Универзитет Сингидунум
Факултет за информатику и рачунарство

Рачунарске мреже

Младен Веиновић, Александар Јевремовић

7.2.3.1.4. Имплементације IPsec протокола


С обзиром на то да IPsec представља de facto стандард за обезбеђивање комуникација заснованих на IP протоколу, постоји велики број имплементација за различите оперативне системе, уређаје, протоколе и сл.

Са аспекта оперативних система често се користи принцип интегрисања имплементације у језгро оперативног система а коришћење конфигурационих алата (ISAKMP/IKE) из корисничког простора. Осим овога приступа постоје и примери коришћења IPsec имплементација независних од језгра оперативних система.

Линукс оперативни систем поседује сопствену имплементацију IPsec протокола у оквиру језгра почев од верзије 2.6. Пре ове имплементације на Линукс оперативном систему су најчешће коришћене FreeS/WAN, Openswan и strongSwan имплементације које су функционисале у виду процеса одвојених од језгра оперативног система.

Компанија Мајкрософт је почела са интеграцијом сопствене IPsec имплементације у оперативне системе почев од 2000. године. Данас, интегрисану подршку за овај систем заштите имају оперативни системи Windows Vista, Windows Server 2008, Windows Server 2003, Windows XP, и Windows 2000. Такође, поменута IPsec имплементација је интегрисана и у Active Directory сервис.

На BSD групи оперативних система (FreeBSD, NetBSD, OpenBSD) углавном се користи KAME имплементација. Иста имплементација се користи и на Mac OS X оперативном систему. OpenBSD системи користе и NRL (United States Naval Research Laboratory) имплементацију, односно, сопствену имплементацију базирану на коду поменуте имплементације.

Производи компаније Cisco користе сопствену имплементацију у IOS оперативном систему. Оперативни системи компаније IBM (AIX, z/OS) користе сопствене имплементације. Solaris, оперативни систем компаније Sun, користи сопствену имплементацију.

Пројекат KAME

KAME пројекат је представљао заједнички напор шест јапанских организација који је имао за циљ да обезбеди слободну имплементацију IPsec протокола за различите ватријанте BSD Unix оперативног система. Пројекат је започет 1998. године а 7. новембра 2005. године је званично објављено да ће пројекат бити завршен марта 2006. године. Свој назив пројекат је добио по граду у коме су се налазиле канцеларије пројекта, Karigome.

Следеће организације су учествовале у пројекту:

  1. ALAXALA Networks Corporation

  2. Fujitsu, Ltd.

  3. Hitachi, Ltd.

  4. Internet Initiative Japan Inc.

  5. Keio University

  6. NEC Corporation

  7. University of Tokyo

  8. Toshiba Corporation

  9. Yokogawa Electric Corporation

DragonFly BSD, FreeBSD, и NetBSD оперативни системи интегрисали су код за IPSec и IPv6 из KAME пројекта. OpenBSD оперативни систем садржи само код за подршку IPv6 протокола.

Један од значајних резултата остварених овим пројектом је портовање различитих корисничких алата на Линукс плаформу у оквиру IPsec-Tools пројекта. У оквиру ових алата се налазе:

  1. libipsec - Библиотека са PF_KEY имплементацијом.

  2. setkey - Алат за управљање базом безбедносних полиса (Security Policy Database, SPD) и базом безбедносних асоцијација (Security Association Database, SAD).

  3. racoon – програм за аутоматско размењивање кључева за везе.

  4. racoonctl – програм за контролу racoon-а.

Имплементација у језгру Линукс оперативног система

Почев од верзије 2.5.47 на Линуксу је могуће користити IPsec имплементацију интегрисану у језгро оперативног система. Аутори ове имплементације, Алексеј Кузнецов и Дејвид С. Милер, свој рад су започели из основа, а од краја 2002. године се IPsec налази као саставни део кернела Линукс оперативног система верзије 2.6.


Слика 7.2.3.1.4.-1. Организација компонената значајних за IPsec

Неке од најзначајнијих карактеристика имплементације IPsec система заштите у језгру Линукс оперативног система су:

  1. доступност изворног кода имплементације,

  2. перформансе (решење на нивоу језгра оперативног система) и

  3. лиценца (GPL).

Додатно, ова имплементација користи хеш и шифарске алгоритме који су такође интегрисани у језгро оперативног система и чији је изворни код такође доступан (слика 1).

Сам Линукс оперативни систем је популаран као веома стабилан оперативни систем (постоје примери сервера који су под пуним оптеређењем радили и по више година без ресетовања) са добрим мрежним перформансама. Још једна значајна карактеристика Линукс оперативног система, односно његовог језгра, јесте и та да су изворни кодови свих компонената доступни јавности.

Језгро Линукс оперативног система садржи и друге значајне мрежне компоненте које се могу користити у комбинацији са решењем везаним за заштићену комуникацију. На пример, netfilterкомпонента језгра омогућава филтрирање пакета уз коришћење iptables корисничког алата.

У поређењу са осталим, раније описаним, имплементацијама IPsec безбедносног решења, имплементација у језгру Линукс оперативног система нуди могућност лакше интеграције шифарског алгоритма уз могућност постизања максималних перформанси. Имлементација је, као и остатак језгра оперативног система, реализована у програмском језику C. Програмски језик C, поред добрих перформанси, нуди и могућност директног приступа хардверским ресурсима. Ова карактеристика решења може бити од значаја проширивања решења, пре свега повезивања са хардверским реализацијама шифарског алгоритма.

 
Internet marketing
Преузмите ПДФ целе књиге
Заштита у рачунарским мрежама
Овладајте Веб развојем и РНР програмирањем
Овладајте савременим базама података
Обратите се ауторима:
Ваша имејл адреса:
Ваше име:
Порука:
Безбедносни код:
Captcha
Research Gate
Слика [Chapter:Number]