IPSec é um conjunto de padrões e protocolos para segurança de Redes Privadas Virtuais baseadas em redes IP. O IPSec foi criado por um grupo de trabalho do Internet Engineering Task Force (IETF) denominado IP Security (IPSec). Como pode ser visto, o nome deste padrão de segurança adotado amplamente provém do nome do grupo criador do mesmo.

           O IPSec foi contruído com base em alguns padrões de criptografia já existentes, a fim de garantir os três requisitos básicos de segurança de uma VPN já citados: confidencialidade, integridade e autenticação. Alguns dos padrões nos quais o IPSec foi baseado foram o protocolo Diffie-Hellman, Data Encryption Standard (DES), Triple-DES (3DES) , Secure Hash Algorithm One (SHA-1), Message Digest Algorithm 5 (MD5), entre outros. Destes algoritmos, temos que os três primeiros garantem a criptografia dos dados e os outros dois garantem a integridade dos dados enviados por uma rede VPN.

            Vale ressaltar que, devido ao desenvolvimento em paralelo do IPSec e do IPv6, o IP Security é compatível com a versão 6 do TCP/IP. Todavia, como a adoção do Ipv6 vem sendo muito lenta desde o seu desenvolvimento, o IPSec foi adaptado para uso também com a versão IPv4.

5.1 Arquitetura do IPSec:

            O IPSec tem como principais componentes de sua arquitetura os seus dois cabeçalhos, o de autenticação (AH) e o de encapsulamento de segurança de carga útil (ESP), e o gerenciamento de chaves.

            Segundo os padrões do IPSec, para o estabelecimento de uma transação segura (Security Association – SA) é utilizado o conceito de Domínio de Interpretação (DI), no qual os algoritmos criptográficos, o formato das chaves, o tamanho das chaves, entre outros, são definidos durante o estabelecimento da conexão segura da rede VPN. Cada fase da comunicação numa rede VPN necessita de uma SA diferente da anterior, ou seja, na fase de autenticação é utilizada uma SA e para a criptografia dos dados é utilizada uma diferente SA. Além dessa aparente desvantagem de serem necessárias SAs diferentes para cada fase (o que na realidade contribui para um maior nível de segurança), temos também a desvantagem de uma SA só poder ser utilizada em um sentido, sendo necessária a utilização de duas SAs em caso de transmissão de dados bidirecional.

           O cabeçalho de autenticação normalmente é inserido entre os campos IP e TCP, e nenhuma modificação é feita nos dados do pacote por este cabeçalho. Assim sendo, o conteúdo do pacote trafega em claro pela rede quando apenas o AH está sendo utilizado. Logo, a fim de assegurar a confidencialidade dos dados do pacote é usado o cabeçalho ESP, o qual fica responsável pela cifragem dos dados, estando localizado entre o cabeçalho IP e o resto do datagrama. Assim, os campos de dados são alterados após a criptografia dos mesmos.

            Além do AH, o ESP também pode ser utilizado para a autenticação, embora está seja realizada de maneira diferente nestes dois cabeçalhos. A autenticação do ESP protege um cabeçalho IP encapsulado em modo Túnel, mas não dá qualquer tipo de proteção ao cabeçalho IP que precede o cabeçalho ESP. O cabeçalho AH, por sua vez, protege o supracitado cabeçalho IP externo (que precede o cabeçalho ESP), assim como todo o conteúdo do pacote ESP. Logo, seria lógico pensar que ambas as autenticações são usadas simultaneamente, a fim de garantir total segurança na autenticação. No entanto, por questão de economia de processamento, estas não são utilizadas simultaneamente.

5.2 Modos de Funcionamento do IPSec:

           O IPSec pode trabalhar basicamente em dois modos, modo Transporte e modo Túnel . O modo transporte realiza autenticação e criptografia apenas da camada de transporte. Neste modo o cabeçalho de autenticação AH está localizado após o cabeçalho IP e antes do protocolo de camada superior ou de outros cabeçalhos adicionados pelo IPSec. Uma desvantagem do modo transporte é a possibilidade de modificação dos endereços IP de origem e destino em caso de interceptação do pacote, uma vez que neste modo os endereços em questão ainda encontram-se abertos para modificações.

Figura 4: Modo Transporte

           No modo Túnel, por sua vez, todo o pacote IP é autenticado e criptografado. Neste modo, encontra-se visível apenas o cabeçalho IP externo (com o último endereço de origem e destino), estando todo o conteúdo interno cifrado.

Figura 5: Modo Túnel