USO DINÂMICO DO IPSEC COM IPV6

Tamanho: px
Começar a partir da página:

Download "USO DINÂMICO DO IPSEC COM IPV6"

Transcrição

1 INPE TDI/1220 USO DINÂMICO DO IPSEC COM IPV6 Aritana Pinheiro Falconi Dissertação de Mestrado do Curso de Pós-Graduação em Computação Aplicada, orientada pelo Dr. Ulisses Thadeu Vieira Guedes, aprovada em 25 de outubro de INPE São José dos Campos 2007

2 PUBLICADO POR: Instituto Nacional de Pesquisas Espaciais - INPE Gabinete do Diretor Serviço de Informação e Documentação (SID) Caixa Postal CEP São José dos Campos - SP - Brasil Tel.:(012) /6923 Fax: (012) CONSELHO DE EDITORAÇÃO: Presidente: Dr. Gerald Jean Francis Banon - Coordenação Observação da Terra (OBT) Membros: Dr. Demétrio Bastos Netto - Conselho de Pós-Graduação Dr. Haroldo Fraga de Campos Velho - Centro de Tecnologias Especiais (CTE) Dra. Inez Staciarini Batista - Coordenação Ciências Espaciais e Atmosféricas (CEA) Marciana Leite Ribeiro - Serviço de Informação e Documentação (SID) Dr. Ralf Gielow - Centro de Previsão de Tempo e Estudos Climáticos (CPT) Dr. Wilson Yamaguti - Coordenação Engenharia e Tecnologia Espacial (ETE) BIBLIOTECA DIGITAL: Dr. Gerald Jean Francis Banon - Coordenação de Observação da Terra (OBT) Marciana Leite Ribeiro - Serviço de Informação e Documentação (SID) Jefferson Andrade Anselmo - Serviço de Informação e Documentação (SID) Simone A. Del-Ducca Barbedo - Serviço de Informação e Documentação (SID) Vinicius da Silva Vitor - Serviço de Informação e Documentação (SID) - bolsista REVISÃO E NORMALIZAÇÃO DOCUMENTÁRIA: Marciana Leite Ribeiro - Serviço de Informação e Documentação (SID) Marilúcia Santos Melo Cid - Serviço de Informação e Documentação (SID) Yolanda Ribeiro da Silva e Souza - Serviço de Informação e Documentação (SID) EDITORAÇÃO ELETRÔNICA: Viveca Sant Ana Lemos - Serviço de Informação e Documentação (SID)

3 INPE TDI/1220 USO DINÂMICO DO IPSEC COM IPV6 Aritana Pinheiro Falconi Dissertação de Mestrado do Curso de Pós-Graduação em Computação Aplicada, orientada pelo Dr. Ulisses Thadeu Vieira Guedes, aprovada em 25 de outubro de INPE São José dos Campos 2007

4 681.3: Falconi, Aritana Pinheiro. Uso dinâmico do IPSEC com IPV6 / Aritana Pinheiro Falconi. São José dos Campos: Instituto Nacional de Pesquisas Espaciais (INPE), p.; (INPE TDI/1220). 1. Segurança de computadores. 2. Protocolo. 3. Performance. 4. Redes de computadores. 5. Criptografia. 6. Privacidade. I. Título.

5

6

7 Você não pode escolher se você será um alvo, mas é você quem decide se você será ou não uma vítima. Gavin Becker

8

9 Dedico este trabalho a minha esposa Simone. Por causa de seu apoio e incentivo pude chegar até aqui.

10

11 AGRADECIMENTOS Agradeço a Deus. A minha esposa Simone pelo amor, paciência, incentivo e compreensão nos momentos de ausência e menor dedicação à família devido ao mestrado. A minha filha Júlia, por provocar a maior alegria que um homem pode ter: a paternidade. Não me arrependo dos momentos dedicados à ela em detrimento aos demais. A meu pai pelo incentivo e por acreditar em mim sempre. A minha mãe e meus irmãos pela torcida. Agradeço meu orientador, Dr. Ulisses Thadeu Vieira Guedes, pela orientação e paciência. Aos membros da banca examinadora pela disposição em analisar este trabalho. Às grandes amizades que conquistei nestes pouco mais de três anos no INPE, principalmente, em ordem alfabética: ACMO, Aditya, Ana Paula, Elcio, Elias, Fabrício, Felipe, Isabela, Tchê (Leonardo), e outros mais. Aos companheiros de trabalho do IEAv, principalmente Remo e Ana Maria, por permitirem que eu me ausentasse por diversas vezes e pudesse conduzir este trabalho. Agradeço a todos aqueles que direta ou indiretamente colaboraram para a realização deste trabalho.

12

13 RESUMO Este trabalho tem como objetivo propor uma metodologia de uso da plataforma de segurança IP Security - IPSec - com o Internet Protocol Version 6 - IPv6 - no intuito de avaliar e aumentar o desempenho da comunicação entre máquinas interligadas por uma rede de computadores. Propõe-se habilitá-lo quando estritamente necessário, sem manter um túnel criptógrafico durante toda a comunicação entre as máquinas envolvidas. Isso é feito permitindo que as aplicações acessem diretamente a base de dados de políticas do IPSec, alterando suas políticas. Para validar a metodologia, utilizou-se os serviços POP3 e FTP com uso do IPSec durante a transferência de senha de um usuário da aplicação, desabilitando o IPSec durante o resto da sessão TCP, mantendo a sessão.

14

15 DYNAMIC USE OF IPSEC WITH IPV6 ABSTRACT The objective of this work is to propose a methodology of use of the security platform IP Security - IPSec - with the Internet Protocol Version 6 - IPv6 - in order to evaluate and increase the performance of the communication between machines connected by a network computer. The proposition is enabling IPSec only when strictly necessary, without keeping an encryption tunnel during the whole communication between machines. This is made by the applications having access directly to the IPSec security policies database and modifying some policies. The POP3 and FTP services had been used to evaluate the IPSec use only during the transference of an application user password. After that, the IPSec is disabled during the same TCP session.

16

17 SUMÁRIO Pág. LISTA DE FIGURAS LISTA DE TABELAS LISTA DE ABREVIATURAS E SIGLAS 1 INTRODUÇÃO REVISÃO BIBLIOGRÁFICA IPv IPSec Associação de Segurança IKE Implementações IPSec VPN Protocolo POP Protocolo FTP USO DINÂMICO DO IPSEC COM IPV Trabalhos Relacionados Solução Proposta Dois Estudos de Casos Configurando os Sistemas Operacionais Configuração das políticas do IPSec RESULTADOS EDISCUSSÕES CONCLUSÕES ETRABALHOS FUTUROS REFERÊNCIAS BIBLIOGRÁFICAS

18

19 LISTA DE FIGURAS Pág. 2.1 Formato do cabeçalho IPv Formato do cabeçalho IPv Formato do cabeçalho AH Formato do cabeçalho ESP AH no modo transporte ESP no modo transporte AH no modo túnel ESP no modo túnel AH eesp no modo transporte AH eesp no modo túnel Processamento do tráfego de saída IPSec Topologia de VPN máquina-máquina Topologia de VPN máquina-rede Topologia de VPN rede-rede Exemplo de sessão POP Esboço do funcionamento das aplicações alteradas Arquitetura da rede Tempo gasto pelos três métodos com FTP epop Tempos dos métodos com IPSec que excedem os tempos do método Claro Sessões POP3 com IPSec no momento da autenticação do usuário

20

21 LISTA DE TABELAS Pág. 2.1 Exemplos de endereços IPv Configuração das máquinas utilizadas nos testes Tempos em segundos dos três métodos com FTP epop Tempo amais gasto por cada método em relação ao Claro Piora dos métodos que usam IPSec em relação ao Claro Melhora do método Parcial em relação ao Tudo em percentagem

22

23 LISTA DE ABREVIATURAS E SIGLAS 3DES-CBC Triple Data Encryption Standard - Cipher Block Chaining Mode AH Autentication Header ARP Address Resolution Protocol DES-CBC Data Encryption Standard - Cipher Block Chaining Mode DHCP Dynamic Host Configuration Protocol ESP Encapsulating Security Payload HMAC Keyed-Hashing for Message Authentication HMAC-MD5 HMAC - Message Digest 5 HMAC-RIPEMD HMAC - RACE Integrity Primitives Evaluation Message Digest HMAC-SHA-1 HMAC - Secure Hash Algorithm - Version 1.0 IAB Internet Association Board ICMP Internet Control Message Protocol ICMPv4 Internet Control Message Protocol Version 4 ICMPv6 Internet Control Message Protocol Version 6 ICV Integrity Check Value IETF Internet Engineering Task Force IKE Internet Key Exchange IP Internet Protocol IPng Internet Protocol New Generation IPSec Internet Protocol Security IPv6 Internet Protocol Version 6 ISAKMP Internet Security Association and Key Management Protocol L2F Layer 2 Forwarding L2TP Layer Two Tunneling Protocol NAT Network Address Translator POP3 Post Office Protocol - Version 3 PPTP Point-to-Point Tunneling Protocol RFC Request For Comment ROAD Routing and Addressing SA Security Association SAD Security Association Database SPD Security Policy Database SPI Security Parameter Index SSL Secure Sockets Layer TCP Transmission Control Protocol TCP/IP Transmission Control Protocol/Internet Protocol TTL Time To Live UDP User Datagram Protocol VPN Virtual Private Network

24

25 1 INTRODUÇÃO O Internet Protocol (IP) Version 6 (IPv6) é a próxima geração do protocolo da camada de rede da pilha de protocolos Transmission Control Protocol / Internet Protocol (TCP/IP) projetado pela Internet Engineering Task Force (IETF) (IETF, 1986) para substituir a versão atual do IP Version 4 (IPv4) (POSTEL, 1981). O IPv6 também é conhecido como Internet Protocol New Generation (IPng) (DEERING; HINDEN, 1998). Apesar do IPv4 ser o padrão na Internet, existem várias redes acadêmicas e de pesquisas no mundo usando IPv6 para testes e seu desenvolvimento. O Brasil faz parte de uma rede IPv6 internacional criada para os mesmos fins, indicando que em poucos anos a migração poderá ser efetivada (RNP, 2002). O IPv6, além de adicionar novas características ao seu antecessor como auto-configuração e mobilidade, corrige alguns dos problemas do IPv4 como número de endereços IP limitados a 2 32 e falta de garantia da qualidade de serviço. Ainda, o IPv6 aborda a falta de segurança na camada de rede da pilha de protocolos TCP/IP, problema não previsto originalmente no projeto do IPv4. Como a Internet, inicialmente, se restringia aos meios militares, científicos e acadêmicos, os princípios de segurança eram baseados em códigos de uso ético da rede e controle de acesso físico. Com a abertura da Internet para o setor privado, principalmente para uso comercial, o conceito de segurança teve suas premissas alteradas. Não se pôde mais basear a segurança no controle de acesso físico à rede e foram se evidenciando falhas de projeto do IPv4 neste tipo de ambiente. Hoje, devido ao caráter de compartilhamento de informações da Internet, a confidencialidade dos dados trafegados se tornaram prioritários e críticos. Vários tipos de ataques e invasões à redes de empresas conectadas à Internet usam essas falhas de projeto (STRAUCH, 1999). Em resposta aos desafios de segurança da camada de rede, o grupo de trabalho IP Security Protocol do IETF desenvolveu a plataforma IP Security (IPSec) (KENT; ATKINSON, 1998c). Esta plataforma foi desenvolvida para prover serviços de autenticidade e confidencialidade de alta qualidade, baseados em criptografia, para a camada de rede e/ou para as camadas superiores da pilha de protocolos do TCP/IP. O conjunto de serviços oferecidos inclui controle de acesso, integridade não orientada à conexão, autenticação da origem dos dados e confidencialidade. A implementação do IPSec é opcional no IPv4 e obrigatória no IPv6. Para prover a autenticidade e confidencialidade do tráfego de dados na rede a plataforma 25

