O Que é IPsec e O Que Ele Faz por uma VPN? - TechRobot

O Que é IPsec e O Que Ele Faz por uma VPN?

A Força-Tarefa de Engenharia da Internet (IETF) desenvolveu o IPsec em resposta às vulnerabilidades de segurança do Protocolo de Internet (IPv4). Não era uma tarefa difícil para ninguém interceptar dados na internet transmitidos por IPv4. Portanto, o IPsec entrou em cena. O IPsec aborda as deficiências de segurança do IPv4 usando um conjunto de protocolos de segurança para garantir que as comunicações pela internet sejam seguras.

Operando na camada de rede do modelo de Interconexão de Sistemas Abertos (OSI), você pode usar o IPsec para se comunicar de forma segura entre redes e hosts. Como resultado, as implementações de IPsec ocorrem em comunicações de host para host, de rede para host e de rede para rede. 

IPsec é popular em qualquer indústria que requer segurança de ponta a ponta entre dois pontos finais, especialmente a indústria de VPN. Entre outros protocolos, as VPNs usam IPsec para proteger dados em trânsito, pois ele fornece integridade de dados, confidencialidade e autenticação. Este texto se concentra em entender o IPsec e por que as VPNs dependem dele para proteger o tráfego de internet de seus consumidores.

O Que É IPsec?

O Internet Protocol Security (IPsec) é um conjunto de protocolos ou um grupo de protocolos que trabalham juntos para estabelecer uma conexão segura entre computadores pela internet. O IPsec oferece conexões criptografadas, impedindo que terceiros vejam o conteúdo da comunicação entre os computadores envolvidos. Além da criptografia, o IPsec também fornece um mecanismo para autenticar pacotes de dados para garantir que eles venham da fonte correta. Vamos olhar abaixo as características de segurança padrão que o IPsec oferece.

1. Autenticação: Ao autenticar os dados em ambas as extremidades da conexão, o IPsec garante que os pontos finais sejam confiáveis antes que a transmissão de dados comece. 

2. Confidencialidade: Ao fornecer criptografia de dados de ponta a ponta, o IPsec garante que entidades maliciosas não possam infiltrar-se na rede, roubar dados ou espionar a rede. 

3. Integridade: IPsec utiliza hashing para verificar a integridade dos dados, garantindo que intercepta dados alterados. 

4. Anti-replay: Usando números de sequência, o IPsec garante que atores mal-intencionados não possam replicar pacotes de dados para infiltrar na rede. 

Você pode usar IPsec entre dois hosts (host-to-host), entre duas redes/gateways (rede-a-rede), ou entre um host e uma rede (rede-a-host). Além disso, você encontrará a implementação do IPsec em domínios de segurança como Redes Privadas Virtuais (VPNs), segurança de roteamento e segurança em nível de aplicação. O IPsec por si só pode não ser eficaz o suficiente para uma segurança de alto nível, razão pela qual é implementado junto com outros protocolos em alguns casos.

Protocolos IPSec

Existem três protocolos que fazem parte do conjunto IPsec. Esses protocolos trabalham juntos para fornecer autenticação de dados, integrididade, confidencialidade e anti-replay. Vamos dar uma olhada neles abaixo.

1. Cabeçalho de Autenticação (AH)

A principal função do Cabeçalho de Autenticação é autenticar pacotes de dados IP. Usando funções de hash e uma chave secreta, ele valida cada pacote de cada extremidade do túnel VPN. Isso impede que entidades maliciosas modifiquem dados e os apresentem como autênticos. O AH oferece autenticação, integridade e proteção contra replay. Ele não oferece nenhum tipo de criptografia.

2. Encapsulating Security Payload (ESP)

A principal função do Encapsulating Security Payload é criptografar pacotes de dados. Dependendo do modo IPsec, ele criptografa apenas o payload ou o payload e o cabeçalho IP. O modo de transporte permite que o ESP criptografe apenas o segmento da camada de transporte e o payload, deixando o cabeçalho IP sem criptografia. Por outro lado, o ESP no modo túnel criptografa o cabeçalho IP junto com o segmento da camada de transporte e o payload. O ESP fornece autenticação, integridade, confidencialidade e proteção contra replay. 

3. Associação de Segurança (SA)

O IPSec utiliza associações de segurança para estabelecer protocolos de segurança que os pontos finais usam para negociar algoritmos de criptografia e chaves. Em termos simples, uma associação de segurança é apenas uma maneira de os dois pontos finais concordarem sobre parâmetros que irão estabelecer e manter o túnel IPsec seguro.

As Associações de Segurança do IPsec requerem três coisas: um Índice de Parâmetro de Segurança (SPI), o endereço IP de destino e o protocolo IPsec (AH ou ESP). As SAs operam em uma única direção; portanto, você precisa de duas SAs (de saída e de entrada) para cada ponto final. O IPsec utiliza o Protocolo de Associação de Segurança e Gerenciamento de Chaves da Internet (ISAKMP) para estabelecer SAs.

Como Funciona o IPsec?

Abaixo, analisamos como o IPsec estabelece uma conexão segura entre dois pontos e protege os dados desde sua origem até o destino. 

1. Troca de Chaves

O Protocolo de Troca de Chaves da Internet (IKE) gerencia a negociação de chaves e algoritmos que ambos os pontos finais usarão. Como resultado, é um processo vital ao usar IPsec para estabelecer uma conexão segura e confiável. O IKEv1 possui duas fases: fase 1 do IKE e fase 2 do IKE.

