Меню

Що таке протоколи безпеки IP (IPSec), TACACS та AAA

what is ip security

Спробуйте Наш Інструмент Для Усунення Проблем

Повне керівництво з безпеки IP (IPSec), TACACS та протоколів безпеки доступу до мережі AAA:

У попередньому підручнику ми дізналися про Протоколи HTTP та DHCP детально, а також ми дізналися більше про роботу протоколів, присутніх на різних рівнях моделі TCP / IP та еталонної моделі ISO-OSI.

Тут ми дізнаємось, як отримати доступ до відмінних мереж і який тип автентифікації буде виконуватися кінцевими користувачами, щоб дістатися до певної мережі та отримати доступ до її ресурсів та послуг за допомогою протоколів безпеки.

Рекомендуємо прочитати => Посібник з комп'ютерних мереж

Протоколи безпеки мережевого доступу - Частина 1

Існують сотні стандартів і протоколів для автентифікації, шифрування, захисту та доступу до мережі. Але тут ми обговорюємо лише декілька найпопулярніших протоколів.

Що ви дізнаєтесь:

Що таке захист IP (IPSec)?

IPSec - це протокол безпеки, який використовується для забезпечення захисту на мережевому рівні мережевої системи. IPSec автентифікує та шифрує пакети даних через IP-мережу.

Особливості IPSec

  • Він захищає загальний пакет даних, що виробляється на рівні IP, включаючи заголовки вищого рівня.
  • IPSec працює між двома різними мережами, тому впровадження функцій безпеки простіше реалізувати, не вносячи жодних змін у запущені програми.
  • Забезпечує також безпеку на основі хоста.
  • Найбільш частим завданням IPSec є захист мережі VPN (віртуальної приватної мережі) між двома різними мережевими об'єктами.

Функції безпеки:

  • Вузли джерела та призначення можуть передавати повідомлення у зашифрованому вигляді і таким чином полегшувати конфіденційність пакетів даних.
  • Підтримує автентифікацію та цілісність даних.
  • Забезпечує захист від атак вірусів за допомогою управління ключами.

Робота IPSec

  • Робота IPSec розділена на дві підчастини. Перший - це зв'язок IPSec, а другий - обмін ключами в Інтернеті (IKE).
  • Зв'язок IPSec відповідає за управління безпечним зв'язком між двома вузлами обміну за допомогою протоколів безпеки, таких як заголовок автентифікації (AH) та інкапсульований SP (ESP).
  • Він також включає такі функції, як інкапсуляція, шифрування пакетів даних та обробка дейтаграми IP.
  • IKE це свого роду протокол управління ключами, який використовується для IPSec.
  • Це не є необхідним процесом, оскільки управління ключами можна виконувати вручну, але для величезних мереж застосовується IKE.

Режими зв'язку IPSec

Існує два типи режимів спілкування, i, e. транспортний та тунельний режим. Однак, оскільки транспортний режим стримується для зв'язку точка-точка, режим тунелю найбільш широко застосовується.

У тунельному режимі новий IP-заголовок додається в пакет даних і інкапсулюється перед тим, як ми вводимо будь-який протокол безпеки. При цьому через єдиний шлюз можна розважати кілька сеансів зв'язку.

Потік даних у тунельному режимі показано за допомогою наведеної нижче схеми.

Режим зв

Протоколи IPSec

Протоколи безпеки використовуються для задоволення вимог безпеки. За допомогою протоколів безпеки між двома вузлами створюються та підтримуються різні асоціації безпеки. Два типи протоколів безпеки, що використовуються IPSec, включають заголовок автентифікації (AH) та інкапсуляцію корисного навантаження безпеки (ESP).

Заголовок аутентифікації (AH): Його положення передбачають автентифікацію шляхом введення AH в пакет даних IP. Місце, де слід додати заголовок, базується на використовуваному режимі зв'язку.

Робота AH базується на алгоритмі хешування та класифікованому ключі, який також може бути декодований вузлами кінцевого користувача. Обробка полягає в наступному:

  • За допомогою SA (асоціації безпеки) збирається інформація про джерело та кінцевий IP, а також який протокол безпеки буде розгорнуто, також відомо. Як тільки стане ясно, що AH буде розгорнуто, і заголовок використовується для визначення значення детальних параметрів.
  • AH має 32 біти, і такі параметри, як індекс параметрів послідовності та дані автентифікації у поєднанні з SA, забезпечуватимуть потік протоколу.

Процес автентифікації AH

АГ

Протокол безпеки інкапсуляції (ESP): Цей протокол може надавати послуги безпеки, які не характеризуються протоколом AH, такі як конфіденційність, надійність, автентифікація та опір відтворення. Серія наданих послуг залежить від варіантів, обраних на випадок ініціювання SA.

