what is ip security
Komplet guide til IP-sikkerhed (IPSec), TACACS og AAA-netværksadgangssikkerhedsprotokoller:
I forrige tutorial lærte vi om HTTP og DHCP-protokoller detaljeret, og vi lærte også mere om, hvordan protokollerne fungerer i forskellige lag af TCP / IP-modellen og ISO-OSI-referencemodellen.
Her lærer vi at vide, hvordan man får adgang til særprægede netværk, og hvilken slags godkendelsesproces der vil blive fulgt af slutbrugerne for at nå et bestemt netværk og få adgang til dets ressourcer og tjenester ved hjælp af sikkerhedsprotokollerne.
Anbefalet Læs => Vejledning til computernetværk
Der er hundredvis af standarder og protokoller til godkendelse, kryptering, sikkerhed og netværksadgang. Men her diskuterer vi kun et par af de mest populære protokoller.
Hvad du vil lære:
- Hvad er IP-sikkerhed (IPSec)?
- TACACS (Terminal Access Controller Adgangskontrolsystem)
- AAA (godkendelse, godkendelse og regnskab)
Hvad er IP-sikkerhed (IPSec)?
IPSec er en sikkerhedsprotokol, der bruges til at give sikkerhed i netværkslaget i netværkssystemet. IPSec godkender og krypterer datapakkerne over et IP-netværk.
Funktioner i IPSec
- Det beskytter den samlede datapakke, der er produceret i IP-laget inklusive de højere lag-overskrifter.
- IPSec fungerer mellem to forskellige netværk, og det er derfor lettere at implementere sikkerhedsfunktioner uden at foretage ændringer i de kørende applikationer.
- Bestemmelser er også værtbaseret sikkerhed.
- Den hyppigste opgave for IPSec er at sikre VPN-netværk (et virtuelt privat netværk) mellem to forskellige netværksenheder.
Sikkerhedsfunktioner:
- Kilde- og destinationsknudepunkterne kan sende meddelelser i krypteret form og dermed lette fortroligheden af datapakker.
- Opretholder datagodkendelse og integritet.
- Beskyttelse mod virusangreb gennem nøglehåndtering.
Drift af IPSec
- Arbejdet med IPSec er opdelt i to underdele. Den første er IPSec-kommunikation, og den anden er internetnøgleudveksling (IKE).
- IPSec-kommunikationen er ansvarlig for styring af sikker kommunikation mellem to udvekslingsnoder ved hjælp af sikkerhedsprotokoller som godkendelsesoverskrift (AH) og indkapslet SP (ESP).
- Det inkluderer også funktioner såsom indkapsling, kryptering af datapakker og behandling af IP-datagram.
- IKE er en slags nøglehåndteringsprotokol, der bruges til IPSec.
- Dette er ikke en nødvendig proces, da nøglehåndtering kan udføres manuelt, men for store netværk implementeres IKE.
IPSec kommunikationstilstande
Der er to slags kommunikationstilstande, i, e. transport og tunnel-tilstand. Da transporttilstand holdes tilbage for punkt-til-punkt-kommunikation, er tunneltilstanden imidlertid mest udbredt.
I tunneltilstand tilføjes den nye IP-header i datapakken, og den indkapsles, inden vi introducerer en sikkerhedsprotokol. I dette kan der via en enkelt gateway underholdes flere kommunikationssessioner.
Datastrømmen i tunneltilstand vises ved hjælp af nedenstående diagram.
IPSec-protokoller
Sikkerhedsprotokoller bruges til at imødekomme sikkerhedskrav. Forskellige sikkerhedsforeninger opbygges og vedligeholdes mellem to noder ved hjælp af sikkerhedsprotokoller. De to slags sikkerhedsprotokoller, der bruges af IPSec, inkluderer godkendelsesoverskrift (AH) og indkapslende sikkerhedsnyttelast (ESP).
