Administração de VPNs IPSec Conferência ESTG Segurança em Redes IP 4 de Abril de 2001 João Gomes Systems Engineer Team Leader Cisco Systems Portugal joao.gomes@cisco.com Conf_ESTG 2001,Cisco Systems, Inc. 1
O que é uma VPN Segura? Separação do Espaço de Endereçamento Separação de Tráfego Separação de Routing Encriptação Integridade dos Dados Não Repudiação VPN VPN Segura 2
IPSec: Encriptação Layer3 7: Application 6: Presentation 5: Session 4: Transport 3: Network 2: Data Link 1: Physical IPsec Independente da aplicação (web, mail) Independente do meio de transmissão (linha dedicada, FR, RDIS, ) Aplicável a redes IP End-to-End 3
O Modelo de VPNs IPSec Cliente A Cliente B mbehring CPE CPE CPE CPE Cliente A Cliente C Cliente C CPE CPE Cliente B CPE Cliente C CPE: Customer Premises Equipment 4
Modos IPSec Authentication Header Firewall Router IP HDR AH Data Encapsulating Security Payload Firewall Router IP HDR ESP Data Authenticated Encrypted 5
Qual o Algoritmo de Encriptação a usar? (Em quanto tempo se pode crackar?) DES: Pode ser atacado à força-bruta 3DES: Hoje pode dizer-se racionalmente que não é crackable AES: O sucessor do DES; novo; + rápido 6
Como escalar soluções IPSec? Conf_ESTG 2001,Cisco Systems, Inc. 7
Desafios na implementação de redes IPSec Configuração Performance Desenho de rede Gestão de chaves 8
Escalar soluções IPsec: Como configurar Túneis Estáticos Dynamic Cryptomaps Tunnel Endpoint Discovery (TED) 9
Escalar soluções IPsec: 1. Túneis Estáticos Static config Em cada ponto, definir todos os túneis Fácil mas não escala Qualquer alteração afecta todos os pontos 10
Escalar soluções IPsec: 2. Dynamic Cryptomaps Static config No ponto central: aceita-se qualquer túnel Nos extremos: configuração estática Ao ponto central: todos podem ligar Certificados: justifica a utilização. 11
Escalar soluções IPsec: 3. Tunnel Endpoint Discovery Em qualquer router: aceitar qualquer túnel Fácil de configurar e escalável Certificados: justifica a utilização. 12
Tunnel Endpoint Discovery Alice X A para B Deve ser protegido: Enviar probe IP: A to B IKE: A to B IKE: Y to X Y Tráfego para B deve ser protegido Probe recebida: Bloquear e responder ao probe Bob 13
Performance Routers implementam IPSec por Software ou Hardware 14
Redundância em IPSec 172.21.115.1 172.21.116.1 15
PKI e Gestão de Chaves Conf_ESTG 2001,Cisco Systems, Inc. 16
Escalabilidade de uma rede IPSec Como é que gerimos as chaves nesta teia? Como é que recuperamos as chaves de um router? 17
Aplicações PKI... IP Telephony VPNs SSO Remote Access Home Banking E-Commerce E-Mail PKI 18
Certificado Digital Rui Pub Chave Publica do Rui Entidade Certificação 0000123 SHA, DH, 3837829 1/1/97 a 12/31/98 Rui Silva, Empresa XPTO DH, 3813710 Certificate Authority SHA, DH, 2393702347 Certificado Digital é uma mensagem assinada que certifica a autenticidade da chave pública do utilizador 19
Entidades de Certificação C A? CA Internet CA Certificate Authority (CA) verifica a identidade CA assina certificado digital contendo a chave pública da entidade Certificado idêntico ao BI Usado por IPSec/IKE, SSL, S/MIME, para associar uma chave pública a uma entidade 20
Como é que os routers operam com a CA? Certificado da CA assinado pela CA 1.router recebe certificado da CA 2.router transmite chave pública 4.router recebe o seu certificado 3. Certificado do router é assinado pela CA Passos 1 e 2 requerem autenticação humana 0. Router gera chaves pública e privada 21
Estabelelecimento de Sessão Segura Home-gw 10.1.2.3 Pent-gw 26.9.0.26 CRLs? DES MD5 RSA Sig DH1 3DES SHA Pre-shared DH1 CRLs? DES MD5 RSA Sig DH1 Troca de Certificados e verificação CRLs Negocição de parâmetros de sesssão Início de sessão IPSec 22
Material para consulta IETF http://www.ietf.org/ Cisco White Papers http://www.cisco.com/warp/public/cc/cisco/mkt/security/ Cisco SAFE Blueprint http://www.cisco.com/warp/public/779/largeent/issues/security/safe.html Bibliografia: - Applied Cryptography, Bruce Schneier - Implementing IPSec, Kaufman / Newman - Digital Certificates: Applied Internet Security, J.Feghhi/P.Williams - Understanding Digital Signatures, Gail L. Grant 23
Perguntas? 24