A funcionalidade de segurança do protocolo Internet (IPsec) no Windows 2000, Windows XP e Windows Server 2003 não foi concebida como um firewall integral baseada no anfitrião. Foi concebido para fornecer básico permitir e bloquear filtragem utilizando informações de endereço, protocolo e a porta em pacotes de rede.
O IPsec também foi concebido como uma ferramenta administrativa para melhorar a segurança das comunicações de forma transparente para os programas. Deste modo, fornece filtragem de tráfego que é necessário para negociar a segurança para o IPsec modo de túnel IPsec, principalmente para ambientes de intranet onde estava disponível a partir do serviço Kerberos fidedigna do computador ou para caminhos específicos através da Internet onde os certificados digitais de infra-estrutura de chaves públicas (PKI) podem ser utilizados ou de transporte.
As excepções predefinido para filtros de política de IPsec estão documentadas na ajuda online do Microsoft Windows 2000 e Microsoft Windows XP. Estes filtros possibilitam para troca de chaves da Internet (IKE, Internet Key Exchange) e Kerberos para funcionar. Os filtros também possibilitam para a rede qualidade do serviço (QoS) seja assinalado (RSVP) quando o tráfego de dados está protegido pelo IPsec e para tráfego que IPsec não pode proteger, tais como tráfego de difusão e multicast.
Quaisquer roteadores ou comutadores que estejam no caminho entre os computadores que estão se comunicando simplesmente encaminham os pacotes IP criptografados para o seu destino. No entanto, se houver uma firewall, um roteador de segurança ou um servidor proxy no caminho, é possível que o tráfego IKE e IPSec não sejam encaminhados. Esses dispositivos devem ser configurados para permitir IPSec e pacotes de protocolo IKE. Se os pacotes IPSec não forem criptografados, o firewall ou roteador de segurança ainda poderá inspecionar as portas TCP ou UDP ou outro conteúdo nos pacotes. Se o conteúdo desses pacotes for modificado depois de terem sido enviados, o computador IPSec que os recebe detecta a modificação e os descarta.
No entanto, a implementação do IPSec na família Windows Server 2003 fornece suporte a uma nova especificação da Internet que permite que os pacotes IPSec sejam modificados por um conversor de endereços de rede (NAT). Os pacotes IPSec de carga de pagamento de segurança de encapsulamento (ESP) podem ser transferidos por meio de NATs que permitem o tráfego do protocolo UDP. O protocolo IKE detecta automaticamente a presença do NAT e usa o encapsulamento UDP-ESP para permitir que o tráfego de IPSec passe pelo NAT.
É definido um novo conjunto de cabeçalhos a serem adicionados em datagramas IP. Os novos cabeçalhos são colocados após o cabeçalho IP e antes do cabeçalho da camada superior (como o dos protocolos de transporte TCP ou UDP). Estes novos cabeçalhos é que dão as informações para proteção das informações (payload) do pacote IP:
As excepções predefinido para filtros de política de IPsec estão documentadas na ajuda online do Microsoft Windows 2000 e Microsoft Windows XP. Estes filtros possibilitam para troca de chaves da Internet (IKE, Internet Key Exchange) e Kerberos para funcionar. Os filtros também possibilitam para a rede qualidade do serviço (QoS) seja assinalado (RSVP) quando o tráfego de dados está protegido pelo IPsec e para tráfego que IPsec não pode proteger, tais como tráfego de difusão e multicast.
Quaisquer roteadores ou comutadores que estejam no caminho entre os computadores que estão se comunicando simplesmente encaminham os pacotes IP criptografados para o seu destino. No entanto, se houver uma firewall, um roteador de segurança ou um servidor proxy no caminho, é possível que o tráfego IKE e IPSec não sejam encaminhados. Esses dispositivos devem ser configurados para permitir IPSec e pacotes de protocolo IKE. Se os pacotes IPSec não forem criptografados, o firewall ou roteador de segurança ainda poderá inspecionar as portas TCP ou UDP ou outro conteúdo nos pacotes. Se o conteúdo desses pacotes for modificado depois de terem sido enviados, o computador IPSec que os recebe detecta a modificação e os descarta.
No entanto, a implementação do IPSec na família Windows Server 2003 fornece suporte a uma nova especificação da Internet que permite que os pacotes IPSec sejam modificados por um conversor de endereços de rede (NAT). Os pacotes IPSec de carga de pagamento de segurança de encapsulamento (ESP) podem ser transferidos por meio de NATs que permitem o tráfego do protocolo UDP. O protocolo IKE detecta automaticamente a presença do NAT e usa o encapsulamento UDP-ESP para permitir que o tráfego de IPSec passe pelo NAT.
Pacotes IPSec
É definido um novo conjunto de cabeçalhos a serem adicionados em datagramas IP. Os novos cabeçalhos são colocados após o cabeçalho IP e antes do cabeçalho da camada superior (como o dos protocolos de transporte TCP ou UDP). Estes novos cabeçalhos é que dão as informações para proteção das informações (payload) do pacote IP:
- Authentication Header (AH): este cabeçalho, ao ser adicionado a um datagrama IP, garante a integridade e autenticidade dos dados, incluindo os campos do cabeçalho original que não são alterados entre a origem e o destino; no entanto, não fornece confidencialidade. É utilizada uma função hash com chave, ao invés de assinatura digital, pois o mecanismo de assinatura digital é bem mais lento e poderia reduzir a capacidade da rede.
- Encapsulating Security Payload (ESP): este cabeçalho protege a confidencialidade, integridade e autenticidade da informação. Se o ESP for usado para validar a integridade, ele não inclui os campos invariantes do cabeçalho IP.
AH e ESP podem ser usados separadamente ou em conjunto, mas para a maioria das aplicações apenas um deles é suficiente. Para os dois cabçalhos, o IPSec não especifica quais algoritmos de segurança devem ser utilizados, mas dá uma relação dos possíveis algoritmos, todos padronizados e bastante difundidos. Inicialmente, quase todas as implementações trabalham com MD5 (da RSA Data Security) e o Secure Hash Algorithm (SHA, do governo dos EUA) para integridade e autenticação. O DES é o algoritmo mais comumente usado para a encriptação dos dados, apesar de muitos outros estarem disponíveis, de acordo com as RFCs, como o IDEA, Blowfish e o RC4.
(Astrogildo)
Referências:
http://blog.advancesolution.com.br/?p=270
http://pt.wikipedia.org/wiki/IPSec
http://www.webopedia.com/TERM/I/IPsec.html
http://www.gta.ufrj.br/~rezende/cursos/eel879/trabalhos/vpn/ipsec.html
(Astrogildo)
Referências:
http://blog.advancesolution.com.br/?p=270
http://pt.wikipedia.org/wiki/IPSec
http://www.webopedia.com/TERM/I/IPsec.html
http://www.gta.ufrj.br/~rezende/cursos/eel879/trabalhos/vpn/ipsec.html
Nenhum comentário:
Postar um comentário