Menu

Co to są protokoły bezpieczeństwa IP (IPSec), TACACS i AAA

  • Główny
  • Inny
  • Co to są protokoły bezpieczeństwa IP (IPSec), TACACS i AAA

what is ip security

Kompletny przewodnik po protokołach bezpieczeństwa IP (IPSec), TACACS i AAA:



W poprzednim samouczku dowiedzieliśmy się o Protokoły HTTP i DHCP szczegółowo, a także dowiedzieliśmy się więcej o działaniu protokołów obecnych w różnych warstwach modelu TCP / IP i modelu referencyjnego ISO-OSI.



W tym miejscu dowiemy się, jak uzyskać dostęp do wyróżniających się sieci i jakiego rodzaju uwierzytelnienia będą musieli wykonać użytkownicy końcowi, aby dotrzeć do konkretnej sieci i uzyskać dostęp do jej zasobów i usług za pomocą protokołów bezpieczeństwa.

Zalecana lektura => Przewodnik po sieciach komputerowych



Protokoły bezpieczeństwa dostępu do sieci - część 1

Istnieją setki standardów i protokołów uwierzytelniania, szyfrowania, zabezpieczeń i dostępu do sieci. Ale tutaj omawiamy tylko kilka z najpopularniejszych protokołów.



Czego się nauczysz:

Co to jest ochrona IP (IPSec)?

IPSec to protokół bezpieczeństwa, który jest używany do zapewnienia bezpieczeństwa w warstwie sieciowej systemu sieciowego. IPSec uwierzytelnia i szyfruje pakiety danych w sieci IP.

Cechy IPSec

  • Chroni on cały pakiet danych wytwarzany w warstwie IP, łącznie z nagłówkami wyższych warstw.
  • IPSec działa pomiędzy dwiema różnymi sieciami, dlatego też przyjęcie funkcji bezpieczeństwa jest łatwiejsze do wdrożenia bez dokonywania jakichkolwiek zmian w uruchomionych aplikacjach.
  • Zapewnia również zabezpieczenia oparte na hoście.
  • Najczęstszym zadaniem IPSec jest zabezpieczenie sieci VPN (wirtualnej sieci prywatnej) między dwoma różnymi jednostkami sieciowymi.

Funkcje bezpieczeństwa:

  • Węzły źródłowy i docelowy mogą przesyłać wiadomości w postaci zaszyfrowanej, a tym samym ułatwiają zachowanie poufności pakietów danych.
  • Utrzymuje uwierzytelnianie i integralność danych.
  • Zapewnia ochronę przed atakami wirusów poprzez zarządzanie kluczami.

Działanie IPSec

  • Działanie IPSec jest podzielone na dwie części. Pierwsza to komunikacja IPSec, a druga to internetowa wymiana kluczy (IKE).
  • Komunikacja IPSec jest odpowiedzialna za zarządzanie bezpieczną komunikacją między dwoma węzłami wymiany przy użyciu protokołów bezpieczeństwa, takich jak nagłówek uwierzytelniania (AH) i Encapsulated SP (ESP).
  • Obejmuje również funkcje takie jak enkapsulacja, szyfrowanie pakietów danych i przetwarzanie datagramów IP.
  • IKE to rodzaj protokołu zarządzania kluczami, który jest używany przez IPSec.
  • Nie jest to konieczny proces, ponieważ zarządzanie kluczami można wykonać ręcznie, ale w przypadku dużych sieci wdrażane jest IKE.

Tryby komunikacji IPSec

Istnieją dwa rodzaje trybów komunikacji, tj. transport i tryb tunelu. Jednakże, ponieważ tryb transportu jest wstrzymywany dla komunikacji punkt-punkt, tryb tunelu jest najczęściej stosowany.

W trybie tunelowym nowy nagłówek IP jest dodawany do pakietu danych i jest hermetyzowany przed wprowadzeniem jakiegokolwiek protokołu bezpieczeństwa. W ten sposób za pośrednictwem jednej bramy można bawić się wieloma sesjami komunikacji.

Przepływ danych w trybie tunelu pokazano na poniższym schemacie.