Процес ESP полягає в наступному:

  • Після того, як було встановлено, що ESP буде використовуватися, розраховуються різні параметри заголовків. ESP має два важливі поля, тобто заголовок ESP та причіп ESP. Загальний заголовок 32-бітний.
  • Заголовок має індекс параметрів безпеки (SPI) та порядковий номер, тоді як причіп має довжину заповнення полів, наступну специфікацію заголовка та найголовніше дані автентифікації.
  • На наведеній нижче схемі показано, як забезпечується шифрування та автентифікація в ESP за допомогою тунельного режиму зв'язку.
  • Використовувані алгоритми шифрування включають DES, 3DES та AES. Інші також можна використовувати.
  • Секретний ключ повинен бути відомий як на кінці відправлення, так і на кінці прийому, щоб вони могли витягнути з них бажаний результат.

Процес автентифікації ESP

ESP

Асоціація безпеки в IPSec

  • SA є невід'ємною частиною зв'язку IPSec. Віртуальний зв’язок між джерелом та хостом призначення встановлюється перед обміном даними між ними, і це зв’язок називається асоціацією безпеки (SA).
  • SA - це комбінація таких параметрів, як виявлення протоколів шифрування та автентифікації, секретного ключа та обміну ними з двома об'єктами.
  • SA розпізнаються за номером індексу параметрів безпеки (SPI), який присутній у заголовку протоколу захисту.
  • SA чітко ідентифікується за допомогою SPI, IP-адреси призначення та ідентифікатора протоколу безпеки.
  • Значення SPI - це довільне еволюціоноване число, яке використовується для зіставлення вхідних пакетів даних з одержувачем на кінці одержувача, так що буде легко ідентифікувати різні SA, що досягають тієї ж точки.

TACACS (система контролю доступу контролера доступу терміналів)

Це найстаріший протокол для процесу автентифікації. Він використовувався в мережах UNIX, що дозволяє віддаленому користувачеві передавати ім'я користувача та пароль для входу на сервер аутентифікації, щоб оцінити доступ, наданий хосту клієнта чи не в системі.

Протокол використовує порт 49 TCP або UDP за замовчуванням, і він дозволяє хосту клієнта підтвердити ім'я користувача та пароль та переслати запит на сервер автентифікації TACACS. Сервер TACACS відомий як демон TACACS або TACACSD, який з’ясовує, чи дозволити та заборонити запит, і повертається з відповіддю.

На основі відповіді доступ надається або забороняється, і користувач може ввійти, використовуючи комутовані з'єднання. Таким чином, у процесі автентифікації домінує TACACSD і він не надто використовується.

Тому TACACS перемикається через TACACS + і RADIUS, які використовуються в більшості мереж в наші дні. TACACS використовує архітектуру AAA для автентифікації, а різні сервери використовуються для завершення кожного процесу, що бере участь у аутентифікації.

TACACS + працює над TCP та протоколом, орієнтованим на з'єднання. TACACS + шифрує весь пакет даних перед передачею, таким чином він менш схильний до вірусних атак. На віддаленому кінці секретний ключ використовується для дешифрування всіх даних до вихідного.

ТАКАСИ

AAA (автентифікація, авторизація та облік)

Це архітектура комп'ютерної безпеки, і різні протоколи слідують цій архітектурі для забезпечення автентифікації.

enqueue і dequeue c ++

Принцип роботи цих трьох кроків такий:

Аутентифікація: Він визначає, що клієнт-користувач, який звертається за послугою, є добросовісним користувачем. Процес здійснюється шляхом подання облікових даних, таких як одноразовий пароль (OTP), цифровий сертифікат або за допомогою телефонного дзвінка.

Авторизація: На підставі типу послуги, дозволеної користувачеві, і на основі обмежень користувача, авторизація надається користувачеві. Послуги включають маршрутизацію, розподіл IP, управління трафіком тощо.

Бухгалтерський облік: Бухгалтерський облік застосовується для цілей управління та планування. Він містить всю необхідну інформацію, наприклад, про те, коли певна послуга запускатиметься та закінчуватиметься, ідентифікація користувача та використовувані послуги тощо.

Сервер надасть усі перераховані вище послуги та доставить їх клієнтам.

Протоколи AAA : Як ми знаємо, раніше TACACS і TACACS + використовувались для процесу автентифікації. Але зараз є ще один протокол, відомий як RADIUS, який базується на AAA і широко використовується у всій мережі.

Сервер мережевого доступу: Це сервісний компонент, який діє як інтерфейс між клієнтом та комутованими послугами. Він присутній на кінці Інтернет-провайдера, щоб забезпечити доступ до Інтернету своїм користувачам. NAS також є окремою точкою доступу для віддалених користувачів, а також виконує роль шлюзу для захисту ресурсів мережі.

