Monografia final desempenho ipsec com i pv4 e ipv6 Document Transcript

1. CURSO SUPERIOR DE GESTO DE REDES DE COMPUTADORES INTRODUO AO PROTOCOLO IPV6 E ANLISE DE DESEMPENHO DO IPSEC SOBRE OS PROTOCOLOS IPV4 E IPV6 ERICSON NOGUEIRA DE ALMEIDA OLGA ABREU DE SANTA INES SALVADOR BA 2009 2. CENTRO UNIVERSITRIO DA BAHIA ESTCIO DE S / FIB CURSO SUPERIOR DE GESTO DE REDES DE COMPUTADORES INTRODUO AO PROTOCOLO IPV6 E ANLISE DE DESEMPENHO DO IPSEC SOBRE OS PROTOCOLOS IPV4 E IPV6 ERICSON NOGUEIRA DE ALMEIDA OLGA ABREU DE SANTA INES TRABALHO DE CONCLUSO DE CURSO: TCC Prof. Orientador: Carlos Frederico Jansen Muakad SALVADOR BA 2009 3. ERICSON NOGUEIRA DE ALMEIDA OLGA ABREU DE SANTA INES INTRODUO AO PROTOCOLO IPV6 E ANLISE DE DESEMPENHO DO IPSEC SOBRE OS PROTOCOLOS IPV4 E IPV6 TCC como pr-requisito para a integralizao do Curso Superior de Gesto de Redes de Computadores Apresentada Banca Examinadora composta pelos Professores Professor: Carlos Frederio Jansen Muakad Mestrando em Redes de Computadores pela Universidade Salvador - UNIFACS Especialista em Redes de Computadores pela Universidade Salvador - UNIFACS Graduado em Cincias da Computao com nfase em Anlise de Sistemas pela Faculdade Salvador FACS Professor: Alexandre Jesus de Souza Graduado em Sistemas da Informao pelo Centro Universitrio da Bahia FIB / ESTCIO DE S SALVADOR BA 2009 4. AGRADECIMENTOS Em primeiro lugar, a Deus, a minha eterna gratido, por me dar sade e persistncia para chegar at a concluso do curso, aps muito estudo e, sobretudo, por mostrar o melhor caminho que eu devo percorrer, em nvel profissional. Descobri o prazer de se fazer o que se gosta, dominar assuntos e saber transmitir o conhecimento adquirido. famlia por entender a minha ausncia, devido vida agitada que eu tenho levado nos ltimos anos. Aos meus amigos pelos incentivos a no desistir. Ao orientador Fred Jansen pela confiana passada e incentivo em fazer o melhor. Obrigado a todos que se manifestaram atravs de elogios, crticas construtivas, sugestes e, sobretudo, pela quase imposio da concluso do curso, obrigada ao meu colega e amigo Edivaldo, pois, ele acreditou no meu potencial e me fez acreditar no sucesso atravs do conhecimento. (Olga Abreu de Santa Ines) Agradeo primeiramente ao Universo, por proporcionar as oportunidades necessrias para aquisio do conhecimento e saber que com ele tenho a responsabilidade de evoluir e ajudar aos outros no mesmo processo. Agradeo a minha amada me Euridice Ventura, por me proporcionar o ambiente necessrio para o meu desenvolvimento, a Vnia Mariano pela orientao espiritual, a Jos Roberto Salles pelo apoio e incentivo, a Jario Leonardo pelas sbias palavras, a Alessandro Miguez pela amizade, a Arinilton Bispo pelas aulas de matemtica, a Luiza Glads e a todos os meus familiares e amigos. (Ericson Nogueira de Almeida) SALVADOR BA 2009 5. Quando enxergares mais longe, porque est sobre o ombro de gigantes (Isaac Newton) S aqueles que tm pacincia para fazer coisas simples com perfeio

que iro adquirir habilidade para fazer coisas difceis com facilidade. (Johann Christoph Friedrich von Schiller) SALVADOR BA 2009 6. RESUMO Este trabalho apresenta uma introduo ao protocolo de prxima gerao, o IPv6 (Protocolo de Internet verso 6). Abordando as principais motivaes para a nova verso do protocolo IP, suas caractersticas, vantagens e comparando com seu antecessor, o IPv4. Tambm sero mostradas as principais questes relacionadas segurana do protocolo, as motivaes para criao de um padro que garantisse autenticidade, confidencialidade e integridade das comunicaes, o IPSEC (Segurana do Protocolo de Internet). Por ltimo ser realizado um experimento cientfico, analisando o desempenho do IPSEC sobre os protocolos IPv4 e IPv6. Palavras-Chaves: IPv4, IPv6, IPSEC, Privacidade 7. ABSTRACT This work presents an introduction to the next generation Internet Protocol, the IPv6. Accosting the main motivations for the new Internet Protocol, its features, improvements and comparing to its forerunner, the IPv4. Also will be showed the major issues related to the protocol's security, the reasons to create a new standard to ensure comunication's authenticity, confidentiality and integrity, the IPSEC (Internet Protocol's Security). Lastly, will be executed a scientific experimentation, analysing the IPSEC's performance over the IPv4 and IPv6 protocol's. Key-words: IPv4, IPv6, IPSEC, Privacy 8. SUMRIO INTRODUO 1 HISTRIA DA INTERNET ............................................................................................... 1 1.1 Protocolo ................................................................................................................. ...... 3 2 IMPLANTAO DO IPV6 ................................................................................................ 9 2.1 Cabealho ............................................................................................................... ....... 9 2.2 Endereamento ....................................................................................................... ..... 14 2.3 Servios Bsicos ......................................................................................................... 16 2.3.1 ICMPv6 .............................................................................................................. 16 2.3.2 Autoconfigurao de Endereos ........................................................................ 17 2.3.3 Fragmentao ..................................................................................................... 17 2.3.4 DNS .................................................................................................................... 18 2.3.5 QoS ..................................................................................................................... 19 2.3.6 Mobilidade ......................................................................................................... 19 3 ROTEAMENTO E GERENCIAMENTO ....................................................................... 20 3.1 Roteamento ............................................................................................................. .... 20 3.2 Gerenciamento ........................................................................................................ .... 21 4 COEXISTNCIA E TRANSIO .................................................................................. 21 5 SEGURANA ........................................................................................................ ............ 23

9. 6 ARQUITETURA IPSEC ................................................................................................... 25 7 GERENCIAMENTO DE CHAVES ................................................................................. 26 8 FUNCIONAMENTO DO IPSEC ..................................................................................... 27 9 IMPLEMENTAO DO IPSEC ..................................................................................... 28 10 ASSOCIAO DE SEGURANA ................................................................................ 29 11 PREVENO DE ATAQUES ....................................................................................... 30 12 AMBIENTE DE TESTES ............................................................................................... 33 12.1 Equipamentos Utilizados e Acessrios ..................................................................... 33 12.2 Descrio do processo de avaliao .......................................................................... 35 12.3 Avaliao dos resultados obtidos .............................................................................. 37 13 CONSIDERAES FINAIS .......................................................................................... 38 14 TRABALHOS FUTUROS .............................................................................................. 38 15 REFERNCIAS BIBLIOGRFICAS ........................................................................... 39 10. LISTA DE FIGURAS Figura 1 Mapeamento da Internet .......................................................................................... 2 Figura 2 Mapa de Conectividade ........................................................................................... 2 Figura 3 Entidades Responsveis ........................................................................................... 4 Figura 4 Mapa de Distribuio ............................................................................................... 4 Figura 5 Cabealho do Ipv6 ................................................................................................... 8 Figura 6 Cabealho do Ipv4 ................................................................................................. 10 Figura 7 Campos Retirados .................................................................................................. 11 Figura 8 Campos Modificados Reposicionados ................................................................... 11 Figura 9 - Campos Modificados Reposicionados ................................................................... 12 Figura 10 - Tamanho Cabealho do Ipv4 ................................................................................ 12 Figura 11 Tamanho do Cabealho do Ipv6 .......................................................................... 13 Figura 12 Cabealho de Extenso ........................................................................................ 13 Figura 13 Pacote IPv6 e Cabealho de Extenso ................................................................. 14 Figura 14 Cabealho ICMPv6 .............................................................................................. 17 Figura 15 Pilha

