 | Esta páginacita fontes, mas quenão cobrem todo o conteúdo. Ajude ainserir referências (Encontre fontes:Google (N • L • A • I • WP refs) • ABW • CAPES).(outubro de 2019) |
| Pilha de protocolos TCP/IP |
|---|
| Camada de aplicação |
| Camada de transporte |
| Camada de rede |
| Camada de enlace de dados |
Protocolo de Segurança IP (IP Security Protocol, mais conhecido pela sua sigla,IPsec) é uma extensão doprotocolo IP que visa a ser o método padrão para o fornecimento de privacidade do usuário (aumentando aconfiabilidade das informações fornecidas pelo usuário para uma localidade da internet, comobancos),integridade dos dados (garantindo que o conteúdo que chegou ao seu destino seja o mesmo da origem) eautenticidade das informações ou prevenção deidentity spoofing (garantia de que uma pessoa é quem diz ser), quando se transferem informações através de redes IP pelainternet.
Segundo aRFC 6071, IPsec é uma suíte de protocolos que provê segurança no nível da camada IP para comunicações pela Internet.[1] Opera nacamada de rede (ou camada 3) domodelo OSI, sendo essa a camada de mesmo nome nomodelo TCP/IP. Outros protocolos de segurança da internet comoSSL eTLS operam desde acamada de transporte (camada 4) até acamada de aplicação (camada 7).
Isso torna o IPsec mais flexível, como pode ser usado protegendo os protocolosTCP eUDP, mas aumentando sua complexidade e despesas gerais de processamento porque não se pode confiar emTCP (camada 4 domodelo OSI) para controlar a confiabilidade e a fragmentação. O IPsec é parte obrigatória doIPv6, e opcional para o uso comIPv4. O padrão foi projetado para ser indiferente às versões do IP, à distribuição atual difundida e às implementações do IPv4.
ARFC 1825, publicada em 1995, estabeleceu a arquitetura de segurança na camada de interredes da pilhaTCP/IP (equivalente àcamada de rede domodelo OSI) por meio da especificação dos protocolos AH (Autentication Header, "cabeçalho de autenticação") e ESP (Encapsulated Security Payload, "encapsulamento de segurança de carga útil"), cujos cabeçalhos seriam usados para prover serviços de segurança (autenticidade, integridade e confidencialidade) aoIPv4 eIPv6.[2] Detalhes de implementação destes dois protocolos foram inicialmente especificados nasRFC 1826 eRFC 1827.[3][3]
ARFC 1825 também definiu a necessidade de um protocolo de gerenciamento de chaves como necessário ao uso de AH ou ESP, bem como especificou o conceito deSecurity Association ("associação de segurança", ou simplesmente SA), um conjunto de informações que definem uma conexão, igualmente necessário em qualquer implementação dos protocolos AH e ESP. Foram ainda definidos oMD5 e oDES nomodo CBC como algoritmos padrões do AH e ESP, respectivamente.
Em novembro 1998, uma série de RFCs foram publicadas (daRFC 2401 àRFC 2412), atualizando e estendendo as especificações da suíte de protocolos e ferramentas IPsec, por exemplo, introduzindo o protocolo IKE (Internet Key Exchange, "compartilhamento de chaves na Internet") como ferramenta de gerenciamento automático de chaves. Este conjunto de RFCs ficou conhecido como "antigo IPsec" ou "IPsec-v2". Em 2005 a arquitetura IPsec foi novamente renovada e expandida em uma terceira geração de RFCs (RFC 4301, 4302 e 4306, dentre outras), o que se convencionou chamar "IPsec-v3", ou "novo IPsec". Atualmente, oHMAC-SHA-1 e oAES-CBC de 128 bits são os algoritmos padrões para garantia de autenticidade, integridade e confidencialidade no IPsec, em substituição ao MD5 e ao DES.[1]
O IPsec é uma combinação de diferentes tecnologias criadas para prover uma segurança melhor, como um mecanismo detroca de chaves de Diffie-Hellman; criptografia dechave pública para assinar as trocas de chave de Diffie-Hellman, sendo assim, garantindo a integridade das partes e evitando ataques como oman-in-the-middle;algoritmos para grandes volumes de dados, com oDES; algoritmos para cálculo dehash como utilização de chaves, com oHMAC, junto com os algoritmos de hash tradicionais como oMD5 ouSHA, autenticando pacotes ecertificados digitais assinados por uma autoridade certificadora, que agem como identidades digitais.[4]
IPsec é o protocolo decriptografia da internet para tunelamento, criptografia e autenticação. Existem dois modos, consoante a unidade o que se está protegendo. Nomodo transporte se protege o conteúdo útil do pacote IP e nomodo túnel se protege o pacote IP completo.
