SóProvas

ID
885115
Banca
CESPE / CEBRASPE
Órgão
ANP
Ano
2013
Provas
Disciplina
Segurança da Informação
Assuntos

A respeito dos mecanismos de segurança da informação, julgue
os próximos itens.

O IPSEC é muito utilizado para o estabelecimento de VPN (virtual private network), pois consegue agregar recursos de confidencialidade ao IP (Internet protocol), utilizando o ESP (encapsulation security payload). Para o provimento de integridade dos dados, utiliza o IKE (Internet key exchange).

Alternativas
Comentários
  • ERRADO.
    O IKE não busca a integridade dos dados, mas a autenticidade e o sigilo, uma vez que é um protocolo para identificação e posterior criação de chave simétrica para a conexão.
  • Muito bem pessoal,
    O erro da questão consiste em afirmar que o Internet key exchange é utilizado para prover integridade dos dados transmitidos. Na verdade, o IKE é um protocolo utilizado em uma fase preliminar à troca de informações entre os membros de uma VPN, sendo responsável por realizar uma associação de segurança, onde os hosts concordam com a maneira na qual será feita a troca e a proteção das informações. O elemento responsável por prover a integridade em uma comunicação utilizando o IPSec é o ESP (encapsulation security payload).
  • O IPSEC utiliza o ICV (Integrity Check Value) para prover a integridade dos dados. O IPSEC pode utilizar diversos algoritmos para calcular esse valor como o  HMAC-SHA-1, AES-XCBC-MAC-96, AES-GCM e outros. O tamanho do ICV é variável, e.g., é usado 96 bits com   HMAC-SHA-1 e 128 bits com AES-GCM. 
     
  • Complementando:
    Para implementar autenticação, integridade e confidencialidade o IPSec utiliza três mecanismos:
    • AH fornece apenas autenticação e integridade,não fornece confidencialidade.
    • ESP fornece autenticação, integridade e confidencialidade
    Os dois podem ser utilizados juntos ou separados, mas apenas um deles é suficiente.
    • IKE é o metodo padrão do IPSec para confiduração de SA (Associações de Segurança). SA é o metodo utilizado pelo IPSec para lidar com todos os detalhes de uma sessão de comunicação. 
  • Ilustrando os comentários:

  • O IPSec implementa a segurança por meio de cabeçalhos de extensão que vem após o cabeçalho de IP principal. O cabeçalho de extensão para autenticação é conhecido como cabeçalho Authentication (AH) e para criptografia é conhecido como cabeçalho de encapsulamento de segurança do payload (ESP).
  •  Gabarito:  Errado
    Vamos por partes senhores.

    1) O IPSEC é muito utilizado para o estabelecimento de VPN (virtual private network), pois consegue agregar recursos de confidencialidade ao IP (Internet protocol), utilizando o ESP (encapsulation security payload).  (PARTE CORRETA)

    Segundo Nakamura (2010, p. 352),  "A AUTENTICAÇÃO E A CODIFICAÇÃO DEFINIDAS PELO IPSEC SÃO INDEPENDENTES DAS VERSÕES DO IP (4 OU 6), E O PROTOCOLO VEM SE TORNANDO O VERDADEIRO PADRÃO UTILIZADO PELOS TÚNEIS VPN."
    Segundo Nakamura (2010, p. 353), "O CABEÇALHO DE ENCAPSULAMENTO DO PAYLOAD (ENCAPSULATION SECURITY PAYLOAD -ESP), FORNECE O SIGILO DOS DADOS QUE TRAFEGAM PELA REDE PÚBLICA."

    2) Para o provimento de integridade dos dados, utiliza o IKE (Internet key exchange). (PARTE INCORRETA)
    Segundo Nakamura (2010, p. 357), "O GERENCIAMENTO DE CHAVES DEFINIDO PELO IPSEC É REALIZADO PELO INTERNET KEY EXCHANGE (IKE)."

    Segundo Kurose (2010, p.527), "O PROTOCOLO AH PROVÊ AUTENTICAÇÃO DA FONTE, INTEGRIDADE DE DADOS MAS NÃO O SIGILO. O PROTOCOLO ESP PROVÊ AUTENTICAÇÃO DA FONTE, INTEGRIDADE DOS DADOS E SIGILO."