Authentication Header (AH): Dens bestemmer godkendelsen ved at pålægge AH i IP-datapakken. Stedet, hvor headerenheden skal tilføjes, er baseret på den anvendte kommunikationsform.
Arbejdet med AH er baseret på hashing-algoritmen og en klassificeret nøgle, som også kan dekodes af slutbrugernoderne. Behandlingen er som følger:
- Fra hjælp fra SA (sikkerhedssammenslutning) indsamles kilden og destinations-IP-informationen, og hvilken sikkerhedsprotokol der skal implementeres, er også kendt. Når det er klart, at AH vil blive implementeret, og headeren bruges til at bestemme værdien af detaljerede parametre.
- AH er på 32 bit, og parametre som sekvensparameterindeks og godkendelsesdata i tilknytning til SA vil levere protokolflowet.
AH-godkendelsesproces
Encapsulation Security Protocol (ESP): Denne protokol er i stand til at levere sikkerhedstjenester, som ikke er kendetegnet ved AH-protokollen som fortrolighed, pålidelighed, godkendelse og afspilningsmodstand. Serien af tjenester, der ydes, afhænger af de valgmuligheder, der blev valgt i SA-initieringsinstansen.
Processen med ESP er som følger:
- Når det er blevet identificeret, at ESP skal bruges, beregnes de forskellige parametre for overskrifter. ESP har to vigtige felter, dvs. ESP-header og ESP-trailer. Den samlede overskrift er på 32 bit.
- Overskriften har sikkerhedsparameterindekset (SPI) og sekvensnummer, mens traileren har felterne polstringslængde, næste overskriftsspecifikation og vigtigst af alt godkendelsesdata.
- Nedenstående diagram vises, hvordan kryptering og godkendelse leveres i ESP ved hjælp af tunnelkommunikationstilstand.
- De anvendte krypteringsalgoritmer inkluderer DES, 3DES og AES. De andre kan også bruges.
- Den hemmelige nøgle skal være kendt både i den sendende ende og den modtagende ende, så de kan udtrække det ønskede output fra dem.
ESP-godkendelsesproces
Security Association i IPSec
- SA er en integreret del af IPSec-kommunikation. Den virtuelle forbindelse mellem kilden og destinationsværten er oprettet inden dataudvekslingen mellem dem, og denne forbindelse kaldes sikkerhedsforening (SA).
- SA er en kombination af parametre som at finde ud af krypterings- og godkendelsesprotokoller, hemmelig nøgle og dele dem med to enheder.
- SA'er genkendes af SPI-nummeret (Security Parameter Index), der findes i overskriften til sikkerhedsprotokollen.
- SA er markant identificeret ved SPI, destinations-IP-adresse og en sikkerhedsprotokolidentifikator.
- SPI-værdien er et vilkårligt udviklet tal, der bruges til at kortlægge de indgående datapakker med modtagerens ene i modtagerenden, så det bliver simpelt at identificere de forskellige SA'er, der når det samme punkt.
TACACS (Terminal Access Controller Adgangskontrolsystem)
Det er den ældste protokol til godkendelsesprocessen. Det blev brugt i UNIX-netværk, som tillader en fjernbruger at videregive login-brugernavnet og adgangskoden til en godkendelsesserver for at evaluere den adgang, der er givet til klientværten eller ikke i et system.
Protokollen bruger port 49 i TCP eller UDP som standard, og den tillader klientværten at anerkende brugernavnet og adgangskoden og videresende en forespørgsel til TACACS-godkendelsesserveren. TACACS-serveren er kendt som TACACS-dæmon eller TACACSD, som finder ud af, om anmodningen skal tillades og afvises, og vender tilbage med et svar.
På baggrund af svaret tildeles eller nægtes adgangen, og brugeren kan logge på ved hjælp af opkaldsforbindelser. Således er autentificeringsprocessen domineret af TACACSD og er ikke meget i brug.
