4.3 Funcionamento
Analisaremos o funcionamento de uma conexão IPSec, focando a utilização de seus principais componentes vistos anteriormente.
Com os elementos fundamentais do IPSec (AH, ESP, IKE e IPComp) diversas configurações IPSec podem ser realizadas para a criação topologias de VPNs. Em todas as configurações é fundamental a utilização do IKE para a criação e o estabelecimento dos parâmetros de segurança. Serão ilustradas algumas configurações a seguir.
Um usuário A, pertencente à rede A que se conecta a rede pública através do gateway A deseja criar uma conexão IPSec com o usuário B pertencente a uma rede B que se conecta a rede pública através do gateway B.
Primeiramente A envia um pacote normal (não-IPSec) com destino ao usuário B, a rede A roteia o pacote até o gateway A, ao chegar no gateway ele identifica de acordo com o SPD que o pacote necessita de proteção e criptografia por ESP e determina o endereço do gateway de destino B. O gateway A então cria e estabelece uma conexão IKE SA com o gateway B. Após isso, é inicializada a conexão para definir os parâmetros de segurança IPSec (túnel ESP com proteção a integridade e criptografia)entre os gateways A para B e de B para A, com os pares unidirecionais IPSec SA para o túnel ESP. Após a criação dos pares IPSec SA o gateway A pode liberar o pacote encriptado e autenticado para o seu destino. O pacote sofreu adição de um cabeçalho IP relativo ao gateway B e foi encriptado. Ao chegar ao gateway B, utilizando os parâmetros SPI e SA o gateway processa e valida o pacote, checa o SPD para saber se as medidas de segurança necessárias forma tomadas, retira a criptografia ESP e então, finalmente, encaminha o pacote ao usuário B.
O objetivo é estabelecer uma IPSec no modo transporte entre dois usuários A e B que se encontram na mesma rede. As autenticações AH foram escolhidas ao invés das do ESP por possibilitar a checagem de todo o cabeçalho IP.
Ao tentar enviar um pacote comum ao usuário B, um software identifica que tal pacote, por ter características presentes no SPD, necessita de proteções pelos protocolos AH e ESP. A partir daí um IKE SA é estabelecida entre A e B. Utilizando a segurança provida pelo IKE SA, inicia-se a negociação entre A e B para determinar os parâmetros do AH. Após a definição do AH, é feito IPSec SA relativo ao ESP.
Terminada as negociações IPSec SA, o pacote é modificado para atender os parâmetros de segurança estabelecidos e enviado. O cliente IPSec B recebe o pacote e com o SPI certifica que o pacote atende aos parâmetros definidos (SA) para o AH e o ESP, processa o pacote para retirar a criptografia e os cabeçalhos adicionais, o pacote é então liberado para o usuário B utilizar.
O objetivo é criar uma conexão IPSec que proporcione criptografia, proteção de integridade e realize compressão entre o usuário A e um usuário B que utiliza um gateway B em uma rede B.
O estabelecimento do IKE SA é similar à configuração anterior, a diferença é que os parâmetros SPD determinam a utilização de ESP e IPComp, além disso a IKE SA é negociado entre um gateway e um usuário. Após o estabelecimento do IKE SA, a negociação dos parâmetros IPSec inicia-se, estabelece-se a utilização de um túnel ESP para promover a criptografia e a proteção da integridade dos pacotes e define-se o algoritmo de compressão utilizado pelo IPComp.
O cliente IPSec A modifica os pacotes aos parâmetros de segurança estabelecidos (primeiro com IPComp e depois com ESP) e envia- ao gateway B. Que valida o pacote, realiza a descompressão e a descriptografia e envia ao usuário final B.
Figura 4.12 Esquema de funcionamento IPSec com os protocolos IKE, ESP e IPComp