what is ip security
Ghid complet de securitate IP (IPSec), TACACS și protocoale de securitate de acces la rețea AAA:
În tutorialul anterior, am aflat despre Protocoale HTTP și DHCP în detaliu și, de asemenea, am aflat mai multe despre funcționarea protocoalelor prezente la diferite straturi ale modelului TCP / IP și modelului de referință ISO-OSI.
Aici vom afla cum să obținem acces la rețele distinctive și ce fel de proces de autentificare va fi urmat de utilizatorii finali pentru a ajunge la o anumită rețea și pentru a accesa resursele și serviciile acesteia cu ajutorul protocoalelor de securitate.
Citiți recomandat => Ghid pentru rețele de calculatoare
Există sute de standarde și protocoale pentru autentificare, criptare, securitate și acces la rețea. Dar aici discutăm doar câteva dintre cele mai utilizate protocoale.
Ce veți învăța:
- Ce este securitatea IP (IPSec)?
- TACACS (Terminal Control Controller Access Control System)
- AAA (autentificare, autorizare și contabilitate)
Ce este securitatea IP (IPSec)?
IPSec este un protocol de securitate care este utilizat pentru a oferi securitate la nivelul rețelei sistemului de rețea. IPSec autentifică și criptează pachetele de date printr-o rețea IP.
Caracteristicile IPSec
- Păstrează pachetul de date general produs la nivelul IP, inclusiv al antetelor de nivel superior.
- IPSec funcționează între două rețele diferite, prin urmare, adoptarea caracteristicilor de securitate este mai ușor de implementat fără a face modificări în aplicațiile care rulează.
- Furnizează și securitate bazată pe gazdă.
- Cea mai frecventă sarcină a IPSec este securizarea rețelei VPN (o rețea privată virtuală) între două entități de rețea diferite.
Funcții de securitate:
- Nodurile sursă și destinație pot transmite mesaje în formă criptată și astfel pot facilita confidențialitatea pachetelor de date.
- Menține autentificarea și integritatea datelor.
- Oferă protecție împotriva atacurilor de viruși prin gestionarea cheilor.
Funcționarea IPSec
- Funcționarea IPSec este împărțită în două sub-părți. Primul este comunicarea IPSec, iar al doilea este schimbul de chei pe Internet (IKE).
- Comunicarea IPSec este responsabilă pentru gestionarea comunicării sigure între două noduri de schimb prin utilizarea protocoalelor de securitate precum antetul de autentificare (AH) și Encapsulated SP (ESP).
- De asemenea, include funcții precum încapsularea, criptarea pachetelor de date și prelucrarea datagramei IP.
- IKE este un fel de protocol de gestionare a cheilor care este utilizat pentru IPSec.
- Acesta nu este un proces necesar, deoarece gestionarea cheilor poate fi efectuată manual, dar pentru rețele uriașe este implementat IKE.
Moduri de comunicare IPSec
Există două tipuri de moduri de comunicare, i, e. transport și modul tunel. Cu toate acestea, întrucât modul de transport este reținut pentru comunicarea punct la punct, modul tunel este cel mai răspândit.
În modul tunel, noul antet IP este adăugat în pachetul de date și este încapsulat înainte de a introduce vreun protocol de securitate. În acest sens, printr-un singur gateway, pot fi distrate mai multe sesiuni de comunicații.
Fluxul de date în modul tunel este prezentat cu ajutorul diagramei de mai jos.
care video downloader mp4 este compatibil cu youtube
Protocoale IPSec
Protocoalele de securitate sunt utilizate pentru a îndeplini cerințele de securitate. Diverse asociații de securitate sunt construite și întreținute între două noduri folosind protocoale de securitate. Cele două tipuri de protocoale de securitate utilizate de IPSec includ antetul de autentificare (AH) și încapsularea securității utile (ESP).
Antet de autentificare (AH): Prevederile sale autentificare prin impunerea AH în pachetul de date IP. Locul în care ar trebui adăugată unitatea antet se bazează pe modul de comunicare utilizat.