Dupla .......................................................................................................... 22 Figura 16 Tunelamento ........................................................................................................ 23 Figura 17 Mecanismo Traduo .......................................................................................... 23 Figura 18 Arquitetura do padro IPSec ................................................................................ 25 Figura 19 - Modo Transporte IPSec ........................................................................................ 28 Figura 20 Modo Tnel IPSec ............................................................................................... 28 Figura 21 Estrutura do pacote IPSec .................................................................................... 30 Figura 22 Cabealho AH ...................................................................................................... 31 Figura 23 Cabealho ESP .................................................................................................... 32 11. LISTA DE GRFICOS Grfico 1 - Estoque IANA ........................................................................................................ 6 Grfico 2 Demanda das Regionais ......................................................................................... 6 Grfico 3 Desempenho da largura de banda ........................................................................ 37 12. 1 INTRODUO HISTRIA DA INTERNET A Internet surgiu a partir de estratgias militares, com o intuito de manter a sobrevivncia das redes de comunicao e informaes na ocorrncia de um ataque nuclear. O diretor na poca do laboratrio de cincias da computao do Instituto de Tecnologia de Massachusetts (MIT) e outro colaborador pioneiro da Internet, revelaram um outro lado da histria Outra parte da histria est nos grupos de pesquisas financiadas pela Agncia de Projetos de Recursos Avanados (ARPA), onde estes grupos na poca precisavam de mais computadores e maiores para a evoluo das pesquisas. Em vista desse problema a ARPA aumentou a eficincia dos investimentos incentivando os grupos a dividir os equipamentos distantes entre si. Em contra partida questes tcnicas mostravam a grande possibilidade de interligar os equipamentos. Surgiu ento o prottipo Arpanet, criado no final da dcada de 60. Tendo sua primeira demonstrao em 1972. No incio da dcada de 80, a Arpanet j atindir um tamanho muito grande, para atender as questes de eficincia e segurana militar. A alternativa foi desistir do projeto e fundar sua prpria rede privada, a Milnet. Ainda nos anos 80 a Fundao de Cincia Nacional a Csnet para comunidades cientficas e numa parceria com a IBM, a Bitnet. O conjunto destas redes levou a Arpanet a denominao de Arpa Internet, mais tarde apenas conhecida pelo nome de Internet. Com a reduo de preos dos computadores a Internet estendeu-se aos ambientes domsticos, se tornando a grande teia mundial que conhecemos hoje. Em meados da dcada de 90 a malha j interligava 100 mil redes, como mostra nas Figuras 1 e 2: 13. 2 Figura 1 - Mapeamento da Internet Distribuio dos Provedores da Internet Fonte: Disponvel em: < http://www.cheswick.com/ches/map/gallery/isp-ss.gif>, Acesso em: 30 nov. 2009. Figura 2 - Mapa de Conectividade Produzida pela Universidade da Califrnia San Diego Fonte: Disponvel em: < http://www.sciencedaily.com/images/2007/08/070831144233-large.jpg>, Acesso em 30 nov. de 2009 Com o crescimento da Internet, ficou evidente a grande fragilidade do protocolo IP em relao segurana, pois, o mesmo inicialmente no foi projetado para prover esse mecanismo. O IETF (Fora

Tarefa dos Engenheiros da Internet) criou um grupo de trabalho, responsvel por elaborar mecanismos que fornecessem segurana das comunicaes do protocolo IP. Este grupo foi chamado de IP Security Protocol (Protocol de Segurana IP), que estabeleceram nveis de segurana para comunicaes hosta-host, subrede-a-subrede e host-a-subrede. 14. 3 O IP Security um padro aberto, formado por um conjunto de protocolos que fornecem servios de integridade, autenticao, controle de acesso e confidencialidade para a camada de rede. Atravs desta tecnologia possvel implementar VPN (Redes Privadas Virtuais), seus servios podem ser utilizados por qualquer protocolo das camadas superiores. O trabalho consiste em introduzir um estudo sobre a nova verso do protocolo IP, o IPv6. As motivaes para uma nova verso, caractersticas, vantagens e melhorias relativo a segurana. Ser abordado principalmente os servios de segurana providos pelo padro IPSec, seus protocolos e formas de implementao. Por fim ser realizado um experimento cientfico com intuito de medir a performance do IPSec sobre os protocolos IPv4 e IPv6, no quesito largura de banda. Protocolo O IP o protocolo mais importante da Internet. Nele definido o conjunto de regras necessrias para as comunicaes na rede mundial. Esse conjunto de regras o equivalente para os computadores a linguagem dos seres humanos e chamado de protocolo. O conjunto dessas redes hoje conhecido como Internet. Uma de suas principais diretrizes, diz que: Cada equipamento deve ser identificado de forma nica na rede, ou seja, sem possibilidade de engano. A identificao do equipamento realizado atravs de um nmero denominado de nmero IP. A distribuio desses nmeros deve ser controlada com o intuito de evitar sua duplicao. Hoje isso realizado por um conjunto de entidades organizadas numa estrutura hierrquica, como mostra nas Figuras 3 e 4. No Brasil este controle realizado pelo CGI.br (Comit Gestor da Internet), entidade responsvel pelo gerenciamento dos domnios .br e atribuio de nmeros IPs. 15. 4 Figura 3 Entidades responsveis Fonte: Disponvel em: <http://cgi.br >, Acesso 04 dez de 2009. Figura 4 - Mapa de distribuio Fonte: Disponvel em: <http://cgi.br >, Acesso 04 dez de 2009. A Internet no foi projetada para ser a grande rede que hoje. Iniciado como um projeto para interligar centros de pesquisa relacionados ao Departamento de Defesa (DoD), logo foi aberta a outros centros e universidades. Seu crescimento foi muito rpido, desde seu incio, devido ao seu bom funcionamento e sua grande utilidade. Ainda assim, em 1983 j havia conectado em torno de 300 computadores. A partir do momento que a Internet comeou a ser utilizada comercialmente, na dcada de 90 seu crescimento foi acelerado ainda mais. A partir da os problemas estruturais tornaram-se ento aparentes. Um desses problemas era o esgotamento do nmero IPs. A verso do protocolo utilizado na poca e atualmente ainda a verso 4. 16. 5 Cada nmero IP representado nos equipamentos por uma cadeia de 32 bits (nmeros binrios). Significando que existem 4.294.967.296 endereos IP para utilizao. Aparentemente uma quantidade de endereos bem grande. Porm, o rpido crescimento da rede e a forma como eles foram distribudos no inicio, colaborou para o seu rpido esgotamento. Os endereos foram divididos em classes, sendo eles: Classe A: Disponibilizando 128 blocos de IPs com 16 milhes de endereos cada um. Atendendo 128 redes. Classe B: Possua 16 mil blocos de IPs com 65 mil endereos cada um. Classe C: Possua 2 milhes de

blocos IPs com 256 endereos cada um. Iniciando-se nessa poca, o projeto de um novo protocolo para a Internet, chamado de IPng (Protocolo de Internet de prxima gerao), resultando no atual IPv6 (Protocolo de Internet verso 6). Foi tambm elaborados algumas solues paliativas, com o intuito de manter a Internet em funcionamento e diminuindo a demanda por nmeros IPs: 1 CIDR 2 RFC 1918 3 NAT 4 DHCP Segundo o CGI.br, baseados na demanda anual por novos IPs e na taxa de crescimento dessa demanda, previses apontam para um esgotamento dos recursos da IANA entre 2010 e 2012, como mostra nos Grficos 1 e 2. O estoque dos registros regionais deve durar 2 ou 3 anos mais. 17. 6 Grfico Grfico 1 Estoque da IANA - Fonte: <http://cgi.br>, Acesso 04 dez de 2009 Grfico Grfico 2 Demanda Regionais - Fonte: <http://cgi.br>, Acesso 04 dez de 2009. Mesmo que um novo projeto do protocolo IP no fosse iniciado a Internet continuaria funcionando, porm, ela teria muita dificuldade de crescer, seu custo seria elevado e novas aplicaes no seriam criadas. O IPv6 a soluo definitiva para o crescimento da Internet. O IPv6 foi desenvolvido para solucionar definitivamente essa questo, e tambm traz uma srie de avanos. As medidas paliativas adotadas no incio da dcada de 90 foram bastante eficazes e permitiram que houvesse tempo suficiente para elaborao de um novo protocolo para a Internet. 18. 7 A verso 6 do protocolo IP, foi desenvolvido ao longo de 10 anos, no seu projeto foi mantido os princpios do seu antecessor (IPv4) e buscando suprir todas as suas carncias. A principal diferena do IPv6 em relao ao seu antecessor, a maior capacidade de endereamentos, aumentando de uma cadeia de 32 bits para 128. Com isso toda necessidade atual e futura da Internet ser suprida. O espao total de nmeros IPs fornecido pelo IPv6 de 340.282.366.920.938.463.463.374.607.431.768.211.456 de endereos ou 2128. Isso representa 79 trilhes de trilhes de vezes a quantidade de endereos disponveis no IPv4. Alm dessa grande capacidade de endereamento o novo formato ainda permitir: 1 Arquitetura hierrquica, possibilitando um encaminhamento mais eficiente dos pacotes; 2 Distribuio de IPs fixos e vlidos para conexes DSL, Modems a cabo e telefones mveis; 3 Fornecer endereos vlidos na Internet para todos os dispositivos conectados a ela; 4 Utilizar arquitetura fim-a-fim; 5 Eliminar problemas associados ao NAT. Outra modificao importante em relao ao seu antecessor o formato do cabealho. Na nova verso houve uma simplificao, tornando-a mais eficiente e reduzindo o processamento dos roteadores de acordo com a Figura 5. 19. 8 Figura 5 Cabealho IPv6 Fonte: Disponvel em:< http://cgi.br>, Acesso 04 dez de 2009. Questes relacionadas a segurana tambm foram revistas . O suporte ao padro IPSEC passou a ser obrigatrio, fazendo parte do protocolo IPv6. Permitindo aos administradores de rede ativar o IPSEC em todos os dispositivos da rede, tornando-se mais segura. Houve tambm modificaes no protocolo ICMP (Protocolo de Mensagens para Controle da Internet), tornandoo mais eficaz. Isso permitiu a incluso de novas funcionalidades ao IPv6 e aprimoramentos de outros: 1 Mecanismos de auto-configurao de endereos; 2 Descoberta da vizinhana; 3 Gerenciamento de grupos multicast. Outras vantagens apresentadas pelo IPv6, est no aprimoramento a conexes mveis, onde permite a um usurio se deslocar de uma rede para outra sem necessidade de alterar seu endereo. Na questo fragmentao de pacotes, o IPv6 realiza apenas na origem, com intuito de agilizar o roteamento. Diferente do seu

