Proteção de conexão.
Para estabelecer uma conexão segura, ambos os participantes da sessão devem ser capazes de negociar rapidamente as configurações de segurança, como algoritmos de autenticação e chaves. O IPSec suporta dois tipos de esquemas de gerenciamento de chaves que os participantes podem usar para negociar configurações de sessão.
Com a versão atual do IP, IPv4, tanto o Internet Secure Association Key Management Protocol (ISAKMP) quanto o Simple Key Management for Internet Protocol podem ser usados.
Título AH.
O cabeçalho de autenticação opcional (AH) é um cabeçalho de autenticação comum e geralmente está localizado entre o cabeçalho principal do pacote IP e o campo de dados. A presença deste título não afeta o processo de transmissão de informações de transporte e níveis superiores. O objetivo principal e único do AH é proteger contra ataques que envolvem alterações não autorizadas no conteúdo do pacote, incluindo a alteração do endereço original da camada de rede. Convém que os protocolos de nível superior sejam modificados para verificar a autenticidade dos dados obtidos.
Considere o valor de cada um dos campos citados.
Next Header (8 bits) - o tipo de cabeçalho de protocolo que segue o cabeçalho AH. Através deste campo, o Módulo Receptor IP-sec aprende sobre o protocolo de camada superior protegido. Os valores deste campo para diferentes protocolos podem ser vistos na RFC 1700.
Payload Len (8 bits)-este campo determina o tamanho total do EN-cabeçalho em palavras de 32 bits menos 2. No entanto, ao usar o IPv6, o comprimento do cabeçalho deve ser um múltiplo de 8 bytes.
Reserved (16 bits) - reservado. Cheio de zeros.
Security Parameters Index (32 bits) - Índice de Parâmetros de segurança. O valor deste campo, juntamente com o endereço IP do destinatário e o protocolo de segurança (en-protocol), identifica exclusivamente uma conexão virtual protegida (SA) para um determinado pacote. Intervalo de valores SPI 1...255 reservado pela IANA.
Sequence Number (32 bits) é um número sequencial. Serve para proteger contra retransmissão. O campo contém o valor crescente monótono do parâmetro. Embora o destinatário possa recusar o serviço de proteção contra retransmissão de pacotes, ele é obrigatório e está sempre presente no cabeçalho AH. O módulo IPsec transmissor sempre usa esse campo, mas o receptor pode não processá-lo.
Integrity Check Value-soma de verificação. Deve ser um múltiplo de 8 bytes para IPv6 e 4 bytes para IPv4.
O protocolo AH é usado para autenticação, ou seja, para confirmar que estamos nos comunicando com quem imaginamos e que os dados que recebemos não estão distorcidos na transmissão.
Título do ESP.
Ao usar o encapsulamento de dados criptografados, o cabeçalho ESP é o último de uma série de cabeçalhos opcionais "visíveis" no Pacote. Como o principal objetivo do ESP é garantir a confidencialidade dos dados, diferentes tipos de informações podem exigir o uso de algoritmos de criptografia significativamente diferentes. Por esta razão, o formato ESP pode sofrer alterações significativas, dependendo dos algoritmos criptográficos utilizados. No entanto, os seguintes campos obrigatórios podem ser distinguidos: SPI, que indica o contexto de segurança, e Sequence Number Field, que contém um número de pacote sequencial. O campo "ESP Authentication Data" não é obrigatório no cabeçalho ESP. O destinatário do pacote ESP descriptografa o cabeçalho ESP e usa os parâmetros e dados do algoritmo de criptografia aplicado para decodificar as informações da camada de transporte.
Security Parameters Index (32 bits) – Índice de Parâmetros de segurança. O valor deste campo, juntamente com o endereço IP do destinatário e o protocolo de segurança (en-protocol), identifica exclusivamente uma conexão virtual protegida (SA) para um determinado pacote. Intervalo de valores SPI 1...255 reservado pela IANA para uso posterior.
Sequence Number (32 bits) é um número sequencial. Serve para proteger contra retransmissão. O campo contém o valor crescente monótono do parâmetro. Embora o destinatário possa recusar o serviço de proteção contra retransmissão de pacotes, ele está sempre presente no cabeçalho AH. O remetente (o módulo de transmissão IPsec) deve sempre usar esse campo, mas o destinatário pode não precisar processá-lo.
Payload data (variable) - este campo contém os dados de acordo com o campo "Next Header". Este campo é obrigatório e consiste em um número inteiro de bytes. Se o algoritmo usado para criptografar esse campo exigir dados para sincronizar os processos criptográficos (por exemplo, o vetor de inicialização - "Initialization Vector"), esse campo poderá conter explicitamente esses dados.
Padding (0-255 octets) - adição. É necessário, por exemplo, para algoritmos que exigem que o texto simples seja múltiplo de um certo número de bytes, como o tamanho do bloco para uma cifra de bloco.
