-
Um primeiro erro que vejo na questão é quando se afirma que os firewalls podem processar e filtrar conteúdos cifrados. Entendo o processar como a capacidade de analisar este conteúdo, o que seria uma inverdade, exatamente por estar cifrado.
Quanto ao cabeçalho, por existirem os modos transporte e túnel, então podemos afirmar que não sera em todos os casos que o cabeçalho será cifrado. Apenas no modo túnel ocorrerá a cifração do cabeçalho e posteriormente a inserção de novo cabeçalho IP.
-
Eu achei essa questão bem confusa.
O IPSec tem dois modos de operação:
Modo transporte - o cabeçalho IP original não é encapsulado.
Modo túnel - o cabeçalho IP original é encapsulado e um novo cabeçalho IP é acrescentado ao pacote. Esse novo cabeçalho contém os endereços IPs de origem e destino das pontas dos túneis.
Dependendo do tipo de cabeçalho IPSec utilizado, o IPSec proverá criptografia ou autenticação ou ambos. Esses cabeçalhos são: "Cabeçalho de Autenticação - AH" ou "Cabeçalho de Encapsulamento de Segurança do Payload - ESP".
O AH fornece apenas autenticação. Alguns campos do cabeçalho IP + payload são autenticados. Já o ESP fornece confidencialidade e/ou autenticação. Nesse caso, o cabeçalho IP não é incluído nem na autenticação, nem na criptografia. Somente o payload é encapsulado.
Tanto o modo túnel quanto o modo transporte podem utilizar qualquer dos dois cabeçalhos. O que determina se um conteúdo será criptografado é o tipo de cabeçalho, pois somente o ESP provê criptografia.
Diz-se por aí que para se criar uma VPN usando o IPSec, é necessário que o modo de operação seja o modo túnel e que o cabeçalho seja o ESP.
Vejam o exemplo que o livro "Criptografia e Segurança de Redes - Princípios e Práticas - do William Stallings - 4ª edição - página 345" dá para o modo túnel: O host A em uma rede gera um pacote de IP com o endereço de destino do host B em outra rede. Esse pacote é roteado do host de origem para um firewall ou roteador seguro na borda da rede de A. O firewall filtra todos os pacotes que saem para determinar a necessidade de processamento do IPSec. Se esse pacote de A para B exigir o IPSec, o firewall realizará o processamento do IPSec e encapsulará o pacote com um cabeçalho IP externo. O endereço de IP de origem desse pacote de IP externo é roteado para o firewall de B, com roteadores intermediários examinando apenas o cabeçalho de IP externo. No firewall de B, o cabeçalho de IP externo é removido, e o pacote inteiro é entregue a B.
Na página 349, em um exemplo que o livro dá, diz que o protocolo IPSec opera em dispositivos de rede, como roteador ou firewall, que conectam cada LAN ao mundo exterior.
Pra mim ficou claro que não há incompatibilidade entre o IPSec e firewalls. E também entendi que, no modo túnel, um firewall pode ser o responsável por filtrar, criptografar e descriptografar os pacotes que circulam pelo túnel. Portanto, acredito que o erro da questão pode ser afirmar que o cabeçalho IPSec é criptografado, o que não é verdade, pois se assim fosse os roteadores intermediários não conseguiriam realizar o roteamento desses pacotes. Fiquei em dúvida quanto à afirmação de que o IPSec é um padrão de VPN. É fato que o IPSec pode criar uma VPN ( unindo-se o modo túnel ao cabeçalho ESP), mas e, por exemplo, no caso de usar um modo transporte com o AH?
-
Ola pessoal tudo bem! bom, na verdade analisando bem qual é o papel de cada um, tanto "IPsec" quanto o "Firewall" percebi que o erro da questão não está no fato de O IPSec, ser protocolo padrão de redes privadas virtuais ou o firewall filtrar ou não, ou até mesmo criptografar, o erro na questão é "PROCESSAR" o firewall não foi feito para processar absolutamente nada.
-
Ipsec --> criptografia --> modo túnel + ESP
Ipsec --> autenticação --> modo transporte + AH
-
quem filtra é PROXY, não firewall
-
E é? pois então resolva essa ae. Q323515 CESPE/ 2012 / MCT
Um firewall serve, basicamente, para filtrar os pacotes que entram e(ou) saem de um computador e para verificar se o tráfego é permitido ou não.
-
50 mil comentários diferentes pra uma resposta simples:
pode ser que haja outras explicações, mas, tendo em vista que o IPsec, no modo tunelamento, cifra o cabeçalho ip antigo o encapsulando em um novo datagrama, com um novo cabeçalho ip, não faz o menor sentido o FireWall utilizar o ip cifrado pra efetuar qualquer que seja o controle. vejamos essa passagem em tanenbaum:
"A codificação com IPsec ou outros esquemas esconde do firewall as informações da camada mais alta." Tanenbaum, Redes, ED5, p. 514"
-
O IPSec, protocolo-padrão de redes privadas virtuais, entra em conflito com os firewalls, pois os pacotes de IPSec têm cabeçalhos e conteúdos cifrados, que os firewalls não podem processar e, portanto, filtrar.
Fonte: (CTRL +C e CTRL V) Segurança nas redes, Nakamura.
-
Vou entrar nos comentários tb rs
"O IPSec, protocolo padrão de redes privadas virtuais, não entra em conflito com os firewalls,[Até aqui correto, se entrasse em conflito não existira Ipsec] pois os pacotes IPSec têm cabeçalhos e conteúdos cifrados que os firewalls podem processar e filtrar." [o cabeçalho tem que necessariamente estar sem criptografia senão o firewall vai mandar o pacote para onde ?? .. a parte criptografada o firewall não vai processar nada.. salvo se ele for a terminação do túnel[
Gabarito Errado