antecessor, onde cada pacote de dados pode ser fragmentado por diversas vezes dependendo do desenho da rede. 20. 9 IMPLANTAO DO IPv6 A implantao do IPv6 no ser algo rpido, tambm no haver uma data definida para a migrao do novo protocolo. A migrao do IPv4 para o IPv6 acontecer de forma gradual, com IPv4 ainda em funcionamento. Desta forma dever haver um perodo de coexistncia entre os dois protocolos. Neste perodo manter a compatibilidade entre as verses do protocolo essencial para o sucesso da transio para o IPv6. Isto se dar com a utilizao de mecanismos de transio, como tunelamento, traduo e principalmente pilha dupla. Outro fator facilitador da transio entre os protocolos IP, o fato de j ser possvel encontrar diversos aplicativos adaptados ao IPv6 e os principais sistemas operacionais lanados nos ltimos anos j suportarem o novo protocolo. Exemplos: 1 - Microsoft Windows XP SP2 e SP3, Vista, 2003 Server, 2008 Server e CE; 2 - Linux, no Kernel 2.1.8 com algumas restries, e a partir da verso 2.2.X um suporte mais completo; 3 MAC OS X, desde a verso 10.2 Jaguar; 4 BSD, o FreeBSD apresenta suporte desde a verso 4.0, o NETBSD desde dezembro de 2000 na verso 1.5, no OpenBSD a verso 2.7 j apresentava suporte. Seguindo a mesma tendncia dos aplicativos, os principais modelos de equipamentos de rede tambm esto aptos a tratar o novo protocolo. To importante quanto nos aplicativos e sistemas operacionais, o suporte em roteadores e switches necessrio para tratar o tamanho do endereamento IPv6, impacto na tabela de rotas, mudanas no protocolo de roteamento. Cabealho A composio do cabealho IPv4 formado por 12 campos fixos, podendo conter ou no opes, fazendo com que seu tamanho possa variar entre 20 e 60 bytes como mostra a Figura 6. 21. 10 Figura 6 Cabealho IPv4 Fonte: Disponvel em: <http://cgi.br>, Acesso 04 dez de 2009. Nestes campos contm informaes sobre: 1 Verso do protocolo; 2 Tamanho do cabealho e dos dados; 3 Fragmentao; 4 Tipos de dados; 5 Tempo de vida do pacote; 6 Protocolo da camada seguinte; 7 Integridade dos dados; 8 Origem e o destino do pacote. Com relao ao cabealho IPv6, seis campos do IPv4 foram removidos, pois suas funes no so mais necessrias ou so implementadas pelos cabealhos de extenso, como mostra a Figura 7. 22. 11 Figura 7 Campos retirados Fonte: Disponvel em:< http://cgi.br>, Acesso 04 dez de 2009. Quatro campos tiveram alteraes em seus nomes e suas posies modificadas, para facilitar o processamento por parte dos roteadores, de acordo como a Figura 8. Figura 8 Campos modificados reposicionados Fonte: Disponvel em:< http://cgi.br>, Acesso 04 dez de 2009. O campo identificador de fluxo foi acrescentado, adicionando um mecanismo de suporte ao QoS (Qualidade de Servios), como mostra a Figura 9. 23. 12 Figura 9 Campos modificados reposicionados Fonte: Disponvel em:< http://cgi.br>, Acesso 04 dez de 2009. Trs campos foram mantidos, alterando apenas o tamanho do espao para o endereamento, passando a ter 128 bits. Tais mudanas fizeram com que o cabealho IPv6 fosse mais flexvel, prevendo sua extenso por meio de cabealhos adicionais, tornou-se tambm mais simples, com apenas oito campos e tendo um tamanho fixo de 40 bytes. Mesmo com um espao para endereamento de 128 bits que quatro vezes maior que seu antecessor (32 bits), o tamanho total do cabealho IPv6 apenas duas vezes maior que a verso anterior, como mostra as Figuras 10 e 11. Figura 10

Tamanho do cabealho do IPv4 Fonte: Disponvel em:< http://cgi.br>, Acesso 04 dez de 2009. 24. 13 Figura 11 Tamanho do cabealho do IPv6 Fonte: Disponvel em:< http://cgi.br>, Acesso 04 dez de 2009. Outra mudana importante da estrutura do cabealho IPv6 que, diferentemente do IPv4 que inclui em seu cabealho todas as opes adicionais, agora essas informaes so tratadas por meios de cabealhos de extenso. Eles esto localizados entre o cabealho base e o cabealho da camada de transporte, de acordo com a Figura 12 e 13. Figura 12 Cabealho de Extenso Fonte: Disponvel em:< http://cgi.br>, Acesso 04 dez de 2009. 25. 14 Figura 13 - Pacote IPv6 e Cabealho Extenso Fonte: Disponvel em:< http://cgi.br>, Acesso 04 dez de 2009. Endereamento No IPv4, o campo do cabealho reservado para o endereamento possui um espao de 32 bits, isto possibilita identificar pouco mais de 4 bilhes de equipamentos na Internet. No IPv6, seu cabealho possui um espao reservado para endereamento de 128 bits, permitindo gerar 3,4 X 1038 endereos distintos, equivalente a 56 octilhes (5,6 X 1028) de endereos por ser humano na terra. Os 32 bits dos endereos IPv4 so, divididos em quatro grupos de 8 bits cada, separados por ., escritos no sistema de dgitos decimais. Ex: 192.168.100.1 A representao dos endereos IPv6, divide o endereo em oito grupos de 16 bits, separados por :, escritos no sistema de dgitos hexadecimais. Ex: 2001:0DB8:AD1F:25E2:DFA1:F0C4:5311:84C1 26. 15 Na representao de um endereo IPv6, permitido utilizar caracteres maisculos e minsculos, abreviaes como a omisso de zeros esquerda e representar os zeros contnuos por :: Ex: 2001:0db8:0000:130F:0000:0000:087C:140b 2001:0db8:0:130F::087C:140b A representao dos prefixos de rede continua sendo escrito do mesmo modo que no IPv4, usando a notao CIDR (Roteamento Inter-Dominios sem classe). Esta notao expressa da forma endereo/tamanho do prefixo, onde tamanho do prefixo compreende um valor decimal que especifica a quantidade de bits a esquerda do endereo relativo ao prefixo. No IPv6 foram definidos trs tipos de endereos, so eles: Unicast identificam apenas uma nica interface de rede, ou seja, o pacote entregue apenas a uma nica interface. Existem diversos tipos de endereos Unicast: 1 Global Unicast equivalente ao endereo pblico IPv4, este endereo globalmente rotevel e acessvel na Internet; 2 LinkLocal especificados automaticamente, so vlidos apenas dentro do mesmo enlace e utilizam o prefixo /64, onde 64 bits so reservados para identificao da interface; 3 Unique-Local endereos globalmente nicos utilizados apenas para comunicaes locais, geralmente dentro de um mesmo enlace, no devendo ser roteveis na Internet; 4 Loopback equivalente ao endereo IPv4 127.0.0.1, utilizado para identificar a prpria interface, 0:0:0:0:0:0:0:0:1 ou ::1; 5 - IPv4 mapeado em IPv6 possui o formato 0:0:0:0:FFFF:WXYZ ou ::FFFF:WXYZ, WXYZ um endereo IPv4 convertido em hexadecimal, usado para representar um endereo IPv4 como um endereo IPv6 de 128 bits; 27. 16 6 Unspecified endereo especial 0:0:0:0:0:0:0:0 ou ::0 utilizado para indicar a ausncia de endereo. Multicast identifica um grupo de interfaces pertencentes a diferentes ns, sendo que um pacote destinado a um endereo multicast enviado para todas as interfaces do grupo. Diferente do IPv4, onde o suporte a multicast opcional j que foi introduzido apenas como uma extenso ao protocolo, no IPv6 todos os ns devem ter suporte ao multicast. Anycast