26 IPSec define: protocolo de autenticação IP (AH - Authentication Header) (KENT; AT- KINSON, 1998a); protocolo de encapsulameto dos dados (ESP - Encapsulating Security Payload) (KENT; ATKINSON, 1998b); procedimentos e protocolos de gerência de chaves criptográficas (MAUGHAN et al., 1998; HARKINS; CARREL, 1998). Na Sessão 2.2 o IPSec e seus protocolos são explicados com maior clareza. O IPSec é utilizado atualmente para criação de Virtual Private Network (VPN). Geralmente, são criados túneis de criptografia entre dois gateways capazes de assegurar a confidencialidade de todos os dados transmitidos entre eles de forma transparente às máquinas de cada rede. Entende-se por gateway uma máquina por onde passa todo o tráfego que sai e entra em uma rede. Apesar do IPSec ter sido desenvolvido para se tornar uma solução genérica de proteção dos dados de qualquer aplicação de forma transparente, muitas aplicações preferem implementar suas próprias soluções de segurança ou usar soluções paliativas do que usar protocolos já padronizados e disponíveis. O uso dos protocolos secure shell (SSH) (LONVICK, 2004) e o transport layer security (TLS) (DIERKS; ALLEN, 1999) são alguns exemplo, porém ambos oferecem proteção apenas ao protocolo TCP e seus dados. A grande desvantagem das VPNs com IPSec está na perda de desempenho na comunicação de dados entre as redes interligadas. Segundo (ARIGA et al., 2000; KEROMYTIS; WRIGHT, 2000), o desempenho do tráfego de dados pode cair até 90%, quando comparada a uma comunicação tradicional sem o uso de IPSec. Segundo (SILVA et al., 2001) a queda no desempenho de transferências de arquivos pela rede chegou a 75% usando IPSec. Outras desvantagens relevantes das VPNs IPSec são a inexistência de um mecanismo de controle das políticas do IPSec acessível pelas aplicações e a rigidez do IPSec ao só permitir que se proteja tudo ou nada, ou seja, não há como classificar a confidencialidade dos dados que serão transferidos pela aplicação e definir quando a proteção é ou não desejada. O problema do aumento do tempo das sessões TCP quando se usa IPSec e a falta de um mecanismo de acesso às políticas do IPSec pelas aplicações são os focos desse trabalho. O objetivo é diminuir o tempo total da comunicação de dados entre duas aplicações, quando se usa o IPSec, através da flexibilização de seu uso. Foi adotada a estratégia de classificação do conteúdo dos dados a serem protegidos pelo IPSec. Ou seja, protege-se uma parte dos dados de uma aplicação que exigirem maior sigilo, tipicamente a autenticação do usuário da aplicação. Para que se proteja apenas uma parte dos dados de uma aplicação é preciso que ela possa habilitar e desabilitar o IPSec no meio de uma sessão TCP em momentos arbitrários. 26

27 É importante ressaltar que quando se propõe usar o IPSec apenas em parte de uma sessão TCP, não desejamos dar a conotação de diminiuir a segurança. O IPSec será aplicado em protocolos que não implementam nenhuma proteção de sigilo para seus dados, como por exemplo os protocolos FTP e POP3, porém em parte da sessão TCP. Ou seja, sempre o nível de seguraça será aumentado. Como resultado deste trabalho, é feita uma comparação de desempenho entre comunicações de dados sem uso do IPSec, com IPSec e com uso do IPSec em parte da comunicação, abordagem proposta neste trabalho. Este documento é organizado da seguinte maneira: No Capítulo 2 são apresentadas algumas das características do IPv6, IPSec, VPNs, POP3 e FTP enfocando particularmente os aspectos mais relevantes para este trabalho. No Capítulo 3 é apresentado o trabalho desenvolvido, incluindo a metodologia e opções de projeto. No Capítulo 4 são exibidos e discutidos os resultados e as medições de tempo de arquivos e caixas postais nas modalidades de uso do IPSec tradicional e usando o modelo proposto. No Capítulo 5 são apresentadas as principais conclusões e propostas de trabalhos futuros. 27

28

29 2 REVISÃO BIBLIOGRÁFICA Neste Capítulo são revisados os principais conceitos relevantes ao trabalho. É importante deixar claro que para informações completas sobre os temas abordados sugere-se seguir as referências bibliográficas encontradas no final deste documento. Na concepção do protocolo IP (Postel, 1981), há aproximadamente duas décadas, não foram previstas necessidades emergentes da sociedade e da sua relação com os sistemas de comunicação atuais, em particular com a Internet. Por isso, há características que necessitam de alterações. Essas características são: espaço de endereçamento; auto-configuração e mobilidade; inexistência de segurança na camada de rede; qualidade de serviço; suporte de aplicações em tempo-real. Figura Formato do cabeçalho IPv4. O principal motivo que fez necessária a mobilização da IETF para criação de uma nova versão do cabeçalho IP foi o número de endereços IP disponíveis para todo o mundo. Observando o cabeçalho IPv4 na Figura 2.1, vemos que o tamanho de um endereço IP é de 32 bits, capaz de endereçar pouco mais que quatro bilhões de endereços IP (2 32 ). A tendência é que cada casa tenha pelo menos uma máquina com acesso a Internet e, portanto, tenham um endereço IP. 29

30 Para suprir tais necessidades foi necessário a criação de uma nova versão do protocolo IP, o IPv6. Porém, enquanto não havia uma definição do protocolo e depois o IPv6 não se tornava o protocolo padrão na prática, foram desenvolvidas soluções paleativas para a falta de endereços IP, como por exemplo o Network Address Translation (NAT) (SOARES, 1995). O NAT é um sistema de tradução de endereços de rede. Na rede interna de cada organização é possivel que seja criada uma infra-estrutura de redes utilizando para isto endereços IPv4 privados. Entre a rede interna da organização e a rede Internet, fica uma estação, um firewall, contendo duas interfaces de rede, uma interna, com endereço IPv4 privado, e outra externa, com endereço IPv6 válido. O problema do NAT é que não se pode acessar de fora determinadas máquinas que estão atrás do firewall, pois elas utilizam endereçamento IP privado, ou seja, endereços que são reservados e não são roteados na Internet. Desta maneira, não há como ter serviços como World Wide Web (www) e File Transport Protocol (FTP) divididos por setores da instituição. Ainda, o NAT impede que relações de confiaça sejam estabelecidas entre máquinas externas com as internas da instituição, já que não há comunicação direta entre os destinos. E para resolver os problemas de autenticidade e confidencialidade na camada de rede foi desenvolvido o IPSec. Ambos são comentados nas seções seguintes de forma sucinta. 2.1 IPv6 O projeto IP the Next Generation (IPng), também conhecido como IPv6 - representa o resultado da evolução de diferentes propostas da IETF, bem como o esforço conjunto de vários grupos de trabalho. O projeto IPng sofreu a seguinte evolução: No encontro IETF de Vancouver, Frank Solensky, Phill Gross e Sue Hares afirmaram que à taxa de atribuição do espaço de endereçamento IPv4, as classes do tipo B estariam esgotadas possivelmente por volta de Março de A IETF forma o grupo de trabalho Routing and Addressing (ROAD) no encontro de Santa Fé com o objetivo de encontrar uma solução para a exaustão do espaço de endereçamento IPv A Internet Association Board (IAB) apresenta o documento IP version 7 paralelamente aos esforços do grupo de trabalho ROAD, em que recomenda à IETF a preparação de um plano detalhado para o sucessor do protocolo IP. A IETF rejeita esta sugestão e apresenta pedido de propostas recomendadas pelo 30

31 grupo ROAD. Como resposta a este pedido surgiram algumas propostas: CNAT; IP Encaps; Nimrod; Simple CLNP (finais) - Surgem mais três propostas: The P Internet Protocol (PIP); The Simple Internet Protocol (SIP); TP/IX Phil Gross (IESG) apresenta um memorando intitulado A Direction for IPng, onde anuncia a criação de uma área temporária para o IPng. CLNP e IP Encaps evoluem, dando origem respectivamente a TCP and UDP with Bigger Addresses (TUBA) e IPAE (finais) - SIP evoluiu, abrangendo características do IPAE. SIP e PIP, deram origem à proposta The Simple Internet Protocol Plus (SIPP). Ao mesmo tempo, a proposta TUBA alterou o nome para Common Architecture for the Internet (CATNIP) No dia 25 de Julho, é proposta uma recomendação do IPng no reunião da IETF em Toronto, sendo uma parte significativa do protocolo base proveniente do grupo de trabalho SIPP. Esta recomendação é aprovada em 17 de Novembro de 1994 e proposta como padrão O conjunto base de protocolos do IPv6 é aprovado e proposto para padrão em 18 de Setembro de A idéia de criar uma rede de testes à semelhança da já existente para testes multicast (MBone) é posta em prática. Em Junho de 1996 concretiza-se esta idéia com a construção da rede 6Bone. Uma das novas características deste novo protocolo é, o novo formato do endereço. O IPv6 amplia o atual endereço de 32 para 128 bits possibilitando assim um método mais simples de autoconfiguração através do uso da identificação EUI-64 da maior parte das interfaces de rede. Existem três formas de representação de um endereço IPv6. A forma mais utilizada é x:x:x:x:x:x:x:x, onde, os x são números hexadecimais. Assim o endereço IPv6 é dividido em oito partes de 16 bits, como apresentado no seguinte exemplo: FEDC:BA98:7654:3210:FEDC:BA98:7654:3210 Apenas 15% de todo espaço de endereçamento IPv6 estão previamente alocados, ficando os restantes reservados para uso futuro. Devido a essa pré-alocação, serão comuns endereços com seqüências de bits com o valor zero (SILVA; FARIA, 2001). 31

32 De forma a simplificar a representação de tais endereços as seqüências de zeros podem ser substituídas pela agregação ::. No entanto, esta apenas poderá ser efetuada uma única vez em cada endereço. A Tabela 2.1 apresenta alguns exemplos de endereçamento IPv6 tanto na sua representação extensa como na forma abreviada: Tabela Exemplos de endereços IPv6. Endereço Representação Extensa Forma Abreviada Unicast 3ffe:3102:0:0:8:800:200C:417A 3ffe:3102::8:800:200C:417A Multicast FF01:0:0:0:0:0:0:43 FF01::43 Loopback 0:0:0:0:0:0:0:1 ::1 Unspecified 0:0:0:0:0:0:0:0 :: A terceira opção é utilizada na representação de endereçamento compatível IPv6/IPv4, sendo útil no período de migração e coexistência de ambos os protocolos. Assim utilizamos a representação x:x:x:x:x:x:z.z.z.z, onde, os x indicam números hexadecimais (16 bits) e os z são valores que representam os 8 bits referentes ao endereço IPv6-0:0:0:0:0:0: ou, na forma abreviada - :: Figura Formato do cabeçalho IPv6. O cabeçalho do IPv6 tem tamanho fixo, 64 bits de informações como prioridade, comprimento, próximo cabeçalho etc. e mais 2 x 128 bits de endereços (origem e destino), totalizando 320 bits, ou 40 bytes (DEERING; HINDEN, 1998). O tamanho do cabeçalho é fixo em conseqüência da alteração feita em relação ao IPv4, transformando o campo de opções em cabeçalhos de extensão. Assim, as opções são referenciadas no campo Next 32

