IPsec: IP Seguro Edgard Jamhour 2003, Edgard Jamhour IP Sec - IP Seguro • Padrão aberto baseado em RFC (IETF). – Comunicação segura em camada 3 (IPv4 e IPv6) – Provê recursos de segurança sobre redes IP: • Autenticação, Integridade e Confidencialidade • Dois modos de funcionamento: – Modo Transporte – Modo Túnel • Dois Protocolos (Mecanismos) – IPsec ESP: IP Encapsulating Security Payload (50) – IPsec AH: IP Autentication Header (51) 2003, Edgard Jamhour Implementação do IPsec • IPsec pode ser implementado de três formas: – Como um driver – Reescrevendo-se o código do protocolo IP – Dispositivo externo "Bump-in-the-wire" (BITW) IP IPsec Driver IP/IPsec Nativo Enlace Enlace (Driver da Placa de Rede) (Driver da Placa de Rede) Sistemas Operacionais Roteadores 2003, Edgard Jamhour Tipos de IPSec • IP Autentication Header (AH) – Oferece recursos de: • Autenticação • Integridade • IP Encapsulating Security Payload (ESP) – Oferece recursos de: • Confidencialidade • Autenticação • Integridade 2003, Edgard Jamhour Modos de Utilização do IPsec • Modo transporte – Garante a segurança apenas dos dados provenientes das camadas superiores. – Utilizado geralmente para comunicação "fim-a-fim" entre computadores. • Modo tunel – Fornece segurança também para a camada IP. – Utilizado geralmente para comunicação entre roteadores. 2003, Edgard Jamhour Modo Tunel e Transporte INTERNET Conexão IPsec em modo Transporte INTERNET Conexão IPsec em modo Túnel 2003, Edgard Jamhour Modos de Utilização do IPsec Rede Confiável Rede não Confiável Gateway Seguro Rede Confiável Gateway Seguro Rede não Confiável Host Rede Confiável Gateway Seguro Rede não Confiável Host Host 2003, Edgard Jamhour Modo AH • Definido pelo protocolo IP tipo 51 • Utilizando para criar canais seguros com autenticação e integridade, mas sem criptografia. • Permite incluir uma “assinatura digital” em cada pacote transportado. • Protege a comunicação pois atacantes não conseguem falsificar pacotes assinados. 2003, Edgard Jamhour AH e Modo Túnel e Modo Transporte IPv4 IP TCP/UDP DADOS IP Normal IPv4 com autenticação IP AH TCP/UDP DADOS Modo Transporte IPv4 com autenticação e tunelamento IP AH IP TCP/UDP DADOS Modo Tunel Especifica os Computadores Especifica os Gateways nas Pontas do Tunnel 2003, Edgard Jamhour Authentication Header • Provê serviços de autenticação e Integridade de Pacotes. 1 byte Next Header 1 byte Length 1 byte reserved 1 byte reserved SPI: Security Parameter Index Sequence Number Authentication Data (ICV: Integrity Check Value) Campo de Tamanho Variável, depende do protocolo de autenticação utilizado 2003, Edgard Jamhour Campos do IPsec AH • Next Header: – Código do protocolo encapsulado pelo IPsec, de acordo com os códigos definidos pela IANA (UDP, TCP, etc ...) • Length: – comprimento do cabeçalho em múltiplos de 32. • Security Parameter Index: – identificador de 32 bits, com a SA compartilhada pelo transmissor e pelo receptor. • Authentication Data: – Código de verificação de integridade (ICV) de tamanho variável, depende do protocolo utilizado. 2003, Edgard Jamhour Campos do IPsec AH • Sequence Number: – Numero incremental, que começa a contagem quando o SA é criada. – Permite que apenas 232-1 pacotes sejam transmitidos na mesma SA. Após esse número, uma nova SA deve ser criada. SPI=deAparaB SPI=deBparaA negociam SA e definem SPI SPI=deBparaA SPI=daAparaB. SPI=deAparaB e SN=1 Host A SPI=deAparaB e SN=2 Host B SPI=deBparaA e SN=1 ... 