IPsec (Internet Protocol Security) é um conjunto de protocolos e algoritmos para proteger dados transmitidos pela Internet ou qualquer rede pública. A Internet Engineering Task Force, ou IETF, desenvolveu os protocolos IPsec em meados da década de 1990 para fornecer segurança na camada IP por meio de autenticação e criptografia de pacotes de rede IP.
O IPsec originalmente definiu dois protocolos para proteger os pacotes IP: Authentication Header (AH) e Encapsulating Security Payload (ESP). O primeiro fornece integridade de dados e serviços anti-replay, e o último criptografa e autentica os dados.
O pacote IPsec também inclui o Internet Key Exchange (IKE), que é usado para gerar chaves de segurança compartilhadas para estabelecer uma associação de segurança (SA). As SAs são necessárias para os processos de criptografia e descriptografia para negociar um nível de segurança entre duas entidades. Um roteador ou firewall especial que fica entre duas redes geralmente lida com o processo de negociação de SA.
Para que serve o IPsec?
O IPsec é usado para proteger dados confidenciais, como transações financeiras, registros médicos e comunicações corporativas, à medida que são transmitidos pela rede. Ele também é usado para proteger redes privadas virtuais (VPNs), onde o encapsulamento IPsec criptografa todos os dados enviados entre dois pontos de extremidade. O IPsec também pode criptografar dados da camada de aplicativo e fornecer segurança para roteadores que enviam dados de roteamento pela Internet pública. O IPsec também pode ser usado para fornecer autenticação sem criptografia -- por exemplo, para autenticar os dados originados de um remetente conhecido.
A criptografia no aplicativo ou nas camadas de transporte do modelo Open Systems Interconnection (OSI) pode transmitir dados com segurança sem usar IPsec. Na camada de aplicação, o Hypertext Transfer Protocol Secure (HTTPS) executa a criptografia. Enquanto na camada de transporte, o protocolo Transport Layer Security (TLS) fornece a criptografia. No entanto, criptografar e autenticar nessas camadas mais altas aumenta a chance de exposição de dados e de invasores interceptarem informações de protocolo.
Protocolos IPsec
O IPsec autentica e criptografa os pacotes de dados enviados por redes baseadas em IPv4 e IPv6. Os cabeçalhos de protocolo IPsec são encontrados no cabeçalho IP de um pacote e definem como os dados em um pacote são tratados, incluindo seu roteamento e entrega em uma rede. O IPsec adiciona vários componentes ao cabeçalho IP, incluindo informações de segurança e um ou mais algoritmos criptográficos.
Os protocolos IPsec usam um formato chamado Request for Comments (RFC) para desenvolver os requisitos para os padrões de segurança da rede. Os padrões RFC são usados em toda a Internet para fornecer informações importantes que permitem que usuários e desenvolvedores criem, gerenciem e mantenham a rede.
A seguir estão os principais protocolos IPsec:
IP AH. O AH é especificado na RFC 4302. Fornece integridade de dados e serviços de proteção de transporte. O AH foi projetado para ser inserido em um pacote IP para adicionar dados de autenticação e proteger o conteúdo de modificações.
IP ESP. Especificado na RFC 4303, o ESP fornece autenticação, integridade e confidencialidade por meio de criptografia de pacotes IP.
IKE. Definido na RFC 7296, IKE é um protocolo que permite que dois sistemas ou dispositivos estabeleçam um canal de comunicação seguro em uma rede não confiável. O protocolo usa uma série de trocas de chaves para criar um túnel seguro entre um cliente e um servidor através do qual eles podem enviar tráfego criptografado. A segurança do túnel é baseada na troca de chaves Diffie-Hellman.
Internet Security Association and Key Management Protocol (ISAKMP). O ISAKMP é especificado como parte do protocolo IKE e RFC 7296. É uma estrutura para estabelecimento de chave, autenticação e negociação de uma SA para uma troca segura de pacotes na camada IP. Em outras palavras, o ISAKMP define os parâmetros de segurança de como dois sistemas, ou hosts, se comunicam. Cada SA define uma conexão em uma direção, de um host para outro. A SA inclui todos os atributos da conexão, incluindo o algoritmo criptográfico, o modo IPsec, a chave de criptografia e quaisquer outros parâmetros relacionados à transmissão de dados pela conexão.
O IPsec usa ou é usado por muitos outros protocolos, como algoritmos de assinatura digital e a maioria dos protocolos descritos no Roteiro de Documentos IPsec e IKE, ou RFC 6071.
Leia também: Como uma VPN mantém a privacidade dos dados?
Como funciona o IPsec?
Há cinco etapas principais envolvidas no funcionamento do IPsec. Eles são os seguintes:
1 - Reconhecimento do anfitrião.
O processo IPsec começa quando um sistema host reconhece que um pacote precisa de proteção e deve ser transmitido usando diretivas IPsec. Esses pacotes são considerados "tráfego interessante" para fins de IPsec e acionam as políticas de segurança. Para pacotes de saída, isso significa que a criptografia e a autenticação apropriadas são aplicadas. Quando um pacote recebido é considerado interessante, o sistema host verifica se ele foi criptografado e autenticado corretamente.
2 - Negociação, ou IKE Fase 1.
