24/1/2014 Julio Battisti

http://www.juliobattisti.com.br/artigos/windows/tcpip_p18.asp 1/5
Tutorial de TCP/IP Parte 18 Introduo ao IPSec
Introduo:
Esta a dcima oitava parte do Tutorial de TCP/IP. Na Parte 1 tratei dos aspectos
bsicos do protocolo TCP/IP. Na Parte 2falei sobre clculos binrios, um importante
tpico para entender sobre redes, mscara de sub-rede e roteamento. Na Parte 3 falei
sobre Classes de endereos, na Parte 4 fiz uma introduo ao roteamento e na Parte
5apresentei mais alguns exemplos e anlises de como funciona o roteamento e
na Parte 6 falei sobre a Tabela de Roteamento. Na Parte 7 tratei sobre a diviso de uma
rede em sub-redes, conceito conhecido como subnetting. NaParte 8 fiz uma
apresentao de um dos servios mais utilizados pelo TCP/IP, que o Domain Name
System: DNS. O DNS o servio de resoluo de nomes usado em todas as redes
TCP/IP, inclusive pela Internet que, sem dvidas, a maior rede TCP/IP existente.
Na Parte 9 fiz uma introduo ao servio Dynamic Host Configuration Protocol DHCP.
Na Parte 10 fiz uma introduo ao servio Windows Internet Name Services WINS.
Na Parte 11 falei sobre os protocolos TCP, UDP e sobre portas de comunicao.
Na Parte 12, mostrei como so efetuadas as configuraes de portas em diversos
aplicativos que voc utiliza e os comandos do Windows 2000/XP/2003 utilizados para
exibir informaes sobre portas de comunicao. Na Parte 13 falei sobre a instalao e
a configurao do protocolo TCP/IP. Na Parte 14 fiz uma introduo sobre o protocolo
de roteamento dinmico RIP e na Parte 15 foi a vez de fazer a introduo a um outro
protocolo de roteamento dinmico, o OSPF. NaParte 16 voc aprendeu sobre um
recurso bem til: O compartilhamento da conexo Internet, oficialmente conhecida
como ICS Internet Connection Sharing. Este recurso til quando voc tem uma
pequena rede, no mais do que cinco mquinas, conectadas em rede, todas com o
protocolo TCP/IP instalado e uma das mquinas tem conexo com a Internet. Voc
pode habilitar o ICS no computador que tem a conexo com a Internet. Com isso os
demais computadores da rede tambm passaro a ter acesso Internet.. Na Parte 17,
voc aprendeu a utilizar o IFC Internet Firewall Connection (Firewall de Conexo com
a Internet). O IFC faz parte do Windows XP e do Windows Server 2003, no estando
disponvel no Windows 2000.O IFC tem como objetivo proteger o acesso do
usurio contra ataques e perigos vindos da Internet
Nesta dcima oitava parte, farei uma apresentao sobre o protocolo IPSec. O IPSec
faz parte do Windows 2000, Windows XP, Windows Server 2003, Windows Vista e
Longhorn Server. O IPSec pode ser utilizado para criar um canal de comunicao
seguro, onde todos os dados que so trocados entre os computaodres habilitados ao
IPSec, so criptografados.
O protocolo IPSec
O IPSec um conjunto de padres utilizados para garantir uma comunicao segura
entre dois computadores, mesmo que as informaes estejam sendo enviadas atravs
de um meio no seguro, como por exemplo a Internet. Observe que esta definio
parecida com a definio de VPN Virtual Private Network. Por isso que a combinao
L2TP/IPSec uma das opes mais indicadas para a criao de conexes do tipo VPN.
Por exemplo, vamos imaginar uma rede local de uma empresa, onde voc quer garantir
a segurana das informaes que so trocadas entre a estao de trabalho do
Presidente da empresa e as estaes de trabalho da diretoria. Ou seja, se um dos
diretores acessar um arquivo em uma pasta compartilhada, no computador do
Presidente da empresa, voc quer garantir que todos os dados enviados atravs da
rede sejam criptografados, para garantir um nvel adicional de segurana. Este um
24/1/2014 Julio Battisti
http://www.juliobattisti.com.br/artigos/windows/tcpip_p18.asp 2/5
exemplo tpico onde a utilizao do protocolo IPSec recomendada. Ou seja, voc
pode configurar o computador do Presidente e os computadores dos diretores, para
que somente aceitem comunicao via IPSec. Com isso estes computadores podero
trocar informaes entre si, mas outros usurios, que no estejam habilitados ao
IPSec, no podero se comunicar com os computadores com IPSec habilitado.
