what is ip security
Kompletní průvodce bezpečnostními protokoly IP (IPSec), TACACS a AAA:
V předchozím tutoriálu jsme se dozvěděli o Protokoly HTTP a DHCP podrobně a také jsme se dozvěděli více o fungování protokolů přítomných v různých vrstvách modelu TCP / IP a referenčního modelu ISO-OSI.
Zde se seznámíme s tím, jak získat přístup k charakteristickým sítím a jaký druh procesu ověřování bude následovat, aby koncoví uživatelé dosáhli konkrétní sítě a přistupovali k jejím zdrojům a službám pomocí bezpečnostních protokolů.
Doporučené čtení => Průvodce po počítačových sítích
jaký je nejlepší stahovač hudby mp3
Existují stovky standardů a protokolů pro ověřování, šifrování, zabezpečení a přístup k síti. Zde však diskutujeme pouze o několika nejoblíbenějších protokolech.
Co se naučíte:
- Co je zabezpečení IP (IPSec)?
- TACACS (Terminal Access Controller Access Control System)
- AAA (ověřování, autorizace a účtování)
Co je zabezpečení IP (IPSec)?
IPSec je bezpečnostní protokol, který se používá k zajištění bezpečnosti v síťové vrstvě síťového systému. IPSec ověřuje a šifruje datové pakety přes síť IP.
Vlastnosti IPSec
- Chrání celkový datový paket vytvořený ve vrstvě IP, včetně záhlaví vyšších vrstev.
- IPSec funguje mezi dvěma různými sítěmi, a proto je přijetí bezpečnostních funkcí snadnější implementovat, aniž by došlo ke změnám v spuštěných aplikacích.
- Poskytuje také zabezpečení založené na hostiteli.
- Nejčastějším úkolem IPSec je zabezpečit síť VPN (virtuální privátní síť) mezi dvěma různými síťovými entitami.
Bezpečnostní funkce:
- Zdrojový a cílový uzel mohou přenášet zprávy v šifrované podobě a tím usnadnit důvěrnost datových paketů.
- Udržuje autentizaci a integritu dat.
- Zajištění ochrany proti virovým útokům prostřednictvím správy klíčů.
Provoz IPSec
- Práce IPSec je rozdělena do dvou dílčích částí. Prvním z nich je komunikace IPSec a druhým je internetová výměna klíčů (IKE).
- Komunikace IPSec je odpovědná za správu zabezpečené komunikace mezi dvěma uzly výměny pomocí bezpečnostních protokolů, jako je ověřovací hlavička (AH) a zapouzdřený SP (ESP).
- Zahrnuje také funkce, jako je zapouzdření, šifrování datových paketů a zpracování IP datagramu.
- IKE je druh protokolu správy klíčů, který se používá pro IPSec.
- To není nutný proces, protože správu klíčů lze provádět ručně, ale pro velké sítě je nasazena IKE.
Komunikační režimy IPSec
Existují dva druhy komunikačních režimů, tj. doprava a režim tunelu. Jelikož je však režim přenosu zadržen pro komunikaci mezi dvěma body, je režim tunelu nejrozšířenější.
V tunelovém režimu je do datového paketu přidána nová hlavička IP a je zapouzdřena před zavedením jakéhokoli bezpečnostního protokolu. V tomto lze prostřednictvím jedné brány bavit více relací komunikace.
Tok dat v režimu tunelu je zobrazen pomocí níže uvedeného diagramu.
Protokoly IPSec
Pro splnění bezpečnostních požadavků se používají bezpečnostní protokoly. Různá přidružení zabezpečení jsou vytvářena a udržována mezi dvěma uzly pomocí protokolů zabezpečení. Dva druhy bezpečnostních protokolů používaných protokolem IPSec zahrnují ověřovací hlavičku (AH) a zapouzdřující bezpečnostní datovou část (ESP).
Záhlaví autentizace (AH): Poskytuje ověřování uložením AH do datového paketu IP. Místo, kam by měla být jednotka záhlaví přidána, je založeno na použitém režimu komunikace.
Práce AH je založena na hashovacím algoritmu a klasifikovaném klíči, který lze také dekódovat uzly koncového uživatele. Zpracování je následující:
- Z pomoci SA (asociace zabezpečení) jsou shromažďovány informace o zdrojové a cílové IP a také který bezpečnostní protokol bude nasazen. Jakmile bude jasné, že AH bude nasazena, použije se záhlaví k určení hodnoty podrobných parametrů.
- AH má 32 bitů a parametry, jako je index sekvenčních parametrů a autentizační data ve spojení s SA, dodají tok protokolu.
Proces ověřování AH
Encapsulation Security Protocol (ESP): Tento protokol je schopen zajišťovat bezpečnostní služby, které nejsou charakterizovány protokolem AH, jako je soukromí, spolehlivost, autentizace a odolnost proti přehrávání. Série poskytovaných služeb závisí na možnostech zvolených v případě zahájení SA.