33 Header do IPv6, evitando a necessidade de um campo que informe o tamanho do próprio cabeçalho IP. O formato do cabeçalho IPv6 em bits, pode ser visto abaixo na Figura 2.2, onde: O primeiro campo (4 bits), version, de um datagrama IP contém a versão do protocolo IP, neste caso contém o valor 6. Este campo possui o mesmo tamanho e a mesma funcionalidade que possui na versão 4. O campo priority (4 bits) determina a prioridade de um datagrama em relação aos outros datagramas da mesma origem. Valores de 0 a 7 nesse campo determinam transmissões que podem ser retardadas no caso de congestionamento. Valores de 8 a 15 se referem a aplicações cujo tráfego é constante e um atraso implicaria em perda de informação. Este campo é utilizado quando o pacote enfrenta um tráfego congestionado e geralmente o tráfego a ser priorizado são os de aplicações como áudio e vídeo. O campo Flow Label (24 bits) identifica uma seqüência de pacotes de uma máquina origem a uma destino que precisem de um tratamento especial. Por exemplo, voz e vídeo em tempo real requerem tratamento diferenciado que exige qualidade de serviço. Este campo é usado para identificar o tráfego que deve ter um tratamento especial com reserva de largura de banda. Os pacotes que se utilizem desta facilidade devem ter o mesmo rótulo de fluxo, endereço de origem, endereço destino e prioridade. Os pacotes que não pertencerem a um fluxo particular, devem preencher este campo com zeros. O campo Payload Length, com 16 bits, especifica o comprimento total do datagrama IP em bytes, não considerando os 40 bytes do cabeçalho básico. O seu valor máximo é 64 Kbytes, se for necessário enviar um datagrama ainda maior, este campo deve ser zerado e deve ser usada a opção correspondente do cabeçalho de extensão hop-by-hop, que será comentado no próximo item. O datagrama IPv6 é composto por um cabeçalho básico e por diversos cabeçalhos de extensão, os quais são opcionais, ou seja, podem ou não estar presentes. No IPv4, estas opções eram parte integrante do cabeçalho IP, tornando seu tamanho variável, dependendo das opções habilitadas pelas aplicações. Para identificar o tipo de cabeçalho que segue o cabeçalho IP, existe o campo Next Header. Como opção pode se ter um cabeçalho de extensão ou o cabeçalho de um protocolo da camada superior (geralmente TCP ou UDP). Os cabeçalhos que podem ser 33

34 selecionados são: Hop-by-Hop Options, Routing, Fragment, Authentication, Destination Options, Encapsulating Security Payload, Upper Layer Header, Internet Control Message Protocol (ICMP), no next header. O campo Hop Limit, de 8 bits, determina o número máximo de máquinas que um datagrama deve atravessar antes de alcançar o seu destino. Este campo funciona da mesma forma no IPv4, ele decrementa em cada máquina que o datagrama passa na rede, sendo o datagrama descartado quando o valor de seu campo chegar a zero e não tiver sido atingido a máquina destino. Sua principal função é evitar que um datagrama permaneça em loop na rede devido a algum problema de roteamento. No IPv4, seu nome era tempo de vida. Por último, tem-se os campos Source Address e Destination Address, com 128 bits cada, que especificam, respectivamente, os endereços da máquina que enviou o datagrama e da máquina para o qual o mesmo é destinado. No caso de ser utilizado o cabeçalho de extensão de roteamento, o campo de endereço destino contém o endereço da próxima máquina da rota ao invés do endereço da máquina destino. As mudanças do cabeçalho IPv4 para o IPv6 foram: Os campos Source Address e Destination Address tem 128 bits e não 32 bits como no IPv4; O campo length foi eliminado do cabeçalho IPv6 porque o tamanho do cabeçalho é fixo, 20 bytes; O campo type of service foi eliminado no IPv6. Os campos priority e flow label cumprem juntos essa função; O campo total length foi eliminado no IPv6 e trocado pelo campo payload length; Os campos identification, flag e offset do IPv4 foram eliminados e são incluídos no cabeçalho de extensão fragmentation; O campo TTL agora se chama hop limit no IPv6; O campo protocol foi trocado por next header; O campo header checksum do IPv4 foi eliminado. Como a cada roteador em que o pacote passa o campo TTL necessita ser alterado, o checksum teria que ser 34

35 refeito, consumindo tempo e processamento. Além de que os protocolos de camadas superiores, como o TCP, checam erros da camada IP, incluindo endereços de destino e origem. Para evitar redundância desnecessária, o campo checksum não aparece no IPv6; O campo option do IPv4 foi implementado como cabeçalhos de extensão do IPv6. As principais características IPv6 são, dentre outras: simplificação do formato do cabeçalho. Desta forma, os pacotes são processados de forma mais eficiente pelos roteadores intermediários. Contudo, o IPv4 e o IPv6 não são interoperáveis, já que um roteador ou máquina precisa implementar ambos os protocolos para conseguir reconhecer e processá-los; espaço de endereçamento expandido: IPv6 tem endereços IP de origem e destino de 128 bits ou 16 bytes. Embora 128 bits possam expressar 3, 4x10 38 possíveis combinações, o espaço de endereçamento IPv6 foi projetado para permitir diversos níveis de sub-redes. Com um espaço de endereçamento expandido, técnicas de conservação de endereços, como o Network Address Translator (NAT), não são mais necessárias; suporte melhorado para extensões e opções: em IPv4 as opções eram integradas no cabeçalho base do IPv4. Contudo, em IPv6 as opções são consideradas Cabeçalhos de Extensão. Os Cabeçalhos de Extensão são opcionais e inseridos apenas entre o cabeçalho base IPv6 e a carga útil de dados (payload), se necessário; extensibilidade: esta característica é conseqüência da anterior, pois IPv6 pode facilmente incorporar novas funcionalidade com a adição de Cabeçalhos de Extensão após o cabeçalho base IPv6. Enquanto as opções no cabeçalho IPv4 podem suportar somente 40 bytes, o tamanho dos cabeçalhos de extensão é limitado somente pelo tamanho do pacote IPv6; configuração de endereço stateless e stateful: para simplificar a configuração de máquinas, IPv6 suporta configuração de endereços stateful, que precisa de uma aplicação servidora Dynamic Host Configuration Protocol (DHCP), e configuração de endereços stateless, que ocorre na ausência do DHCP. Com a configuração stateless, as máquinas no mesmo enlace automaticamente se auto-configuram com endereços IPv6 do enlace, chamados endereços link-local, e com endereços derivados dos prefixos anunciados pelos roteadores locais. Mesmo na ausência de 35

36 um roteador, as máquinas no mesmo enlace podem automaticamente se autoconfigurar com endereços link-local e se comunicarem sem configuração manual; suporte nativo a autenticidade e confidencialidade: suporte ao IPSec é uma exigência de IPv6, através das extensões de autenticação e confidencialidade; suporte nativo a mobilidade: IPv6 móvel permite roteamento transparente de pacotes IPv6 para máquinas móveis, tirando vantagem das oportunidades criadas pelo projeto da nova versão do IP. Além disto, cada máquina móvel é sempre identificado pelo seu endereço home, independente de seu ponto de conexão na Internet. Enquanto a máquina móvel estiver distante de sua subrede originária, ele está associado com um endereço care-of, que indica sua localização corrente. Desta forma, IPv6 móvel permite que qualquer máquina IPv6 aprenda e armazene o endereço care-of associado com o endereço home da máquina móvel e, então, envia pacotes destinados à máquina móvel diretamente para o endereço care-of usando o cabeçalho de roteamento do IPv6. suporte melhorado para QoS: novos campos no cabeçalho IPv6 definem como o tráfego é manipulado e identificado. Identificação de tráfego, usando o campo Flow Label do cabeçalho base IPv6, permite que roteadores identifiquem e providenciem manipulação especial para pacotes de um fluxo, que é uma série de pacotes entre uma origem e um destino; novo protocolo para interação entre máquinas vizinhas: o protocolo Neighbor Discovery (NARTEN et al., 1998) é uma série de mensagens Internet Control Message Protocol para IPv6 (ICMPv6), que gerencia a interação entre máquinas vizinhas (máquinas no mesmo enlace). O Neighbor Discovery substitui as mensagens do protocolo Address Resolution Protocol (ARP), ICMPv4, Router Discovery e ICMPv4 Redirect com suas mensagens unicast e multicast Neighbor Discovery. (SANTOS, 2004) A possibilidade de se fazer pesquisa com um protocolo que dentro de curto prazo se tornará padrão de fato, todas estas características novas do IPv6, o fato do IPSec ter implementação obrigatória em sistemas com IPv6, foram importantes na escolha do uso do IPv6 como protocolo da camada de redes nos testes. Os testes que serão apresentados neste trabalho também poderiam ser feitos com IPv IPSec O IPSec (KENT; ATKINSON, 1998c) é um conjunto de protocolos que provêem serviços de autenticidade e confidencialidade para comunicações na Internet. Protege o datagrama IP 36

37 inteiro no modo fim a fim, sendo que nenhuma máquina intermediária na Internet pode ter acesso ou pode modificar qualquer informação sobre a camada IP. Dentre as vantagens e limitações do IPSec, podemos destacar: Vantagens: Sistema completo que pode prover vários serviços de autenticidade e confidencialidade no tráfego de dados; Implementa confidencialidades dos dados de forma transparente a todas as aplicações; Tem um bom nível de confidencialidade; Redução de custos em interligação de redes institucionais; É um padrão, ou seja, tem que demonstrar interoperabilidade entre dispositivos de diferentes fabricantes. Desvantagens: Complexo e não completamente maduro; Problemas com NAT, proxy e endereços dinâmicos (ainda em discussão na IETF); Possui algumas questões de interoperabilidade; Provoca queda de desempenho na comunicação de dados; É necessário criar relações de confiança entre as redes. A arquitetura IPSec usa dois protocolos para prover autenticidade e confidencialidade - Autentication Header (AH) (KENT; ATKINSON, 1998a) e Encapsulating Security Payload (ESP) (KENT; ATKINSON, 1998b). As Figuras 2.3 e 2.4 mostram o formato dos cabeçalhos. Ainda, a plataforma IPSec utiliza o Internet Key Exchange (IKE), que implementa procedimentos e protocolos de troca e gerência de chaves criptográficas (MAUGHAN et al., 1998; HARKINS; CARREL, 1998). Formato do cabeçalho AH pode ser visto na Figura

38 Figura Formato do cabeçalho AH. Sendo os campos do cabeçalho AH: next header: identifica o tipo de cabeçalho que vem após o AH, podendo ser outro cabeçalho IPSec (ESP) ou cabeçalhos TCP, UDP, ICMP, IP (se usar o modo de operação túnel) ou cabeçalhos de extensão; payload length: descreve quantas palavras de 32-bits seguem o campo SPI. A intenção é transmitir o comprimento do dado autenticado, que é um campo variável, para o receptor do pacote. O comprimento do dado autenticado no AH pode diferir dependendo do algoritmo usado; reserved: é um campo reservado para uso futuro, preenchido com zero; security parameter index (SPI): é o índice na base de dados da SA do receptor do pacote e é utilizado para indicar qual algoritmo criptográfico usar; sequence number: é o número de mensagens enviadas pelo transmissor para o receptor usando a SA atual. Previne ataques de replay se o transmissor enviar esta informação para o receptor, o que torna o receptor capaz de realizar esta prevenção, se desejar; autentication data: é o único campo de tamanho variável. Contém o Integrity Check Value (ICV), que é a versão criptográfica do conteúdo da mensagem que pode ser usada pelo receptor para verificar integridade e autenticação da mensagem, e bytes de padding, que podem ser inseridos caso seja necessário ajustar o tamanho deste campo aos limites exigidos pelo algoritmo específico, que estiver sendo usado. É um checksum seguro, criptograficamente gerado a partir da carga útil de dados, de alguns campos do IP e dos cabeçalhos de extensão, concatenado com uma chave secreta negociada entre as partes envolvidas 38

