IPSEC e Kérberos

Instituto Ensinar Brasil

Faculdades Unificadas Doctum de Cataguases

Protocolos de Segurança

IPSec e Kerberos

Trabalho em equipe

Leandro Guedes

Jordan Rodrigues

Mauro Lúcio

Cataguases

2015

Introdução

Este trabalho tem como objetivo agregar conhecimento ao leitor sobre os protocolos IPSec e Kerberos que são protocolos de Segurança de Redes, abordaremos individualmente diversos assuntos sobre estes protocolos, tais como o porquê de seus desenvolvimentos, seu objetivo, suas funções, como ambos funcionam e em que são usados nos dias de hoje.

Referencial Teórico

IPSEC

Internet Security Protocol mais conhecido como IPSec é uma extensão do protocolo IP considerada também a quarta versão do protocolo TCP/IP. O IPSec tem como objetivo ser o método padrão para o fornecimento de privacidade do usuario, garantindo confiabilidade, integridade, e autenticidade das informações do usuário para um endereço na internet

• Confiabilidade: Garante com que as informações cheguem ao seu local de destino com segurança.

• Integridade: Garante que as informações enviadas sejam as mesmas a serem recebidas.

• Autenticidade:  Utiliza prevenção de identity spoofing Garante que a pessoa é quem diz ser quando está conectado na internet através de um IP.

O IPSec garante a segurança atuando na Camada de Rede (camada 3 do modelo OSI), é obrigatório quando usado no IPv6 e opcional no IPv4

Foi criado pelo IETF (Internet Engineering Task Force) com o objetivo inicial de endereçar o problema de segurança na internet

Os primeiros protocolos compreendendo IP seguro, autenticação e cifragem de datagramas foram publicados em 1995 nas RFCs 1825 e 1829. Estas duas RFCs previam o uso de dois tipos de cabeçalhos para serem utilizados nos datagrama IP

IETF (Internet Enginnering Task Force): instituição que especifica os padrões que serão implementados e utilizados em toda a internet.

RFC: São documentos técnicos desenvolvidos e mantidos pelo IETF.

Datagramas IP também conhecidos como Pacotes são a unidade fundamental na comunicação de redes IP.

O IPsec possui 2 cabeçalhos, sendo eles o de autenticação (AH) e o de encapsulamento de segurança de carga útil (ESP), que lida com a criptografia do conteúdo do pacote. O IPSec tem compatibilidade com o IPv6 devido seu desenvolvimento ter sido feito em paralelo ao do IPv6. Porém como a implementação do IPv6 está sendo muito lenta. Houve uma adaptação do IPSec para o IPV4.

A figura abaixo mostra como são os cabeçalhos do IPv4 e IPv6 antes de se aplicar o IPSec.

[pic 1]

Implementação do IPSec

Pelo fato do IPSec ser desenvolvido para o IPv6 e ser usado também no IPv4 é necessário a utilização de pilhas especiais responsáveis por essa adaptação. Porém na medida que o IPv6 for implementado a utilização dessas pilhas de compatibilidade será cada vez menor. Existem várias formas de implementação para o IPSec, sendo elas em servidores, roteadores e firewalls, as formas mais comuns são:

• Integração do IPSec na Implementação nativa da pilha TCP/IP

Isto requer acesso ao código fonte e pode ser implementado tanto em servidores quanto gateways de segurança.

• Implementação chamada como Bump-In-The-Stack (BITS)

O IPSec é implementado sob a pilha TCP/IP já existente, a implementação ocorre entre a camada de IP nativa, e o Driver da rede local existente. Neste caso, não é necessário o acesso ao código fonte, tornando assim está implementação o tipo ideal para sistemas legados. Esta implementação é utilizada usualmente em Servidores.

• Implementação chamada com Bump-In-The-Wire (BITW)

Quando se faz o uso de um dispositivo físico dedicado para a criptografia em sistemas militares e comerciais dedicados. Normalmente o dispositivo é endereçável na camada IP, e pode ser encontrado em Gateways e servidores.

Quando o BITW é implementado em um único servidor ele é análogo ao BITS e quando implementado a um roteador ou FireWall ele deve operar como gateway de segurança

Sistema legado é o termo referente aos sistemas computacionais de uma organização que, apesar de serem bastante antigos, fornecem serviços essenciais. Geralmente utilizam bancos de dados obsoletos. Normalmente são aplicações complexas, de difícil manutenção e que pelo grau de criticidade e custo para modernização, continuam ativas.

Protocolos Criptográficos

O protocolo IPSec foi construído baseado em determinados padrões de criptografia para garantir a confidencialidade, integridade e autenticação dos dados, são eles

• Protocolo Diffie-Hellman para troca de senha secreta entre duas partes quaisquer pela rede publica

• Criptografia de chave pública para validar as trocas pelo Diffie-HellMan        , atua para garantir as identidades de ambas as partes evitando assim os ataques conhecidos como “Man in the middle”.

• DES e 3DES e outros protocolos de criptografia.

• Algoritmos de resumo digital (HASH) para autenticação dos pacotes, como HMAC, MD5 e SHA-1.

• Certificados digitais para validação de chaves públicas.

Chave publica

A criptografia de chave pública é usada para 'assinar' informações digitais, usadas para atestar e autenticar pessoas, usuários e serviços, ou seja, para sabermos com certeza quem é quem.

Modos de funcionamento do IPSec

O IPSec trabalha em dois modos, são eles, modo de transporte, modo túnel.

• Modo de transporte

No modo de transporte, apenas o segmento da camada de transporte é processado, autenticado e criptografado. É aplicável para implementações em servidores e gateways, protegendo as camadas superiores de protocolos. O cabeçalho AH é inserido após o cabeçalho IP e antes do protocolo de camada Superior (TCP, UDP, IMCP). Os endereços IP de origem e destino ainda estão abertos para modificação, caso os pacotes sejam interceptados.

...