what is ip security
Kompletný sprievodca bezpečnostnými protokolmi IP (IPSec), TACACS a AAA:
V predchádzajúcom tutoriáli sme sa dozvedeli o Protokoly HTTP a DHCP podrobne a tiež sme sa dozvedeli viac o práci protokolov prítomných v rôznych vrstvách modelu TCP / IP a referenčného modelu ISO-OSI.
Tu sa dozvieme, ako získať prístup k charakteristickým sieťam a aký proces autentifikácie bude koncový používateľ dodržiavať pri dosiahnutí konkrétnej siete a prístupe k jej zdrojom a službám pomocou bezpečnostných protokolov.
Odporúčané čítanie => Sprievodca počítačovými sieťami
Existujú stovky štandardov a protokolov pre autentifikáciu, šifrovanie, zabezpečenie a prístup k sieti. Ale tu diskutujeme iba o niekoľkých najpopulárnejších protokoloch.
Čo sa dozviete:
- Čo je zabezpečenie IP (IPSec)?
- TACACS (Terminal Access Controller Access Control System)
- AAA (autentifikácia, autorizácia a účtovníctvo)
Čo je zabezpečenie IP (IPSec)?
IPSec je bezpečnostný protokol, ktorý sa používa na zabezpečenie bezpečnosti v sieťovej vrstve sieťového systému. IPSec autentizuje a šifruje dátové pakety cez sieť IP.
Vlastnosti protokolu IPSec
- Chráni celkový dátový paket vyprodukovaný vo vrstve IP vrátane hlavičiek vyšších vrstiev.
- IPSec funguje medzi dvoma rôznymi sieťami, a preto je prijatie bezpečnostných funkcií ľahšie implementovateľné bez vykonania akýchkoľvek zmien v spustených aplikáciách.
- Poskytuje tiež hostiteľskú bezpečnosť.
- Najbežnejšou úlohou IPSec je zabezpečenie siete VPN (virtuálna súkromná sieť) medzi dvoma rôznymi sieťovými entitami.
Bezpečnostné funkcie:
- Zdrojový a cieľový uzol môžu prenášať správy v šifrovanej podobe a tým uľahčovať dôvernosť dátových paketov.
- Zachováva autentifikáciu údajov a integritu.
- Poskytuje ochranu pred vírusovými útokmi prostredníctvom správy kľúčov.
Prevádzka IPSec
- Fungovanie protokolu IPSec je rozdelené do dvoch častí. Prvým z nich je komunikácia IPSec a druhým je výmena internetových kľúčov (IKE).
- Komunikácia IPSec je zodpovedná za správu zabezpečenej komunikácie medzi dvoma uzlami výmeny pomocou bezpečnostných protokolov, ako je autentifikačná hlavička (AH) a zapuzdrený SP (ESP).
- Zahŕňa tiež funkcie ako zapuzdrenie, šifrovanie dátových paketov a spracovanie IP datagramu.
- IKE je druh protokolu správy kľúčov, ktorý sa používa pre IPSec.
- Toto nie je nevyhnutný proces, pretože správu kľúčov je možné vykonať manuálne, ale pre veľké siete je nasadená IKE.
Komunikačné režimy IPSec
Existujú dva druhy komunikačných režimov, t.j. dopravy a režimu tunela. Pretože je však dopravný režim brzdený pri komunikácii z bodu na bod, je najviac využívaný režim tunela.
V tunelovom režime je do dátového paketu pridaná nová hlavička IP a je zapuzdrená skôr, ako zavedieme akýkoľvek bezpečnostný protokol. V tomto je možné prostredníctvom jednej brány zabaviť viac komunikácií.
Tok dát v tunelovom režime je zobrazený pomocou nižšie uvedeného diagramu.
Protokoly IPSec
Na splnenie bezpečnostných požiadaviek sa používajú bezpečnostné protokoly. Medzi dvoma uzlami sa pomocou bezpečnostných protokolov vytvárajú a udržiavajú rôzne asociácie zabezpečenia. Dva druhy bezpečnostných protokolov používaných protokolom IPSec zahŕňajú autentifikačnú hlavičku (AH) a zapuzdrujúce bezpečnostné užitočné zaťaženie (ESP).