utilizado para identificar um grupo de interfaces pertencentes a ns diferentes. Um pacote destinado a um endereo anycast enviado apenas para a interface deste grupo mais prxima da origem. Da mesma forma que no IPv4, os endereos IPv6 so atribudos as interfaces fsicas e no aos ns. possvel atribuir a uma nica interface mltiplos endereos, independentemente do seu tipo. Servios bsicos ICMPv6 O ICMPv6 para o IPv6 possui basicamente as mesmas funes do ICMP, para o IPv4. Sua principal utilizao informar caractersticas da rede, realizar diagnstico, relatar erros no processamento do pacote e etc. As informaes so obtidas atravs da troca de mensagens ICMPv6, que esto classificadas como: 1 Mensagens de erros; 2 Mensagens de informaes. O ICMPv6 identificado no cabealho base IPv6, no campo prximo cabealho pelo valor 58. Sua estrutura simples e igual nos dois tipos de mensagens, de acordo com a Figura 14. 28. 17 Figura 14 Cabealho ICMPv6 Fonte: Disponvel em:< http://cgi.br>, Acesso 04 dez de 2009. O ICMPv6 apresenta uma quantidade maior de mensagens que seu antecessor. Isto se d, porque alm das funes bsicas, o ICMPv6 passa a incorporar as funes de protocolos como o ARP/RARP (Protocolo de resoluo de endereos Protocolo de resoluo de endereos reversos) e IGMP (Protocolo de Gerenciamento de Grupos na Internet). Sendo essencial em servios do IPv6 como: 1 Descoberta de vizinhana; 2 Gerenciamento de grupos multicast; 3 Mobilidade IPv6; 4 Descoberta do Path MTU (Unidade de Transmisso Mxima). Auto-configurao de endereos Autoconfigurao Stateless - mecanismo que permite aos ns a configurao automtica dos endereos, sem a necessidade de servidores DHCP. Autoconfigurao Stateful - uma tcnica alternativa a stateless, onde necessrio a utilizao de servidores que informem aos hosts, os dados a serem utilizados na obteno dos endereos, alm de outras configuraes da rede. Neste caso o stateful baseia-se no uso de protocolos como o DHCPv6, que possibilita a distribuio dinmica de endereos IP. Fragmentao O processo de fragmentao permite o envio de pacotes maiores que o limite de trfego estabelecido num enlace. Na transmisso de um pacote, este certamente passar por vrios enlaces at o destino. Possivelmente cada um desses enlaces possuir uma limitao distinta 29. 18 em relao ao tamanho mximo do pacote que passar por ele. Essa limitao chamada de MTU (Unidade de Transmisso Mxima), e definida de acordo com o protocolo de enlace utilizado. Com o IPv4, cada roteador pode fragmentar os pacotes durante o percurso. Dependendo do desenho da rede, um pacote IPv4 pode ser fragmentado mais de uma vez durante seu trajeto, sendo reagrupado no destino. No IPv6, o processo de fragmentao dos pacotes se inicia utilizando o protocolo Path MTU Discovery, que descobre de forma dinmica qual o tamanho mximo permitido ao pacote, identificando previamente os MTUs de cada enlace no caminho at o destino. Deste modo, os ns IPv6 realizam a fragmentao dos pacotes apenas na origem, reduzindo o overhead do clculo dos cabealhos. DNS No sistema de nomes de domnios (DNS), utilizado para resoluo de nomes de domnios em endereos IP e vice-versa, sofreu mudanas para o suporte a ns que trabalham com a verso 6 do protocolo IP. Embora os dados contidos na rvore DNS sejam independentes da verso IP, algumas mudanas foram necessrias para que os servidores pudessem trabalhar com consultas a endereos IPv6. Essas mudanas esto definidas na RFC3596, e basicamente incluem: 1 Registros AAAA ou quad-A, que traduz nomes em

endereos IPv6. 2 Nova representao textual para registros PTR, que traduz endereos IPv6 em nomes, o domnio IP6.arpa. 30. 19 QoS Em princpio o protocolo IP trata todos os pacotes da mesma forma, sem nenhuma preferncia no momento de encaminh-los. Porm, algumas aplicaes necessitam que seus pacotes sejam transportados com a garantia de que haja o mnimo de atraso, latncia ou perda de pacotes. No IPv6 foram adicionados mecanismos que visam tratar essa questo da garantia. E muito importante garantir a qualidade do trfego de determinadas aplicaes como: 1 VoIP (Voz sobre IP); 2 Distribuio de vdeos de alta qualidade; 3 Jogos online. Para isso, aplicado a Internet o conceito de QoS (Qualidade de Servios). O IPv6 busca solucionar esta questo atravs da implementao de especificaes que priorizam o fluxo de determinados pacotes. Para isso, foram designados dois campos do cabealho IPv6, o Classe de Trfego e o Indicador de Fluxo. Mobilidade O suporte a mobilidade no IPv6 permite que um dispositivo mvel se desloque de uma rede para outra sem necessidade de alterar seu endereo de origem. Desta forma, quando este dispositivo estiver fora de sua rede, os pacotes continuaro sendo encaminhados a ele usando seu endereo de origem. Isso faz com que a movimentao entre as redes fique invisvel para os protocolos das camadas superiores. Diferente do seu antecessor, os mecanismos necessrios para garantir essa mobilidade j vm incorporados ao protocolo IPv6. 31. 20 ROTEAMENTO E GERENCIAMENTO Roteamento Os protocolos de roteamento so responsveis por manter atualizadas as informaes utilizadas pelos roteadores para encontrar o melhor caminho disponvel no encaminhamento dos pacotes at o seu destino. O processo de roteamento de pacotes consiste em encaminh-los atravs de diversos roteadores at alcanar seu destino final. Estes roteadores buscam em suas tabelas de roteamento o prefixo correspondente ao endereo de destino, e a partir desta informao, determinam qual o melhor caminho a percorrer. Os protocolos de roteamento so divididos em dois tipos: 1 Internos distribuem as informaes dos roteadores dentro de Sistemas Autnomos (AS) e so chamados de IGP (Protocolos de Gateway Interno). 2 Externos distribuem as informaes entre AS distintos e so chamados de EGP (Protocolos de Gateway Externo). Assim como os protocolos de roteamento interno utilizados no IPv4, o RIP, OSPF, tiveram novas verses para suportarem o IPv6. 1 RIPng baseado no algoritmo distance-vector (vetor de distncia) conhecido como Bellman-Ford. Apresenta como uma das principais mudanas em seu funcionamento o suporte aos prefixos e ao tamanho dos endereos IPv6. 2 OSPFv3 um protocolo de roteamento interno do tipo link-state (estado de link), onde atravs do processo de flooding, os roteadores constroem um mapa da rede, utilizado para definir as rotas mais curtas. 32. 21 Como mudanas em relao ao seu antecessor esto: 1 Criao de novos tipos de LSAs; 2 - Retirada da autenticao, contando apenas com a autenticao do IPv6; 3 Num nico enlace pode ter mltiplas instncias do OSPFv3 sendo executadas; 4 Pacotes OSPF usam um endereo link-local como endereo de origem; 5 - No IPv4, o OSPF conecta interfaces por sub-rede, no OSPFv3 isso feito por enlace. Nos protocolos de roteamento externo, o BGP (Protocolo de Gateway de Borda) o mais utilizado. Como no h uma verso de BGP especfica para o IPv6, a nova verso do protocolo IP utiliza as extenses multiprotocolo do BGP. Estas extenses suportam as mesmas funcionalidades que o BGP para o IPv4 e trabalham com as duas famlias de

