VPN IPSec – Parte 2

/ / Published in Security

No segundo post sobre VPN, vamos identificar como ela funciona.
Uma VPN IPSec tem 5 fases: Identificação do tráfego interessante, IKE fase 1, IKE fase 2, transferência de dados e fim do túnel IPSec.

1) Tráfego interessante: É o tráfego que deve ser criptografado, geralmente identificado através de Access-lists.

2) IKE fase 1: Basicamente tem a função de negociar as políticas que serão utilizadas, autenticar os peers e fechar um túnel seguro, por onde serão configurados os demais parâmetros. Pode trabalhar em Main Mode ou Agressive Mode. Podemos dizer que é um “primeiro túnel”, para proteger as mensagens de negociação para o túnel principal.

  • Main Mode: utiliza 6 troca de mensagens, e por isso é mais lento que o Agressive Mode.
    Mensagem 1 e 2: Usadas para garantir a segurança do meio e verificar se os peers estão de acordo.
    Mensagem 3 e 4: Utilizam o DH para gerar uma shared secret que é enviado para o outro peers, que devolve com sua identidade. Esta chave é usada para gerar outras chaves do processo.
    Mensagem 4 e 5: Faz a verificação da identidade do peer remoto.
  • Agressive Mode: Utiliza apenas 3 trocas de mensagens, fazendo a identificação do peer antes de criar um canal seguro. É o modo de operação padrão.
  • Opções do IKE fase 1:
         Algoritmo de criptografia: DES, 3DES, AES
         Algoritmo Hash: MD5, SHA-1
         Método de autenticação: Pré Share, RSA Signature
         Key Exchange: DH group 1, group 2, group 5
         IKE SA lifetime: até 86400 segundos

3) IKE fase 2: É a negociação do “segundo túnel”. São definidos os parâmetros do IPSec e transform sets, são estabelecidos IPSecs SAs, que são renegociados de tempos em tempos e pode também ocorrer a troca do DH (opcional).

O Security Association (SA) é uma conexão entre os dois peers que determina quais serviços do IPSec estão disponíveis naquela conexão (tipo de algoritmo de criptografia e autenticação utilizada, enderço IP, tempo de vida da key e outros…). São unidirecionais e assim, para um túnel VPN são criados dois SAs.

O IPSec pode trabalhar de duas madeiras: Túnel e Transporte. O modo túnel é o padrão, e com ele o pacote inteiro é criptografado e um novo cabeçalho é criado. Já no modo transporte o cabeçalho não é alterado, sendo criptografado apenas os dados.

  • Opções do IKE fase 2:
        Algoritmo de criptografia: DES, 3DES, AES
       Authentication: MD5, SHA-1
        SA lifetime: até 28.000 segundos

4) Transferência de dados: Após finalizada o IKE fase 2 o tráfego começa a ser enviado pelo túnel, de forma segura (criptografado).

5) Fim do túnel IPSec: O túnel é finalizado quando a SA é deletada (manualmente) ou ocorre o timeout, que pode ser configurado para ocorrer após um determinado espaço de tempo sem transmissão de dados ou após uma quantidade específica de dados transmitidos.

Até a próxima.

Tagged under: , , , , ,
Formando em Processamento de Dados e Ciência da Computação. Especialista Cisco (CCNP Enterprise e CCNP Security). Dezenove anos de experiência com redes e segurança.

What you can read next

Configurar Cisco Anyconnect para se conectar via RDP
Reload/Restart/Shutdown Cisco FireSIGHT
Diferença conceitual (Firewall básico e Firewall por zona)

2 Comments to “ VPN IPSec – Parte 2”

  1. Rafael Leão says :
    16/07/2009 at 21:24

    Boa.

  2. Daniel says :
    31/07/2015 at 11:13

    Muito didático o post, parabéns.