Autentifikačná hlavička (AH): Poskytuje autentifikáciu zavedením AH do dátového paketu IP. Miesto, kam by sa mala pridať hlavičková jednotka, je založené na použitom režime komunikácie.
Práca AH je založená na hašovacom algoritme a klasifikovanom kľúči, ktoré môžu byť tiež dekódované uzlami koncového používateľa. Spracovanie je nasledovné:
- Z pomoci SA (asociácia zabezpečenia) sa zhromažďujú informácie o zdrojovej a cieľovej IP a je tiež známe, aký bezpečnostný protokol sa má nasadiť. Keď bude zrejmé, že bude nasadená AH, použije sa hlavička na určenie hodnoty podrobných parametrov.
- AH má 32 bitov a parametre, ako napríklad index sekvenčných parametrov a autentifikačné údaje v spojení s SA, zabezpečia tok protokolu.
AH Proces autentifikácie
Protokol ESP (Encapsulation Security Protocol): Tento protokol je schopný zabezpečiť bezpečnostné služby, ktoré nie sú charakterizované protokolom AH, ako sú súkromie, spoľahlivosť, autentifikácia a odolnosť voči opakovaniu. Séria poskytovaných služieb závisí od možností zvolených v prípade začatia SA.
Proces ESP je nasledovný:
- Len čo sa zistí, že sa bude používať ESP, vypočítajú sa rôzne parametre hlavičiek. ESP má dve dôležité polia, teda hlavičku ESP a príves ESP. Celková hlavička je 32-bitová.
- Hlavička má index bezpečnostných parametrov (SPI) a poradové číslo, zatiaľ čo príves má polstrovanú dĺžku polí, ďalšiu špecifikáciu hlavičky a najdôležitejšie autentifikačné údaje.
- Nasledujúci diagram ukazuje, ako je zabezpečené šifrovanie a autentifikácia v ESP pomocou režimu tunelovej komunikácie.
- Použité šifrovacie algoritmy zahŕňajú DES, 3DES a AES. Môžu sa použiť aj ostatné.
- Tajný kľúč by mal byť známy na konci odosielania aj prijímania, aby z nich mohli extrahovať požadovaný výstup.
Proces autentifikácie ESP
Asociácia bezpečnosti v IPSec
- SA je neoddeliteľnou súčasťou komunikácie IPSec. Virtuálna konektivita medzi zdrojovým a cieľovým hostiteľom je nastavená pred výmenou údajov medzi nimi a toto pripojenie sa nazýva asociácia zabezpečenia (SA).
- SA je kombináciou parametrov, ako je zisťovanie šifrovacích a autentifikačných protokolov, tajného kľúča a ich zdieľanie s dvoma entitami.
- SA sa rozpoznávajú podľa indexu bezpečnostného parametra (SPI), ktorý je uvedený v hlavičke bezpečnostného protokolu.
- SA je zreteľne identifikovaný podľa SPI, cieľovej adresy IP a identifikátora bezpečnostného protokolu.
- Hodnota SPI je ľubovoľne vyvinuté číslo, ktoré sa používa na mapovanie prichádzajúcich dátových paketov s balíkom príjemcu na konci prijímača, takže bude ľahké identifikovať rôzne SA, ktoré sa dostanú do rovnakého bodu.
TACACS (Terminal Access Controller Access Control System)
Je to najstarší protokol pre proces autentifikácie. Používa sa v sieťach UNIX, ktoré umožňujú vzdialenému používateľovi odovzdať prihlasovacie meno a heslo autentifikačnému serveru, aby vyhodnotil prístup poskytnutý hostiteľovi klienta alebo nie v systéme.
ako nakonfigurovať maven v zatmení
Protokol štandardne používa port 49 TCP alebo UDP a umožňuje hostiteľovi klienta potvrdiť používateľské meno a heslo a poslať dopyt ďalej na autentifikačný server TACACS. Server TACACS je známy ako démon TACACS alebo TACACSD, ktorý zisťuje, či má povoliť a zamietnuť požiadavku a vráti sa s odpoveďou.
