IPsec: o conjunto de protocolos com 30 anos de existência por trás da maioria das VPNs empresariais

O que é IPsec

IPsec é uma estrutura de segurança de Camada 3 (camada de rede) definida por um conjunto de padrões IETF, os fundamentais que datam de 1995. Ao contrário do TLS (que opera na camada de transporte) ou SSH (camada de aplicação), o IPsec fica abaixo do transporte. Cada pacote TCP, UDP, ICMP — ou qualquer outro protocolo baseado em IP — pode ser autenticado e criptografado de forma transparente para o aplicativo.

Não é um único protocolo. É uma estrutura que consiste em vários protocolos trabalhando juntos:

• Cabeçalho de autenticação (AH) — integridade e autenticação sem conexão, mas sem confidencialidade. RFC 1826 original (1995), agora RFC 4302.
• Encapsulating Security Payload (ESP) — autenticação, integridade, confidencialidade e . RFC 1827 (1995), agora RFC 4303. Isso é o que quase todo mundo usa hoje.
• Internet Key Exchange (IKE) — o protocolo de gerenciamento de chaves que negocia as chaves que o ESP usa. IKEv1 (RFC 2409, 1998) está amplamente obsoleto. IKEv2 (RFC 7296, 2014) é a versão moderna.
• ISAKMP — a estrutura subjacente para gerenciamento de chaves autenticadas, usada por IKE.

Como realmente funciona

IPsec adiciona uma camada de cabeçalhos e carga útil criptografada entre o cabeçalho IP e a carga útil da camada de transporte. Existem dois modos:

Modo de transporte

Criptografa e autentica apenas a carga útil de cada pacote. O cabeçalho IP original permanece intacto, apenas com uma chave de número de protocolo de segurança. Usado host a host; não oculta os IPs de origem/destino reais dos roteadores intermediários. NAT é incompatível quando o AH está em uso, porque o AH cobre o cabeçalho IP em seu hash de autenticação e o NAT modifica os cabeçalhos em voo.

Tmodo túnel

Encapsula todo o pacote IP original dentro de um novo pacote IP com um novo cabeçalho externo. É isso que as VPNs corporativas site a site usam. Cada uma das duas redes corporativas tem seu gateway e o tráfego entre elas flui através de um túnel IPsec onde os endereços internos são invisíveis para qualquer pessoa no caminho. O modo túnel também lida com a travessia NAT nativamente (encapsulamento UDP, RFC 3948).

Associações de segurança

Antes de dois endpoints trocarem dados, eles negociam uma Security Association (SA) - acordo sobre qual algoritmo de criptografia (AES-GCM, ChaCha20-Poly1305, etc.), que função hash (SHA-256, SHA-512, BLAKE2), qual material da chave, vida útil das chaves e outros parâmetros. SAs são unidirecionais; uma conexão bidirecional precisa de dois.

Cada SA é identificado por um Índice de Parâmetro de Segurança (SPI) mais o IP de destino. O SPI informa ao endpoint receptor qual chave e algoritmo usar para descriptografar um pacote de entrada. Esta é a parte móvel que quebra com mais frequência em implantações reais - incompatibilidades de vida útil do SA entre fornecedores causam tempestades silenciosas de rechaveamento de túneis em redes corporativas todos os dias.

A crítica de Bruce Schneier

Em um famoso artigo de 2003, os criptógrafos Niels Ferguson e Bruce Schneier revisaram o IPsec e chamaram-no de "uma grande decepção". Seu argumento principal: A especificação do IPsec era tão flexível — suportando um enorme número de modos opcionais, combinações de algoritmos e variantes operacionais — que quase toda implantação real era insegura não porque a criptografia fosse ruim, mas porque as configurações estavam desalinhadas.

