O que é o IPsec – Internet Protocol Security?

Falar em IPsec – Internet Protocol Security é falar em segurança. Na prática, trata-se de um conjunto de protocolos cujo objetivo é garantir a segurança das comunicações através do protocolo IP (que por si só, não garante segurança).

O IPsec funciona como uma extensão de segurança do protocolo IP, passando as comunicações a estarem protegidas. A suite de protocolos IPsec garante a confidencialidade dos dados, permite a autenticação da origem, integridade de dados e possui mecanismos contra ataques de replay (repetição de pacotes).

IPSec – Protocolos de Segurança

No que diz respeito aos protocolos de segurança, destaque para o AH (Authentication Header) e ESP (Encapsulating Security Payload).

• AH (Authentication Header)
  • Protocolo que permite autenticação de dados e garante a integridade, mas não cifra o conteúdo dos pacotes. Este protocolo protege contra ataques de replay (repetição de pacotes)
• ESP (Encapsulating Security Payload)
  • Protocolo permite autenticação de dados e garante a integridade, confidencialidade e proteção contra ataques de replay. Tal como o nome sugere, riptografa o conteúdo dos pacotes IP.

IPSec: Modos de operação

O IPSec tem dois modos de operação: Modo de Transporte e Modo de Túnel.

• Modo de Transporte
  • Apenas o payload (dados) do pacote IP é cifrado e/ou autenticado. O cabeçalho IP original é preservado, o que permite que o pacote seja encaminhado normalmente.
• Modo de Túnel
  • O pacote IP inteiro é criptografado e autenticado. Um novo cabeçalho IP é adicionado, tornando o pacote seguro end to end. Este modo é usado principalmente em VPNs.

Relativamente ao protocolo de gestão de chaves é usado o IKE (Internet Key Exchange). Este protocolo é usado negociar e estabelecer associações de segurança (SAs) entre os dispositivos que utilizam IPsec. O IKE faz a gestão das chaves criptográficas que são usadas na criptografia e autenticação dos pacotes.

Como funciona o IPSec?

De uma forma simples, vamos considerar o funcionamento do IPSec em 6 partes:

• Negociação Inicial
  • Inicio da negociação entre os dispositivos que pretendem comunicar.
  • Para a negociação é usado o o protocolo IKE (Internet Key Exchange)
  • Esta negociação envolve a autenticação dos dispositivos e o estabelecimento de uma associação de segurança (SA) inicial.
• Troca de Chaves
  • É realizada a troca segura de chaves
  • Chaves são derivadas através de algoritmos criptográficos como Diffie-Hellman.
• Estabelecimento de Associação de Segurança (SA)
  • Uma SA é um conjunto de parâmetros de segurança (como algoritmos de criptografia e chaves) que define como os dados serão protegidos na comunicação
  • Para cada comunicação bidirecional segura, são necessárias duas SAs
• Proteção dos Dados
  • pacotes IP são protegidos usando AH ou ESP
  • Como referido, no modo de transporte, apenas os dados são protegidos; no modo de túnel, o pacote, por completo,  é encapsulado e protegido
• Transmissão dos Pacotes
  • Os pacotes protegidos são transmitidos através da rede IP.
  • No destino, os pacotes são “desprotegidos” e a integridade validada
• Troca de chaves (Rekeying)
  • Para garantir a maior segurança dos dados, as chaves criptográficas são periodicamente renovadas (ação é feita pelo protocolo IKE).

O IPsec é uma solução para garantir a comunicação segura de dados na rede IP, oferecendo uma combinação de criptografia, autenticação e integridade de dados.