Funcționarea AH se bazează pe algoritmul de hashing și pe o cheie clasificată care poate fi decodificată și de nodurile utilizatorului final. Procesarea este după cum urmează:
- Din ajutorul SA (asociația de securitate) sunt colectate informațiile IP sursă și destinație și care protocol de securitate urmează să fie implementat. Odată ce a devenit clar, că AH va fi implementat, iar antetul este utilizat pentru a determina valoarea parametrilor detaliați.
- AH are 32 de biți și parametri precum indexul parametrilor de secvență și datele de autentificare în asociere cu SA vor furniza fluxul de protocol.
Procesul de autentificare AH
Protocol de securitate a încapsulării (ESP): Acest protocol este capabil să furnizeze servicii de securitate care nu sunt caracterizate de protocolul AH, cum ar fi confidențialitatea, fiabilitatea, autentificarea și rezistența la redare. Seria de servicii acordate depinde de opțiunile alese în cazul inițierii SA.
Procesul ESP este următorul:
- Odată ce s-a identificat că ESP va fi utilizat, se calculează diferiții parametri ai antetelor. ESP are două domenii importante, adică antetul ESP și remorca ESP. Antetul general este de 32 de biți.
- Antetul are indicele parametrilor de securitate (SPI) și numărul secvenței în timp ce remorca are lungimea de umplere a câmpurilor, următoarea specificație a antetului și, cel mai important, datele de autentificare.
- Diagrama de mai jos este arătată cum sunt furnizate criptarea și autentificarea în ESP utilizând modul de comunicație în tunel.
- Algoritmii de criptare utilizați includ DES, 3DES și AES. Celelalte pot fi, de asemenea, utilizate.
- Cheia secretă ar trebui să fie cunoscută atât la capătul de trimitere, cât și la capătul de primire, astfel încât să poată extrage rezultatul dorit din ele.
Proces de autentificare ESP
Asociația de securitate în IPSec
- SA este o parte integrantă a comunicării IPSec. Conectivitatea virtuală între sursa și gazda de destinație este configurată înainte de schimbul de date între ele, iar această conexiune se numește asociere de securitate (SA).
- SA este o combinație de parametri precum găsirea protocoalelor de criptare și autentificare, cheia secretă și partajarea acestora cu două entități.
- SA-urile sunt recunoscute după numărul indicelui parametrilor de securitate (SPI) care este prezent în antetul protocolului de securitate.
- SA este identificat în mod distinct prin SPI, adresa IP de destinație și un identificator de protocol de securitate.
- Valoarea SPI este un număr evoluat arbitrar care este utilizat pentru a mapa pachetele de date primite cu cel al destinatarului la capătul receptorului, astfel încât să devină simplu să identifice diferitele SA care ajung în același punct.
TACACS (Terminal Control Controller Access Control System)
Este cel mai vechi protocol pentru procesul de autentificare. A fost utilizat în rețelele UNIX, care permite unui utilizator la distanță să transmită numele de utilizator și parola de conectare la un server de autentificare pentru a evalua accesul acordat clientului gazdă sau nu într-un sistem.
Protocolul folosește implicit portul 49 al TCP sau UDP și permite clientului gazdă să confirme numele de utilizator și parola și să redirecționeze o interogare către serverul de autentificare TACACS. Serverul TACACS este cunoscut sub numele de daemon TACACS sau TACACSD, care află dacă să permită și să respingă solicitarea și revine cu un răspuns.
Pe baza răspunsului, accesul este acordat sau refuzat, iar utilizatorul se poate conecta utilizând conexiuni dial-up. Astfel, procesul de autentificare este dominat de TACACSD și nu este foarte utilizat.
Prin urmare, TACACS este transferat de TACACS + și RADIUS, care au fost utilizate în majoritatea rețelelor în aceste zile. TACACS utilizează arhitectura AAA pentru autentificare și servere distincte sunt utilizate pentru a finaliza fiecare proces implicat în autentificare.
