Hva er IP-sikkerhet (IPSec), TACACS og AAA sikkerhetsprotokoller

what is ip security

Komplett guide til IP-sikkerhet (IPSec), TACACS og AAA Network Access Security Protocols:

I forrige opplæring lærte vi om HTTP og DHCP-protokoller i detalj, og vi lærte også mer om hvordan protokollene fungerer i forskjellige lag av TCP / IP-modellen og ISO-OSI-referansemodellen.

Her vil vi bli kjent med hvordan du får tilgang til særegne nettverk og hva slags autentiseringsprosess vil bli fulgt av sluttbrukerne for å nå et bestemt nettverk og få tilgang til dets ressurser og tjenester ved hjelp av sikkerhetsprotokollene.

Anbefalt lese => Veiledning til datanettverk

Det er hundrevis av standarder og protokoller for autentisering, kryptering, sikkerhet og nettverkstilgang. Men her diskuterer vi bare noen få av de mest populære protokollene.

Hva du vil lære:

• Hva er IP-sikkerhet (IPSec)?
  • Funksjoner av IPSec
  • Drift av IPSec
  • IPSec kommunikasjonsmodi
  • IPSec-protokoller
  • Security Association i IPSec
• TACACS (Terminal Access Controller Access Control System)
• AAA (godkjenning, autorisasjon og regnskap)
  • 802.1X
  • Konklusjon
  • Anbefalt lesing

Hva er IP-sikkerhet (IPSec)?

IPSec er en sikkerhetsprotokoll som brukes til å gi sikkerhet ved nettverkslaget i nettverkssystemet. IPSec autentiserer og krypterer datapakkene over et IP-nettverk.

Funksjoner av IPSec

• Det beskytter den samlede datapakken som er produsert i IP-laget, inkludert topplagene for høyere lag.
• IPSec fungerer mellom to forskjellige nettverk, og det er derfor enklere å implementere sikkerhetsfunksjoner uten å gjøre noen endringer i applikasjonene som kjører.
• Bestemmelser også vertbasert sikkerhet.
• Den hyppigste oppgaven til IPSec er å sikre VPN-nettverk (et virtuelt privat nettverk) mellom to forskjellige nettverksenheter.

Sikkerhetsfunksjoner:

• Kilden og destinasjonsnodene kan overføre meldinger i kryptert form og dermed lette konfidensialiteten til datapakker.
• Opprettholder datautentisering og integritet.
• Tilbyr beskyttelse mot virusangrep gjennom nøkkeladministrasjon.

Drift av IPSec

• Arbeidet til IPSec er delt inn i to underdeler. Den første er IPSec-kommunikasjon og den andre er Internet key exchange (IKE).
• IPSec-kommunikasjonen er ansvarlig for å administrere sikker kommunikasjon mellom to sentralnoder ved hjelp av sikkerhetsprotokoller som autentiseringshode (AH) og Encapsulated SP (ESP).
• Det inkluderer også funksjoner som innkapsling, kryptering av datapakker og behandling av IP-datagram.
• IKE er en slags nøkkeladministrasjonsprotokoll som brukes til IPSec.
• Dette er ikke en nødvendig prosess, da nøkkeladministrasjon kan utføres manuelt, men for store nettverk blir IKE distribuert.

IPSec kommunikasjonsmodi

Det er to typer kommunikasjonsmodi, i, e. transport og tunnelmodus. Imidlertid, da transportmodus holdes tilbake for punkt-til-punkt-kommunikasjon, blir tunnelmodusen mest utbredt.

I tunnelmodus blir den nye IP-overskriften lagt til i datapakken, og den blir innkapslet før vi introduserer sikkerhetsprotokoller. I dette, gjennom en enkelt gateway, kan flere sessioner med kommunikasjon underholdes.

Dataflyten i tunnelmodus vises ved hjelp av diagrammet nedenfor.

