IPsec é um grupo de protocolos de rede usados para configurar conexões criptografadas seguras, como VPNs, em redes compartilhadas publicamente.
Após ler este artigo, você será capaz de:
Conteúdo relacionado
Assine o theNET, uma recapitulação mensal feita pela Cloudflare dos insights mais populares da internet.
Copiar o link do artigo
O IPsec é um grupo de protocolos para proteger conexões entre dispositivos. O IPsec ajuda a manter seguros os dados enviados por redes públicas. Ele é frequentemente usado para configurar VPNse funciona criptografando pacotes de IP , além de autenticar a origem dos pacotes.
Dentro do termo "IPsec", "IP" significa "protocolo da internet" e "sec" significa "seguro". O protocolo de internet é o principal protocolo de roteamento usado na internet; ele designa para onde os dados irão usando endereços de IP. O IPsec é seguro porque adiciona criptografia* e autenticação a esse processo.
*A criptografia é o processo de ocultar informações alterando matematicamente os dados para que pareçam aleatórios. Em termos mais simples, a criptografia é o uso de um "código secreto" que apenas as partes autorizadas podem interpretar.
Protocolos de segurança como o IPsec são necessários porque os métodos de rede não são criptografados por padrão.
Ao enviar uma correspondência por meio de um serviço postal, uma pessoa normalmente não escreve sua mensagem na parte externa do envelope. Em vez disso, ela coloca a mensagem dentro do envelope para que ninguém que lide com a correspondência entre o remetente e o destinatário possa ler a mensagem. No entanto, os conjuntos de protocolos de rede, como o TCP/IP, estão preocupados apenas com a conexão e a entrega, e as mensagens enviadas não são ocultadas. Qualquer pessoa no meio pode lê-las. O IPsec e outros protocolos que criptografam dados basicamente colocam um envelope em torno dos dados à medida que eles atravessam as redes, mantendo-os seguros.
Uma rede privada virtual (VPN) é uma conexão criptografada entre dois ou mais computadores. As conexões VPN ocorrem em redes públicas, mas os dados trocados pela VPN ainda são privados porque são criptografados.
As VPNs possibilitam o acesso seguro e a troca de dados confidenciais em uma infraestrutura de rede compartilhada, como a internet pública. Por exemplo, quando os funcionários trabalham remotamente em vez de no escritório, geralmente usam VPNs para acessar arquivos e aplicativos corporativos.
Muitas VPNs usam o conjunto de protocolos IPsec para estabelecer e executar essas conexões criptografadas. No entanto, nem todas as VPNs usam o IPsec. Outro protocolo para VPNs é o SSL/TLS, que opera em uma camada diferente do modelo OSI do IPsec. (O modelo OSI é uma representação abstrata dos processos que fazem a internet funcionar).
Os usuários podem acessar uma VPN IPsec fazendo login em um aplicativo de VPN ou "cliente". Isso normalmente exige que o usuário tenha o aplicativo instalado em seu dispositivo.
Os logins de VPN geralmente são baseados em senha. Embora os dados enviados por uma VPN sejam criptografados, se as senhas dos usuários forem comprometidas, os invasores poderão fazer login na VPN e roubar esses dados criptografados. Usar autenticação de dois fatores (2FA) pode fortalecer a segurança da VPN IPsec, já que roubar apenas uma senha não dará mais acesso a um invasor.
As conexões IPsec incluem os seguintes passos:
Troca de chaves: as chaves são necessárias para criptografia; uma chave é uma sequência de caracteres aleatórios que podem ser usados para "bloquear" (criptografar) e "desbloquear" (descriptografar) mensagens. O IPsec configura chaves com uma troca de chaves entre os dispositivos conectados, para que cada dispositivo possa descriptografar as mensagens do outro dispositivo.
Cabeçalhos e trailers de pacotes: todos os dados que são enviados por uma rede são divididos em pedaços menores chamados pacotes. Os pacotes contêm um conteúdo ou os dados reais que estão sendo enviados e cabeçalhos, ou informações sobre esses dados, para que os computadores que recebem os pacotes saibam o que fazer com eles. O IPsec adiciona vários cabeçalhos aos pacotes de dados que contêm informações de autenticação e criptografia. O IPsec também adiciona trailers, que seguem após o conteúdo de cada pacote ao invés de seguir antes.
Autenticação: O IPsec fornece autenticação para cada pacote, como um selo de autenticidade em um item colecionável. Isso garante que os pacotes sejam de uma fonte confiável e não de um invasor.
Criptografia: O IPsec criptografa os conteúdos dentro de cada pacote e o cabeçalho IP de cada pacote (a menos que o modo de transporte seja usado em vez do modo de túnel — veja abaixo). Isso mantém os dados enviados por IPsec seguros e privados.
Transmissão: os pacotes de IPsec criptografados viajam por uma ou mais redes até seu destino usando um protocolo de transporte. Nesse estágio, o tráfego de IPsec difere do tráfego de IP regular, pois na maioria das vezes usa UDP como protocolo de transporte, em vez de TCP. O TCP, Protocolo de Controle de Transmissão, configura conexões dedicadas entre dispositivos e garante que todos os pacotes cheguem. O UDP, Protocolo UDP, não configura essas conexões dedicadas. O IPsec usa o UDP porque isso permite que os pacotes de IPsec passem pelos firewalls.
