Meni

Što su IP sigurnost (IPSec), TACACS i AAA sigurnosni protokoli

  • Glavni
  • Ostalo
  • Što su IP sigurnost (IPSec), TACACS i AAA sigurnosni protokoli

what is ip security

Isprobajte Naš Instrument Za Uklanjanje Problema

Cjelovit vodič za IP zaštitu (IPSec), TACACS i AAA protokole sigurnosnog pristupa mreži:

U prethodnom uputstvu saznali smo o HTTP i DHCP protokoli detaljno, a također smo saznali više o radu protokola prisutnih na različitim slojevima TCP / IP modela i ISO-OSI referentnog modela.

Ovdje ćemo upoznati kako doći do pristupa prepoznatljivim mrežama i kakav će postupak provjere autentičnosti slijediti krajnji korisnici da bi došli do određene mreže i pristupili njezinim resursima i uslugama uz pomoć sigurnosnih protokola.

Preporučeno čitanje => Vodič za računalno umrežavanje

Sigurnosni protokoli mrežnog pristupa-Dio-1

Postoje stotine standarda i protokola za provjeru autentičnosti, šifriranje, sigurnost i mrežni pristup. Ali ovdje razgovaramo o samo nekoliko najpopularnijih protokola.

Što ćete naučiti:

Što je IP sigurnost (IPSec)?

IPSec je sigurnosni protokol koji se koristi za pružanje sigurnosti na mrežnom sloju mrežnog sustava. IPSec provjerava autentičnost i šifrira podatkovne pakete putem IP mreže.

kako otvoriti jar datoteku na Windows 10

Značajke IPSeca

  • Štiti cjelokupni paket podataka proizveden na IP sloju, uključujući zaglavlja višeg sloja.
  • IPSec radi između dvije različite mreže, pa je usvajanje sigurnosnih značajki lakše implementirati bez ikakvih promjena u pokrenutim aplikacijama.
  • Odredbe i sigurnosti temeljene na hostu.
  • Najčešći zadatak IPSeca je osigurati VPN mrežu (virtualnu privatnu mrežu) između dva različita mrežna entiteta.

Sigurnosne funkcije:

  • Izvorni i odredišni čvorovi mogu prenositi poruke u šifriranom obliku i na taj način olakšavati povjerljivost paketa podataka.
  • Održava provjeru autentičnosti i integritet podataka.
  • Omogućuje zaštitu od napada virusa putem upravljanja ključevima.

Rad IPSeca

  • Rad IPSeca podijeljen je u dva poddijela. Prva je IPSec komunikacija, a druga je razmjena internetskih ključeva (IKE).
  • IPSec komunikacija odgovorna je za upravljanje sigurnom komunikacijom između dva čvora za razmjenu pomoću sigurnosnih protokola poput zaglavlja za provjeru autentičnosti (AH) i enkapsuliranog SP-a (ESP).
  • Također uključuje funkcije kao što su enkapsulacija, šifriranje paketa podataka i obrada IP datagrama.
  • IKE je vrsta protokola za upravljanje ključevima koji se koristi za IPSec.
  • To nije potreban postupak jer se upravljanje ključevima može izvršiti ručno, ali za velike mreže IKE je postavljen.

Načini komunikacije IPSec

Postoje dvije vrste načina komunikacije, tj. prijevoz i način tunela. Međutim, kako se način prijevoza zadržava za komunikaciju od točke do točke, način tunela je najšire primijenjen.

U načinu tunela, novo zaglavlje IP dodaje se u podatkovni paket i enkapsulira se prije nego što uvedemo bilo koji sigurnosni protokol. U tome se, kroz jedan pristupnik, može zabaviti više sesija komunikacije.

Protok podataka u načinu tunela prikazan je uz pomoć donjeg dijagrama.

IP sec način komunikacije

IPSec protokoli

Sigurnosni protokoli koriste se za ispunjavanje sigurnosnih zahtjeva. Različite sigurnosne asocijacije grade se i održavaju između dva čvora pomoću sigurnosnih protokola. Dvije vrste sigurnosnih protokola koje koristi IPSec uključuju zaglavlje za provjeru autentičnosti (AH) i enkapsulaciju sigurnosnog korisnog tereta (ESP).