39 na comunicação, durante o estabelecimento da SA e indexada pelo valor SPI. (SANTOS, 2004) Formato do cabeçalho ESP pode ser visto na Figura 2.4. Figura Formato do cabeçalho ESP. Sendo os campos do cabeçalho ESP: SPI: é o índice na base de dados da SA do receptor do pacote e é utilizado para indicar qual algoritmo criptográfico usar; sequence number: é o número de mensagens enviadas pelo transmissor para o receptor usando a SA atual. Previne ataques de replay se o transmissor enviar esta informação para o receptor, o que torna o receptor capaz de realizar esta prevenção, se desejar; payload data: se a proteção oferecida para a mensagem for confidencialidade, este campo conterá uma versão cifrada do conteúdo da mensagem, o que substitui a mensagem inicial não cifrada. A parte cifrada também inclui os três campos do cabeçalho ESP seguindo os dados (padding, pad length e next header); padding: são zeros adicionados ao cabeçalho ESP até alcançar o tamanho desejado, ou seja, até que o cabeçalho tenha tamanho múltiplo de 32 bits; pad length: número total de bytes de padding contido no campo anterior; 39

40 next header: identifica o tipo de cabeçalho que segue o ESP, podendo ser cabeçalhos TCP, UDP, ICMP, IP (se usar o modo de operação túnel) ou cabeçalhos de extensão; authentication data: um campo opcional de tamanho variável que contém o ICV, se a mensagem receber proteção de autenticação e integridade. Porém, quando isso ocorre, a autenticação do ESP protege apenas o próprio cabeçalho. O IPSec trata todos os dados em um datagrama IP e o cabeçalho IP como uma unidade integral. Normalmente, um datagrama IP tem três partes sucessivas - o cabeçalho IP (somente por propósito de rotas), os cabeçalhos da camada superior (por exemplo, o cabeçalho TCP), e os dados da aplicação (por exemplo, os dados do protocolo POP3). O AH assegura ao destinatário que os dados IP são realmente do remetente indicado no endereço de origem e que o conteúdo foi entregue sem modificações. O ESP permite a confidencialidade e autenticação dos dados encapsulados no pacote IP. O IPSec pode ser usado em dois modos de acordo com o que se deseja proteger. Em modo de transporte, um cabeçalho do protocolo IPSec (AH ou ESP) provê proteção para os protocolos das camadas superiores à camada de rede, pois é inserido depois do cabeçalho IP original e antes do cabeçalho do protocolo superior. Esse modo é usado, geralmente, na topologia máquina-máquina e máquina-rede (Ver Seção 2.3). As Figuras 2.5 e 2.6 mostram onde são inseridos os cabeçalhos e quais cabeçalhos eles protegem. Figura AH no modo transporte. Figura ESP no modo transporte. 40

41 Em modo de túnel a proteção se aplica ao datagrama IP inteiro, inclusive ao cabeçalho IP. Isso é possível porque todo o datagrama IP é encapsulado em um pacote IPSec e é criado um novo cabeçalho IP (figuras 2.7 e 2.8). O modo túnel pode ser usado na topologia máquina-rede e rede-rede (Ver Seção 2.3). Figura AH no modo túnel. Figura ESP no modo túnel. Ainda é possível usar AH e ESP juntos, onde se provê a máxima autenticidade e confidencialidade do IPSec e é o modo mais recomendado. No modo transporte, os cabeçalhos AH/ESP aparecem imediatamente antes do cabeçalho da camada de transporte e não protegem o cabeçalho IP totalmente, somente AH oferece alguma proteção ao cabeçalho IP enquanto o ESP não o protege de forma alguma. No modo túnel o datagrama IP inteiro é protegido pela combinação do AH/ESP, e um cabeçalho IP adicional é colocado antes do AH por motivos de roteamento. As Figuras 2.9 e 2.10 ilustram os dois modelos. Figura AH e ESP no modo transporte. Os protocolos AH e ESP, por questões de garantia de interoperabilidade, estabelecem que todas as implementações suportem alguns algoritmos de criptografia e autenticação 41

42 Figura AH e ESP no modo túnel. básicos que podem aumentar futuramente devido a flexibilidade da plataforma IPSec. Por exemplo, o algoritmo HMAC-RIPEMD (KEROMYTIS; PROVOS, 2000) já foi padronizado para uso com AH e o 3DES-CBC (KARN et al., 1995) acompanha a maioria das implementações IPSec devido a fragilidade do algoritmo DES-CBC. Para o cabeçalho AH, os algoritmos que devem estar disponíveis são os seguintes: HMAC-MD5 (MADSON; GLENN, 1998a); HMAC-SHA-1 (MADSON; GLENN, 1998b); e para o ESP, além destes dois já citados acima, os outros algoritmos são: Null Encryption Algorithm (GLENN; KENT, 1998); DES-CBC (PEREIRA; ADAMS, 1998; MADSON; DORASWAMY, 1998); Associação de Segurança O IPSec utiliza o conceito de Security Association (SA) ou associação de segurança entre o transmissor e o receptor. Assim, o transmissor e o receptor devem concordar com uma chave secreta e com outros parâmetros relacionados à segurança, conhecidos apenas pelos membros da associação, para formarem um meio seguro por onde os dados possam passar (MAUGHAN et al., 1998). Uma SA é um componente unilateral, ou seja, se dois pontos finais A e B precisam se comunicar, então são requeridas pelo menos duas SA s, um para comunicação de A para B e outro para o caminho inverso. Uma SA define toda informação necessária para caracterizar comunicação segura: Qual cabeçalho será usado: AH ou ESP; 42

43 Quais algoritmos criptográficos e/ou de autenticação serão usados; Modo de operação dos cabeçalhos: transporte ou túnel; Tempo de vida das configurações. Por exemplo, uma SA sobre o protocolo AH poderia definir que o algoritmo HMAC- MD5 será usado. Um SA que especifica ESP poderia estipular o uso do 3DES-CBC como algoritmo de criptografia. Vale a pena dizer, que as chaves de criptografia também são referenciadas dentro da SA. Porém, é preciso algum mecanismo para estabelecer as associações de segurança de forma segura, senão as chaves criptográficas seriam distribuídas e qualquer máquina poderia capturá-las. Dessa forma, todo o esforço por aumento da confidencialidade seria em vão. Para executar tal tarefa foi definido um protocolo para troca de chaves chamado Internet Key Exchange é explanado na Seção Toda SA deve ser representada dentro de algum banco de dados. A RFC 2401 se refere a este banco como o Security Association Database (SAD). As entradas no SAD geralmente são referenciadas por um inteiro único de 32-bit chamado como o Security Policy Index (SPI). É este SPI que é incluído dentro dos pacotes protegidos pelo IPSec, identificando qual transformação deve ser usada para descriptografar e/ou autenticar um pacote IP. A RFC 2401 também determina outra base de dados para o modelo IPSec, o Security Policy Database - SPD, que define as políticas de entrada e saída do tráfego de uma máquina. O SPD especifica entre quais máquinas os dados serão protegidos e que cabeçalhos do IPSec serão usados. Porém, tal RFC não entra no escopo de especificar o formato do banco de dados e de suas interfaces. É especificado um mínimo de funcionalidades do gerenciamento que deve ser oferecido para permitir que o administrador do sistema controle como o IPSec é aplicado sobre o tráfego transmitido ou recebido por uma máquina. O SPD deve ser consultado durante o processamento do tráfego (tanto o de saída como o de entrada) inclusive o tráfego não IPSec. Para cada datagrama de entrada ou saída, três processamentos podem ser possíveis, conforme determinados pelo SPD: descartar, bypassar ou aplicar o IPSec. A primeira opção se refere ao tráfego que não deve nem sair da máquina ou de uma aplicação. A segunda opção se refere ao tráfego que é permitido que saia sem proteção do IPSec. E por último, a terceira opção se refere ao tráfego em que deve ser aplicado os serviços de autenticidade e confidencialidade do IPSec. 43

44 Figura Processamento do tráfego de saída IPSec. Cada entrada é chaveada por um ou mais seletores que definem o conjunto de tráfego IP atingido por esta política. Se o processamento IPSec for aplicado, a entrada inclui a especificação da SA, listando os protocolos, modos e algoritmos a serem empregados. Na Figura 2.11 é esboçado o processamento do tráfego de saída com IPSec IKE Para estabelecer comunicação sigilosa, além dos mecanismos de autenticação e criptografia, é também necessário um método de gestão de chaves criptográficas que permita criar, estabelecer, adicionar e eliminá-las. Como distribuir estas chaves sem correr o risco de espionagem? Como conseguir um meio seguro se no início tudo o que se tem é um meio inseguro? O protocolo de gerência de chaves criptográficas é a solução para estas perguntas. IPsec suporta tanto o gerenciamento de chaves manual como o automático. O gerenciamento manual é o mais simples, nele uma pessoa configura manualmente cada sistema com as chaves criptográficas e o gerenciamento dos dados relevantes da SA para a comunicação com outros sistemas. Para aplicações em larga escala, a técnica de gerenciamento automática é mais aconselhável. O sistema de troca de chaves é o coração da proteção do dados que serão criptografados. 44

45 Um distribuição segura de chaves pela Internet é a parte essencial da proteção dos dados. De modo a acelerar o processo de criação de normas, a IETF definiu como norma de gestão de chaves do IPSec o protocolo Internet Key Exchange (IKE) (HARKINS; CARREL, 1998). No entanto, devido à sua flexibilidade, o IPSec pode ser usado com outros mecanismos de gestão automática de chaves. O IKE é um protocolo híbrido, formado pelo Internet Security Association and Key Management Protocol (ISAKMP) (MAUGHAN et al., 1998; PIPER, 1998) e pelo OAKLEY (ORMAN, 1998). Existem três métodos para trocar a informação necessária à distribuição de chaves e ao estabelecimento de associações de segurança, distribuídos pelas duas fases de negociação ISAKMP: A primeira fase estabelece um canal de comunicação seguro entre as duas extremidades que desejam trocar dados. Para que isto seja possível é necessária a seguinte seqüência de operações: verificar os protocolos criptográficos e os parâmetros que serão utilizados para escolher os algoritmos de autenticação e de criptografia. Baseado nestas informações, as chaves secretas entre estas extremidades serão trocadas e uma associação segura ISAKMP é construída para se criar o canal. Nesta fase, o canal é inseguro e nas negociações é usado o modo Oakley Main ou Aggressive. A primeira fase é muito mais demorada e as trocas são mais complexas e pouco freqüêntes; A segunda fase fornece as melhores associações seguras para proteger o tráfego IP pelo canal de comunicação criado na primeira fase. Isto é feito através dos seguintes passos: uma nova associação segura ISAKMP é estabelecida para a proteção das trocas de informações desta fase e, posteriormente, são negociados protocolos ou combinações de protocolos que serão armazenados nas SADs de cada extremidade. A segunda fase apresenta trocas menos complexas e mais freqüêntes. Estes passos estabelecem um meio seguro para as mensagens trocadas nos acordos de requisitos de segurança da rede. Toda segurança depende desta primeira troca de mensagens, sendo responsável pelo acerto das chaves para a atuação dos protocolos de proteção que utilizam os algoritmos de mensagens, sendo responsável pelo acerto das chaves para a atuação dos protocolos de proteção que utilizam os algoritmos de criptografia Implementações IPSec Existem inúmeras implementações IPSec que geralmente são casadas com implementações IPv6, fato que se deve à obrigatoriedade da presença do IPSec no IPv6. Existem desde 45