2003, Edgard Jamhour Authentication Data • Para enviar um pacote: 1. O transmissor constrói um pacote com todos os campos IP e protocolos das camadas superiores. 2. Ele substitui todos os campos que mudam ao longo da transmissão com 0’s (por exemplo, o TTL) 3. O pacote é completado com 0’s para se tornar múltiplo de 16 bits. 4. Um checksum criptográfico é computado para concatenação: – Algoritmos: HMAC-MD5 ou HMAC-SHA-1 – MAC: Message Authentication Code 2003, Edgard Jamhour Autenticação • Para receber um pacote: 1. O receptor utiliza o SPI para determinar qual o algoritmo a ser utilizado para validar o pacote recebido. 2. O receptor substitui os campos mutáveis por “0” e calcula o checksum criptográfico do pacote. 3. Se ele concordar com o checksum contido no cabeçalho do pacote de autorização, ele é então aceito. Algoritmo de Integridade IP AH TCP/UDP ICV iguais? DADOS ICV 2003, Edgard Jamhour Negociação Diffie-Hellman • O IPsec utiliza a negociação Diffie-Hellman para criar uma chave de sessão (simétrica) entre os hosts da comunicação segura. • O protocolo Diffie-Hellman é composto de três fases: – Fase 1: • Cada host gera uma chave pública a partir de parâmetros précombinados (Diffie-Helman parameters) e um número aleatório secreto. – Fase 2: • Os hosts trocam as chaves públicas – Fase 3: • A chave de sessão é calculada a partir das chaves públicas e dos números aleatórios secretos. 2003, Edgard Jamhour Algoritmo Diffie-Hellman • 1) Cada host obtém os parâmetros "Diffie-Hellman“ (podem ser hard-coded). – Um número primo 'p' (> 2) e uma base g (numero inteiro < p). • 2) Cada host gera um número privado X < (p – 1). • 3) Cada host gera sua chave pública Y: – Y = g^X % p • 4) Os hosts trocam as chaves públicas e calculam a chave secreta Z. – Zb = Ya^Xb % p e Za=Yb ^Xa % p • Matematicamente Z é idêntica para ambos os hosts: Za = Zb 2003, Edgard Jamhour Diffie-HellMan 1. Segredo Pré-Compartilhado (um número primo e um número inteiro , podem estar no código) 2a. gera a chave pública Y a partir do segredo e de um número aleatório X. A B 3a. envia a chave pública Y para B 2b. gera a chave pública Y’ a partir do segredo e de um número aleatório X’. 3b. envia a chave pública Y’ para A 4a. gera a chave de sessão Z usando Y’ e X 4b. gera a chave de sessão Z usando Y e X’ 2003, Edgard Jamhour Negociação (Simplificada) lista de algorítmos desejados: MD5, SHA1 algoritmo aceito: SHA1 negociação Diffie-Hellman (chave de pública de A) B A negociação Diffie-Hellman (chave de pública de B) SA associação de segurança (chave sessão + algoritmo) SPI Identidade Criptografada (chave de sessão) Algoritmos MD5 SHA1 Identidade Criptografada (chave de sessão) Algoritmos SHA1 SA associação de segurança (chave sessão + algoritmo) SPI 2003, Edgard Jamhour Associação de Segurança • SA: Associação de Segurança – Contrato estabelecido após uma negociação que estabelece como uma comunicação IPsec deve ser realizada. • Algoritmo de Autenticaçã/Criptografia • Chave de Sessão • SPI: Secure Parameter Index • Número inteiro (32 bits) que identifica um SA. • É transmitido junto com os pacotes IPsec para permitir ao destinatário validar/decriptografar os pacotes recebidos. 