Falar em IPsec – Internet Protocol Security é falar em segurança. Na prática, trata-se de um conjunto de protocolos cujo objetivo é garantir a segurança das comunicações através do protocolo IP (que por si só, não garante segurança).
O IPsec funciona como uma extensão de segurança do protocolo IP, passando as comunicações a estarem protegidas. A suite de protocolos IPsec garante a confidencialidade dos dados, permite a autenticação da origem, integridade de dados e possui mecanismos contra ataques de replay (repetição de pacotes).
IPSec – Protocolos de Segurança
No que diz respeito aos protocolos de segurança, destaque para o AH (Authentication Header) e ESP (Encapsulating Security Payload).
- AH (Authentication Header)
- Protocolo que permite autenticação de dados e garante a integridade, mas não cifra o conteúdo dos pacotes. Este protocolo protege contra ataques de replay (repetição de pacotes)
- ESP (Encapsulating Security Payload)
- Protocolo permite autenticação de dados e garante a integridade, confidencialidade e proteção contra ataques de replay. Tal como o nome sugere, riptografa o conteúdo dos pacotes IP.
IPSec: Modos de operação
O IPSec tem dois modos de operação: Modo de Transporte e Modo de Túnel.
- Modo de Transporte
- Apenas o payload (dados) do pacote IP é cifrado e/ou autenticado. O cabeçalho IP original é preservado, o que permite que o pacote seja encaminhado normalmente.
- Modo de Túnel
- O pacote IP inteiro é criptografado e autenticado. Um novo cabeçalho IP é adicionado, tornando o pacote seguro end to end. Este modo é usado principalmente em VPNs.
Relativamente ao protocolo de gestão de chaves é usado o IKE (Internet Key Exchange). Este protocolo é usado negociar e estabelecer associações de segurança (SAs) entre os dispositivos que utilizam IPsec. O IKE faz a gestão das chaves criptográficas que são usadas na criptografia e autenticação dos pacotes.
Como funciona o IPSec?
De uma forma simples, vamos considerar o funcionamento do IPSec em 6 partes:
- Negociação Inicial
- Inicio da negociação entre os dispositivos que pretendem comunicar.
- Para a negociação é usado o o protocolo IKE (Internet Key Exchange)
- Esta negociação envolve a autenticação dos dispositivos e o estabelecimento de uma associação de segurança (SA) inicial.
- Troca de Chaves
- É realizada a troca segura de chaves
- Chaves são derivadas através de algoritmos criptográficos como Diffie-Hellman.
- Estabelecimento de Associação de Segurança (SA)
- Uma SA é um conjunto de parâmetros de segurança (como algoritmos de criptografia e chaves) que define como os dados serão protegidos na comunicação
- Para cada comunicação bidirecional segura, são necessárias duas SAs
- Proteção dos Dados
- pacotes IP são protegidos usando AH ou ESP
- Como referido, no modo de transporte, apenas os dados são protegidos; no modo de túnel, o pacote, por completo, é encapsulado e protegido
- Transmissão dos Pacotes
- Os pacotes protegidos são transmitidos através da rede IP.
- No destino, os pacotes são “desprotegidos” e a integridade validada
- Troca de chaves (Rekeying)
- Para garantir a maior segurança dos dados, as chaves criptográficas são periodicamente renovadas (ação é feita pelo protocolo IKE).
O IPsec é uma solução para garantir a comunicação segura de dados na rede IP, oferecendo uma combinação de criptografia, autenticação e integridade de dados.