Протокол RADIUS : RADIUS розшифровується як послуга віддаленої автентифікації підключених користувачів. В основному він використовується для таких програм, як доступ до мережі та мобільність IP. Протоколи автентифікації, такі як PAP або EAP, розгортаються для автентифікації абонентів.

RADIUS працює на моделі клієнт-сервер, яка працює на рівні програми і використовує порт TCP або UDP 1812. NAS, який виконує роль шлюзів для доступу до мережі, включає як клієнт RADIUS, так і компоненти сервера RADIUS.

RADIUS працює на архітектурі AAA і, отже, використовує два формати повідомлень пакетного типу для завершення процесу, повідомлення запиту на доступ для автентифікації та авторизації та запит бухгалтерського обліку для нагляду за бухгалтерією.

Аутентифікація та авторизація в RADIUS:

Запитання та відповіді на інтерв’ю у форматі html

Кінцевий користувач надсилає запит до NAS із запитом доступу до мережі, використовуючи дані доступу. Потім NAS пересилає повідомлення із запитом на доступ до RADIUS на сервер RADIUS, надаючи дозвіл на доступ до мережі.

Повідомлення про запит містить такі дані, як ім’я користувача та пароль або цифровий підпис користувача. Він також має інші дані, такі як IP-адреса, номер телефону користувача тощо.

Сервер RADIUS перевіряє дані за допомогою методів автентифікації, таких як EAP або PAP. Після підтвердження інформації про облікові дані та інших відповідних даних сервер повертається назад із цією відповіддю.

РАДІУС Аутентифікація та Потік авторизації

# 1) Відхилити доступ : Доступ відхилено, оскільки посвідчення особи або ідентифікатор для входу не є дійсним або закінчився.

# 2) Виклик доступу : Крім основних даних облікових даних доступу, сервер вимагає також іншу інформацію, щоб надати доступ, наприклад OTP або PIN-код. В основному він використовується для більш складної автентифікації.

# 3) Прийняти доступ : Дозвіл на доступ надано кінцевому користувачеві. Після автентифікації користувача сервер регулярно перевіряє, чи уповноважений користувач користуватися мережевими послугами, про які йде мова. Залежно від налаштувань користувачеві може бути дозволений доступ лише до певної послуги, а не до інших.

Кожна відповідь RADIUS також має атрибут відповіді-повідомлення, який представляє причину відхилення або прийняття.

Атрибути авторизації, такі як мережева адреса користувача, тип наданої послуги, тривалість сеансу, також передаються в NAS після надання доступу користувачеві.

Бухгалтерський облік:

Після того, як користувачеві надано доступ для входу в мережу, на знімку з’являється частина обліку. Для позначення ініціації доступу користувача до мережі повідомлення запиту облікового запису RADIUS, що складається з атрибута «старт», надсилається NAS на сервер RADIUS.

Атрибут start головним чином складається з ідентифікації користувача, часу початку та закінчення сеансу та інформації, пов’язаної з мережею.

Коли користувач хоче закрити сеанс, NAS опублікує повідомлення запиту облікового запису RADIUS, яке складається з атрибута “stop” для зупинки доступу до мережі до сервера RADIUS. Це також забезпечує мотив для відключення та остаточного використання даних та інших послуг мережі.

Натомість сервер RADIUS надсилає повідомлення про відповідь бухгалтерії як підтвердження для відключення послуг і припиняє доступ користувача до мережі.

РАДІУС обліковий потік

Ця частина в основному використовується для додатків, де потрібна статистика та моніторинг даних.

Тим часом, між потоком атрибутів запиту RADIUS та повідомленням відповіді, NAS також надсилатиме атрибути проміжного оновлення серверу RADIUS для оновлення мережі деякими останніми необхідними даними.

802,1X

Це один з основних стандартних протоколів управління доступом до мережі в системі.

Сценарій процесу автентифікації включає кінцевий пристрій, який відомий як суплікант, який ініціює запит на послугу, автентифікатор та сервер автентифікації. Аутентифікатор діє як захист мережі та надає доступ до запитуючого клієнта лише один раз, доки не буде підтверджена ідентифікація користувача.

Детальна робота цього протоколу пояснюється у частині 2 цього посібника.

Висновок

З цього підручника ми дізналися, як отримати автентифікацію, авторизацію та захист мереж за допомогою вищезазначених протоколів.

Ми також проаналізували, що ці протоколи роблять нашу мережеву систему захищеною від несанкціонованих користувачів, хакерів та атак вірусів, а також розуміють архітектуру AAA.

Глибокі знання щодо протоколу 802.1X та протоколу 802.11i, що чітко вказує факт того, як доступ користувача до мережі може контролюватися, забезпечуючи лише обмежений доступ до секретної мережі.

НАЗАД Підручник | НАСТУПНИЙ підручник

Рекомендована література

^