2003, Edgard Jamhour Transmissão dos Dados comparação SPI=5 assinatura Algo SHA1 DADOS IP AH A Quando transmitir para B use SPI=5 SPI=5 algo. SHA1 chave: xxxx SPI=5 assinatura IP AH assinatura Algo SHA1 DADOS B SPI=5 algo. SHA1 chave: xxxx 2003, Edgard Jamhour AH Modo Tunel e Transporte IPsec AH SA IPsec AH IPsec AH IPsec AH IPsec AH SA INTERNET Conexão IPsec em modo Transporte IPsec AH IP SA IPsec AH IP IPsec AH INTERNET SA IP IP Conexão IPsec em modo Túnel 2003, Edgard Jamhour ESP IPSec : Tunel e Transporte MODO TRANSPORTE autenticado criptografado IP ESP HEADER IP IP ESP HEADER IP TCP UDP DADOS TCP UDP DADOS TCP UDP DADOS ESP TRAILER ESP AUTH ESP TRAILER ESP AUTH criptografado autenticado MODO TUNNEL 2003, Edgard Jamhour Encrypted Security Payload Header • ESP provê recursos de autenticação, integridade e criptografia de pacotes. 1 byte 1 byte 1 byte 1 byte Security Parameter Index HEADER Sequence Number Encrypted Payload (dados criptografados) Pad (0 – 255 bytes) Authentication Data (tamanho variável) Pad Length Next Header TRAILER AUTH 2003, Edgard Jamhour Campos do IPsec ESP • Header: – SPI e Sequence Number: Mesmas funções do AH – O algoritmo de criptografia pode ser qualquer, mas o DES Cipher-Block Chaining é o default. • Trailler: – Torna os dados múltiplos de um número inteiro, conforme requerido pelo algoritmo de criptografia. – O trailler também é criptografado. • Auth: – ICV (Integrity Check Value) calculado de forma idêntica ao cabeçalho AH. Este campo é opcional. 2003, Edgard Jamhour Negociação lista de algorítmos desejados: 3DES, DES algoritmo aceito: DES negociação Diffie-Hellman (chave de pública de A) C A negociação Diffie-Hellman (chave de pública de C) SA associação de segurança (chave sessão + algoritmo) SPI Identidade Criptografada (chave de sessão) Algoritmos 3DES DES Identidade Criptografada (chave de sessão) Algoritmos DES SA associação de segurança (chave sessão + algoritmo) SPI 2003, Edgard Jamhour Transmissão dos Dados DES com chave yyyy DES com chave yyyy SPI=6 SPI=6 IP ESP DADOS CRIPTO. A Quando transmitir para C use SPI=6 SPI=6 algo. DES chave: yyyyy ESP enchimento IP DADOS CRIPTO. ESP C ESP enchimento SPI=6 algo. DES chave: yyyy 2003, Edgard Jamhour ESP Modo Tunel e Transporte IPsec ESP SA IPsec ESP IPsec ESP IPsec ESP IPsec ESP SA INTERNET Conexão IPsec em modo Transporte IPsec ESP IP SA IPsec ESP IP IPsec ESP INTERNET SA IP IP Conexão IPsec em modo Túnel 2003, Edgard Jamhour Configuração do IPsec • Cada dispositivo de rede (Host ou Gateway) possui uma política de segurança que orienta o uso de IPsec. • Uma política IPsec é formada por um conjunto de regras, muito semelhantes as regras de um firewall. • As políticas IPsec são definidas de maneira distinta para os pacotes transmitidos e para os pacotes recebidos. 2003, Edgard Jamhour Estrutura Geral do IPsec Administrador configura Base de Políticas refere Solicita criação do SA IKE Aplicação Protocolo Aplicação Sockets consulta Transporte (TCP/UDP) IP/IPsec(AH,ESP) Base de SAs consulta Enlace 2003, Edgard Jamhour Políticas de Segurança • Uma Política IPsec é formada por um conjunto de regras com o seguinte formato: – Se CONDICAO Satisfeita Então executar ACAO da POLÍTICA • A CONDIÇÃO (Chamada de Filtro): – define quando uma regra de Política deve ser tornar ATIVA. • A AÇÃO: – define o que deve ser feito quando a condição da REGRA for SATISFEITA. 