Comparação da Segurança Nativa entre os Protocolos IPv4 e IPv6
Ipsec
1. 1 º Hangout – ISSA Brasil CIC2
Adilson Santos da Rocha
IPSEC
Patrocínio Parceiro
2. IPSEC
É uma suíte de protocolos para comunicação segura através de
redes TCP/IP que provê autenticação e Criptografia.
ORIGEM
� Aumento do uso de protocolo da internet em grandes redes de
empresas;
� Democratização de internet;
� Facilidade de ataques.
� Padrão desenvolvido pela IETF desde 1992;
� Primeira versão lançada em 1995;
� O IPsec surgiu com o desejo de fornecer segurança no nível de IP.
� Versão melhorada, com administração dinâmica dos parâmetros
de segurança(IKE), em 1998;
� Até hoje ainda é trabalhado na IETF.
3. COMO FUNCIONA
� Opera na camada de rede;
� Processa todos os datagramas IP;
� Protege todas as aplicações de modo
transparente;
� Pode ser implementado em qualquer ponto da
rede (hospedeiros, servidores, roteadores).
Pode operar nos Modos:
Transporte
Túnel
4. PROTOCOLOS/CONCEITOS
�AH – Authentication Header
�ESP – Encapsulation Security Payload
�Ambos fazem o acordo de segurança (SA)
�IPSEC utiliza o conceito de associação de segurança SPI (Security
Parameter Index), que permite a comunicação entre duas ou mais entidades
comunicantes e descreve todos os mecanismos de segurança a serem
utilizados
5. AH - Authentication Header
Provê Autenticação da Origem
Provê autenticidade
Previne contra ataque de relay (spoofing)
Protocol
TCP
6 TCP Segment Data
Header
IPv4 Header IP Data
Next
Protocol
Header TCP
51 TCP Segment Data
6 Header
Authentication
IPv4 Header Header IP Data
Next
Protocol Protocol TCP
Header Hea TCP Segment Data
51 6
4 der
Ipv4 Header
Authentication IP Data
IPv4 Header Header
Fonte: Arquivo Pessoal Adilson Santos da Rocha
6. ESP - Encapsulating Security Payload
Provê Mesmas Funcionalidades do AH
Adiciona Confidencialidade
Protocol
TCP
6 TCP Segment Data
Header
IPv4 Header IP Data
Next
Protocol Header
TCP 4
51 TCP Data
Header
ESP ESP Auth
IPv4 Header Header Encripted Data ESP Trailer Data
Next Protoc
TC Next Header
Protocol P
4
Header ol He TCP Segment Data ESP
51 ad
4 6
er
Auth
Ipv4
IP Data Data
Authentication Header
IPv4 Header Header ESP Trailer
Fonte: Arquivo Pessoal Adilson Santos da Rocha
8. SECURITY ASSOCIATION
SAs são unidirecionais.
Para uma conexão são necessárias no mínimo duas Sas.
(inbound/outbound) para cada host associado.
É um Fator Crítico para a Arquitetura IPSEC
Ao Completar o “Handshake” os dados são Armazenados
O Gerenciamento de todas as SA é feito pelo SPI ( security parameter
index)
SA Database
Sequence number counter
Sequence counter overflow
Anti-replay window
AH or ESP information: algorithms, keys, key lifetimes
Lifetime of SA
IPSec mode: Tunnel or transport
9. ISAKMP (Internet Security Association and Key Management
Protocol)
É o Framework para troca de chaves e criação das Sas
Índepente de Algorítimo, chaves, protocolos, e modos
IKE/IKEv2 - Internet Key Exchange
Autenticação:
Usa Certificados X.509
pre-shared keys
DNS (preferência DNSSEC)
Diffie–Hellman
Fases 1
Visa estabelecer um canal seguro de comunicação usando Diffie–
Hellman
No modo Principal vida proteger a identidade dos hosts (no modo
agressivo Não)
Fase 2 só é utilizada no Quick Mode.
10. Ataques
Ataques de Sniffing e spoofing
Poucos eficazes devido a autenticação dos hosts e as SA
Ataques de Criptoanálise pouco eficientes devido ao timelife das chaves
Ataques de Replay Podem ser netralizados utilizando timelifes curtos e um
enforcement nos mecanismos de packet sequence number
BOAS Práticas
Utilizar Algorítmos fortes de Criptografia e autenticação como:
Diffie-Hellman 2048, HMAC-SHA-1 e o AES-CBC de 128 bits
Estabelecer timelifes curtos para chaves
Fortalecer os mecanismos de controle de sequencia (depende do device ou
SO utilizado).