Uma solução IPSec para comunicações seguras Anycast em redes IPv6

Abstract

Esta dissertação tem como objectivos a análise das tecnologias IPSec e Anycast, o teste de implementações em cenários reais, e o desenvolvimento duma solução que permita aliar o balanceamento de carga com a segurança: o balanceamento de carga é obtido utilizando o Anycast e a segurança através do IPsec. Esta solução foi testada num cenário prático e concluiu-se sobre os seus resultados. A solução foi implementada utilizando o protocolo de Internet IPv6. Inicialmente é efectuado um levantamento do estado de arte das tecnologias que assumem maior relevância: (1) IPv6; (2) balanceamento de carga; (3) IPSec; (4) e o Anycast. De seguida, testam-se as implementações existentes das tecnologias Anycast e IPSec. Inicialmente testam-se ambas as tecnologias em separado, e depois conjuntamente em cenários reais. Relativamente ao modelo de comunicação Anycast, foi verificado: (1) suporte em termos de SOs; (2) comportamento com os protocolos TCP e ICMPv6; (3) balanceamento de carga; (4) e redireccionamento em caso de falha. Em termos de IPSec, foi verficado: (1) suporte em termos de SOs; (2) ferramentas existentes para a sua configuração; (3) e ainda diferentes modos de configuração do IPSec. Após estes testes foram ainda implementadas as tecnologias Anycast e IPSec em simultâneo. Através destes testes, observou-se que sem alterações às tecnologias existentes o IPSec não pode ser utilizado conjuntamente com o Anycast se for configurado através do IKE, funcionando apenas caso o IPSec fosse configurado manualmente. Nesta dissertação propõe-se uma solução capaz de permitir comunicações seguras entre um cliente e um conjunto de servidores com um mesmo endereço Anycast. A solução proposta é totalmente baseada no IPSec e a sua utilização não implica nenhuma alteração às tecnologias utilizadas. Visto não ser possível a utilização do IKE com o Anycast, a solução implementada utiliza o modo de configuração manual do IPSec para fornecer a segurança às comunicações. No entanto, o modo de configuração manual introduz sérios problemas de segurança no momento da troca das chaves secretas entre os dois extremos de uma conexão. Como tal, a solução desenvolvida implementa um mecanismo de troca das chaves secretas de um modo seguro. A segurança deste mecanismo é conseguida através de criptografia assimétrica. A solução consiste em duas aplicações: cliente e servidor. As aplicações foram desenvolvidas na linguagem de programação JAVA. A aplicação cliente oferece ainda um GUI para a configuração dos parâmetros pretendidos para a conexão IPSec.

This thesis aims to analyze the IPSec and Anycast, testing implementations in real scenarios, and developing a solution that will combine load balancing with security: the load balancing is achieved using the Anycast and security through IPsec. This solution was tested in a practical setting and found out about their results. The solution was implemented using the Internet protocol IPv6. Initially a survey is made about the state of the art of the technologies that assume greater importance: (1) IPv6; (2) load balancing; (3) IPSec; (4) and Anycast. Then, we test existing implementations of the technologies Anycast and IPSec. First we test both technologies separately, and then together in real scenarios. For the Anycast communication model, was checked: (1) OS support; (2) behavior with TCP and ICMPv6 protocols; (3) load balancing; (4) and redirecting on failure. In terms of IPSec was checked: (1) OS support; (2) existing tools for configuration; (3) and about different ways to configure the IPSec. After these tests were also implemented simultaneously the Anycast and IPSec technologies. Through these tests, we found that with no changes to existing technologies IPSec can not be used in conjunction with the Anycast if configured via IKE. IPSec only works if it was manually configured. Here, we propose a solution that can provide secure communications between a client and a set of servers with the same Anycast address. The proposed solution is completely based on IPSec and its use does not require any change to the technology used. Since it is not possible to use IKE with Anycast, the solution implemented uses the manual setting of IPSec to provide security to communications. However, the mode of manual configuration introduces serious security problems at the time of exchange of secret keys between two ends of a connection. As such, the solution developed implements a mechanism for the exchange of secret keys in a secure way. The security of this mechanism is achieved through asymmetric encryption. The solution consists of two applications: cliente and servidor. The applications were developed in the JAVA programming language. The application cliente also offers a GUI for setting the desired parameters for the IPSec connection.