Conceitos substanciais associados à segurança do protocolo Internet

Noções básicas sobre IPSec Part II

Protocolos e Modos de Segurança

Dada a seguir são os protocolos que fornecem serviços de segurança:

O protocolo Encapsulating Security Payload ou ESP é um protocolo dentro do IPSec que fornece criptografia (confidencialidade) e autenticação (integridade sem conexão e autenticação de origem de dados). Isso é feito criptografando e autenticando cada pacote IP de uma sessão de comunicação.

O protocolo de cabeçalho de autenticação ou AH é um protocolo dentro do IPSec que fornece tudo o que o ESP faz como integridade sem conexão e autenticação de origem de dados, mas não criptografa para garantir a confidencialidade. O cabeçalho de autenticação protege um pacote IP e também os cabeçalhos adicionais que o AH adiciona.
Esses dois protocolos podem ser aplicados sozinhos ou em conjunto para fornecer os serviços de segurança desejados. A segurança que eles fornecem depende dos algoritmos criptográficos aplicados. Eles são independentes de algoritmo, o que permite que novos algoritmos sejam adicionados sem afetar outras partes da implementação.
Esses protocolos também suportam os dois modos de IPsec: transporte e encapsulamento.

O modo Transporte protege uma carga IP nos protocolos da camada superior, como o Protocolo de datagrama do usuário e o Protocolo de controle de transmissão. Os pacotes de interceptação AH e ESP da camada de Transporte destinam-se à camada de rede, protegem o cabeçalho de transporte e fornecem a segurança configurada. O modo de transporte fornece segurança de ponta a ponta, em que o ponto de extremidade de comunicações também é o ponto de extremidade criptográfico.

O modo de túnel protege os dados encapsulando pacotes inteiros que são decapsulados por um gateway de segurança.
O modo de túnel pode ser usado com gateways de segurança, onde o destino do pacote é diferente do ponto de extremidade de segurança.

A criptografia oportunista (OE) refere-se a qualquer sistema que, ao se conectar a outro sistema, tente criptografar o canal de comunicação, caso contrário, voltará para comunicações não criptografadas. Este método não requer pré-arranjos entre os dois sistemas.

O Código de Autenticação de Mensagem é um pequeno pedaço de informação que é usado para autenticar uma mensagem, usando um algoritmo conhecido como HMAC (keyed-hash message authentication code). O HMAC toma como entrada uma parte da mensagem e uma chave secreta e produz um MAC como saída. Este valor MAC é armazenado no campo Dados de autenticação do cabeçalho AH. O cálculo ocorre em todo o segmento TCP incluído mais o cabeçalho de autenticação. Quando este pacote IP é recebido no destino, o mesmo cálculo é realizado usando a mesma chave. Se o MAC calculado for igual ao valor do MAC recebido, o pacote será considerado autêntico.

IPsec NAT-Traversal é um aprimoramento dos protocolos IPsec e ISAKMP que permite que os clientes VPN (Virtual Private Network) se comuniquem através de gateways NAT pela Internet. Por exemplo, os viajantes de negócios geralmente usam o IPsec em seus laptops para obter acesso remoto à VPN ao escritório central. Ao trabalhar fora do local, esses usuários às vezes precisam se conectar à Internet por meio de um gateway NAT, como de um hotel. Os gateways de conversão de endereço de rede (NAT) geralmente fazem parte do firewall de uma empresa e permitem que sua rede local (LAN) apareça como um endereço IP para o mundo. Para mais informações sobre dispositivos NAT, consulte o RFC 1631.

Associações de Segurança : Um conceito chave que aparece tanto no Os mecanismos de autenticação e confidencialidade para IP são a Security Association (SA). Uma associação é uma relação unidirecional entre um remetente e um destinatário que oferece serviços de segurança ao tráfego transportado. Se for necessário um relacionamento entre pares, para troca segura bidirecional, duas associações de segurança serão necessárias.

Gerenciamento de chaves : A parte de gerenciamento de chaves do IPSec envolve a determinação e a distribuição de chaves secretas. O documento Arquitetura de Segurança IP exige suporte para dois tipos de gerenciamento de chaves:
  • Manual : Um administrador do sistema configura manualmente cada sistema com suas próprias chaves e com as chaves de outros sistemas de comunicação. Isso é prático para ambientes pequenos e relativamente estáticos.
  • Automatizado : Um sistema automatizado permite a criação sob demanda de chaves para SAs e facilita o uso de chaves em um grande sistema distribuído com uma configuração em evolução. Um sistema automatizado é o mais flexível, mas requer mais esforço para configurar e requer mais software, portanto, instalações menores provavelmente optarão pelo gerenciamento manual de chaves.

Feliz aprendizado! Desejamos-lhe boa sorte na sua jornada "Programa de Treinamento CISM" !

Find our CISSP®- Certified Information Systems Security Professional Online Classroom training classes in top cities:

Name Date Place
CISSP®- Certified Information Systems Security Professional 13 Oct -4 Nov 2018, Weekend batch Your City View Details
CISSP®- Certified Information Systems Security Professional 27 Oct -18 Nov 2018, Weekend batch Your City View Details

{{detail.h1_tag}}

{{detail.display_name}}
{{author.author_name}} {{author.author_name}}

{{author.author_name}}

{{detail.full_name}}

Published on {{detail.created_at| date}} {{detail.duration}}

  • {{detail.date}}
  • Views {{detail.downloads}}
  • {{detail.time}} {{detail.time_zone_code}}

Registrants:{{detail.downloads}}

Downloaded:{{detail.downloads}}

About the {{detail.about_title && detail.about_title != null ? detail.about_title : 'On-Demand Webinar'}}

About the {{detail.about_title && detail.about_title != null ? detail.about_title : 'Webinar'}}

Hosted By

Profile

{{author.author_name}}

{{author.author_name}}

{{author.about_author}}

About the {{detail.about_title && detail.about_title != null ? detail.about_title : 'Ebook' }}

About the {{detail.about_title && detail.about_title != null ? detail.about_title : 'Ebook' }}

View {{detail.about_title && detail.about_title != null ? detail.about_title : 'On-Demand Webinar'}}

Webcast

Register Now!

Download the {{detail.about_title && detail.about_title != null ? detail.about_title : 'Ebook'}}!

First Name*
Last Name*
Email*
Company*
Phone Number*

View {{detail.about_title && detail.about_title != null ? detail.about_title : 'On-Demand Webinar'}}

Webcast

Register Now!

{{detail.about_title && detail.about_title != null ? detail.about_title : 'Webinar'}} Expired

Download the {{detail.about_title && detail.about_title != null ? detail.about_title : 'Ebook'}}

Email
{{ queryPhoneCode }}
Phone Number

Show full article video

Name Date Place
{{classRoomData.Date}} {{classRoomData.Place}} View Details

About the Author

{{detail.author_biography}}

About the Author

{{author.about_author}}