Derfor skiftes TACACS af TACACS + og RADIUS, som er brugt i de fleste netværk i disse dage. TACACS bruger AAA-arkitekturen til godkendelse, og forskellige servere bruges til at fuldføre hver proces, der er involveret i godkendelse.
TACACS + fungerer på TCP og forbindelsesorienteret protokol. TACACS + krypterer hele datapakken, før den transmitteres, så den er mindre tilbøjelig til virusangreb. I den fjerne ende bruges den hemmelige nøgle til at dekryptere hele dataene til den originale.
AAA (godkendelse, godkendelse og regnskab)
Dette er en computersikkerhedsarkitektur, og forskellige protokoller følger denne arkitektur for at give godkendelse.
Arbejdsprincippet i disse tre trin er som følger:
Godkendelse: Det specificerer, at brugerklienten, der anmoder om en tjeneste, er en bonafide-bruger. Processen udføres ved at præsentere legitimationsoplysninger som et engangskodeord (OTP), digitalt certifikat eller via telefonopkald.
Bemyndigelse: Baseret på den type tjeneste, der er tilladt for brugeren og baseret på brugerbegrænsningen, gives autorisationen til brugeren. Tjenesterne inkluderer routing, IP-tildeling, trafikstyring osv.
Regnskab: Regnskab indsættes til ledelses- og planlægningsformål. Den indeholder alle de nødvendige oplysninger, som hvornår en bestemt tjeneste starter og ender, brugerens identitet og de anvendte tjenester osv.
Serveren leverer alle ovennævnte tjenester og leverer den til klienterne.
AAA-protokoller : Som vi ved, blev TACACS og TACACS + tidligere brugt til godkendelsesprocessen. Men nu er der endnu en protokol kendt som RADIUS, som er AAA-baseret og bruges bredt overalt i netværkssystemet.
Netværksadgangsserver: Det er en servicekomponent, der fungerer som en grænseflade mellem klienten og opkaldstjenester. Det er til stede i slutningen af ISP for at give adgang til internet til sine brugere. NAS er også et solo-adgangspunkt for fjernbrugere og fungerer også som en gateway for at beskytte netværkets ressourcer.
RADIUS-protokol : RADIUS står for ekstern godkendelse opkaldsbruger service. Det bruges dybest set til applikationer som netværksadgang og IP-mobilitet. Godkendelsesprotokollerne som PAP eller EAP distribueres til at godkende abonnenter.
RADIUS fungerer på klientservermodellen, der fungerer på applikationslaget og bruger TCP- eller UDP-port 1812. NAS'en, der fungerer som gateways for at få adgang til et netværk, inkluderer både RADIUS-klienten såvel som RADIUS-serverkomponenterne.
bedste pc-renser til Windows 7 gratis download
RADIUS arbejder på AAA-arkitektur og bruger således to pakke-type meddelelsesformater til at udføre processen, en adgangsanmodningsmeddelelse til godkendelse og autorisation og regnskabsanmodning til overvågning af regnskab.
Godkendelse og godkendelse i RADIUS:
Slutbrugeren sender en anmodning til NAS, der søger adgang til netværket ved hjælp af adgangsoplysningerne. Derefter videresender NAS en RADIUS-anmodning om adgangsanmodning til RADIUS-serveren ved at hæve tilladelse til adgang til netværket.
Anmodningsmeddelelsen består af adgangsoplysninger som brugernavn og adgangskode eller brugerens digitale signatur. Det har også andre data som IP-adresse, brugerens telefonnummer osv.
RADIUS-serveren undersøger dataene ved hjælp af godkendelsesmetoder som EAP eller PAP. Efter at have bekræftet legitimationsoplysningerne og andre relevante data, vender serveren tilbage med dette svar.
# 1) Afvis adgang : Adgangen afvises, da det indsendte identitetsbevis eller login-ID ikke er gyldigt eller udløbet.
# 2) Adgangsudfordring : Bortset fra de grundlæggende adgangsoplysninger, kræver serveren også andre oplysninger for at give adgang som OTP eller PIN-nummer. Det bruges dybest set til mere sofistikeret godkendelse.
