Москва
+7-929-527-81-33
Вологда
+7-921-234-45-78
Вопрос юристу онлайн Юридическая компания ЛЕГАС Вконтакте

Proteção de conexão. 1

  • Печать
Обновлено 10.10.2025 06:17

Para estabelecer uma conexão segura, ambos os participantes da sessão devem ser capazes de concordar rapidamente com parâmetros de segurança, como algoritmos de autenticação e chaves. O protocolo IPsec suporta dois tipos de esquemas de gerenciamento de chaves por meio dos quais os participantes podem negociar parâmetros de sessão.

Com a versão atual do IP, o IPv4, o Internet Secure Association Key Management Protocol (ISAKMP) ou o Simple Key Management for Internet Protocol podem ser usados.

O cabeçalho AH.

O cabeçalho opcional (AH) é um cabeçalho de autenticação comum e é ficado situado o mais frequentemente entre o cabeçalho principal do pacote IP e o campo de dados. A presença desse cabeçalho não afeta a transmissão de informações em níveis de transporte e superiores. O principal e único objetivo do AH é fornecer proteção contra ataques relacionados à modificação não autorizada do conteúdo do pacote, inclusive da substituição do endereço de origem da camada de rede. Os protocolos de nível superior devem ser modificados para verificar a autenticidade dos dados recebidos.

Vejamos os valores de cada um desses campos.

O próximo cabeçalho (8 bits) é o tipo de cabeçalho de protocolo que segue o cabeçalho AH. Usando este campo, o módulo IP-sec receptor aprende sobre o protocolo de nível superior protegido. Os valores deste campo para protocolos diferentes podem ser encontrados no RFC 1700.

Payload Len (8 bits) - este campo define o tamanho total do cabeçalho em palavras de 32 bits menos 2. No entanto, ao usar o IPv6, o comprimento do cabeçalho deve ser um múltiplo de 8 bytes.

Reservado (16 bits) - reservado. Cheio de zeros.

Índice de Parâmetros de segurança (32 bits) - o índice de Parâmetros de segurança. O valor deste campo, junto com o endereço IP do destinatário e o protocolo de segurança (an-protocol), determina excepcionalmente a conexão virtual segura (SA) para este pacote. O intervalo de valores do SPI 1...255 é reservado pela IANA.

Número sequencial (32 bits) - número sequencial. É usado para proteger contra retransmissão. O campo contém um valor de parâmetro monotonamente crescente. Embora o destinatário possa optar por sair do serviço de proteção de retransmissão de pacotes, ele é obrigatório e está sempre presente no cabeçalho AH. O módulo IPsec transmissor usa sempre este campo, mas o receptor não pode processá-lo.

Valor de verificação de integridade - uma soma de verificação. Deve ser um múltiplo de 8 bytes para IPv6 e 4 bytes para IPv4.

O protocolo AH é utilizado para autenticação, ou seja, para confirmar que estamos entrando em contato exatamente com quem esperamos entrar em contato, e que os dados que recebemos não são distorcidos durante a transmissão.

O cabeçalho ESP.

Ao usar o encapsulamento de dados criptografados, o cabeçalho ESP é o último de uma série de cabeçalhos opcionais "visíveis" no Pacote. Como o principal objetivo do ESP é garantir a confidencialidade dos dados, diferentes tipos de informações podem exigir algoritmos de criptografia significativamente diferentes. Por esse motivo, o formato ESP pode sofrer alterações significativas dependendo dos algoritmos criptográficos utilizados. No entanto, podem ser distinguidos os seguintes campos obrigatórios: SPI, indicando o contexto de segurança, e campo número sequencial, contendo o número sequencial do pacote. O campo "Dados de autenticação ESP" (checksum) opcional no cabeçalho ESP. O destinatário do pacote ESP descriptografa o cabeçalho ESP e usa os parâmetros e dados do algoritmo de criptografia usado para decodificar as informações da camada de transporte.

Índice de Parâmetros de segurança (32 bits) – o índice de Parâmetros de segurança. O valor deste campo, junto com o endereço IP do destinatário e o protocolo de segurança (an-protocol), determina excepcionalmente a conexão virtual segura (SA) para este pacote. O intervalo de valores do SPI 1...255 é reservado pela IANA para uso futuro.

Número sequencial (32 bits) - número sequencial. É usado para proteger contra retransmissão. O campo contém um valor de parâmetro monotonamente crescente. Apesar de o destinatário poder recusar o serviço de proteção de retransmissão de pacotes, ele está sempre presente no cabeçalho AH. O remetente (transmitindo Módulo IPsec) deve sempre usar este campo, mas o destinatário pode não precisar processá-lo.

