Modo de transporte

O modo de transporte fornece a proteção de uma carga IP por meio de um cabeçalho AH ou ESP. As cargas IP típicas são segmentos TCP (contendo um cabeçalho TCP e dados de segmento TCP), uma mensagem UDP (contendo um cabeçalho UDP e dados de mensagem UDP) e uma mensagem ICMP (contendo um cabeçalho ICMP e dados de mensagem ICMP).

Modo de transporte do cabeçalho de autenticação

O cabeçalho de autenticação (AH) fornece autenticação, integridade e anti-repetição para o pacote inteiro (o cabeçalho IP e a carga de dados transportada no pacote). Ele não fornece confidencialidade, o que significa que ele não criptografa os dados. Os dados são legíveis, mas protegidos contra modificação. O cabeçalho AH utiliza algoritmos de hash com chave para assinar o pacote para fins de integridade. Para obter mais informações, consulte Integridade dos dados com funções de hash.

Por exemplo, Ana Maria no Computador A envia dados para Roberto no Computador B. O cabeçalho IP, o cabeçalho AH e os dados são protegidos por meio da integridade. Isso significa que Roberto pode ter certeza de que foi realmente Ana Maria que enviou os dados e que os dados não foram modificados.

A integridade e a autenticação são fornecidas pelo posicionamento do cabeçalho AH entre o cabeçalho IP e a carga IP, conforme mostra a figura a seguir.Cabeçalho de autenticação

O cabeçalho AH é identificado pelo cabeçalho IP com uma identificação de protocolo IP de 51. O cabeçalho AH pode ser usado isoladamente ou combinado com o protocolo de carga de segurança de encapsulamento (ESP).

O cabeçalho AH contém os seguintes campos:

• Próximo cabeçalho (Next Header)
• Identifica a carga IP por meio da identificação do protocolo IP. Por exemplo, um valor 6 representa o protocolo TCP.
• Comprimento (Length)
• Indica o comprimento do cabeçalho AH.
• Indexação de parâmetros de segurança (SPI) (Security Parameters Index [SPI])
• Usada em conjunto com o endereço de destino e o protocolo de segurança (AH ou ESP) para identificar a associação de segurança correta da comunicação. O receptor utiliza esse valor para determinar a associação de segurança com a qual o pacote está identificado.
• Número sequencial (Sequence Number)
• Fornece proteção anti-reprodução para a associação de segurança. O número sequencial é um número de 32 bits que aumenta em incrementos (a partir de 1) e que indica o número do pacote enviado através da associação de segurança da comunicação. O número sequencial não pode se repetir durante a vida útil da associação de segurança. O receptor marca esse campo para certificar-se de que um pacote de uma associação de segurança com esse número ainda não foi recebido. Se um pacote com esse número já tiver sido recebido, o pacote será rejeitado.
• Dados de autenticação (Authentication Data)
• Contém o valor de verificação de integridade (ICV), também conhecido como o código de autenticação de mensagem, que é usado para verificar a autenticação e a integridade da mensagem. O receptor calcula o valor de ICV e o compara a esse valor (que é calculado pelo remetente) para verificar a integridade. O ICV é calculado com base no cabeçalho IP, no cabeçalho AH e na carga IP.

Assinatura de pacote com o cabeçalho AH

O cabeçalho AH assina o pacote inteiro para fins de integridade, com exceção de alguns campos do cabeçalho IP que podem ser alterados durante o trânsito dos dados (por exemplo, os campos Tempo de vida e Tipo de serviço). Se outro cabeçalho IPSec estiver sendo usado além do cabeçalho AH, este último será inserido antes de qualquer cabeçalho IPSec. A assinatura do pacote AH é mostrada na figura a seguir.Assinatura de pacote com o cabeçalho AH

Modo de transporte de carga de segurança de encapsulamento

A carga de segurança de encapsulamento (ESP) fornece confidencialidade (além de autenticação, integridade e anti-reprodução) para a carga IP. A ESP no modo de transporte não assina o pacote inteiro. Apenas a carga IP (e não o cabeçalho IP) é protegida. A ESP pode ser usada isoladamente ou em conjunto com o cabeçalho AH.

Por exemplo, Ana Maria no Computador A envia dados para Roberto no Computador B. A carga IP é criptografada e assinada para fins de integridade. Na recepção, depois que o processo de verificação de integridade tiver sido concluído, a carga de dados contida no pacote será descriptografada. Roberto poderá ter certeza de que foi Ana Maria que enviou os dados, que eles não foram modificados e que ninguém mais conseguiu lê-los.

A ESP é identificada no cabeçalho IP por meio da identificação do protocolo IP de 50. Conforme mostra a figura a seguir, o cabeçalho ESP é colocado antes da carga IP, e um marcador ESP e um marcador de autenticação ESP são colocados depois da carga IP.Cabeçalho ESP

O cabeçalho ESP contém os seguintes campos:

• Indexação de parâmetros de segurança (Security Parameters Index)
• Identifica a associação de segurança correta da comunicação quando usada em conjunto com o endereço de destino e o protocolo de segurança (AH ou ESP). O receptor utiliza esse valor para determinar a associação de segurança com a qual esse pacote deve ser identificado.
• Número sequencial (Sequence Number)
• Fornece proteção anti-reprodução para a associação de segurança. O número sequencial é um número de 32 bits que aumenta em incrementos (a partir de 1) e que indica o número do pacote enviado através da associação de segurança da comunicação. O número sequencial não pode se repetir durante a vida útil da associação de segurança. O receptor marca esse campo para certificar-se de que um pacote de uma associação de segurança com esse número ainda não foi recebido. Se um pacote com esse número já tiver sido recebido, o pacote será rejeitado.

O marcador ESP contém os seguintes campos:

• Preenchimento (Padding)
• O preenchimento de 0 a 255 bytes é usado para assegurar que a carga criptografada com os bytes de preenchimento não ultrapasse os limites de bytes exigidos pelos algoritmos de criptografia.
• Comprimento do preenchimento (Padding Length)
• Indica o comprimento do campo Preenchimento (Padding) em bytes. O receptor utiliza esse campo para remover os bytes de preenchimento depois que a carga criptografada com os bytes de preenchimento tiver sido descriptografada.
• Próximo cabeçalho (Next Header)
• Identifica os tipos de dados contidos na carga como, por exemplo, TCP ou UDP.

O marcador de autenticação ESP contém o seguinte campo:

• Dados de autenticação (Authentication Data)
• Contém o valor de verificação de integridade (ICV), também conhecido como o código de autenticação de mensagem, que é usado para verificar a autenticação e a integridade da mensagem. O receptor calcula o valor de ICV e o compara a esse valor (que é calculado pelo remetente) para verificar a integridade. O ICV é calculado com base no cabeçalho IP, no cabeçalho AH e no marcador ESP.

Criptografia e assinatura de pacote

Conforme mostra a figura a seguir, a ESP fornece proteção para cargas IP. A parte assinada do pacote indica onde ele foi assinado para fins de integridade e autenticação. A parte criptografada do pacote indica as informações que estão protegidas com confidencialidade.Carga de segurança de encapsulamento

O cabeçalho IP não é assinado e não está necessariamente protegido contra modificações. Para fornecer integridade e autenticação dos dados para o cabeçalho IP, use ESP e AH.