Protocolos de Segurança de IP

O protocolo IP Security (IPSec) faculta uma base estável e duradoura para segurança de nível de rede.

O IPSec suporta todos os algoritmos criptográficos usados actualmente e pode também acolher algoritmos novos e mais desenvolvidos, à medida que estes vão surgindo. Os protocolos IPSec abrangem os seguintes pontos de segurança mais importantes:

Autenticação da origem de dados
Verifica se cada datagrama teve origem no alegado remetente.
Integridade dos dados
Verifica se o conteúdo de um datagrama foi alterado durante a circulação, quer seja deliberadamente, quer devido a erros aleatórios.
Confidencialidade de dados
Oculta o conteúdo de uma mensagem, normalmente através de codificação.
Protecção de repetição
Assegura que o elemento estranho não consegue interceptar um datagrama e repeti-lo mais tarde.
Gestão automática de chaves criptográficas e associações de segurança
Assegura que a sua política de VPN pode ser implementada em toda a rede com pouca ou nenhuma configuração manual.

A VPN utiliza dois protocolos IPSec para proteger os dados à medida que estes circulam pela VPN: Authentication Header (AH) e Encapsulating Security Payload (ESP). A outra parte da implementação dos IPSec é o protocolo Internet Key Exchange (IKE) ou gestão por chave. Enquanto os IPSec codificam os dados, o IKE suporta a negociação automática das associações de segurança (SAs) e a geração e actualização automática das chaves criptográficas.

Nota: Algumas configurações de VPN poderão ter alguma vulnerabilidade a nível da segurança, dependendo da forma como o IPSec está configurado. A vulnerabilidade afecta as configurações nas quais o IPsec está configurado para usar Encapsulating Security Payload (ESP) em modo túnel com confidencialidade (codificação), mas sem protecção de integridade (autenticação) nem Authentication Header (AH). Sempre que o ESP é seleccionado, a configuração predefinida inclui um algoritmo de autenticação que faculta protecção de integridade. Assim sendo, a não ser que o algoritmo de autenticação na transformação de ESP seja removido, a configuração de VPN ficará protegida desta vulnerabilidade. A configuração da VPN da IBM® Universal Connection não é afectada por esta vulnerabilidade.
Para verificar se o sistema se encontra afectado por esta vulnerabilidade de segurança, siga estes passos:
  1. No IBM Navigator for i, expanda Rede (Network) > Políticas de IP (IP Policies) > Rede Privada Virtual (Virtual Private Networking) e faça clique em Políticas de Segurança de IP (IP Security Policies).
  2. Faça clique com o botão direito do rato em Políticas de Dados (Data Policies) e seleccione Abrir (Open).
  3. Faça clique com o botão direito do rato na política de dados que pretende verificar e seleccione Propriedades.
  4. Faça clique no separador Propostas.
  5. Seleccione qualquer uma das propostas de protecção de dados que usam o protocolo ESP e faça clique em Editar.
  6. Faça clique no separador Transformações.
  7. Seleccione qualquer uma das transformações da lista que usem o protocolo ESP e faça clique em Editar.
  8. Verifique se o algoritmo de Autenticação tem qualquer outro valor que não seja Nenhum.

A Internet Engineering Task Force (IETF) define formalmente o IPSec no Request for Comment (RFC) 4301, Security Architecture for the Internet Protocol. Pode visualizar este RFC na Internet, no seguinte sítio na Web: http://www.rfc-editor.org.

Os protocolos IPSec principais são listados a seguir:

Tópico ascendente: Conceitos da VPN
Conceitos relacionados:
Gestão de chaves
Informações relacionadas:
http://www.rfc-editor.org