No modo transporte, somente a mensagem (payload) écriptografada. O roteamento permanece intacto, desde que o cabeçalho do IP não seja modificado e nem cifrado; entretanto, quando o cabeçalho da autenticação é usado, os endereços IP não podem ser traduzidos, porque isto invalida o valor dehash. As camadas de transporte e de aplicação são fixas sempre pelohash, assim, não podem sofrer nenhuma modificação. O modo transporte é usado para comunicações dehost-a-host.
No modo detunelamento, o pacote IP é criptografado por inteiro. Deve, assim, encapsular um novo pacote IP para distribuí-lo. O tunelamento é usado para comunicações da rede-a-rede (túneis seguros entreroteadores) ou comunicações de host-a-rede e de host-a-host sobre a internet.
Dois protocolos foram desenvolvidos para prover um nível de segurança para os fluxos dos pacotes e mudanças de chaves como:
| 0 - 7 bit | 8 - 15 bit | 16 - 23 bit | 24 - 31 bit |
|---|---|---|---|
| Próximo cabeçalho | Tamanho da mensagem | RESERVADO | |
| Identificação dos Parâmetros de Segurança (SPI) | |||
| Número de Sequência | |||
| Dados de autenticação (variável) | |||
Descrição dos campos:
O diagrama ESP:
| 0 - 7 bit | 8 - 15 bit | 16 - 23 bit | 24 - 31 bit |
|---|---|---|---|
| Identificação dos Parâmetros de Segurança (SPI) | |||
| Número de Sequência | |||
| Dados de payload (variável) | |||
| Padding (0-255 bytes) | |||
| Tamanho do Pad | Próximo cabeçalho | ||
| Dados de autenticação (variável) | |||
Descrição dos campos:
O suporte ao IPsec é geralmente incluído nonúcleo dosistema operacional com gerência de chave eISAKMP/IKE entre as negociações realizadas no espaço do usuário-final. Existem implementações do IPsec que tendem a incluir ambas as funcionalidades. Entretanto, porque há uma relação padrão para a gerência de chave, é possível controlar uma pilha do IPsec no núcleo usando uma ferramenta de gerência de chave com implementação diferente.
Por esta causa, há confusão a respeito das origens da implementação do IPsec que está nonúcleo Linux.FreeS/WAN é o projeto que primeiro implementou uma solução completa e decódigo aberto do IPsec paraLinux, e o projeto foi encerrado em março de 2004.Openswan estrongSwan são as continuações do FreeS/WAN.KAME project também implementou um suporte completo ao IPsec para oNetBSD eFreeBSD. OOpenBSD fez seu própriodaemon de ISAKMP/IKE, nomeado simplesmente comoisakmpd (que foi movido também a outros sistemas, incluindoLinux).
Entretanto, nenhumas destas pilhas do IPsec foram integradas noLinux. Alexey Kuznetsov e David S. Moleiro escreveram uma implementação de IPsec para o Linux em torno do fim de 2002. Esta pilha foi liberada subsequentemente como parte do Linux 2.6.
Consequentemente, contrariando a opinião popular, a pilha do IPsec no Linux não se originou do projeto KAME. Como suporta o protocolo padrãoPF KEY (RFC 2367) e a relação nativaXFRM para a gerência de chave, a pilha do IPsec no Linux pode ser usada conjuntamente com qualquer uma das implementações citadas abaixo.