Pad Length (8 bits) - tamanho do complemento (em bytes).
Next Header (8 bits) - este campo define o tipo de dados contidos no campo "Payload data".
Integrity Check Value-soma de verificação. Deve ser um múltiplo de 8 bytes para IPv6 e 4 bytes para IPv4.
Existem dois modos de Aplicação ESP E AH (e suas combinações) - transporte e túnel.
O modo de transporte é usado para criptografar o campo de dados de um pacote IP que contém os protocolos da camada de transporte (TCP, UDP, ICMP), que por sua vez contém informações de serviços de Aplicação. Um exemplo de aplicação do modo de transporte é a transmissão de E-mail. Todos os nós intermediários na rota do pacote do remetente para o destinatário usam apenas informações abertas da camada de rede e, possivelmente, alguns cabeçalhos de pacote opcionais (no IPv6). A desvantagem do modo de transporte é a falta de mecanismos para ocultar o remetente e o destinatário específicos do pacote, bem como a capacidade de realizar análises de tráfego. O resultado de tal análise pode ser Informações sobre os volumes e direções de transmissão de informações, áreas de interesse dos assinantes, a localização dos gerentes.
O modo de túnel, ao contrário do modo de transporte, envolve a criptografia de todo o pacote, incluindo o cabeçalho da camada de rede. O modo de túnel é usado quando é necessário ocultar a troca de Informações da organização com o mundo exterior. Os campos de endereço do cabeçalho da camada de rede de um pacote que usa o modo túnel são preenchidos pelo Firewall da organização e não contêm informações sobre o remetente específico do pacote. Ao transferir informações do mundo externo para a rede local da organização, o endereço de destino é o endereço de rede do firewall. Depois que o firewall descriptografa o cabeçalho inicial da camada de rede, o pacote é enviado para o destinatário.
Security Associations.
Uma associação de Segurança (SA) é um tipo de conexão que fornece serviços de segurança para o tráfego que passa por ela. Por exemplo, quando dois computadores de cada lado do SA armazenam o modo, o protocolo, os algoritmos e as chaves usados no SA, cada SA é aplicado apenas em uma direção. A comunicação bidirecional requer dois SA. Cada SA implementa um modo e um protocolo; portanto, se dois protocolos (como AH e ESP) forem necessários para um pacote, dois SA serão necessários.
Hoje, o IPSec suporta quase todos os dispositivos de rede modernos. Portanto, não vou dar exemplos de configuração deste Protocolo para o hardware de um determinado desenvolvedor. Em posts anteriores, apenas informações teóricas foram fornecidas para entender como o protocolo funciona. Se você precisar configurar o IPSec em modelos de hardware específicos, use a documentação fornecida pelo fabricante do hardware.
Tendo considerado os fundamentos teóricos do funcionamento, passaremos para a configuração prática. Como exemplo, definiremos uma política IPSec que proíbe todas as comunicações HTTP e HTTPS e usaremos o Windows 7. Vale a pena notar que, no caso de usar o sistema operacional do servidor Windows 2008, eles podem diferir, mas muito pouco.
Então, abra o console MMC (ícone do Windows – Executar – mmc).
No menu que se abre, tem de seleccionar consola e, em seguida, adicionar ou remover um snap-in. Na caixa de diálogo que se abre, clique em Adicionar, selecione a partir da lista que se abre gerenciar a Política de segurança IP.
Na janela de seleção de computador que aparece, especifique o computador local. Feche as janelas clicando em Concluído, Fechar, OK. agora, no painel esquerdo do console, teremos um nó de Política de IP em 'Computador Local'. Clique com o botão direito do mouse sobre ele e selecione o comando Gerenciar listas de filtro IP.
Na caixa de diálogo que se abre, clique no botão Adicionar. Outra janela será aberta - a lista de filtros. Para facilitar a navegação nas listas de filtros no futuro, defina um nome para o novo filtro digitando
no campo Nome, por exemplo, Traffic_nttp_nttps. Clique no botão Adicionar para começar a criar o filtro.
Na segunda página, você pode especificar uma descrição do filtro. Para que você não se confunda: um filtro pode ser composto de muitos outros. Como indicamos no passo anterior na descrição do Traffic_nttp_nttps, agora criaremos sequencialmente dois filtros: um para HTTP e outro para HTTPS. O filtro resultante combinará esses dois filtros. Então, especifique no campo de descrição HTTP. Deixe a caixa de seleção espelhada habilitada - isso permitirá que as regras de filtro sejam estendidas tanto para o encaminhamento de pacotes quanto para o inverso com os mesmos parâmetros. Clique Em Avançar.