Uma introduo ao protocolo IPSec
O IPSec baseado em um modelo ponto-a-ponto, no qual dois computadores, para
trocar informaes de maneira segura, usando IPSec, devem concordar com um
conjunto comum de regras e definies do IPSec. Com o uso do IPSEc e das
tecnologias associadas, os dois computadores so capazes de se autenticar
mutuamente e manter uma comunicao segura, com dados criptografados, mesmo
usando um meio no seguro, como a Internet.
O uso do protocolo IPSec apresenta funcionalidades importantes, quando existe uma
necessidade de grande segurana na comunicao entre dois computadores. A seguir
apresento as principais destas caractersticas:
Uma proteo agressiva contra ataques rede privada e Internet mantendo a facilidade de
uso. Ao mesmo tempo que fornece uma proteo efetiva contra ataques e tentativas de captura
dos dados, o IPSec fcil de configurar, com o uso de polticas de segurana.
Um conjunto de servios de proteo baseados em criptografia e protocolos de segurana. A
criptografia um dos elementos principais do IPSec, para garantir que os dados no possam ser
acessados por pessoas no autorizadas. Neste ponto importante salientar que existem
diferentes formas de uso do IPSec com o Windows 2000. Uma delas usando o IPSec padro,
conforme definido pelos padres do IETF. Este uso conhecido como uso do IPSec no modo de
tnel. J uma implementao especfica da Microsoft, usa o IPSec em conjunto com o protocolo
L2TP, sendo, nesta implementao, o protocolo L2TP o responsvel pela criptografia dos dados.
Este modo conhecido como modo de transporte. No modo de tnel somente possvel usar o
IPSec em redes baseadas em IP. J no modo de transporte, o L2TP um protocolo de nvel de
transporte, por isso possvel usar IPSec/L2TP para transportar no apenas pacotes IP, mas
tambm IPX, NetBEUI e assim por diante.
Segurana do comeo ao fim. Os nicos computadores na comunicao que devem saber sobre
a proteo de IPSec so o remetente e o receptor, ou seja, o meio atravs do qual os pacotes
so enviados no precisa estar habilitado ao IPSec. Observem que este o conceito de enviar
informaes de uma maneira segura, usando um meio no seguro. O exemplo tpico a criao
de VPNs, usando a Internet. A Internet em si, baseada apenas no protocolo TCP/IP no um
meio seguro, uma vez que, por padro, os dados no so criptografados. Porm adicionando
tcnicas de criptografia e tunelamento, disponveis com o uso do IPSec com o L2TP, podemos
criar tneis seguros, atravs de um meio no seguro. o conceito de VPN em sua essncia.
A capacidade de proteger a comunicao entre grupos de trabalho, computadores de rede
local, clientes e servidores de domnio, escritrios de filiais que podem ser fisicamente remotos,
extranets, clientes mveis e administrao remota de computadores.
Configurao baseada em diretivas de segurana
Os mtodos de segurana mais fortes que so baseados em criptografia tm a
capacidade de aumentar muito a sobrecarga administrativa. A implementao do IPSec
no Windows 2000 Server e no Windows Server 2003 evita esse problema
implementando a administrao do IPSec com base em diretivas de segurana,
configuradas via GPOs.
Nota: Para detalhes completos sobre Group Policy Objects (GPOs), consulte o livro:
Windows Server 2003 Curso Completo, 1568 pginas, de minha autoria, publicado
pela Axcel Books. Para comprar este livro com um excelente desconto e ainda ganhar
cursos de brinde, acesse o seguinte
endereo:http://www.juliobattisti.com.br/clube.htm
24/1/2014 Julio Battisti
http://www.juliobattisti.com.br/artigos/windows/tcpip_p18.asp 3/5
Em vez de aplicativos ou sistemas operacionais, voc usa as diretivas para configurar o
IPSec. Como as configuraes so aplicadas via GPOs, o Administrador pode aplicar as
configuraes de IPSec a todos os computadores de um domnio, site ou unidade
organizacional. O Windows 2000 e o Windows Server 2003 fornecem um console de
gerenciamento central, o Gerenciamento de diretivas de segurana IP, para definir e
gerenciar as diretivas de IPSec. As diretivas podem ser configuradas para fornecer nveis
variveis de proteo para a maioria dos tipos de trfego na maioria das redes
existentes, com a aplicao de filtros e regras personalizadas.
Existe um conjunto de diretivas bsicas, para habilitar o IPSec, que determinam como
ser efetuada a comunicao entre os computadores com o IPSec habilitado. A seguir
descrevo, resumidamente, estas diretivas padro, disponveis no Windows 2000 Server
e no Windows Server 2003:
Server (Request Security): Ao habilitar esta diretiva, tambm sero aceitas comunicaes no
seguras, porm para estabelecer uma conexo segura, os clientes devem utilizar um mtodo de
autenticao aceito pelo servidor. Com esta poltica sero aceitas comunicaes no seguras
(no utilizando IPSec), se o outro lado no suportar o uso do IPSec. Ou seja, quando o cliente
tenta se comunicar com o servidor, o Servidor tenta estabelecer uma comunicao usando IPSec.