IPSec-protokoller

Sikkerhetsprotokoller brukes til å oppfylle sikkerhetskravene. Ulike sikkerhetsforeninger er bygget opp og vedlikeholdt mellom to noder ved hjelp av sikkerhetsprotokoller. De to typer sikkerhetsprotokoller som brukes av IPSec inkluderer autentiseringshode (AH) og innkapslende sikkerhetsnyttelast (ESP).

Autentiseringshode (AH): Dens bestemmelser godkjenning ved å pålegge AH ​​i IP-datapakken. Stedet der headerenheten skal legges til, er basert på kommunikasjonsmåten som brukes.

Arbeidet med AH er basert på hashingalgoritmen og en klassifisert nøkkel som også kan dekodes av sluttbrukernodene. Behandlingen er som følger:

• Fra hjelp fra SA (sikkerhetsforening) blir kilde og IP-informasjon samlet og hvilken sikkerhetsprotokoll som skal distribueres, er også kjent. Når det er klart at AH vil bli distribuert, og toppteksten brukes til å bestemme verdien av detaljerte parametere.
• AH har 32-bits og parametere som sekvensparameterindeks og autentiseringsdata i tilknytning til SA vil levere protokollflyten.

AH-godkjenningsprosess

Encapsulation Security Protocol (ESP): Denne protokollen er i stand til å skaffe sikkerhetstjenester som ikke er preget av AH-protokollen som personvern, pålitelighet, autentisering og motstand mot repriser. Serien av tjenester som gis, avhenger av alternativene som er valgt i tilfelle SA-initiering.

Prosessen med ESP er som følger:

• Når det er identifisert at ESP skal brukes, beregnes de forskjellige parameterne for overskrifter. ESP har to viktige felt, dvs. ESP header og ESP trailer. Overordnet topptekst er på 32-bits.
• Overskriften har sikkerhetsparameterindeksen (SPI) og sekvensnummer mens traileren har feltene polstringlengde, neste topptekstspesifikasjon og viktigst av alt autentiseringsdata.
• Diagrammet nedenfor er vist hvordan kryptering og autentisering gis i ESP ved hjelp av tunnelkommunikasjonsmodus.
• Krypteringsalgoritmene som brukes inkluderer DES, 3DES og AES. De andre kan også brukes.
• Den hemmelige nøkkelen skal være kjent både i sendende og mottakende ende, slik at de kan trekke ut ønsket utdata fra dem.

ESP-godkjenningsprosess

Security Association i IPSec

• SA er en integrert del av IPSec-kommunikasjon. Den virtuelle tilkoblingen mellom kilden og destinasjonsverten er satt opp før datautvekslingen mellom dem, og denne forbindelsen kalles sikkerhetsforening (SA).
• SA er en kombinasjon av parametere som å finne ut krypterings- og autentiseringsprotokoller, hemmelig nøkkel og dele dem med to enheter.
• SA er anerkjent av sikkerhetsparameterindeksen (SPI) -nummeret som finnes i overskriften til sikkerhetsprotokollen.
• SA er utpreget av SPI, destinasjonens IP-adresse og en sikkerhetsprotokollidentifikator.
• SPI-verdien er et vilkårlig utviklet tall som brukes til å kartlegge innkommende datapakker med mottakerens ene i mottakerenden, slik at det blir enkelt å identifisere de forskjellige SA-ene som når samme punkt.

TACACS (Terminal Access Controller Access Control System)

Det er den eldste protokollen for autentiseringsprosessen. Den ble brukt i UNIX-nettverk som tillater en ekstern bruker å videreføre påloggingsbrukernavnet og passordet til en autentiseringsserver for å evaluere tilgangen som er gitt til klientverten eller ikke i et system.

Protokollen bruker port 49 til TCP eller UDP som standard, og den tillater klientverten å bekrefte brukernavnet og passordet og videresende et spørsmål til TACACS-godkjenningsserveren. TACACS-serveren er kjent som TACACS-demon eller TACACSD, som finner ut om du vil tillate og nekte forespørselen og returnerer med svar.

På grunnlag av svaret gis eller nektes tilgangen, og brukeren kan logge på ved hjelp av oppringte forbindelser. Dermed domineres prosessen med autentisering av TACACSD og er ikke veldig mye i bruk.

