21.

Ipsec IPsec (Internet Protokol security) je standard i skup protokola (opcionalan za IPv4, a obavezan za IPv6) koji obuhvaa mehanizme za zatitu prometa na razini treeg sloja OSI modela - kriptiranjem i/ili autentifikacijom IP paketa. IPsec osigurava ispunjenje sljedeih sigurnosnih zahtjeva: tajnost (confidentiality; iskljuivo ovlatena osoba moe pristupiti podacima) besprijekornost (integrity; nemogunost promijene podataka od strane neovlatene osobe), autentinost (authentication; verifikacija identiteta poiljaoc raspoloivost (availability; dostupnost podacima unatoneoekivanim dogaajima, npr. DOS napad i sl.) Spomenuti zatitni mehanizmi IPsec-a zasnivaju se na: Sigurnosnim protokolima: Encapsulating Security Payload (ESP) i Authentication Header (AH)) Specifinoj arhitekturi:Security Association(SA) unosi uSecurity Association Database(SAD) u jezgru OS-a iSecurity Policy(SP)unosi uSecurity Policy Database(SPD) u jezgru OS-a. Algoritmima za autentifikaciju i kriptiranje (npr. DES, 3DES, RSA, DH, SHA1, MD5 i dr) Protokolima za razmjenu kljueva: Internet Key Exchange (IKE),Internet Key Exchange v2 (IKEv2), Kerberized Internet Negotiation of Keys (KINK ), Just Fast Keying (JFK) i dr Protokol IPsec je namenski bezbedonosni protokol koji poseduje sve atribute za formiranje Virtuelnih privatnih mrea preko Interneta. Sa enkapsulacijom IPsec protokol omoguuje autentifikaciju i enkripciju svakog IP paketa u prenosu. To je veoma sloen protokol koji sadri dva tipa AH(Authentication Header) i ESP(Encapsulating Security Payload), a svaki taj tip ima dva moda transport i tunel. ESP format IPsec protokola obezbeuje autentifikaciju, integritet i privatnost podataka, dok AH format obezbeuje samo autentifikaciju i integritet. U transpornom modu svaki od ova dva tipa bezbedno prenose postojei IP paket od izvora do odredita, dok u tunel modu se postojei paket stavlja unutar novog IP paketa sa IP adresom gejtveja virtuelne privatne mree koji je krajnja taka tunela. Ipsec protokol ukljuuje u sebe vei broj drugih protokola pomou kojih obavlja funkcije autentifikacije, integriteta i privatnosti, kao osnovnoh bezbedonosnih elemenata virtuelne privatne mree. Za autentifikaciju IPsec protokol koristi PKI (Public Key Infrastructure) tehniku javnog i privatnog kljua sa infrastrukturom Digitalnog sertifikata preko Sertifikacionih tela (X.509 Sertificate) /10/. IKE (Internet Key Exchange) protokol /11/ sa Diffie-Hellman algoritmom /12/ se koriste u procesu razmene kjueva i pregovaranju bezbedonosnih elemenata. U okviru IPsec protokola integritet podataka obezbeuju protokoli HMAC-MD5 /13/ i HMAC-SHA-1 /14/, a privatnost IP paketa je obezbeena enkripcijom sa 3DES (DES) algoritmom /15/. S obzirom da IPsec AH tip ne obuhvata enkripciju, za virtuelne privatne mree koristi se uglavnom ESP tip, i to tunel mod, koji obuhvata enkripciju i IP zaglavlja polaznog paketa. Na slici 3a je prikazana enkapsulacija IP paketa sa IPsec ESP protokolom u tunel modu. Orginalni IP paket je kriptovan i autentifikovan sa ESP

