SERVIDOR RAS IPN 1 IPN 2 IPVPN 2 IPN 1 IPN 3 IPVPN 1 IPVPN 2 IPVPN 3 CLIENTE IPVPN 3 IPN 1 IPN 3 IPVPN 2 IPVPN 3 2001, Edgard Jamhour

Pacotes PPTP • A técnica de encapsulamento PPTP é baseada no padrão Internet (RFC 1701 e 1702) denominado: – Generic Routing Encapsulation (GRE) – O PPTP é conhecido como GREv 2, devido as extensões que acrescentou: • controle de velocidade da conexão • identificação das chamadas. 2001, Edgard Jamhour

Estrutura do PPTP • Um pacote PPTP é feito de 4 partes: – Delivery Header: • adapta-se ao meio físico utilizado – IP Header: • endereço IP de origem e destino sem tunelamento – GREv 2 Header: • indentifica qual protocolo foi encapsulado – Payload Datagram: • pacote encapsulado (IPX, IP, Net. BEUI, etc. ) 2001, Edgard Jamhour

Formato Geral de um Pacote PPTP • A figura abaixo mostra o formato geral de um pacote PPTP. O conteúdo de cada campo varia de acordo como o meio utilizado e com o protocolo transportado. Delivery Header Corresponde ao cabeçalho do protocolo de enlace (Ethernet, Frame. Relay, etc. ) IP Header GREv 2 Header Payload Datagram Intentifica o Protocolo Encapsulado Cabeçalho do Datagrama IP de encapsulamento Datagrama do Protocolo Encapsulado 2001, Edgard Jamhour

Datagramas Tunelados • A figura abaixo mostra o que acontece quando um datagrama IP é tunelado através de uma rede local Ethernet, com protocolo TCP/IP. Delivery Header Ethernet Header IP Origem e Destino Sem Tunelamento IP Header GREv 2 Header IP Payload Datagram Protocolo de Transporte IP Origem e Destino com Tunelamento Protocolo de Aplicação 2001, Edgard Jamhour

Porta de Controle • O estabelecimento de uma conexão PPTP é feito pela porta de controle TCP 1723. • Esta porte precisa ser liberada no firewall para implantar uma VPN de acesso. configuração do link autenticação configuração de rotas TCP > 1024 1723 IP: Protocol Type = 2 F 2001, Edgard Jamhour

Exemplo de VPN com Firewall IP_Servidor_VPN >1023 1723 INTERNET FIREWALL: Liberar a porta TCP 1723 no IP = Servidor_VPN Liberar o protocolo PPTP (Protocol Type=2 F) para o IP=Servidor_VPN 2001, Edgard Jamhour

Segurança do PPTP • PPTP fonece dois serviços de segurança: – Autenticação – Criptografia de Dados • Diversos tipos de autenticação podem ser utilizadas: – CHAP: Standard Encrypted Authentication – MS-CHAP: Microsoft Encrypted Authentication • Unico Método que Permite Criptografia – PAP: Password Authentication Protocol • Autenticação Sem Criptografia 2001, Edgard Jamhour

Autenticação por CHAP • CHAP: Challeng Hand. Shake Authentication Protocol – Definido pela RFC 1994 como uma extensão para PPP • Não utiliza passwords em aberto • Um password secreto, criado apenas para a sessão, é utilizado para o processo de autenticação. • CHAP permite repetir o processo de validação da senha durante a conexão para evitar ataques por roubo de conexão. 2001, Edgard Jamhour

Autenticação CHAP • O processo utilizado é do tipo challenge-response: – a) O cliente envia sua identificação ao servidor (mas não a senha) – b) O servidor responde enviando ao cliente uma “challenge string”, única, criada no momento do recebimento do pedido. – c) O cliente aplica um algoritmo RSA’s MD 5 (one-way hashing), e combinado-se password e a string recebida. – d) O servidor compara a senha criptografada recebida pelo usuário aplicado a mesma operação na senha armazenada localmente. 2001, Edgard Jamhour

Autenticação no CHAP 1. Pedido de Login (Identificação) 4. VALIDAÇÃO Senha + Challenge String 2. Challenge String MD 5 2. One-Way-Hash(Passord+Challenge String) = RSA’s MD 5 5. OK 5 Senha Criptografada COMPARAÇÃO 2001, Edgard Jamhour

Autenticação por MS-CHAP • MS-CHAP: Microsoft - Challeng Hand. Shake Authentication Protocol – Técnica de autenticação proprietária da Microsoft, exclusiva para redes Windows. – Similar ao CHAP, mas utiliza técnicas de hashing RSA’s MD 4 e DES. – Permite compatibilidade com outros produtos Microsoft (Windows 3. 11, por exemplo) – Permite utilizar criptografia de dados na seção PPTP. • RSA RC 4 – 40 ou 128 bits 2001, Edgard Jamhour

Autenticação no MS-CHAP 4. VALIDAÇÃO 1. Pedido de Login (Identificação) Senha + Challenge String 2. Challenge String MD 5 2. One-Way-Hash(Passord+Challenge String) = RSA’s MD 4 5 Senha Criptografada 5. OK COMPARAÇÃO 6) SENHA => CHAVE SIMÉTRICA RSA – RC 4 (40 OU 128 BITS) 2001, Edgard Jamhour

Criptografia de Dados • Uma conexão PPTP nem sempre implica em criptografia de dados. – Esta opção deve ser selecionada no servidor RAS para que a criptografia seja utilizada. – Apenas o modo MS-CHAP suporta criptografia. • Criptografia PPTP – O algorítmo de hashing MD 4 gera uma chave de sessão de 40 bits. – O algorítmo RSA’s RC 4, com a chave de 40 bits é utilizado para criptografar os dados. • OBS. – A versão americana do NT inclui um módulo de criptografia forte, com chaves de 128 bits, instalado com o service pack 2 ou superior. 2001, Edgard Jamhour