2003, Edgard Jamhour Elementos para Configuração do IPsec Lista de Regras Ações (Ação de Filtro) Condições (Lista de Filtros) Regra de Política Política IPsec Regra de Política Regra de Política 2003, Edgard Jamhour Condição (Lista de Filtros) • Cada filtro define as condições em que uma política deve ser ativa. a) IP de origem e destino: – nome, IP ou sub-rede b) Tipo de protocolo • código IANA para TCP, UDP, ICMP, etc... c) Portas de origem e destino • se TCP/UDP 2003, Edgard Jamhour Ação • A ação define o que deverá ser feito com o pacote recebido ou transmitido. • O IPsec define 3 ações: – repassar o pacote adiante sem tratamento • ação: bypass IPsec – rejeitar o pacode • ação discard – negociar IPsec • define um modo de comunicação incluindo as opções Tunel, Transporte, IPsec ESP e IPsec AH. 2003, Edgard Jamhour Ações IPsec na Transmissão IP Regras IPsec IP IPsec Driver Bypass IP Discard Negociar IPsec IPsec ESP X • gerar assinaturas digitais • criptografar os dados IPsec AH Enlace 2003, Edgard Jamhour Ações IPsec na Recepção IP X IP IP Discard Bypass X Negociar IPsec Regras IPsec • verifica assinaturas • decriptografa IPsec Driver IPsec AH IP IPsec ESP Enlace 2003, Edgard Jamhour Negociar IPsec • Se a ação for do tipo Negociar IPsec, deve-se definir: – Obrigatoriedade: • Facultativo: aceita comunicação insegura – (se o outro não suporta IPsec). • Obrigatório: aceita apenas comunicação segura. – (rejeita a comunicação se o outro não suportar IPsec) – Tipo de IPsec: • AH(hash) ou ESP(cripto,hash) – Modo Túnel ou Modo Transporte • Se modo túnel, especificar o IP do fim do túnel 2003, Edgard Jamhour Algoritmos Utilizados • Algoritmo de Chave Pública: – Diffie-Hellman • Algoritmos de Criptografia: – DES-CBC with Explicit IV – 40-bit DES-CBC with Explicit IV – DES-CBC with Derived IV as specified in RFC 1829 • Algoritmos de Autenticação: – HMAC-MD5 – HMAC-SHA – Keyed MD5 conforme RFC 1828 2003, Edgard Jamhour Implementação de Políticas • Para que dois computadores "A" e "B" criem uma comunicação IPsec: – Computador A: • deve ter políticas IPsec para transmitir pacotes cujo endereço de destino é "B". • deve ter políticas IPsec para receber pacotes cujo endereço de origem é "B". – Computador B: • deve ter políticas IPsec para transmitir pacotes cujo endereço de destino é "A". • deve ter políticas IPsec para receber pacotes cujo endereço de origem é "A". 2003, Edgard Jamhour Ordenamento dos Regras • Uma política IPsec pode ter regras conflitantes, por exemplo: • Política ICMP – RegraSubRede: • Localhost de/para 10.26.128.0/24::ICMP negociar IPsec – RegraExceção: • Localhost de/para 10.26.128.17::ICMP passar • Existem duas abordagems para resolver esse caso: – As regras são avaliadas em ordem: a primeira ser satisfeita é utilizada (abordagem Cisco) – As regras são avaliadas da mais específica para a mais genérica, independente da ordem (abordagem Microsoft). 2003, Edgard Jamhour Priorização • Idealmente, as regras deveriam ser avaliadas de acordo com a granulariadade dos filtros: 1. 2. 3. 4. • My IP Address Specific IP Address defined Specific IP Subnet Any IP Address A mesma abordagem vale em relação as portas e protocolos: 1. Specific Protocol/Port combination 2. Specific Protocol/Any Port 3. Any Protocol – Em implementações em que o ordenamento não é automático, cabe ao administrador da rede escolher a ordem. 