Tryb komunikacji IP sec

Protokoły IPSec

Protokoły bezpieczeństwa służą do spełnienia wymagań bezpieczeństwa. Różne skojarzenia zabezpieczeń są tworzone i utrzymywane między dwoma węzłami przy użyciu protokołów bezpieczeństwa. Dwa rodzaje protokołów zabezpieczeń używanych przez IPSec obejmują nagłówek uwierzytelniania (AH) i hermetyzację ładunku bezpieczeństwa (ESP).

Nagłówek uwierzytelniania (AH): Zapewnia uwierzytelnianie poprzez nałożenie AH na pakiet danych IP. Miejsce, w którym należy dodać jednostkę nagłówkową, zależy od używanego trybu komunikacji.

najlepsze kompilatory dla C ++

Działanie AH opiera się na algorytmie mieszania i tajnym kluczu, który może być również dekodowany przez węzły użytkowników końcowych. Przetwarzanie jest następujące:

  • Z pomocy SA (skojarzenia bezpieczeństwa) zbierane są informacje o źródłowym i docelowym adresie IP oraz znany jest również protokół bezpieczeństwa, który ma zostać wdrożony. Gdy stanie się jasne, że AH zostanie wdrożone, a nagłówek służy do określenia wartości szczegółowych parametrów.
  • AH ma 32 bity, a parametry takie jak indeks parametrów sekwencji i dane uwierzytelniające w połączeniu z SA zapewniają przepływ protokołu.

Proces uwierzytelniania AH

AH

Protokół Encapsulation Security Protocol (ESP): Protokół ten jest w stanie zapewnić usługi bezpieczeństwa, które nie charakteryzują się protokołem AH, takie jak prywatność, niezawodność, uwierzytelnianie i odporność na powtórki. Szereg przyznanych usług zależy od opcji wybranych przy inicjowaniu SA.

Proces ESP wygląda następująco:

  • Po ustaleniu, że ESP będzie używany, obliczane są różne parametry nagłówków. ESP ma dwa ważne pola, tj. Nagłówek ESP i przyczepę ESP. Ogólny nagłówek ma 32 bity.
  • Nagłówek ma indeks parametrów bezpieczeństwa (SPI) i numer kolejny, podczas gdy zakończenie ma długość wypełnienia pól, następną specyfikację nagłówka i, co najważniejsze, dane uwierzytelniające.
  • Poniższy schemat przedstawia sposób szyfrowania i uwierzytelniania w ESP w trybie komunikacji tunelowej.
  • Zastosowane algorytmy szyfrowania obejmują DES, 3DES i AES. Pozostałe też mogą być użyte.
  • Tajny klucz powinien być znany zarówno po stronie wysyłającej, jak i odbierającej, aby mogli wydobyć z nich żądane dane wyjściowe.

Proces uwierzytelniania ESP

ESP

Skojarzenie zabezpieczeń w IPSec

  • SA jest integralną częścią komunikacji IPSec. Wirtualna łączność między hostem źródłowym a docelowym jest konfigurowana przed wymianą danych między nimi, a połączenie to nazywa się skojarzeniem bezpieczeństwa (SA).
  • SA to kombinacja parametrów, takich jak ustalenie protokołów szyfrowania i uwierzytelniania, tajnego klucza i udostępnienie ich dwóm podmiotom.
  • SA są rozpoznawane po numerze indeksu parametru bezpieczeństwa (SPI), który jest obecny w nagłówku protokołu bezpieczeństwa.
  • SA jest wyraźnie identyfikowany przez SPI, docelowy adres IP i identyfikator protokołu bezpieczeństwa.
  • Wartość SPI to arbitralnie wyewoluowana liczba, która jest używana do mapowania przychodzących pakietów danych z pakietami odbiorcy po stronie odbiorcy, dzięki czemu łatwiej będzie zidentyfikować różne SA osiągające ten sam punkt.

TACACS (system kontroli dostępu kontrolera dostępu do terminala)

Jest to najstarszy protokół procesu uwierzytelniania. Był używany w sieciach UNIX, które pozwalają zdalnemu użytkownikowi przekazać nazwę użytkownika i hasło logowania do serwera uwierzytelniania w celu oceny dostępu przyznanego hostowi klienta lub nie w systemie.

Protokół domyślnie korzysta z portu 49 protokołu TCP lub UDP i umożliwia hostowi klienta potwierdzenie nazwy użytkownika i hasła oraz przesłanie zapytania do serwera uwierzytelniającego TACACS. Serwer TACACS jest znany jako demon TACACS lub TACACSD, który sprawdza, czy zezwolić na żądanie i odrzucić je, i wraca z odpowiedzią.

