ΣΕΦΝΟΛΟΓΙΚΟ ΕΚΠΑΙΔΕΤΣΙΚΟ ΙΔΡΤΜΑ ΚΑΒΑΛΑ

Transcript

1 ΣΕΦΝΟΛΟΓΙΚΟ ΕΚΠΑΙΔΕΤΣΙΚΟ ΙΔΡΤΜΑ ΚΑΒΑΛΑ ΣΜΗΜΑ ΒΙΟΜΗΦΑΝΙΚΗ ΠΛΗΡΟΥΟΡΙΚΗ ΠΣΤΦΙΑΚΗ ΕΡΓΑΙΑ Αςφαλείσ Επικοινωνίεσ ςε Αςύρματα Δίκτυα Αιςθητήρων ΑΛΜΠΑΝΟΠΟΤΛΟΤ ΕΛΕΝΗ Α.Ε.Μ.: 2181 Επιβλϋπων: Δρ. Ρϊντοσ Κωνςταντύνοσ, Επύκουροσ Καθηγητόσ

2 ΠΕΡΙΕΦΟΜΕΝΑ ΕΙΑΓΩΓΗ... 3 ΚΕΦΑΛΑΙΟ 1. ΑΠΟ ΣΟΝ ΣΗΛΕΓΡΑΦΟ Ω ΣΙ ΤΓΧΡΟΝΕ ΑΤΡΜΑΣΕ ΕΠΙΚΟΙΝΩΝΙΕ ΠΕΡΙΓΡΑΦΗ ΣΩΝ ΑΤΡΜΑΣΩΝ ΔΙΚΣΤΩΝ ΑΙΘΗΣΗΡΩΝ Τα επιμζρουσ υποςυςτήματα ενόσ αιςθητήρα κόμβου Ο βαςικόσ ςτόχοσ των WSNs ΤΚΕΤΕ ΚΑΙ ΠΛΑΣΦΟΡΜΕ ΓΙΑ WSN (HARDWARE) ΛΟΓΙΜΙΚΟ ΓΙΑ WSN (SOFTWARE) Λειτουργικό Σφςτημα Contiki ΚΕΦΑΛΑΙΟ 2. ΔΙΑΔΙΚΣΤΑΚΑ ΠΡΩΣΟΚΟΛΛΑ ΑΦΑΛΕΙΑ (IPSECURITY (IPSEC) PROTOCOLS) ΕΠΙΚΟΠΗΗ ΣΟΤ IPSEC, Η ΙΣΟΡΙΑ ΣΟΤ, ΚΑΙ ΣΑ ΠΡΟΣΤΠΑ Επιςκόπηςη των Υπηρεςιών και των Λειτουργιών του IPSec Τα Πρότυπα του IPSec ΓΕΝΙΚΗ ΛΕΙΣΟΤΡΓΙΑ ΣΟΤ IPSEC ΚΑΙ ΠΡΩΣΟΚΟΛΛΑ AH και ESP Μηχανιςμοί Υποςτήριξησ του IPSec ΑΡΧΙΣΕΚΣΟΝΙΚΕ ΚΑΙ ΜΕΘΟΔΟΙ ΤΛΟΠΟΙΗΗ ΣΟΤIPSEC Ολοκληρωμζνη Αρχιτεκτονική Bump in the Stack (BITS) Architecture Bump in the Wire (BITW) Architecture IPSEC ΛΕΙΣΟΤΡΓΙΕ: ΛΕΙΣΟΤΡΓΙΑ ΜΕΣΑΦΟΡΑ ΚΑΙ ΛΕΙΣΟΤΡΓΙΑ ΗΡΑΓΓΑ Σφγκριςη λειτουργίασ Μεταφοράσ και λειτουργίασ Σήραγγασ IPSECSECURITYCONSTRUCTS ΠολιτικζσΑςφαλείασ, Security Associations, and Associated Databases Επιλογείσ Τριπλή ςφνδεςη αςφάλειασ και δείκτησ αςφαλοφσ παραμζτρου (SPI) IPSECAUTHENTICATIONHEADER (AH) AH: Τοποθζτηςη και ςφνδεςη ςτο αυτοδφναμο πακζτο δεδομζνων (AHDatagramPlacementandLinking) Η μορφή του AH IPSEC ENCAPSULATING SECURITY PAYLOAD (ESP) Τα πεδία του ESP Η λειτουργία του ESP και η χρήςη του πεδίου Η μορφή του ESP ΔΙΑΔΙΚΣΤΑΚΟ ΚΛΕΙΔΙ ΑΝΣΑΛΛΑΓΗ ΣΟ IPSEC (IKE) Επιςκόπηςη του IKE Λειτουργία του IKE ΚΕΦΑΛΑΙΟ 3. ΑΦΑΛΗ ΕΠΙΚΟΙΝΩΝΙΑ Ε ΔΙΚΣΤΑ ΧΑΜΗΛΗ ΚΑΣΑΝΑΛΩΗ (6LOWPAN) ΜΕ ΣΗ ΧΡΗΗ ΣΟΤ IPSEC ΤΛΟΠΟΙΗΗ ΣΟΤ 6LOWPAN...55 ΚΕΦΑΛΑΙΟ 4. ΤΛΟΠΟΙΗΗ ΣΟΤ ΠΡΩΣΟΚΟΛΛΟΤ ΑΦΑΛΕΙΑ IPSEC ΓΙΑ ΣΑ 6LOWPAN ΔΙΚΣΤΑ ΣΡΟΠΟΠΟΙΗΗ ΣΟΤ 6LOWPAN ΜΕ ΒΑΗ ΣΟ RFC4944 ΚΑΙ ΣΟ DRAFT-IETF-6LOWPAN-HC-06 ΓΙΑ ΣΗ ΧΡΗΗ ΣΟΤ ΠΡΩΣΟΚΟΛΟΤ IPSEC ΚΕΦΑΛΙΔΑ (HEADER) KΕΦΑΛΑΙΟ 5. ΤΜΠΕΡΑΜΑΣΑ ΒΙΒΛΙΟΓΡΑΦΙΑ ελίδα 2

3 Ειςαγωγή κοπόσ τησ παρούςασ διπλωματικόσ εργαςύασ εύναι η ςχεδύαςη, η υλοπούηςη και η προςομούωςη αςύρματων δικτύων αιςθητόρων που βαςύζονται ςτην αρχιτεκτονικό 6LoWPAN (IPv6 over low power wireless personal area networks) με τη χρόςη του πρωτοκόλλου αςφαλεύασ IPSec (IP Security). Πιο ςυγκεκριμϋνα ςτο παρον ϋγγραφο εφαρμόζουμε το IPSec με τη χρόςη του AH (Authentication Header) και του ESP (Encapsulating Security Payload) για το λειτουργικό ςύςτημα Contiki [23]. Η εφαρμογό απαιτεύ την τροποπούηςη τησ υπϊρχουςασ ςτούβασ IP του Contiki που όδη παρϋχει τη 6LoWPAN [12] λειτουργικότητα. την παρούςα εργαςύα χρηςιμοποιόθηκε υπϊρχον παρϊδειγμα (demo), που χρηςιμοποιεύ τη λειτουργύα 6LoWPAN, και με τη χρόςη του πρωτοκόλλου IPSec προςτϋθηκε αςφϊλεια ςτα διακινούμενα πακϋτα. το πλαύςιο αυτό χρηςιμοποιόθηκαν απαιτούμενοι μηχανιςμού ςυμπύεςησ επικεφαλύδων IPSec / 6LoWPAN οι οπούοι υποςτηρύζουν τισ κωδικοποιόςεισ NHC EH,NHC AH και ESP NHC ςε SICSLoWPAN ςτρώμα, και τη ςυνιςτώςα του 6LoWPAN ςτη ςτούβα IP. ελίδα 3

4 Κεφάλαιο 1. Από τον Σηλέγραφο ωσ τισ ύγχρονεσ Αςύρματεσ Επικοινωνίεσ. To 1888 o Heinrich Rudolf Hertz επιβεβαύωςε την ύπαρξη ηλεκτρομαγνητικών κυμϊτων (τα οπούα εύχαν όδη αναφερθεύ ςε εργαςύεσ των Maxwell και Faraday) ιςχυριζόμενοσ ότι δεν θα ϋβριςκαν κϊποια πρακτικό εφαρμογό (ο ύδιοσ λϋγεται ότι εύχε αναφϋρει: Δεν πιςτεύω ότι τα αςύρματα κύματα που ανακϊλυψα θα ϋχουν ποτϋ κϊποια πρακτικό εφαρμογό [ ] εδώ δεν μπορεύσ καν να τα δεισ ). Η διϊψευςη όμωσ δεν ϊργηςε να ϋρθει. Μόλισ πϋντε χρόνια αργότερα, το 1893, ο Nikola Tesla καταςκευϊζει το πρώτο αςύρματο ςύςτημα επικοινωνύασ. Ο ύδιοσ, το 1895, καταφϋρνει να μεταδώςει ςόματα Μορσ ςε απόςταςη 80 χιλιομϋτρων, κϊνοντασ ϋτςι μια επύδειξη των δυνατοτότων του αςύρματου μϋςου. Σο 1901 μεταδύδεται το πρώτο υπερατλαντικό ςόμα από τον Guglielmo Marconi, ο οπούοσ ύδρυςε και την πρώτη εταιρύα υπερατλαντικού αςύρματου τηλϋγραφου το Από τότε μϋχρι ςόμερα ϋχουν πραγματοποιηθεύ τερϊςτια ϊλματα ςτην ανϊπτυξη των αςύρματων επικοινωνιών, με αποτϋλεςμα να ϋχει εξαπλωθεύ ςε πολύ μεγϊλο βαθμό η αςύρματη μεταφορϊ δεδομϋνων ςτην καθημερινό ζωό. Μερικϊ αντιπροςωπευτικϊ παραδεύγματα αποτελούν το ραδιόφωνο, η τηλεόραςη, η κινητό τηλεφωνύα, οι δορυφορικϋσ επικοινωνύεσ, η επικοινωνύα μϋςω υπϋρυθρησ ακτινοβολύασ (infrared) και η τεχνολογύα Bluetooth. Όςον αφορϊ τη δικτύωςη υπολογιςτών ό ϊλλων ςυςκευών, οι αςύρματεσ τεχνολογύεσ δικτύωςησ ςυγκεντρώνουν πολλϊ πλεονεκτόματα με ςημαντικότερο όλων την εξϊλειψη τησ ανϊγκησ ύπαρξησ δομημϋνησ καλωδύωςησ, κϊτι που καθιςτϊ την επικοινωνύα πολύ πιο ευϋλικτη και ανταγωνιςτικό ςε κόςτοσ ϋναντι τησ ενςύρματησ Περιγραφή των Αςύρματων Δικτύων Αιςθητήρων ύμφωνα με το ϊρθρο «10 Emerging Technologies That Will Change the World» του MIT Technology Review, το οπούο δημοςιεύτηκε ςτο διαδύκτυο το 2003, η πρώτη από τισ δϋκα αναπτυςςόμενεσ τεχνολογύεσ οι οπούεσ πιθανολογεύται ότι θα προκαλϋςουν τεχνολογικό επανϊςταςη ςτο μϋλλον εύναι τα Αςύρματα Δύκτυα Αιςθητόρων (Wireless Sensor Networks WSNs), τα οπούα αποτελούνται από κόμβουσ (nodes) μικρών διαςτϊςεων και χαμηλού κόςτουσ ελίδα 4

5 με ενςωματωμϋνουσ αιςθητόρεσ (sensors), για την καταγραφό και παρακολούθηςη μετρόςιμων παραμϋτρων όπωσ θερμοκραςύα, όχοσ, δόνηςη, πύεςη, κύνηςη και μόλυνςη. Σα WSNs μπορούν να περιλαμβϊνουν από μερικϋσ δεκϊδεσ ωσ και αρκετϋσ χιλιϊδεσ κόμβουσ αιςθητόρων (Sensor Nodes, SNs). (ςχόμα 1-1) Σα SNs εύναι ςυνόθωσ τυχαύα διαςπαρμϋνα ςτο πεδύο και ςχηματύζουν μεταξύ τουσ ϋνα αυτόδιαμορφούμενο, αδόμητο (ad-hoc) δύκτυο (βλϋπε επόμενο ςχόμα) ςτο οπούο γύνονται αςύρματεσ ζεύξεισ μεταξύ γειτονικών SNs. Κύριο χαρακτηριςτικό αυτών των δικτύων εύναι ότι τα SNs που βρύςκονται εκτόσ εμβϋλειασ μεταξύ τουσ, μπορούν να επικοινωνόςουν αςύρματα χρηςιμοποιώντασ ενδιϊμεςα SNs για την προώθηςη των μηνυμϊτων (αςύρματη επικοινωνύα πολλαπλών βημϊτων, multi-hop wireless communication). χήμα 1-1: Ένα αςύρματο δύκτυο αιςθητόρων. ελίδα 5