Na základe odpovede je prístup udelený alebo zamietnutý a užívateľ sa môže prihlásiť pomocou telefonického pripojenia. Procesu autentifikácie teda dominuje TACACSD a veľmi sa nepoužíva.
Preto TACACS prepínajú pomocou TACACS + a RADIUS, ktoré sa dnes používajú vo väčšine sietí. TACACS používa na autentifikáciu architektúru AAA a na dokončenie každého procesu autentifikácie sa používajú odlišné servery.
TACACS + pracuje na TCP a protokole zameranom na pripojenie. TACACS + pred prenosom zašifruje celý dátový paket, takže je menej náchylný na vírusové útoky. Na vzdialenom konci sa tajný kľúč používa na dešifrovanie všetkých údajov do pôvodného.
AAA (autentifikácia, autorizácia a účtovníctvo)
Toto je počítačová bezpečnostná architektúra a pre zabezpečenie autentifikácie sa podľa tejto architektúry riadia rôzne protokoly.
Princíp práce týchto troch krokov je nasledovný:
Overenie: Určuje, že užívateľský klient, ktorý žiada o službu, je bonafidný užívateľ. Proces sa uskutočňuje predložením poverení, ako je jednorazové heslo (OTP), digitálny certifikát alebo telefonické volanie.
Autorizácia: Na základe typu služby povolenej používateľovi a na základe obmedzenia používateľa sa používateľovi udelí autorizácia. Medzi služby patrí smerovanie, prideľovanie IP, správa prenosu atď.
Účtovníctvo: Účtovníctvo je nasadené na účely riadenia a plánovania. Obsahuje všetky potrebné informácie, ako napríklad kedy bude konkrétna služba spustená a skončená, totožnosť používateľa a použité služby atď.
Server bude poskytovať všetky vyššie uvedené služby a poskytovať ich klientom.
Protokoly AAA : Ako vieme, v minulosti sa na proces autentifikácie používali TACACS a TACACS +. Teraz však existuje ešte jeden protokol známy ako RADIUS, ktorý je založený na AAA a je široko používaný v celom sieťovom systéme.
Server pre sieťový prístup: Je to komponent služby, ktorý slúži ako rozhranie medzi klientom a dial-up službami. Je prítomný na konci ISP a poskytuje svojim používateľom prístup na internet. NAS je tiež samostatným prístupovým bodom pre vzdialených používateľov a slúži tiež ako brána na ochranu zdrojov v sieti.
Protokol RADIUS : RADIUS je skratka pre službu vzdialeného overenia typu dial-in. V zásade sa používa pre aplikácie ako prístup k sieti a mobilita IP. Na autentifikáciu účastníkov sú nasadené autentifikačné protokoly ako PAP alebo EAP.
RADIUS funguje na modeli klient-server, ktorý pracuje na aplikačnej vrstve a používa port TCP alebo UDP 1812. NAS, ktoré fungujú ako brány na prístup do siete, zahŕňajú klienta RADIUS aj komponenty servera RADIUS.
RADIUS pracuje na architektúre AAA a na dokončenie procesu teda používa dva formáty správ typu paketov, správu s požiadavkou na prístup pre autentizáciu a autorizáciu a požiadavku na účtovníctvo pre dohľad nad účtovníctvom.
Autentifikácia a autorizácia v RADIUS:
Dot Net Dotazy a odpovede pre skúsených
Koncový užívateľ pošle požiadavku na NAS, ktorá žiada o prístup do siete pomocou prístupových údajov. Potom NAS preposiela správu s požiadavkou na prístup RADIUS na server RADIUS zvýšením povolenia na prístup do siete.
Správa žiadosti obsahuje prístupové údaje, ako sú používateľské meno a heslo alebo digitálny podpis používateľa. Má tiež ďalšie údaje, ako je IP adresa, telefónne číslo používateľa atď.
Server RADIUS skúma údaje pomocou metód autentifikácie ako EAP alebo PAP. Po potvrdení informácií o poverení a ďalších relevantných údajov sa server vráti späť s touto odpoveďou.
# 1) Odmietnuť prístup : Prístup je odmietnutý, pretože predložený doklad totožnosti alebo prihlasovacie ID nie je platný alebo jeho platnosť vypršala.
