IPSec

A tecnologia IPSec (IP security) é uma suite de protocolos que garante confidencialidade, integridade e autenticidade na transmissão de dados em redes IP. Ao contrário do protocolo SSL que opera ao nível da camada de transporte, o IPSec opera ao nível da camada de rede garantindo desde logo uma encriptação de dados a esse nível.

Ao contrário de uma VPN através de PPTP ou SSL onde a ligação é efectuada entre uma determinada máquina e uma rede, a VPN IPSec permite que duas redes distintas estejam comunicáveis permanentemente e de forma transparente. Isto porque existirá um túnel IPSec configurado entre duas IPBricks ou entre uma IPBrick e um router sendo totalmente trasparente para os utilizadores das duas redes essa configuração.

Exemplo: A rede 192.168.2.0 pertence à sede da Empresa X situada no Porto, sendo a rede 192.168.4.0 da sua filial presente no Japão. Sendo necessário que obviamente ambas estejam ligadas à Internet, torna-se possível através de um túnel VPN IPSec configurado que as máquinas das duas redes estão contactáveis. Em resumo as duas redes internas podem comportar-se como que fossem uma só.

Para configurar uma ligação VPN entre duas redes, é necessário a configuração adequada do tunel IPSec na IPBrick origem e na de destino.

O menu principal exibe a listagem dos túneis configurados. Para inserir um novo túnel IPSec clique em Inserir. Nesta página é possível configurar a ligação IPSec (Figura 4.23). Para isso são necessários os seguintes dados:

• Definições gerais:
  • Name: Nome da VPN IPSec;
  • Descrição: Descrição da ligação IPSec;
  • Estado: Estado da VPN IPSec - activo ou inactivo;

• Definições da Rede Local:
  • IP Local: Endereço público da IPBrick (eth1);
  • Rede Local: O endereço da rede local e a respectiva máscara de rede;
  • Gateway Local: O endereço da interface interna do router da rede local (por omissão este campo deve ficar vazio!);
  • Identificador Local: Caso não exista IP fixo, será o endereço dinâmico de DNS (por omissão este campo deve ficar vazio!);
  • IP do servidor na rede local: Endereço da interface interna da IPBrick.

• Definições da Rede Remota
  • IP Remoto: Endereço público da rede remota.
  • Rede Remota: O endereço da rede remota e a respectiva máscara de rede;
  • Gateway Remota: O endereço da interface interna do router da rede remota (por omissão este campo deve ficar vazio!);
  • Identificador Remoto: Caso não exista IP fixo no outro extremo, será o endereço dinâmico de DNS (por omissão este campo deve ficar fazio!).

• Gestão de Chaves
  • Password: Uma Pre-Shared Key é uma chave partilhada que o serviço VPN espera como primeira credencial. Para que o servidor VPN permita que o processo de autenticação continue, é necessário passar a PSK correcta;
  • Tipo: O IPSec fornece dois modos de operação especificados neste campo, que são Túnel (onde todo o pacote IP original é encriptado) e Transporte (os dados (payload) são encriptados, mas o cabeçalho IP original não é alterado);
  • Autenticação: O IPSec permite adicionar dois cabeçalhos extra ao pacote IP - AH e ESP. O AH (Authentication Header) garante integridade e autenticidade não garantindo confidencialidade. O ESP garante integridade, autenticidade e confidencialidade dos dados;
  • PFS^4.7: Permite indicar se o PFS é ou não usado;
  • Arranque: Só permite automático.

Figura 4.23: VPN - Configuração IPSec 1/2

Figura 4.24: VPN - Configuração IPSec 2/2

Notas de rodapé

... PFS^4.7

Perfect Forward Secrecy