Na podstawie odpowiedzi udzielany lub odmawiany jest dostęp, a użytkownik może logować się przy użyciu połączeń dial-up. Tak więc proces uwierzytelniania jest zdominowany przez TACACSD i nie jest zbyt często używany.

Dlatego TACACS jest przełączany przez TACACS + i RADIUS, które są obecnie używane w większości sieci. TACACS wykorzystuje architekturę AAA do uwierzytelniania, a do zakończenia każdego procesu związanego z uwierzytelnianiem używane są odrębne serwery.

TACACS + działa na protokole TCP i protokole połączeniowym. TACACS + szyfruje cały pakiet danych przed transmisją, dzięki czemu jest mniej podatny na ataki wirusów. Na zdalnym końcu tajny klucz jest używany do odszyfrowania wszystkich danych do oryginalnego.

TACACS

AAA (uwierzytelnianie, autoryzacja i księgowanie)

Jest to architektura zabezpieczeń komputerów i różne protokoły są zgodne z tą architekturą w celu zapewnienia uwierzytelnienia.

Zasada działania tych trzech kroków jest następująca:

Poświadczenie: Określa, że ​​klient użytkownika, który żąda usługi, jest użytkownikiem w dobrej wierze. Proces odbywa się poprzez przedstawienie danych uwierzytelniających, takich jak hasło jednorazowe (OTP), certyfikat cyfrowy lub połączenie telefoniczne.

Upoważnienie: W zależności od rodzaju usługi dozwolonej dla użytkownika i na podstawie ograniczenia użytkownika, autoryzacja jest przyznawana użytkownikowi. Usługi obejmują routing, przydzielanie adresów IP, zarządzanie ruchem itp.

Księgowość: Księgowość jest wdrażana do celów zarządzania i planowania. Zawiera wszystkie niezbędne informacje, takie jak data uruchomienia i zakończenia danej usługi, tożsamość użytkownika i używane usługi itp.

Serwer zapewni wszystkie powyższe usługi i dostarczy je klientom.

Protokoły AAA : Jak wiemy, w przeszłości do procesu uwierzytelniania używano TACACS i TACACS +. Ale teraz jest jeszcze jeden protokół znany jako RADIUS, który jest oparty na AAA i jest szeroko stosowany w całym systemie sieciowym.

Serwer dostępu do sieci: Jest to komponent usługowy, który działa jako interfejs między klientem a usługami telefonicznymi. Jest obecny po stronie dostawcy usług internetowych, aby zapewnić swoim użytkownikom dostęp do Internetu. NAS jest również samodzielnym punktem dostępu dla zdalnych użytkowników, a także działa jako brama do ochrony zasobów sieci.

Protokół RADIUS : RADIUS to skrót od zdalnego uwierzytelniania dial-in user service. Zasadniczo jest używany do zastosowań takich jak dostęp do sieci i mobilność IP. Protokoły uwierzytelniania, takie jak PAP lub EAP, są wdrażane w celu uwierzytelniania subskrybentów.

RADIUS działa w modelu klient-serwer, który działa w warstwie aplikacji i wykorzystuje port TCP lub UDP 1812. NAS, który działa jako bramy dostępu do sieci, zawiera zarówno komponenty klienta RADIUS, jak i serwera RADIUS.

RADIUS działa na architekturze AAA i dlatego do realizacji tego procesu używa dwóch formatów wiadomości typu pakietowego, komunikatu żądania dostępu w celu uwierzytelnienia i autoryzacji oraz żądania rozliczenia w celu nadzorowania rozliczania.

Uwierzytelnianie i autoryzacja w RADIUS:

Użytkownik końcowy wysyła żądanie do NAS w celu uzyskania dostępu do sieci, korzystając z poświadczeń dostępu. Następnie serwer NAS przekazuje żądanie dostępu RADIUS do serwera RADIUS, podnosząc uprawnienia dostępu do sieci.

implementacja kolejki priorytetowej w java

Wiadomość z żądaniem składa się z poświadczeń dostępu, takich jak nazwa użytkownika i hasło lub podpis cyfrowy użytkownika. Zawiera również inne dane, takie jak adres IP, numer telefonu użytkownika itp.