6 1.1.1 Σα επιμέρουσ υποςυςτήματα ενόσ αιςθητήρα κόμβου Κϊθε SN αποτελεύται από τα παρακϊτω: υποςύςτημα επικοινωνύασ (radio unit ό transceiver), υποςύςτημα επεξεργαςύασ (processing unit) το οπούο ενςωματώνει μικροεπεξεργαςτό (processor) και μνόμη (storage) επεξεργαςύασ και αποθόκευςησ δεδομϋνων, υποςύςτημα αιςθητόρων για ςυλλογό δεδομϋνων (sensing unit) και υποςύςτημα τροφοδοςύασ (power unit) το οπούο ςυνόθωσ αποτελεύται από μια μικρό μπαταρύα, η οπούα παρϋχει μια περιοριςμϋνη ενεργειακό αυτονομύα. Σο υποςύςτημα αιςθητόρων ςε ϋνα SN εκτόσ από τουσ αιςθητόρεσ περιλαμβϊνει και ϋνα κύκλωμα το οπούο μετατρϋπει τα δεδομϋνα που ςυλλϋγονται από τουσ αιςθητόρεσ από την αναλογικό τουσ μορφό ςε ψηφιακό (Analog to Digital, ADC), ϋτςι ώςτε να εύναι δυνατό η επεξεργαςύα τουσ από τον επεξεργαςτό του SN πριν την αποςτολό τουσ προσ μύα κεντρικό βϊςη δεδομϋνων μϋςω του αςύρματου δικτύου. Επιπρόςθετα ϋνα SN μπορεύ να εύναι εξοπλιςμϋνο με τα παρακϊτω: υποςύςτημα εύρεςησ γεωγραφικού ςτύγματοσ (location finding system) το οπούο βοηθϊει ςτην εύρεςη τησ ακριβούσ θϋςησ του SN μϋςα ςτην περιοχό ανϊπτυξησ του δικτύου, υποςύςτημα κύνηςησ (mobilizer) ώςτε να μπορεύ να μετακινεύται και υποςύςτημα αναπλόρωςησ ενϋργειασ (power generator) για την επαναφόρτιςη τησ μπαταρύασ του Ο βαςικόσ ςτόχοσ των WSNs Βαςικόσ ςτόχοσ ενόσ WSN [6] εύναι η ςυλλογό και μεταφορϊ δεδομϋνων από τα SNs ςε μια κεντρικό βϊςη ςυγκϋντρωςόσ (Sink ό Processing Element, PE) και (προαιρετικϊ) επεξεργαςύασ τουσ. Σα δεδομϋνα που ςυλλϋγονται από τα SNs μπορούν να προ-επεξεργαςτούν από τα ύδια ϋςτω και με τισ μειωμϋνεσ υπολογιςτικϋσ δυνατότητεσ που αυτϊ διαθϋτουν (λόγω χαμηλόσ υπολογιςτικόσ ιςχύοσ επεξεργαςτό και περιοριςμϋνησ μνόμησ καισ ενϋργειασ) πριν ςταλθούν προσ τo PE, ϋτςι ώςτε να μειωθεύ η ποςότητα τησ διακινούμενησ πληροφορύασ και να μην επιβαρύνεται το WSN με περιττό δικτυακό φορτύο. Ένα ςημαντικό πλεονϋκτημα των WSNs αποτελεύ το ότι ακόμη και ςτην περύπτωςη που καταςτραφούν κϊποια SNs ό καταναλωθεύ η διαθϋςιμη ενϋργεια τουσ, τα υπόλοιπα με τη χρόςη κατϊλληλων αλγορύθμων δρομολόγηςησ ϋχουν τη δυνατότητα να προδιαγρϊψουν εναλλακτικϋσ διαδρομϋσ και να ςτεύλουν τα ελίδα 6

7 ςυλλεγμϋνα δεδομϋνα προσ τo PE. Σϋλοσ τo PE μπορεύ να ελϋγχεται απ ευθεύασ από το χρόςτη εύτε από ϋνα τοπικό τερματικό, εύτε από ϋνα απομακρυςμϋνο τερματικό χρηςιμοποιώντασ ςτη δεύτερη περύπτωςη το διαδύκτυο, κϊποια δορυφορικό ςύνδεςη ό κϊποια ϊλλη τεχνολογύα απομακρυςμϋνησ επικοινωνύασ. 1.2 υςκευέσ και πλατφόρμεσ για WSN (Hardware) Σα WSN χρηςιμοποιούν διϊφορεσ τεχνολογύεσ όςον αφορϊ τουσ κόμβουσ αιςθητόρων που τα αποτελούν. Κϊθε μια παρϋχει λιγότερεσ ό περιςςότερεσ δυνατότητεσ ςυλλογόσ δεδομϋνων, χαμηλότερησ ό υψηλότερησ ποιότητασ πληροφορύα, ϋχει μεγϊλεσ ό μικρϋσ διαςτϊςεισ και ϋχει ανϊλογα μειωμϋνο ό αυξημϋνο κόςτοσ. Διϊφορεσ τεχνολογύεσ (από τϋςςερισ εταιρύεσ) που εύναι περιςςότερο διαδεδομϋνεσ ςτο εμπόριο εύναι οι εξόσ: Motes τησ εταιρύασ Crossbow: Αποτελούν τα πρώτα motes που καταςκευϊςτηκαν και διατϋθηκαν ςτο εμπόριο τα οπούα βαςύςτηκαν ςε ϋνα αρχικό μοντϋλο που καταςκευϊςθηκε ςτο πανεπιςτόμιο του Berkeley και ύςτερα εξελύχθηκε από την εταιρύα Crossbow. Όντασ η περιςςότερο διαδεδομϋνη τεχνολογύα ςτην ανϊπτυξη ερευνητικών προγραμμϊτων πϊνω ςτο ςυγκεκριμϋνο πεδύο των WSN, ςόμερα ϋχουν διατεθεύ ςτο εμπόριο τρεισ γενιϋσ των motes αυτών, όπου καθεμιϊ αποτελεύ εξϋλιξη τησ ϊλλησ. το εμπόριο παρϋχονται ξεχωριςτϊ οι πλατφόρμεσ των motes (MoteProcessorRadio MPR) που χρηςιμοποιούνται ςτα WSN ωσ κόμβοι αιςθητόρων και φϋρουν ϋνα μικροεπεξεργαςτό, μνόμη και κυκλώματα επικοινωνύασ, από τισ πλατφόρμεσ προγραμματιςμού (MoteInterfaceBoard MIB) που χρηςιμοποιούνται για τον προγραμματιςμό των motes και την επικοινωνύα αυτών με τον H/Y, καθώσ και από τισ πλατφόρμεσ που φϋρουν τουσ αιςθητόρεσ που μπορούν να χρηςιμοποιόςουν τα motes (MoteSensors MTS). Ωσ τύποσ αςύρματησ επικοινωνύασ των motes χρηςιμοποιεύται η ραδιοεπικοινωνύα. Οι πλατφόρμεσ που κυκλοφορούν ςτο εμπόριο εύναι οι εξόσ: ελίδα 7

8 Για motes (Σχόμα 1-2): MICA MPR300/MPR310 MICA2 MPR400/MPR410/MPR420 MICAz MPR2400 MICA2DOT MPR500/510/520 Σα διϊφορα μϋλη που υπϊρχουν ςε κϊθε γενιϊ, όπωσ MPR300/MPR310 για την πρώτη γενιϊ των MICA, διαφϋρουν μόνο ςτη ςυχνότητα επικοινωνύασ. Η γενιϊ δε των MICAz αποτελεύ την τελευταύα εξϋλιξη των motes τησ Crossbow, ενώ το MICA2DOT αποτελεύ το μικρότερο ςε διαςτϊςεισ mote δεύτερησ γενιϊσ. χήμα 1-2: Σα motes τησ εταιρύασ Crossbow: α) MICAz, β) MICA2, γ) MICA2DOT. ελίδα 8

9 Γενικϊ, τα motes τησ Crossbow εύναι αρκετϊ αξιόπιςτα ωσ προσ την επικοινωνύα, παρϋχουν ικανοποιητικό, αλλϊ παρ όλα αυτϊ περιοριςμϋνη, επεξεργαςτικό ιςχύ και υποςτηρύζουν το λειτουργικό ςύςτημα TinyOS και την γλώςςα προγραμματιςμού NesC. τον παρακϊτω πύνακα φαύνονται τα χαρακτηριςτικϊ των motes τησ Crossbow. Πίνακασ 1-2. Πύνακασ χαρακτηριςτικών των motes τησ εταιρύασ Crossbow Motes τησ εταιρύασ mote-iv: Σα motes τησ εταιρύασ mote-iv, τα οπούα ονομϊζονται TELOS, ϋχουν τισ ύδιεσ διαςτϊςεισ με τα MICA τησ εταιρύασ Crossbow και επικοινωνούν και αυτϊ μεταξύ τουσ με ραδιοεπικοινωνύα. Ωςτόςο, υπϊρχουν ςημαντικϋσ καταςκευαςτικϋσ διαφορϋσ. υγκεκριμϋνα, οι αιςθητόρεσ εύναι ενςωματωμϋνοι πϊνω ςτην πλατφόρμα των motestelos και δε ςυνδϋονται με πλατφόρμα επιπλϋον αιςθητόρων, ενώ μπορούν να ςυνδεθούν και να προγραμματιςθούν από η/υ μϋςω μιασ θύρασ USB που φϋρουν, κϊνοντϊσ τα ϋτςι πιο εύκολα ςτη χρόςη από τα MICA. Επιπλϋον, διαφορετικόσ εύναι και ο τύποσ τησ κεραύασ που διαθϋτουν, η οπούα εύναι ενςωματωμϋνη ςτην πλατφόρμα των motes αυτών. το εμπόριο ϋχουν ελίδα 9

10 διατεθεύ τρεισ τύποι motestelos (Σχόμα 1-3) που ο καθϋνασ αποτελεύ εξϋλιξη του προηγούμενου: Telos RevA Telos RevB T-mote Sky χήμα 1-3: Σα motes τησεταιρύασ mote-iv: α) TELOS RevB, β) T-mote Sky. Motes τησ εταιρύασ Intel: Αποτελούν μια πρόςφατη προώθηςη ςτο εμπόριο τεχνολογύα από την εταιρύα Intel. Σο mote (Σχόμα 1-4), το οπούο ονομϊζεται imote, παρουςιϊζει ςαφό πλεονεκτόματα ςε ςχϋςη με τα MICA και τα TELOS. Οι διαςτϊςεισ του εύναι πολύ μικρότερεσ, ενώ η επεξεργαςτικό του ιςχύ και οι δυνατότητεσ επικοινωνύασ εύναι περιςςότερο ανεπτυγμϋνεσ, γι αυτό και χρηςιμοποιεύται από εφαρμογϋσ WSN με αυξημϋνεσ απαιτόςεισ. χήμα 1-4: Σο moteimote τησ εταιρύασ Intel. ελίδα 10

11 Motes τησ εταιρύασ DustNetworks: Σα motes (Σχόμα 1-5) τησ ςυγκεκριμϋνησ εταιρύασ εύναι αρκετϊ μικρϊ ςε μϋγεθοσ, δε διαθϋτουν ενςωματωμϋνουσ αιςθητόρεσ, αλλϊ ϋχουν δυνατότητεσ διαςύνδεςησ. Δύο motes διατύθενται ςτο εμπόριο: Μ1020 Μ2020 χήμα 1-5: Σο mote τησ εταιρύασ DustNetworks. ελίδα 11

12 1.3 Λογιςμικό για WSN (Software) Εξαιτύασ των ςημαντικϊ περιοριςμϋνων πόρων, το λογιςμικό περιβϊλλον ενόσ WSN εύναι πολύ διαφορετικό από εκεύνο που αφορϊ τα κατανεμημϋνα και παρϊλληλα υπολογιςτικϊ ςυςτόματα. Ζητόματα, όπωσ αποδοτικότητα ωσ προσ την κατανϊλωςη ενϋργειασ, επεκταςιμότητα και αξιοπιςτύα αποτελούν θεμελιώδεισ παρϊγοντεσ που χαρακτηρύζουν το λογιςμικό που χρηςιμοποιεύται ςτα WSN. Παρακϊτω αναφϋρεται το λειτουργικό ςύςτημα το οπούο χρηςιμοποιεύται ςε αυτό τη διπλωματικό εργαςύα και εύναι περιςςότερο διαδεδομϋνογια τα WSNs Λειτουργικό ύςτημα Contiki Σο Contiki [23] εύναι ϋνα ανοιχτού κώδικα, μεγϊλησ ευελιξύασ, πολλαπλών διεργαςιών λειτουργικό ςύςτημα για περιοριςμϋνα ςε μνόμη ςυςτόματα. Τποςτηρύζεται από το T-moteSky, όπου παρϋχονται οριςμϋνοι χαμηλού ςε κατανϊλωςη ενϋργειασ τρόποι λειτουργύασ, καθώσ και από πολλϋσ ϊλλεσ τεχνολογύεσ, εκτόσ από τα MICA, και από τα TELOS, ημαντικό δε χαρακτηριςτικό του αποτελεύ το γεγονόσ ότι περιλαμβϊνει το IPTCP/IP πρωτόκολλο δικτύωςησ. Παρ όλο δε που το TCP/IP δεν εύναι ιδιαύτερα αποδοτικό ωσ προσ την κατανϊλωςη ενϋργειασ ςτα WSN, με το πρωτόκολλο αυτό επιτυγχϊνεται διαςυνδεςιμότητα με ϊλλα ςυςτόματα και υποδομϋσ που υποςτηρύζουν IP δικτύωςη. Επιπλϋον, το Contiki παρϋχει εκτόσ από τα ςυμβϊντα (events) και τισ διεργαςύεσ (tasks εδώ νόματα - threads), τα οπούα παρϋχονται από τα TinyOS 1.x και TinyOS 2.0, και τα protothreads,απλοποιώντασ την ςημαντικϊ. Ωςτόςο, ειςϊγεται και η ϋννοια τησ πολύ-νηματικόσ λειτουργύασ και υλοποιούνται εφαρμογϋσ που βαςύζονται ςε μια τϋτοια λειτουργύα, όπου κϊθε νόμα ϋχει τη δικό του ξεχωριςτό ςτούβα. ελίδα 12

