Arquitetura de Segurança de IP

A arquitetura IPSec (IP Security - segurança IP) e seus três componentes principais: AH(Authentication Header - cabeçalho de autenticação), ESP (Encapsulating Security Payload - carga de segurança encapsuladora) e IKE (Internet Key Exchange - intercâmbio de chaves da Internet). Os formatos do cabeçalho, as características criptográficas específicas e os diferentes modos de aplicação são discutidos.
O IPSec foi desenhado para interoperabilidade. Quando corretamente implantado, ele não afeta as redes e hosts que não a suportam. O IPSec independe dos algoritmos criptográficos atuais; ele pode acomodar algoritmos novos, à medida que se tornem disponíveis. Ele trabalha tanto com IPv4 quanto com IPv6. Na verdade, o IPSec é um componente obrigatório do IPv6. O IPSec usa algoritmos criptográficos mais avançados. A implementação específica de um algoritmo para uso com um protocolo IPSec é muitas vezes chamada de conversão. Por exemplo, o algoritmo DES usado no ESP é chamado de conversão ESP DES-CBC. As conversões, assim como os protocolos, estão publicados nas RFCs e em documentos preliminares da Internet

Conceitos

Dois conceitos importantes do IPSec devem ser esclarecidos: as associações de segurança e o tunelamento (tunneling). De fato eles não são novos; o IPSec apenas faz uso deles.

Associações de segurança

O conceito de uma SA (Security Association- associação de segurança) é fundamental para o IPSec. Uma SA é uma conexão lógica unidirecional (simplex) entre dois sistemas IPSec, unicamente identificada pelo trio:
<índice de parâmetro de segurança, endereço IP de destino, protocolo de segurança>

Tunelamento

Tunelamento (tunneling) ou encapsulamento é uma técnica comum nas redes de comutação de pacotes. Ele consiste em empacotar o pacote. Isto é, um novo cabeçalho é adicionado ao pacote original. O pacote original completo torna-se o conteúdo do novo.

Em geral, o tunelamento é usado para o tráfego de protocolos suportados diretamente por uma rede. Por exemplo, NETBIOS ou IPX podem ser encapsulados em IP para serem transportados em uma conexão TCP/IP WAN. No caso do IPSec, o IP é tunelado através do IP para um propósito ligeiramente diferente: para prover total proteção, incluindo o cabeçalho do pacote encapsulado. Se o pacote encapsulado estiver criptografado, um intruso não pode calcular, por exemplo, o endereço de destino do pacote. (Sem o tunelamento ele ou ela poderia). Desta forma a estrutura interna de uma rede privada pode ser ocultada.
O tunelamento requer processamento intermediário do pacote original em sua rota. O destino especificado no cabeçalhoexterno, geralmente um firewall ou roteador IPSec, recupera o pacote original e o envia para o destino final. O processamento adicional é compensado pela segurança extra.
Uma vantagem notável do tunelamento IP é a possibilidade do intercâmbio de pacotes com endereços IP privados entre duas intranets na Internet pública, o que requer endereços globalmente únicos. Uma vez que o cabeçalho encapsulado não é o processado pelos roteadores da Internet, apenas os pontos finais do túnel ( as gateways) precisam ter endereços designados globalmente; os hosts das intranets por trás deles podem usar endereços privados, por exemplo 10.x.x.x. Como os endereços IP globais estão se tornando escassos, este método de interconexão ganha importância.

Nota: O tunelamento IPSec é regulamentado pela RFC 2003 IP Encapsulation within IP (RFC 2003 Encapsulamento IP dentro do IP). Foi concebido originalmente para IP móvel, uma arquitetura que permite a um host móvel manter seu endereço IP nativo mesmo se ligado a sub-redes remotas ou externas.

Os protocolos AH e ESP podem ser aplicados sozinhos ou em conjunto. Dado os dois modos de cada protocolo, existe um grande número de combinações possíveis. Para tornar as coisas ainda mais complexas, os SAs AH e ESP não precisam ter pontos finais idênticos, então a figura torna-se mais complicada. Felismente, entre as muitas possibilidades, poucas fazem sentido nos cenários do mundo real.

Nota:A minuta draft-ietf-arch-sec-07.txt da Internet é o documento atual que descreve as combinações obrigatórias que devem ser suportadas pelas implementações IPSec. Outras combinações podem também ser suportadas, mas isto poderia prejudicar a interoperabilidade.
As combinações de dois protocolos IPSec são realizadas com pacotes SA.
Existem dois métodos para a criação de um pacote SA.

Adjacência de transporte: Ambos protocolos de segurança são aplicados no modo transporte para o mesmo datagrama IP. Este método é prático apenas para um nível de combinação.
Tunelamento aninhado (iterativo): Os protocolos de segurança são aplicados em seqüência no modo túnel. Após cada aplicação, um novo datagrama IP é criado e o próximo protocolo é aplicado à ele. Este método não tem limite em níveis de aninhamento. No entanto, o uso de mais de três níveis não é funcional.

Estes métodos podem ser combinados. Por exemplo, um pacote IP com cabeçalhos IPSec de adjacência de transporte pode ser enviado por meio de túneis entrelaçados.
Ao desenhar uma VPN, pode-se limitar a um nível razoável os estágios de processamento IPSec aplicados à um certo pacote. Ao nosso ver, o limite é três. Além disto o processamento adicional não traz benefícios.
Dois estágios são suficientes em quase todos os casos.

Voltar à página principal