Serwer RADIUS sprawdza dane przy użyciu metod uwierzytelniania, takich jak EAP lub PAP. Po potwierdzeniu danych uwierzytelniających i innych istotnych danych serwer wraca z tą odpowiedzią.

Przepływ uwierzytelniania i autoryzacji RADIUS

# 1) Odrzucenie dostępu : Dostęp jest odrzucany, ponieważ przesłany dowód tożsamości lub identyfikator logowania jest nieprawidłowy lub utracił ważność.

# 2) Wyzwanie dostępu : Oprócz podstawowych danych uwierzytelniających dostęp serwer wymaga również innych informacji, aby udzielić dostępu, takich jak hasło jednorazowe lub numer PIN. Zasadniczo jest używany do bardziej wyrafinowanego uwierzytelniania.

# 3) Access-Accept : Uprawnienia dostępu nadano użytkownikowi końcowemu. Po uwierzytelnieniu użytkownika serwer regularnie sprawdza, czy użytkownik jest upoważniony do korzystania z żądanych usług sieciowych. Na podstawie ustawień użytkownik może mieć dostęp tylko do określonej usługi, a nie do innych.

Każda odpowiedź RADIUS ma również atrybut wiadomości zwrotnej, który przedstawia przyczynę odrzucenia lub akceptacji.

Atrybuty autoryzacji, takie jak adres sieciowy użytkownika, typ przyznanej usługi, czas trwania sesji, są również przekazywane do NAS po przyznaniu dostępu użytkownikowi.

Księgowość:

Po przyznaniu użytkownikowi dostępu do logowania do sieci pojawia się część rozliczeniowa. Aby oznaczyć inicjację dostępu użytkownika do sieci, do serwera RADIUS wysyłany jest przez NAS komunikat żądania ewidencjonowania danych RADIUS, który składa się z atrybutu „start”.

Atrybut start składa się głównie z tożsamości użytkownika, czasu rozpoczęcia i zakończenia sesji oraz informacji związanych z siecią.

Gdy użytkownik chce zamknąć sesję, NAS opublikuje komunikat żądania ewidencjonowania konta RADIUS, który składa się z atrybutu „stop”, aby zatrzymać dostęp do sieci do serwera RADIUS. Dostarcza również motywacji do odłączenia i ostatecznego wykorzystania danych i innych usług sieci.

W zamian serwer RADIUS wysyła wiadomość odpowiedzi ewidencjonowania jako potwierdzenie wyłączenia usług i zakończenia dostępu użytkownika do sieci.

Przepływ księgowania RADIUS

Ta część jest najczęściej używana w aplikacjach, w których wymagane są statystyki i monitorowanie danych.

W międzyczasie, pomiędzy przepływem atrybutów żądania RADIUS i komunikatu odpowiedzi, NAS wyśle ​​również atrybuty żądania „tymczasowej aktualizacji” do serwera RADIUS, aby zaktualizować sieć o najnowsze niezbędne dane.

802.1X

Jest to jeden z podstawowych standardowych protokołów kontroli dostępu do sieci w systemie.

Scenariusz procesu uwierzytelniania obejmuje urządzenie końcowe zwane suplikantem, które inicjuje żądanie usługi, podmiot uwierzytelniający i serwer uwierzytelniający. Authenticator działa jako zabezpieczenie sieci i umożliwia dostęp do klienta składającego żądanie tylko raz, do czasu zweryfikowania identyfikacji użytkownika.

Szczegółowe działanie tego protokołu jest wyjaśnione w części 2 tego samouczka.

Wniosek

Z tego samouczka dowiedzieliśmy się, jak uzyskać uwierzytelnianie, autoryzację i zabezpieczenia sieci za pomocą wyżej wymienionych protokołów.

Przeanalizowaliśmy również, że te protokoły zabezpieczają nasz system sieciowy przed nieautoryzowanymi użytkownikami, hakerami i atakami wirusów oraz pozwalają zrozumieć architekturę AAA.

Dogłębna wiedza na temat protokołów 802.1X i 802.11i, która jasno określa, w jaki sposób można kontrolować dostęp użytkownika do sieci, aby zapewnić tylko ograniczony dostęp do tajnej sieci.

POPRZEDNIA samouczek | NEXT Tutorial

rekomendowane lektury

^