what is ip security
Popoln vodnik za varnost IP protokolov (IPSec), TACACS in AAA Network Access Security Protocol:
V prejšnji vadnici smo izvedeli več o tem HTTP in DHCP protokola podrobneje, izvedeli pa smo tudi več o delovanju protokolov, ki so prisotni na različnih plasteh modela TCP / IP in referenčnega modela ISO-OSI.
Tu bomo spoznali, kako pridobiti dostop do posebnih omrežij in kakšen postopek preverjanja pristnosti bodo sledili končni uporabniki, da bodo s pomočjo varnostnih protokolov dosegli določeno omrežje in dostopali do njegovih virov in storitev.
Priporočeno branje => Priročnik za računalniško mreženje
Obstaja na stotine standardov in protokolov za preverjanje pristnosti, šifriranje, varnost in dostop do omrežja. Toda tu razpravljamo le o nekaterih najpogosteje uporabljenih protokolih.
Kaj se boste naučili:
- Kaj je varnost IP (IPSec)?
- TACACS (Terminal Access Controller Access Control System)
- AAA (overjanje, avtorizacija in računovodstvo)
Kaj je varnost IP (IPSec)?
IPSec je varnostni protokol, ki se uporablja za zagotavljanje varnosti na omrežni plasti omrežnega sistema. IPSec overja in šifrira podatkovne pakete prek omrežja IP.
Značilnosti IPSec
- Varuje celotni podatkovni paket, proizveden na ravni IP, vključno z glavami višje plasti.
- IPSec deluje med dvema različnima omrežjema, zato je sprejetje varnostnih funkcij enostavnejše za izvajanje, ne da bi pri tem spreminjali delujoče programe.
- Zagotavlja tudi varnost na osnovi gostitelja.
- Najpogostejša naloga IPSec je zaščititi omrežje VPN (navidezno zasebno omrežje) med dvema različnima omrežnima entitetama.
Varnostne funkcije:
- Izvorno in ciljno vozlišče lahko prenašata sporočila v šifrirani obliki in s tem olajšata zaupnost podatkovnih paketov.
- Ohranja preverjanje pristnosti in celovitost podatkov.
- Zagotavlja zaščito pred virusnimi napadi s pomočjo upravljanja ključev.
Delovanje IPSec
- Delovanje IPSec je razdeljeno na dva poddela. Prva je komunikacija IPSec, druga pa izmenjava internetnih ključev (IKE).
- Komunikacija IPSec je odgovorna za upravljanje varne komunikacije med dvema vozliščema za izmenjavo z uporabo varnostnih protokolov, kot sta glava za preverjanje pristnosti (AH) in Encapsulated SP (ESP).
- Vključuje tudi funkcije, kot so kapsulacija, šifriranje podatkovnih paketov in obdelava IP datagrama.
- IKE je nekakšen protokol za upravljanje ključev, ki se uporablja za IPSec.
- To ni potreben postopek, saj je upravljanje ključev mogoče izvajati ročno, vendar je za velika omrežja uporabljen IKE.
Načini komunikacije IPSec
Obstajata dve vrsti načinov komunikacije, tj. prevoz in način predora. Ker pa je način prevoza zadržan za komunikacijo od točke do točke, je način tunela najbolj razširjen.
V tunelskem načinu je nova glava IP dodana v podatkovni paket in je zaprta, preden uvedemo kateri koli varnostni protokol. Pri tem je mogoče preko enega prehoda zabavati več komunikacijskih sej.
Pretok podatkov v tunelskem načinu je prikazan s pomočjo spodnjega diagrama.
Protokoli IPSec
Varnostni protokoli se uporabljajo za izpolnjevanje varnostnih zahtev. Med dvema vozliščema z uporabo varnostnih protokolov nastajajo in vzdržujejo različna varnostna združenja. Dve vrsti varnostnih protokolov, ki jih uporablja IPSec, vključujejo glavo za preverjanje pristnosti (AH) in inkapsulacijo varnostnega tovora (ESP).
Glava za preverjanje pristnosti (AH): Določa preverjanje pristnosti z vsiljevanjem AH v podatkovni paket IP. Mesto, kjer je treba dodati glavo, temelji na uporabljenem načinu komunikacije.
Delovanje AH temelji na algoritmu zgoščevanja in tajnem ključu, ki ga vozlišča končnega uporabnika lahko tudi dekodirajo. Obdelava je naslednja:
- S pomočjo SA (varnostnega združenja) se zbirajo tudi izvorne in ciljne IP informacije ter kateri varnostni protokol bo nameščen. Ko bo postalo jasno, bo AH nameščen in glava se bo uporabila za določitev vrednosti podrobnih parametrov.
