Sigurnost TcpIp stacka u autoindustriji

Rješenje i tehnologija koja se koristi

Ipsec se dijeli na dva načina rada i dva protokola koja se mogu koristiti. Tunnel  i Transport način rada te AH (Authentication Header) i ESP (Encapsulating Security Payload) protokole. Transport način rada pruža zaštitu podataka iza osnovnih IP polja (eng. IP header), odnosno TCP/UDP sadržaja dok tunnel način rada ide korak dalje te štiti i samo IP polje.

To se postiže dodavanjem novog eksternog IP polja. AH (Authentication Header) protokol pruža autentifikaciju izvorne poruke i njen integritet te također pruža mogućnost konfiguracije AntiReplay funkcionalnosti u svrhu odbacivanja zlonamjernih i dupliciranih poruka. ESP (Encapsulating Security Payload), osim što pruža sve što i AH, uz to osigurava i povjerljivost podataka, odnosno enkriptira sadržaj poruke.

OPIS SHEME: IPSec protokoli – nezaštićeni paket (gore), paket zaštićen u transportnom načinu (sredina) i u načinu tunela (dolje)

IPSec može raditi u ručnom ili automatskom režimu održavanja ključeva. U prvom slučaju ključ se konfigurira jednom i ostaje nepromijenjen, dok u drugom slučaju imamo odvojenu komunikaciju koja prema potrebi razmjeni tajni ključ s drugom stranom. Ovdje kao nadopuna Ipsec-u u priču dolazi najnovija IKE 2.0 verzija. Prvo i osnovno potrebno je uspostaviti IKE vezu, odnosno osigurati IPSec-u parametre za zaštitu u obliku tzv. child SA-a (child security associationa). Veza se uspostavlja osnovnom razmjenom (initial exchange) koja se sastoji od nekoliko zahtjeva i odgovora, tzv. INIT i AUTH parova poruka. Kada je potrebno obnoviti ključ, a u tijeku je postojeća IKE veza, tada se razmjenjuje nekoliko CREATE_CHILD_SA poruka. Dodatan tip poruka je INFORMATIONAL (obavještavanje o greškama tijekom razmjena poruka ili promjenama u konfiguraciji). IKE poruke su i same zaštićene (autentikacija i enkripcija) te ima mogućnost korištenja ključeva ili certifikata u tu svrhu.

OPIS SHEME: Razmjena IKE poruka, osnovna razmjena (Initial Exchange)  te naknadne poruke nakon postavljanja veze (Create_Child_SA ili Informational)

U svrhu razvoja i testiranja primarno je potrebno poznavanje C jezika, s naglaskom na primjenu u Embedded okruženju. Dodatni alati koji se koriste su Cygwin, Xpath, Python, Jira, Jenkins, Matlab Polyspace, SVN i Enterprise Architect.

Rezultati i ishodi

• Isporuka pouzdanog, učinkovitog i testiranog sustava klijentu u potpunosti kompatibilnog i modularnog s njihovom postojećom implementacijom i specifičnim zahtjevima.
• Dodatno osiguranje za buduću suradnju s klijentom i njeno daljnje proširenje.