2003, Edgard Jamhour Política Default • Assim como um firewall, também é possível estabelecer uma política default para o IPsec. • A políticas default será aplicada quando as condições do pacote não forem satisfeitas por nenhuma das regras prédefinidas. • A política default pode ser: – Bloquear – Bypass IPsec – Negociar IPsec em vários modos: • IPsec ESP 3DES, SHA1 • IPsec ESP DES, MD5 • AH SHA1 • AH MD5 2003, Edgard Jamhour Exemplo 1: Política 1 para ICMP • Objetivo: – Evitar ataques ICMP com spoofing. • Política: Para o HOST B: – Apenas mensagens ICMP vindas da subrede 192.168.1.0/24 em modo IPsec AH são aceitas. – Se o solicitante não suporta IPsec, então a comunicação é Rejeitada 2003, Edgard Jamhour Exemplo de Política Transporte: ICMP 2 REGRAS REDE A REDE_A HOST_B ICMP HOST_B REDE_A ICMP HOST B ICMP 192.168.1.7 ICMP (AH) rede 192.168.1.0/24 2003, Edgard Jamhour Política para o HOST B Modo IP Origem IP Destino Protocolo Porta Origem Porta Destino Acao 2003, Edgard Jamhour Política para os Clientes Modo IP Origem IP Destino Protocolo Porta Origem Porta Destino Acao 2003, Edgard Jamhour Expandindo a política: Acesso HTTP • Objetivo: – Possibilitar que usuários da Intranet possam estabelecer comunicação em modo seguro, com criptografia de dados. • Política: Para o HOST B: – Apenas o acesso da subrede 192.168.1.0/24 em modo IPsec ESP é permitido. – Se o solicitante da rede interna não suporta IPsec, então a comunicação pode ocorrer sem IPsec. – Se o solicitante pertencer a uma outra subrede, então a comunicação é bloqueada. 2003, Edgard Jamhour Acesso HTTP 2 REGRAS REDE A REDE_A HOST_B HTTP HOST_B REDE_A HTTP HTTP HOST B HTTP (ESP) 192.168.1.7 HTTP 192.168.1.0 2003, Edgard Jamhour Política para o HOST B Modo IP Origem IP Destino Protocolo Porta Origem Porta Dest. Acao 2003, Edgard Jamhour Política para os Clientes Modo IP Origem IP Destino Protocolo Porta Origem Porta Dest. Acao 2003, Edgard Jamhour Políticas Básicas • Algumas implementações de IPsec, como no Windows 2000 oferecem ações pré-definidas para facilitar a configuração das regras. – Sem IPsec – Client (Respond Only) • Implementa IPsec apenas se exigido pelo Servidor. – Secure Server (Require Security) • Efetua apenas comunicação IPsec. • Rejeita conexões com clientes que não suportam IPsec. – Server (Request Security) • Solicita sempre comunicação IPsec. • Aceita conexões sem segurança se o cliente não suportar IPsec. 2003, Edgard Jamhour Políticas Básicas Não Fala IPsec Request Security Cliente IPsec Require Security CLIENTE SERVIDOR 2003, Edgard Jamhour Pergunta: • Que política Básica deve ser configurada nos hosts da rede A para que eles possam acessar o servidor HTTP em modo IPsec? • RESPOSTA: – – – – Sem IPsec: Cliente: Request Security Require Security 2003, Edgard Jamhour Exemplo de Política Túnel • Cenário: Host A 192.168.8.1 192.168.1.7 Gateway default 192.168.8.0/24 Rede A Host B ESP (túnel, obrigatório) 192.168.9.1 192.168.2.7 192.168.9.0/24 Rede B 2003, Edgard Jamhour Observação: Políticas com Tunelamento • É necessário criar uma regra para enviar e outra para receber pacotes pelo túnel, em cada um dos gateways VPN. IP_B IP_A R_B R_A IP_B IP_A R_B R_A IP_A IP_B R_A R_B IP_A IP_B R_A R_B A B Rede B Rede A IP_A IP_B 2003, Edgard Jamhour Objetivos da Política • Permitir que duas redes da organização troquem informação