Derfor byttes TACACS av TACACS + og RADIUS som er brukt i de fleste nettverk i disse dager. TACACS bruker AAA-arkitekturen for autentisering, og forskjellige servere brukes til å fullføre hver prosess som er involvert i autentisering.

TACACS + fungerer på TCP og tilkoblingsorientert protokoll. TACACS + krypterer hele datapakken før overføring, slik at den er mindre utsatt for virusangrep. I den fjerne enden brukes den hemmelige nøkkelen til å dekryptere hele dataene til den opprinnelige.

AAA (godkjenning, autorisasjon og regnskap)

Dette er en datasikkerhetsarkitektur, og forskjellige protokoller følger denne arkitekturen for å gi autentisering.

Arbeidsprinsippet for disse tre trinnene er som følger:

Godkjenning: Den spesifiserer at brukerklienten som ber om en tjeneste er en bonafide-bruker. Prosessen utføres ved å presentere legitimasjon som et engangspassord (OTP), digitalt sertifikat eller via telefon.

Autorisasjon: Basert på tjenestetypen som er tillatt for brukeren og basert på brukerbegrensningen, gis autorisasjonen til brukeren. Tjenestene inkluderer ruting, IP-tildeling, trafikkstyring etc.

Regnskap: Regnskap distribueres for ledelses- og planleggingsformål. Den inneholder all nødvendig informasjon, for eksempel når en bestemt tjeneste skal starte og ende opp, identiteten til brukeren og tjenestene som brukes osv.

Serveren vil levere alle ovennevnte tjenester og levere den til klientene.

AAA-protokoller : Som kjent har tidligere TACACS og TACACS + blitt brukt til autentiseringsprosessen. Men nå er det en annen protokoll kjent som RADIUS, som er AAA-basert og brukes mye overalt i nettverkssystemet.

Nettverkstilgangsserver: Det er en tjenestekomponent som fungerer som et grensesnitt mellom klienten og oppringtjenester. Det er til stede på ISP-enden for å gi tilgang til internett til sine brukere. NAS er også et solo tilgangspunkt for eksterne brukere og fungerer også som en gateway for å beskytte ressursene i nettverket.

RADIUS-protokoll : RADIUS står for ekstern autentisering oppringt brukertjeneste. Den brukes i utgangspunktet for applikasjoner som nettverkstilgang og IP-mobilitet. Autentiseringsprotokollene som PAP eller EAP er distribuert for å autentisere abonnenter.

RADIUS fungerer på klientservermodellen som fungerer på applikasjonslaget og bruker TCP eller UDP-port 1812. NAS som fungerer som gateways for å få tilgang til et nettverk inkluderer både RADIUS-klienten så vel som RADIUS-serverkomponenter.

RADIUS fungerer på AAA-arkitektur og bruker dermed to meldingsformater av pakke-type for å utføre prosessen, en tilgangsforespørselsmelding for autentisering og autorisasjon og regnskapsforespørsel for å overvåke regnskap.

Autentisering og autorisasjon i RADIUS:

Sluttbrukeren sender en forespørsel til NAS som søker tilgang til nettverket ved å benytte tilgangsinformasjonen. Deretter videresender NAS en RADIUS-tilgangsforespørselmelding til RADIUS-serveren, ved å heve tillatelse til tilgang til nettverket.

Forespørselsmeldingen består av tilgangsinformasjon som brukernavn og passord eller digital signatur fra brukeren. Det har også andre data som IP-adresse, brukerens telefonnummer etc.

RADIUS-serveren undersøker dataene ved hjelp av autentiseringsmetoder som EAP eller PAP. Etter å ha bekreftet påloggingsinformasjonen og andre relevante data, går serveren tilbake med dette svaret.

# 1) Avslag på tilgang : Tilgangen avvises ettersom identitetsbevis eller innloggings-ID som er sendt ikke er gyldig eller utløpt.