13 Σϋλοσ, ςτο Contiki υπϊρχει παρόμοια με το TinyOS αρχιτεκτονικό όςον αφορϊ τη διαχεύριςη του υλικού, παρουςιϊζοντασ οριςμϋνεσ διαφορϋσ κατϊ τον τρόπο προςπϋλαςόσ του, όπωσ υπαγορεύουν τα παραπϊνω χαρακτηριςτικϊ του λειτουργικού αυτού. ημείωςη:άλλα διαδεδομϋνα λειτουργικϊ ςυςτόματα που χρηςιμοποιούν τα WSNs εύναι το TinyOS 1.x και το TinyOS 2.0. ελίδα 13

14 Κεφάλαιο 2. Διαδικτυακά Πρωτόκολλα Αςφαλείασ (IPSecurity (IPSec) Protocols) Μύα από τισ αδυναμύεσ του αρχικού IP (Internet Protocol) [17] εύναι ότι ςτερεύται κϊθε εύδουσ μηχανιςμό γενικόσ χρόςησ για την διαςφϊλιςη τησ αυθεντικότητασ και το απόρρητο των δεδομϋνων, καθώσ περνϊ πϊνω από κϊθε ςημεύο του δικτύου. Δεδομϋνου ότι τα αυτοδύναμα πακϋτα IP κατευθύνονται ςυνόθωσ μεταξύ δύο ςυςκευών μϋςω ϊγνωςτων δικτύων, οποιαδόποτε πληροφορύα τουσ μπορεύ να υποκλαπεύ και ενδεχομϋνωσ ακόμη και να αλλαχθεύ. Με την αυξανόμενη χρόςη του Διαδικτύου ςε κρύςιμεσ εφαρμογϋσ, οι βελτιώςεισ αςφαλεύασ όταν απαραύτητεσ για τα Πρωτόκολλα του Διαδικτύου. Για το ςκοπό αυτό, αναπτύχθηκε ϋνα ςύνολο πρωτοκόλλων αςφαλεύασ που ονομϊζεται IP Security ό IPSec [9]. ε αυτό το κεφϊλαιο, θα γύνει μια ςύντομη περιγραφό των εννοιών του IPSec πρωτοκόλλου. Ξεκινϊμε με μια γενικό επιςκόπηςη του IPSec, περιλαμβανομϋνησ μιασ ανϊλυςησ για την ιςτορύα τησ τεχνολογύασ και των οριςμό των προτύπων. το πλαύςιο αυτό περιγρϊφεται η ςυνολικό αρχιτεκτονικό του IPSec, οι τρόποι λειτουργύασ του (λειτουργύα μεταφορϊσ και λειτουργύα ςόραγγασ), τα δύο βαςικϊ πρωτόκολλα του και οι διαφορϋσ αυτών. Σα τρύα βαςικϊ πρωτόκολλα του IPSec εύναι: IPSec κεφαλύδασ ελϋγχου ταυτότητασ-κεφαλύδα πιςτοπούηςησ (AH), το IPSec Αςφϊλεια Εγκλειςμού ωφϋλιμου φορτύου (ESP), και το IPSec κλειδύ ανταλλαγόσ δεδομϋνων ςτο Διαδύκτυο (IKE). ΗΜΕΙΩΗ: Το IPSec αναπτύχθηκε αρχικϊ ώςτε να παρϋχει αςφϊλεια ςε IPv6 δύκτυα, αλλϊ παρϋχει αςφϊλεια τόςο για τα IPv4 όςο και ςτα IPv6 δύκτυα, καθώσ η λειτουργύα και ςτισ δύο εκδόςεισ εύναι παρόμοια. Υπϊρχουν οριςμϋνεσ διαφορϋσ ςτισ μορφϋσ που χρηςιμοποιούνται για τα αυτοδύναμα πακϋτα ςτα πρωτόκολλα AH και ESP του Διαδικτύου. Οι διαφορϋσ αυτϋσ εξαρτώνται από το αν χρηςιμοποιεύσ Πρωτόκολλϊ αςφαλεύασ ςτο IPv4 ό ςτο IPv6, καθώσ οι δύο εκδόςεισ ϋχουν διαφορετικϋσ μορφϋσ αυτοδύναμων πακϋτων και διευθυνςιοδότηςησ. Τονύζω αυτϋσ τισ διαφορϋσ ανϊλογα με την περύπτωςη. ελίδα 14

15 2.1 Επιςκόπηςη του IPSec, η Ιςτορία του, και τα Πρότυπα Σο μεγϊλο πρόβλημα με την αρχικό ϋκδοςη IP (IPv4), εύναι η εκκρεμούςα εξϊντληςη του χώρου διευθύνςεων του. Η κατϊςταςη αυτό προϋκυψε λόγω τησ ταχεύασ ανϊπτυξησ του Internet που ξεπερνϊ τισ προςδοκύεσ του IPv4. Αυτό η ύδια δυςαρμονύα ςχετικϊ με το πωσ όταν το Διαδύκτυο όταν δημιουργόθηκε το IPv4 και πώσ εύναι τώρα ϋχει οδηγόςει ςε ϋνα ϊλλο μεγϊλο πρόβλημαςχετικϊ με το IP: η ϋλλειψη ενόσ οριςτικού μϋςου για τη διαςφϊλιςη τησ αςφϊλειασ για τα IP διαδύκτυα. Σο πρόβλημα αςφαλεύασ προϋκυψε επειδό πριν από 25 χρόνια, το Internet όταν μικρό και ςχετικϊ ιδιωτικό. τη διϊρκεια των χρόνων ϋχει αυξηθεύ γεωμετρικϊ και ϋχει γύνει πραγματικϊ δημόςιο. Παρϊλληλα ϋχει αυξηθεύ και η ανϊγκη για αςφϊλεια. κεφτεύτε ότι τα πρωτόκολλα TCP/IP αναπτύχθηκαν ωσπολύμικρϊ δύκτυαπου χρηςιμοποιούνταναπό τουσ ερευνητϋστησ κυβϋρνηςηστων Ηνωμϋνων Πολιτειών, και ςυγκεκριμϋνα από την Τπηρεςύα Έργων Προηγμϋνησ Έρευνασ (Defense Advanced Research Projects Agency (DARPA ό ARPA). Οι ϊνθρωποι που όταν γνώςτεσ και γενικϊ εύχαν διαβϊθμιςη αςφαλεύασ ϋλεγξαν όλο αυτό το υλικό. ε ϋνα τϋτοιο δύκτυο, δεν χρειϊζεται η αςφϊλειανα χτιςτεύ με τα πρωτόκολλα-χτύζετε μϋςα ςτο κτύριο! Εύναι πιο εύκολο να χρηςιμοποιούν κλειδαριϋσ και φρουρούσ για τη διαςφϊλιςη τησ αςφϊλειασ, απ ότι φανταςτικόσ κρυπτογρϊφηςησ. Ο ευκολότεροσ τρόποσ για να κρατόςει κϊποιον από το να καταςκοπεύςει ό να παραποιόςει τα δεδομϋνα ςτο δύκτυο εύναι απλϊ να τουσ αρνηθεύσ την πρόςβαςη ςτουσ κεντρικούσ υπολογιςτϋσ που ςυνδϋονται με το δύκτυο. Αυτό λειτουργούςε κανονικϊ ςτην αρχό, όταν υπόρχαν μόνο μερικϋσ δεκϊδεσ μηχανόματα για το Διαδύκτυο. Και ακόμα και όταν το Διαδύκτυο ϊρχιςε να αυξϊνεται, χρηςιμοποιόθηκε κυρύωσ για να ςυνδϋει ερευνητϋσ και ϊλλουσ επαγγελματύεσ του δικτύου. Νϋεσ τοποθεςύεσ προςτϋθηκαν ςτο δύκτυο αργϊ ςτην αρχό, και τουλϊχιςτον κϊποιοσ γνώριζε την ταυτότητα κϊθε νϋασ τοποθεςύασ που προςτύθεται ςτο αυξανόμενο Διαδύκτυο. Ωςτόςο, το διαδύκτυο εξακολούθηςε να αυξϊνεται ςε μϋγεθοσ και, τελικϊ, ϊνοιξε για το κοινό, και η διατόρηςη τησ αςφϊλειασ του δικτύου ςτο ςύνολό του ϋγινε αδύνατη. όμερα, οι «μεγϊλεσ ϊπλυτεσ μϊζεσ» εύναι ςτο Διαδύκτυο. Πολλού δρομολογητϋσ - "ποιοσ ξϋρει" που ανόκουν και "ποιοσ ξϋρει" από ποιουσ διοικούνται- ςτϋκονται ελίδα 15

16 ανϊμεςα ςε εςϊσ και ςτισ περιςςότερεσ ϊλλεσ ςυςκευϋσ που θϋλετε να ςυνδϋςετε. Μην θεωρεύτε δεδομϋνο ότι τα δεδομϋνα που ςτϋλνετε ό λαμβϊνετε εύναι αςφαλό. Οριςμϋνεσ μϋθοδοι ϋχουν εξελιχθεύ με την πϊροδο των ετών για τηνπροςταςύα των δεδομϋνων και κατ επϋκταςη των χρηςτών του διαδικτύου.οι περιςςότερεσ από αυτϋσ επικεντρώνονται ςτα ανώτερα ςτρώματα τησ ςτούβασ πρωτοκόλλων OSI, προκειμϋνου να αντιςταθμύςουν την ϋλλειψη αςφϊλειασ των IP διευθύνςεων. Οι λύςεισ αυτϋσ εύναι πολύτιμεσ για οριςμϋνεσ καταςτϊςεισ, αλλϊ δεν μπορούν να γενικευτούν εύκολα επειδό πρόκειται κυρύωσ για διϊφορεσ εφαρμογϋσ. Για παρϊδειγμα, μπορούμε να χρηςιμοποιούμε το πρωτόκολλο Secure Sockets Layer (SSL) για οριςμϋνεσ εφαρμογϋσ όπωσ ςτο World Wide Web Access ό το πρωτόκολλο μεταφορϊσ αρχεύων (FTP). Αυτό που πραγματικϊ χρειαζόταν όταν μύα λύςη για να επιτρϋψει την αςφϊλεια ςε επύπεδο IP, ϋτςι ώςτε όλα τα υψηλότερου επιπϋδου πρωτόκολλα TCP / IP θα μπορούςαν να επωφεληθούν από αυτό. Όταν αποφαςύςτηκε η ανϊπτυξη μιασ νϋασ ϋκδοςησ του IP (IPv6), αυτό αποτϋλεςε τη χρυςό ευκαιρύα για την επιλύςει όχι μόνο των προβλημϊτων τησ IPv4 ϋκδοςησ, αλλϊ και τησ ϋλλειψησ αςφϊλειασ. Μύα νϋα τεχνολογύα αςφϊλειασ αναπτύχθηκε με ςκοπό να εφαρμοςτεύ για την IPv6 ϋκδοςη, αλλϊ δεδομϋνου ότι η ανϊγκη για αςφϊλεια εύναι τωρινό, η νϋα τεχνολογύαςχεδιϊςτηκε για να εύναι δυνατό η χρόςη τησ τόςο ςτα IPv4 δύκτυα όςο και ςτα IPv6. Η τεχνολογύα που φϋρνει αςφαλεύσ επικοινωνύεσ ςτο IP ονομϊζεται IP Security (Αςφϊλεια), ευρύτερα γνωςτό ωσ IPSec. ελίδα 16

