You are on page 1of 15

1.

IPsec

IPsec (IP security) je skup protokola razvijen od strane IETF za podršku pri
sigurnosnoj razmjeni paketa na IP sloju. Često se smatra najboljim VPN rješenjem
za IP okruženja. IPSec implementira sigurnu mrežnu komunikaciju na trećem,
odnosno mrežnom sloju (Internet sloju). Opcionalan je za IPv4, a obavezan je za
IPv6. IPsec osigurava ispunjenje sljedećih sigurnosnih zahtjeva:

 Tajnost
 Besprijekornost
 Autentičnost
 Raspoloživost

Na sljedećoj slici prikazan je standardni IPV4 TCP paket.


ver (version) – Polje koje pokazuje format (vrstu) Internet zaglavlja,
primjerice Ipv4
hlen (Internet header length) – Polje koje označava duljinu Internet zaglavlja
prikazanog brojem 32 bit-nih skupina. Na taj način ukazuje na kojem mjestu
počinju podaci. Najmanja vrijednost ovog polja je pet (5) što ukazuje da polje
''IP Options'' nije nužno.
TOS (Type of service) - 8-bitno polje koje ukazuje na željeni kvalitetu usluge
(vrstu prometa). Ako mrežna struktura podržava održavanje prioriteta
prilikom prijenosa.

Bit 0-2: Prioritet:

111 Kontrola od strane mreže


110 Kontrola unutar mreže
101 CRITIC / ECP
100 Kratkotrajno opterećenje
011 Brzo
010 Izravno
001 Prioritet
000 Uobičajen postupak

Bit 3: Kašnjenje:

0 Normalno kašnjenje
1 Malo kašnjenje
Bit 4: Propusna moć:

0 Normalna propusnost
1 Velika propusnost

Bit 5: Pouzdanost:

0 Normalna pouzdanost
1 Velika pouzdanost

Bit 6-7: Predviđeno za buduću uporabu.

pkt len (packet length) – ukupna duljina datagrama u bayt-ovima, uključujući


Internet zaglavlje i podatke. Ovo polje dopušta duljinu datagrama do 65535 B,
iako su takvi dugi datagrami nepraktični za većinu računala i mreža. Sva
računala obvezno moraju prihvatiti datagrame velike do 576 B, bez obzira na
da li su stigli u cjelini ili u fragmentima. Preporuka je da računalo šalje
datagrame veće od 576 B samo ako je odredište pripravno prihvati ih.
ID (Identification) - identifikacijska vrijednost dana od pošiljatelja koja služi
kao pomoć odredištu koje sastavlja fragmente datagrama.
flgs (Flags) - kontrolna oznaka (flag)

Bit 0: Rezerviran i mora biti nula

Bit 1: Bit koji opisuje ima li ili nema fragmentacije:

0 Fragmentacija je dopuštena.
1 Fragmentacija nije dopuštena.
Bit 2: Bit koji opisuje status pristiglog fragmenta:

0 Zadnji fragment.
1 Slijedi još fragmenata.

frag offset (fragment offset) – 13-bitni opis fragmenta koji pokazuje mjesto
gdje fragment pripada u datagramu. Pomak fragmenta mjeri se u jedinicama
od 8 B (64 bita). Prvi fragment nema pomak te je vrijednost nula.
TTL (Time to live) - vrijeme života datagrama. Pokazuje maksimalno vrijeme
života datagrama u mrežnom sustavu. Ako ovo polje sadržava vrijednost
''nula'' tada će datagram nestati, odnosno odbacuje se i neće se proslijediti
dalje. Ovo polje se modificira u obradi zaglavlja tijekom prosljeđivanja
narednom uređaju. Vrijeme se prikazuje u sekundama. Svaki uređaj koji
obrađuje datagram smanjuje TTL vrijeme barem jednu sekundu (čak i ako
obrađuje datagram u vremenu manjem od 1 sekunde). TTL vrijeme je
osmišljeno kao gornja vremenska granica postojanja datagrama u sustavu. Po
isteku ovog vremena datagram se odbacuje - nestaje, odnosno ne prosljeđuje
daljnjim uređajima, što znači da je zalutao i ne može mu se naći odredište.
proto (protocol) - ukazuje na sljedeću razinu protokola koja će se uporabiti u
dijelu s podacima koji su sadržani u datagramu.
Protokol
Opis protokola
kod
1 ICMP — Internet Control Message Protocol
2 IGMP — Internet Group Management Protocol
4 IP within IP (vrsta enkapsulacije)
6 TCP — Transmission Control Protocol
17 UDP — User Datagram Protocol
41 IPv6

