018/41-55-055 support@ninet.rs
Select Page

IP Security

by | Jun 10, 2015 | Wireless |

  IPSec je skup protokola koji omogućavaju osiguranu šifrovanu komunikaciju između dva računara preko IP Securitynesigurne mreže. Šifrovanje se primenjuje preko IP mrežnog sloja, što znači da je transparentan za većinu aplikacija koje koriste specifične protokole za mrežnu komunikaciju. IPSec pruža s kraja na kraj bezbednost, što znači da IP paketi šifrovani od slanja računara, nisu čitljivi na putu, i mogu da se dešifruju samo na primalac računaru.

IPsec (Internet Protokol securiti) je standard i skup protokola (optimalno za IPv4, a obavezan za IPv6) koji obuhvata mehanizme za zaštitu prometa na nivou trećeg sloja OSI modela – kriptovanjem i / ili autentifikacijom IP paketa.         Korištenje IPsec paketa sigurnosti podrazumeva upotrebu AH (engl. Authentication Header) , ESP (engl. Encapsulating Security Payload) protokola, i protokol za razmenu ključeva – IKE protokol (eng. Internet Key Exchange)

Sam standard prvobitno je definisan RFC-ovima 1825 – 1829, objavljenih 1995. godine. Od tada protokol je doživeo popriličan broj izmena, a zadnja verzija protokola datira iz decembra 2005 te se može pronaći u RFC 4301 – 4309 dokumentima.

IP SECURITY

Sigurnost je složeno i veoma važno pitanje transporta podataka na Internetu. U novim mrežama prenose se veoma osetljivi podaci (npr. kreditne kartice) koji su namenjeni samo krajnjim (dodeljenim) korisnicima. Tehnika koja se koristi u funkcije sigurnosti zavisi od operativnog sistema, različitih procedura i kompjuterskih algoritama. IPv6 protokol koristi IPsec paket sigurnosti. Taj paket se koristi kao standardna funkcija u IPv6 verziji, a ne kao opciona za stari protokol. Ideja ovog koncepta se sastoji u tome da krajnji sistemi podrže osnovne nivoe sigurnosti koji odgovaraju IPsec arhitekturi. Cilj ovakve realizacije je taj da definisanjem operacija sigurnosti na IP sloju budu obezbeđene iste za sve IP aplikacije, uključujući i one koje ne podležu zaštiti. IPsec servisi su realizovani na bazi mehanizama koji se nazivaju security associations (SA).

Ovi mehanizmi su jedinstveno određeni sledećim elementima:

  • SPI indeks (engl. Security Parameter Index) koji može biti pridružen algoritmima za enkripciju i autentifikaciju;
  • odredišnom IP adresom;
  • identifikatorom upotrebljenog protokola.

IPsec obezbeđuje ispunjenje sledećih bezbednosnih zahteva:

  • Tajnost (confidentialiti; isključivo ovlašćeno lice može pristupiti podacima),
  • Besprekornost (integriti; nemogućnost promene podataka od strane neovlašćenog lica),
  • Autentičnost (authentication; verifikacija identiteta pošiljaoca),
  • Raspoloživost (availabiliti; dostupnost podacima uprkos neočekivanim događajima, npr DOS napad i sl.)

ISTORIJA I RAZVOJ IP PROTOKOLA

Istorija IP protokola datira još od davne 1970 god. kada je on bio predmet istraživanja ARPA agencije (engl. Advanced Research Projects Agency).

Prvobitna namena ovog protokola je bilo umrežavanje kompjutera američke vlade na teritoriji cele zemlje. Originalna mreža sa nekoliko istraživačkih centara uključenih u nju bila je poznata kao ARPANET. Kasnije je došlo do podele na vojni (milnet) i civilni deo. S vremenom se polje rada civilne organizacije proširilo i ona je kasnije postala poznata kao Internet. Originalna verzija je bio IPv4 protokol. To je mrežni protokol koji koristi 32-bitnu adresu i podrazumeva da su svi krajnji uređaji u mreži fiksirani. Osnovna prednost koju obezbeđuje ovaj protokol je u širokom opsegu servisa koje on omogućuje. Njegova prvenstvena karakteristika je robustnost i pouzdanost, ali je i u kombinaciji sa drugim protokolima efikasno rešenje za podršku različitim nivoima usluga.

Stalni razvoj nauke i tehnike, brz način života i sve veća potreba za komunikacijom dovela je do širenja Internet mreže na globalnom planu. U vreme kada se ARPA agencija bavila razvojem IP protokola nije bilo moguće predvideti ovako veliku upotrebu ovog protokola. Danas se IP protokol koristi na Internetu za povezivanje hiljade rutera i milione korisnika širom sveta. S vremenom došlo je do razvoja novih protokola koji se koriste zajedno sa IP protokolom, a iz razloga da se podrže nove usluge na istoj mreži. Međutim, IP protokol se vrlo malo promenio od svog postanka. Glavni razlog za to je što bi njegova modifikacija imala veliki uticaj na mnoštvo rutera i hostova uključenih u Internet mrežu.