Proces ESP je následující:
- Jakmile bylo zjištěno, že se bude používat ESP, vypočítají se různé parametry záhlaví. ESP má dvě důležitá pole, tj. Záhlaví ESP a přívěs ESP. Celková hlavička má 32 bitů.
- Záhlaví má index bezpečnostních parametrů (SPI) a pořadové číslo, zatímco přívěs má délku polstrování polí, další specifikaci záhlaví a nejdůležitější autentizační data.
- Níže uvedený diagram ukazuje, jak je šifrování a ověřování poskytováno v ESP pomocí režimu komunikace v tunelu.
- Použité šifrovací algoritmy zahrnují DES, 3DES a AES. Ostatní lze také použít.
- Tajný klíč by měl být známý jak na konci odesílání, tak na konci přijímání, aby z nich mohli extrahovat požadovaný výstup.
Proces ověřování ESP
Asociace zabezpečení v IPSec
- SA je nedílnou součástí komunikace IPSec. Virtuální připojení mezi zdrojovým a cílovým hostitelem je nastaveno před výměnou dat mezi nimi a toto připojení se nazývá přidružení zabezpečení (SA).
- SA je kombinace parametrů, jako je zjištění šifrovacích a autentizačních protokolů, tajného klíče a jejich sdílení se dvěma entitami.
- SA jsou rozpoznány podle indexu bezpečnostních parametrů (SPI), který je uveden v záhlaví bezpečnostního protokolu.
- SA je jednoznačně identifikován podle SPI, cílové IP adresy a identifikátoru bezpečnostního protokolu.
- Hodnota SPI je libovolně vyvinuté číslo, které se používá k mapování příchozích datových paketů s příjemcem na konci přijímače, takže bude snadné identifikovat různé SA, které dosáhnou stejného bodu.
TACACS (Terminal Access Controller Access Control System)
Je to nejstarší protokol pro proces ověřování. Používá se v sítích UNIX, které umožňují vzdálenému uživateli předat přihlašovací uživatelské jméno a heslo ověřovacímu serveru, aby vyhodnotil přístup poskytnutý hostiteli klienta nebo nikoli v systému.
Protokol ve výchozím nastavení používá port 49 TCP nebo UDP a umožňuje hostiteli klienta potvrdit uživatelské jméno a heslo a předat dotaz ověřovacímu serveru TACACS. Server TACACS je známý jako démon TACACS nebo TACACSD, který zjišťuje, zda požadavek povolit a zakázat, a vrátí se s odpovědí.
Na základě odpovědi je přístup udělen nebo odepřen a uživatel se může přihlásit pomocí telefonického připojení. Procesu ověřování tedy dominuje TACACSD a příliš se nepoužívá.
Proto je TACACS přepínán pomocí TACACS + a RADIUS, které se dnes používají ve většině sítí. TACACS používá pro autentizaci architekturu AAA a k dokončení každého procesu zapojeného do autentizace se používají odlišné servery.
TACACS + pracuje na TCP a protokolu orientovaném na připojení. TACACS + před přenosem zašifruje celý datový paket, takže je méně náchylný k virovým útokům. Na vzdáleném konci se tajný klíč používá k dešifrování celých dat do původního.
AAA (ověřování, autorizace a účtování)
Jedná se o architekturu zabezpečení počítače a pro zajištění autentizace se podle této architektury řídí různé protokoly.
Princip fungování těchto tří kroků je následující:
Ověření: Určuje, že uživatelský klient, který požaduje službu, je bonafidní uživatel. Proces se provádí předložením pověření, jako je jednorázové heslo (OTP), digitální certifikát nebo prostřednictvím telefonního hovoru.
Oprávnění: Na základě typu služby povolené uživateli a na základě omezení uživatele je uživateli udělena autorizace. Mezi služby patří směrování, přidělování IP, správa provozu atd.
Účetnictví: Účetnictví je nasazeno pro účely správy a plánování. Obsahuje všechny potřebné informace, jako je to, kdy konkrétní služba začne a skončí, totožnost uživatele a použité služby atd.
Server bude poskytovat všechny výše uvedené služby a doručovat je klientům.
Protokoly AAA : Jak víme, v minulosti byly pro proces ověřování použity TACACS a TACACS +. Nyní však existuje ještě jeden protokol známý jako RADIUS, který je založen na AAA a je široce používán v celém síťovém systému.
Server pro přístup k síti: Jedná se o komponentu služby, která funguje jako rozhraní mezi klientem a dial-up službami. Je přítomen na konci ISP a poskytuje svým uživatelům přístup k internetu. NAS je také samostatným přístupovým bodem pro vzdálené uživatele a funguje také jako brána k ochraně zdrojů v síti.
Protokol RADIUS : RADIUS je zkratka pro vzdálenou autentizaci dial-in uživatelské služby. V zásadě se používá pro aplikace, jako je přístup k síti a mobilita IP. Ověřovací protokoly jako PAP nebo EAP jsou nasazeny k ověřování předplatitelů.
RADIUS funguje na modelu klient-server, který pracuje na aplikační vrstvě a používá port TCP nebo UDP 1812. NAS, které fungují jako brány pro přístup k síti, zahrnují jak klienta RADIUS, tak i komponenty serveru RADIUS.
