O que é IPSec?

O IPSec é um conjunto de regras ou protocolos de comunicação para configurar conexões seguras em uma rede. O Protocolo da Internet (IP) é o padrão comum que determina como os dados trafegam pela Internet. O IPSec adiciona criptografia e autenticação para tornar esse protocolo ainda mais seguro. Por exemplo, ele codifica os dados na fonte e os decodifica no destino. Ele também autentica a fonte dos dados. 

Por que o IPSec é importante?

A Internet Engineering Task Force desenvolveu o IPSec na década de 1990 para garantir a confidencialidade, integridade e autenticidade dos dados ao acessar redes públicas. Por exemplo, os usuários se conectam à Internet utilizando uma rede privada virtual (VPN) IPSec para acessar os arquivos da empresa remotamente. O protocolo IPSec criptografa informações confidenciais para evitar monitoramento indesejado. O servidor também pode verificar se os pacotes de dados recebidos estão autorizados.

Quais são os usos do IPSec?

O IPsec pode ser usado para o seguinte:

  • Fornecer segurança ao roteador quando ocorrer envio de dados pela Internet pública.
  • Criptografar os dados da aplicação.
  • Autenticar dados rapidamente, caso os dados se originem de um remetente conhecido.
  • Proteger os dados da rede configurando circuitos criptografados, chamados de túneis IPsec, que criptografam todos os dados enviados entre dois endpoints.

As organizações usam o IPSec para se proteger contra ataques de reprodução. O ataque de reprodução, ou “ataque man-in-the-middle”, corresponde ao ato de interceptar e alterar uma transmissão em andamento, roteando dados para um computador intermediário. O protocolo IPSec atribui um número sequencial a cada pacote de dados e realiza verificações para detectar sinais de pacotes duplicados. 

O que é encriptação de IPSec?

A encriptação de IPSec é uma função de software que codifica os dados para proteger seu conteúdo de partes não autorizadas. Os dados são criptografados por uma chave de encriptação e uma chave de desencriptação é necessária para decodificar as informações. O IPSec oferece suporte para diversos tipos de encriptações, incluindo AES, Blowfish, Triple DES, ChaCha e DES-CBC. 

O IPSec usa encriptação assimétrica e simétrica para fornecer velocidade e segurança durante a transferência de dados. Na encriptação assimétrica, a chave de encriptação é tornada pública enquanto a chave de desencriptação é mantida privada. A encriptação simétrica, por outro lado, usa a mesma chave pública para criptografar e descriptografar dados. O IPSec estabelece uma conexão segura usando a criptografia assimétrica e alterna para a encriptação simétrica a fim de acelerar a transferência de dados.

Como funciona o IPSec?

Os computadores realizam a troca de dados com o protocolo IPSec por meio das etapas a seguir. 

  1. O computador emissor determina se a transmissão de dados requer proteção IPSec verificando sua política de segurança. Se for requerida, o computador inicia a transmissão para o computador destinatário usando um IPSec seguro.
  2. Ambos os computadores negociam os requisitos para o estabelecimento de uma conexão segura. Isso inclui um acordo mútuo sobre encriptação, autenticação e outros parâmetros relacionados com a associação de segurança (SA). 
  3. O computador envia e recebe dados criptografados, validando que vieram de fontes confiáveis. Ele executa verificações para garantir que o conteúdo subjacente seja confiável. 
  4. Por fim, quando a transmissão for concluída ou a sessão tiver expirado, o computador encerrará a conexão de IPSec. 

Quais são os protocolos IPSec?

Os protocolos IPSec enviam pacotes de dados com segurança. Um pacote de dados corresponde a uma estrutura específica que formata e prepara informações para transmissão em redes. Consiste em cabeçalho, conteúdo e rodapé.

  • O cabeçalho corresponde a seção primária que contém informações instrucionais para o roteamento do pacote de dados ao destino correto. 
  • Os dados correspondem a um termo que descreve as informações concretas contidas em um pacote de dados.
  • O rodapé corresponde aos dados adicionais anexados ao final do conteúdo para indicar o fim do pacote de dados. 

 Alguns protocolos IPSec são apresentados abaixo.

