Gabarito A
Authentication Header
O protocolo Authentication Header é utilizado para garantir a autenticidade e a integridade de pacotes IP. Sozinho, não provê qualquer confidencialidade. Em alguns programas P2P para compartilhamento de arquivos, por exemplo, é realizada a autenticação dos usuários e o teste de integridade dos blocos de arquivos enviados. Entretanto, não há privacidade na troca de pacotes.
Como o nome sugere, o AH define um cabeçalho, que é acrescentado ao pacote IP. Nele, estarão os dados de autenticação que serão verificados pelo receptor da mensagem. Para computar e verificar os dados do AH, é usada uma função de hash como MD5 e SHA-1.
No envio da mensagem, é calculada uma sequência de bits (chamada hash) de acordo com uma chave secreta (estabelecida pela Security Association) e o conteúdo do pacote (excetuando campos variáveis do IP como TTL). Para isso, é usado um algoritmo de hash, também definido pela SA. Na recepção, o hash é recalculado e comparado com o presente no AH. Como apenas os comunicantes conhecem a chave utilizada, é possível verificar se o pacote foi alterado, seja devido a erros ou a atitudes maliciosas.
Encapsulating Security Payload
Responsável pelos serviços de confidencialidade do IPSec, o Encapsulating Security Payload se baseia no acréscimo de um cabeçalho e uma cauda ao pacote.
Este protocolo define a encriptação do pacote como um todo (no modo túnel) ou da porção de dados do pacote (no modo transporte). No lado do emissor é realizada a encriptação e, no lado do receptor, a desencriptação. Durante o trânsito, as informações encriptadas não poderão ser examinadas por terceiros.
Tanto para a encriptação, feita pelo emissor, quanto para a desencriptação, feita pelo receptor, são utilizados o algoritmo de criptografia e a chave secreta definidos por uma mesma SA. Há várias opções de algoritmos, sendo os mais comuns 3DES, Blowfish e AES.
Além de prover serviços de confidencialidade, o ESP também provê serviços de autenticação e integridade, de maneira bastante similar ao AH. Todavia, estes não incluem o cabeçalho IP (no caso do modo túnel, não incluem o novo cabeçalho IP).
Disso conclui-se que, dependendo da implementação, o endereço de origem do pacote poderia ser alterado no caminho sem que o receptor note. Ainda assim, a autenticação do restante do pacote seria capaz de garantir que o pacote veio de uma pessoa que conhece a chave de autenticação.
"Retroceder Nunca Render-se Jamais !"
Força e Fé !
Fortuna Audaces Sequitur !
a-
An open standard, the IPsec uses the following protocols:
1- Authentication Headers (AH) - connectionless data integrity and data origin authentication for IP datagrams and protection against replay attacks.
2- Encapsulating Security Payloads (ESP) - confidentiality, connectionless data integrity, data origin authentication, anti-replay service and limited traffic-flow confidentiality.
3- Internet Security Association and Key Management Protocol (ISAKMP) is a framework for authentication and key exchange, with either by manual configuration with pre-shared keys, Internet Key Exchange (IKE and IKEv2), Kerberised Internet Negotiation of Keys (KINK), or IPSECKEY DNS records thus bundling up the algorithms and parameters for AH and/or ESP operations.
https://en.wikipedia.org/wiki/IPsec