46 implementações proprietárias para roteadores e sistemas operacionais até implementações gratuitas feitas diretamente pelos desenvolvedores de sistemas operacionais também gratuitos. Uma lista de implementações IPv6 está disponível no endereço com/pub/ipng/html/ipng-implementations.html. FreeS/WAN é uma implementação IPSec muito conhecida para linux, funciona para as versões de kernel 2.0, 2.2, 2.4 e 2.6. Porém, a partir do kernel 2.6 do linux, os desenvolvedores do linux fizeram uma implementação de IPv6 e IPSec não baseada na FreeSWAN. O projeto descontinuou por problemas com as leis americanas contra exportação de criptografia. (FREES/WAN, 1999). Atualmente o projeto Openswan (OPENSWAN..., 2004) assumiu o desenvolvimento. Nesse trabalho é usado a implementação KAME do Japão, cujo objetivo é implementar o IPv6 e IPSec para os sistemas operacionais FreeBSD, NetBSD, OpenBSD, BSD/OS e variantes através do esforço de pesquisadores das seguintes companhias, principalmente (KAME, 1998): Fujitsu Limited Hitachi, Ltd. Internet Initiative Japan Inc. NEC Corporation Toshiba Corporation Yokogawa Electric Corporation A escolha do KAME para este projeto foi devido, principalmente, às suas implementações de acesso aos SPD e SAD, o que permitiu alterar as informações de tais bancos de dados em tempo de execução. 2.3 VPN VPN é abreviatura para Virtual Private Network, ou seja, Redes Privadas Virtuais. O uso de VPN representa uma alternativa interessante na racionalização dos custos de redes corporativas oferecendo confidencialidade e integridade no transporte de informações através de redes públicas. 46

47 O sigilo dos dados é a primeira e mais importante função da VPN. Uma vez que dados privados serão transmitidos pela Internet, que é um meio de transmissão inseguro, eles devem ser protegidos de forma a não permitir que sejam modificados ou interpretados. Outro serviço oferecido pelas VPNs é a conexão entre corporações (Extranets) através da Internet, além de possibilitar conexões dial-up (por telefone) criptografadas que podem ser muito úteis para usuários móveis ou remotos, bem como filiais distantes de uma empresa. As redes virtuais privadas baseiam-se na tecnologia de tunelamento cuja existência é anterior às VPNs. Ele pode ser definido como o processo de encapsular um protocolo dentro de outro. O uso do tunelamento nas VPNs incorpora um novo componente a esta técnica: antes de encapsular o pacote que será transportado, este é criptografado de forma a ficar ilegível caso seja capturado indevidamente durante o seu transporte. O pacote criptografado e encapsulado viaja através da Internet até alcançar seu destino onde é desencapsulado e descriptografado, retornando ao seu formato original. Uma característica importante é que pacotes de um determinado protocolo podem ser encapsulados em pacotes de protocolos diferentes. Por exemplo, pacotes de protocolo Internetwork Packet Exchange (IPX) podem ser encapsulados e transportados dentro de pacotes TCP/IP. Principais protocolos usados para criação de VPNs: Layer 2 Forwarding (L2F): é um protocolo proprietário criado pela Cisco, primariamente usado para criação de VPN através de conexões discadas; Point-to-Point Tunneling Protocol (PPTP): protocolo criado pela Microsoft visando principalmente proteção de tráfego através de conexões discadas; Layer Two Tunneling Protocol (L2TP): desenvolvido em conjunto pela Cisco e Microsoft com o objetivo de substituir L2F e PPTP; IP Security (IPSec): plataforma de segurança para proteção dos protocolos da camada de rede e superiores, padronizado pela IETF; L2TP sobre IPsec (L2TP/IPSec) Vários produtos, alguns não associados a protocolos bem definidos como os listados acima, também surgiram para prover VPNs. Estes atingem o mesmo objetivo de proteger o tráfego entre duas máquinas, mas através de regras próprias, sem padronização e portanto sem nenhuma interoperabilidade com outros softwares garantida. Alguns usam Secure Sockets Layer (SSL), ou seja, só protegem os dados da aplicação. Exemplos: 47

48 Amrita VPN (http://amvpn.sourgeforge.net); CIPE (http://sites.inka.de/bigred/devel/cipe.html); OpenVPN (http://openvpn.sourceforge.net/); Tinc (http://tinc.nl.linux.org); VPND (http://sunsite.dk/vpnd) Pelo foco desse trabalho, será abordado apenas o IPSec como solução de VPNs. O IPSec é um comjunto de protocolos desenvolvido para IPv6, devendo no futuro, se constituir como padrão para todas as formas de VPN quando o IPv6 de fato substituir o IPv4. Existem três topologias básicas para criação de VPNs. Máquina-Máquina, Máquina-Rede e Rede-Rede. A topologia máquina-máquina tem como finalidade comunicar duas máquinas separadas fisicamente, fornecendo a confidencialidade necessária para a troca de informações entre elas. Estas máquinas podem ou não estar presentes em uma mesma rede. A Figura 2.12 mostra duas máquinas do departamento de recursos humanos, de filiais de uma mesma empresa, sincronizando suas informações. Neste caso, o objetivo não era interligar as redes inteiras, o que exigiria um esforço maior e desnecessário, além de acarretar em custos extras. Figura Topologia de VPN máquina-máquina. 48

49 Figura Topologia de VPN máquina-rede. Também chamada de acesso remoto VPN, a topologia máquina-rede permite a conexão de um computador móvel a uma determinada rede através da Internet, de acordo com a Figura Para isso, basta o usuário ter um software para conexões remotas VPN instalado. Esta opção é bastante atrativa para funcionários que constantemente viajam ou estão fora da empresa e precisam manter de alguma forma o contato. Figura Topologia de VPN rede-rede. 49

IPSec. IPSec Internet Protocol Security OBJETIVO ROTEIRO ROTEIRO

IPSec. IPSec Internet Protocol Security OBJETIVO ROTEIRO ROTEIRO OBJETIVO Internet Protocol Security Antonio Abílio da Costa Coutinho José Eduardo Mendonça da Fonseca Apresentar conceitos sobre segurança em redes de comunicação de dados, relacionados ao Protocolo (Internet

Leia mais

Nível de segurança de uma VPN

Nível de segurança de uma VPN VPN Virtual Private Network (VPN) é uma conexão segura baseada em criptografia O objetivo é transportar informação sensível através de uma rede insegura (Internet) VPNs combinam tecnologias de criptografia,

Leia mais

Segurança de Sistemas na Internet. Aula 10 - IPSec. Prof. Esp Camilo Brotas Ribeiro cribeiro@catolica-es.edu.br

Segurança de Sistemas na Internet. Aula 10 - IPSec. Prof. Esp Camilo Brotas Ribeiro cribeiro@catolica-es.edu.br Segurança de Sistemas na Internet Aula 10 - IPSec Prof. Esp Camilo Brotas Ribeiro cribeiro@catolica-es.edu.br Slide 2 de 31 Introdução Há inúmeras soluções de autenticação/cifragem na camada de aplicação

Leia mais

OTES07 - Segurança da Informação Módulo 08: VPN

OTES07 - Segurança da Informação Módulo 08: VPN OTES07 - Segurança da Informação Módulo 08: VPN Prof. Charles Christian Miers e-mail:charles.miers@udesc.br VPN: Virtual Private Networks Uma Rede Virtual Privada (VPN) é um meio de simular uma rede privada

Leia mais

VPN. Desempenho e Segurança de Sistemas de Informação

VPN. Desempenho e Segurança de Sistemas de Informação VPN Desempenho e Segurança de Sistemas de Informação Conceito Vantagens Tipos Protocolos utilizados Objetivos VPN (Virtual Private Network) Rede Privada Virtual - uma conexão onde o acesso e a troca de

Leia mais

VPN. Prof. Marciano dos Santos Dionizio

VPN. Prof. Marciano dos Santos Dionizio VPN Prof. Marciano dos Santos Dionizio VPN Virtual Private Network ou Rede Privada Virtual É uma rede de comunicações privada normalmente utilizada por uma empresa ou um conjunto de empresas e/ou instituições,

Leia mais

Segurança em Redes IP

Segurança em Redes IP IPSec 1 Segurança em Redes IP FEUP MPR IPSec 2 Introdução Conceitos básicos IP Seguro Criptografia Segurança em redes IP Associação de Segurança, Modos de funcionamento AH, ESP, Processamento de tráfego,

Leia mais

Criptografia e Segurança das Comunicações. IPsec

Criptografia e Segurança das Comunicações. IPsec Criptografia e Segurança das Comunicações IPsec IPsec : 1/27 Introdução (1) Os datagramas IP do nível de rede da pilha de protocolos v4 são inseguros! Endereço fonte pode ser mistificado ( spoofed ). Conteúdo

Leia mais

Interconexão de Redes de Comutadores

Interconexão de Redes de Comutadores IPv6 - Introdução Interconexão de Redes de Comutadores Parte 3.5: TCP / IPv6 Em 1992 uma Internet Engineering Task Force (IETF) cria o grupo IPng (IP next generation) para a criação de um novo protocolo

Leia mais

IPv6 - Características do IP Next Generation

IPv6 - Características do IP Next Generation IPv6 - Características do IP Next Generation 1 - Introdução As três das principais motivações que conduziram à necessidade de superar as limitações de crescimento da versão atual do protocolo IP (Internet

Leia mais

Protocolo IPv6. Protocolo IPv6. Protocolo IPv6. Protocolo IPv6. Protocolo IPv6. Protocolo IPv6. Hitórico

Protocolo IPv6. Protocolo IPv6. Protocolo IPv6. Protocolo IPv6. Protocolo IPv6. Protocolo IPv6. Hitórico Com a explosão da Internet e com o surgimento constante de mais e mais serviços e aplicações, os atuais endereços IP (IPv4) estão se tornando um recurso escasso. Estima-se que, em aproximadamente dois

Leia mais

Protocolo IPv6. Protocolo IPv6. Protocolo IPv6. Hitórico

Protocolo IPv6. Protocolo IPv6. Protocolo IPv6. Hitórico Com a explosão da Internet e com o surgimento constante de mais e mais serviços e aplicações, os atuais endereços IP (IPv4) estão se tornando um recurso escasso. Estima-se que, em aproximadamente dois

Leia mais

Assumiu em 2002 um novo desafio profissional como empreendedor e Presidente do Teleco.

Assumiu em 2002 um novo desafio profissional como empreendedor e Presidente do Teleco. VPN: Redes Privadas Virtuais O objetivo deste tutorial é apresentar os tipos básicos de Redes Privadas Virtuais (VPN's) esclarecendo os significados variados que tem sido atribuído a este termo. Eduardo

Leia mais

Camada de Rede. Prof. Leonardo Barreto Campos 1

Camada de Rede. Prof. Leonardo Barreto Campos 1 Camada de Rede Prof. Leonardo Barreto Campos 1 Sumário Introdução; Internet Protocol IP; Fragmentação do Datagrama IP; Endereço IP; Sub-Redes; CIDR Classes Interdomain Routing NAT Network Address Translation

Leia mais

Segurança em Redes IP

Segurança em Redes IP IPSec 1 Segurança em Redes IP FEUP MPR IPSec 2 Requisitos de Segurança em Redes» Autenticação: O parceiro da comunicação deve ser o verdadeiro» Confidencialidade: Os dados transmitidos não devem ser espiados»

Leia mais

OSRC Segurança em Redes de Computadores Módulo 11: VPN

OSRC Segurança em Redes de Computadores Módulo 11: VPN OSRC Segurança em Redes de Computadores Módulo 11: VPN Prof. Charles Christian Miers e-mail: charles.miers@udesc.br VPN: Virtual Private Networks Uma Rede Virtual Privada (VPN) é um meio de simular uma

Leia mais

SEGURANÇA EM REDE PEER TO PEER USANDO TECNOLOGIA IPSEC EM UM AMBIENTE CORPORATIVO *

SEGURANÇA EM REDE PEER TO PEER USANDO TECNOLOGIA IPSEC EM UM AMBIENTE CORPORATIVO * SEGURANÇA EM REDE PEER TO PEER USANDO TECNOLOGIA IPSEC EM UM AMBIENTE CORPORATIVO * Giovani Francisco de Sant Anna Centro Universitário do Triângulo (UNITRI) William Rodrigues Gomes Centro Universitário