Payload data (variável) – este campo contém dados de acordo com o campo "próximo cabeçalho". Este campo é obrigatório e consiste em um número inteiro de bytes. Se o algoritmo usado para criptografar esse campo exigir dados para sincronizar processos criptográficos (por exemplo, o vetor de inicialização), esse campo poderá conter esses dados explicitamente.

Padding (0-255 octetos) é uma extensão. Isso é necessário, por exemplo, para algoritmos que exigem que o texto simples seja um múltiplo de um determinado número de bytes, como o tamanho do bloco para uma cifra de bloco.

Pad Length (8 bits) - tamanho do pad (em bytes).

Próximo cabeçalho (8 bits) - este campo define o tipo de dados contidos no campo "Payload data".

Valor de verificação de integridade - uma soma de verificação. Deve ser um múltiplo de 8 bytes para IPv6 e 4 bytes para IPv4.

Existem dois modos de aplicação de ESP e AH (bem como suas combinações) - transporte e túnel.

O modo de transporte é usado para criptografar o campo de dados de um pacote IP contendo protocolos da camada de transporte (TCP, UDP, ICMP), que, por sua vez, contém informações sobre serviços de aplicativos. Um exemplo do uso do modo de transporte é a transmissão de E-mail. Todos os nós intermediários na rota do pacote do remetente ao receptor usam apenas informações da camada de rede aberta e possivelmente alguns cabeçalhos de pacotes opcionais (em IPv6). A desvantagem do modo de transporte é a falta de mecanismos para ocultar o remetente e o destinatário específicos do pacote, bem como a capacidade de analisar o tráfego. O resultado dessa análise pode ser Informações sobre o volume e as direções da transmissão de informações, a área de interesse dos assinantes e a localização dos gerentes.

O modo de túnel, ao contrário do modo de transporte, envolve criptografar todo o pacote, incluindo o cabeçalho da camada de rede. O modo túnel é utilizado quando é necessário ocultar a troca de informações de uma organização com o mundo exterior. Nesse caso, os campos de endereço do cabeçalho da camada de rede de um pacote usando o modo túnel são preenchidos pelo firewall da organização e não contêm informações sobre o remetente específico do pacote. Ao transmitir informações do mundo externo para a rede local da organização, o endereço de rede do firewall é usado como endereço de destino. Após a descriptografia pelo firewall do cabeçalho da camada de rede inicial, o pacote é enviado ao destinatário.

Associações De Segurança.

Uma associação de Segurança (SA) é um tipo de conexão que fornece serviços para garantir a segurança do tráfego transmitido por ela. Por exemplo, quando dois computadores em cada lado da loja SA o modo, o protocolo, os algoritmos, e as chaves usadas no SA, a seguir cada SA é aplicado em somente um sentido. A comunicação bidirecional exige dois SA. cada SA executa um modo e um protocolo; assim, se dois protocolos precisam de ser usados para um pacote (tal como AH e ESP), a seguir dois SA estão exigidos.

Hoje, o protocolo IPsec é suportado por quase todos os dispositivos de rede modernos. Portanto, não darei exemplos de configuração deste Protocolo para o equipamento de um determinado desenvolvedor. Em posts anteriores, foram fornecidas apenas informações teóricas para entender como funciona o protocolo. Se você precisa de configurar o IPsec em modelos específicos do hardware, você precisa de usar a documentação fornecida pelo desenvolvedor de hardware.

Tendo considerado os fundamentos teóricos do funcionamento, vamos passar para a configuração prática. Como exemplo, vamos configurar uma política IPsec proibindo toda troca de dados pelos protocolos HTTP e HTTPS, e usaremos o Windows 7. Vale ressaltar que, se você usar o Sistema Operacional Windows 2008 server, eles podem ser diferentes, mas apenas um pouco.

Então, abra o console MMC (ícone Windows – Run – mmc).

No menu que é aberto, selecione o comando Console e, em seguida, adicione ou remova um snap-in. No diálogo que abre, igualmente clique adicionam, selecionam o gerenciamento da Política de segurança IP da lista que abre.

Na caixa de diálogo Seleção de computador exibida, especifique o computador Local. Fechamos as janelas sequencialmente clicando em Concluído, Fechar, OK. Agora, no painel esquerdo do console, teremos um nó de Política de segurança IP para o 'computador Local'. Clique com o botão direito nele e selecione o comando Manage IP Filter Lists.

