Administração de VPNs IPSec

Transcrição

1 Administração de VPNs IPSec Conferência ESTG Segurança em Redes IP 4 de Abril de 2001 João Gomes Systems Engineer Team Leader Cisco Systems Portugal joao.gomes@cisco.com Conf_ESTG 2001,Cisco Systems, Inc. 1

2 O que é uma VPN Segura? Separação do Espaço de Endereçamento Separação de Tráfego Separação de Routing Encriptação Integridade dos Dados Não Repudiação VPN VPN Segura 2

3 IPSec: Encriptação Layer3 7: Application 6: Presentation 5: Session 4: Transport 3: Network 2: Data Link 1: Physical IPsec Independente da aplicação (web, mail) Independente do meio de transmissão (linha dedicada, FR, RDIS, ) Aplicável a redes IP End-to-End 3

4 O Modelo de VPNs IPSec Cliente A Cliente B mbehring CPE CPE CPE CPE Cliente A Cliente C Cliente C CPE CPE Cliente B CPE Cliente C CPE: Customer Premises Equipment 4

5 Modos IPSec Authentication Header Firewall Router IP HDR AH Data Encapsulating Security Payload Firewall Router IP HDR ESP Data Authenticated Encrypted 5

6 Qual o Algoritmo de Encriptação a usar? (Em quanto tempo se pode crackar?) DES: Pode ser atacado à força-bruta 3DES: Hoje pode dizer-se racionalmente que não é crackable AES: O sucessor do DES; novo; + rápido 6

7 Como escalar soluções IPSec? Conf_ESTG 2001,Cisco Systems, Inc. 7

8 Desafios na implementação de redes IPSec Configuração Performance Desenho de rede Gestão de chaves 8

9 Escalar soluções IPsec: Como configurar Túneis Estáticos Dynamic Cryptomaps Tunnel Endpoint Discovery (TED) 9

10 Escalar soluções IPsec: 1. Túneis Estáticos Static config Em cada ponto, definir todos os túneis Fácil mas não escala Qualquer alteração afecta todos os pontos 10

11 Escalar soluções IPsec: 2. Dynamic Cryptomaps Static config No ponto central: aceita-se qualquer túnel Nos extremos: configuração estática Ao ponto central: todos podem ligar Certificados: justifica a utilização. 11

12 Escalar soluções IPsec: 3. Tunnel Endpoint Discovery Em qualquer router: aceitar qualquer túnel Fácil de configurar e escalável Certificados: justifica a utilização. 12

13 Tunnel Endpoint Discovery Alice X A para B Deve ser protegido: Enviar probe IP: A to B IKE: A to B IKE: Y to X Y Tráfego para B deve ser protegido Probe recebida: Bloquear e responder ao probe Bob 13

14 Performance Routers implementam IPSec por Software ou Hardware 14

15 Redundância em IPSec

16 PKI e Gestão de Chaves Conf_ESTG 2001,Cisco Systems, Inc. 16

17 Escalabilidade de uma rede IPSec Como é que gerimos as chaves nesta teia? Como é que recuperamos as chaves de um router? 17

18 Aplicações PKI... IP Telephony VPNs SSO Remote Access Home Banking E-Commerce PKI 18

19 Certificado Digital Rui Pub Chave Publica do Rui Entidade Certificação SHA, DH, /1/97 a 12/31/98 Rui Silva, Empresa XPTO DH, Certificate Authority SHA, DH, Certificado Digital é uma mensagem assinada que certifica a autenticidade da chave pública do utilizador 19

20 Entidades de Certificação C A? CA Internet CA Certificate Authority (CA) verifica a identidade CA assina certificado digital contendo a chave pública da entidade Certificado idêntico ao BI Usado por IPSec/IKE, SSL, S/MIME, para associar uma chave pública a uma entidade 20

21 Como é que os routers operam com a CA? Certificado da CA assinado pela CA 1.router recebe certificado da CA 2.router transmite chave pública 4.router recebe o seu certificado 3. Certificado do router é assinado pela CA Passos 1 e 2 requerem autenticação humana 0. Router gera chaves pública e privada 21

22 Estabelelecimento de Sessão Segura Home-gw Pent-gw CRLs? DES MD5 RSA Sig DH1 3DES SHA Pre-shared DH1 CRLs? DES MD5 RSA Sig DH1 Troca de Certificados e verificação CRLs Negocição de parâmetros de sesssão Início de sessão IPSec 22

23 Material para consulta IETF Cisco White Papers Cisco SAFE Blueprint Bibliografia: - Applied Cryptography, Bruce Schneier - Implementing IPSec, Kaufman / Newman - Digital Certificates: Applied Internet Security, J.Feghhi/P.Williams - Understanding Digital Signatures, Gail L. Grant 23

24 Perguntas? 24

25