Prvenstvena primena IP protokola u sistemima treće generacije (IMT 2000, UMTS, engl Universal Mobile Telecommunications System) je bila u domenu paketske komutacije (GPRS, engl. General Packet Radio Service). Da bi se podržao transport saobraćaja koji je osetljiv na kašnjenje (govor i video signal) uveden je jedan novi domen (RAN, engl Radio Access Network). Ovaj domen je realizovan na bazi ATM (engl. Asynhronous Transfer Mode) tehnike za transport saobraćaja i CDMA (engl. Code Division Multiple Access) tehnologije za radio interfejs. Tendencija je razvoj sistema i mreža na celokupnoj imlementaciji IP protokola (engl. All IP-network) i paketske komutacije u svim delovima arhitekture. 3G (engl. Third Generation) UMTS sistemi imaju sve elemente na bazi IP protokola i koriste IMS podsisteme (engl. IP Multimedia Subsytem) za povezivanje javne telefonske mreže sa Internetom.                

IP SEC PAKETI I STANDARDI

IP Sec definiše informacije koje se moraju dodati IP paketu kako bi se obezbedili privatnost, integritet i provera indetiteta kao i način šifrovanja sadržaja paketa

Pri radu IP Sec koristi sledeće protokole i standarde:

  • Diffie Hellmanov, protokol za razmenu ključeva između dva učesnika u komunikaciji.
  • Algoritme za digitalno potpisivanje komunikacije pri Diffie Hellmanov razmeni ključeva.
  • DES, 3 DES, i u novije vreme AES, simetrične algoritme za šifrovanje.
  • HMAC, u potrazi sa algoritmima MD5 i SHA
  • Digitalne sertifikate koje je potpisao odgovarajući autoritet.

AH PROTOKOL

       AH protokol obezbeđuje integritet podataka, autentifikaciju izvorne adrese i zaštitu od ponavljanja. Takođe, on omogućava autentifikaciju na višim slojevima, kao i autentifikaciju nekih polja IP zaglavlja. Ovaj protokol može biti korišten samostalno i u kombinaciji sa ESP protokolom.

ESP PROTOKOL

ESP protokol se koristi za realizaciju pouzdane konekcije upotrebom enkripcije. Pored toga koristi se i za potrebe autentifikacije. Ove funkcije su opcione i jedna od njih mora biti izabrana.

IP SECURITY REŽIMI RAD

IP SEC podržava dva režima rada:

  • Prenosni ( transport mode)
  • Tunelovanje (tunel mod)

 TRANSPORTNI REŽIM RADA

     Transportni režim rada namenjen je prvenstveno za usposavljanje sigurne komunikacije između dva entiteta t.j za komunikaciju računar-računar u privatnim wan i lan računarskim mrežama. Za transportni režim rada potrebno je da obe krajnje tačke komunikacije (izvor i odredište) podržavaju IPSec. AH u transportnom režimu rada.

TUNEL REŽIM RADA

Tunelovanje je drugi režim rada IP Sec protokola u kome IP Sec služi za uspostavljanje sigurne komunikacije između mrežnih prolaza. Obezbeđujući tako virtuelnu privatnu komunikaciju t.j uspostavljajući VPN mrežu. (Virtual private network) između udaljenih lokacija. U ovom slučaju krajnji inditet u komunikaciji ne moraju da podržavaju IP Security

IKE PROTOKOL

IKE protokol obavlja obostranu autentifikaciju korisnika te uspostavlja SA (Security Association) vezu. Uspostava SA veze podrazumeva izračunavanje keying materijala te dogovaranje oko skupa algoritama i drugih parametara koji će štititi SA. Protokol radi tako da inicijator veze (eng. initiator) nudi prihvatljive parametre za zaštitu SA. Ako ih druga strana prihvati (eng. responder) ostvaruje se SA veza. Primer: ostvarivanje kriptovanja podataka za slanje preko mreže od strane API (eng. Application Programming Interface) aplikacije pomoću IKE protokola

Sve veća potreba za sigurnošću računarskih mreža zahteva adekvatne elemente zaštite. Praksa je pokazala da zaštita na što nižem sloju OSI modela znatno poboljšava sigurnost prenosa podataka preko nesigurne računarske mreže. Ako se dodatno uzme u obzir kako je najznačajniji nivo OSI modela mrežni sloj lako se može zaključiti da se fokus sigurnosti treba napraviti na tom (trećem) sloju OSI modela.   IPsec protokoli su jednostavni i efikasni, a zaštita koju pružaju vrlo visoka. Zbog toga, i prethodno navedenih tendencija razvoja sigurnosti računalnih mreža, za očekivati je da će u budućnosti sva mrežna komunikacija biti bazirana na IPsec protokolima.

Članak napisala Gorana Tod.

Napišite i Vi članak za naš blog u zamenu za neki od hosting paketa. Više informacija na marketing [at] ninet.rs

 

Prikaz
Sakrij