em modo seguro. • A informação deve ser criptograda enquanto estiver transitando entre as duas redes. • Apenas os hosts pertencentes as subredes 192.168.8.0/24 e 192.168.9.0/24 podem utilizar o canal VPN. 2003, Edgard Jamhour Política para o Gateway A Modo IP Origem IP Destino Protocol Porta Origem Porta Dest. Acao 2003, Edgard Jamhour Política para o Gateway B Modo IP Origem IP Destino Protocol Porta Origem Porta Dest. Acao 2003, Edgard Jamhour Security Association (SA) • Dois computadores podem possuir um conjunto amplo de políticas para transmissão e recepção de pacotes. • É necessário encontrar uma política que seja comum ao transmissor e ao receptor. Eu transmito para qualquer rede sem IPsec Eu transmito para qualquer rede em IPsec AH MD5 Eu aceito pacotes de qualquer rede em com IPsec AH MD5 A B Eu transmito para qualquer rede em IPsec AH MD5 Eu transmito para qualquer rede em IPsec AH SHA1 Eu aceito pacotes de qualquer rede em com IPsec AH MD5 Eu aceito pacotes de qualquer rede em com IPsec AH SHA1 2003, Edgard Jamhour Security Association • Uma vez definida uma política comum a ambos os computadores, uma associação de segurança (SA) é criada para “lembrar” as condições de comunicação entre os hosts. • Isso evita que as políticas sejam revistas pelo IPsec a cada novo pacote recebido ou transmitido. • Cada pacote IPsec identifica a associação de segurança ao qual é relacionado pelo campo SPI contido tanto no IPsec AH quanto no IPsec ESP. 2003, Edgard Jamhour Negociação de SA’s • A negociação de SA e o gerenciamento de chaves é implementado por mecanismos externos ao IPsec. • A única relação entre esses mecanismos externos e o IPsec é através do SPI (Secure Parameter Index). • O gerenciamento de chaves é implementado de forma automática pelo protocolo: – IKE: Internet Key Exchange Protocol 2003, Edgard Jamhour Distribuição de Chaves no IPsec • A distribuição de chaves no IPsec é implementado de forma independente do protocolo, na forma de uma aplicação. UDP 500 2003, Edgard Jamhour Princípios para Criação das SA • Princípio: – Todo dispositivo que estabelece um SA deve ser previamente autenticado. – Toda informação trocada para criar os SA’s deve ser autenticada e criptografada. • IKE: – Autenticação de “peers” numa comunicação IPsec. • Através de segredos pré-definidos. • Através do Kerberos. • Através de Certificados. – Negocia políticas de segurança. – Manipula a troca de chaves de sessão. 2003, Edgard Jamhour IPsec faz uma negociação em Duas Fases • FASE 1: – Criação de uma SA Temporária – Cria um canal seguro temporário para Negociação da SA Definitiva. • FASE 2: – Criação de uma SA Permanente – Cria o canal seguro para transmissão dos dados. • O driver IPsec: • Verifica mudanças de política a cada 180 minutos. • Refaz a autenticação a cada 480 minutos • Pode reutilizar ou não a chave mestra da Fase 1 para gerar novas chaves de sessão em comunicações seguras com o mesmo computador. 2003, Edgard Jamhour Fases de Criação da SA FASE 1: Autenticação Utiliza um SA temporário (ISAKMP AS) 1. Policy Negotiation – Determina: o O Algoritmo de criptografia: DES, 3DES, 40bitDES, ou nenhum. o O Algoritmo de integridade: MD5 or SHA. o O Método de autenticação: Public Key Certificate, preshared key, or Kerberos V5. o O grupo Diffie-Hellman. 