Leia mais

IPv6. Clécio Oliveira Pinto. cleciooliveira at gmail com

IPv6. Clécio Oliveira Pinto. cleciooliveira at gmail com IPv6 Clécio Oliveira Pinto Segurança e Integração em Redes de Computadores para Ambientes Corporativos Faculdade de Tecnologia SENAC Goiás cleciooliveira at gmail com Abstract. The Internet Protocol version

Leia mais

1. PRINCIPAIS PROTOCOLOS TCP/IP

1. PRINCIPAIS PROTOCOLOS TCP/IP 1. PRINCIPAIS PROTOCOLOS TCP/IP 1.1 IP - Internet Protocol RFC 791 Esse protocolo foi introduzido na ARPANET no início dos anos 80, e tem sido utilizado juntamente com o TCP desde então. A principal característica

Leia mais

A Internet e o TCP/IP

A Internet e o TCP/IP A Internet e o TCP/IP 1969 Início da ARPANET 1981 Definição do IPv4 na RFC 791 1983 ARPANET adota o TCP/IP 1990 Primeiros estudos sobre o esgotamento dos endereços 1993 Internet passa a ser explorada comercialmente

Leia mais

Qualidade de serviço. Protocolo IPv6

Qualidade de serviço. Protocolo IPv6 Qualidade de serviço. Protocolo IPv6 Apresentar a nova forma de endereçamento lógico, o endereço IP versão 6 (IPv6). No começo da década de 1990, a IETF começou o estudo para desenvolver o sucessor do

Leia mais

Prof. Luís Rodolfo. Unidade III REDES DE COMPUTADORES E TELECOMUNICAÇÃO

Prof. Luís Rodolfo. Unidade III REDES DE COMPUTADORES E TELECOMUNICAÇÃO Prof. Luís Rodolfo Unidade III REDES DE COMPUTADORES E TELECOMUNICAÇÃO Redes de computadores e telecomunicação Objetivos da Unidade III Apresentar as camadas de Transporte (Nível 4) e Rede (Nível 3) do

Leia mais

TCP/IP TCP UDP IP HTTP HTTPS FTP TFTP TELNET POP3 IMAP SMTP SNMP DHCP

TCP/IP TCP UDP IP HTTP HTTPS FTP TFTP TELNET POP3 IMAP SMTP SNMP DHCP TCP/IP TCP UDP IP HTTP HTTPS FTP TFTP TELNET POP3 IMAP SMTP SNMP DHCP HTTP (Hypertext Transfer Protocol ) Protocolo usado na Internet para transferir as páginas da WWW (WEB). HTTPS (HyperText Transfer

Leia mais

A Camada de Rede. A Camada de Rede

A Camada de Rede. A Camada de Rede Revisão Parte 5 2011 Modelo de Referência TCP/IP Camada de Aplicação Camada de Transporte Camada de Rede Camada de Enlace de Dados Camada de Física Funções Principais 1. Prestar serviços à Camada de Transporte.

Leia mais

IPsec: IP Seguro. Edgard Jamhour 2009, Edgard Jamhour

IPsec: IP Seguro. Edgard Jamhour 2009, Edgard Jamhour IPsec: IP Seguro Edgard Jamhour 1) Introdução ao IP Sec - IP Seguro Padrão aberto baseado em RFC (IETF). Comunicação segura em camada 3 (IPv4 e IPv6) Provê recursos de segurança sobre redes IP: Autenticação,

Leia mais

Arquitetura TCP/IP. Parte VI Entrega de pacotes sem conexão (IP) Fabrízzio Alphonsus A. M. N. Soares

Arquitetura TCP/IP. Parte VI Entrega de pacotes sem conexão (IP) Fabrízzio Alphonsus A. M. N. Soares Arquitetura TCP/IP Parte VI Entrega de pacotes sem conexão (IP) Fabrízzio Alphonsus A. M. N. Soares Tópicos Conceitos Pacote (ou datagrama) IP Formato Campos do cabeçalho Encapsulamento Fragmentação e

Leia mais

Redes de Computadores

Redes de Computadores 1 Elmano R. Cavalcanti Redes de Computadores Camada de Rede elmano@gmail.com facisa-redes@googlegroups.com http://sites.google.com/site/elmano Esta apresentação contém slides fornecidos pela Editora Pearson

Leia mais

Segurança de Redes de Computadores

Segurança de Redes de Computadores Segurança de Redes de Computadores Aula 10 Segurança na Camadas de Rede Redes Privadas Virtuais (VPN) Prof. Ricardo M. Marcacini ricardo.marcacini@ufms.br Curso: Sistemas de Informação 1º Semestre / 2015

Leia mais

TCP/IP TCP UDP IP HTTP HTTPS FTP TFTP TELNET POP3 IMAP SMTP SNMP DHCP

TCP/IP TCP UDP IP HTTP HTTPS FTP TFTP TELNET POP3 IMAP SMTP SNMP DHCP TCP/IP TCP UDP IP HTTP HTTPS FTP TFTP TELNET POP3 IMAP SMTP SNMP DHCP HTTP (Hypertext Transfer Protocol ) Protocolo usado na Internet para transferir as páginas da WWW (WEB). HTTPS (HyperText Transfer

Leia mais

Protocolos, DNS, DHCP, Ethereal e comandos em Linux

Protocolos, DNS, DHCP, Ethereal e comandos em Linux Redes de Computadores Protocolos, DNS, DHCP, Ethereal e comandos em Linux Escola Superior de Tecnologia e Gestão Instituto Politécnico de Bragança Março de 2006 Endereços e nomes Quaisquer duas estações

Leia mais

IPSec & Redes Virtuais Privadas

IPSec & Redes Virtuais Privadas IPSec & Redes Virtuais Privadas Informe Técnico Página 1 de 19 I. Introdução A Unicert Brasil Certificadora é uma empresa que atua em tecnologia de informação, com produtos e serviços consistentes com

Leia mais

Internet Protocol Security (IPSec)

Internet Protocol Security (IPSec) Internet Protocol Security (IPSec) Segurança de Computadores IPSec - Introdução Preocupados com a insegurança na Internet o IETF (Internet Engineering Task Force) desenvolveu um conjunto de protocolos,

Leia mais

REDES VIRTUAIS PRIVADAS

REDES VIRTUAIS PRIVADAS REDES VIRTUAIS PRIVADAS VPN Universidade Católica do Salvador Curso de Bacharelado em Informática Disciplina: Redes de Computadores Professor: Marco Antônio Câmara Aluna: Patricia Abreu Página 1 de 10

Leia mais

Construindo e Integrando VPNs Utilizando IPSEC

Construindo e Integrando VPNs Utilizando IPSEC Construindo e Integrando VPNs Utilizando IPSEC Juscelino C. de Lima Junior, Graziele O. Alves Curso de Segurança de sistemas Pontifícia Universidade Católica do Paraná Curitiba, Outubro de 2009 Resumo

Leia mais

Protocolo TCP/IP. Protocolo TCP/IP. Protocolo TCP/IP. Protocolo TCP/IP. Conexão de Redes. Protocolo TCP/IP. Arquitetura Internet.

Protocolo TCP/IP. Protocolo TCP/IP. Protocolo TCP/IP. Protocolo TCP/IP. Conexão de Redes. Protocolo TCP/IP. Arquitetura Internet. Origem: Surgiu na década de 60 através da DARPA (para fins militares) - ARPANET. Em 1977 - Unix é projetado para ser o protocolo de comunicação da ARPANET. Em 1980 a ARPANET foi dividida em ARPANET e MILINET.

Leia mais

Redes de Computadores

Redes de Computadores Redes de Computadores CAMADA DE REDE DHCP NAT IPv6 Slide 1 Protocolo DHCP Protocolo de Configuração Dinâmica de Hospedeiros (Dynamic Host Configuration Protocol DHCP), RFC 2131; Obtenção de endereço de

Leia mais

Segurança e Auditoria de Sistemas. Segurança de Redes VPN - Virtual Private Network

Segurança e Auditoria de Sistemas. Segurança de Redes VPN - Virtual Private Network Segurança e Auditoria de Sistemas Segurança de Redes VPN - Virtual Private Network Prof. Me Willians Bueno williansbueno@gmail.com UNIFEB/2013 INTRODUÇÃO; ROTEIRO APLICAÇÕES; VANTAGENS; CARACTERÍSTICAS;

Leia mais

RNP, NGI Internet II e IP Next Generation

RNP, NGI Internet II e IP Next Generation RNP, NGI Internet II e IP Next Generation Novembro e Dezembro de 1997 Adailton J. S. Silva Índice: RNP - Rede Nacional de Pesquisa Next Generation Internet - Internet II IP Next Generation - IPv6 RNP -

Leia mais

IPv6 A nova versão do Protocolo IP

IPv6 A nova versão do Protocolo IP IPv6 A nova versão do Protocolo IP A internet precisa continuar crescendo... Agenda A Internet e o TCP/IP Entendendo o esgotamento do IPv4 Por que IPv6? O que melhorou? Nova estrutura do IPv6 Técnicas

Leia mais

O serviço IPsec da camada 3

O serviço IPsec da camada 3 IPsec O standard IPsec é uma arquitectura de transporte de dados de uma forma segura sobre redes não seguras. A sua utilização começa a ser bastante comum para a construção de redes virtuais (VPNs) sobre

Leia mais

Redes. Pablo Rodriguez de Almeida Gross

Redes. Pablo Rodriguez de Almeida Gross Redes Pablo Rodriguez de Almeida Gross Conceitos A seguir serão vistos conceitos básicos relacionados a redes de computadores. O que é uma rede? Uma rede é um conjunto de computadores interligados permitindo

Leia mais

Ipv6. Instituto Federal de Educação e Tecnologia de Brasília. Campus Taguatinga. PROFESSOR: Bruno Pontes ALUNAS: Clésia da Silva Rosane M.