    Bibliografia:

    KUROSE, J. F.; ROSS, K. W. Redes de Computadores e a Internet: Uma Abordagem Top-Down. 5. ed. São Paulo: Pearson, 2010.
    Segurança de Redes em Ambientes Cooperativos - Nakamura, Emilio Tissato; Geus, Paulo Lício De 



     

  • ERRADO

    Ano: 2013 Banca: CESPE Órgão: CNJ Prova: Analista Judiciário - Análise de Sistemas

    O recurso VPN (virtual private network), utilizado para interligar de forma segura dois pontos através de um meio público como a Internet, pode fazer uso de IPSEC, que recorre ao ESP (encapsulating security payload) para manter a confidencialidade dos dados e à AH (authentication header) para garantir a integridade dos dados. CERTO.

  • Para garantir a integridade se usa o AH. Além disso, o próprio ESP garante integridade, autenticidade e confiabilidade. IKE é responsável pela troca de chaves de forma segura.

     

    gabarito: E

  • Comentários dos colegas abaixos explicam a diferença entre AH e ESP, porém não explicam o erro da questão!

    O comentário do HTTP CONCURSEIRO apontou o erro da questão, mas a solucionou.

    O comentário com menos curtidas, do colega Yuri Maia, é o único que EXPLICA E SOLUCIONA A QUESTÃO e é o mais ignorado.

    O IPSEC é muito utilizado para o estabelecimento de VPN (virtual private network), pois consegue agregar recursos de confidencialidade ao IP (Internet protocol), utilizando o ESP (encapsulation security payload). Para o provimento de integridade dos dados, utiliza o IKE (Internet key exchange).

    Para prover integridade usamos os protocolos descritos pelo colega Yuri, geralmente o mais utilizado é o HMAC.

    Comentário do colega Yuri:

    "O IPSEC utiliza o ICV (Integrity Check Value) para prover a integridade dos dados. O IPSEC pode utilizar diversos algoritmos para calcular esse valor como o  HMAC-SHA-1AES-XCBC-MAC-96AES-GCM e outros. O tamanho do ICV é variável, e.g., é usado 96 bits com   HMAC-SHA-1 e 128 bits com AES-GCM. "

     

  • O protocolo IPSEC provê:

    Confidencialidade - Utilizando o cabeçalho ESP (Encapsulating Security Payload) 

    Autenticidade - Utilizando o cabeçalho AH (Authentication Header) ou o cabeçalho ESP

    Integridade - Utilizando o cabeçalho ESP (via HMAC)

  • O protocolo IPSEC provê:

    Confidencialidade - Utilizando o cabeçalho ESP (Encapsulating Security Payload) 

    Autenticidade - Utilizando o cabeçalho AH (Authentication Header) ou o cabeçalho ESP

    Integridade - Utilizando o cabeçalho ESP (via HMAC)

  • o comentario do HTTP, como de praxe, é o mais certeiro, porém não tão direto.

    o erro realmente tá na parte que o enunciado traz o IKE como responsável pela integriade dos dados.

    como é sabido, a integridade é fornecida tanto pelo protocolo AH quanto pelo protocolo ESP.

    o erro é atribuir essa função também ao IKE, visto que nada tem a ver com esse processo.

    de forma mais lúdica, o IKE apenas vai ser o responsável pelo estabelecimento das conexões(AS) entre os usuários (receptor e transmissor), para combinar as regras de encriptação e decriptação das mensagens/resumos. ou seja, ele vai dizer que o transmissor usa um forma de encriptar a mensagem e auxiliar o receptor a decriptar da forma adequada.

    parem de encher os comentários de conceitos de cada palavra que aparece no enunciado... muito bacana que vcs sabem o assunto, mas existem outras questões que esses comentários serão mais úteis. vamo tentar economizar o tempo não só nosso, mas também de quem tá com dúvida.

    qualquer dúvida, tá detalhadamente explicado em: Comunicação de dados e redes de computadores, Forouzan, a partir da pág. 1005.

  • No modo transporte, o IPSec Não protege o pacote IP inteiro; protege apenas as informações oriundas da camada de transporte (payload da camada IP).  fornece autenticação em nível da rede, a verificação da integridade de dados e transmissão com criptografia.