• A tecnologia IP Security Protocol (IPSec) é uma extensão do Protocolo IP e/ou camadas superiores, criando túneis VPN para transmissão segura de dados via Internet. É formado por um conjunto de protocolos de segurança que provê para o usuário serviços de autenticação da origem dos dados, integridade, disponibilidade e confidencialidade (criptografia) na camada do IP, incluindo servidores e redes.
  • Possui três componentes que são os:

- AH (Authentication Header) fornece servido de autenticação do IP, ESP (Encapsulating Security Payload) fornece cifragem para os datagramas, autenticação e a integridade dos pacotes e por fim o protocolo de gerenciamento de chaves que fornece as chaves criptográficas que protege o sistema contra invasores pelos RFCs: IKE (Internet Key Exchange), ISAKMP (Internet Security Association and Key Management Protocol) e OAKLEY.

• O conceito da Associação de Segurança (S.A) é um dos pilares do IPSec e para entender seu funcionamento, já que este provê os serviços de segurança para o trafego entre dois pontos e tem um identificador de segurança associado. A S.A é identificada por três parâmetros: O Security Parameter Index (SPI), endereço de IP destino e o AH ou ESP ou ainda ambos. O SPI consiste em identificar uma S.A, sendo definido durante a implementação, e funciona como uma porta no TCP ou UDP para o reconhecimento de tráfego. Deve se ter em mente que em cada fase de implementação deve usar uma S.A porque o AH e o ESP não podem estar usando simultaneamente o mesmo. Outro conceito usado no funcionamento é o DI (Domain Interpretation) que determina o objetivo da criptografia/autenticação são estabelecidos durante a conexão segura de rede, ou seja, algoritmos criptográficos, tamanho de chaves e o formato são definidos a priori.

• • Após esta fase deve se certificar o modo de utilização pois ambos protocolos (AH e ESP) suportam dois modos: Modo Transporte e Modo Túnel. No Modo transporte provê proteção primária aos protocolos das camadas superiores, isto é, criptografado e autenticado; e no Modo Túnel os protocolos são autenticados ou criptografados. E existe a combinação dos dois modos que consistem em usar o modo túnel para criptografar ou autenticar os dados e seu cabeçalho (IP1 ou internos) e então aplicar os AH ou ESP; ou usar ambos no modo transporte para ampliar a segurança para o novo cabeçalho gerado (IP2 e externos). Complementando que no modo túnel não pode ser usado o AH e ESP ao mesmo tempo pois o ESP tem seu próprio meio de autenticação, então só é recomendado caso necessite de autenticação e cifragem.

• O IPSec pode ser implementado de diversas maneiras como em roteadores, em um terminal, no firewall (para criar gateway de segurança) ou em algum dispositivo de segurança independente. Algumas definições de implementação:
  • Integração no IP:

Implementa o IPSec nativa na pilha IP e requer acesso ao código fonte e pode ser usado tanto em servidores como em gateways.

• • Bump-in-The-Stack:

Consiste em implementar os protocolos entre a implementação nativa IP e os drivers de rede locais. Normalmente usado em servidores.

• • Bump-in-The-Wire:

Este método usa um hardware que é um processador dedicado à criptografia e é usado em sistemas militares e em sistemas comerciais dedicados. É usado em hosts ou roteadores (gateways de segurança).

• O IPSec usa algoritmos criptográficos como:
  • Protocolo Diffie-Hellman que faz a troca de chaves secretas que vão ser conhecidas por duas partes, ou seja, troca de assinaturas digitais.
  • Uso do IKE inclui melhorias no processo de identificação das partes envolvidas, garantindo a autenticação, que o Diffie-Hellman não possui.
  • Algoritmos de Criptografia (DES ou 3DES).
  • Algoritmos de Hash (MD5 ou SHA-1).

Incluir links (internos ou externos) temas que tem relação com este, explicando detalhes sobre. Limite de 3 internos e 2 externos.

Descrever detalhes a mais sobre esse tema.

Relacionar aqui as referências bibliográficas no padrão ABNT. 
Bases de procura: Artigos, publicações acadêmicas, revistas e sites de fornecedores