IPSec je industrujski definisani set standarda koji proverava, autentifikuje, i šifruje podatke na nivou IP paketa.

Enkripcija (šifrovanje) je proces kodiranja poruka podataka kroz matematički ključ koji krije bitnost od svih koji nisu prošli matematički ključ.

Dekripcija (dešifrovanje) je suprotan pravac procesa enkripcije. Dešifrovanje podataka koristi primenjivanje odgovarajućeg matematičkog ključa da bi dekodirao poruku podataka tako da ona bude restaurirana u originalnom sadržaju.

IPSec se koristi kad želimo da konfigurišemo sigurnost podataka pri mrežnoj komunikaciji. Administrator podešava serije pravila (rules) koji se nazivaju IPSec polise (IPSec Policy). Ova pravila sadrže filtere koji određuju koji tipovi saobraćaja zahtevaju šifrovanje, digitalno potpisivanje ili oba. Tada, će se pristupati svakom paketu koji se šalje sa kompjutera i vrši se provera da li paket odgovara uslovima koji su konfigurisani u polisi. Ako su svi uslovi iz polise ispunjeni, podatak može biti šifrovan ili potpisan u zavisnosti od konfiguracije polise. Proces je transparentan ka korisniku ili aplikaciji koji su inicirali slanje podatka. Iz razloga što se IPSec  nalazi unutar standardnog IP paketa, on može da putuje kroz mrežu i ne traži specijalnu konfiguraciju između dva hosta. IPSec ne može da šifruje neke tipove saobraćaja, kao što su Broadcast poruke, Multicast i Kerberos Protocol pakete.

Glavna prednost IPSec-a je ta da on nudi totalno transparentnu enkripciju za sve protokole iz OSI modela u Sloju 3 (Network Layer) u višim slojevima.

Operativni stemi koji podržavaju IPSec su: Windows 7, Windows Server 2008, Windows Server 2003, Windows Vista Microsoft Windows XP i Windows 2000 operativni sistemi. Kao dodatak, IPSec se integriše sa aktivnim direktorijumom. IPSec polise možemo da dodelimo koristeći grupne polise, koje nam omogućavaju da konfigurišemo IPSec postavke na nivou domena, sajta, ili na nivou organizacione jedinice.

IPSec je set protokola koji nam pomaže da zaštitimo podatke koji putuju kroz mrežu koristeći sigurnosne servise i digitalne sertifikate sa privatnim i javnim ključevima. Digitalni sertifikat dodeljuje javni ključ osobi, poslu (business) ili Web sajtu.

Značajan broj podataka prolazi kroz Local Area Network (LAN) u formi u kojoj može lako da se presretne i uhvati korišćenjem Protocol Analyzera koji je povezan na mrežu. Ako su uhvaćeni određeni podaci, napadač može da modifikuje i ponovo pošalje modifikovane podatke preko mreže. Da bi se zaštitili podaci koji se šalju preko mreže od ovakvih tipova napada, možemo da šifrujemo mrežne podatke koristeći IPSec. IPSec dozvoljava nam da definišemo scope naše enkripcije (šifrovanja). Na primer, možemo da šifrujemo svu mrežnu komunikaciju za specifične klijente ili za sve klijente u domenu.

Zbog svog dizajna IPSec pomaže pri obezbeđivanju mnogo veće sigurnosti od ranijih metoda zaštite. Mrežni administratori koji koriste IPSec nemaju potrebu da konfigurišu sigurnost za individualne programe.

Prednost IPSec-a

Glavna prednost IPSec-a je ta da on nudi totalno transparentnu enkripciju za sve protokole iz OSI modela u sloju 3 (Network Layer) u višim slojevima.

IPSec nudi:

• Mutual autentifikaciju pre i u toku komunikacije. IPSec prisiljava zainteresovane subjekte da se predstave u toku komunikacinog procesa.
• Poverljivost koja se postiže šifrovanjem IP saobraćaja i digitalne autentifikacije paketa. IPSec ima dva moda: Encapsulating Security Payload (ESP) koji pruža šifrovanje koristeći jednog ili nekoliko algoritama, Autentication Header (AH), koji potpisuje saobraćaj ali ga ne enkriptuje.
• Integritet IP saobraćaja odbacivanjem modifikovanog saobraćaja.  I ESP i AH proveravaju integritet svog IP saobraćaja. Ako je paket modifikovan, digitalni potpis neće se poklapati, i paket će biti odbijen. ESP enkriptuje izvornu i destinacionu adresu kao deo Payload-a.
• Prevencija protiv ponavljajućih napada (reply attacks). I ESP i AH koriste brojeve sekvence (sequence numbers), tako da bilo koji paket koji je uhvaćen i koji će se koristiti kao kasniji Reply će koristiti neregularan broj sekvence. Korišćenje broja sekvence osigurava da napadač neće moći ponovo da koristi i ponovo šalje uhvaćene podatke da bi uspostavio sesiju ili sakupio podatke na ilegalan način. 