Zaglavlje za provjeru autentičnosti (AH): Njegova odredba utvrđuje autentičnost nametanjem AH u IP paket podataka. Mjesto na koje treba dodati zaglavlje temelji se na načinu korištenja komunikacije.

Rad AH-a temelji se na algoritmu za raspršivanje i klasificiranom ključu koji također mogu dekodirati čvorovi krajnjeg korisnika. Obrada je sljedeća:

  • Uz pomoć SA (sigurnosne asocijacije) prikupljaju se izvorne i odredišne ​​IP informacije i koji će sigurnosni protokol biti postavljen. Jednom kada postane jasno, AH će biti postavljen, a zaglavlje se koristi za određivanje vrijednosti detaljnih parametara.
  • AH ima 32 bita, a parametri poput indeksa parametara sekvence i podataka za provjeru autentičnosti u suradnji sa SA isporučit će protok protoka.

AH postupak provjere autentičnosti

AH

Sigurnosni protokol enkapsulacije (ESP): Ovaj protokol je u mogućnosti pružiti sigurnosne usluge koje nisu karakterizirane AH protokolom poput privatnosti, pouzdanosti, provjere autentičnosti i otpora reprodukciji. Serija dodijeljenih usluga ovisi o odabranim opcijama u slučaju pokretanja SA.

Postupak ESP-a je sljedeći:

  • Jednom kada se utvrdi da će se ESP koristiti, izračunavaju se različiti parametri zaglavlja. ESP ima dva važna polja, tj. ESP zaglavlje i ESP prikolicu. Ukupno je zaglavlje 32-bitno.
  • Zaglavlje ima indeks sigurnosnih parametara (SPI) i redni broj, dok prikolica ima polja duljine dodavanja, sljedeću specifikaciju zaglavlja i najvažnije podatke za provjeru autentičnosti.
  • Dijagram ispod prikazuje kako se šifriranje i provjera autentičnosti pružaju u ESP-u pomoću tunelskog načina komunikacije.
  • Korišteni algoritmi šifriranja uključuju DES, 3DES i AES. Ostali se također mogu koristiti.
  • Tajni ključ trebao bi biti poznat i na kraju slanja i na kraju prijema kako bi mogli iz njih izvući željeni izlaz.

ESP postupak provjere autentičnosti

ESP

Udruga za sigurnost u IPSecu

  • SA je sastavni dio IPSec komunikacije. Virtualna povezanost između izvora i odredišnog domaćina postavlja se prije razmjene podataka između njih, a ta se veza naziva sigurnosna asocijacija (SA).
  • SA je kombinacija parametara poput pronalaženja protokola šifriranja i provjere autentičnosti, tajnog ključa i dijeljenja s dva entiteta.
  • SA se prepoznaju po broju indeksa sigurnosnih parametara (SPI) koji je prisutan u zaglavlju sigurnosnog protokola.
  • SA je prepoznatljivo identificiran SPI-om, IP adresom odredišta i identifikatorom sigurnosnog protokola.
  • Vrijednost SPI proizvoljni je evoluirani broj koji se koristi za mapiranje dolaznih podatkovnih paketa s primateljevim na kraju prijemnika, tako da će biti lako prepoznati različite SA koji dosežu istu točku.

TACACS (Sustav kontrole pristupa upravljača terminala)

To je najstariji protokol za postupak provjere autentičnosti. Korišten je u UNIX mrežama što dopušta udaljenom korisniku da proslijedi korisničko ime i lozinku za prijavu na poslužitelj za provjeru autentičnosti kako bi procijenio pristup odobren klijentskom hostu ili ne u sustavu.

Protokol prema zadanim postavkama koristi port 49 TCP ili UDP i omogućuje klijentskom hostu da prizna korisničko ime i lozinku i proslijedi upit TACACS poslužitelju za provjeru autentičnosti. TACACS poslužitelj poznat je kao TACACS demon ili TACACSD koji saznaje treba li dopustiti i odbiti zahtjev i vraća se s odgovorom.