17 2.1.1 Επιςκόπηςη των Τπηρεςιών και των Λειτουργιών του IPSec Σο IPSec δεν εύναι ϋνα μεμονωμϋνο πρωτόκολλο, αλλϊ μϊλλον ϋνα ςύνολο υπηρεςιών και πρωτοκόλλων που παρϋχουν μια ολοκληρωμϋνη λύςη αςφϊλειασ για ϋνα δύκτυο IP. Αυτϋσ οι υπηρεςύεσ και τα πρωτόκολλα ςυνδυϊζονται για να προςφϋρουν διϊφορα εύδη προςταςύασ. Δεδομϋνου ότι το IPSec λειτουργεύ ςτο επύπεδο IP, μπορεύ να παρϋχει προςταςύα για οποιαδόποτε εφαρμογό υψηλότερου επιπϋδου ςτην TCP/IP ςτούβα ό πρωτόκολλου χωρύσ την ανϊγκη για πρόςθετεσ μεθόδουσ αςφϊλειασ. Οριςμϋνα από τα εύδη των υπηρεςιών προςταςύασ που προςφϋρει από το IPSec εύναιτα ακόλουθα: Κρυπτογρϊφηςη των δεδομϋνων των χρηςτών για προςταςύα του ιδιωτικού απορρότου. Πιςτοπούηςη τησ ακεραιότητασ του μηνύματοσ για να εξαςφαλύςει ότι δεν ϋχει παραποιηθεύ. Προςταςύα από οριςμϋνεσ μορφϋσ επιθϋςεων αςφϊλειασ, όπωσ οι επιθϋςεισ επανϊληψησ. Η δυνατότητα για τισ ςυςκευϋσ να διαπραγματεύονται τουσ αλγόριθμουσ αςφαλεύασ και τα κλειδιϊ που απαιτούνται για να ικανοποιόςει τισ ανϊγκεσ αςφϊλειασ τουσ. Δύο λειτουργύεσ αςφϊλειασ, τησ ςόραγγασ και των μεταφορών, για να ικανοποιόςει διαφορετικϋσ ανϊγκεσ του δικτύου. Βασική έννοια IPSec εύναι μια ςυρρύκνωςη τησ IP Security, και αποτελεύται από ϋνα ςύνολο υπηρεςιών και πρωτοκόλλων που παρϋχουν αςφϊλεια ςτα IP δύκτυα. Η ϋννοια αυτό καθορύζεται από μια ακολουθύα πολλών Διαδικτυακών προτύπων. ελίδα 17

18 2.1.2 Σα Πρότυπα του IPSec Αφού το IPSec εύναι ςτην πραγματικότητα μια ςυλλογό από τεχνικϋσ και πρωτόκολλα, δεν ορύζεται ςε ϋνα ενιαύο πρότυπο του Internet. Αντύ για αυτό, μια ςυλλογό από RFCs, προςδιορύζει την αρχιτεκτονικό, τισ υπηρεςύεσ, και τα ειδικϊ πρωτόκολλα που χρηςιμοποιούνται ςτο IPSec. Οριςμϋνα από τα ςημαντικότερα παρουςιϊζονται ςτον Πύνακα 2-1,οι οπούεσ δημοςιεύθηκαν τον Νοϋμβριο του 1996 και ΠΙΝΑΚΑ 2-1: ΗΜΑΝΣΙΚΑ ΠΡΟΣΤΠΑ ΑΥΑΛΕΙΑ IPSEC RFC ΑΡΙΘΜΟ ΌΝΟΜΑ ΠΕΡΙΓΡΑΦΗ Η χρόςη του HMAC-SHA ςτο ESP και AH IP Security εγκλειςμού Ω ωφϋλιμο φορτύο(esp) Αςφϊλεια ςτο Διαδύκτυο Βαςικϊ Ένωςη και πρωτόκολλο Διαχεύριςησ (ISAKMP) Το κλειδύτου Διαδικτύου Exchange (IKE) OAKLEY: Προςδιοριςμόσ του πρωτοκόλλου Περιγρϊφει ϋνα ςυγκεκριμϋνο αλγόριθμο Κρυπτογρϊφηςησ για χρόςη από AH και ESP Που ονομϊζεται Secure Hash Algorithm1 (SHA-1), HMAC παραλλαγό. Περιγρϊφει το IPSec ESP πρωτόκολλο, το οπούο παρϋχει κρυπτογρϊφηςη δεδομϋνων για εμπιςτευτικότητα. Καθορύζει τισ μεθόδουσ για την ανταλλαγό Κλειδιών και τη διαπραγματευτικό τουσ Συλλόγουσ τησ αςφϊλειασ. Περιγρϊφει το IKE πρωτόκολλο που χρηςιμοποιεύται για να διαπραγματευτεύ την αςφϊλεια ςτην οικογϋνεια του πρωτοκόλλου IPSec., με βϊςη το ISAKMP και το OAKLEY. Περιγρϊφει ϋνα γενικό πρωτόκολλο για την ανταλλαγό κλειδιών. Η ανϊπτυξη του IPSec ϋχει αρχύςει πραγματικϊ να απογειώνεται τα τελευταύα χρόνια. Υαύνεται ότι το μϋλλον εύναι λαμπρό για το IPSec, καθώσ όλο και περιςςότεροι ιδιώτεσ και εταιρεύεσ αποφαςύζουν ότι χρειϊζονται να ελίδα 18

19 εκμεταλλευτούν τη δύναμη του Διαδικτύου, προςτατεύοντασ ταυτόχρονα την αςφϊλεια των δεδομϋνων που μεταφϋρουν πϊνω από αυτό. 2.2 Γενική λειτουργία του IPSec και Πρωτόκολλα Λοιπόν, τι ακριβώσ κϊνει το IPSec, και πωσ να το χρηςιμοποιούμε; ε γενικϋσ γραμμϋσ, όπωσ προαναφϋρθηκε, παρϋχει υπηρεςύεσ αςφαλεύασ ςτο επύπεδο IP καθώσ και ςε ανώτερα επύπεδα τησ TCP / IP ςτούβασ και, κατ επϋκταςη, εφαρμογϋσ που θα χρηςιμοποιόςετε. Αυτό ςημαύνει ότι το IPSec παρϋχει τα εργαλεύα που χρειϊζονται οι ςυςκευϋσ ςε ϋνα δύκτυο TCP / IP για να επικοινωνούν με αςφϊλεια. Όταν δύο ςυςκευϋσ (εύτε κεντρικόσ υπολογιςτόσ τελικού χρόςτη ό ενδιϊμεςεσ ςυςκευϋσ όπωσ δρομολογητϋσ ό τεύχη προςταςύασ (firewalls)) θϋλουν να ςυμμετϊςχουν ςε αςφαλεύσ επικοινωνύεσ, δημιουργούν ϋνα αςφαλϋσ μονοπϊτι διαδρομό μεταξύ τουσ ακόμη και αν αυτό διαςχύζει πολλϊ αναςφαλό ενδιϊμεςα ςυςτόματα. Για να επιτευχθεύ αυτό, θα πρϋπει οι δύο οντότητεσ να εκτελϋςουν (τουλϊχιςτον) τα εξόσ: Να ςυμφωνόςουν ςε μια ςειρϊ από πρωτόκολλα αςφαλεύασ που θα χρηςιμοποιούνται ϋτςι ώςτε ο καθϋνασ να ςτϋλνει τα δεδομϋνα ςε μια μορφό που οι ϊλλοι θα μπορούν να καταλϊβουν. Να αποφαςύςουν ςχετικϊ με ϋνα ςυγκεκριμϋνο αλγόριθμο κρυπτογρϊφηςησ ειδικϊ ςτην κωδικοπούηςη των δεδομϋνων. Να ανταλλϊξουν τα κλειδιϊ που χρηςιμοποιούνται για την κρυπτογρϊφηςη/αποκρυπτογρϊφηςη των δεδομϋνων. Μόλισ ολοκληρωθεύ αυτό η προεργαςύα, κϊθε ςυςκευό πρϋπει να χρηςιμοποιεύ τα πρωτόκολλα, τισ μεθόδουσ, και τα κλειδιϊ που ϋχουν προηγουμϋνωσ ςυμφωνηθεύ για την κωδικοπούηςη των δεδομϋνων και να το ςτεύλει ςε ολόκληρο το δύκτυο. ελίδα 19

20 2.2.1 AH και ESP Για να υποςτηρύξει αυτϋσ τισ δραςτηριότητεσ, ϋνασ αριθμόσ διαφορετικών ςυνιςτωςών απαρτύζουν το ςυνολικό πακϋτο γνωςτό ωσ IPSec, όπωσ φαύνεται ςτο χόμα 2-1. Σα δύο βαςικϊ κομμϊτια εύναι ϋνα ζεύγοσ τεχνολογιών που ονομϊζεται «πρωτόκολλα πυρόνα» του IPSec, που ςτην πραγματικότητα κϊνουν την κωδικοπούηςη των πληροφοριών για την προςταςύα των δεδομϋνων: IPSec Σαυτότητα Κεφαλίδασ (AH) [18]: Αυτό το πρωτόκολλο παρϋχει υπηρεςύεσ ελϋγχου ταυτότητασ για το IPSec. Επιτρϋπει ςτον αποδϋκτη του μηνύματοσ να βεβαιωθεύ ότι ο υποτιθϋμενοσ ςυντϊκτησ ενόσ μηνύματοσ εύναι ςτην πραγματικότητα αυτόσ που ϋςτειλε το μόνυμα. Επομϋνωσ, επιτρϋπει ςτον αποδϋκτη να βεβαιωθεύ ότι οι ενδιϊμεςεσ ςυςκευϋσ, δεν ϋχουν αλλϊξει κϊποια από τα δεδομϋνα των πακϋτων. Επύςησ, παρϋχει προςταςύα κατϊ των λεγόμενων επιθϋςεων επανϊληψησ, ςύμφωνα με τισ οπούεσϋνα μόνυμα αντιγρϊφεται από μη εξουςιοδοτημϋνοχρόςτηκαιαποςτϋλλεται ξανϊ. Ο εγκλειςμόσ ωφέλιμου φορτίου αςφαλείασ (ESP) [19]: εξαςφαλύζει την ακεραιότητα των δεδομϋνων αυτοδύναμου πακϋτου, αλλϊ παρϋχει και εμπιςτευτικότητα. Όταν τα ςτοιχεύα ςε ϋνα αυτοδύναμο πακϋτο εύναι "για τα μϊτια ςασ μόνο", μπορούν να προςτατεύονται χρηςιμοποιώντασ το πρωτόκολλο εγκλειςμού ωφϋλιμου φορτύου αςφϊλειασ (ESP), το οπούο κρυπτογραφεύ το ωφϋλιμο φορτύο του αυτοδύναμου πακϋτου IP. ελίδα 20

21 χήμα 2-1: Επιςκόπηςη των πρωτοκόλλων IPSec και των ςυςτατικών του. Το IPSec αποτελεύται από δύο πρωτόκολλα πυρόνα, AH και ESP, και τρεισ ςυνιςτώςεσ υποςτόριξησ (A Comprehensive, Illustrated Internet Protocols Reference by Charles M. Kozierok, 2005) ΜηχανιςμοίΤποςτήριξησ του IPSec Σα AH και ESP ςυνόθωσ ονομϊζονται πρωτόκολλα, αν και αυτό εύναι μια ϊλλη περύπτωςη όπου η χρόςη του όρου αυτού εύναι αμφιςβητόςιμη. Αυτϊ δεν εύναι πραγματικϊ πρωτόκολλα, αλλϊ υλοποιούνται ωσ κεφαλύδεσ που ϋχουν ειςαχθεύ ςε διαγρϊμματα IP, όπωσ θα δεύτε. Με τον τρόπο αυτό κϊνουμε το «μεγϊλο ϋργο» του IPSec, και μπορούν να χρηςιμοποιηθούν μαζύ για να παρϋχουν τόςο τον ϋλεγχο ταυτότητασ όςο και τησ ιδιωτικόσ ζωόσ. Ωςτόςο, δεν εύναι δυνατόν να λειτουργόςουν από μόνα τουσ. Για να λειτουργόςουν ςωςτϊ, χρειϊζονται την υποςτόριξη πολλών ϊλλων πρωτοκόλλων και υπηρεςιών (βλ. χόμα 2-1). Σα ςημαντικότερα από αυτϊ περιλαμβϊνουν τα ακόλουθα: Κρυπτογράφηςη/Κατακερματιςμόσ Αλγόριθμων [20]: Σα AH και ESP εύναι γενικϊ πρωτόκολλα και δεν καθορύζεται ο ακριβόσ μηχανιςμόσ που χρηςιμοποιεύται για την κρυπτογρϊφηςη. Αυτό τουσ δύνει τη δυνατότητα να εργϊζονται με μια ποικιλύα τϋτοιων αλγορύθμων και να τουσ χρηςιμοποιούν ανϊλογα με τισ ανϊγκεσ τουσ. Δύο ςυνηθιςμϋνοι αλγόριθμοι που χρηςιμοποιούνται με το IPSec εύναι ο Message Digest 5 (MD5) και ο Secure Hash Algorithm 1 (SHA-1). ελίδα 21