2003, Edgard Jamhour Fases de Criação da SA 2. Key Information Exchange o Utiliza Diffie-Helman para trocar um segredo compartilhado 3. Authentication o Utiliza um dos mecanismos da fase 1 para autenticar o usuário. 2003, Edgard Jamhour Fases de Criação da SA FASE 2: Criação do SA para IPsec – Define o SA que será realmente usado para comunicação segura 1. Policy Negotiation – Determina: o O protocolo IPsec: AH, ESP. o O Algoritmo de Integridade: MD5, SHA. o O Algoritmo de Criptografia: DES, 3DES, 40bitDES, or none. 2. O SA e as chaves são passadas para o driver IPsec, junto com o SPI. 2003, Edgard Jamhour Modos de Utilização do IPsec SA SA Rede Confiável Rede não Confiável Gateway Seguro Rede Confiável Gateway Seguro SA SA Rede não Confiável Host Rede Confiável Gateway Seguro SA SA Rede não Confiável Host Host 2003, Edgard Jamhour Combinação de SA (SA bundle) • As funcionalidades oferecidas nos modos Túnel, Transporte AH e ESP não são idênticas. • Muita vezes são necessárias mais de uma SA para satisfazer os requisitos de segurança de uma comunicação segura. SA Tunnel com ESP INTERNET SA Transporte com AH 2003, Edgard Jamhour Tunelamento Múltiplo (Iterate Tunneling) • IPsec permite criar várias camadas de tunelamento terminando em end points diferentes. INTERNET 2003, Edgard Jamhour Combinação de SA’s Associação de Segurança 1 Associação de Segurança 2 Rede não Confiável Rede não Confiável Associação de Segurança 2 Associação de Segurança 1 Rede não Confiável Rede não Confiável 2003, Edgard Jamhour Configuração do Firewall • Os firewalls devem ser configurados para: • 1) Liberar a porta usada pelo IKE para negociação do IPsec: • IKE usa a porta UDP 500 • 2) Liberar os protocolos IPsec: • ESP: Protocolo IP tipo 50 • AH: Protocolo IP tipo 51 2003, Edgard Jamhour IPsec e L2TP • O IPsec realiza apenas tunelamento em camada 3. • Isto implica que apenas protocolos da pilha TCP/IP podem ser transportados pelo IPsec. • Uma técnica comum consiste em combinar o L2TP e o IPsec para criar tuneis de camada 2, capazes de transportar qualquer tipo de protocolo. 2003, Edgard Jamhour Tunelamento L2TP com IPsec • L2TP e IPsec podem ser combinados para implementar um mecanismo completo de VPN para procotolos de rede diferentes do IP, como IPx e NetBEUI. 2003, Edgard Jamhour Conclusão • IPsec é uma extensão de segurança para o protocolo IP definido pelo IETF, que permite criar políticas que servem tanto para intranets quanto para extranets. • IPsec define mecanismos que são padronizados tanto para IPv4 (IPsec é facultativo) quanto para IPv6 (neste caso, IPsec é mandatório). • Existem críticas sobre o modo atual de operação do IKE em dua fases, bem como o uso do protocolo AH. Esses temas são sujeitos a revisões futuras 2003, Edgard Jamhour Padrões Relacionados ao IPsec • RFC 2401 : – Security Architecture for the Internet Protocol • RFC 2402: – IP Authentication Header • RFC 2403: – The Use of HMAC-MD5-96 within ESP and AH • RFC 2404: – The Use of HMAC-SHA-1-96 within ESP and AH • RFC 2405: – The ESP DES-CBC Cipher Algorithm With Explicit IV 2003, Edgard Jamhour Padrões Relacionados ao IPsec • RFC 2406: – IP Encapsulating Security Payload (ESP) • RFC 2407: – The Internet IP Security Domain of Interpretation for ISAKMP • RFC 2408: – Internet Security Association and Key Management Protocol (ISAKMP) • RFC 2409: – The Internet Key Exchange (IKE) 2003, Edgard Jamhour