endereos. Gerenciamento Assim como no IPv4 o gerenciamento da rede baseado no protocolo SNMP (Protocolo de Gerenciamento de Rede Simples), que a principal ferramenta. A troca de informaes SNMP pode ser feita tanto em conexes IPv4 quanto IPv6, mesmo que essas informaes sejam sobre IPv6. Porm j existem diversos equipamentos com suporte a SNMP sobre IPv6 que podem ser monitorados em redes puramente IPv6. COEXISTNCIA E TRANSIO Atualmente toda estrutura da Internet est baseada na verso 4 do protocolo IP. Deste modo uma troca imediata de protocolo torna-se invivel, dado o tamanho e a proporo desta rede. Com isso para o sucesso da implantao do IPv6, necessrio que ela seja realizada de forma gradual e transparente. Na fase inicial desta implantao, um perodo de coexistncia entre os dois protocolos devero existir, em que redes IPv4 precisaro comunicar-se com redes IPv6 e vice-versa. Algumas tcnicas para viabilizar essa transio foram elaboradas, e podem ser classificadas nas seguintes categorias: 33. 22 1 Pilha dupla prov suporte a ambos os protocolos no mesmo dispositivo. Permitindo aos hosts e roteadores o envio e recebimento de pacotes tanto para o IPv4 quanto para o Ipv6, como mostra a Figura 15. Figura 15 Pilha Dupla Fonte: Disponvel em:< http://cgi.br>, Acesso 04 dez de 2009 2 Tunelamento permite o trfego de pacotes IPv6 sobre estruturas IPv4 ou inverso. A criao de tneis permite transmitir pacotes IPv6 atravs da infra-estutura IPv4 existente, sem a necessidade de realizar qualquer mudana nos mecanismos de roteamento, encapsulamento de pacotes IPv6 em pacotes Ipv4, como mostra Figura 16. Os tneis podem ser classificados como: Roteador-a-Roteador, Hosta-Roteador e Host-a-Host. 34. 23 Figura 16 Tunelamento IPv4 Fonte: Disponvel em:< http://cgi.br>, Acesso 04 dez de 2009 3 Traduo permite a comunicao entre ns apenas IPv6 com ns apenas IPv4 e vice- versa, como mostra a Figura 17. A traduo pode atuar de diversas formas e em camadas distintas, traduzindo cabealhos IPv4 em cabealhos IPv6 e vice-versa, realizando converso de endereos, de APIs (Interface de Programao de Aplicao) de programao ou atuando na troca de trfego TCP ou UDP. Figura 17 Mecanismo Traduo Fonte: Disponvel em:< http://cgi.br>, Acesso 04 dez de 2009 SEGURANA Destinado inicialmente a interligar apenas algumas redes de pesquisas acadmicas, o projeto inicial do IPv4 no apresentava muita preocupao com questes de segurana das informaes transmitidas. No entanto com o crescimento da Internet, diversas ameaas segurana da rede e ao trfego de dados surgiram, prejudicando sua utilizao em operaes bancrias, e em transaes comerciais. Desta forma, tornou-se necessrio acrescentar novos mecanismos ao protocolo original, que garantissem a confiabilidade de tais servios. 35. 24 Entre esses novos mecanismos, destaca-se o IPSEC (Protocolo de Internet Seguro), um protocolo que implementa criptografia e autenticao de pacotes na camada de rede, fornecendo uma soluo de segurana fim-a-fim, garantindo a integridade, confidencialidade e autenticidade dos dados. O IPSEC foi criado originalmente para ser usado em conjunto com o IPv4. Com a implantao do IPv6 o uso do IPSEC tornou-se mais fcil. Embora seu funcionamento seja praticamente o mesmo nas duas verses do protocolo IP. No IPv6, no h necessidade de se utilizar NAT, permitindo que o IPSEC funcione sem restries. Diferente do IPv4, onde o mecanismo de autenticao do IPSEC no pode ser utilizado com conexes que estejam atrs de NAT (Tradutor de Endereos de Rede), que oculta o endereo IP original do emissor de pacotes

impedindo sua identificao. Os mecanismos de autenticao e encapsulamento do IPSEC esto integrados no IPv6. Seu suporte obrigatrio em todos os ns o que no ocorre no IPv4. Dessa forma, atravs do IPSEC o IPv6 capaz de garantir que a mensagem recebida no tenha sido adulterada, a identidade do remetente, que a mensagem no seja entregue diversas vezes, a confidencialidade da mensagem, cifrando seu contedo. Embora, o suporte ao IPSEC seja obrigatrio, para sua efetiva utilizao, ele deve ser habilitado em cada n pelo administrador de rede ou caber a cada aplicao definir a utilizao ou no do IPSEC. O IPSEC um conjunto de protocolos de segurana, visto que para realizar suas funes ele faz uso de recursos independentes. Ele utiliza dois cabealhos de extenso do IPv6: O AH (Cabealho de Autenticao), para garantir a autenticao, e o ESP (Encapsulamento Seguro da Carga de dados) para garantir confidencialidade dos pacotes transmitidos. Alm de gerar e gerenciar chaves de segurana a partir do protocolo IKE (Troca de Chaves de Internet). 36. 25 ARQUITETURA IPSec O padro IPSEC foi elaborado para prover servios de segurana de alta qualidade, baseados em cifragem para camada de rede e/ou camadas superiores. Nesses servios esto inclusos integridade, controle de acesso no orientado a conexo, autenticao da origem dos dados e confidencialidade. A implementao desses servios realizada atravs da utilizao conjunta dos protocolos de segurana de trfego, de autenticao dos cabealhos (AH Autenticao de Cabealho), de encapsulamento seguro do payload (ESP Encapsulamento Seguro do Contedo dos dados) e procedimentos e padres de gerncia de chaves. Por ser um padro aberto da IETF muitos fabricantes de equipamentos e desenvolvedores de sistemas, vem adotando o IPSEC, principalmente por possibilitar a incluso de algoritmos de autenticao e criptografia. Na RFC 2411 IP Security Roadmap aborda as diretrizes para se produzir, organizar e inter-relacionar entre outros documentos que descrevem os protocolos do IPSEC. Na figura 18 mostrada a organizao do IPSec segundo RFC-2411 do IETF. Figura 18 - Arquitetura do padro IPSEC Fonte: Disponvel em: < http://www.rnp.br/newsgen/9907/IPSec-arq.gif>, Acesso em 25 nov. de 2009. Na figura acima, especificado algoritmos de autenticao e criptografia definidas pelo protocolo ESP, que est especificado na RFC 2406 IP Encapsulating Security Payload (IP Encapsulamento Seguro da Carga de dados) e de autenticao definidas pelo protocolo AH, especificado na RFC 2402 IP Autentication Header (IP Autenticao de Cabealhos). 37. 26 Protocolos AH e ESP Na figura 1, pode ser mostrado que os protocolos AH e ESP fazem parte da arquitetura bsica do padro IPSEC, sendo que por motivo de garantir a interoperabilidade, estes protocolos definem que qualquer implementao do padro IPSEC suporte alguns algoritmos pr- definidos. No quesito autenticao de cabealho, os algoritmos obrigatrios so os seguintes: 1 - HMAC-MD5, RFC-2403 The use of HMAC MD5 within ESP and AH (O uso do HMAC-MD5 com ESP e AH); 2 - HMAC-SHA-1, RFC-2404 The use of HMAC-SHA-1 within ESP and AH (O uso do HMAC-SHA-1 com ESP e AH). E no quesito Encapsulamento Seguro do contedo dos dados, alm dos relacionados acima, os outros so: 1 - DES-CBC, RFC-2405-ESP DES-CBC Cipher Algorithm With Explicit IV (Algoritmo de criptografia com explicito IV); 2 - Null Authentication Algorithm (Algoritmo de autenticao nulo); 3 Null Encryption Algorithm (Algoritmo de criptografia nulo). H tambm suporte de compresso IP, especificados na RFC-2393 IP Payload Compression

