Conceitos substanciais associados à segurança do protocolo Internet

Noções básicas sobre IPSec Part II

Protocolos e Modos de Segurança

Dada a seguir são os protocolos que fornecem serviços de segurança:

O protocolo Encapsulating Security Payload ou ESP é um protocolo dentro do IPSec que fornece criptografia (confidencialidade) e autenticação (integridade sem conexão e autenticação de origem de dados). Isso é feito criptografando e autenticando cada pacote IP de uma sessão de comunicação.

O protocolo de cabeçalho de autenticação ou AH é um protocolo dentro do IPSec que fornece tudo o que o ESP faz como integridade sem conexão e autenticação de origem de dados, mas não criptografa para garantir a confidencialidade. O cabeçalho de autenticação protege um pacote IP e também os cabeçalhos adicionais que o AH adiciona.
Esses dois protocolos podem ser aplicados sozinhos ou em conjunto para fornecer os serviços de segurança desejados. A segurança que eles fornecem depende dos algoritmos criptográficos aplicados. Eles são independentes de algoritmo, o que permite que novos algoritmos sejam adicionados sem afetar outras partes da implementação.
Esses protocolos também suportam os dois modos de IPsec: transporte e encapsulamento.

O modo Transporte protege uma carga IP nos protocolos da camada superior, como o Protocolo de datagrama do usuário e o Protocolo de controle de transmissão. Os pacotes de interceptação AH e ESP da camada de Transporte destinam-se à camada de rede, protegem o cabeçalho de transporte e fornecem a segurança configurada. O modo de transporte fornece segurança de ponta a ponta, em que o ponto de extremidade de comunicações também é o ponto de extremidade criptográfico.

O modo de túnel protege os dados encapsulando pacotes inteiros que são decapsulados por um gateway de segurança.
O modo de túnel pode ser usado com gateways de segurança, onde o destino do pacote é diferente do ponto de extremidade de segurança.

A criptografia oportunista (OE) refere-se a qualquer sistema que, ao se conectar a outro sistema, tente criptografar o canal de comunicação, caso contrário, voltará para comunicações não criptografadas. Este método não requer pré-arranjos entre os dois sistemas.

O Código de Autenticação de Mensagem é um pequeno pedaço de informação que é usado para autenticar uma mensagem, usando um algoritmo conhecido como HMAC (keyed-hash message authentication code). O HMAC toma como entrada uma parte da mensagem e uma chave secreta e produz um MAC como saída. Este valor MAC é armazenado no campo Dados de autenticação do cabeçalho AH. O cálculo ocorre em todo o segmento TCP incluído mais o cabeçalho de autenticação. Quando este pacote IP é recebido no destino, o mesmo cálculo é realizado usando a mesma chave. Se o MAC calculado for igual ao valor do MAC recebido, o pacote será considerado autêntico.

IPsec NAT-Traversal é um aprimoramento dos protocolos IPsec e ISAKMP que permite que os clientes VPN (Virtual Private Network) se comuniquem através de gateways NAT pela Internet. Por exemplo, os viajantes de negócios geralmente usam o IPsec em seus laptops para obter acesso remoto à VPN ao escritório central. Ao trabalhar fora do local, esses usuários às vezes precisam se conectar à Internet por meio de um gateway NAT, como de um hotel. Os gateways de conversão de endereço de rede (NAT) geralmente fazem parte do firewall de uma empresa e permitem que sua rede local (LAN) apareça como um endereço IP para o mundo. Para mais informações sobre dispositivos NAT, consulte o RFC 1631.

Associações de Segurança : Um conceito chave que aparece tanto no Os mecanismos de autenticação e confidencialidade para IP são a Security Association (SA). Uma associação é uma relação unidirecional entre um remetente e um destinatário que oferece serviços de segurança ao tráfego transportado. Se for necessário um relacionamento entre pares, para troca segura bidirecional, duas associações de segurança serão necessárias.

Gerenciamento de chaves : A parte de gerenciamento de chaves do IPSec envolve a determinação e a distribuição de chaves secretas. O documento Arquitetura de Segurança IP exige suporte para dois tipos de gerenciamento de chaves:
  • Manual : Um administrador do sistema configura manualmente cada sistema com suas próprias chaves e com as chaves de outros sistemas de comunicação. Isso é prático para ambientes pequenos e relativamente estáticos.
  • Automatizado : Um sistema automatizado permite a criação sob demanda de chaves para SAs e facilita o uso de chaves em um grande sistema distribuído com uma configuração em evolução. Um sistema automatizado é o mais flexível, mas requer mais esforço para configurar e requer mais software, portanto, instalações menores provavelmente optarão pelo gerenciamento manual de chaves.

Feliz aprendizado! Desejamos-lhe boa sorte na sua jornada "Programa de Treinamento CISM" !

Recommended articles for you

Internet Protocol Security - Applications and Benefits

Article

Exploring Cryptography - The Paramount Cipher Algorithm

Article

Understanding Cryptography

Article