Ipv6. Instituto Federal de Educação e Tecnologia de Brasília. Campus Taguatinga. PROFESSOR: Bruno Pontes ALUNAS: Clésia da Silva Rosane M. Instituto Federal de Educação e Tecnologia de Brasília Campus Taguatinga Matéria: REDES Professor: Frederico PROFESSOR: Bruno Pontes ALUNAS: Clésia da Silva Rosane M. da Silva Ipv6 Taguatinga-DF 2012 INTRODUÇÃO

Leia mais

IPv6 - Introdução Internet Protocol versão 6

IPv6 - Introdução Internet Protocol versão 6 Leonardo Jalkauskas IPv6 - Introdução Internet Protocol versão 6 Agosto 2010 Redes de Computadores e Telecomunicações 2 IPv6 Internet Protocol versão 6 Características e Limitações do IPv4 Objetivos e

Leia mais

Claudivan C. Lopes claudivan@ifpb.edu.br

Claudivan C. Lopes claudivan@ifpb.edu.br Claudivan C. Lopes claudivan@ifpb.edu.br Introdução ao protocolo TCP/IP Camada de aplicação Camada de transporte Camada de rede IFPB/Patos - Prof. Claudivan 2 É o protocolo mais usado da atualidade 1 :

Leia mais

Professor(es): Fernando Pirkel. Descrição da(s) atividade(s):

Professor(es): Fernando Pirkel. Descrição da(s) atividade(s): Professor(es): Fernando Pirkel Descrição da(s) atividade(s): Definir as tecnologias de redes necessárias e adequadas para conexão e compartilhamento dos dados que fazem parte da automatização dos procedimentos

Leia mais

Redes de Computadores. Mauro Henrique Mulati

Redes de Computadores. Mauro Henrique Mulati Redes de Computadores Mauro Henrique Mulati Roteiro Roteamento na Internet OSPF BGP IPv6 Revisão MPLS Roteamento na Internet IGP: Interior Gateway Protocol (Protocolo de Gateway Interior) Algoritmo de

Leia mais

Redes de Computadores

Redes de Computadores Redes de Computadores Prof. Macêdo Firmino Camada de Redes Macêdo Firmino (IFRN) Redes de Computadores Junho 2012 1 / 68 Pilha TCP/IP A B M 1 Aplicação Aplicação M 1 Cab M T 1 Transporte Transporte Cab

Leia mais

REDES DE COMPUTADORES. Camada de Rede. Prof.: Agostinho S. Riofrio

REDES DE COMPUTADORES. Camada de Rede. Prof.: Agostinho S. Riofrio REDES DE COMPUTADORES Camada de Rede Prof.: Agostinho S. Riofrio Agenda 1. Introdução 2. Funções 3. Serviços oferecidos às Camadas superiores 4. Redes de Datagramas 5. Redes de Circuitos Virtuais 6. Comparação

Leia mais

Roteadores de Serviços Integrados CISCO ISR G2

Roteadores de Serviços Integrados CISCO ISR G2 Roteadores de Serviços Integrados CISCO ISR G2 Visão geral sobre Desempenho Descrição do Conteúdo Os roteadores de serviços integrados de nova geração (ISR G2) proporcionam uma plataforma para serviços

Leia mais

1.0 Intodução...Pág. 2. 2.0 Objetivos...Pág. 3. 3.0 Características...Pág. 4

1.0 Intodução...Pág. 2. 2.0 Objetivos...Pág. 3. 3.0 Características...Pág. 4 1 Índice 1.0 Intodução...Pág. 2 2.0 Objetivos...Pág. 3 3.0 Características...Pág. 4 4.0 O pacote Ipv6...Pág. 7 4.1 Cabeçalho-base Ipv6...Pág. 7 4.2 Comparação entre o cabeçalho do Ipv4 e Ipv6...Pág. 9

Leia mais

Tecnologias Atuais de Redes

Tecnologias Atuais de Redes Tecnologias Atuais de Redes Aula 3 VPN Tecnologias Atuais de Redes - VPN 1 Conteúdo Conceitos e Terminologias Vantagens, Desvantagens e Aplicações Etapas da Conexão Segurança Tunelamento Protocolos de

Leia mais

18/05/2014. Problemas atuais com o IPv4

18/05/2014. Problemas atuais com o IPv4 Problemas atuais com o IPv4 Fundamentos de Redes de Computadores Prof. Marcel Santos Silva Falhas de segurança: A maioria dos ataques contra computadores hoje na Internet só é possível devido a falhas

Leia mais

V3PN Voice, Video and Integrated Data IP. Palestra V3PN

V3PN Voice, Video and Integrated Data IP. Palestra V3PN V3PN Voice, Video and Integrated Data IP V3PN Voice, Video and Integrated Data Palestrante André Gustavo Lomônaco Diretor de Tecnologia da IPPLUS Tecnologia Mestre em Engenharia Elétrica Certificado Cisco

Leia mais

Redes de Computadores

Redes de Computadores Redes de Computadores TCP/IP Fabricio Breve Fundamentos Atualmente é o protocolo mais usado em redes locais Principal responsável: Popularização da Internet Mesmo SOs que antigamente só suportavam seu

Leia mais

Redes Virtuais Privadas VPN. Edgard Jamhour. 2013, Edgard Jamhour

Redes Virtuais Privadas VPN. Edgard Jamhour. 2013, Edgard Jamhour Redes Virtuais Privadas VPN Edgard Jamhour Tipos de VPN rede Insegura ENTRE DUAS MÁQUINAS rede Insegura ENTRE UMA MÁQUINA E UMA REDE (VPN DE ACESSO) rede Insegura ENTRE DUAS REDES (INTRANET OU EXTRANET

Leia mais

SEGURANÇA DE AMBIENTES COMPUTACIONAIS. Paulo Lício de Geus. paulo@ic.unicamp.br RESUMO

SEGURANÇA DE AMBIENTES COMPUTACIONAIS. Paulo Lício de Geus. paulo@ic.unicamp.br RESUMO IMPACTOS DA TRANSIÇÃO E UTILIZAÇÃO DO IPV6 SOBRE A SEGURANÇA DE AMBIENTES COMPUTACIONAIS Jansen Carlo Sena Inst.Computação/Unicamp 13083-970 Campinas - SP jansen.sena@ic.unicamp.br Paulo Lício de Geus

Leia mais

Aula 6 Modelo de Divisão em Camadas TCP/IP

Aula 6 Modelo de Divisão em Camadas TCP/IP Aula 6 Modelo de Divisão em Camadas TCP/IP Camada Conceitual APLICATIVO TRANSPORTE INTER-REDE INTERFACE DE REDE FÍSICA Unidade de Dados do Protocolo - PDU Mensagem Segmento Datagrama /Pacote Quadro 01010101010100000011110

Leia mais

Redes de computadores e a Internet. A camada de rede

Redes de computadores e a Internet. A camada de rede Redes de computadores e a Internet Capitulo Capítulo 4 A camada de rede A camada de rede Objetivos do capítulo: Entender os princípios dos serviços da camada de rede: Roteamento (seleção de caminho) Escalabilidade

Leia mais

Análise de segurança dos protocolos utilizados para acesso remoto VPN em plataformas Windows

Análise de segurança dos protocolos utilizados para acesso remoto VPN em plataformas Windows Laboratório de Administração e Segurança de Sistemas Instituto de Computação Universidade Estadual de Campinas Análise de segurança dos protocolos utilizados para acesso remoto VPN em plataformas Windows

Leia mais

VPN - VIRTUAL PRIVATE NETWORK REDES VIRTUAIS PRIVADAS

VPN - VIRTUAL PRIVATE NETWORK REDES VIRTUAIS PRIVADAS VPN - VIRTUAL PRIVATE NETWORK REDES VIRTUAIS PRIVADAS Alfredo Alves da Silva Neto, Técnico em Eletrônica,CCNA-M4 pela academia Cisco Poli - UPE 2009 MCTIP MCTS MCT - Infra Estrutura Servidores e Virtualização

Leia mais

Implementação de uma VPN com Protocolo PPTP

Implementação de uma VPN com Protocolo PPTP Implementação de uma VPN com Protocolo PPTP Rafael Folhal 1, Msc. Rafael Rodrigues 1 1 Curso Superior de Tecnologia em Redes de Computadores FACULDADE DE TECNOLOGIA SENAC (FATEC PELOTAS) Rua Gonçalves

Leia mais

Newgeneration www.rnp.br A Nova Geração de Protocolos IP Frank Ned

Newgeneration www.rnp.br A Nova Geração de Protocolos IP Frank Ned <fcruz@modulo.com.br> Newgeneration www.rnp.br A Nova Geração de Protocolos IP Frank Ned INTRODUÇÃO PONTOS EM DISCUSSÃO FORMATO DO CABEÇALHO EXTENSÕES DO IPV6 ENDEREÇAMENTO NO IPV6 ROTEAMENTO QUALIDADE

Leia mais

IPSEC. (IP Security Protocol)

IPSEC. (IP Security Protocol) IPSEC (IP Security Protocol) Curso de Ciências da Computação 3COP041 - Trabalho de Conclusão de Curso Acadêmico: Denilson Vedoveto Martins Orientador: Ms. Mario Lemes Proença Junior LONDRINA, 2002 ÍNDICE

Leia mais

Capítulo 9 - Conjunto de Protocolos TCP/IP e Endereçamento. Associação dos Instrutores NetAcademy - Julho de 2007 - Página

Capítulo 9 - Conjunto de Protocolos TCP/IP e Endereçamento. Associação dos Instrutores NetAcademy - Julho de 2007 - Página Capítulo 9 - Conjunto de Protocolos TCP/IP e Endereçamento IP 1 História e Futuro do TCP/IP O modelo de referência TCP/IP foi desenvolvido pelo Departamento de Defesa dos Estados Unidos (DoD). O DoD exigia

Leia mais

REDES DE COMPUTADORES E TELECOMUNICAÇÕES MÓDULO 16

REDES DE COMPUTADORES E TELECOMUNICAÇÕES MÓDULO 16 REDES DE COMPUTADORES E TELECOMUNICAÇÕES MÓDULO 16 Índice 1. SISTEMA OPERACIONAL DE REDE...3 1.1 O protocolo FTP... 3 1.2 Telnet... 4 1.3 SMTP... 4 1.4 SNMP... 5 2 1. SISTEMA OPERACIONAL DE REDE O sistema

Leia mais

A importância de uma NAT e de uma VPN para a segurança da informação. NAT Network Address Translation

A importância de uma NAT e de uma VPN para a segurança da informação. NAT Network Address Translation A importância de uma NAT e de uma VPN para a segurança da informação NAT Network Address Translation A funcionalidade de NAT consiste no procedimento de translado de endereços de uma rede para a outra.

Leia mais

www.projetoderedes.com.br Gestão da Segurança da Informação Professor: Maurício AULA 08 Protocolos de Segurança

www.projetoderedes.com.br Gestão da Segurança da Informação Professor: Maurício AULA 08 Protocolos de Segurança www.projetoderedes.com.br Gestão da Segurança da Informação Professor: Maurício AULA 08 Protocolos de Segurança Protocolos de Segurança A criptografia resolve os problemas envolvendo a autenticação, integridade

Leia mais

Alan Menk Santos. Redes de Computadores e Telecomunicações. Camada de Rede 21/05/2013. alanmenk@hotmail.com www.sistemasul.com.

Alan Menk Santos. Redes de Computadores e Telecomunicações. Camada de Rede 21/05/2013. alanmenk@hotmail.com www.sistemasul.com. Alan Menk Santos alanmenk@hotmail.com www.sistemasul.com.br/menk Redes de Computadores e Telecomunicações. Camada de Rede Modelo de Referência OSI 1 Camada de Rede: O que veremos. Entender os princípios

Leia mais

Arquitetura TCP/IP. Filosofia da Internet

Arquitetura TCP/IP. Filosofia da Internet Arquitetura TCP/IP Filosofia da Internet foi projetada p/: ser aberta o bastante p/ permitir a execução em uma grande variedade de equipamentos de resistir a possíveis danos que prejudicassem seu funcionamento

Leia mais

VPN. Virtual Private Networks

VPN. Virtual Private Networks VPN Virtual Private Networks Universidade Santan Cecília Prof. Hugo Santana Motivação para as VPN s PROBLEMA: Como construir sistemas de informação de grande amplitude geográfica sem arcar com custos excessivos

Leia mais

PROAPPS Security Data Sheet Professional Appliance / Apresentação

PROAPPS Security Data Sheet Professional Appliance / Apresentação O ProApps Security O ProApps Security é um componente da suíte de Professional Appliance focada na segurança de sua empresa ou rede. A solução pode atuar como gateway e como solução IDS/IPS no ambiente.

