Your SlideShare is downloading. ×
0
Ipsec
Ipsec
Ipsec
Ipsec
Ipsec
Ipsec
Ipsec
Ipsec
Ipsec
Ipsec
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×
Saving this for later? Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime – even offline.
Text the download link to your phone
Standard text messaging rates apply

Ipsec

270

Published on

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
270
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
8
Comments
0
Likes
0
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. 1 º Hangout – ISSA Brasil CIC2 Adilson Santos da Rocha IPSECPatrocínio Parceiro
  • 2. IPSECÉ uma suíte de protocolos para comunicação segura através deredes TCP/IP que provê autenticação e Criptografia.ORIGEM� Aumento do uso de protocolo da internet em grandes redes deempresas;� Democratização de internet;� Facilidade de ataques.� Padrão desenvolvido pela IETF desde 1992;� Primeira versão lançada em 1995;� O IPsec surgiu com o desejo de fornecer segurança no nível de IP.� Versão melhorada, com administração dinâmica dos parâmetrosde segurança(IKE), em 1998;� Até hoje ainda é trabalhado na IETF.
  • 3. COMO FUNCIONA� Opera na camada de rede;� Processa todos os datagramas IP;� Protege todas as aplicações de modo transparente;� Pode ser implementado em qualquer ponto da rede (hospedeiros, servidores, roteadores). Pode operar nos Modos: Transporte Túnel
  • 4. PROTOCOLOS/CONCEITOS�AH – Authentication Header�ESP – Encapsulation Security Payload�Ambos fazem o acordo de segurança (SA)�IPSEC utiliza o conceito de associação de segurança SPI (SecurityParameter Index), que permite a comunicação entre duas ou mais entidadescomunicantes e descreve todos os mecanismos de segurança a seremutilizados
  • 5. AH - Authentication Header Provê Autenticação da Origem Provê autenticidade Previne contra ataque de relay (spoofing) Protocol TCP 6 TCP Segment Data Header IPv4 Header IP Data Next Protocol Header TCP 51 TCP Segment Data 6 Header Authentication IPv4 Header Header IP Data Next Protocol Protocol TCP Header Hea TCP Segment Data 51 6 4 der Ipv4 Header Authentication IP Data IPv4 Header Header Fonte: Arquivo Pessoal Adilson Santos da Rocha
  • 6. ESP - Encapsulating Security Payload Provê Mesmas Funcionalidades do AH  Adiciona Confidencialidade Protocol TCP 6 TCP Segment Data Header IPv4 Header IP Data Next Protocol Header TCP 4 51 TCP Data Header ESP ESP Auth IPv4 Header Header Encripted Data ESP Trailer Data Next Protoc TC Next Header Protocol P 4 Header ol He TCP Segment Data ESP 51 ad 4 6 er Auth Ipv4 IP Data Data Authentication Header IPv4 Header Header ESP Trailer Fonte: Arquivo Pessoal Adilson Santos da Rocha
  • 7. SECURITY ASSOCIATION Handshake Fonte: CISSP All in One – Shon_Harris – 2010 5 – Edição Figure 8-29 pag 758
  • 8. SECURITY ASSOCIATIONSAs são unidirecionais.Para uma conexão são necessárias no mínimo duas Sas.(inbound/outbound) para cada host associado. É um Fator Crítico para a Arquitetura IPSECAo Completar o “Handshake” os dados são ArmazenadosO Gerenciamento de todas as SA é feito pelo SPI ( security parameterindex)SA DatabaseSequence number counterSequence counter overflowAnti-replay windowAH or ESP information: algorithms, keys, key lifetimesLifetime of SAIPSec mode: Tunnel or transport
  • 9. ISAKMP (Internet Security Association and Key Management Protocol)É o Framework para troca de chaves e criação das SasÍndepente de Algorítimo, chaves, protocolos, e modosIKE/IKEv2 - Internet Key Exchange Autenticação:  Usa Certificados X.509  pre-shared keys  DNS (preferência DNSSEC)  Diffie–Hellman Fases 1  Visa estabelecer um canal seguro de comunicação usando Diffie– Hellman  No modo Principal vida proteger a identidade dos hosts (no modo agressivo Não)  Fase 2 só é utilizada no Quick Mode.
  • 10. AtaquesAtaques de Sniffing e spoofing Poucos eficazes devido a autenticação dos hosts e as SAAtaques de Criptoanálise pouco eficientes devido ao timelife das chavesAtaques de Replay Podem ser netralizados utilizando timelifes curtos e um enforcement nos mecanismos de packet sequence numberBOAS PráticasUtilizar Algorítmos fortes de Criptografia e autenticação como:Diffie-Hellman 2048, HMAC-SHA-1 e o AES-CBC de 128 bitsEstabelecer timelifes curtos para chavesFortalecer os mecanismos de controle de sequencia (depende do device ouSO utilizado).

×