OpenPGP SRP PSK TLS/IA Supp.

RFC 5077 RFC 5705

data
GnuTLS да да да да да да да

OpenSSL не не не не не да да

NSS не не не не не да не

yaSSL не не да не не да не

Табела 6.2.2.1.4-5. Подршка за екстензије

6.2.3. Заштита на нивоу мрежног протокола

Мрежни слој OSI референтног модела представља најпогоднији слој за
реализацију безбедносних система. Разлози за то су вишеструки: мрежни слој
доноси одлуку о посредницима у комуникацији, популарни протоколи на
мрежном слоју имају јасну структуру и лако се могу проширивати и друго.

Слика 6.2.3-1. Заштита на нивоу мрежног протокола

Огромна предност у реализацији система заштите на нивоу мрежног протокола
је и чињеница да се реализацијом система на том нивоу штите и подаци

РАЧУНАРСКЕ МРЕЖЕ 259

протокола виших нивоа - транспортног и апликативног, односно да се на овај
начин могу заштитити комуникације свих корисничких апликација. Водећи
систем заштите на мрежном слоју је Internet Protocol Security .
6.2.3.1. Internet Protocol Security систем заштите
Internet Protocol Security (IPsec) протокол је решење за заштиту података који се
преносе коришћењем IP протокола. Овај систем је реализован сетом протокола
којима се остварује шифровање, провера аутентичности извора и интегритета
порука које се преносе. Додатно, IPsec систем користи и протокол за размену
кључева на почетку сесије.

Слика 6.2.3.1-1. Архитектура комуникације заштићене IPsec системом заштите

IPsec систем се може користити за заштиту комуникације између крајњих
учесника, између крајњег учесника, са једне стране, и подразумеваног мрежног
пролаза, са друге стране, или између подразумеваних мрежних пролаза са обе
стране. У складу са тим IPsec подржава два режима рада: транспортни и
тунелски.
За развој IPsec система заштите званично је задужена IETF група. Сам IPsec
систем заштите је наследник ISO стандардизованог NLSP (Network Layer Security
Protocol) протокола базираног на SP3 протоколу, којег је први објавио амерички
NIST а иницијално је дизајниран од стране америчке националне безбедносне
агенције (NSA). Постоји велики број докумената којим је IPsec систем заштите
документован и стандардизован.

260 РАЧУНАРСКЕ МРЕЖЕ

 Слика 6.2.3.1-2. Различити модели заштите коришћењем IPsec система
Једна од значајних предности IPsec система заштите у односу на друге
популарне системе заштите (SSL, TLS...) је рад на ниском нивоу у односу на OSI и
TCP/IP референтне моделе. Оваква позиција обезбеђује флексибилност у
погледу заштите великог броја протокола виших нивоа.
Основне компоненте IPsec система заштите су Internet Key Exchange (IKE, IKE2) –
систем за управљање кључевима и успостављање безбедносних асоцијација,
Authentication Header (AH) – протокол за обезбећивање аутентичности и
интегритета и Encapsulating Security Payload (ESP) – протокол за обезбеђивање
поверљивости, аутентичности и интегритета.
Још једна значајна карактеристика IPsec система заштите је и подршка за IPv6
протокол. У ствари, IPsec је подразумевани део овог протокола и иницијално је
и развијан на њему а накнадно је портован на верзију 4.
За успешно коришћење IPsec протокола неопходно је успостављање правилних
безбедносних асоцијација. Безбедносне асоцијације представљају правила по
којима ће се успоставити безбедна комуникација између учесника. У
безбедносним асоцијацијама могу бити директно постављени кључеви који ће
се користити за шифровање а у ту сврху се може искористити и протокол за
размену кључева путем Интернета.
IPsec систем заштите се може посматрати као једноставно и ефикасно решење
за заштиту комуникација базираних на IP протоколу. Важна карактеристика овог
система јесте отвореност и документованост кроз RFC и друге документе. Избор
IPsec система заштите као носиоца реализације сопственог решења базираног
на сопственом алгоритму, резултат је дугортајног и темељног испитивања
постојећих алтернатива.

РАЧУНАРСКЕ МРЕЖЕ 261

6.2.3.1.1. Режими рада
Једна од значајних карактеристика IPsec система заштите јесте подршка за два
основна режима рада: транспортни и тунелски. Основна разлика између ова два
режима рада лежи у томе да ли се шифрују само подаци протокола вишег нивоа
или комплетан IP датаграм.

Слика 6.2.3.1.1-1. Транспортни режим рада

У случају тунелског режима рада за сваки IP датаграм креира се нови IP
датаграм који је сачињен од новог заглавља и података у виду шифрата
оригиналног IP датаграма. Основна потреба за тунелским режимом рада
произилази из потребе за превођењем мрежних адреса (енгл. Network Address
Translation) и креирањем виртуалних приватних мрежа (енгл. Virtual Private
Network).

Слика 6.2.3.1.1-2. Тунелски режим рада

За потребе интеграције сопствених криптолошких система у IPsec, разлике
између описаних режима рада могу се занемарити, пре свега из разлога што,

262 РАЧУНАРСКЕ МРЕЖЕ