3.1.5 - Protocolos IPSec
O IPSec oferece serviços de segurança na camada de IP. Permite que um sistema selecione protocolos de segurança exigidos e determine os algoritmos necessários para os serviços, ao colocar as chaves criptográficas exigidas para oferecer os serviços solicitados. Dois protocolos podem ser usados para oferecer segurança:
- Autenticação do cabeçalho ou Authetication Header (AH) e
- Encapsulamento de Segurança do Payload ou Encapsulating Security Payload (ESP), um protocolo combinado de criptografia e autenticação, designado pelo formato de pacote para esse protocolo.
Os serviços e suporte de cada protocolo IPSec estão listados na tabela a seguir.
| AH | ESP | ESP + AH | |
|---|---|---|---|
| Controle de Acesso | Sim | Sim | Sim |
| Integridade sem conexão | Sim | X | Sim |
| Autenticação da origem | Sim | X | Sim |
| Rejeição de pacotes repetidos | Sim | Sim | Sim |
| Confidencialidade | X | Sim | Sim |
O IPSec pode ser utilizado tanto para comunicação segura entre computadores (geralmente no modo transporte), quanto para o estabelecimento de VPN (geralmente no modo túnel).
|
Sistemas operacionais MS, a partir do Windows 2000, já possuem suporte nativo a IPSec, de modo que é possível que todo o tráfego entre servidores seja criptografado. Normalmente para utilizar IPSec, os roteadores presentes na rede devem suportar e entender o protocolo, para poderem encaminhar corretamente os dados.
|
Autenticação do cabeçalho
Estabelece mecanismos de verificação da autenticidade e integridade de pacotes IP. Normalmente, na verificação da autenticidade de pacotes, é calculado o Hash de HMAC (Hash Message Authentication Code) usando funções de Hash MD5 ou SHA-1.
XEncapsulamento de Segurança do Payload
Estabelece mecanismos de garantia da privacidade e integridade do conteúdo, utilizando técnicas de criptografia e código Hash, respectivamente. Na criptografia, normalmente são utilizados algoritmos DES, 3DES ou AES. Para o código Hash são utilizadas funções MD5 ou SHA-1.
X