22 Πολιτικέσ Αςφαλείασ, υςχετίςεισ Αςφαλείασ, και μέθοδοι διαχείριςησ: Σο IPSec παρϋχει ευελιξύα δύνοντασ τη δυνατότητα ςε διαφορετικϋσ ςυςκευϋσ να αποφαςύςουν πώσ θϋλουν να εφαρμόςουν επι μϋρουσ πρωτόκολλα και το εύδοσ τησ προςταςύασ που θα παρϋχουν ςτα δεδομϋνα που διακινούν. Αυτό γύνεται ςτο IPSec που χρηςιμοποιεύ δομϋσ που ονομϊζονται πολιτικϋσ αςφαλεύασ και ςυςχετιςμού αςφαλεύασ και παρϋχουν τουσ τρόπουσ ανταλλαγόσ πληροφοριών αςφαλό ςύνδεςη. Κλειδί πλαιςίου ανταλλαγήσ και μηχανιςμόσ: δύο ςυςκευϋσ για να ανταλλϊξουν κρυπτογραφημϋνεσ πληροφορύεσ,χρειϊζονται να εύναι ςε θϋςη να μοιραςτούν τα κλειδιϊ για την απελευθϋρωςη-ξεκλεύδωμα τησ κρυπτογρϊφηςησ. Φρειϊζονται επύςησ ϋναν τρόπο για την ανταλλαγό των πληροφοριών τησ ςύνδεςησ αςφαλεύασ. το IPSec, ϋνα πρωτόκολλο που ονομϊζεται ανταλλαγό κλειδιών ςτο Internet (IKE) παρϋχει αυτϋσ τισ δυνατότητεσ. Βασική έννοια Το IPSec αποτελεύται από ϋναν αριθμό διαφορετικών ςυςτατικών μερών που ςυνεργϊζονται για να παρϋχουν υπηρεςύεσ αςφαλεύασ. Οι δύο κυριότεροι από αυτούσ εύναι πρωτόκολλα που ονομϊζονται, κεφαλύδασ ελϋγχου ταυτότητασ (AH) και εγκλειςμόσ του ωφϋλιμου φορτύου αςφϊλειασ (ESP), τα οπούα παρϋχουν αυθεντικότητα και το απόρρητο των δεδομϋνων ςε IP, με τη μορφό ειδικών κεφαλύδων που προςθϋτουν ςτα πακϋτα του διαδικτύου. 2.3 Αρχιτεκτονικέσ και μέθοδοι υλοποίηςησ του IPSec Ο κύριοσ λόγοσ που το IPSec εύναι τόςο ιςχυρό εύναι ότι παρϋχει αςφϊλεια ςε επύπεδο IP, το οπούο εύναι η βϊςη για όλα τα ϊλλα πρωτόκολλα TCP/IP. Όςον αφορϊ την προςταςύα ΙΡ, προςτατεύεταιςχεδόν οτιδόποτε ςτο TCP/IP. Ένα ςημαντικό ζότημα, λοιπόν, εύναι το πώσ ακριβώσ υλοποιεύται το IPSec μϋςα ςτο IP; Τπϊρχουν διϊφορεσ μϋθοδοι υλοπούηςησ για την ανϊπτυξη του IPSec. Αυτϋσ αντιπροςωπεύουν τουσ διϊφορουσ τρόπουσ όπου με το IPSec μπορεύ να τροποποιόςει το ςυνολικό ςτρώμα τησ αρχιτεκτονικό του TCP/IP. ελίδα 22

23 Σρεισ διαφορετικϋσ αρχιτεκτονικϋσ εφαρμογόσ ορύζονται για το IPSec ςτο RFC Η μύα που θα χρηςιμοποιόςετε εξαρτϊται από διϊφορουσ παρϊγοντεσ ςυμπεριλαμβανομϋνων και αυτών τησ ϋκδοςησ του IP (IPv4 ό IPv6), τισ απαιτόςεισ τησ εφαρμογόσ, καθώσ και ϊλλουσ παρϊγοντεσ. Αυτϊ, με τη ςειρϊ τουσ, ςτηρύζονται ςε μια πρωτογενό απόφαςη εφαρμογόσ: Πρϋπει να γύνει χρόςητου IPSec απόόλουσ τουσ υπολογιςτϋσ ςε ϋνα δύκτυο, ό απλϊ από οριςμϋνουσ δρομολογητϋσ ό ϊλλεσ ενδιϊμεςεσςυςκευϋσ; Αυτό εύναι μια ςχεδιαςτικό απόφαςη που πρϋπει να βαςύζεται ςτισ απαιτόςεισ του δικτύου. Εφαρμογή ςε τελικά ςημεία Φρόςη του IPSec από όλεσ τισ ςυςκευϋσ υποδοχόσ, το οπούο παρϋχει ευελιξύα και αςφϊλεια. Δύνει τη δυνατότητα αςφϊλειασ από το ϋνα ϊκρο ςτο ϊλλο (endto-end) μεταξύ κϊθε δύο ςυςκευών ςτο δύκτυο. Ωςτόςο, υπϊρχουν πολλού κεντρικού υπολογιςτϋσ ςε ϋνα τυπικό δύκτυο, το οπούο αυξϊνει το διαχειριςτικό κόςτοσ ςε ςχϋςη με τη χρόςη του IPSEC, από πύλεσ ό δρομολογητϋσ. Εφαρμογή ςε δρομολογητή (router) Αυτό η επιλογό ϋχει πολύ λιγότερο διαχειριςτικό κόςτοσεπειδό αυτό ςημαύνει ότι χρειϊζεται να γύνουν αλλαγϋσ ςε λύγουσ μόνο δρομολογητϋσ αντύ για δεκϊδεσ ό και εκατοντϊδεσ πελϊτεσ. Παρϋχει προςταςύα μόνο μεταξύ των ζευγαριών των δρομολογητών που εφαρμόζουν το IPSec, αλλϊ αυτό μπορεύ να εύναι επαρκϋσ για οριςμϋνεσ εφαρμογϋσ, όπωσ τα VPNs. Οι δρομολογητϋσ μπορούν να χρηςιμοποιηθούν για την παροχό προςταςύασ μόνο για το τμόμα τησ διαδρομόσ που λαμβϊνει αυτοδύναμα πακϋτα εκτόσ του οργανιςμού, αφόνοντασ ϋτςι τισ ςυνδϋςεισ μεταξύ των δρομολογητών και των τοπικών κεντρικών υπολογιςτών μη αςφαλό (ό ενδεχομϋνωσ, εξαςφαλιςμϋνα με ϊλλα μϋςα). Καθορύζονται τρεισ διαφορετικϋσ αρχιτεκτονικϋσ που περιγρϊφουν τισ μεθόδουσ για το πώσ να αποκτόςετε το IPSec ςε ςτούβα πρωτοκόλλου TCP/IP: Η ολοκληρωμϋνη αρχιτεκτονικό, η μεταπόδηςη ςτη ςτούβα, και η μεταπόδηςη ςτο ςύρμα. ελίδα 23

24 2.3.1 Ολοκληρωμένη Αρχιτεκτονική Τπό ιδανικϋσ ςυνθόκεσ, τα πρωτόκολλα και οι δυνατότητεσ του IPSec θα ενςωματώνονταν ϊμεςα ςτο IP. Αυτό εύναι η πιο κομψό λύςη, διότι επιτρϋπει ςε όλουσ τουσ IPSec τρόπουσ και τισ δυνατότητεσ αςφαλεύασ που πρϋπει να παρϋχονται εξύςου εύκολα ωσ κανονικϋσ IP. Κανϋνα επιπλϋον υλικό ό αρχιτεκτονικϊ ςτρώματα χρειϊζονται. Σο IPv6 ςχεδιϊςτηκε για την υποςτόριξη του IPSec. Έτςι, εύναι μια βιώςιμη επιλογό λύςη για τουσ κεντρικούσ υπολογιςτϋσ (οικοδεςπότεσ) ό τουσ δρομολογητϋσ. Με το IPv4, η ολοκλόρωςη θα απαιτόςει την πραγματοπούηςη αλλαγών ςτην εφαρμογό τησ εφαρμογόσ IP για κϊθε ςυςκευό, η οπούα εύναι ςυχνϊ αδυνατεύ Bump in the Stack (BITS) Architecture την τεχνικό τησ πρόςκρουςη ςτη ςτούβα (BITS),το IPSec γύνεται ϋνα ξεχωριςτό αρχιτεκτονικό (υπο)ςτρώμα επύπεδο μεταξύ του IP και του επιπϋδου ζεύξησ δεδομϋνων. Σο όνομα αναφϋρεται ςτο γεγονόσ ότι το IPSec εύναι ϋνα επιπλϋον ςτοιχεύο τησ ςτούβασ πρωτοκόλλων δικτύωςησ, όπωσ μπορεύτε να δεύτε ςτο χόμα 2-2. χήμα 2-2: IPsec bump in the stack (BITS) architecture. Το IPSec διακόπτει τα αυτοδύναμα πακϋτα IP όταν περνϊνε κϊτω από τη ςτούβα πρωτοκόλλου, παρϋχει αςφϊλεια, και περνϊει τα δεδομϋνα ςτο επιπϋδου ζεύξησ δεδομϋνων (A Comprehensive, Illustrated Internet Protocols Reference by Charles M. Kozierok, 2005). ελίδα 24

25 Σο πλεονϋκτημα αυτόσ τησ τεχνικόσ εύναι ότι το IPSec μπορεύ να τοποθετηθεύ ςε οποιοδόποτε IP ςυςκευό, δεδομϋνου ότι η λειτουργικότητα του IPSec εύναι ξεχωριςτό από την IP. Σο μειονϋκτημα εύναι ότι υπϊρχει αλληλοεπικϊλυψη των προςπαθειών ςε ςύγκριςη με την ολοκληρωμϋνη αρχιτεκτονικό. Η αρχιτεκτονικό BITS χρηςιμοποιεύται γενικϊ για IPv4 κεντρικούσ υπολογιςτϋσ (οικοδεςπότεσ) Bump in the Wire (BITW) Architecture τη μϋθοδο «πρόςκρουςη ςτο ςύρμα (BITW)», προςθϋτουμε μια ςυςκευό υλικού που παρϋχει υπηρεςύεσ IPSec. Για παρϊδειγμα, ασ υποθϋςουμε ότι ϋχουμε μια εταιρεύα με δύο εγκαταςτϊςεισ-τοποθεςύεσ. Κϊθε μύα από αυτϋσ ϋχει ϋνα δύκτυο που ςυνδϋεται με το Internet χρηςιμοποιώντασ ϋνα δρομολογητό που δεν ϋχει την δυνατότητα τησ χρόςησ του IPSec (πρωτοκόλλου αςφαλεύασ) λειτουργιών. Εμεύσ μπορούμε να παρεμβϊλλουμε μια ειδικό ςυςκευό IPSec μεταξύ του δρομολογητό και του Διαδικτύου και ςτισ δύο τοποθεςύεσ, όπωσ φαύνεται ςτο χόμα 2-3. Οι ςυςκευϋσ αυτϋσ ςτη ςυνϋχεια θα παρακολουθόςουνυποκλϋψουν τα εξερχόμενα αυτοδύναμα πακϋτα,και θα τουσ προςθϋςουν την IPSec προςταςύα τουσ. ελίδα 25

26 χήμα2-3: IPsec bump in the wire (BITW) architecture. (A Comprehensive, Illustrated Internet Protocols Reference by Charles M. Kozierok, 2005). Όπωσ ακριβώσ η αρχιτεκτονικό BITS ςασ επιτρϋπει να προςθϋςετε ϋνα διαδικτυακό πρωτόκολλο (IPSec) παλαιού τύπου ςε κεντρικούσ υπολογιςτϋσ, η αρχιτεκτονικό BITW ςασ επιτρϋπει να κϊνετε μετατροπϋσ ςτουσ μη-ipsec δρομολογητϋσ για την παροχό αςφϊλειασ. Σα μειονεκτόματα εύναι η πολυπλοκότητα και το κόςτοσ. Βασική έννοια Τρεισ διαφορετικϋσ αρχιτεκτονικϋσ ό μοντϋλα εφαρμογόσ ορύζονται για το IPSec. Η καλύτερη εύναι η ολοκληρωμϋνη ό ενςωματωμϋνη αρχιτεκτονικό, ςτην οπούα το IPSec εύναι ενςωματωμϋνο κατευθεύαν ςτο επύπεδο IP των ςυςκευών. Τα ϊλλα δύο εύναι η μεταπόδηςη ςτη ςτούβα (BITS) και η μεταπόδηςη ςτο ςύρμα (BITW), οι οπούεσ αποτελούν ϋναν τρόπο εναπόθεςησ γραμμϊτων IPSec κϊτω από την τακτικό IP, χρηςιμοποιώντασ λύςεισ λογιςμικού και υλικού, αντύςτοιχα. Όπωσ θα δεύτε ςτην επόμενη ενότητα, η επιλογό τησ αρχιτεκτονικόσ ϋχει Οι αρχιτεκτονικϋσ BITS και BITW φαύνονται εντελώσ διαφορετικϋσ, ςτην πραγματικότητα όμωσ κϊνουν το ύδιο πρϊγμα. την περύπτωςη των BITS, υπϊρχει ϋνα επιπλϋον επύπεδο- ςτρώμα λογιςμικού που προςθϋτει την αςφϊλεια ςτα αυτοδύναμα πακϋτα IP; την αρχιτεκτονικό BITW, ξεχωριςτϋσ ςυςκευϋσ κϊνουν αυτόν την εργαςύα. Και ςτισ δύο περιπτώςεισ, το αποτϋλεςμα εύναι το ύδιο και οι ςυνϋπειεσ για την επιλογό του τρόπου τησ λειτουργύασ του διαδικτυακού πρωτοκόλλου αςφαλεύασ (IPSec) εύναι ο ύδιοσ. ελίδα 26

