IPSEC Flashcards
IPSEC - Conceitos
IPSEC - Definição
IPSEC - Características
IPSEC - Elementos
Cabeçalho de Autenticação – AH (Authentication Header)
Cabeçalho de Encapsulamento do payload – ESP (Encapsulation Securty Payload)
Protocolo de negociação e troca de chaves - IKE (Internet Key Exchange)
Cabeçalho de Autenticação – AH (Authentication Header)
O AH é aplicado para finalidade de autenticidade e integridade, mas não de confidencialidade! Assim,
ele fornece a integridade dos pacotes e a garantia de sua origem.
A autenticidade do AH abrange tanto o cabeçalho IP quanto os dados.
Outro ponto a ser mencionado é em relação ao acréscimo de elementos na estrutura do pacote original. Para o AH, é suficiente o acréscimo de um cabeçalho posicionado no meio do pacote IP.
Uma vantagem de se utilizar o AH de forma obrigatória é a capacidade de se exigir parâmetros do AH específicos que impossibilitam ataques do tipo DoS ou DDoS, uma vez que esses pacotes gerados para o ataque não atenderão aos requisitos estabelecidos e serão descartados.
Cabeçalho de Encapsulamento do payload – ESP (Encapsulation Securty Payload)
O ESP é aplicado para suprir as três necessidades: confidencialidade, integridade e autenticidade.
Em relação à autenticidade, temos uma diferença em relação ao AH, pois no ESP, ela só se aplica aos dados, não contemplando, portanto, o cabeçalho IP.
Outro ponto de diferença é que, enquanto o AH apenas acrescenta um cabeçalho no pacote original, o ESP se utiliza de três partes: cabeçalho ESP, ESP Trailer e ESP Authentication. Os dois últimos são acrescentados após o payload do pacote IP. Veremos essa organização de forma visual logo mais.
IPSEC - Comparação AH e ESP
Associação de Segurança – AS – Security Association
- SPI (Security Parameter Index) - SPI é um número(index) que identifica a associação de segurança(SA), sendo definido antes de estabelecer essa associação. Sendo assim, todos os membros dessa associação devem saber qual é o SPI para usá-lo na comunicação.
- Endereço IP de Destino - *Endereço IP de destino pode ser unicast(1 receptor), multicast(múltiplos receptores) ou broadcast(toda a rede). Portanto, o IPSec assume como unicast, replicando o fluxo de dados tantas vezes quantos forem os receptores.
- Identificador do Protocolos (AH ou ESP)
AS/AH - proteção contra ataques
Este protocolo previne múltiplos ataques. Entre eles estão:
- Replay: O interceptador não consegue replicar e reenviar o pacote, pois o campo Sequence Number
numera os pacotes que trafegam dentro de uma SA. - Spoofing: O mecanismo de autenticação do AH não permite que o atacante se passe por um emissor
confiável. - Connection hijacking: Quando o interceptador invade o contexto de uma conexão e participa dela.
O mecanismo de autenticação do AH também não permite esse ataque.
AS/ESP - proteção contra ataques
Ataques
- Replay: com a utilização do campo Sequence Number, do mesmo jeito do AH;
- Interceptação por particionamento de pacotes: Isso acontece quando o atacante consegue
particionar pacotes, formando um novo que pode ser aceito por membros da conexão. A
autenticação previne esse ataque; - Sniffer: Quando interceptador obtém pacotes trafegando na rede. O uso da criptografia não
permite esse tipo de ataque.
Para consolidarmos as diferenças do AH e do ESP, segue uma pequena tabela:
fases ou modos do IKE
Main Mode: Corresponde à fase 1 do IKE estabelecendo o canal seguro para a fase seguinte. Gera-se nessa fase o IKE SA – Security Association.
Agressive Mode: Corresponde também à fase 1 do IKE, porém é mais simples e mais rápido que o MAIN MODE, pois não fornece proteção às identidades dos hosts que estão se comunicando. Isso ocorre porque as identidades são transmitidas juntamente com as solicitações de negociação, sem que um canal seguro seja criado antes, estando, assim, susceptível a ataques de interceptação.
Quick Mode: Corresponde à fase 2 do IKE sendo a comunicação estabelecida para a negociação do SA. Após a negociação do SA, as entidades estão aptas a trocar dados de forma segura. (Inexiste fase 1)
IKE fase 1
IKE fase 2
IPSEC VPN túnel
Arquitetura IPSEC - Modo Transporte
Esse é o modo nativo de implementação do IPSec. Nesse caso, tem-se uma transmissão direta dos dados protegidos entre os hosts. Toda a manipulação acontece sobre os dados, ou seja, sobre o payload do pacote IP, não contemplando, assim, o cabeçalho.
Outra característica é que o modo transporte é incorporado diretamente na pilha de protocolos TCP/IP pelos hosts envolvidos, conforme imagem a seguir:
Arquitetura IPSEC - Modo Túnel
O modo túnel é implementado por elementos intermediários na comunicação, não sendo, portanto, host a host diretamente. A ideia aqui é possibilitar que redes ou hosts utilizem a comunicação segura sem que necessitem ter o devido suporte ou configuração.
Variações dos modos IPSEC