TACACS + funcționează pe TCP și protocol orientat spre conexiune. TACACS + criptează întregul pachet de date înainte de a transmite astfel încât este mai puțin predispus la atacuri de virus. La capătul de la distanță, cheia secretă este utilizată pentru a decripta toate datele în cea originală.
AAA (autentificare, autorizare și contabilitate)
Aceasta este o arhitectură de securitate a computerului și diverse protocoale urmăresc această arhitectură pentru asigurarea autentificării.
Principiul de lucru al acestor trei etape este următorul:
Autentificare: Specifică faptul că clientul utilizator care solicită un serviciu este un utilizator de bună-credință. Procesul se desfășoară prin prezentarea acreditării, cum ar fi o parolă unică (OTP), certificat digital sau prin apel telefonic.
Autorizare: Pe baza tipului de serviciu permis utilizatorului și pe baza restricției de utilizare, autorizația este acordată utilizatorului. Serviciile includ rutare, alocare IP, gestionarea traficului etc.
Contabilitate: Contabilitatea este implementată în scopuri de management și planificare. Conține toate informațiile necesare, cum ar fi momentul în care un anumit serviciu va începe și se va termina, identitatea utilizatorului și serviciile utilizate etc.
Serverul va furniza toate serviciile de mai sus și le va livra clienților.
Protocoale AAA : După cum știm, în trecut TACACS și TACACS + au fost utilizate pentru procesul de autentificare. Dar acum există încă un protocol cunoscut sub numele de RADIUS, care este bazat pe AAA și este utilizat pe scară largă peste tot în sistemul de rețea.
Server de acces la rețea: Este o componentă de serviciu care acționează ca o interfață între client și servicii dial-up. Este prezent la sfârșitul ISP pentru a oferi acces la internet utilizatorilor săi. NAS este, de asemenea, un punct de acces solo pentru utilizatorii la distanță și acționează, de asemenea, ca o poartă de acces pentru protejarea resurselor rețelei.
Protocol RADIUS : RADIUS înseamnă serviciul de autentificare la distanță pentru autentificare la distanță. Este practic utilizat pentru aplicații precum accesul la rețea și mobilitatea IP. Protocoalele de autentificare precum PAP sau EAP sunt implementate pentru autentificarea abonaților.
RADIUS funcționează pe modelul client-server care operează pe stratul de aplicație și utilizează portul TCP sau UDP 1812. NAS care acționează ca gateway-uri pentru a accesa o rețea include atât clientul RADIUS, cât și componentele serverului RADIUS.
RADIUS funcționează pe arhitectura AAA și utilizează astfel două formate de mesaje de tip pachet pentru a realiza procesul, un mesaj de cerere de acces pentru autentificare și autorizare și cerere de contabilitate pentru supravegherea contabilității.
Autentificare și autorizare în RADIUS:
Utilizatorul final trimite o cerere către NAS care caută acces la rețea utilizând acreditările de acces. Apoi NAS transmite un mesaj de solicitare de acces RADIUS către serverul RADIUS, prin creșterea permisiunii de acces la rețea.
Mesajul de solicitare cuprinde acreditări de acces precum numele de utilizator și parola sau semnătura digitală a utilizatorului. De asemenea, are alte date, cum ar fi adresa IP, numărul de telefon al utilizatorului etc.
Serverul RADIUS examinează datele folosind metode de autentificare precum EAP sau PAP. După confirmarea informațiilor de acreditare și a altor date relevante, serverul revine cu acest răspuns.
# 1) Respingere acces : Accesul este respins deoarece dovada de identitate sau ID-ul de autentificare trimis nu este valid sau expirat.
# 2) Provocarea accesului : În afară de datele de acreditare de acces de bază, serverul necesită și alte informații pentru a acorda acces, cum ar fi numărul OTP sau numărul PIN. Este practic utilizat pentru autentificare mai sofisticată.