# 2) Prístup k výzve : Okrem základných údajov o prístupových povereniach server vyžaduje na udelenie prístupu aj ďalšie informácie, napríklad OTP alebo PIN číslo. V zásade sa používa na zložitejšie overovanie.
# 3) Prístup - Prijať : Koncovému používateľovi bolo udelené povolenie na prístup. Po autentifikácii používateľa server v pravidelných intervaloch skúma, či je užívateľ oprávnený používať požadované sieťové služby. Na základe nastavení môže byť používateľovi povolený prístup iba k určitej službe, nie k ostatným.
Každá odpoveď RADIUS má tiež atribút odpovede na správu, ktorý predstavuje dôvod odmietnutia alebo prijatia.
Atribúty autorizácie, ako je sieťová adresa používateľa, typ poskytovanej služby, čas trvania relácie, sa tiež odovzdajú na NAS po udelení prístupu používateľovi.
Účtovníctvo:
Po udelení prístupu užívateľovi na prihlásenie do siete sa na obrázku objaví účtovná časť. Na označenie začatia prístupu používateľa do siete je NAS zaslaná na server RADIUS správa s požiadavkou na účtovanie RADIUS, ktorá sa skladá z atribútu „start“.
Atribút start pozostáva hlavne z identity používateľa, času začiatku a konca relácie a informácií týkajúcich sa siete.
Ak chce užívateľ reláciu ukončiť, NAS zverejní správu s požiadavkou na účtovanie RADIUS, ktorá pozostáva z atribútu „stop“ na zastavenie prístupu k sieti na server RADIUS. Poskytuje tiež motív na odpojenie a konečné použitie dát a ďalších služieb v sieti.
Na oplátku server RADIUS odošle správu s odpoveďou na účtovníctvo ako potvrdenie o vypnutí služieb a ukončí prístup používateľa k sieti.
Táto časť sa väčšinou používa pre aplikácie, kde sa vyžaduje štatistika a monitorovanie údajov.
Medzitým medzi tokom atribútov žiadosti o RADIUS a atribútov správ s odpoveďou bude NAS tiež posielať atribúty požiadaviek „interim-update“ na server RADIUS, aby aktualizoval sieť s najnovšími potrebnými údajmi.
802.1X
Je to jeden zo základných štandardných protokolov na riadenie prístupu do siete v systéme.
Scenár procesu autentifikácie zahŕňa koncové zariadenie, ktoré je známe ako prosebník, ktorý iniciuje požiadavku na službu, autentifikátor a autentifikačný server. Autentifikátor slúži ako ochrana siete a umožňuje prístup k požadujúcemu klientovi iba raz, kým sa neoverí identifikácia používateľa.
Podrobné fungovanie tohto protokolu je vysvetlené v časti 2 tohto tutoriálu.
Záver
Z tohto tutoriálu sme sa naučili, ako pomocou vyššie uvedených protokolov dostať do siete autentifikáciu, autorizáciu a zabezpečenie rezerv.
Analyzovali sme tiež, že tieto protokoly zaisťujú, že náš sieťový systém je zabezpečený pred neoprávnenými používateľmi, hackermi a vírusovými útokmi a že porozumie architektúre AAA.
Hlboké vedomosti o protokole 802.1X a protokole 802.11i, ktoré jasne špecifikujú skutočnosť, ako je možné riadiť prístup používateľa k sieti tak, aby poskytoval iba obmedzený prístup k klasifikovanej sieti.
Výukový program PREV | NEXT Tutorial
Odporúčané čítanie
- Čo je Wide Area Network (WAN): Príklady živej siete WAN
- Čo je to virtualizácia? Príklady virtualizácie sietí, dát, aplikácií a úložísk
- Základné kroky a nástroje na riešenie problémov so sieťou
- Čo je zabezpečenie siete: jej typy a správa
- Bezdrôtové siete LAN IEEE 802.11 a 802.11i a overovacie štandardy 802.1x
- Čo sú protokoly HTTP (Hypertext Transfer Protocol) a DHCP?
- Dôležité protokoly aplikačnej vrstvy: protokoly DNS, FTP, SMTP a MIME
- IPv4 vs IPv6: Aký je presný rozdiel