6.2. IPsec

O Red Hat Enterprise Linux suporta o IPsec para conectar máquinas e redes remotas entre si usando um túnel seguro em uma rede de transporte comum, como a Internet. O IPsec pode ser implementado usando uma conexão máquina-a-máquina (uma estação de trabalho conectada a outra) ou rede-a-rede (uma LAN/WAN conectada a outra). A implementação do IPsec no Red Hat Enterprise Linux usa Troca de Chave de Internet (Internet Key Exchange, IKE), um protocolo implementado pelo IETF (Internet Engineering Task Force) para ser usado em autenticação mútua e proteger associações entre sistemas conectados.

Uma conexão IPsec é dividida em duas fases lógicas. Na fase 1, um nódulo do IPsec inicia a conexão com o nódulo ou rede remota. O nódulo/rede remota verifica as credenciais do nódulo pedinte e ambas partes negociam o método de autenticação da conexão. Nos sistemas Red Hat Enterprise Linux, uma conexão IPsec usa o método de chave pré-compartilhada (pre-shared key) para autenticação do nódulo IPsec. Numa conexão IPsec com chave pré-compartilhada, ambas máquinas devem usar a mesma chave para prosseguir à segunda fase da conexão IPsec.

Durante a fase 2 de uma conexão IPsec é criada uma associação de segurança (security association, SA) entre os nódulos IPsec. Essa fase estabelece um banco de dados de SAs com informações de configuração, como o método de criptografia, parâmetros de troca de chaves de sessões secretas, dentre outras. Essa fase administra a conexão IPsec entre nódulos e redes remotas.

A implementação do IPsec usa IKE para compartilhar chaves entre máquinas ao longo da Internet. O deamon do chaveiro racoon é responsável pela distribuição e troca de chaves IKE.