Agora você precisa especificar o endereço de origem dos pacotes IP. Como você pode ver na imagem, a escolha do endereço é bastante ampla. Agora vamos indicar o meu endereço IP e clicar em Avançar. Na próxima janela, especifique o endereço de destino. Selecione qualquer endereço IP, clique em Avançar. Agora é necessário especificar o tipo de Protocolo. Selecione na lista TCP. Vá em frente e defina os números dos portos.
O interruptor superior deixa na posição pacotes de qualquer porta e, na inferior, ativa o modo pacotes nessa porta e insere o valor da porta HTTP-80 no campo. Clique em Concluído, feche o assistente. Agora, mais uma vez, pressione o botão Adicionar e faça todas as operações anteriores novamente, mas já especificando o valor da porta 443 (para HTTPS). A lista da janela inferior deve conter ambas as regras de Filtragem de pacotes criadas.
Clique em OK. nosso filtro está pronto, mas agora é necessário determinar as ações que ele produzirá. Mude para a aba Gerenciar ações de filtro e clique em Adicionar. A caixa de diálogo do assistente será aberta novamente, clique em Avançar. Digite um nome, Por exemplo, Block, vá em frente. Como Ação, selecione o botão Bloquear, clique em Avançar e pronto. O filtro é criado, a ação é definida, tudo o que precisamos fazer é criar uma política e atribuí-la. Na janela do console da MMC, clique com o botão direito do mouse no nó Políticas de segurança IP e clique em Criar Política de segurança IP. Na janela do assistente que se abre, clique em Avançar e, em seguida, especifique um nome para a Política, por exemplo, Policy_nttp_nttps, clique em Avançar. Desmarque a opção Usar regra padrão, clique em Avançar e pronto. Na janela Propriedades da política, clique em Adicionar.
Pressione Próximo, deixe o interruptor na posição esta regra não define o túnel, vá em frente. Tipo de rede-especifique todas as conexões de rede, clique em Avançar. Agora você precisa selecionar um filtro da lista.
Selecione o filtro de tráfego criado por nós (um ponto no círculo deve aparecer à esquerda), clique em Avançar. Da mesma forma, selecione a ação para o filtro - Politica_nttp_nttps, clique em Avançar e pronto. Agora, no painel direito do console MMC, a Política criada será exibida com o nome de Politica_nttp_nttps.
Tudo o que resta a fazer é nomeá - la. Para fazer isso, clique com o botão direito do mouse no nome e selecione o comando atribuir. Para verificar, resta iniciar o navegador. Se tudo foi feito corretamente, o quadro deve ser assim.
Como resultado de ações anteriores, proibimos o uso do tráfego da web. Agora vamos adicionar um filtro que permitirá conexões com alguns nós da Internet. Por exemplo, permitiremos que o navegador navegue
host www.microsoft.com. para fazer isso, em nosso console MMC, clique duas vezes no nome da Política Política_nttrs_nttrs. Na janela de Propriedades, clique no botão Adicionar e, em seguida, clique duas vezes no filtro de tráfego. Na guia Lista de Filtros, clique em Adicionar. Especifique um nome para o novo filtro, por exemplo www.microsoft.com, clique em Adicionar, próximo, deixamos meu endereço IP como fonte de pacotes, clique em Avançar. Selecione um nome DNS específico como o endereço de destino e digite o nome do host www.microsoft.com clique em Avançar.
Um aviso será exibido informando que o filtro é substituído por um nome DNS www.microsoft.com o endereço IP será usado 207.46.197.32. Aceitamos clicando em Sim, em seguida, especifique o tipo de protocolo - TCP, selecione o interruptor para esta porta e especifique seu número - 80. Clique em seguida, pronto e OK. agora defina a ação do filtro - vá para a aba com o mesmo nome e selecione a opção Permitir.
Atualmente, o filtro consiste em dois filtros: um proíbe todo o tráfego http e o outro permite conexões com um endereço IP específico.
Este exemplo também mostra uma das diferenças significativas entre o uso de um firewall "normal" e a filtragem com IPSec: o uso do IPSec não permite especificar a ordem ou a prioridade do filtro. No entanto, ele vai trabalhar de qualquer maneira. Basta fechar todas as caixas de diálogo e verificar isso.
Agora, na transição para www.microsoft.com (e somente ele!) o navegador deve exibir o conteúdo desse host. Observe que os recursos hospedados em outro host (por exemplo, banners publicitários) não são exibidos - eles também são filtrados pela política IPsec aplicada.
Da mesma forma, você pode criar seus próprios filtros e aplicá-los.
Petukhov Oleg, advogado de Direito Internacional e proteção de dados pessoais, especialista em informação segurança, proteção de informações e dados pessoais.
Canal do Telegram: https://t.me/protecaodaInformacao
Grupo em Telegram: https://t.me/protecaodaInformacao1
Site: https://legascom.ru
Correio eletrónico: online@legascom.ru
#segurançadaInformação #Segurançadainformação