Na segunda etapa, os hosts usam o IPsec para negociar o conjunto de políticas que usarão para um circuito seguro. Eles também se autenticam entre si e configuram um canal seguro entre eles que é usado para negociar a forma como o circuito IPsec irá criptografar ou autenticar os dados enviados por ele. Esse processo de negociação ocorre usando o modo principal ou o modo agressivo.
Com o modo principal, o host que inicia a sessão envia propostas indicando seus algoritmos de criptografia e autenticação preferidos. A negociação continua até que ambos os hosts concordem e configurem um IKE SA que defina o circuito IPsec que eles usarão. Esse método é mais seguro que o modo agressivo porque cria um túnel seguro para troca de dados.
No modo agressivo, o host inicial não permite a negociação e especifica o IKE SA a ser usado. A aceitação do host respondente autentica a sessão. Com esse método, os hosts podem configurar um circuito IPsec mais rapidamente.
3 - Circuito IPsec, ou IKE Fase 2.
A etapa três configura um circuito IPsec pelo canal seguro estabelecido na IKE Fase 1. Os hosts IPsec negociam os algoritmos que serão usados durante a transmissão de dados. Os hosts também concordam e trocam as chaves de criptografia e descriptografia que planejam usar para o tráfego de e para a rede protegida. Os hosts também trocam nonces criptográficos, que são números aleatórios usados para autenticar sessões.
4 - Transmissão IPsec.
Na quarta etapa, os hosts trocam os dados reais pelo túnel seguro que estabeleceram. As SAs IPsec configuradas anteriormente são usadas para criptografar e descriptografar os pacotes.
5 - Terminação do IPsec.
Finalmente, o túnel IPsec é encerrado. Normalmente, isso acontece depois que um número de bytes especificado anteriormente passa pelo túnel IPsec ou a sessão atinge o tempo limite. Quando um desses eventos acontece, os hosts se comunicam e ocorre o encerramento. Após o término, os hosts descartam as chaves privadas usadas durante a transmissão de dados.
Como o IPsec é usado em uma VPN?
Uma VPN é essencialmente uma rede privada implementada em uma rede pública. Qualquer pessoa que se conecte à VPN pode acessar essa rede privada como se estivesse conectada diretamente a ela. As VPNs são comumente usadas em empresas para permitir que os funcionários acessem sua rede corporativa remotamente.
O IPsec é comumente usado para proteger VPNs. Enquanto uma VPN cria uma rede privada entre o computador de um usuário e o servidor VPN, os protocolos IPsec implementam uma rede segura que protege os dados VPN de acesso externo. As VPNs podem ser configuradas usando um dos dois modos IPsec: modo de túnel e modo de transporte.
Quais são os modos IPsec?
Em termos simples, o modo de transporte protege os dados à medida que viajam de um dispositivo para outro, normalmente para uma única sessão. Como alternativa, o modo de túnel protege todo o caminho de dados, do ponto A ao ponto B, independentemente dos dispositivos intermediários.
Modo túnel. Normalmente usado entre gateways de rede seguros, o modo de túnel IPsec permite que os hosts atrás de um dos gateways se comuniquem de forma segura com os hosts atrás do outro gateway. Por exemplo, qualquer usuário de sistemas em uma filial corporativa pode se conectar com segurança a qualquer sistema na matriz se a filial e a matriz tiverem gateways seguros para atuar como proxies IPsec para hosts nos respectivos escritórios. O túnel IPsec é estabelecido entre os dois hosts de gateway, mas o próprio túnel transporta tráfego de qualquer host dentro das redes protegidas. O modo túnel é útil para configurar um mecanismo para proteger todo o tráfego entre duas redes, de hosts diferentes em cada extremidade.
Modo de transporte. Um circuito IPsec de modo de transporte ocorre quando dois hosts configuram uma conexão VPN IPsec diretamente conectada. Por exemplo, esse tipo de circuito pode ser configurado para permitir que um técnico de suporte remoto de tecnologia da informação (TI) efetue login em um servidor remoto para realizar trabalhos de manutenção. O modo de transporte IPsec é usado nos casos em que um host precisa interagir com outro host. Os dois hosts negociam o circuito IPsec diretamente um com o outro, e o circuito geralmente é desfeito após a conclusão da sessão.
A próxima etapa: comparando VPN IPsec versus VPN SSL
Uma VPN Secure Socket Layer (SSL) é outra abordagem para proteger uma conexão de rede pública. Os dois podem ser usados juntos ou individualmente, dependendo das circunstâncias e dos requisitos de segurança.
Com uma VPN IPsec, os pacotes IP são protegidos à medida que viajam de e para o gateway IPsec na borda de uma rede privada e de hosts e redes remotos. Uma VPN SSL protege o tráfego conforme ele se move entre usuários remotos e um gateway SSL. As VPNs IPsec suportam todos os aplicativos baseados em IP, enquanto as VPNs SSL suportam apenas aplicativos baseados em navegador, embora possam suportar outros aplicativos com desenvolvimento personalizado.
Saiba mais sobre como as VPNs IPsec e as VPNs SSL diferem em termos de autenticação e controle de acesso, defesa contra-ataques e segurança do cliente. Veja o que é melhor para sua organização e onde um tipo funciona melhor sobre o outro.