# 2) Access Challenge : Bortsett fra de grunnleggende tilgangsopplysningsdataene, krever serveren også annen informasjon for å gi tilgang som OTP eller PIN-nummer. Det brukes i utgangspunktet for mer sofistikert autentisering.

# 3) Access-Accept : Tilgangstillatelsen er gitt til sluttbrukeren. Etter autentisering av brukeren, undersøker serveren med jevne mellomrom om brukeren er autorisert til å bruke de nettverkstjenestene som er bedt om. Basert på innstillingene, kan brukeren bare få tilgang til en bestemt tjeneste og ikke de andre.

Hvert RADIUS-svar har også et svar-beskjed-attributt som presenterer årsaken til avvisning eller aksept.

Autorisasjonsattributtene som brukerens nettverksadresse, tjenestetype som er gitt, øktens varighet overføres også til NAS etter at tilgangen er gitt til brukeren.

intervju spørsmål på html og css

Regnskap:

Etter at tilgangen er gitt til brukeren for å logge på nettverket, kommer regnskapsdelen inn i bildet. For å betegne initieringen av brukerens tilgang til nettverket sendes en RADIUS-bokføringsmelding som består av 'start' -attributtet av NAS til RADIUS-serveren.

Startattributtet består hovedsakelig av brukerens identitet, øktens start- og sluttid og nettverksrelatert informasjon.

Når brukeren vil lukke økten, vil NAS publisere en RADIUS-regnskapsforespørselsmelding som består av et 'stopp' -attributt for å stoppe tilgangen til nettverket til RADIUS-serveren. Det gir også motiv for frakobling og sluttbruk av data og andre tjenester i nettverket.

Til gjengjeld sender RADIUS-serveren regnskapsresponsmeldingen som kvittering for å slå av tjenestene og avslutter brukerens tilgang til nettverket.

Denne delen brukes for det meste til applikasjoner der det kreves statistikk og dataovervåking.

I mellomtiden, mellom strømmen av RADIUS-forespørsel og svarmeldingsattributter, vil NAS også sende 'interim-update' forespørselsattributter til RADIUS-serveren for å oppdatere nettverket med noen av de nyeste nødvendige dataene.

802.1X

Det er en av de grunnleggende standardprotokollene for å kontrollere nettverkstilgang i et system.

Scenarioet for autentiseringsprosessen involverer en sluttanordning som er kjent som en supplikant, som initierer forespørselen om service, autentiseringsenheten og godkjenningsserveren. Autentisatoren fungerer som en beskyttelse for nettverket og gir tilgang til den forespørselsklienten bare en gang til identifikasjonen av brukeren er bekreftet.

Den detaljerte bruken av denne protokollen er forklart i del 2 av denne veiledningen.

Konklusjon

Fra denne opplæringen har vi lært hvordan du får autentisering, autorisasjon og sikkerhet til nettverket ved hjelp av de ovennevnte protokollene.

Vi har også analysert at disse protokollene gjør nettverkssystemet vårt sikkert fra uautoriserte brukere, hackere og virusangrep og gjør forståelse for AAA-arkitekturen.

Dyp kunnskap om 802.1X-protokollen og 802.11i-protokollen som tydelig spesifiserer det faktum hvordan brukerens tilgang til et nettverk kan kontrolleres for å gi bare begrenset tilgang til et klassifisert nettverk.

PREV Opplæring | NESTE veiledning

Anbefalt lesing

• Hva er Wide Area Network (WAN): Eksempler på live WAN-nettverk
• Hva er virtualisering? Nettverks-, data-, app- og lagringsvirtualiseringseksempler
• Grunnleggende trinn for feilsøking og verktøy
• Hva er nettverkssikkerhet: Dens typer og administrasjon
• IEEE 802.11 og 802.11i trådløst LAN og 802.1x autentiseringsstandarder
• Hva er HTTP (Hypertext Transfer Protocol) og DHCP-protokoller?
• Viktige applikasjonslagsprotokoller: DNS-, FTP-, SMTP- og MIME-protokoller
• IPv4 vs IPv6: Hva er den nøyaktige forskjellen