Cabeçalho de autenticação (AH)

O protocolo de cabeçalho de autenticação (AH) adiciona um cabeçalho que contém dados para a autenticação do remetente e protege o conteúdo do pacote contra modificações por partes não autorizadas. Ele alerta o destinatário sobre possíveis manipulações que ocorreram no pacote de dados original. Ao receber um pacote de dados, o computador compara o cálculo de hash criptográfico do conteúdo com o cabeçalho para garantir que ambos os valores correspondam. Um hash criptográfico é uma função matemática que resume os dados em um valor único. 

Encapsulamento de dados de segurança (ESP)

Dependendo do modo de IPSec selecionado, o protocolo de encapsulamento de dados de segurança (ESP) criptografa todo o pacote IP ou apenas o conteúdo. O ESP adiciona um cabeçalho e um rodapé ao pacote de dados após a encriptação. 

Troca de chaves na Internet (IKE)

A troca de chaves na Internet (IKE) é um protocolo que estabelece uma conexão segura entre dois dispositivos na Internet. Ambos os dispositivos configuram a associação de segurança (SA), que envolve a negociação de chaves e algoritmos criptográficos para transmitir e receber pacotes de dados subsequentes. 

Quais são o modos de IPSec?

O IPSec opera em dois modos diferentes com variados graus de proteção. 

Túnel

O modo de túnel IPSec é adequado para a transferência de dados em redes públicas, pois aumenta a proteção dos dados contra partes não autorizadas. O computador criptografa todos os dados, incluindo os dados e o cabeçalho, e anexa um novo cabeçalho a eles. 

Transporte

O modo de transporte IPSec criptografa apenas os dados do pacote de dados, portanto, o cabeçalho IP é mantido em seu formato original. O cabeçalho do pacote que não foi criptografado permite que os roteadores identifiquem o endereço de destino de cada pacote de dados. Dessa forma, o transporte IPSec é usado em uma rede próxima e confiável, como a proteção de uma conexão direta entre dois computadores. 

O que é VPN IPSec?

A VPN, ou rede privada virtual, é um software de rede que permite aos usuários navegar na Internet de forma anônima e segura. Uma VPN IPSec corresponde a um software VPN que usa o protocolo IPSec para criar túneis criptografados na Internet. Isso fornece encriptação de ponta a ponta, o que significa que os dados são codificados no computador e decodificados no servidor receptor. 

VPN SSL

A sigla SSL significa “secure socket layer”. É um protocolo de segurança que protege o tráfego da Web. Uma VPN SSL corresponde a um serviço de segurança de rede baseado em navegadores que usa o protocolo SSL integrado para criptografar e proteger a comunicação de rede. 

Qual é a diferença entre VPN IPSec e VPN SSL?

Ambos os protocolos de segurança funcionam em diferentes camadas do modelo de interconexão de sistemas abertos (OSI). O modelo OSI define a estrutura em camadas na qual os computadores trocam dados em uma rede. 

Os protocolos IPSec se aplicam às camadas de rede e transporte no meio do modelo OSI. Enquanto isso, o SSL criptografa os dados na camada superior de aplicações. Você pode se conectar a uma VPN SSL usando um navegador Web, mas deve instalar um software separado para usar VPNs IPSec.

Como a AWS oferece suporte a conexões de IPSec?

O AWS Site-to-Site VPN é um serviço totalmente gerenciado que cria uma conexão segura entre seu datacenter ou sua filial e seus recursos da AWS usando túneis IPSec. Ao usar o Site-to-Site VPN, você pode se conectar tanto ao Amazon Virtual Private Clouds (VPC) quanto ao AWS Transit Gateway, e dois túneis são usados por conexão para aumentar a redundância. O AWS Site-to-Site VPN oferece muitos benefícios, como:

  • Visibilidade da integridade da rede local e remota com o monitoramento de performance.
  • Migração segura e fácil de aplicações locais para a Nuvem AWS.
  • Performance melhorada da aplicação quando integrada ao AWS Global Accelerator.

Comece a usar a VPN da AWS criando uma conta da AWS hoje mesmo.

Próximas etapas do IPsec com a AWS

Saiba mais sobre os serviços de banco de dados
Confira outros recursos relacionados a produtos
Saiba mais sobre redes de computadores na AWS 
Cadastre-se para obter uma conta gratuita
Cadastre-se para obter uma conta gratuita

Obtenha acesso instantâneo ao nível gratuito da AWS.

Cadastre-se 
Comece a criar no console
Comece a criar no console

Comece a criar no Console de Gerenciamento da AWS.

Faça login