Se o cliente no estiver configurado para utilizar o IPSec, a comunicao ser estabelecida
mesmo assim, sem a utilizao de IPSec.
Client (Respond only): Esta poltica indicada para computadores da rede interna, da Intranet
da empresa. Ao iniciar a comunicao com outros computadores, no ser utilizado o IPSec.
Contudo se o outro computador exigir o uso do IPSec, a comunicao via IPSec ser
estabelecida.
Security Server (Request Security): Aceita um incio de comunicao no seguro, mas requer
que os clientes estabeleam uma comunicao segura, usando IPSec e um dos mtodos aceitos
pelo servidor. Se o cliente no puder atender estas condies, a comunicao no ser
estabelecida.
Uma maneira mais simples de fornecer proteo dos dados
A implementao da IPSec no nvel de transporte IP (Camada de rede, nvel 3) permite
um alto nvel de proteo com pouca sobrecarga. A implementao do IPSec no
requer nenhuma alterao nos aplicativos ou sistemas operacionais existentes,
basta a configurao das diretivas de segurana, para que o computador passe
a usar o IPSec. Automaticamente, todos os programas instalados no
computador, passaro a utilizar o IPSec para troca de informaes com outros
computadores tambm habilitados ao IPSec. Isso bem mais fcil de
implementar e de administrar do que ter que configurar a criptografia e
segurana em cada aplicativo ou servio.
Outros mecanismos de segurana que operam sobre a camada de rede 3, como
Secure Sockets Layer (SSL), s fornecem segurana a aplicativos habilitados ao SSL,
como os navegadores da Web. Voc deve modificar todos os outros aplicativos para
proteger as comunicaes com SSL, ou seja, os programas tem que ser alterados para
poderem utilizar o SSL. Os mecanismos de segurana que operam abaixo da camada
de rede 3, como criptografia de camada de vnculo, s protegem o link, mas no
necessariamente todos os links ao longo do caminho de dados. Isso torna a criptografia
da camada de links inadequada para proteo de dados do princpio ao fim na Internet
ou na Intranet da empresa.
A implementao do IPSec na Camada de rede 3 fornece proteo para todos os
protocolos IP e de camada superior no conjunto de protocolos TCP/IP, como TCP, UDP,
ICMP, etc. A principal vantagem de informaes seguras nessa camada que todos os
aplicativos e servios que usam IP para transporte de dados podem ser protegidos com
IPSec, sem nenhuma modificao nos aplicativos ou servios (para proteger protocolos
diferentes de IP, os pacotes devem ser encapsulados por IP).
24/1/2014 Julio Battisti
http://www.juliobattisti.com.br/artigos/windows/tcpip_p18.asp 4/5
Caractersticas e componentes do protocolo IPSec
Quando o IPSec habilitado e dois computadores passam a se comunicar usando
IPSec, algumas modificaes so efetuadas na maneira como feita a troca de
informaes entre estes computadores.
A primeira mudana que o protocolo IPSec adiciona um cabealho (Header) em todos
os pacotes. Este cabealho tecnicamente conhecido como AH (Authentication
header). Este cabealho desempenha trs importantes funes:
utilizado para a autenticao entre os computadores que se comunicaro usando IPSec.
utilizado para verificar a integridade dos dados, ou seja, para verificar se os dados no foram
alterados ou corrompidos durante o transporte.
Impede ataques do tipo repetio, onde pacotes IPSec so capturados e em seguida reenviados
ao destino, em uma tentativa de ter acesso ao computador de destino. O cabealho de
autenticao impede este tipo de ataque, pois contm informaes que permitem ao destinatrio
identificar se um pacote j foi entregue ou no. No cabealho AH esto, dentre outras, as
seguintes informaes: A identificao do prximo cabealho, o tamanho do cabealho,
parmetros de segurana, nmero de seqncia e autenticao de dados (contm informaes
para a verificao da integridade de dados).
Um detalhe importante a salientar que o cabealho de identificao no
criptografado e no utilizado para criptografar dados. Conforme o nome sugere ele
contm informaes para a autenticao e para verificao da integridade dos dados.
Mas alm da autenticao mtua e da verificao da integridade dos dados preciso
garantir a confidencialidade dos dados, ou seja, se os pacotes forem capturados
importante que no possam ser lidos a no ser pelo destinatrio. A confidencialidade
garante que os dados somente sejam revelados para os verdadeiros destinatrios.
