1 / 23

Criptografia e Segurança de Redes Capítulo 16

Criptografia e Segurança de Redes Capítulo 16. Quarta Edição por William Stallings Lecture slides by Lawrie Brown. Capítulo 16 – Segurança de IP.

clarke-burch
Télécharger la présentation

Criptografia e Segurança de Redes Capítulo 16

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Criptografia e Segurança de Redes Capítulo 16 QuartaEdição por William Stallings Lecture slides by Lawrie Brown

  2. Capítulo 16 –Segurança de IP Se umanoticiasecreta é divulgadapor um espião antes dahoracerta, eleprecisa ser morto, juntamente com o homen a quem o segredofoidito. —A arte daguerra, Sun Tzu

  3. Segurança de IP • Têm uma gama de aplicações específicas e mecanismos de segurança • ex. S/MIME, PGP, Kerberos, SSL/HTTPS • No entanto, existem preocupações de segurança que abranjem várias camadas do protocolo • would like security implementadas pela rede para todas as aplicações

  4. IPSec • Mecanismos gerais de segurança IP • Fornece • autenticação • confidencialidade • gerenciamento de chave • aplicável no uso sobre LANs, entre WANs público e privado, e para a Internet

  5. Uso do IPSec

  6. Beneficios do IPSec • em um firewall / router fornece forte segurança para todo o tráfego cruzando o perímetro • em um firewall / router é resistente à bypass(derivação) • é inferior a camada de transporte, por conseguinte, transparente para aplicações • pode ser transparente para os usuários finais • pode fornecer segurança para usuários individuais • secures routing architecture

  7. Arquitetura de Segurança IP • especificação são bastante complexas • definidasemnumerosas RFC’s • incl. RFC 2401/2402/2406/2408 • Muintosoutros, agrupados por categorias • obrigatórios em IPv6, opticional no IPv4 • Cabeçalho de segurança tem duasextenções: • Autenticação do Cabeçalho(AH) • Encapsulamento de Securança do Payload (ESP)

  8. Serviços IPSec • Controle de acesso • Integridadesemconexão • Autenticação daorigem de dados • Rejeição de pacotes repetidos • uma forma de integridade de sequência parcial • Confidencialidade (criptografia) • Confidencialidadelimitada de fluxo de tráfego

  9. Associações de Segurança • Um one-way é umarelação entre remetente e receptor que ofereça segurança para o tráfego • definidapor 3 parametros: • Indice de Parametros de Segurança (SPI) • Endereço IP de destino • Identificador de protocolo de segurança • tem uma série de outros parâmetros • seq no, AH & EH info, lifetime etc • tem uma base de dados de Associações de Segurança

  10. Cabeçalho de autenticação (AH) • Oferecesuporteparaintegridade de dados e autenticação dos pacotes de IP • Sistema final/router podem autenticar usuário/app • Impedemataques de spoofing de endereçospormonitoramento desequênciasnumericas • com base na utilização de um MAC • HMAC-MD5-96 ou HMAC-SHA-1-96 • partes devem compartilhar uma chave secreta

  11. Cabeçalho de autenticação

  12. Modo Transporte & Túnel

  13. Encapsulamento de Segurança do Payload (ESP) • fornece confidencialidade de conteúdo da mensagem & sigilo limitado de fluxo de tráfego • opcionalmente pode fornecer os mesmos serviços de autenticação como AH • Suporta um range de cifras, modos, padding • incl. DES, Triple-DES, RC5, IDEA, CAST etc • CBC & outrosmodos • padding necessário para preencherblocksize, campos, para o fluxo de tráfego

  14. Encapsulamento de Segurança do Payload

  15. ModoTransportevsTúnel ESP • modo de transporte é utilizado para criptografar e opcionalmente autenticar dados IP • data protected but header left in clear • pode fazer análise de tráfego, mas é eficiente • bompara ESP host to traffic host • Modo túnel criptografa todo pacote IP • adiciona um novo cabeçalho para o próximo salto • bom para VPNs, e de gateway para gateway de segurança

  16. Combinando Associações de Segurança • SA’s podemimplementarqualquer AH ou ESP • paraimplementar ambos precisacombinar SA’s • forma umacombinação de associação desegurança • podeterminaremdiferentesoumesmaextremidade • combinados por • Adjacencia de transporte • Túnel com iteração • issue of authentication & encryption order

  17. Combinando Associações de Segurança

  18. Gerenciamento de chaves • handles key generation & distribution • Tipicamenteprecisa de 2 pares de chaves • 2 pordireçãopara AH & ESP • Gerenciamento manual de chaves • Admsisconfiguramanualmentecadasistema • Gerenciamentoautomatizado de chaves • sistemaautomatizadoporumademandacriação de chavespara SA’s emgrandessistemas • tem elements Oakley & ISAKMP

  19. Oakley • um protocolo de troca de chaves • baseadonatroca de chaveDiffie-Hellman • adicionafuncionalidadesparaendereço weaknesses • cookies, grupos (parametro global), nonces, troca de chaves DH com autenticação • podeusararitimetica no primeiro fields oucurvaselipticas fields

  20. ISAKMP • Associação de Segurançada Internet e protocolo de gerenciamento de chaves • prove framework paragerenciamento de chaves • define procedimentos e formatos de pacotes para estabelecer, negociar, modificar e apagar SAs • independente do protocolo de troca de chaves, algcriptografia, & método de autenticação

  21. ISAKMP

  22. ISAKMP Payloads & Exchanges • tem um número de tipos de payload ISAKMP : • Segurança, Proposta, Transform, chave, Identificação, Certificação, Certificado, Hash, Assinatura, Nonce, Notificação, Apagar • ISAKMP tem framework para 5 tipos de mensagem de troca: • base, proteção da identidade, autenticação somente, agressivo, informativos

  23. Resumo • ter considerado: • Segurança IPSecframework • AH • ESP • gestão de chave & Oakley/ISAKMP

More Related