Na caixa de diálogo que se abre, clique no botão Adicionar. Outra janela é aberta-uma lista de filtros. Para facilitar a navegação nas listas de filtros no futuro, definiremos um nome para o novo filtro digitando

no campo Nome, por exemplo, TRAFFIC_NTTR_NTTRS. Clique no botão Adicionar para começar a criar o próprio filtro.

Na segunda página, você pode especificar uma descrição do filtro. Para que você não se confunda: um filtro pode consistir em muitos outros. Como indicamos no passo anterior na descrição de TRAFFIC_TTTTTPS, agora vamos criar dois filtros sequencialmente: um para HTTP, outro para HTTPS. O filtro resultante combinará esses dois filtros. Então, especificamos HTTP no campo Descrição. Deixamos o sinalizador refletido ativado-isso nos permitirá estender as regras de filtro em uma direção do encaminhamento de pacotes e na direção oposta com os mesmos parâmetros. Clique Em Avançar.

Agora você precisa especificar o endereço de origem dos pacotes IP. Como você pode ver na foto, a escolha do endereço é bastante ampla. Agora vamos especificar meu endereço IP e clicar em Avançar. Na próxima janela, definimos o endereço de destino. Selecione qualquer endereço IP e clique em Avançar. Agora você deve especificar o tipo de Protocolo. Selecione TCP na lista. Vá em frente e defina os números das portas.

Deixamos o switch superior nos pacotes de qualquer posição de porta e ligamos os pacotes para este modo de porta com o switch inferior e inserimos o valor da porta HTTP 80 no campo. Clique em Concluído, feche o assistente. Agora clique no botão Adicionar novamente e faça todas as operações anteriores novamente, mas já especificando o valor da porta 443 (para HTTPS). A lista da janela inferior deve conter ambas as regras de Filtragem de pacotes criadas.

Clique em OK. Nosso filtro está pronto, mas agora é necessário determinar as ações que ele irá realizar. Alterne para a guia Gerenciar ações de filtro e clique em Adicionar. A caixa de diálogo do assistente é aberta novamente, clique em Avançar. Especificamos um nome, Por exemplo Block, e seguimos em frente. Como Ação, selecione a chave de bloqueio, clique em Avançar e pronto. O filtro foi criado, a ação para ele foi definida, tudo o que precisamos fazer é criar uma política e atribuí-la. Na janela do console do MMC, clique com o botão direito do mouse no nó IP Security Policy e selecione Create IP Security Policy. Na janela do assistente que é aberta, clique em Avançar e especifique um nome para a Política, por exemplo, POLICY_TT_TTTPS, clique em Avançar. Desmarque a caixa de seleção Usar regra padrão, clique em Avançar e pronto. Na janela Propriedades da política, clique em Adicionar.

Clique em Avançar, deixe a chave na posição esta regra não define um túnel e siga em frente. Tipo de rede-especifique todas as conexões de rede, clique em Avançar. Agora você precisa selecionar um filtro da lista.

Selecione o filtro TRAFFIC_NTTR_NTTRS que criamos (um ponto em um círculo deve aparecer à esquerda), clique em Avançar. Da mesma forma, selecione a ação para o filtro - POLICY_TT_TTTPS, clique em Avançar e pronto. Agora, no painel direito do console do MMC, uma política criada aparecerá com o nome POLICY_NTTR_NTTRS.

Só falta indicá-la. Para isso, clique com o botão direito do mouse no nome e selecione o comando Assign. Para verificar, resta iniciar o navegador. Se tudo fosse feito corretamente, a imagem deveria ser assim.

Como resultado das ações realizadas anteriormente, proibimos o uso do tráfego da web. Agora vamos adicionar um filtro que permitirá conexões com alguns nós da Internet. Por exemplo, permitiremos que o navegador visualize

nó www.microsoft.com . Para fazer isso, em nosso console MMC, clique duas vezes no nome da política policy_nttrs_nttrs. Na janela Propriedades, clique no botão Adicionar e, em seguida, clique duas vezes no filtro TRAFFIC_NTTR_NTTRS. Na guia Lista de Filtros, clique em Adicionar. Especificamos um nome para o novo filtro, por exemplo www.microsoft.com , clique em Adicionar, em seguida, deixe meu endereço IP como a origem do pacote, clique em Avançar. Selecione um nome DNS específico como endereço de destino e digite no campo Nome do Host www.microsoft.com . Clique Em Avançar.