Na temelju odgovora pristup se odobrava ili odbija, a korisnik se može prijaviti pomoću modemskih veza. Stoga postupkom provjere autentičnosti dominira TACACSD i on se ne koristi previše.

Stoga TACACS prebacuju TACACS + i RADIUS koji se danas koriste u većini mreža. TACACS koristi AAA arhitekturu za provjeru autentičnosti, a različiti poslužitelji koriste se za dovršavanje svakog postupka koji je uključen u provjeru autentičnosti.

TACACS + radi na TCP-u i protokolu orijentiranom na vezu. TACACS + šifrira cijeli podatkovni paket prije slanja, tako da je manje sklon virusnim napadima. Na udaljenom kraju tajni se ključ koristi za dešifriranje cijelih podataka u izvorni.

TAKACI

AAA (autentifikacija, autorizacija i računovodstvo)

Ovo je arhitektura računalne sigurnosti i različiti protokoli slijede je za osiguravanje provjere autentičnosti.

Princip rada ova tri koraka je sljedeći:

Ovjera: Određuje da je korisnički klijent koji traži uslugu bonafide korisnik. Postupak se izvodi predavanjem vjerodajnica poput jednokratne lozinke (OTP), digitalnog certifikata ili putem telefonskog poziva.

Odobrenje: Na temelju vrste usluge koja je dopuštena korisniku i na temelju korisničkih ograničenja, autorizacija se daje korisniku. Usluge uključuju usmjeravanje, dodjelu IP-a, upravljanje prometom itd.

Računovodstvo: Računovodstvo je raspoređeno u svrhu upravljanja i planiranja. Sadrži sve potrebne informacije poput kada će određena usluga započeti i završiti, identitet korisnika i korištene usluge itd.

Poslužitelj će pružiti sve gore navedene usluge i isporučiti ih klijentima.

AAA protokoli : Kao što znamo, u prošlosti su se TACACS i TACACS + koristili za postupak provjere autentičnosti. Ali sada postoji još jedan protokol poznat kao RADIUS koji se temelji na AAA i koji se široko koristi u mrežnom sustavu.

Mrežni pristupni poslužitelj: To je komponenta usluge koja djeluje kao sučelje između klijenta i dial-up usluga. Prisutan je na kraju ISP-a i pruža pristup internetu svojim korisnicima. NAS je također samostalna pristupna točka za udaljene korisnike i također djeluje kao pristupnik za zaštitu mrežnih resursa.

RADIUS protokol : RADIUS je skraćenica za daljinsku provjeru autentičnosti korisničkog servisa. U osnovi se koristi za aplikacije poput mrežnog pristupa i IP mobilnosti. Protokoli za provjeru autentičnosti, poput PAP ili EAP, postavljaju se za provjeru identiteta pretplatnika.

RADIUS radi na modelu klijent-poslužitelj koji djeluje na aplikacijskom sloju i koristi TCP ili UDP port 1812. NAS koji djeluje kao pristupnici za pristup mreži uključuje i RADIUS klijent kao i komponente RADIUS poslužitelja.

RADIUS radi na AAA arhitekturi i na taj način koristi dva formata paketa tipa poruka za postizanje procesa, poruku zahtjeva za pristup za provjeru autentičnosti i autorizaciju te zahtjev za računovodstvo za nadzor računovodstva.

Autentifikacija i autorizacija u RADIUS-u:

pitanja i odgovori za napredni sql intervju pdf

Krajnji korisnik šalje NAS NAS-u tražeći pristup mreži koristeći se vjerodajnicama za pristup. Tada NAS prosljeđuje poruku zahtjeva za pristup RADIUS-u RADIUS poslužitelju, podizanjem dozvole za pristup mreži.

Poruka zahtjeva sastoji se od vjerodajnica za pristup poput korisničkog imena i lozinke ili digitalnog potpisa korisnika. Također ima i druge podatke poput IP adrese, telefonskog broja korisnika itd.