# 3) Acces-Accept : Permisiunea de acces a fost acordată utilizatorului final. După autentificarea utilizatorului, serverul pe un interval regulat de timp examinează dacă utilizatorul este autorizat să utilizeze serviciile de rețea solicitate. Pe baza setărilor, utilizatorului i se poate permite accesul la un anumit serviciu și nu la celelalte.
Fiecare răspuns RADIUS are și un atribut de răspuns-mesaj care prezintă motivul respingerii sau acceptării.
Atributele de autorizare, cum ar fi adresa de rețea a utilizatorului, tipul de serviciu acordat, durata sesiunii, de asemenea, se transmite către NAS după ce accesul este acordat utilizatorului.
Contabilitate:
După ce accesul este acordat utilizatorului pentru a se conecta la rețea, partea contabilă intră în imagine. Pentru a indica inițierea accesului utilizatorului la rețea, un mesaj de solicitare de contabilitate RADIUS care constă din atributul „start” este trimis de NAS către serverul RADIUS.
Atributul de început constă în principal din identitatea utilizatorului, ora de începere și de încheiere a sesiunii și informații legate de rețea.
Când utilizatorul dorește să închidă sesiunea, NAS va publica un mesaj de solicitare de contabilitate RADIUS care constă dintr-un atribut „stop” pentru a opri accesul la rețea la serverul RADIUS. De asemenea, oferă motivul deconectării și utilizării finale a datelor și a altor servicii ale rețelei.
În schimb, serverul RADIUS trimite mesajul de răspuns contabil ca confirmare pentru oprirea serviciilor și pune capăt accesului utilizatorului la rețea.
Această parte este utilizată mai ales pentru aplicații în care sunt necesare statistici și monitorizarea datelor.
Între timp, între fluxul de cereri RADIUS și atributele mesajului de răspuns, NAS va trimite, de asemenea, atribute de cerere „actualizare intermediară” către serverul RADIUS pentru a actualiza rețeaua cu câteva date necesare cele mai recente.
802.1X
Este unul dintre protocoalele standard de bază pentru controlul accesului la rețea într-un sistem.
Scenariul procesului de autentificare implică un dispozitiv final cunoscut sub numele de solicitant, care inițiază cererea de service, autentificatorul și serverul de autentificare. Autentificatorul acționează ca o protecție pentru rețea și permite accesul la clientul solicitant o singură dată până când identificarea utilizatorului a fost verificată.
Funcționarea detaliată a acestui protocol este explicată în partea 2 a acestui tutorial.
Concluzie
Din acest tutorial, am învățat cum să obținem autentificarea, autorizarea și securitatea prevederilor în rețea cu ajutorul protocoalelor menționate mai sus.
De asemenea, am analizat că aceste protocoale fac ca sistemul nostru de rețea să fie protejat de utilizatori neautorizați, hackeri și atacuri de viruși și să înțeleagă arhitectura AAA.
Cunoștințe profunde despre protocolul 802.1X și protocolul 802.11i care specifică în mod clar faptul că accesul utilizatorului la o rețea poate fi controlat pentru a oferi acces limitat doar la o rețea clasificată.
PREV Tutorial | NEXT Tutorial
Lectură recomandată
- Ce este rețeaua de rețea largă (WAN): exemple de rețea WAN live
- Ce este virtualizarea? Exemple de virtualizare în rețea, date, aplicații și stocare
- Pași și instrumente de bază pentru depanarea rețelei
- Ce este securitatea rețelei: tipurile și gestionarea sa
- LAN fără fir IEEE 802.11 și 802.11i și standarde de autentificare 802.1x
- Ce sunt protocolurile HTTP (Hypertext Transfer Protocol) și DHCP?
- Protocoale importante ale straturilor de aplicație: protocoale DNS, FTP, SMTP și MIME
- IPv4 vs IPv6: Care este diferența exactă