Aparecerá um aviso informando que ao invés do nome DNS no filtro www.microsoft.com será utilizado o endereço IP 207.46.197.32. Concordamos clicando em Sim, em seguida, especifique o tipo de protocolo - TCP, selecione o switch para esta porta e especifique seu número - 80. Clique em Avançar, concluído e OK. Agora definimos a ação do filtro-vá até a aba de mesmo nome e selecione a opção Permitir.

Atualmente, o filtro consiste em dois filtros: um proíbe todo o tráfego http, o outro permite conexões com um endereço IP específico.

Este exemplo também mostra uma das diferenças significativas entre o uso de um firewall "normal" e a filtragem IPsec: o uso do IPsec não permite definir a ordem ou a prioridade do filtro. No entanto, ainda funcionará. Resta fechar todas as caixas de diálogo e marcar.

Agora, ao mudar para www.microsoft.com (e só ele!) o navegador deve exibir o conteúdo deste nó. Observe que os recursos localizados em outro host (por exemplo, banners) não são exibidos, pois também são filtrados pela política IPsec aplicada.

Da mesma forma, você pode criar seus próprios filtros necessários e aplicá-los.

Petukhov Oleg, advogado de Direito Internacional e proteção de dados pessoais, especialista em informação segurança, proteção de informações e dados pessoais.

Canal do Telegram: https://t.me/protecaodaInformacao

Grupo em Telegram: https://t.me/protecaodaInformacao1

Site: https://legascom.ru

Correio eletrónico: online@legascom.ru

#segurançadaInformação #Segurançadainformação

 

 

 

 
Юридические услуги
Яндекс.Метрика
Представительство в суде и защита прав, досудебное урегулирование споров, медиация, абонентское сопровождение организаций, кадровое делопроизводство, трудовое право, восстановление на работе и выплата заработной платы, регистрация и ликвидация предприятий, земельные споры, споры связанные с недвижимостью, сопровождение сделок с недвижимостью, бесплатная юридическая консультация. Квалифицированный юрист Вологда. Квалифицированный адвокат Вологда. Квалифицированный юрист Москва. Квалифицированный адвокат Москва. Квалифицированный юрист Санкт-Петербург. Квалифицированный адвокат Санкт-Петербург. Суд по интеллектуальным правам. Европейский суд по правам человека. Апелляционная жалоба. Апелляционная жалоба в Московский городской суд. Апелляционная жалоба в Санкт-Петербургский городской суд. Санкт-Петербургский городской суд. Московский городской суд. Верховный суд. Кассационная жалоба. Кассационная жалоба в Верховный суд. Оценка перспектив обращения в Европейский суд по правам человека. Подготовка жалоб в Европейский суд по правам человека. ЕСПЧ. Оценка перспектив обращения в ЕСПЧ. Подготовка жалоб в ЕСПЧ. Жалоба ЕСПЧ. Жалоба в ЕСПЧ. Адвокат ЕСПЧ. Юрист ЕСПЧ. Адвокат Европейский суд по правам человека. Юрист Европейский суд по правам человека. Комитет ООН по правам человека. Подготовка жалоб в Комитет ООН по правам человека. Подготовка жалоб в Комитет ООН по правам человека. Оценка перспектив обращения в Комитет ООН по правам человека. Жалоба Комитет ООН по правам человека. Адвокат Комитет ООН по правам человека. Юрист Комитет ООН по правам человека. Арбитражный суд города Москвы. Арбитражный суд Московской области. Арбитражный суд города Санкт-Петербурга и Ленинградской области. Арбитражный суд Вологодской области. Девятый апелляционный арбитражный суд. Десятый апелляционный арбитражный суд. Тринадцатый апелляционный арбитражный суд. Четырнадцатый арбитражный апелляционный суд. Арбитражный суд Московского округа. Арбитражный суд Северо-Западного округа. Юрист Верховный Суд. Адвокат Верховный Суд. Юрист Верховный Суд Российской Федерации. Адвокат Верховный Суд Российской Федерации. Юрист Верховный Суд РФ. Адвокат Верховный Суд РФ. Юрист Вологодский областной суд. Адвокат Вологодский областной суд. Юрист Ленинградский областной суд. Адвокат Ленинградский областной суд. Юрист Сантк-Петербургский городской суд. Адвокат Санкт-Петербургский городской суд. Юрист Московский областной суд. Адвокат Московский областной суд. Юрист Московский городской суд. Адвокат Московский городской суд. Реновация Москва. Реновация в Москве. Юрист реновация Москва. Юрист реновация в Москве. Адвокат реновация Москва. Адвокат реновация в Москве.