RADIUS poslužitelj ispituje podatke pomoću metoda provjere autentičnosti poput EAP-a ili PAP-a. Nakon potvrde podataka o vjerodajnicama i ostalih relevantnih podataka, poslužitelj se vraća natrag s ovim odgovorom.

RADIUS Provjera autentičnosti i autorizacije

# 1) Odbijanje pristupa : Pristup je odbijen jer dostavljeni dokaz o identitetu ili ID za prijavu nije važeći ili je istekao.

# 2) Pristup izazovu : Osim osnovnih podataka o vjerodajnicama, poslužitelj zahtijeva i druge podatke za odobravanje pristupa poput OTP-a ili PIN broja. U osnovi se koristi za sofisticiraniju provjeru autentičnosti.

# 3) Pristup-Prihvaćam : Dozvola za pristup dana je krajnjem korisniku. Nakon provjere autentičnosti korisnika, poslužitelj redovito provjerava je li korisnik ovlašten koristiti tražene mrežne usluge. Na temelju postavki, korisniku se može dopustiti pristup samo određenoj usluzi, ali ne i ostalim.

Svaki RADIUS odgovor također ima atribut odgovor-poruka koji predstavlja razlog odbijanja ili prihvaćanja.

Atributi autorizacije poput mrežne adrese korisnika, vrste odobrene usluge i vremena trajanja sesije također se prenose na NAS nakon što je korisniku odobren pristup.

Računovodstvo:

Nakon što se korisniku odobri pristup za prijavu u mrežu, na slici dolazi računovodstveni dio. Za označavanje pokretanja korisničkog pristupa mreži NAS šalje RADIUS poslužitelju poruku zahtjeva za obračun RADIUS-a koja se sastoji od atributa 'start'.

Atribut start uglavnom se sastoji od korisnikova identiteta, vremena početka i završetka sesije i informacija povezanih s mrežom.

Kada korisnik želi zatvoriti sesiju, NAS će objaviti poruku zahtjeva za obračun RADIUS-a koja se sastoji od atributa 'stop' za zaustavljanje pristupa mreži RADIUS poslužitelju. Također pruža motiv za prekid veze i konačnu upotrebu podataka i ostalih usluga mreže.

Zauzvrat, RADIUS poslužitelj šalje računovodstvenu poruku odgovora kao potvrdu za isključivanje usluga i ukida pristup korisnika mreži.

RADIUS računovodstveni tok

Ovaj se dio uglavnom koristi za aplikacije u kojima je potrebna statistika i nadzor podataka.

U međuvremenu, između protoka RADIUS zahtjeva i atributa poruke odgovora, NAS će također poslati atribute zahtjeva za privremeno ažuriranje RADIUS poslužitelju radi ažuriranja mreže s nekim najnovijim potrebnim podacima.

802,1X

To je jedan od osnovnih standardnih protokola za kontrolu pristupa mreži u sustavu.

Scenarij postupka provjere autentičnosti uključuje krajnji uređaj koji je poznat kao podnositelj zahtjeva, koji inicira zahtjev za uslugom, autentifikator i poslužitelj provjere autentičnosti. Autentifikator djeluje kao zaštita mreže i omogućuje pristup klijentu koji zahtjeva samo jednom dok se ne provjeri identitet korisnika.

Detaljan rad ovog protokola objašnjen je u dijelu 2 ovog vodiča.

Zaključak

Iz ovog smo tutorijala naučili kako putem mreže gore navedenih protokola dobiti mrežu za provjeru autentičnosti, autorizaciju i odredbe.

Također smo analizirali da ti protokoli čine naš mrežni sustav sigurnim od neovlaštenih korisnika, hakera i napada virusa te da razumiju AAA arhitekturu.

Dubinsko znanje o protokolu 802.1X i protokolu 802.11i koji jasno precizira činjenicu kako se pristup korisnika mreži može kontrolirati kako bi se pružio samo ograničeni pristup klasificiranoj mreži.

PREV Vodič | SLJEDEĆA Vodič

Preporučena literatura

^