Kako IPSec štiti saobraćaj: IPSec se konfiguriše kroz lokalne polise ili korišćenjem grupnih polisa u aktivnom direktorijumu:

1. IPSec polise se isporučuju svim target kompjuterima. Polisa govori IPSec drajveru kako treba da se ponaša i kako da definiše sigurnosne asocijacije koje mogu da se uspostave. Sigurnosne asocijacije određuju koji protokoli za šifrovanje se koriste za koji tip saobraćaja i koji autentifikacioni metodi se upotrebljavaju.
2. Sigurnosna asocijacija se ugovara. Internet Key Exchange (IKE) modul ugovara sigurnosnu asocijaciju. IKE je kombinacija dva protokola: Internet Security Association and Key Management Protocol (ISAKMP) i Oakley Key Determination Protocol. Ako jedan klijent zahteva sertifikate za autentifikaciju a drugi klijent zahteva Kerberos protokol, IKE neće moći da uspostavi sigurnosnu asocijaciju između ova dva kompjutera. Ako tražimo pakete u Network Monitoru, videćemo ISAKMP pakete, ali nećemo videti AH i ESP pakete.
3. IP paketi su šifrovani. Nakon uspostavljanja sigurnosne asocijacije, IPSec drajver nadgleda sav mrežni saobraćaj, poredi saobraćaj sa definisanim filterima, i ako je odobren, ili šifruje ili potpisuje saobraćaj.

Definicija: Internet Key Exchange (IKE) je protokol koji uspostavlja sigurnosnu asocijaciju i deljene ključeve koji su potrebni za oba zainteresovana kompjutera da bi mogli da komuniciraju koristeći IPSec.

Preporučeno korišćenje IPSec-a

Neka mrežna okruženja su kao stvorena za implementaciju IPSec-a dok druga mrežna okruženja to nisu.

Preporučuje se IPSec za sledeće korisnike:

• Packet filtering (Filterisanje paketa)
• Zaštita Host-to-Host saobraćaja na specifičnim stazama
• Zaštita saobraćaja na serverima
• Layer 2 Tunneling Protocol (L2TP) IPSec za VPN konekcije
• Site-to-Site (gateway-to-gateway) tunneling
• Enforcing Logical Networks (Server-Domain izolacija)

IPSec se ne preporučuje za sledeće korisnike:

• Zaštita komunikacije između kompjutera članova domena i njihovih domenskih kontrolera
• Zaštita kompletnog mrežnog saobraćaja

Alatke koje koristimo za konfiguraciju IPSec-a

Postoji nekoliko različitih načina za konfiguraciju postavki i opcija za Windows Firewall i IPSec, uključujući sledeće:

• Korišćenje Windows Firewall with Advanced Security MMC snap-in
• Korišćenje IP Security Policy MMC snap-in
• Korišćenje Netsh komende

Šta su to Connection Security Rules (pravila)

Connection Security pravilo primorava autentifikaciju između two peer kompjutera pre nego što oni mogu da uspostave konekciju i počnu sa slanjem zaštićenih informacija. Windows Firewall with Advanced Security koristi IPSec da bi prisilio korišćenje ovih pravila.

Firewall pravila dozvoljavaju saobraćaju da prolazi kroz Firewall, ali ne štiti taj saobraćaj. Da bi zaštili saobraćaj koristeći IPSec, možemo da kreiramo Computer Connection pravila. Ipak, kada kreiramo Connection security pravilo, on ne dozvoljava prolazak saobraćaja kroz Firewall. Da bi saobraćaj mogao da prođe kroz Firewall moramo da kreiramo i Firewall pravilo u slučaju da saobraćaj nije dozvoljen po defoltu Firewall-a. Connection Security Rules se ne dodeljuju programima i servisima. Oni se postavljaju između kompjutera koji čine dve krajnje tačke konekcije (Two endpoints).

Dodaj komentar Sviđa mi se - (0) Ne sviđa mi se - (0)    

Ime Nick Email Title Sigurnosni kod

CommentText

• Predstavljanje IPSec-a 1

• Predstavljanje IPSec-a 2

• Predstavljanje IPSec-a 3

• Predstavljanje IPSec-a 4