ITnerante

Estudos de TI para Concursos Públicos

Boa tarde pessoal,

Tive dificuldade em resolver a questão abaixo. Cheguei até a uma conclusão, mas não tenho certeza de que estou certa. Gostaria de saber a opinião de vocês.

O IPSec, protocolo padrão de redes privadas virtuais, não entra em conflito com os firewalls, pois os pacotes IPSec têm cabeçalhos e conteúdos cifrados que os firewalls podem processar e filtrar.

Gabarito: ERRADO.

Vejam o exemplo que o livro "Criptografia e Segurança de Redes - Princípios e Práticas - do William Stallings - 4ª edição - página 345" dá para o modo túnel:

O host A em uma rede gera um pacote de IP com o endereço de destino do host B em outra rede. Esse pacote é roteado do host de origem para um firewall ou roteador seguro na borda da rede de A. O firewall filtra todos os pacotes que saem para determinar a necessidade de processamento do IPSec. Se esse pacote de A para B exigir o IPSec, o firewall realizará o processamento do IPSec e encapsulará o pacote com um cabeçalho IP externo. O endereço de IP de origem desse pacote de IP externo é roteado para o firewall de B, com roteadores intermediários examinando apenas o cabeçalho de IP externo. No firewall de B, o cabeçalho de IP externo é removido, e o pacote inteiro é entregue a B.

Pra mim ficou claro que não há incompatibilidade entre o IPSec e firewalls. E também entendi que, no modo túnel, um firewall pode ser o responsável por filtrar, criptografar e descriptografar os pacotes que circulam pelo túnel, ou seja, criar o túnel.  Portanto, acredito que o erro da questão possa ser afirmar que o IPSec é um padrão de VPN. O IPSec até pode criar uma VPN ( unindo-se o modo túnel ao cabeçalho ESP), mas ele não serve somente para isso.

O que vocês acham?

Exibições: 371

Respostas a este tópico

o firewall nunca cifra e decifra como você disse , pois ele é somente responsavel por filtrar os pacotes e não tem nenhum algoritmo de criptografia tanto simétrica quanto assimétrica. Stallings ao falar que o firewall realiza o processamento do ipsec encapsulando o cabeçalho ip externo se refere ao modo túnel, onde é adicionado um novo cabeçalho ip (do gatway) com a vantagem da anonimicidade, pois o ip interno origem e destino fica encapsulado não sendo visto no túnel.

no modo transporte o canal é somente criado com o ip origem e destino , não sendo adicionado o ip exteno(gatway), perdendo a anonimicidade

O erro da questão é falar que o ipsec tem cabeçalhos cifrados.

o ipsec tem dois cabeçalhos AH que garante autenticação e ESP que garante confidencialidede e opcionalmente autenticação. tanto no modo transporte quanto no modo túnel.

Algo muito importante é que quando se utiliza IPSEC com AH é que os dados podem ser acessados por pessoas não autorizadas porque não esta sendo usada criptografia , somente autenticação.

Ei Rafael, obrigada por sua opinião.

De fato os cabeçalhos IPSec não são criptografados. Até porque os roteadores pelo caminho não teriam como enxergá-lo para realizar o roteamento.

No modo túnel usando o cabeçalho ESP, por exemplo, o processo de criptografia ocorrerá antes de chegar ao firewall? Cabe ao firewall apenas acrescentar o cabeçalho IP externo? Nesse caso ocorreira uma parte do processo de criação da VPN "antes" do firewall e outra no próprio firewall?

Na sua opinião está correto dizer que o IPSec é um padrão VPN? Pergunto isso, pois já li em algum lugar, que não me lembro mais onde, que apenas quando usamos o modo túnel com o cabeçalho ESP podemos considerar que uma VPN foi criada, porque só assim teríamos uma rede privada (criptografada - com sigilo) e IPSec pode ser utilizado de outras formas além dessa.

Olha só o que eu acabei de de ver no livro do Stallings (página 349):

"Uma organização mantém LANs me locais dispersos. O tráfego de IP não protegido é conduzido em cada LAN. Para o tráfego fora do site, através de algum tipo de WAN privada ou pública, são utilizados protocolos IPSec. Esses protocolos operam em dispositivos de rede, como um roteador ou firewall, que conectam cada LAN ao mundo exterior. O dispositivo de rede IPSec normalmente irá criptografar e compactar todo o tráfego que vai para a WAN e descriptografará e descompactará o tráfego que vem da WAN; "

Isso não quer dizer que o firewall pode ser o responsável por criar a VPN ?

O Firewall não consegue entender NADA que venha cifrado.

Ei Gustavo,

Qual o erro da questão que inciou esta discussão?

O IPSec, protocolo padrão de redes privadas virtuais, ENTRA em conflito com os firewalls, pois os pacotes IPSec têm cabeçalhos e conteúdos cifrados que os firewalls NÃO podem processar e filtrar

Questãozinha tensa!!

Rita tanto no modo tunel quanto no modo transporte a VPN é criada . podemos usar o cabeçalho AH que garante autenticidade na VPN, ou seja garante que a origem e o destino são quem dizem ser. agora se vc quisar garantir a criptografia e opcionalmente a autenticação usa-se o cabeçalho ESP.

então :

1) Quero criar uma vpn com autenticidade qual cabeçalho usar?

resp: AH ou ESP

2)quero criar uma VPN com criptografia(Sigilo) qual cabeçalho usar?

Respm : ESP

3)Quero criar uma VPN com sigilo e autenticidade qual cabeçalho usar?

ESP e AH? -> NÃO!!!

Resp: ESP

 

Isto vale tanto para o modo túnel quanto pata Transporte.

ok?

 

 

Beleza Rafael. Agradeço imensamente a sua ajuda.

Abraço.

RSS

Badge

Carregando...

© 2017   Criado por Walter Cunha.   Ativado por

Badges  |  Relatar um incidente  |  Termos de serviço