47 GRE — Generic Router Encapsulation (used by PPTP)


50 IPsec: ESP — Encapsulating Security Payload
51 IPsec: AH — Authentication Header

header cksum (header checksum) - kontrolni zbroj samo za zaglavlje. Iako se


neka polja zaglavlja mijenjaju (vrijeme TTL), ovaj zbroj nanovo se izračunava
i provjerava kod svake točke gdje se zaglavlje mijenjalo.
src address/dst address (source address/destination address) - izvorišna i
odredišna adresa paketa, svaka veličine 32 bit-a.
IP Options (ako postoji) – opcionalno i sadrži aplikacijski specifične
informacije te je indicirano pomoću polja hlen dužeg od 5, a ako postoji mora
biti uključeno u header cksum.
payload (data) - podaci u IP datagramu naslijeđeni od nadređenog sloja, u
našem primjeru TCP-ia.
IPsec se implementira pomoću dva nezavisna protokola:
 AH (authentication header) koje osigurava integritet, autentifikaciju i
neporecivost
 ESP (encapsulated security payload) koji uz to osigurava i tajnost
podataka koji se prenose.

1.1 Protokol AH (RFC 2402)

next hdr (next header) - odnosi se na protokol višeg sloja koji se prenosi i
slijedi iza.
AH len (next header) - duljina autentifikacijskog zaglavlja u 32-bitnim riječima
minus dvije riječi u skladu s RFC 1883
Reserved – rezervirano za buduću uporabu i mora biti nula.
SPI (Security Parameters Index) – skup sigurnosnih parametara duljine 32 bita
sadrži nasumičnu vrijednost, koja uz IP adresu i sigurnosni protokol (u ovom
slučaju AH) definira jedinstvane skup sigurnosnih parametara (security
association, SA) koji se koriste za sigurnu komunikaciju između dva entiteta.
Sase definira prilikom uspostave IPsec veze. Vrijednosti iz intervala 1-255
rezervirala je IANA (Internet Assigned Number Authority) za buduću uporabu.
sequence number – polje duljine 32 bita koje služi kao zaštita od napada
ponavljanjem paketa. Povećava se prilikom slanja svakog paketa koji ima
identičan SA skup sigurnosnih parametara. Izvorište mora da generira ovaj
broj, a odredište može, ali i ne mora da ga interpretira. Na početku
komunikacije postavlja se na 1.
Authentication data – U polju koje sadrži podatke za provjeru identiteta
nalazi se ICV (integrity check value) na osnovu koje se provjerava integritet i
autentičnost poruke. Duljina ovoga polja promjenjiva, ali mora biti umnožak
32-bitnih riječi te ukoliko ne udovoljava ovom uvjetu nadopunjuje se
nasumičnim nizom do duljine nx32 bita. Vtijednost ICV se računa na osnovu
svih polja IP zaglavlja koja se ne mijenjaju prilikom prijenosa, AH zaglavlja i
svih podataka višeg sloja. ICV može biti kod za provjeru iodentiteta poruke
(message authentication code, MAC), izračuna pomoću nekog simetričnog
algoritma šifriranja (primjerice AES-a) ili rezultat funkcija sažimanja (MD5,
SHA-1, SHA-2 i sl.). Algoritam koji se upotrebljava za računanje ICV-a definira
se prilikom uspostave komunikacije i dio je SA skupa sigurnosnih parametara.

1.2 Protokol ESP (RFC 2406)

SPI (Security Parameters Index) - skup sigurnosnih parametara duljine 32 bita


isto kao i kod AH.
sequence number – isto kao i kod AH.
Encrypted payload and padding – smješteni podaci bitni za kriptografsku
sinkronizaciju (primjerice inicijalizacijski vektor) i dopuna jer ukupna duljina
mora biti cjelobrojni umnožak 32-bitne riječi.
pad len – 8-bitno polje duljine dopune, a dozvolje vrijednosti su od 0 (nema
dopune) do 255.
next hdr (next header) - odnosi se na protokol višeg sloja koji se prenosi i
slijedi iza.
Autentication data – opcionalno, a koriosti se samo kada je u SA skupu
sigurnosnih parametara specificirana usluga provjere identiteta.
1.3 IPsec načini rada

IPsec podržava dva načina rada:

1. Prijenosni način rada (Transport mode) - Prednost je što se jednom paketu


dodaje samo nekoliko okteta.

IP IPsec AH TCP
header header header podaci
IP IPsec ESP TCP ESP ESP
header header header podaci pad auth. data
šifrirano
autentificirano

ESP + AH u prijenosm modu rada


IP IPsec AH IPsec ESP TCP ESP
header header header header podaci pad
šifrirano
autentificirano
2. Tuneliranje – kod IPsec tuneliranja, tunelira se cijeli IP paket i na paket se
dodaje novo nekriptirano IP zaglavlje.

new IP IPsec AH IP TCP


header header header podaci
header

autentificirano
new IP IPsec ESP IP TCP ESP ESP
header header header header podaci pad auth. data
šifrirano
autentificirano
IKE je standardni protokol za uspostavljanje IPsec komunikacije (RFC 2409),
a implementiran je kombiniranjem nekoliko postojećih protokola: ISAKMP
(RFC 2408), Oakley i SKEME. IKE koristi UDP na portu 500.
VPN
Problemi u implementaciji