27 2.4 IPSec Λειτουργίεσ: Λειτουργία Μεταφοράσ και λειτουργία ήραγγασ Η επιλογό τησ εφαρμογόσ που χρηςιμοποιεύται, καθώσ και αν εφαρμόζεται ςτο τϋλοσ ςτουσ κεντρικούσ υπολογιςτϋσ ό ςτουσ δρομολογητϋσ, ϋχει επιπτώςεισ ςτον τρόπο που λειτουργεύ το IPSec. Δύο ςυγκεκριμϋνεσ λειτουργύεσ που ςχετύζονται με αυτϋσ τισ αρχιτεκτονικϋσ ορύζονται για το IPSec. Αυτϋσ οι λειτουργύεσ ονομϊζονται λειτουργύα μεταφορϊσ και λειτουργύα ςόραγγασ. Οι IPSec λειτουργύεσ εύναι ςτενϊ ςυνδεδεμϋνεσ με τη λειτουργύα των δύο βαςικών πρωτοκόλλων, το AH και το ESP. Και τα δύο αυτϊ πρωτόκολλα παρϋχουν προςταςύα προςθϋτοντασ μύα κεφαλύδα (και ενδεχομϋνωσ και ϊλλα πεδύα) που περιϋχουν πληροφορύεσ αςφϊλειασ ςε ϋνα αυτοδύναμο πακϋτο δεδομϋνων. Η επιλογό τησ λειτουργύασ δεν επηρεϊζει τη μϋθοδο με την οπούα παρϊγετε κϊθε επικεφαλύδα του, αλλϊ προςτατεύουν ςυγκεκριμϋνα μϋρη του IP αυτοδύναμου πακϋτου και τακτοποιούν τισ κεφαλύδεσ για να το πετύχουν αυτό. την ουςύα, η λειτουργύα αυτό πραγματικϊ περιγρϊφει, δεν προβλϋπει, το πώσ το AH ό το ESP κϊνει αυτό το πρϊγμα. Φρηςιμοποιεύται ωσ βϊςη για τον καθοριςμό ϊλλων δομών, όπωσ εύναι η αςφϊλεια των ενώςεων- ςυςχετύςεισ αςφαλεύασ(sas). Κατάςταςη λειτουργίασ μεταφοράσ Όπωσ υποδηλώνει το όνομα του, η λειτουργύα μεταφορϊσ προςτατεύει το μόνυμα που μεταδόθηκε κϊτω από το IP επύπεδο μεταφορϊσ. Σην επεξεργαςύα του μηνύματοσ αναλαμβϊνουν το AH ό το ESP. Η κατϊλληλη κεφαλύδα προςτύθεται μπροςτϊ από την επικεφαλύδα μεταφορϊσ (UDP ό TCP). Η κεφαλύδα IP προςτύθεται ςτη ςυνϋχεια μπροςτϊ από αυτό από το IP. Ένασ ϊλλοσ τρόποσ κοιτϊζοντασ αυτό εύναι ο εξόσ: κατϊ κανόνα, το επύπεδο μεταφορϊσ πακϋτων δεδομϋνων εύναι για τη διαβύβαςη και τα αποςτϋλλει ςτο IP. Από την πλευρϊ του IP, αυτό το μόνυμα επιπϋδου μεταφορϊσ εύναι το ωφϋλιμο φορτύο του αυτοδύναμου πακϋτου IP. Όταν το IPSec χρηςιμοποιεύται ςτη λειτουργύα τησ μεταφορϊσ, η κεφαλύδα του IPSec εφαρμόζεται μόνο για το ωφϋλιμο φορτύο IP, όχι για την κεφαλύδα IP. Εμφανύζονται οι κεφαλύδεσ AH και ESP μεταξύ τησ αρχικόσ, ενιαύα κεφαλύδα IP και το ωφϋλιμο φορτύο IP. Αυτό φαύνεται ςτο διϊγραμμα 2-4. ελίδα 27

28 Κατάςταςη λειτουργίασ ςήραγγασ τον τρόπο λειτουργύασ τησ ςόραγγασ, το IPSec χρηςιμοποιεύται για να προςτατεύςει ϋνα πλόρωσ ϋγκλειςτο αυτοδύναμο πακϋτο IP μετϊ την επικεφαλύδα IP που ϋχει όδη εφαρμοςτεύ ςε αυτό. Οι κεφαλύδεσ εμφανύζονται ςτο IPSec μπροςτϊ από την αρχικό κεφαλύδα IP, και ςτη ςυνϋχεια προςτύθεται μια νϋα κεφαλύδα μπροςτϊ από την κεφαλύδα IPSec. Δηλαδό, το ςύνολο του αρχικού IP αυτοδύναμου πακϋτου εύναι εξαςφαλιςμϋνο και, ςτη ςυνϋχεια, ενθυλακώνεται μϋςα ςε ϋνα ϊλλο IP αυτοδύναμο πακϋτο. Αυτό φαύνεται ςτο χόμα ύγκριςη λειτουργίασ Μεταφοράσ και λειτουργίασ ήραγγασ Εν κατακλεύδι η διαφορϊ μεταξύ των δύο τρόπων IPSec εύναι η εξόσ: η λειτουργύα ςόραγγασ προςτατεύει το αρχικό διϊγραμμα IP ωσ ςύνολο, και γενικότερα τη κεφαλύδα, ενώ η λειτουργύα τησ μεταφορϊσ προςτατεύει μόνο το ωφϋλιμο φορτύο. Έτςι, ςε γενικϋσ γραμμϋσ, η ςειρϊ των επικεφαλύδων εύναι ωσ εξόσ: Λειτουργία Μεταφοράσ: κεφαλύδα IP, IPSec επικεφαλύδεσ (AH και/ό ESP), το IP ωφϋλιμο φορτύο (ςυμπεριλαμβανομϋνου τησ κεφαλύδα μεταφορϊσ). Λειτουργία ςήραγγασ : νϋα κεφαλύδα IP, οι IPSec επικεφαλύδεσ (AH και/ό ESP), παλιϊ κεφαλύδα IP, IP ωφϋλιμο φορτύο. ελίδα 28

29 χήμα2-4: IPsec: Λειτουργία Μεταφοράσ (A Comprehensive, Illustrated Internet Protocols Reference by Charles M. Kozierok, 2005). χήμα 2-5: IPsec: Λειτουργία ήραγγασ (A Comprehensive, Illustrated Internet Protocols Reference by Charles M. Kozierok, 2005). ελίδα 29

30 Και πϊλι, αυτό εύναι μια απλοποιημϋνη ϊποψη για το πώσ καταςκευϊζονται τα αυτοδύναμα πακϋτα IPSec; Η πραγματικότητα εύναι πολύ πιο περύπλοκη. Ο ακριβόσ τρόποσ όπου οι κεφαλύδεσ τακτοποιούνται ςε ϋνα αυτοδύναμο πακϋτο IPSec, ο τρόποσ μεταφορϊσ και διοχϋτευςησ εξαρτϊται από την ϋκδοςη του IP που χρηςιμοποιεύται. Σο IPv6χρηςιμοποιεύ επϋκταςη κεφαλύδων, η οπούα πρϋπει να γύνει κατϊ ϋνα ςυγκεκριμϋνο τρόπο, όταν χρηςιμοποιεύται IPSec. Η τοποθϋτηςη κεφαλύδασ εξαρτϊται επύςησ από το πρωτόκολλο IPSec που χρηςιμοποιεύται, AH ό ESP. ημειώςτε ότι εύναι επύςησ δυνατό να εφαρμοςτεύ τόςο AH όςο και ESP με το ύδιο αυτοδύναμο πακϋτο. Αν ναι, η κεφαλύδα AH εμφανύζεται πϊντα πριν από την επικεφαλύδα ESP. Τπϊρχουν λοιπόν τρεισ μεταβλητϋσ και οκτώ βαςικού ςυνδυαςμού λειτουργύασ(ςόραγγασ ό μεταφορϊσ), ϋκδοςη IP (IPv4 ό IPv6) και το πρωτόκολλο (AH ό ESP). Οι επόμενεσ ςυζητόςεισ του AH και ESP περιγρϊφουν τη μορφό τεςςϊρων ςυνδυαςμών μεταφορϊσ/ςόραγγασκαιipv4/ipv6που ιςχύουν για κϊθε πρωτόκολλο. ημειώςτε ότι το ESP περιλαμβϊνει επύςησ ϋνα ρυμουλκούμενο ESP που πηγαύνει μετϊ τα δεδομϋνα που προςτατεύονται. Κατϊ πϊςα πιθανότητα, θα μπορούςατε να πεύτε διαβϊζοντασ αυτϋσ τισ περιγραφϋσ πώσ οι δύο καταςτϊςεισ ςυνδϋονται με την επιλογό τησ IPSec αρχιτεκτονικόσ που εύδατε προηγουμϋνωσ. Η λειτουργύα- τρόποσ μεταφορϊσ απαιτεύ το IPSec να ενςωματωθεύ μϋςα ςτο IP, επειδό τα AH/ESP πρϋπει να εφαρμόζονται όπωσ η αρχικό ςυςκευαςύαip εκτελεύται ςτο μόνυμα επιπϋδου μεταφορϊσ. Αυτό εύναι ςυχνϊ η πρώτη επιλογό για εφαρμογϋσ που απαιτούν αςφϊλεια από ϊκρο ςε ϊκρο με κεντρικούσ υπολογιςτϋσ που εκτελούν απευθεύασ το IPSec. Η λειτουργύα τησ ςόραγγασ (tunnel) αντιπροςωπεύει μια ςυμπύκνωςηενθυλϊκωςη του IP εντόσ του επιπλϋον ςυνδυαςμού IP, το IPSec. Έτςι, με τισ υπηρεςύεσ BITS και BITW, όταν εφαρμόζεται το IPSec μετϊ την IP ϋχουν μεταποιηθεύ υψηλότερου επιπϋδου μηνύματα και ϋχει όδη προςτεθεύ η κεφαλύδα. Η λειτουργύα τησ ςόραγγασ εύναι μια κοινό επιλογό για υλοποιόςεισ VPN, οι οπούεσ βαςύζονται ςτη διοχϋτευςη των αυτοδύναμων πακϋτων IP μϋςα από ϋνα μη αςφαλϋσ δύκτυο όπωσ εύναι το Internet. ελίδα 30

31 Βασική έννοια Η IPSec ϋχει δύο βαςικούσ τρόπουσ λειτουργύασ. Στη λειτουργύα τησ μεταφορϊσ, κεφαλύδεσ IPSec AH και ESP προςτύθενται όπωσ δημιουργεύται το αρχικό διϊγραμμα-αυτοδύναμο πακϋτο IP. Ο τρόποσ μεταφορϊσ ςυνδϋεται με ολοκληρωμϋνεσ IPSec αρχιτεκτονικϋσ. Στη λειτουργύα ςόραγγασ, δημιουργεύται κανονικϊ το αρχικό διϊγραμμα IP και ςτη ςυνϋχεια το ςυνολικό αυτοδύναμο πακϋτο ςυνοψύζεται ςε ϋνα νϋο πακϋτο IP που περιϋχει τισ κεφαλύδεσ IPSec AH/ESP. Η λειτουργύα τησ ςόραγγασ χρηςιμοποιεύται πιο ςυχνϊ με τισ αρχιτεκτονικϋσ πρόςκρουςησ ςτην ςτούβα (BITS) και πρόςκρουςησ ςτο ςύρμα (BITW). 2.5 IPSec Security Constructs Η χρόςη του IPSec εύναι ϊρρηκτα ςυνδεδεμϋνη με, ςυςχετύςεισ-ενώςεισ αςφαλεύασ, τισ πολιτικϋσ αςφαλεύασ, και το ευρετόριο παραμϋτρων αςφαλεύασ. Σα ςτοιχεύα αυτϊ εύναι όλα ςτενϊ ςυνδεδεμϋνα και εύναι βαςικό να το αντιληφθούμε αυτό πριν να ξεκινόςουμε, εξετϊζοντασ τα βαςικϊ πρωτόκολλα IPSec. Αυτϋσ οι δομϋσ χρηςιμοποιούνται για να καθοδηγόςουν τη λειτουργύα του IPSec με ϋναν γενικό τρόπο και ιδιαύτερα να καθοδηγόςει τισ ανταλλαγϋσ μεταξύ των ςυςκευών. Οι δομϋσ ελϋγχουν το πώσ λειτουργεύ το IPSec και εξαςφαλύζει ότι κϊθε αυτοδύναμο πακϋτο δεδομϋνων που ειςϋρχεται ό εξϋρχεται από μύα IPSec ςυςκευό μπορεύ να αντιμετωπύζεται ςωςτϊ Πολιτικέσ Αςφαλείασ, Security Associations, and Associated Databases Ασ ξεκινόςουμε εξετϊζοντασ το πρόβλημα του πώσ να εφαρμόζεται αςφϊλεια ςε μια ςυςκευό που μπορεύ να χειρύζεται πολλϋσ διαφορετικϋσ ανταλλαγϋσ αυτοδύναμων πακϋτων με τουσ ϊλλουσ. Οριςμϋνοι τύποι μηνυμϊτων ενδϋχεται να χρειαςτούν περιςςότερη αςφϊλεια, ϊλλοι μπορεύ να χρειαςτούν λιγότερο. Επύςησ, οι ανταλλαγϋσ με οριςμϋνεσ ςυςκευϋσ ενδϋχεται να απαιτούν διαφορετικό επεξεργαςύα από τουσ ϊλλουσ. ελίδα 31