RADIUS pracuje na architektuře AAA, a tak k dokončení procesu používá dva formáty zpráv typu paketu, zprávu s požadavkem na přístup pro autentizaci a autorizaci a požadavek na účetnictví pro dohled nad účtováním.
Ověření a autorizace v RADIUS:
ai software pro PC ke stažení zdarma
Koncový uživatel odešle požadavek na NAS, který požaduje přístup do sítě pomocí přístupových údajů. Poté NAS předá zprávu požadavku na přístup RADIUS na server RADIUS zvýšením oprávnění pro přístup k síti.
Zpráva požadavku se skládá z přístupových údajů, jako je uživatelské jméno a heslo nebo digitální podpis uživatele. Má také další data, jako je IP adresa, telefonní číslo uživatele atd.
Server RADIUS zkoumá data pomocí metod ověřování, jako je EAP nebo PAP. Po potvrzení údajů o pověření a dalších příslušných údajů se server vrátí s touto odpovědí zpět.
# 1) Přístup odmítnout : Přístup je odmítnut, protože předložený důkaz totožnosti nebo přihlašovací ID není platný nebo jeho platnost vypršela.
# 2) Získejte výzvu : Kromě základních údajů o pověření přístupu vyžaduje server k udělení přístupu také další informace, jako je OTP nebo číslo PIN. V zásadě se používá pro složitější ověřování.
# 3) Přístup-Přijmout : Koncovému uživateli bylo uděleno přístupové oprávnění. Po ověření uživatele server v pravidelných intervalech zkoumá, zda je uživatel oprávněn používat požadované síťové služby. Na základě nastavení může být uživateli povolen přístup pouze k určité službě, nikoli k ostatním.
Každá odpověď RADIUS má také atribut zprávy odpovědi, který uvádí důvod odmítnutí nebo přijetí.
Atributy autorizace, jako je síťová adresa uživatele, typ udělené služby, doba trvání relace, se po udělení přístupu uživateli předávají také na NAS.
Účetnictví:
Poté, co je uživateli udělen přístup k přihlášení do sítě, přichází na scénu účetní část. K označení zahájení přístupu uživatele do sítě je NAS zaslána na server RADIUS zpráva s požadavkem na účtování RADIUS, která se skládá z atributu „start“.
Atribut start se skládá hlavně z identity uživatele, času zahájení a ukončení relace a informací souvisejících se sítí.
Pokud chce uživatel relaci ukončit, NAS zveřejní zprávu požadavku na účtování RADIUS, která se skládá z atributu „stop“, který zastaví přístup k síti na server RADIUS. Poskytuje také motiv pro odpojení a konečné použití dat a dalších služeb sítě.
Na oplátku server RADIUS odešle zprávu s odpovědí na účetnictví jako potvrzení o vypnutí služeb a ukončí přístup uživatele k síti.
Tato část se většinou používá pro aplikace, kde je vyžadována statistika a monitorování dat.
Mezitím NAS mezi tokem atributů požadavku RADIUS a zpráv zprávy odpovědi pošle také atributy požadavku „prozatímní aktualizace“ na server RADIUS, aby aktualizoval síť s některými nejnovějšími potřebnými daty.
802.1X
Je to jeden ze základních standardních protokolů pro řízení přístupu k síti v systému.
Scénář procesu ověřování zahrnuje koncové zařízení, které je známé jako žadatel, který iniciuje požadavek na službu, ověřovatele a ověřovací server. Autentizátor funguje jako ochrana sítě a umožňuje přístup k žádajícímu klientovi pouze jednou, dokud není ověřena identifikace uživatele.
Podrobná práce s tímto protokolem je vysvětlena v části 2 tohoto tutoriálu.
Závěr
Z tohoto tutoriálu jsme se naučili, jak pomocí výše zmíněných protokolů získat do sítě ověřování, autorizaci a zabezpečení rezerv.
Analyzovali jsme také, že tyto protokoly zajišťují zabezpečení našeho síťového systému před neoprávněnými uživateli, hackery a virovými útoky a umožňují pochopení architektury AAA.
Hluboké znalosti protokolu 802.1X a protokolu 802.11i, které jasně specifikují skutečnost, jak lze kontrolovat přístup uživatele k síti, aby poskytoval pouze omezený přístup k klasifikované síti.
Výukový program PREV | DALŠÍ výuka
Doporučené čtení
- Co je Wide Area Network (WAN): Live WAN Network examples
- Co je to virtualizace? Příklady virtualizace sítí, dat, aplikací a úložišť
- Základní kroky a nástroje pro řešení potíží se sítí
- Co je Zabezpečení sítě: jeho typy a správa
- Standardy bezdrátové sítě LAN IEEE 802.11 a 802.11i a ověřovací standardy 802.1x
- Co jsou protokoly HTTP (Hypertext Transfer Protocol) a DHCP?
- Důležité protokoly aplikační vrstvy: protokoly DNS, FTP, SMTP a MIME
- IPv4 vs IPv6: Jaký je přesný rozdíl