zaglavljem i prirepkom , a novo IP zaglavlje definie IP adresu krajnje take tunela 22.Firewall ureaji Mrene barijere (firewall) mogu biti raunari, ruteri, radne stanice ili njihove kombinacije koje imaju osnovnu funkciju da definiu kojim se informacijama i servisima interne mree moe pristupiti iz spoljnjeg sveta i kome je, iz interne mree, dozvoljeno da koristi informacije i usluge spoljnjih segmenata mree. Ove barijere se uobiajeno instaliraju na takama gde se spajaju bezbedno osetljive interne mree i nebezbedne spoljnje mree. U zavisnosti od potreba, firewall se sastoji od jedne ili vie funkcionalnih komponenti iz sledeeg skupa: ruter paketskog filtriranja, gejtvej na aplikacionom nivou (Application Level Gateway proksi) i gejtvej na transportnom nivou (Circuit Level Gateway). Postoje etiri vana primera mrenih barijera: Packet Filtering Firewall, Dual-Homed Firewal (sadri dve mrene kartice), Screened Host Firewall (sastoji se od rutera paketskog filtriranja i gejtveja na aplikativnom nivou) i Screened Subnet Firewall (sastoji se od dva rutera paketskog filtriranja i gejtveja na aplikativnom nivou). 23. Karakteristike mehanizama zatite na aplikativnom nivou Za realizaciju zatite na aplikativnom nivou, neophodno je primeniti odgovarajuu kriptografsku biblioteku kako na klijentu, u okviru odgovarajue klijentske aplikacije (standalone) ili Internet browser programa, tako i za primenu na odgovarajuem web ili aplikativnom serveru. Ove kriptografske biblioteke na klijentu i serveru su u potpunosti odgovorne za realizaciju kriptografskih funkcija na aplikativnom nivou.

Naime, klijentska offline aplikacija (standalone) sa ugraenom kriptografskom bibliotekom (ili odgovarajuom ActiveX kontrolom) ili web pretraivaki program iz koga se poziva odgovarajua ActiveX kontrola (ili JAVA aplet u non-Windows baziranim aplikativnim sistemima), treba da ima sledee kriptografske karakteristike: Primena mehanizmima zatite na aplikativnom nivou kojima se obezbeuju sledee funkcije: Koriste se tehnologije digitalnog potpisa i digitalne envelope. Univerzalnost u odnosu na smart kartice i itae smart kartice. Klijentska aplikacija za provjeru pina Bazira se na kriptografskim operacijama koje se izvravaju na samoj smart kartici: digitalni potpis (tj. RSA private key encryption) i deifrovanje simetrinog kljua kod digitalne envelope (digital envelope retrieval). Ostale kriptografske operacije (ifrovanje/ deifrovanje simetrinim algoritmima, kreiranje hash vrednosti podataka koji se digitalno potpisuju, verifikacija digitalnog potpisa) se izvravaju u klijentskom i serverskom softveru (softverski deo kripto komponenti na klijentu i serveru). Bazira se na PKCS de facto standardima za zatitu, i to: o PKCS#1 za digitalni potpis i digitalnu envelopu, o PKCS#7 za format zatienih podataka, PKCS#11 standardni interfejs za pristup smart karticama. Aplikacija treba da bude standardna u smislu formata digitalno potpisanih i ifrovanih podataka. U

tom smislu, treba primeniti standarde: PKCS#7 (ili noviji Cades) ili XML DIGSIG standard (ili noviji Xades) za format zatienih fajlova. Aplikacija pri realizaciji bezbednosnih mehanizama treba da koristi standardne naine pristupa smart karticama: CSP (Cryptographic Service Provider) i PKCS#11 biblioteka, i stoga je nezavisna od konkretne smart kartice koja e biti koriena tako da je prelaz na drugi tip kartice u potpunosti direktan. Klijentska standalone aplikacija, ili odgovarajue stranice web aplikacije, treba da omogue: o Izbor sertifikata potpisnika (koji stoje u Personal Store-u) ukoliko na datoj radnoj stanici postoji vei broj korisnikih sertifikata. o Izbor sertifikata (koji stoje u Other PeopleStore-u) namenjenog primalaca ifrovanog fajla, tj. lice/korisnik za koga se ifruje taj fajl nakon digitalnog potpisivanja. To moe biti i sam server ukoliko se radi o ifrovanoj dostavi podataka do servera. o Prikaz informacija o podacima koji se digitalno potpisuju pre samog potpisivanja, o Prikaz informacija o rezultatima digitalnog potpisivanja i/ili ifrovanja datih podataka, o Prikaz informacija o rezultatima uspene ili neuspene verifikacije digitalnog potpisa i/ili uspenog ili neuspenog deifrovanja datih podataka.

Klijentska i serverska kripto komponenta treba da u ovom trenutku podri sledee kriptografske algoritme i pridruene duine kljueva: o Asimetrini algoritmi RSA algoritam (koji se izvrava na smart kartici) sa duinom asimetrinog kljua od 2048 bita. o Hash algoritmi SHA-1, SHA-224, SHA-256, SHA-384 ili SHA-512. o Simetrini algoritmi 3DES algoritam sa duinom kljua od 168 bita ili AES algoritam sa duinama kljua od 128, 192 ili 256 bita.