Password Authentication Protocol (PAP) • Para que o processo de autenticação possa ocorrer, é necessário que o processo de autenticação que seja conhecido pelo cliente e pelo servidor. • O método de autenticação PAP é o mais simples de todos. Utiliza passwords transmitidos em texto aberto, e é suportado pela maioria dos servidores PPP utilizados pelos ISP’s. – PAP não deve ser utilizado em VPN, pois compromete todo processo de segurança da conexão. – A única razão de existir é permitir que servidores ou clientes que não suportam CHAP ou MS-CHAP possam estabelecer conexões PPTP. 2001, Edgard Jamhour

L 2 TP: Layer Two Tunneling Protocol • Baseado nos Protocolos: – PPTP – L 2 F • As mensagens do protocolo L 2 TP são de dois tipos: – Mensagens de controle: • Utilizadas para estabelecer e manter as conexões – Mensagens de dados: • Utilizadas para transportar informações 2001, Edgard Jamhour

PPTP e L 2 TP • PPTP: – Utiliza uma conexão TCP para negociar o túnel, independente da conexão utilizada para transferir dados. – No Windows 2000, por exemplo, o cliente e o servidor utilizam a porta TCP 1723 para negociar os túneis PPTP. – Não possui mecanismos fortes de integridade dos pacotes (baseiase apenas no PPP). – Túneis são usualmente criados pelo cliente. • L 2 TP: – Envia tanto as mensagens de controle quanto os dados encapsulados em datagramas UDP. – No Windows 2000, por exemplo, o cliente e o servidor utilizam a porta UDP 1701 para negociar os túneis L 2 TP. – Túneis são usualmente criados automaticamente pelo NAS. 2001, Edgard Jamhour

Tunelamento L 2 TP • O tunelamento no L 2 TP é feito com o auxílio do protocolo UDP. • Observe como o L 2 TP é construído sobre o protocolo PPP. 2001, Edgard Jamhour

Tipos de VPN de Acesso • As VPNs de acesso podem ser de dois tipos, dependendo do ponto onde começa a rede segura: A) Iniciada pelo Cliente B) Iniciada pelo Servidor de Acesso a Rede (NAS) 2001, Edgard Jamhour

Iniciada pelo Cliente PPTP MODEM USUÁRIO REMOTO PPP REDE TELEFÔNICA MODEM NAS PSTN MODEM ISP SERVIDOR EMPRESA INTERNET PROVEDOR DE ACESSO A INTERNET TUNEL 2001, Edgard Jamhour

Iniciada pelo Servidor de Acesso a Rede (NAS) MODEM PPP MODEM USUÁRIO REMOTO PPP REDE TELEFÔNICA PSTN NAS MODEM ISP PPTP SERVIDOR INTERNET PROVEDOR DE ACESSO A INTERNET TUNEL EMPRESA 2001, Edgard Jamhour

Conexão L 2 TP Típica MODEM PPP MODEM USUÁRIO REMOTO PSTN PPP MODEM LAC MODEM LNS INTERNET USUÁRIO REMOTO LAC: L 2 TP Access Concentrator LNS: L 2 TP Network Server L 2 TP TUNEL EMPRESA 2001, Edgard Jamhour

L 2 TP • Possui suporte as seguintes funções: – Tunnelamento de múltiplos protocolos – Autenticação – Anti-spoofing – Integridade de dados • Certificar parte ou todos os dados – Padding de Dados • Permite esconder a quantidade real de dados Transportados • Não possui suporte nativo para criptografia. 2001, Edgard Jamhour

IPSec – IP Seguro • Protocolo projetado pelo IETF para permitir comunicações seguras no interior de redes TCP (IPv 4 ou IPv 6). • Possui dois modos de utilização: – Modo túnel • Adiciona o cabeçalho de tunelamento e um cabeçalho de controle. – Modo transporte • Adiciona apenas o cabeçalho de controle. 2001, Edgard Jamhour

Elementos do IPSec • IP Autentication Header (AH( – Integridade, Autenticação da Origem de Dados e evita interceptação de pacotes • IP Encapsulating Security Payload (ESP( – Confidencialidade, Integridade, Autenticação da Origem e evita interceptação de pacotes. • Internet Security Association and Key Management Protocol (ISAKMP( – Implementa o gerenciamento de chaves. 2001, Edgard Jamhour

IPSec : Estrutura IPv 4 IP TCP/UDP DADOS IPv 4 com autenticação IP AH TCP/UDP DADOS IPv 4 com autenticação e tunelamento AH: calculado sobre todos os dados que não são alterados durante o trajeto do pacote IP AH IP TCP/UDP DADOS IPv 4 com autenticação e criptofafia IP ESP HEADER TCP/UDP DADOS ESP TRAILER ESP AUTH criptografado autenticado 2001, Edgard Jamhour

Security Associations • Antes que os dados possam ser trocados de forma segura, um contrato, denominado “SECURITY ASSOCIATION (SA)”, deve ser estabelecido entre dois computadores. • Num SA, ambos os computadores concordam em como trocar e proteger a informação, definindo: – Tipo de autenticação, Tipo de criptografia, Algoritmo de Criptografia, Tamanho da Chave, etc. 2001, Edgard Jamhour

Distribuição de Chaves no IPsec • A distribuição de chaves no IPsec é implementado de forma independente do protocolo, na forma de uma aplicação. O ISAKMP (Definido em RFC), tornou-se o principal padrão para distribuição de chaves em redes heterogêneas. 2001, Edgard Jamhour