- AH je 32-biten in parametri, kot so indeks parametrov zaporedja in podatki za preverjanje pristnosti v povezavi s SA, bodo zagotavljali tok protokola.
Postopek preverjanja pristnosti AH
znak v int c ++
Encapsulation Security Protocol (ESP): Ta protokol lahko zagotavlja varnostne storitve, za katere protokol AH ni značilen, kot so zasebnost, zanesljivost, preverjanje pristnosti in upor predvajanja. Serija dodeljenih storitev je odvisna od možnosti, izbranih v primeru uvedbe SA.
Postopek ESP je naslednji:
- Ko je ugotovljeno, da bo uporabljen ESP, se izračunajo različni parametri glav. ESP ima dve pomembni področji, to sta glava ESP in prikolica ESP. Skupna glava je 32-bitna.
- Glava ima indeks varnostnih parametrov (SPI) in zaporedno številko, prikolica pa ima dolžino polnila, naslednjo specifikacijo glave in najpomembnejše podatke za preverjanje pristnosti.
- Spodnji diagram prikazuje, kako sta šifriranje in overjanje zagotovljena v ESP z uporabo tunelskega komunikacijskega načina.
- Uporabljeni algoritmi šifriranja vključujejo DES, 3DES in AES. Uporabite lahko tudi ostale.
- Skrivni ključ mora biti znan tako na koncu pošiljanja kot na koncu prejema, da lahko iz njih izvlečejo želeni izhod.
Postopek overjanja ESP
Varnostno združenje v IPSec
- SA je sestavni del komunikacije IPSec. Navidezna povezljivost med izvornim in ciljnim gostiteljem se vzpostavi pred izmenjavo podatkov med njimi in ta povezava se imenuje varnostna zveza (SA).
- SA je kombinacija parametrov, kot so iskanje protokolov za šifriranje in preverjanje pristnosti, tajni ključ in njihova skupna raba z dvema entitetama.
- SA se prepoznajo po številki indeksa varnostnih parametrov (SPI), ki je prisotna v glavi varnostnega protokola.
- SA je prepoznaven po SPI, ciljnem IP naslovu in identifikatorju varnostnega protokola.
- Vrednost SPI je poljubno razvito število, ki se uporablja za preslikavo dohodnih podatkovnih paketov s prejemnikovim na koncu sprejemnika, tako da bo enostavno prepoznati različne SA, ki dosežejo isto točko.
TACACS (Terminal Access Controller Access Control System)
To je najstarejši protokol za postopek preverjanja pristnosti. Uporabljali so ga v omrežjih UNIX, ki omogoča oddaljenemu uporabniku, da uporabniško ime in geslo za prijavo posreduje overjevalnemu strežniku, da oceni dostop, odobren gostiteljskemu gostitelju ali ne v sistemu.
Protokol privzeto uporablja vrata 49 TCP ali UDP in odjemalskemu gostitelju dovoli, da potrdi uporabniško ime in geslo ter pošlje poizvedbo strežniku za preverjanje pristnosti TACACS. Strežnik TACACS je znan kot demon TACACS ali TACACSD, ki ugotovi, ali naj dovoli in zavrne zahtevo, in se vrne z odgovorom.
Na podlagi odgovora je dostop odobren ali zavrnjen in uporabnik se lahko prijavi z uporabo klicnih povezav. Tako v postopku preverjanja pristnosti prevladuje TACACSD in se ne uporablja preveč.
Zato TACACS zamenjata TACACS + in RADIUS, ki se danes uporabljata v večini omrežij. TACACS za preverjanje pristnosti uporablja arhitekturo AAA, različni strežniki pa se uporabljajo za dokončanje vsakega procesa, ki je vključen v preverjanje pristnosti.
TACACS + deluje na protokolih TCP in povezavah. TACACS + pred prenosom šifrira celoten podatkovni paket, zato je manj nagnjen k virusnim napadom. Na oddaljenem koncu se s tajnim ključem dešifrirajo celotni podatki v prvotni.
AAA (overjanje, avtorizacija in računovodstvo)
To je arhitektura računalniške varnosti, ki ji sledijo različni protokoli za zagotavljanje overjanja.
Načelo dela teh treh korakov je naslednje:
Preverjanje pristnosti: Določa, da je uporabniški odjemalec, ki zahteva storitev, pravičen uporabnik. Postopek se izvede s predložitvijo poverilnic, kot so enkratno geslo (OTP), digitalno potrdilo ali prek telefonskega klica.
Dovoljenje: Na podlagi vrste storitve, ki je dovoljena uporabniku, in na podlagi omejitve uporabnika se pooblastilo podeli uporabniku. Storitve vključujejo usmerjanje, dodeljevanje IP, upravljanje prometa itd.