# 3) Adgangsaccept : Adgangstilladelsen er givet til slutbrugeren. Efter godkendelsen af brugeren undersøger serveren med jævne mellemrum, om brugeren er autoriseret til at bruge de anmodede netværkstjenester. Baseret på indstillingerne kan brugeren muligvis kun få adgang til en bestemt tjeneste og ikke de andre.
Hvert RADIUS-svar har også en attribut for svarbesked, der viser årsagen til afvisning eller accept.
Autorisationsattributterne som brugerens netværksadresse, den ydede type tjeneste, sessionens tidsvarighed videregives også til NAS, efter at brugeren har fået adgang.
Regnskab:
Efter at brugeren har fået adgang til at logge ind på netværket, kommer den regnskabsmæssige del ind i billedet. For at betegne indledningen af brugerens adgang til netværket sendes en RADIUS-regnskabsanmodningsmeddelelse, der består af 'start' -attribut, af NAS til RADIUS-serveren.
Startattributten består hovedsageligt af brugerens identitet, sessionens start- og sluttid og netværksrelaterede oplysninger.
Når brugeren ønsker at lukke sessionen, udgiver NAS en RADIUS-anmodning om regnskabsanmodning, der består af en 'stop' -attribut for at stoppe adgangen til netværket til RADIUS-serveren. Det giver også motivet til afbrydelse og endelig brug af data og andre tjenester på netværket.
Til gengæld sender RADIUS-serveren den regnskabsmæssige svarmeddelelse som kvittering for at slukke for tjenesterne og afslutter brugerens adgang til netværket.
Denne del bruges mest til applikationer, hvor der kræves statistik og dataovervågning.
I mellemtiden, imellem strømmen af RADIUS-anmodning og svarmeddelelsesattributter, sender NAS'en også 'interim-update' -attributter til RADIUS-serveren for at opdatere netværket med nogle nyeste nødvendige data.
802.1X
Det er en af de grundlæggende standardprotokoller til styring af netværksadgang i et system.
Scenariet for godkendelsesprocessen involverer en slutenhed, der er kendt som en supplikant, der initierer anmodningen om service, godkenderen og godkendelsesserveren. Autentifikatoren fungerer som en beskyttelse mod netværket og giver kun adgang til den anmodende klient en gang, indtil identifikationen af brugeren er bekræftet.
Den detaljerede bearbejdning af denne protokol er forklaret i del 2 af denne vejledning.
Konklusion
Fra denne vejledning har vi lært, hvordan man får godkendelse, autorisation og sikkerhedssikkerhed til netværket ved hjælp af de ovennævnte protokoller.
Vi har også analyseret, at disse protokoller gør vores netværkssystem sikkert fra uautoriserede brugere, hackere og virusangreb og gør en forståelse af AAA-arkitekturen.
Dyb viden om 802.1X-protokollen og 802.11i-protokollen, der tydeligt specificerer, hvordan brugerens adgang til et netværk kan styres for kun at give begrænset adgang til et klassificeret netværk.
PREV-vejledning | NÆSTE vejledning
Anbefalet læsning
- Hvad er WAN (Wide Area Network): Eksempler på live WAN-netværk
- Hvad er virtualisering? Eksempler på virtualiseringsnetværk, data, app og lagring
- Grundlæggende trin til fejlfinding af netværk og værktøjer
- Hvad er netværkssikkerhed: dens typer og styring
- IEEE 802.11 og 802.11i trådløst LAN og 802.1x godkendelsesstandarder
- Hvad er HTTP (Hypertext Transfer Protocol) og DHCP-protokoller?
- Vigtige applikationslagsprotokoller: DNS-, FTP-, SMTP- og MIME-protokoller
- IPv4 vs IPv6: Hvad er den nøjagtige forskel