32 Για να διαχειριςτεύτε όλη αυτό τη πολυπλοκότητα, το IPSec εύναι εξοπλιςμϋνο με ϋνα ευϋλικτο, και δυναμικό τρόπο για τον καθοριςμό των διαφορετικών ειδών των αυτοδύναμων πακϋτων που θα πρϋπει να διεκπεραιώνονται. Για να γύνει αυτό αντιληπτό, θα πρϋπει πρώτα να καθοριςτούν οι ακόλουθεσ δύο ςημαντικϋσ λογικϋσ ϋννοιεσ: Πολιτικέσ αςφαλείασ και η βάςη δεδομένων τησ πολιτικήσ αςφάλειασ (SPD) Μια πολιτικό αςφαλεύασ εύναι ϋνασ κανόνασ που ϋχει προγραμματιςτεύ ςτο πλαύςιο τησ εφαρμογόσ IPSec. Ενημερώνει την εφαρμογό πώσ να επεξεργϊζεται τισ διαφορετικϋσ παραδόςεισ αυτοδύναμων από τη ςυςκευό. Για παρϊδειγμα, οι πολιτικϋσ αςφαλεύασ αποφαςύζουν εϊν ϋνα ςυγκεκριμϋνο πακϋτο πρϋπει να υποβληθεύ από το IPSec ό όχι. Σα AH και ESP παρακϊμπτουν πλόρωσ εκεύνουσ που δεν χρειϊζονται επεξεργαςύα. Εϊν απαιτεύται αςφϊλεια, η πολιτικό αςφϊλειασ παρϋχει γενικϋσ κατευθυντόριεσ γραμμϋσ για τον τρόπο αυτό που πρϋπει να παρϋχονται, και εϊν εύναι αναγκαύο, οι ςυνδϋςεισ δύνουν πιο ςυγκεκριμϋνεσ λεπτομϋρειεσ. Οι Πολιτικϋσ αςφαλεύασ για μια ςυςκευό αποθηκεύονται ςτη βϊςη δεδομϋνων τησ πολιτικόσ αςφαλεύασ τησ ςυςκευόσ (SPD). υςχετίςεισ αςφαλείασ (SAs) και βάςη δεδομένων των ςυςχετίςεων αςφαλείασ (SAD) Μύα ςυςχϋτιςη αςφαλεύασ (SA) εύναι ϋνα ςύνολο από πληροφορύεσ αςφαλεύασ που περιγρϊφει ϋνα ςυγκεκριμϋνο εύδοσ αςφαλούσ ςύνδεςησ μεταξύ μιασ ςυςκευόσ και μιασ ϊλλησ. Μπορεύτε να ςκεφτεύτε ότι μια ςύμβαςη, εϊν θϋλετε, που καθορύζει τουσ ςυγκεκριμϋνουσ μηχανιςμούσ αςφαλεύασ που χρηςιμοποιούνται για αςφαλεύσ επικοινωνύεσ μεταξύ των δύο. Οι υςχετιςμού αςφαλεύασ τησ ςυςκευόσ περιλαμβϊνονται ςτην βϊςη δεδομϋνων τησ αςφαλόσ ςύνδεςησ (SAD). ελίδα 32

33 Εύναι ςυχνϊ δύςκολο να γύνει διϊκριςη μεταξύ του SPD και του SAD, επειδό εύναι παρόμοια ςτη ςχεδύαςη τουσ. Η κύρια διαφορϊ μεταξύ τουσ εύναι ότι οι πολιτικϋσ αςφϊλειασ εύναι γενικϋσ, ενώ οι ενώςεισ-ςυςχετιςμού τησ αςφϊλειασ εύναι πιο ςυγκεκριμϋνεσ. Για να προςδιορύςετε τι να κϊνετε με ϋνα ςυγκεκριμϋνο αυτοδύναμο πακϋτο δεδομϋνων, πρϋπει πρώτα μια ςυςκευό να ελϋγξει την SPD.Οι πολιτικϋσ αςφϊλειασ του SPD μπορεύ να γύνει αναφορϊ ςε μύα ςυγκεκριμϋνη ςυςχϋτιςη αςφαλεύασ (SA) ςτη βϊςη δεδομϋνων των ςυςχετύςεων αςφαλεύασ (SAD). Αν ναι, θα δούμε ότι οι ςυςχετύςεισ αςφαλεύασ (SA) χρηςιμοποιούν τη ςυςκευό για την επεξεργαςύα των αυτοδύναμων πακϋτων Επιλογείσ Ένα ζότημα που δεν ϋχει καλυφθεύ, ακόμη, εύναι το πώσ μια ςυςκευό καθορύζει ποιεσ πολιτικϋσ αςφαλεύασ ό ςυςχετύςεισ αςφαλεύασ (SAs) χρηςιμοποιούνται για ϋνα ςυγκεκριμϋνο αυτοδύναμο πακϋτο. Και πϊλι εδώ, το IPSec ορύζει ϋνα πολύ ευϋλικτο ςύςτημα που ςασ επιτρϋπει ςε κϊθε ϋνωςη αςφαλεύασ να καθορύζεται ϋνα ςύνολο κανόνων για την επιλογό των αυτοδύναμων πακϋτων, όπου ιςχύει η SA για το ςυςχετιςμό αςφαλεύασ. Κϊθε ϋνα από αυτϊ τα ςύνολα κανόνων ονομϊζεται επιλογϋασ. Για παρϊδειγμα, μπορεύτε να ορύςετε ϋναν επιλογϋα που αναφϋρει ότι ϋνα ςυγκεκριμϋνο εύροσ τιμών ςτη διεύθυνςη προϋλευςησ του ενόσ αυτοδύναμου πακϋτου, ςε ςυνδυαςμό με μια ϊλλη τιμό με τη διεύθυνςη προοριςμού, ςημαύνει ότι μια ςυγκεκριμϋνη ςυςχϋτιςη αςφϊλειασ (SA), πρϋπει να χρηςιμοποιεύται για το αυτοδύναμο πακϋτο. ελίδα 33

34 2.5.3 Σριπλή ςύνδεςη αςφάλειασ και δείκτησ αςφαλούσ παραμέτρου (SPI) Κϊθε αςφαλόσ επικοινωνύα που καθιςτϊ μια ςυςκευό ςε ϊλλη απαιτεύται ώςτε να δημιουργηθεύ ϋνασ ςυςχετιςμόσ Αςφαλεύασ. Οι υςχετιςμού αςφαλεύασ εύναι μονόσ κατεύθυνςησ, ϋτςι ώςτε κϊθε μύα να χειρύζεται μόνο εύτε ειςερχόμενησ ό εξερχόμενησ κυκλοφορύασ για μια ςυγκεκριμϋνη ςυςκευό. Αυτό επιτρϋπει το επύπεδο αςφαλεύασ για μια ροό από τη ςυςκευό Α ςτη Β ςυςκευό να εύναι διαφορετικό από το επύπεδο τησ κυκλοφορύασ που προϋρχονται από τη ςυςκευό Β ςτη ςυςκευό A. ε μια αμφύδρομη επικοινωνύα αυτού του εύδουσ, θα ϋχουν δύο ςυςχετιςμούσ αςφαλεύασ (SAs), τόςο ςτη ςυςκευό Α όςο και ςτη Β ςυςκευό. Μύα ςυςκευό Α που θα πρϋπει να ϋχει SΑs μπορούμε να την ονομϊςουμε SΑdeviceBin και SΑdeviceBout. Η ςυςκευό Β θα ϋχει ςυςχϋτιςη αςφϊλειασ SΑs SΑdeviceAin και SΑdeviceAout. Οι υςχετιςμού αςφαλεύασ δεν ϋχουν ονόματα ςτην πραγματικότητα, ωςτόςο, αντύ για αυτό ορύζονται από ϋνα ςύνολο από τρεισ παραμϋτρουσ, που ονομϊζεται τριπλό (ςύνδεςη): Αςφάλεια του Δείκτηπαραμέτρων(SPI) Ένασ αριθμόστων32-bitϋχει επιλεγεύ για τη μοναδικό αναγνώριςη ενόσ ςυγκεκριμϋνου SA για κϊθε ςυνδεδεμϋνη ςυςκευό. Σο SPI τοποθετεύται ςε αυτοδύναμα πακϋτα AH ό ESP και ϋτςι ςυνδϋει κϊθε αςφαλό αυτοδύναμο πακϋτο με τον ςυςχετιςμό αςφαλεύασ. Φρηςιμοποιεύται από τον παραλόπτησ τησ μετϊδοςησ ϋτςι ώςτε να γνωρύζει τι διϋπει το αυτοδύναμο πακϋτο. Ο Προοριςμόσ τησ διεύθυνςη IP:Η διεύθυνςη τησ ςυςκευόσ για την οπούα εύναι εγκατεςτημϋνοσ ο ςυςχετιςμόσ Αςφαλεύασ. Σο Αναγνωριςτικό αςφαλεύασ πρωτόκολλο: Καθορύζει αν η ςυςχϋτιςη αυτό εύναι για AH ό ESP. Αν και οι δύο εύναι ςε χρόςη με αυτό τη ςυςκευό, ϋχουν ξεχωριςτό SΑs. Όπωσ μπορεύτε να δεύτε, τα δύο πρωτόκολλα αςφαλεύασ AH και ESP εξαρτώνται από το SΑs, τισ πολιτικϋσ αςφαλεύασ, και τισ διϊφορεσ βϊςεισ δεδομϋνων που ελϋγχουν τη λειτουργύα των εν λόγω πολιτικών και ςυςχετύςεων αςφαλεύασ. Η διαχεύριςη αυτών των βϊςεων δεδομϋνων εύναι ςημαντικό, αλλϊ αυτό εύναι ϊλλο ϋνα ςύνθετο θϋμα εξ ολοκλόρου. ε γενικϋσ γραμμϋσ, με τη ε γενικϋσ γραμμϋσ, με τη SΑs μπορεύτε εύτε να δημιουργόςετε ϋνα χειροκύνητο ό μπορεύτε να αναπτύξετε ϋνα αυτοματοποιημϋνο ςύςτημα που χρηςιμοποιεύ ϋνα πρωτόκολλο.... ελίδα 34

35 2.6 IPSec Authentication Header (AH) Σο AH [18] εύναι ϋνα από τα δύο βαςικϊ πρωτόκολλα αςφαλεύασ του IPSec. Αυτό εύναι ϋνα ϊλλο πρωτόκολλο του οπούου το όνομα ϋχει επιλεγεύ ςωςτϊ. Παρϋχει πιςτοπούηςη ταυτότητασ εύτε ςτο ςύνολο ό ςε μϋροσ των περιεχομϋνων ενόσ αυτοδύναμου πακϋτου, μϋςω τησ προςθόκησμιασ κεφαλύδασ που υπολογύζεται με βϊςη τισ τιμϋσ ςτο πακϋτο. Σα τμόματα του αυτοδύναμου πακϋτου που χρηςιμοποιούνται για τον υπολογιςμό και την τοποθϋτηςη τησ επικεφαλύδασ,εξαρτώνται από την κατϊςταςη λειτουργύασ (ό λειτουργύα ςόραγγασ ό λειτουργύα μεταφορϊσ) και την ϋκδοςη του IP (IPv4 ό IPv6).Η λειτουργύα του ΑΗ εύναι εκπληκτικϊ απλό, ειδικϊ για κϊθε πρωτόκολλο που ϋχει να κϊνει με την αςφϊλεια του δικτύου. Η απλότητα εύναι ανϊλογη με τουσ αλγορύθμουσ που χρηςιμοποιούνται για τον υπολογιςμό των αθροιςμϊτων ελϋγχου ό για την εκτϋλεςη κυκλικόσ πλεοναςμού (CRC) για τουσ ελϋγχουσανύχνευςησ ςφαλμϊτων. τισ περιπτώςεισ αυτϋσ, ο αποςτολϋασ χρηςιμοποιεύ ϋνα πρότυπο αλγόριθμου για να υπολογύςει το ϊθροιςμα ελϋγχου ό τον CRC κώδικα με βϊςη τα περιεχόμενα ενόσ μηνύματοσ. Αυτό το υπολογιςτικό αποτϋλεςμα μεταδύδεται μαζύ με τα αρχικϊ δεδομϋνα ςτον προοριςμό, που επαναλαμβϊνει τονυπολογιςμό και απορρύπτει το μόνυμα, αν υπϊρχει διαφορϊ μεταξύ του υπολογιςμϋνου και εκεύνου που εκδόθηκε από την πηγό. Αυτό εύναι η ιδϋα πύςω από το AH, εκτόσ από το ότι αντύ να χρηςιμοποιεύ ϋναν απλό αλγόριθμο γνωςτό ςε όλουσ, χρηςιμοποιεύ ϋναν ειδικό αλγόριθμο κατακερματιςμού και ϋνα ειδικό κλειδύ-πλόκτρο γνωςτό μόνο για την πηγό και τον προοριςμό. Ένασ ςυςχετιςμόσ αςφαλεύασ μεταξύ δύο ςυςκευών καθορύζειτα ςτοιχεύα αυτϊ, ϋτςι ώςτε η πηγό και ο προοριςμόσ να ξϋρουν πώσ να εκτελϋςουν τον υπολογιςμό, αλλϊ κανεύσ ϊλλοσ να μην μπορεύ να το κϊνει. χετικϊ με τη ςυςκευό προϋλευςησ, το πρωτόκολλο AH εκτελεύ τον υπολογιςμό και θϋτει το αποτϋλεςμα (που ονομϊζεται τιμό ελϋγχου ακεραιότητασ, ό τιμό ICV) ςε μια ειδικό κεφαλύδα μεϊλλα πεδύα για τη μετϊδοςη. Η ςυςκευό προοριςμού εκτελεύ τον ύδιο υπολογιςμό χρηςιμοποιώντασ το κλειδύ που μοιρϊζονται οι δύο ςυςκευϋσ. Αυτό επιτρϋπει ςτη ςυςκευό να ελϋγξει αμϋςωσ εϊν οποιαδόποτε από τα πεδύα ςτο αρχικό αυτοδύναμο πακϋτο δεδομϋνων εύχαν τροποποιηθεύ (εύτε λόγω λϊθουσ ό κακύασ).ακριβώσ όπωσ ϋνα ϊθροιςμα ελϋγχου δεν αλλϊζει τα αρχικϊ δεδομϋνα του, ούτε ο υπολογιςμόσ τησ τιμόσ ICV αλλϊζει ελίδα 35