Protocol (Protocolo de Compresso do contedo dos dados IP). GERENCIAMENTO DE CHAVES Dentro dos servios de segurana do padro IPSEC, h o compartilhamento de chaves, que so usados na autenticao, integridade e criptografia. Porm, nas especificaes do IPSEC existe um conjunto separado para o gerenciamento de chaves, suportando distribuio automtica ou manual das chaves. Neste conjunto foram elaborados procedimentos com base em chaves pblicas, que esto especificados nas seguintes RFCs: RFC-2408 Internet Security Association and Key Management Protocol ISAKMP (Protocolo de gerenciamento de chaves e associaes de segurana de Internet); RFC-2409 The Internet Key Exchange IKE (Troca de chaves Internet); 38. 27 RFC-2412 The OAKLEY Key Determination Protocol (Protocolo de determinao de chave Oakley). Alm dos padres de chaves pblicas citadas acima, as especificaes do IPSEC permitem a incluso de outros protocolos para gerenciamento de chaves pblicas, por exemplo, SKIP (Gerenciamento de Chaves Simples para IP). FUNCIONAMENTO As operaes do protocolo IPSEC, so realizadas em gateways ou em hosts, com polticas de segurana estabelecidas e armazenadas em banco de dados (SPD Banco de dados de Polticas de Segurana). Mantidos por administradores, usurios ou por aplicaes executando dentro de certos limites. Estas polticas podem ser utilizadas para proteger uma ou mais conexes entre um par de hosts, entre dois gateways ou entre um host e um gateway. A seleo dos pacotes IP realizada atravs de trs formas definidas por seletores. Eles utilizam o pacote IP e as informaes do cabealho da camada de transporte, efetuando uma comparao com entradas no banco de dados SPD. Baseado nas premissas estabelecidas, cada pacote ser submetido aos servios do conjunto de protocolos ou desprezado ou ento ser descartado. Como j visto que o IPSec composto pelos protocolos AH e ESP, tanto o AH quanto o ESP implementam controle de acesso baseado em chaves distribudas e na gerncia dos fluxos de trfego. Podem ser implementados separados ou em associao, disponibilizando um conjunto de servios para redes baseados no protocolo IP, tanto no IPv4 quanto no IPv6. O IPSec pode operar em dois modos: 1 Modo de transporte protege apenas os protocolos das camadas superiores, pois o cabealho de segurana aparece imediatamente aps o cabealho IP e antes dos cabealhos das camadas superiores, como mostra a Figura 19; 39. 28 Figura 19 Modo Transporte IPSec Fonte: Disponvel em:< http://cgi.br>, Acesso 04 dez de 2009. 2 - Modo Tnel protege todo o pacote IP, encapsulando-o dentro de outro pacote IP, deixando visvel apenas o cabealho IP externo, como mostra a Figura 20. Figura 20 Modo Tnel IPSec Fonte: Disponvel em:< http://cgi.br>, Acesso 04 dez de 2009. H condio de se criar um tnel nico de criptografia para transporte de dados entre dois gateways ou tneis separados para cada conexo entre os pares numa comunicao atravs desses gateways. IMPLEMENTAO H trs formas de implementar o padro IPSEC: Uma implementando o IPSec na pilha nativa IP, aplicando-se tanto em hosts como em gateways, sendo exigido para isso acesso ao cdigo fonte do protocolo IP. Uma outra forma, denominada de Bump-in-the-stack (BITS), utilizado em hosts onde o padro implementado sob protocolo IP, entre ele e o driver de rede local. Nesta implementao no se faz necessrio acesso ao cdigo fonte. A ltima forma de se implementar o padro conhecida como

Bump-in-the-wire (BITW), neste caso utilizado uma placa processadora de criptografias tanto nos hosts como no gateways. 40. 29 ASSOCIAO DE SEGURANA Um dos conceitos fundamentais do padro IPSEC o AS (Associao de Segurana). Onde, uma conexo torna vivel o trfego de servios seguros. A garantia desses servios dada atravs do uso dos protocolos AH e ESP ou os dois. No caso de utilizar o AH e o ESP em conjunto, dever ser efetuada a associao de segurana para cada protocolo, ou seja, mais de uma associao dever ser definida. Uma AS (Associao de Segurana) definida de forma nica atravs de trs parmetros: SPI (ndice de Parmetro de Segurana), o IP de destino e o identificador do protocolo de segurana utilizado. No parmetro SPI, que identifica a AS, definido durante a negociao que efetuada antes do estabelecimento da Associao de Segurana. A difuso do IP de destino pode ser unicast, broadcast ou ainda multicast, porm para definio dos mecanismos de gerncia de AS, o padro IPSEC assume um endereo unicast, estendendo as definies para casos de broadcast e multicast. H um nmero de identificao que especifica o protocolo utilizado, sendo o nmero 51 para o AH e o 50 para o ESP. Uma associao de segurana pode ser estabelecida de duas formas: modo transporte e modo tnel. No modo transporte uma associao estabelecida entre dois hosts. Na verso 4 do protocolo IP, o cabealho do protocolo de segurana inserido entre o cabealho IP e os cabealhos das camadas superiores como TCP ou UDP. Porm, na verso 6 do protocolo IP, o cabealho do protocolo de segurana inserido aps o cabealho bsico e dos cabealhos de extenso fim- a-fim, e antes dos protocolos das camadas superiores. Na utilizao do ESP, uma associao de segurana em modo transporte, prov segurana apenas para os protocolos de camadas superiores, no incluindo o cabealho IP ou os de extenso que precedem o ESP. Porm o protocolo AH amplia a proteo a estes cabealhos. Esta situao est relacionada ao fato do ESP criptografar os dados que o sucedem no pacote proporcionando ainda autenticao somente a parte ESP no pacote, enquanto que no protocolo AH a autenticao feita em todo o pacote. 41. 30 Uma associao de segurana no modo tnel aplicada a um tnel IP: Quando um dos membros for um gateway que implementa o padro IPSEC, a AS dever ser estabelecida em modo tnel. Numa AS de modo tnel, o cabealho IP externo especifica o destino do contexto IPSEC enquanto o cabealho IP interno especifica o destino real do pacote. Neste modo os cabealhos dos protocolos de segurana so inseridos depois do cabealho IP externo e antes do cabealho interno. Assim numa analogia para o modo transporte, em modo tnel, o AH assegura o cabealho IP externo e os protocolos das camadas superiores, assim como o pacote IP tunelado. J no modo tnel com o ESP, somente assegurado o pacote IP tunelado, de acordo como a Figura 21. Figura 21 Implementao em conjunto dos protocolos do IPSec Fonte: Disponvel em: < http://www.gta.ufrj.br/seminarios/semin2002_1/Ivana/VPN_Ivana_arquivos/Ima ge1.gif >, Acesso 25 nov de 2009. PREVENO DE ATAQUES A utilizao do AH previne ataques do tipo: 1 - Replay, quando o atacante captura um pacote vlido e autenticado, replicando-o e enviando, entrando assim na comunicao. A utilizao do campo Sequence Number (Nmero de Sequencia), ajuda a prevenir este ataque, pois permitir definir nmeros para cada pacote que trafega dentro de uma AS. 2 - Spoofing, quando o atacante assume a identidade de um

host confivel para o destino, ganhando privilgios na comunicao. O uso de servios de autenticao previne este tipo de ataque. 42. 31 3 - Connection Hjacking (Roubo de Conexes), quando o atacante intercepta pacotes de uma conexo passando a participar da comunicao. Com a utilizao dos servios de autenticao pode se previnir este tipo de ataque. Figura 22 Cabealho AH: Fonte: Disponvel em: < http://www.lncc.br/~borges/doc/VPN Protocolos e Seguranca.pdf >, Acesso 25 nov. de 2009. Os campos do cabealho mostrado na Figura 22 acima so descritos abaixo: 1 - Prximo cabealho: identifica o protocolo do prximo cabealho; 2 Tamanho do Dado: tamanho da carga de dados; 3 - Reservado: possui um comprimento de 16 bits para extenso do protocolo; 4 - SPI: (ndice do Parmetro de Segurana) ndice que identifica unicamente junto com o endereo de destino e o protocolo AH uma associao de segurana para um determinado pacote; 5 Nmero de Seqncia: identifica os pacotes que pertencem a uma associao de segurana; 6 - Dados de Autenticao: possui comprimento varivel e armazena o ICV (Valor de Checagem de Integridade) para este pacote, e calculado de acordo com o algoritmo de autenticao utilizado no AS. O AH apesar de adicionar autenticao, mantm os dados da mesma forma que recebeu, ou seja, sem confidencialidade e possibilitando a capturar atravs de sniffer. 43. 32 Os servios do ESP previnem ataques do tipo: 1 - Replay, atravs do campo Nmero de Sequncia, semelhante ao protocolo AH. 2 - Fragmentos de pacotes criptografados, realizado quando o atacante captura partes de pacotes criptografados e remont-os de tal forma, que o pacote pode ser aceito por uma conexo. O servio de autenticao previne este tipo de ataque. 3 - Sniffer, tcnica utilizada quando o atacante captura os pacotes que trafegam na rede. O servio de criptografia previne este tipo de ataque. Figura 23 Cabealho ESP Fonte: Disponvel em:< http://www.gta.ufrj.br/grad/09_1/versaofinal/vpn/NotesImages/Topic18NotesIm age5.gif >, Acesso em 25 nov de 2009 Os campos que compe o cabealho do ESP, mostrado na Figura 23 acima so os seguintes: 1 - SPI: ndice que identifica unicamente junto com o endereo de destino e o protocolo AH uma associao de segurana para um determinado pacote; 2 - Nmero de Sequncia: identifica os pacotes que pertencem a uma associao de segurana; 3 - Dados cifrados e parmetros: possui os dados criptografados e parmetros usados pelo algoritmo definido pela AS; 4 - Dados de Autenticao: possui comprimento varivel e armazena o ICV (Valor de Checagem de Integridade) para este pacote, e calculado de acordo com o algoritmo de autenticao utilizado no AS. Diversos aspectos devem ser avaliados para uma implementao adequada do padro IPSEC. Para situaes onde se necessita apenas autenticao, recomenda-se o uso de protocolo AH. Porm o ideal a utilizao dos servios de autenticao e confidencialidade, ou seja, o uso 44. 33 do AH e ESP em conjunto. O mais recomendado a utilizao do protocolo ESP dentro do AH, possibilitando que o destino confirme a autenticidade do pacote antes de decifr-lo. AMBIENTE DE TESTES Para realizao da anlise de desempenho do IPSEC entre os protocolos IPv4 e IPv6 foi implementado um ambiente de testes. Para tal, foi instalado e configurado uma rede com dois computadores e um switch, interligados atravs de cabos UTP baseados no sistema operacional Windows Server 2008 Enterprise com Service Pack 1. Um dos computadores foi utilizado como Servidor de Roteamento e Acesso remoto e o outro como cliente dial-up. Durante a anlise de desempenho dos protocolos