Para garantir a confidencialidade, o IPSec usa pacotes no formato Encapsulating
Security Payload (ESP). Os dados do pacote so criptografados antes da transmisso,
garantindo que os dados no possam ser lidos durante a transmisso mesmo que o
pacote seja monitorado ou interceptado por um invasor. Apenas o computador com a
chave de criptografia compartilhada ser capaz de interpretar ou modificar os dados. Os
algoritmos United States Data Encryption Standard (DES padro dos Estados Unidos),
DES (Data Encryption Standard) e 3DES (Triple Data Encryption Standard) so usados
para oferecer a confidencialidade da negociao de segurana e do intercmbio de
dados de aplicativo. O Cipher Block Chaining (CBC) usado para ocultar padres de
blocos de dados idnticos dentro de um pacote sem aumentar o tamanho dos dados
aps a criptografia. Os padres repetidos podem comprometer a segurana fornecendo
uma pista que um invasor pode usar para tentar descobrir a chave de criptografia. Um
vetor de inicializao (um nmero inicial aleatrio) usado como o primeiro bloco
aleatrio para criptografar e descriptografar um bloco de dados. Diferentes blocos
aleatrios so usados junto com a chave secreta para criptografar cada bloco. Isso
garante que conjuntos idnticos de dados no protegidos sejam transformados em
conjuntos exclusivos de dados criptografados.
Usando as tecnologias descritas, o protocolo IPSec apresenta as seguintes
caractersticas e funcionalidades:
A configurao e habilitao do IPSec baseada no uso de Polices: No existe outra maneira
de criar, configurar e habilitar o IPSec a no ser com o uso de uma GPO. Isso facilita a
configurao e aplicao do IPSec a grupos de computadores, como por exemplo, todos os
computadores do domnio ou de um site ou de uma unidade organizacional.
Quando dois computadores vo trocar dados usando IPSec, a primeira etapa fazer a
24/1/2014 Julio Battisti
http://www.juliobattisti.com.br/artigos/windows/tcpip_p18.asp 5/5
autenticao mtua entre os dois computadores. Nenhuma troca de dados efetuada, at que a
autenticao mtua tenha sido efetuada com sucesso.
O IPSec utiliza o protocolo Kerberos para autenticao dos usurios.
Quando dois computadores vo se comunicar via IPSec, criada uma SA (Securtiy Association
associao de segurana) entre os computadores. Na SA esto definidas as regras de
comunicao, os filtros a serem aplicados e o conjunto de chaves que ser utilizado para
criptografia e autenticao.
O protocolo IPSec pode utilizar certificados de chave pblica para confiar em computadores que
utilizam outros sistemas operacionais, como por exemplo o Linux.
O IPSec fornece suporte ao pr-compartilhamento de uma chave de segurana (preshared key
support). Em situaes onde no est disponvel o uso do protocolo Kerberos, uma chave, como
por exemplo a definio de uma senha, pode ser configurada ao criar a sesso IPSec. Esta chave
tem que ser informada em todos os computadores que iro trocar dados de forma segura,
usando IPSec.
Conforme descrito anteriormente, o uso do IPSec absolutamente transparente para os
usurios e aplicaes. O computador que configurado para usar o IPSec. Os programas
instalados neste computador passam a usar o IPSec, sem que nenhuma modificao tenha que
ser efetuada. Os dados so interceptados pelo sistema operacional e a comunicao feita
usando IPSec, sem que os usurios tenha que fazer quaisquer configuraes adicionais.
Concluso
Nesta parte do tutorial fiz uma breve apresentao do protocolo IPSec, o qual j
parte integrante do Windows 2000, Windows XP e Windows Server 2003. Inicialmente
apresentei a fundamentao terica sobre IPSec, para que o leitor possa entender
exatamente o que o IPSec e quando utiliz-lo. Mostrei que este protocolo
configurado e habilitado atravs do uso de polticas de segurana e que existem
diferentes modelos de polticas de segurana disponveis no Windows 2000 Server e/ou
Windows Server 2003.
O IPSec um conjunto de padres utilizados para garantir uma comunicao segura
entre dois computadores, mesmo que as informaes estejam sendo enviadas atravs
de um meio no seguro, como por exemplo a Internet. Observe que esta definio
parecida com a definio de VPN. Por isso que a combinao L2TP/IPSec uma das
opes para a criao de conexes do tipo VPN.
O IPSec baseado em um modelo ponto-a-ponto, no qual dois computadores, para
trocar informaes de maneira segura, usando IPSec, devem concordar com um
conjunto comum de regras e definies do IPSec. Com o uso do IPSEc e das
tecnologias associadas, os dois computadores so capazes de se autenticar
mutuamente e manter uma comunicao segura, com dados criptografados, mesmo
usando um meio no seguro, como a Internet.