36 τα αρχικϊ δεδομϋνα. Η παρουςύα του ςτην κεφαλύδα του πρωτοκόλλου AH επιτρϋπει να επαληθεύςουμε την ακεραιότητα του μηνύματοσ, αλλϊ όχι να το κρυπτογραφόςουμε. Έτςι, το πρωτόκολλο ΑΗ παρϋχει ϋλεγχο ταυτότητασ αλλϊ όχι προςταςύα τησ ιδιωτικόσ ζωόσ-απορρότου (αυτό εύναι δουλειϊ για το ESP) AH: Σοποθέτηςη και ςύνδεςη ςτο αυτοδύναμο πακέτο δεδομένων (AH Datagram Placement and Linking) Ο υπολογιςμόσ του ΑΗ εύναι παρόμοιοσ τόςο για το IPv4 όςο και για το IPv6. Μύα διαφορϊ εύναι ο ακριβόσ μηχανιςμόσ που χρηςιμοποιεύται για τη διϊθεςη τησ κεφαλύδασ του αυτοδύναμου πακϋτου δεδομϋνων του και για την ςύνδεςη των κεφαλύδων μαζύ. Εγώ θα περιγρϊψω το IPv6 πρώτα, επειδό εύναι απλούςτερο, και επειδό το AH πραγματικϊ ϋχει ςχεδιαςτεύ για να ταιριϊζει τον μηχανιςμό τησ για αυτό. Σο AH ςτο IPv6: Σοποθέτηςη και ςύνδεςη το IPv6, το AH ειςϊγεται ςε ϋνα IP αυτοδύναμο πακϋτο δεδομϋνων, ωσ μια επικεφαλύδα επϋκταςησ, ςύμφωνα με τουσ ςυνόθεισ κανόνεσ του IPv6 για την ςύνδεςη τησ επϋκταςησ τησ κεφαλύδασ. υνδϋεται με την προηγούμενη κεφαλύδα (επϋκταςη ό κύρια), η οπούα θϋτει την καθοριςμϋνη τιμό για την κεφαλύδα AH (51) ςτο πεδύο τησ Επόμενησ Κεφαλύδασ (Next Header). Η κεφαλύδα AH μετϊ ςυνδϋει την επόμενη επικεφαλύδα επϋκταςησ ό την κεφαλύδα του επιπϋδου μεταφορϊσ χρηςιμοποιώντασ το πεδύο επόμενη κεφαλύδα (Next Header). ε λειτουργύα μεταφορϊσ, το ΑΗ τοποθετεύται ςτην κύρια κεφαλύδα IP και εμφανύζεται πριν από οποιαδόποτε κεφαλύδα-επιλογϋσ Προοριςμού (DestinationsOptions) που περιϋχει επιλογϋσ που προορύζονται για τον τελικό προοριςμό, και πριν από την επικεφαλύδα ESP, αν υπϊρχει, αλλϊ μετϊ από οποιαδόποτε ϊλλη επϋκταςη κεφαλύδασ. τη λειτουργύα τησ ςόραγγασ, εμφανύζεται ωσ μια κεφαλύδα η επϋκταςη του νϋου IP αυτοδύναμου πακϋτου δεδομϋνων που ςυμπυκνώνει το αρχικό που διοχετεύτηκε. Αυτό φαύνεται γραφικϊ ςτο χόμα 2-6. ελίδα 36

37 χήμα 2-6: Μορφή αυτοδύναμων πακέτων IPv6 με τη χρήςη του IPSec AH. (A Comprehensive, Illustrated Internet Protocols Reference by Charles M. Kozierok, 2005). Σο AH ςτο IPv4: Σοποθέτηςη και ςύνδεςη το IPv4, χρηςιμοποιεύται μια μϋθοδο ςύνδεςησ κεφαλύδασ που εύναι παρόμοια με την τεχνικό του IPv6. ε ϋνα αυτοδύναμο πακϋτο δεδομϋνων του IPv4, τοπεδύο «πρωτόκολλο» δηλώνει την ταυτότητατου πρωτοκόλλου του υψηλότερου επιπϋδου(ςυνόθωσ TCP ό UDP) που ϋχει πραγματοποιηθεύ ςτο πακϋτο δεδομϋνων. ελίδα 37

38 Ωσ εκ τούτου, αυτό δεύχνει τον τομϋα ςτην επόμενη κεφαλύδα, που βρύςκεται μπροςτϊ από το ωφϋλιμο φορτύο. Σο ΑΗ παύρνει την τιμό αυτό και την τοποθετεύ ςτο πεδύο τησ επόμενησ κεφαλύδασ (Next Header), και ςτη ςυνϋχεια τοποθετεύ την τιμό του πρωτοκόλλου για το ύδιο το AH(51ςεμορφό δεκαδικών με τελεύεσ) ςτο πεδύο του IP πρωτόκολλου. Σο γεγονόσ αυτό καθιςτϊ την IP επικεφαλύδα ςημεύο ςτο AH, η οπούα ςτη ςυνϋχεια οδηγεύ ςε ότι το IP αυτοδύναμο πακϋτο δεδομϋνων επεςόμανε πριν από την κεφαλύδα IP. Και πϊλι, ςε λειτουργύα μεταφορϊσ, η κεφαλύδα AH προςτύθεται μετϊ την κύρια κεφαλύδα IP του αρχικού αυτοδύναμου πακϋτου. ε λειτουργύα ςόραγγασ προςτύθεται μετϊ την νϋα κεφαλύδα IP που ςυμπυκνώνει το αρχικό αυτοδύναμο πακϋτο που θα γύνει διοχϋτευςό. Αυτό φαύνεται ςτο χόμα 2-7. χήμα 2-7: Μορφή αυτοδύναμων πακέτων IPv4 με τη χρήςη του IPSec AH. (A Comprehensive, Illustrated Internet Protocols Reference by Charles M. Kozierok, 2005). ελίδα 38

39 Βασική έννοια Η κεφαλύδα ελϋγχου ταυτότητασ (ΑΗ) του IPSec επιτρϋπει ςτον παραλόπτη ενόσ αυτοδύναμο πακϋτο να επαληθεύςει τη γνηςιότητα τησ διαβύβαςησ. Υλοποιεύται ωσ μια κεφαλύδα που προςτύθεται ςε ϋνα IP αυτοδύναμο πακϋτο που περιϋχει την τιμό ελϋγχου ακεραιότητασ (ICV), που υπολογύζεται με βϊςη τισ τιμϋσ των πεδύων του πακϋτου. Ο παραλόπτησ μπορεύ να χρηςιμοποιόςει αυτόν την τιμό, για να εξαςφαλύςει ότι τα δεδομϋνα δεν ϋχουν αλλϊξει κατϊ τη μεταφορϊ. Το AH δεν κρυπτογραφεύ δεδομϋνα και ϋτςι δεν διαςφαλύζουν το απόρρητο των μεταδόςεων Η μορφή του AH Η μορφό του AH περιγρϊφεται ςτον πύνακα 2-2 και απεικονύζεται ςτο ςχόμα 2-8. Πίνακα 2-2: IPsec Authentication Header (AH) Format. (A Comprehensive, Illustrated Internet Protocols Reference by Charles M. Kozierok, 2005). Όνομα πεδίου Μέγεθοσ ςε bytes Περιγραφή Επόμενη κεφαλύδα 1 Ωφϋλιμο φορτύο Len 1 Περιϋχει τον αριθμό πρωτοκόλλου τησ επόμενησ μετϊ την κεφαλύδα AH. Φρηςιμοποιεύται για να ςυνδϋςει μαζύ κεφαλύδεσ. Παρϊ το όνομϊ του, το πεδύο αυτό μετρϊ τη διϊρκεια τησ κεφαλύδασ ελϋγχου ταυτότητασ, όχι το ωφϋλιμο φορτύο. (Αναρωτιϋμαι ποια εύναι η ιςτορύα πύςω από αυτό!) Μετριϋται ςε 32-bitμονϊδεσ, και 2 αφαιρούνται για λόγουσ ςυνϋπειασ με το πώσ το μόκοσ τησ κεφαλύδασ υπολογύζεται κανονικϊ για το Ipv6. Δεςμευμϋνο 2 Δεν χρηςιμοποιεύται; Ορύζεται ςε μηδενικϊ. SPI 4 Μύα 32-bit τιμό που, όταν ςυνδυϊζεται με τη διεύθυνςη προοριςμού και την αςφϊλεια τύπου του πρωτοκόλλου (η οπούα εύναι προφανώσ η μύα για AH εδώ), αναγνωρύζει την αςφαλό ϋνωςη (SA) που θα χρηςιμοποιεύται για αυτό το αυτοδύναμο πακϋτο. (το SAs αναφϋρθηκαν παραπϊνω ςε αυτό το κεφϊλαιο.) Αύξων αριθμόσ 4 Ένασ μετρητόσ που ϋχει προετοιμαςτεύ με μηδϋν όταν ϋνασ S.A διαμορφώνεται μεταξύ δύο ςυςκευών, ελίδα 39

40 Πιςτοποιημϋνα δεδομϋνα Μεταβλητό και τότε αυξϊνεται για κϊθε αυτοδύναμο πακϋτο που ςτϋλνεται. Αυτόπροςδιορύζει μοναδικϊ κϊθε αυτοδύναμο πακϋτο ςτο SA. Και χρηςιμοποιεύται για να παρϋχει προςταςύα από επιθϋςεισ επανϊληψησ με την πρόληψη τησ αναμετϊδοςησ των ςυλληφθϋντων αυτοδύναμων πακϋτων. Περιϋχει το αποτϋλεςμα του αλγορύθμου κατακερματιςμού, που ονομϊζεται τιμό ελϋγχου ακεραιότητασ (τιμό ICV), που εκτελούνται από το πρωτόκολλο AH. χήμα 2-8: IPsec Authentication Header (AH) Format. (A Comprehensive, Illustrated Internet Protocols Reference by Charles M. Kozierok, 2005). Σο μϋγεθοσ του πεδύου δεδομϋνων ελϋγχου ταυτότητασ εύναι μια μεταβλητό για να υποςτηρύζει τα διαφορετικϊ μόκη των αυτοδύναμων πακϋτων και των αλγορύθμων κατακερματιςμού. Σο ςυνολικό μόκοσ πρϋπει να εύναι πολλαπλϊςιο των 32 bits. Επύςησ, ολόκληρη η κεφαλύδα πρϋπει να εύναι πολλαπλϊςιο εύτε του 32 bit (για το IPv4) ό των 64 bit (για το IPv6), ϋτςι οι επιπλϋον κενϋσ θϋςεισ τησ ομϊδασ μπορούν να προςτεθούν ςτο πεδύο ελϋγχου ταυτότητασ δεδομϋνων, εϊν εύναι απαραύτητο. Ενδϋχεται επύςησ να παρατηρόςετε ότι οι διευθύνςεισ IP δεν εμφανύζονται με επικεφαλύδα, η οπούα αποτελεύ απαραύτητη προώπόθεςη για να εύναι η ύδια τόςο για το IPv4 και για το IPv6. ελίδα 40