O objetivo da fase 1 do IKE é para que os pontos finais troquem propostas sobre como autenticar e proteger a conexão entre eles. Eles trocam propostas para parâmetros de segurança, como algoritmos de criptografia, algoritmos de autenticação, grupo Diffie-Hellman (DH) e chaves pré-compartilhadas ou certificados RSA/DSA. Como resultado, ao final desta fase, pelo menos uma única SA ISAKMP bidirecional deve ser estabelecida entre os pares. Você pode usar a fase 1 no Modo Principal (total de seis mensagens entre os pontos finais) ou no Modo Agressivo (total de três mensagens entre os pontos finais).

A fase IKE 2 começa após os pontos finais ou pares estabelecerem uma conexão segura. Nesta fase, os pontos finais negociam SAs que manterão os dados que passam pelo túnel IPsec seguros. Um protocolo de segurança (ESP ou AH), algoritmos de criptografia e algoritmos de autenticação são negociados nesta fase. Além disso, um grupo Diffie-Hellman (DH) e a Confidencialidade Perfeita para o Futuro também podem fazer parte da proposta.

IKEv2, a versão atualizada do IKEv1, não possui uma fase 1 ou fase 2. No entanto, os pontos de extremidade trocam quatro mensagens para negociar os parâmetros de segurança para o túnel IPsec. As VPNs preferem usar o IKEv2 porque é mais fácil de configurar e mais seguro.

2. Cabeçalhos e Rodapés de Pacotes

Após os pontos finais concordarem com os parâmetros de segurança, eles podem agora enviar dados um para o outro. Primeiro, os pacotes IP precisam ser encapsulados. Dependendo se você está usando o modo túnel ou transporte, o IPsec adiciona o(s) cabeçalho(s) e rodapé(s) necessários a cada pacote que precisa ser transportado. 

3. Autenticação e Criptografia

IPsec aplica autenticação e criptografia usando AH e ESP. AH não oferece criptografia, mas autentica pacotes de dados. Por outro lado, ESP oferece criptografia e autenticação.

4. Transmissão

Os pacotes IP agora podem se mover através da conexão IPsec até os pontos finais com a ajuda de um protocolo de transporte (preferencialmente UDP).

5. Descriptografia

A descriptografia ocorre na extremidade receptora da conexão. Uma vez descriptografados, os dados são encaminhados para a aplicação que os necessita. 

Modo de Transporte IPsec Vs. Modo de Túnel

IPsec possui dois modos de operação: Túnel e Transporte. Vamos ver o que torna cada um diferente do outro abaixo. 

Modo de Transporte

Um circuito IPsec operando em modo de transporte geralmente é uma conexão direta entre dois hosts. Os pontos finais não criptografam ou autenticam o pacote IP inteiro no modo de transporte, apenas o payload. Como o cabeçalho IP não é modificado ou encapsulado, dispositivos de terceiros fora dos dois pontos finais podem ver o destino e a origem dos pacotes.

Modo de Túnel

Um circuito IPsec operando em modo túnel é geralmente entre dois gateways (comunicações de rede para rede): dois roteadores ou um roteador e um firewall. No entanto, você pode usá-lo para comunicações de host para host e de host para rede. Neste modo, não é apenas o payload que é criptografado; todo o pacote IP é criptografado e autenticado. VPNs usam o modo túnel IPsec porque ele garante a segurança de toda a rede usando criptografia de ponta a ponta e não apenas dos dados que passam por ela. 

IPsec em uma VPN

Uma vez que uma VPN oferece uma maneira de você se comunicar de forma segura pela internet, é apenas razoável que o IPsec seja um dos protocolos utilizados pelas VPNs. Quando as VPNs utilizam o IPsec, geralmente usam o ESP no modo túnel devido à criptografia de ponta a ponta que ele oferece. Em alguns casos, você verá o IKEv2/IPsec ou apenas IKEv2 como protocolos de VPN que você pode usar. Ambos significam a mesma coisa, já que o IKEv2 utiliza o modo túnel do IPsec para estabelecer uma conexão segura.

Além disso, as VPNs combinam protocolos menos seguros como L2TP com IPsec para garantir conexões seguras. É por isso que você verá L2TP/IPsec como uma opção em alguns aplicativos de VPN. Agora, vamos olhar para a forma fundamental como o IPsec funciona quando você clica no botão de conectar no seu aplicativo de VPN.

1. Uma vez que você clica no botão “Conectar”, o IPsec começa a estabelecer uma conexão segura usando ESP e Modo Túnel. 

2. Os pontos finais do túnel concordam com os parâmetros de segurança usando Associações de Segurança (SAs). 

3. Os dados agora podem se mover de uma ponta a outra de forma segura, pois a criptografia e a descriptografia ocorrem em ambos os pontos finais. Um ponto final recebe pacotes IP, criptografa-os e os transfere para o outro ponto final. Na ponta receptora, o outro ponto final descriptografa os pacotes IP e os envia para o aplicativo necessário.

O texto acima não é uma explicação detalhada, mas deve dar uma ideia de como o IPsec funciona em uma VPN.

Conclusão

O IPsec é importante se você precisa de confidencialidade, integridade e autenticação dos dados entre dois pontos finais. A maioria das VPNs inclui IPsec (IKEv2/IPsec ou L2TP/IPsec) como parte dos protocolos seguros de VPN que oferecem. Esperamos que este artigo ajude você a entender o IPsec e como ele é um conjunto de protocolos importante que as VPNs usam para garantir comunicações seguras na internet.