Questões IPsec – IPEA 2008 – Cespe

Olá pessoal!

Também vou tentar contribuir com a comunidade através da análise de questões. Nesse primeiro post, trago duas questões sobre o IPsec, retiradas da prova do IPEA – cargo 2 (Analista de sistemasSuporte de infra-estrutura). Vejamos:

108 Um acordo de segurança (security association) do protocolo de segurança IP (IPsec) consiste de uma relação bidirecional entre dois roteadores IP, necessária para estabelecer conexões TCP através desses roteadores, de modo a oferecer serviços de autenticação e confidencialidade das conexões TCP, necessários à formação de redes privadas virtuais (virtual private networks (VPN) fim-a-fim.

109 O protocolo de encapsulamento de carga útil — encapsulation security payload (ESP) — fornece os serviços de autenticação, integridade de dados e confidencialidade que, no contexto de IPsec, permitem a formação de redes privadas virtuais entre entidades operando na camada de rede IP.

Gabarito: 108 E, 109 C.

Abaixo são listadas algumas características básicas do IPsec (IP Security Protocol):

  • Provê segurança em comunicações IP;
  • Baseado em criptografia de chave simétrica, porque o alto desempenho é importante;
  • Independente de algoritmo, para que a quebra de um algoritmo não represente o fim do projeto;

Embora esteja na camada de Internet, o IPsec é orientado a conexões. Uma “conexão”, no contexto, do IPsec é chamada SA (security agreement/association – acordo/associação de segurança). Um SA é uma conexão simplex, ou seja, unidirecional, e tem um identificador de segurança. Se houver a necessidade de tráfego seguro em ambos os sentidos, serão exigidos dois SAs.

O IPsec define dois novos cabeçalhos que podem ser acrescentados a pacotes: AH (authentication header) e ESP (encapsulating seurity protocol). O AH é capaz de prover a autenticação e checagem de integridade dos dados através do campo HMAC (hashed message authentication code). Neste modo de operação, o IPsec não é capaz de oferecer confidencialidade dos dados.

Datagrama IP com cabeçalho AH

O ESP também provê autenticação e integridade com o HMAC. Além disso, quando se usa o ESP os dados são cifrados, o que garante também a confidencialidade na comunicação. Com o ESP é possível operar-se em dois modos. No modo transporte, o cabeçalho original do pacote IP não é criptografado, e continua servindo para roteamento durante todo o percurso.

ESP modo transporte

ESP modo transporte

No modo túnel, todo o pacote IP, incluindo o cabeçalho, é encapsulado no corpo de um novo pacote IP com um cabeçalho novo. O modo túnel é muito utilizado na formação de VPNs (virtual private networks), nas quais o início e o fim do túnel são firewalls da empresa.

ESP modo túnel

ESP modo túnel

Referências:

»crosslinked«

Você pode gostar...

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *