NESTA PÁGINA
Visão geral das Associações de Segurança IPsec
Associações de segurança IPsec
Outra consideração do IPSec é o tipo de associação de segurança (SA) que você deseja implementar. Um SA é um conjunto de especificações de IPSec que são negociadas entre dispositivos que estão estabelecendo uma relação IPSec. Essas especificações incluem preferências pelo tipo de autenticação, criptografia e protocolo IPSec que devem ser usados ao estabelecer a conexão IPSec. Uma SA pode ser unidirecional ou bidirecional, dependendo das escolhas feitas pelo administrador de rede. Um SA é identificado exclusivamente por um índice de parâmetros de segurança (SPI), um endereço de destino IPv4 ou IPv6 e um identificador de protocolo de segurança (AH ou ESP).
Você pode configurar o IPSec com uma SA manual pré-compartilhada ou usar o IKE para estabelecer uma SA dinâmica. As SAs manuais exigem que você especifique todos os requisitos do IPSec na frente. Por outro lado, os SAs dinâmicos do IKE normalmente contêm padrões de configuração para os mais altos níveis de autenticação e criptografia.
Modos IPSec
Ao configurar o IPSec, a última consideração importante é o tipo de modo IPSec que você deseja implementar em sua rede. O Junos OS oferece suporte aos seguintes modos IPSec:
O modo túnel é compatível com AH e ESP no Junos OS e é a escolha habitual para um roteador. No modo túnel, a SA e os protocolos associados são aplicados a pacotes IPv4 ou IPv6 em túnel. Para um SA do modo túnel, um cabeçalho IP externo especifica o destino de processamento IPSec, e um cabeçalho IP interno especifica o destino final para o pacote. O cabeçalho de protocolo de segurança aparece após o cabeçalho IP externo e antes do cabeçalho IP interno. Além disso, há pequenas diferenças para o modo de túnel quando você o implementa com AH e ESP:
Para AH, as porções do cabeçalho IP externo estão protegidas, bem como todo o pacote IP em tunelamento.
Para ESP, apenas o pacote em túnel está protegido, não o cabeçalho externo.
Quando um lado de uma associação de segurança é um gateway de segurança (como um roteador), a SA deve usar o modo de túnel. No entanto, quando o tráfego (por exemplo, comandos SNMP ou sessões BGP) é destinado a um roteador, o sistema funciona como um host. O modo de transporte é permitido neste caso porque o sistema não atua como um gateway de segurança e não envia ou recebe tráfego de trânsito.
O modo de transporte oferece uma associação de segurança entre dois hosts. No modo de transporte, os protocolos fornecem proteção principalmente para protocolos de camada superior. Para pacotes IPv4 e IPv6, um cabeçalho de protocolo de segurança de modo de transporte aparece imediatamente após o cabeçalho IP e quaisquer opções, e antes de quaisquer protocolos de camada mais altos (por exemplo, TCP ou UDP). Há pequenas diferenças para o modo de transporte quando você o implementa com AH e ESP:
Para a AH, as partes selecionadas do cabeçalho IP estão protegidas, bem como partes selecionadas dos cabeçalhos de extensão e opções selecionadas dentro do cabeçalho IPv4.
Para ESP, apenas os protocolos de camada superior estão protegidos, não o cabeçalho IP ou quaisquer cabeçalhos de extensão que precedem o cabeçalho ESP.
O suporte ao modo de transporte IPSec é limitado principalmente à autenticação de roteamento e a determinadas configurações apenas aplicativo quando o código Junos FIPs é usado.