20+ anos depois, essa crítica ainda tem força. O IPsec moderno (IKEv2, AES-GCM, autenticação baseada em certificado, padrões sensatos) é genuinamente seguro. Mas todo engenheiro de IPsec tem histórias de guerra sobre túneis de depuração que funcionam perfeitamente com Cisco, mas não com Fortinet, ou que funcionam em IPv4, mas não em IPv6, ou que funcionam até que um lado seja recodificado às 8 horas e descarte silenciosamente cada pacote por 30 segundos. vulnerabilidades em sistemas de criptografia comerciais" — e o IPsec foi especificamente nomeado. A equipe de pesquisa da Logjam (2015) propôs um mecanismo plausível: na época, aproximadamente 90% das VPNs IPsec endereçáveis ​​usavam o segundo grupo Oakley Diffie-Hellman para troca de chaves. O tamanho desse grupo significava que um invasor suficientemente bem financiado (uma agência de inteligência estatal, por exemplo) poderia pré-calcular os logs discretos uma vez e depois quebrar a troca de chaves de qualquer sessão individual de forma barata.

A mitigação é direta: use grupos Diffie-Hellman maiores (grupo 14 ou superior) ou, melhor, Diffie-Hellman de curva elíptica com Curve25519. As implantações modernas de IPsec fazem isso; os legados geralmente não o fazem. O conjunto de ferramentas do Equation Group (supostamente afiliado à NSA) que vazou em 2016 incluía explorações específicas direcionadas a implementações IPsec mais antigas em firewalls Cisco PIX e ASA.

Onde o IPsec é usado hoje

• VPNs corporativas site a site – o caso de uso dominante. Dois sites corporativos conectados pelo modo de túnel IPsec é a implantação do livro didático.
• iOS / macOS VPN nativo - o cliente "VPN" integrado no iOS e macOS fala IKEv2/IPsec nativamente. Perfis VPN sempre ativos gerenciados pelo MDM usam IPsec.
• VPN nativa do Windows — o Windows fornece IKEv2/IPsec como uma opção de primeira classe.
• L2TP/IPsec — o protocolo de tunelamento L2TP transportado por IPsec para criptografia. Legado, lento, mas amplamente suportado. Principalmente obsoleto em favor de IKEv2.
• Obrigatório em IPv6 (originalmente) - o suporte IPsec era obrigatório nas primeiras especificações IPv6, posteriormente tornado opcional em RFC 6434.

IPsec vs WireGuard vs OpenVPN

• vs WireGuard: IPsec é mais antigo, mais complexo, mais configurável e mais lento. WireGuard é mais novo, opinativo, menor e mais rápido. A prova de segurança IND-CCA da WireGuard existe; não existe nada equivalente para o IPsec como um todo porque a superfície de configuração é muito grande para ser formalizada.
• vs OpenVPN: IPsec opera no kernel (mais rápido); OpenVPN opera no espaço do usuário (mais flexível). OpenVPN-TCP/443 pode se disfarçar como HTTPS; O IPsec realmente não consegue se esconder.
• vs L2TP/IPsec: L2TP não acrescenta nada em termos de segurança; é apenas a camada de tunelamento que os clientes mais antigos sabiam falar. IKEv2/IPsec simples é estritamente melhor.

Para speed bruto em um servidor Linux moderno, o IPsec com aceleração de hardware AES-NI é competitivo com o WireGuard. Para bateria móvel e facilidade de operação, o IKEv2/IPsec executado no kernel do sistema operacional é excelente. Para uso de VPN cliente-servidor, o WireGuard o superou.

Extensões pós-quânticas

O grupo de trabalho ipsecme da IETF está padronizando ativamente a troca de chaves pós-quântica para IPsec. O rascunho atual mistura uma troca de chaves clássica (Diffie-Hellman ou ECDH) com um candidato pós-quântico (Kyber, NTRU, outros), de modo que mesmo que os computadores quânticos possam quebrar a metade clássica, a chave de sessão simétrica permanece secreta. Vários fornecedores empresariais começaram a enviar implementações iniciais.

Verdict

IPsec não é o protocolo que você deve escolher se estiver escolhendo algo novo hoje e não estiver restrito. WireGuard é mais rápido e limpo. OpenVPN-TCP/443 é mais flexível para redes hostis. Mas o IPsec é o protocolo que você inevitavelmente encontrará — em todas as configurações de VPN do iPhone, em todos os firewalls corporativos, em todas as configurações legadas de L2TP/IPsec, em todos os conectores site-to-site de todos os provedores de nuvem. Compreendê-lo não é opcional se você trabalha com redes.

Se você estiver executando uma VPN IPsec hoje e considerando migrar para o WireGuard, nossa comparação do protocolo cobre as compensações.