foram utilizados dois cenrios, um medindo a taxa de transmisso de dados sem uso de servios de segurana e o outro utilizando os servios de segurana do padro IPSEC. Possibilitando a comparao de desempenho dos protocolos sem e com os mecanismos de segurana. Equipamentos utilizados e acessrios Foram utilizados dois computadores e um switch de camada 2 para realizao dos testes. Configurao dos equipamentos: 1. Switch Cisco Catalyst 1900 Modelo WS-C1912-A Standard Edition Sistema Operacional de Internetwork verso 12.2 Mtodo de comutao Ethernet Store-and-Forward; Interfaces: 12 Portas padro 10Base-T; 2 Portas padro 100Base-X; 2. Cabeamento: Dois cordes de manobra UTP de 2,5m, categoria 5e do fabricante Nexans, certificados no padro EIA/TIA 568-B.2. Bitola dos fios internos 24 AWG. 45. 34 3. Computadores: Especificaes de Hardware e Software Computador 1: Notebook HP Pavilion Entertainment PC, modelo DV2240BR Processador T2080 Intel Dual Core 1.73 GHZ cach L2 1 MB, Tecnolgia de 65nm Socket 479mPGA FSB 533MHZ BUS 133MHZ Main board Wistron modelo 30B2 Chipset Intel i945GM Ponte Sul Intel 82801 GHM (ICH7-M/U) Bios HeWlett Packard verso F.39 data 27/08/2007 Memria tipo DDR-2 PC2 5300-333MHZ canal duplo 1x1GB / 1x 512MB Tamanho 1.536 MB Frequncia DRAM: 266 MHZ FSB:RAM = 1:2 Latncia: 4-4-4-12-16 Disco Rgido: Fujitsu MHW2080BH PL ATA 80GB Sata 5400 RPM DVD/CD-ROM: Pioneer DVDRW DVR-K17 ATA Interface de rede Wired: Intel Pro/100 VE 10/100 Mbps Interface de rede Wireless: Broadcom 802.11 g Sistema Operacional: Windows Server 2008 Enterprise Service Pack l de 32 bits Aplicaes: Mquina Virtual Java: Java 6 Standard Edition verso 6 update 16 (buid 1.6.0-16 b01); Ferramenta monitoria (Sniffer) Packetyzer 5.0; Ferramenta medio performance de rede Jperf 2.0.2. Computador 2: Notebook Sony Vaio modelo VGN-NR320AH Processador Intel Dual Core T2310 1.46GHZ cach L2 1MB Tecnologia 65nm Socket P478 FSB 533MHZ Bus 133MHZ Main Board Sony modelo Vaio Chipset Intel GL960 46. 35 Ponte Sul Intel 8280 1HBM (ICH8-ME) Bios Phoenix Technologias verso R2060J9 Data 28/02/2008 Memria: Tipo DDR-2 PC5300-333MHZ canal duplo modo simtrico Tamanho 3072 MB LX LO24MB / 1X 2048MB Freqncia DRAM: 266MHZ FSB 1:2 Latncia: 4-4-4-12 Disco Rgido Toshiba MK L652GSX ATA 160GB Sat 5400 RPM. DVD/CD-ROM: Matshita DVD-RAM UJ870QJ ATA Interface de Rede Wired: Marvel Yukon 88E8039 PCI-E Fast Ethernet Interface de Rede Wireless: Lan-Express AS IEEE 802.11g PCI-E Sistema Operacional: Windows Server 2008 Enterprise Service Pack 1 de 32 bits. Aplicaes: Mquina Virtual Java: Java 6 Standard Edition verso 6 update 16 (buid 1.6.0-16 b01); Ferramenta de monitorao (Sniffer) Packetyzer 5.0; Conexo VPN do Tipo L2TP com IPSEC com chave pr-compartilhada; Ferramenta de medio de performance de rede Jperf 2.0.2. Descrio do processo de avaliao Em primeiro momento foi realizada a instalao do sistema operacional Windows Server 2008 nos dois computadores utilizados no processo. A instalao dos sistemas operacionais e demais aplicaes sempre seguiram uma mesma sequncia de execuo. Alm disso, para no provocar interferncia e obter a melhor performance possvel nos resultados, fatores como ajuste de vdeo para se ter melhor aparncia, gerenciamento automtico dos arquivos de paginao e descansos de telas foram desativados. E foram habilitados, a alta performance nas opes de energia, acelerao completa do hardware da interface de vdeo e especificao

personalizada do tamanho do arquivo de paginao da memria virtual. Aps esses ajustes nos sistemas operacionais foram configuradas as interfaces de rede de forma que os computadores fizessem parte da mesma rede. 47. 36 Em seguida no Computador 1, foi configurado o servio de roteamento e acesso remoto, cuja funcionalidade de realizar o roteamento dos datagramas e permitir acesso a conexes discadas. Depois de realizado os parmetros de configurao do servio de roteamento e acesso remoto. Foram instalados e configurados os aplicativos Jperf na verso 2.0.2 baseado no IPERF, que uma ferramenta grfica de medio de performance de rede, a mquina virtual Java standard edition, na verso 6 atualizao 16 para execuo do JPERF, o Packetyzer na verso 5.0.0 para captura dos datagramas durante os testes e o WinPcap 4.0.2, para possibilitar a captura de datagramas atravs do Packetyzer. Aps as configuraes necessrias para avaliao dos protocolos IPv4 e IPv6, foram realizados testes de largura de banda de duas formas. Uma gerando trfego na rede sobre a pilha de protocolos IPv4 sem e com os protocolos de segurana do padro IPSEC e a outra gerando trfego na rede sobre pilha de protocolos IPv6 sem e com os protocolos de segurana do IPSEC. Todas as duas formas utilizaram um arquivo de representao, para criar uma carga na rede. Utilizamos um arquivo de formato ISO com tamanho de 700MB para o ambiente de testes. Para os casos que se utilizaram dos protocolos do padro IPSEC, foram configurados no Servios de roteamento e acesso remoto a permisso de conexes de VPN do tipo L2TP e uma chave pr-compartilhada para as conexes discadas. Para certificar que os computadores estavam usando os protocolos de segurana durante os testes com IPSEC utilizamos o Packetyzer para captura dos datagramas. Atravs deste aplicativo foi possvel visualizar os cabealhos ESP utilizados na cifragem da carga de dados. No computador 2 foram instalados e configurados os mesmos aplicativos descritos na ambiente do computador 1, com exceo dos servios de Roteamento e Acesso Remoto. Foi criado uma conexo VPN (Rede Privada Virtual), para acesso aos servios do computador 1. Nas propriedades desta conexo, na aba Networking no item Tipo de VPN, foi selecionado L2TP IPSEC VPN. Por ser o tipo de VPN que implementa o padro IPSEC. Nesta mesma aba, no boto Configuraes IPSEC, habilitamos o uso de chave pr- compartilhada e inserimos a mesma chave que os servios de roteamento e acesso remoto do computador 1 conhece. Em seguida abrimos a conexo e inserimos um nome de usurio e 48. 37 senha conhecidos pelos servios do computador 1 e com permisso para acesso remoto. Logo aps o sucesso da conexo verificamos atravs da ferramenta ipconfig no prompt de comando o endereo IP adquirido pelos servios de Roteamento e Acesso Remoto. Logo aps, utilizamos o aplicativo JPERF tanto no Computador 1 quanto no Computador 2, porm no Computador 1 executamos o aplicativo no modo servidor e no Computador 2 no modo cliente. Estando o JPERF nos dois computadores em execuo, clicamos no boto Run IPERF e verificamos a performance em andamento do ponto de vista da taxa de transferncia. Avaliao dos Resultados Obtidos Avaliao de largura de banda Nesta avaliao podemos determinar qual a quantidade de dados que trafega na rede em um determinado espao de tempo. Desta forma verificamos entre os protocolos qual possui melhor desempenho na taxa de transferncia de dados, como mostra o Grfico 3 abaixo: Grfico 3 Desempenho da largura de banda

