Мрежни слој OSI референтног модела представља најпогоднији слој за реализацију безбедносних система. Разлози за то су вишеструки: мрежни слој доноси одлуку о посредницима у комуникацији, популарни протоколи на мрежном слоју имају јасну структуру и лако се могу проширивати и друго.
Слика 6.2.3-1. Заштита на нивоу мрежног протокола
Огромна предност у реализацији система заштите на нивоу мрежног протокола је и чињеница да се реализацијом система на том нивоу штите и подаци
РАЧУНАРСКЕ МРЕЖЕ 259
протокола виших нивоа - транспортног и апликативног, односно да се на овај начин могу заштитити комуникације свих корисничких апликација. Водећи систем заштите на мрежном слоју је Internet Protocol Security . 6.2.3.1. Internet Protocol Security систем заштите Internet Protocol Security (IPsec) протокол је решење за заштиту података који се преносе коришћењем IP протокола. Овај систем је реализован сетом протокола којима се остварује шифровање, провера аутентичности извора и интегритета порука које се преносе. Додатно, IPsec систем користи и протокол за размену кључева на почетку сесије.
Слика 6.2.3.1-1. Архитектура комуникације заштићене IPsec системом заштите
IPsec систем се може користити за заштиту комуникације између крајњих учесника, између крајњег учесника, са једне стране, и подразумеваног мрежног пролаза, са друге стране, или између подразумеваних мрежних пролаза са обе стране. У складу са тим IPsec подржава два режима рада: транспортни и тунелски. За развој IPsec система заштите званично је задужена IETF група. Сам IPsec систем заштите је наследник ISO стандардизованог NLSP (Network Layer Security Protocol) протокола базираног на SP3 протоколу, којег је први објавио амерички NIST а иницијално је дизајниран од стране америчке националне безбедносне агенције (NSA). Постоји велики број докумената којим је IPsec систем заштите документован и стандардизован.
260 РАЧУНАРСКЕ МРЕЖЕ
Слика 6.2.3.1-2. Различити модели заштите коришћењем IPsec система Једна од значајних предности IPsec система заштите у односу на друге популарне системе заштите (SSL, TLS...) је рад на ниском нивоу у односу на OSI и TCP/IP референтне моделе. Оваква позиција обезбеђује флексибилност у погледу заштите великог броја протокола виших нивоа. Основне компоненте IPsec система заштите су Internet Key Exchange (IKE, IKE2) – систем за управљање кључевима и успостављање безбедносних асоцијација, Authentication Header (AH) – протокол за обезбећивање аутентичности и интегритета и Encapsulating Security Payload (ESP) – протокол за обезбеђивање поверљивости, аутентичности и интегритета. Још једна значајна карактеристика IPsec система заштите је и подршка за IPv6 протокол. У ствари, IPsec је подразумевани део овог протокола и иницијално је и развијан на њему а накнадно је портован на верзију 4. За успешно коришћење IPsec протокола неопходно је успостављање правилних безбедносних асоцијација. Безбедносне асоцијације представљају правила по којима ће се успоставити безбедна комуникација између учесника. У безбедносним асоцијацијама могу бити директно постављени кључеви који ће се користити за шифровање а у ту сврху се може искористити и протокол за размену кључева путем Интернета. IPsec систем заштите се може посматрати као једноставно и ефикасно решење за заштиту комуникација базираних на IP протоколу. Важна карактеристика овог система јесте отвореност и документованост кроз RFC и друге документе. Избор IPsec система заштите као носиоца реализације сопственог решења базираног на сопственом алгоритму, резултат је дугортајног и темељног испитивања постојећих алтернатива.
РАЧУНАРСКЕ МРЕЖЕ 261
6.2.3.1.1. Режими рада Једна од значајних карактеристика IPsec система заштите јесте подршка за два основна режима рада: транспортни и тунелски. Основна разлика између ова два режима рада лежи у томе да ли се шифрују само подаци протокола вишег нивоа или комплетан IP датаграм.
Слика 6.2.3.1.1-1. Транспортни режим рада
У случају тунелског режима рада за сваки IP датаграм креира се нови IP датаграм који је сачињен од новог заглавља и података у виду шифрата оригиналног IP датаграма. Основна потреба за тунелским режимом рада произилази из потребе за превођењем мрежних адреса (енгл. Network Address Translation) и креирањем виртуалних приватних мрежа (енгл. Virtual Private Network).
Слика 6.2.3.1.1-2. Тунелски режим рада
За потребе интеграције сопствених криптолошких система у IPsec, разлике између описаних режима рада могу се занемарити, пре свега из разлога што,