Descriptografia: na outra extremidade da comunicação, os pacotes são descriptografados e os aplicativos (por exemplo, um navegador) agora podem usar os dados entregues.
Em rede, um protocolo é uma maneira especifica de formatar dados para que qualquer computador em rede possa interpretá-los. O IPsec não é um protocolo, mas um conjunto de protocolos. Os seguintes protocolos compõem o conjunto do IPsec:
Cabeçalho de Autenticação (AH): O protocolo AH garante que os pacotes de dados sejam de uma fonte confiável e que os dados não tenham sido adulterados, como um selo à prova de adulteração em um produto de consumo. Esses cabeçalhos não fornecem nenhuma criptografia; eles não ajudam a ocultar os dados dos invasores.
Protocolo de Encapsulamento de Segurança(ESP):O ESP criptografa o cabeçalho IP e o conteúdo para cada pacote — a menos que o modo de transporte seja usado, caso em que ele criptografa apenas o conteúdo. O ESP adiciona seu próprio cabeçalho e um trailer a cada pacote de dados.
Associação de Segurança (SA): A SA refere-se a vários protocolos usados para negociar chaves e algoritmos de criptografia. Um dos protocolos SA mais comuns é o Troca de chaves da internet (IKE).
Por fim, enquanto o protocolo de internet (IP não faz parte do pacote IPsec, o IPsec é executado diretamente sobre o IP.
O modo de túnel IPsec é usado entre dois roteadores dedicados, com cada roteador atuando como uma extremidade de um "túnel" virtual por meio de uma rede pública. No modo de túnel IPsec, o cabeçalho IP original que contém o destino final do pacote é criptografado, além do conteúdo do pacote. Para informar aos roteadores intermediários para onde encaminhar os pacotes, o IPsec adiciona um novo cabeçalho IP. Em cada extremidade do túnel, os roteadores descriptografam os cabeçalhos IP para entregar os pacotes aos seus destinos.
No modo de transporte, o conteúdo de cada pacote é criptografado, mas o cabeçalho IP original não. Roteadores intermediários são, portanto, capazes de visualizar o destino final de cada pacote — a menos que um protocolo de encapsulamento separado (como o GRE) seja usado.
Uma porta de rede é o local virtual onde os dados entram em um computador. As portas são como os computadores rastreiam diferentes processos e conexões; se os dados entram em uma determinada porta, o sistema operacional do computador saberá a qual processo eles pertencem. O IPsec geralmente usa a porta 500.
O MSS e a MTU são duas medidas de tamanho de pacote. Os pacotes só podem atingir um determinado tamanho (medido em bytes) antes que computadores, roteadores e switches não consigam lidar com eles. O MSS mede o tamanho do conteúdo de cada pacote, enquanto a MTU mede o pacote inteiro, incluindo os cabeçalhos. Os pacotes que excedem a MTU de uma rede podem ser fragmentados, ou seja, divididos em pacotes menores e depois remontados. Os pacotes que excedem o MSS são simplesmente descartados.
Os protocolos IPsec adicionam vários cabeçalhos e trailers aos pacotes, todos os quais ocupam vários bytes. Para redes que usam IPsec, o MSS e a MTU devem ser ajustados de acordo, ou os pacotes serão fragmentados e ficarão ligeiramente atrasados. Normalmente, a MTU de uma rede é de 1.500 bytes. Um cabeçalho IP normal tem 20 bytes e um cabeçalho TCP também tem 20 bytes, o que significa que cada pacote pode conter 1.460 bytes de conteúdo. No entanto, o IPsec adiciona um cabeçalho de autenticação, um cabeçalho ESP e trailers associados. Estes adicionam 50-60 bytes a um pacote, ou mais.
Saiba mais sobre MTU e MSS em "O que é MTU?"
A Cloudflare oferece compatibilidade com IPsec como uma rampa de acesso à nossa solução de Serviço de Acesso Seguro de Borda (SASE), o Cloudflare One.
Para proteger o tráfego, o IPsec requer a criação de um acesso seguro (SA) entre dois pontos, criando um túnel para que o tráfego possa passar. Dependendo do modelo de implementação, isso pode apresentar alguns desafios. Por exemplo, em um modelo de malha, todos os nós (ou locais) estão conectados uns aos outros por meio de túneis dedicados. Entretanto, isso requer a criação e gerenciamento de vários túneis IPsec, algo difícil de escalar.
A Cloudflare, no entanto, usa o modelo IPsec Anycast (uma rede Anycast é aquela que encaminha as solicitações recebidas para uma variedade de nós). Com o IPsec Anycast, os usuários só precisam configurar um único túnel IPsec para a Cloudflare, se quiserem obter conectividade com os mais de 250 locais em nossa rede global.
Para possibilitar o IPsec Anycast, a Cloudflare duplica e distribui SAs pelos diversos servidores na rede de borda da Cloudflare. Isso significa que toda a rede Cloudflare funciona como um único túnel IPsec para a rede da sua empresa.
Saiba mais sobre IPsec Anycast e Cloudflare One.