49. 38 CONSIDERAES FINAIS A migrao para a nova verso do protocolo IP, inevitvel, porm esta transio deve ocorrer de forma gradual e transparente aos usurios. de grande importncia que o conhecimento sobre o protocolo IPv6, seja divulgado para que a migrao obtenha sucesso. Com a implantao do IPv6, vrias questes relacionadas a segurana puderam ser melhoradas. O suporte ao padro IPSec passou a ser obrigatrio e implementado atravs de cabealhos de extenso. Como visto, passou-se a no ser adotado o NAT, permitindo uma utilizao completa do IPSec. No experimento cientfico realizado, ficou evidente a performance superior dos protocolos de segurana do IPSec sobre o protocolo IPv6, no quesito largura de banda, atingindo taxas de transferncias at 20% superior ao seu antecessor, o IPv4. TRABALHOS FUTUROS Como trabalhos futuros realizaremos a anlise de desempenho do IPSec com os protocolos Ipv4 e Ipv6 na plataforma Linux, no quesito largura de banda, com intuito de comparar a performance entre as plataformas. Alm disso, realizaremos anlise da performance de aplicaes VoIP (Voz sobre IP) utilizando servios de segurana, de modo a se certificar que as comunicaes de Voz no iro sofrer um impacto significativo sobre o protocolo IPv6, a ponto de inviabilizar o fluxo de voz, por conta da ocorrncia de delay, jitter, perda de pacotes e etc. 50. 39 REFERNCIAS BIBLIOGRFICAS Rede Nacional de Ensino e Pesquisa. A RNP e a histria da Internet brasileira. Disponvel em < http://www.rnp.br/noticias/imprensa/2002/not-imp-marco2002.html > Acesso em 30 nov. 2009. SILVA, Adilton J. S. Rede Nacional de Ensino e Pesquisa. Arquitetura IP Security Parte 1. Disponvel em < http://www.rnp.br/newsgen/9907/ipsec3.html > Acesso em 30 nov. 2009. Comit Gestor da Internet no Brasil. Disponvel em < http://cgi.br > Acesso em 04 dez. 2009. Ncleo de Informao e Coordenao do Ponto BR. Disponvel em < http://nic.br > Acesso em 04 dez. 2009. Portal de Transio a IPv6 da Amrica Latina e Caribe. Disponvel em < http://portalipv6.lacnic.net/pt-br > Acesso em 25 nov. 2009. The Internet Engineering Task Force (IETF). The Recomendation for the IP Next Generation Protocol. Disponvel em < http://tools.ietf.org/html/rfc1752.html > Acesso em 22 out. 2009. The Internet Engineering Task Force (IETF). Internet Protocol, Version 6 (IPv6) Specification. Disponvel em < http://tools.ietf.org/html/rfc2460.html > Acesso em 22 out. 2009. The Internet Engineering Task Force (IETF). DNS Extensions to Support IP Version 6. Disponvel em < http://tools.ietf.org/html/rfc3596.html > Acesso em 22 out. 2009. The Internet Engineering Task Force (IETF). Basic Transition Mechanisms for IPv6 Hosts and Routers. Disponvel em < http://tools.ietf.org/html/rfc4213.html > Acesso em 22 out. 2009. The Internet Engineering Task Force (IETF). IP Version 6 Addressing Architecture. Disponvel em < http://tools.ietf.org/html/rfc4291.html > Acesso em 30 out. 2009. The Internet Engineering Task Force (IETF). Security Architecture for the Internet Protocol. Disponvel em < http://tools.ietf.org/html/rfc4301.html > Acesso em 30 out. 2009. The Internet Engineering Task Force (IETF). IP Authentication Header. Disponvel em < http://tools.ietf.org/html/rfc4302.html > Acesso em 30 out. 2009. The Internet Engineering Task Force (IETF). Domain Name System (DNS) Case Insensitivity Clarification. Disponvel em < http://tools.ietf.org/html/rfc4343.html > Acesso em 30 out. 2009. The Internet Engineering Task Force (IETF). IPv6 Stateless Address Autoconfiguration. Disponvel em < http://tools.ietf.org/html/rfc4862.html > Acesso em 30 nov.

2009. The Internet Engineering Task Force (IETF). IP Payload Compression Protocol (IPComp). Disponvel em < http://tools.ietf.org/html/rfc2393.html > Acesso em 30 nov. 2009. 51. 40 The Internet Engineering Task Force (IETF). The Internet Key Exchange (IKE). Disponvel em < http://tools.ietf.org/html/rfc2409.html > Acesso em 30 nov. 2009. The Internet Engineering Task Force (IETF). Internet Security Association and Key Management Protocol (ISAKMP). Disponvel em < http://tools.ietf.org/html/rfc2408.html > Acesso em 30 nov. 2009. The Internet Engineering Task Force (IETF). The OAKLEY Key Determination Protocol. Disponvel em < http://tools.ietf.org/html/rfc2412.html > Acesso em 30 nov. 2009. Bill Cheswicks. The Internet Mapping Project. Disponvel em < http://www.cheswick.com/ches/map/index.html > Acesso em 04 dez. 2009. MIRANDA, Ivana Cardial, Grupo de TeleInformtica e Automao. VPN Rede Privada Virtual. Disponvel em < http://www.gta.ufrj.br/seminarios/semin2002_1/Ivana/ > Acesso em 04 dez. 2009. FERREIRA, Douglas de Oliveira, Universidade Catlica de Braslia. IPv6. Disponvel em < http://www.ucb.br/prg/professores/maurot/ra/RA_arqs/conteudo_web/ipv6/inde x.html > Acesso em 04 dez. 2009. PINHEIRO, Jos M. Santos, Projeto de Redes. Redes Privadas Virtuais. Disponvel em < http://www.projetoderedes.com.br/tutoriais/tutorial_vpn_01.php > Acesso em 05 dez. 2009. BALLESTEROS, Heric M. Santos, Universidade Federal do Rio de Janeiro. Redes Privadas Virtuais. Disponvel em < http://www.gta.ufrj.br/grad/08_1/vpn/ > Acesso em 05 dez. 2009. ROTOLE, Erick Dantas, Universidade de Braslia. Arquitetura IP Security. Disponvel em < http://www.cic.unb.br/~pedro/trabs/ipsec.pdf > Acesso em 05 dez. 2009. BORGES, Fbio, Laboratrio Nacional de Computao e Cincia. VPN: Protocolos e Segurana. Disponvel em < http://www.lncc.br/~borges/doc/VPN %20Protocolos%20e%20Seguranca.pdf > Acesso em 05 dez. 2009. MARTINS, Dner L. Fernandes, Universidade de Braslia. Redes Privadas Virtuais com IPSec. Disponvel em < http://www.cic.unb.br/docentes/pedro/trabs/vpn.pdf > Acesso em 05 dez. 2009.

Ericson Nogueira + Follow 840 views, 0 favs, 1 embed more

Related

I pv4para ipv6-final 1810 views

IPv6 a Internet precisa dele para continuar crescendo 2788 views

Seguranca da Informao - VPN 2440 views

vpn2.ppt 256 views

Protocolo TCP/IP 1896 views

IPv6 2059 views

Redes - Camada de Inter-Redes 901 views

Firewall em Linux 2878 views

Netfilter + Iptables 2897 views

Segurana da Informao - Firewall OpenBSD PF 1510 views

Redes - IPv6 Teoria 937 views

IPv6 2368 views

Paletra ipv6 Estcio de S 11/05/10 440 views

Redes Virtuais Privadas 375 views

I Pv6 Final 2 437 views

IPv6 814 views

I Pv4 Vs I Pv6 Final 2 647 views

More by user

Configurando servidor dhcp no windows 2003 886 views

Gerenciando configuracoes de rede windows com netsh 168 views

View all presentations from this user

About this document

Usage Rights
All Rights Reserved

Stats

0 Favorites 0 Comments 52 Downloads 839 Views on SlideShare 1 Views on Embeds 840 Total Views

Embed views

1 views on http://www.slideshare.net

Accessibility

View text version

Additional Details

Uploaded via SlideShare Uploaded as Adobe PDF

Flag as inappropriate File a copyright complaint

Categories

Technology

Tags

network ip ipsec

Follow SlideShare

Facebook SlideShare Blog

0 tweets 0 shares 0 shares WordPress