Leia mais

IPv6 Protocolo Internet versão 6. Marcos Francisco Linhares, Domênico Sávio G. de Araújo

IPv6 Protocolo Internet versão 6. Marcos Francisco Linhares, Domênico Sávio G. de Araújo IPv6 Protocolo Internet versão 6 Marcos Francisco Linhares, Domênico Sávio G. de Araújo Departamento de Engenharia de Telecomunicações Universidade Federal Fluminense (UFF-RJ) Resumo. IPv6 é um dos melhoramentos

Leia mais

Redes de Computadores

Redes de Computadores Introdução Inst tituto de Info ormátic ca - UF FRGS Redes de Computadores Internet Protocol version 6 (IPv6) Aula 19 Com crescimento da Internet IPv4 apresenta alguns problemas Esgotamento de endereços

Leia mais

Arquitetura e Protocolos de Rede TCP/IP. Modelo Arquitetural

Arquitetura e Protocolos de Rede TCP/IP. Modelo Arquitetural Arquitetura e Protocolos de Rede TCP/IP Modelo Arquitetural Motivação Realidade Atual Ampla adoção das diversas tecnologias de redes de computadores Evolução das tecnologias de comunicação Redução dos

Leia mais

Redes de Computadores

Redes de Computadores Redes de Computadores Redes de Computadores Nível de Rede Redes de Computadores 2 1 Nível de Rede Internet Nível de Rede na Internet O ambiente inter-redes: hosts conectados a redes redes interligam-se

Leia mais

Segurança da Informação

Segurança da Informação Segurança da Informação 1 Agenda Segurança em Comunicações Protocolos de Segurança VPN 2 1 Comunicações Origem Destino Meio Protocolo 3 Ataques Interceptação Modificação Interrupção Fabricação 4 2 Interceptação

Leia mais

Roteador de Perímetro DMZ Hosts de Segurança Gateway de Aplicativo

Roteador de Perímetro DMZ Hosts de Segurança Gateway de Aplicativo Roteador de Perímetro DMZ Hosts de Segurança Gateway de Aplicativo Conectando-se à Internet com Segurança Soluções mais simples. Sistemas de Segurança de Perímetro Zona Desmilitarizada (DMZ) Roteador de

Leia mais

A camada de rede. A camada de rede. A camada de rede. 4.1 Introdução. 4.2 O que há dentro de um roteador

A camada de rede. A camada de rede. A camada de rede. 4.1 Introdução. 4.2 O que há dentro de um roteador Redes de computadores e a Internet Capitulo Capítulo A camada de rede.1 Introdução.2 O que há dentro de um roteador.3 IP: Protocolo da Internet Endereçamento IPv. Roteamento.5 Roteamento na Internet (Algoritmos

Leia mais

Análise da Segurança em Redes Puramente Ipv6

Análise da Segurança em Redes Puramente Ipv6 Análise da Segurança em Redes Puramente Ipv6 Luis Godinho Júnior 1, Jarbas Pereira Lopes Sousa 1, Robert Mady Nunes 1, Madianita Bogo 1 1 Curso de Sistemas de Informação Centro Universitário Luterano de

Leia mais

Cap. 4 Roteamento e Mobilidade

Cap. 4 Roteamento e Mobilidade Redes sem Fio e Slide 1 Sistemas Móveis de Redes sem Fio e Sistemas Móveis de Cap. 4 Roteamento e Mobilidade Prof. Marcelo Moreno moreno@ice.ufjf.br Slide 2 Redes sem Fio e Sistemas Móveis de IETF RFC

Leia mais

ACESSO REMOTO A SERVIDOR LINUX, VIA TERMINAL WINDOWS, UTILIZANDO VPN

ACESSO REMOTO A SERVIDOR LINUX, VIA TERMINAL WINDOWS, UTILIZANDO VPN HIRAN CAMARGO DE ARAÚJO ACESSO REMOTO A SERVIDOR LINUX, VIA TERMINAL WINDOWS, UTILIZANDO VPN Trabalho de conclusão de curso apresentado ao Curso de Ciência da Computação. UNIVERSIDADE PRESIDENTE ANTÔNIO

Leia mais

IPv6. César Loureiro. V Workshop do PoP-RS/RNP e Reunião da Rede Tchê

IPv6. César Loureiro. V Workshop do PoP-RS/RNP e Reunião da Rede Tchê IPv6 César Loureiro V Workshop do PoP-RS/RNP e Reunião da Rede Tchê Outubro de 2014 Agenda Esgotamento IPv4 Endereçamento e Funcionalidades do IPv6 Implantação IPv6 IPv6 na Rede Tchê Dicas de Implantação

Leia mais

Capítulo 7 CAMADA DE TRANSPORTE

Capítulo 7 CAMADA DE TRANSPORTE Capítulo 7 CAMADA DE TRANSPORTE SERVIÇO SEM CONEXÃO E SERVIÇO ORIENTADO À CONEXÃO Serviço sem conexão Os pacotes são enviados de uma parte para outra sem necessidade de estabelecimento de conexão Os pacotes

Leia mais

Capítulo 6 - Protocolos e Roteamento

Capítulo 6 - Protocolos e Roteamento Capítulo 6 - Protocolos e Roteamento Prof. Othon Marcelo Nunes Batista Mestre em Informática 1 de 53 Roteiro (1 / 2) O Que São Protocolos? O TCP/IP Protocolos de Aplicação Protocolos de Transporte Protocolos

Leia mais

Introdução. Disciplina: Suporte Remoto Prof. Etelvira Leite

Introdução. Disciplina: Suporte Remoto Prof. Etelvira Leite Introdução Disciplina: Suporte Remoto Prof. Etelvira Leite Os Benefícios do Trabalho Remoto O mundo assiste hoje à integração e à implementação de novos meios que permitem uma maior rapidez e eficácia

Leia mais

SISTEMAS OPERACIONAIS LIVRES SERVICOS DE REDE LOCAL. Professor Carlos Muniz

SISTEMAS OPERACIONAIS LIVRES SERVICOS DE REDE LOCAL. Professor Carlos Muniz SISTEMAS OPERACIONAIS LIVRES SERVICOS DE REDE LOCAL Na internet, cada computador conectado à rede tem um endereço IP. Todos os endereços IPv4 possuem 32 bits. Os endereços IP são atribuídos à interface

Leia mais

Segurança em Redes TCP/IP. Redes Virtuais Privadas e Extranets

Segurança em Redes TCP/IP. Redes Virtuais Privadas e Extranets Segurança em Redes TCP/IP Redes Virtuais Privadas e Extranets UNISANTA TELECOMUNICAÇÕES 2004 Acesso por linha discada Serviço de Acesso Remoto: Implementado pelos sistemas operacionais comerciais mais

Leia mais

VPN VPN VPN. Resumo do seminário Próxima apresentação. ESP Encapsulation Security Payload

VPN VPN VPN. Resumo do seminário Próxima apresentação. ESP Encapsulation Security Payload Referências ibliográficas Segurança em redes sem fio Parte IV Tópicos Especiais em Redes Integradas Faixa Larga Orientador: Prof. Luís Felipe M. de Moraes luno: verissimo@ravel.ufrj.br http://www.ravel.ufrj.br/~verissimo

Leia mais

ESTUDO DE VULNERABILIDADE DO IPSEC EM REDES IPV6

ESTUDO DE VULNERABILIDADE DO IPSEC EM REDES IPV6 CENTRO UNIVERSITÁRIO EURÍPIDES DE MARÍLIA FUNDAÇÃO DE ENSINO EURÍPIDES SOARES DA ROCHA BACHARELADO EM SISTEMA DE INFORMAÇÃO ESTUDO DE VULNERABILIDADE DO IPSEC EM REDES IPV6 RICARDO SATO DE OLIVEIRA Marília,

Leia mais

REDES PRIVADAS VIRTUAIS COM IPSec

REDES PRIVADAS VIRTUAIS COM IPSec UNIVERSIDADE DE BRASÍLIA CIÊNCIA DA COMPUTAÇÃO ESCOLA DE EXTENSÃO Prof. Pedro A. D. Rezende REDES PRIVADAS VIRTUAIS COM IPSec Dêner Lima Fernandes Martins Brasília DF 11-agosto-2000 Dêner L. F. Martins

Leia mais

Protocolos. Prof. Wladimir da Costa

Protocolos. Prof. Wladimir da Costa Prof. Wladimir da Costa Introdução Até o presente momento discutimos sobre a infraestrutura de redes (hardware, sistema operacional e cabeamento). Agora vamos ver como realmente é feito a troca de informação

Leia mais

AGENTE PROFISSIONAL - ANALISTA DE REDES

AGENTE PROFISSIONAL - ANALISTA DE REDES Página 1 CONHECIMENTO ESPECÍFICO 01. Suponha um usuário acessando a Internet por meio de um enlace de 256K bps. O tempo mínimo necessário para transferir um arquivo de 1M byte é da ordem de A) 4 segundos.

Leia mais

Introdução ao Protocolo TCP/IP. Prof. Gil Pinheiro UERJ/FEN/DETEL

Introdução ao Protocolo TCP/IP. Prof. Gil Pinheiro UERJ/FEN/DETEL Introdução ao Protocolo TCP/IP Prof. Gil Pinheiro UERJ/FEN/DETEL Introdução ao Protocolo TCP/IP Protocolo Inter Redes Histórico Estrutura do Protocolo TCP/IP Equipamentos de Interconexão Endereçamento

Leia mais

REDES DE COMPUTADORES Prof. Ricardo Rodrigues Barcelar http://www.ricardobarcelar.com.br

REDES DE COMPUTADORES Prof. Ricardo Rodrigues Barcelar http://www.ricardobarcelar.com.br - Aula 2 - MODELO DE REFERÊNCIA TCP (RM TCP) 1. INTRODUÇÃO O modelo de referência TCP, foi muito usado pela rede ARPANET, e atualmente usado pela sua sucessora, a Internet Mundial. A ARPANET é de grande

Leia mais

Segurança no Acesso Remoto VPN

Segurança no Acesso Remoto VPN Segurança no Acesso Remoto Edmar Roberto Santana de Rezende 1 Orientador: Prof. Dr. Paulo Lício de Geus 1 Financiado por Robert Bosch Ltda 1de 31 Apresentação Motivação Redes Privadas Virtuais () Análise

Leia mais

Segurança em Redes VPN IPsec

Segurança em Redes VPN IPsec Segurança em Redes VPN IPsec Redes de Comunicação Departamento de Engenharia da Electrónica e Telecomunicações e de Computadores Instituto Superior de Engenharia de Lisboa IPsec 21-09-2011 Redes de Comunicação

Leia mais

Arquitetura e Protocolos de Rede TCP/IP. Modelo Arquitetural

Arquitetura e Protocolos de Rede TCP/IP. Modelo Arquitetural Arquitetura e Protocolos de Rede TCP/IP Modelo Arquitetural Agenda Motivação Objetivos Histórico Família de protocolos TCP/IP Modelo de Interconexão Arquitetura em camadas Arquitetura TCP/IP Encapsulamento

Leia mais

REDES ESAF. leitejuniorbr@yahoo.com.br 1 Redes - ESAF

REDES ESAF. leitejuniorbr@yahoo.com.br 1 Redes - ESAF REDES ESAF 01 - (ESAF - Auditor-Fiscal da Previdência Social - AFPS - 2002) Um protocolo é um conjunto de regras e convenções precisamente definidas que possibilitam a comunicação através de uma rede.

Leia mais

Módulo 9 Conjunto de Protocolos TCP/IP e endereçamento IP

Módulo 9 Conjunto de Protocolos TCP/IP e endereçamento IP CCNA 1 Conceitos Básicos de Redes Módulo 9 Conjunto de Protocolos TCP/IP e endereçamento IP Introdução ao TCP/IP 2 Modelo TCP/IP O Departamento de Defesa dos Estados Unidos (DoD) desenvolveu o modelo de

Leia mais

Universidade Tuiuti do Paraná Faculdade de Ciências Exatas. Tecnologia de Análise e Desenvolvimento de Sistemas. TCP/IP x ISO/OSI

Universidade Tuiuti do Paraná Faculdade de Ciências Exatas. Tecnologia de Análise e Desenvolvimento de Sistemas. TCP/IP x ISO/OSI Universidade Tuiuti do Paraná Faculdade de Ciências Exatas Tecnologia de Análise e Desenvolvimento de Sistemas TCP/IP x ISO/OSI A Internet não segue o modelo OSI. É anterior a ele. Redes de Computadores

Leia mais