Aplikacija treba da bude otvorena za stalnu dogradnju kako novih algoritama tako i za zamenu onih algoritama za koje je utvreno da su kriptografski slabi za korienje. Takoe, aplikacija treba da obezbedi promenu duina odgovarajuih kriptografskih kljueva ukoliko se ukae potreba za tim. Aplikacija treba da bude otvorena za eventualnu ugradnju privatnih simetrinih algoritama kreiranih i verifikovanih od strane nadlene institucije za poslove kriptozatite u zemlji, ukoliko postoje zahtevi za to. U okviru aplikacije (klijentske i serverske) treba obezbediti funkciju verifikacije digitalnog potpisa odgovarajuih podataka (koji se razmenjuju izmeu korisnika i sistema ili podataka/dokumenata koji su arhivirani i pregledaju se u okviru sistema) koji se sastoji od sledea dva koraka (tim redom): o Provera digitalnog potpisa podataka na osnovu javnog kljua iz digitalnog sertifikata potpisnika (koji je doao uz digitalno potpisane podatke u samoj formatiranoj poruci), o Provera samog digitalnog sertifikata. Ova provera se izvrava na sledei nain:

proverava se da li je dati sertifikat istekao, proverava se da li je sertifikat izdat od CA (certification Authority) kome se veruje i proverava se da li je sertifikat povuen, tj. da li se nalazi na vaeoj CRL listi koje izdaje dato CA.

U okviru mehanizama zatite na aplikativnom nivou mogla bi se integrisati i odgovarajua challenge-response procedura jake autentikacije korisnika na aplikativnom nivou. Alternativa tome je da se za te potrebe iskoristi standardna procedura klijentske i serverske autentikacije u okviru SSL protokola zatite na transportnom nivou to je opisano u nastavku a to se i predlae za primenu u okviru informacionog sistema Organizacije.

24. Karakteristike mehanizama zatite na transportnom nivou U vezi realizacije transportnih mehanizama zatite, predlae se primena standardnog SSL (Secure Sockets Layer) protokola (novija verzija je TLS (Transport Layer Security) protokol) izmeu korisnika i web servera (ili web servisa). U stvari, u informacionom sistemu Organizacije predlae se primena: SSL protokola sa serverskom autentikacijom neophodan je SSL serverski sertifikat izdat za dati web server i SSL protokola sa klijentskom i serverskom autentikacijom na bazi digitalnih sertifikata i smart kartica korisnika. U ovom sluaju je takoe neophodno da web server (ili odgovarajui web servis) ima SSL serverski sertifikat.

Naime, za potrebe autentikacije korisnika informacionog sistema Organizacije, predlae se primena zatite na transportnom nivou i jake autentikacije korisnika na bazi SSL protokola sa klijentskom i serverskom autentikacijom. Dakle, u ovom sluaju nije samo dovoljno da web server poseduje sertifikat (serverska autentikacija) ve je neophodno da u sistemu postoji/koristi se i odgovarajue Sertifikaciono telo (CA) koje izdaje sertifikate klijentima na smart karticama. Na ovaj nain se postie da samo klijenti sa smart karticama i odgovarajuim digitalnim sertifikatima mogu da pristupe datom web serveru, a samim tim da izvravaju poslovne procese u okviru informacionog sistema Organizacije. 25. Karakteristike mehanizama zatite na mrenom nivou Umesto SSL protokola na transportnom nivou, ili dodatno njemu, mogu se koristiti i kriptografski mehanizmi zatite na mrenom nivou koji se najee baziraju na IPSec

protokolu zatite i uspostavi virtuelnih privatnih mrea (VPN Virtual Private Network). U zavisnosti od naina komunikacije kao i protokolima koji se koriste za komunikaciju, kriptografske VPN mree se najee baziraju na istom IPSec protokolu zatite ili na kombinacijama PPTP/IPSec ili L2TP/IPSec. U okviru informacionog sistema Organizacije generalno se predlae primena IPSec protokola na bazi digitalnih sertifikata vorova u raunarskoj mrei (ili izmeu klijenta i VPN servera). U tom smislu, VPN mrea, koja se bazira na IPSec protokolu, moe se uspostaviti izmeu dva rutera ili rutera i firewall-a, ili izmeu VPN klijenta i VPN koncentratora (ruter ili firewall ureaj) opet na bazi digitalnih sertifikata. Sa druge strane, neophodno je primeniti firewall ureaje u cilju podizanja sveukupne zatite i kontrole pristupa sistemu.