Računovodstvo: Računovodstvo je uvedeno za namene upravljanja in načrtovanja. Vsebuje vse potrebne informacije, na primer, kdaj se bo določena storitev začela in končala, identiteta uporabnika in uporabljene storitve itd.
Strežnik bo zagotovil vse zgoraj navedene storitve in jih dostavil strankam.
Protokoli AAA : Kot vemo, sta bila v preteklosti za postopek preverjanja pristnosti uporabljena TACACS in TACACS +. Zdaj pa obstaja še en protokol, imenovan RADIUS, ki temelji na AAA in se pogosto uporablja v omrežnem sistemu.
Strežnik za dostop do omrežja: Je komponenta storitve, ki deluje kot vmesnik med odjemalcem in klicnimi storitvami. Prisoten je na koncu ponudnika internetnih storitev in svojim uporabnikom omogoča dostop do interneta. NAS je tudi samostojna dostopna točka za oddaljene uporabnike in deluje tudi kot prehod za zaščito omrežnih virov.
RADIUS protokol : RADIUS je kratica za klicno uporabniško storitev za oddaljeno preverjanje pristnosti. V osnovi se uporablja za aplikacije, kot sta dostop do omrežja in mobilnost IP. Protokoli za preverjanje pristnosti, kot sta PAP ali EAP, so nameščeni za preverjanje pristnosti naročnikov.
RADIUS deluje na modelu odjemalec-strežnik, ki deluje na aplikacijski plasti in uporablja vrata TCP ali UDP 1812. NAS, ki deluje kot prehod za dostop do omrežja, vključuje odjemalca RADIUS in komponente strežnika RADIUS.
RADIUS deluje na arhitekturi AAA in tako za izvedbo postopka uporablja dve obliki paketnih sporočil, sporočilo o zahtevi za dostop za avtentikacijo in avtorizacijo ter računovodsko zahtevo za nadzor računovodstva.
Preverjanje pristnosti in avtorizacija v radiu:
kaj je regresijsko testiranje pri testiranju programske opreme
Končni uporabnik pošlje zahtevo NAS-u, ki išče dostop do omrežja z uporabo poverilnic za dostop. Nato NAS posreduje sporočilo z zahtevo za dostop RADIUS strežniku RADIUS z dvigom dovoljenja za dostop do omrežja.
Sporočilo zahteve vključuje poverilnice za dostop, kot sta uporabniško ime in geslo ali digitalni podpis uporabnika. Ima tudi druge podatke, kot so naslov IP, telefonska številka uporabnika itd.
Strežnik RADIUS pregleduje podatke z metodami preverjanja pristnosti, kot sta EAP ali PAP. Po potrditvi podatkov o poverilnicah in drugih ustreznih podatkov se strežnik s tem odzivom vrne nazaj.
# 1) Zavrnitev dostopa : Dostop je zavrnjen, ker predloženo dokazilo o identiteti ali ID za prijavo ni veljavno ali poteklo.
# 2) Dostopni izziv : Poleg osnovnih podatkov o poverilnicah strežnik za odobritev dostopa zahteva tudi druge podatke, na primer številko OTP ali PIN. V bistvu se uporablja za bolj dodelano preverjanje pristnosti.
# 3) Sprejmi dostop : Dovoljenje za dostop je bilo dano končnemu uporabniku. Po preverjanju pristnosti uporabnika strežnik redno pregleduje, ali je uporabnik pooblaščen za uporabo zahtevanih omrežnih storitev. Na podlagi nastavitev lahko uporabniku dovoli dostop samo do določene storitve in ne do drugih.
Vsak odgovor RADIUS ima tudi atribut odgovor-sporočilo, ki predstavlja razlog za zavrnitev ali sprejem.
Atributi avtorizacije, kot so uporabnikov omrežni naslov, vrsta odobrene storitve in čas trajanja seje, se po odobritvi dostopa uporabniku prenesejo tudi na NAS.
Računovodstvo:
Ko je uporabniku odobren dostop do prijave v omrežje, na sliko pride računovodski del. Za označitev začetka uporabnikovega dostopa do omrežja NAS pošlje strežniku RADIUS sporočilo o zahtevku za obračun RADIUS, ki je sestavljeno iz atributa »start«.
Atribut start je v glavnem sestavljen iz identitete uporabnika, začetnega in končnega časa seje ter informacij, povezanih z omrežjem.
Ko uporabnik želi zapreti sejo, bo NAS objavil sporočilo z zahtevo za obračun RADIUS, ki je sestavljeno iz atributa »stop«, da ustavi dostop do omrežja do strežnika RADIUS. Zagotavlja tudi motiv za prekinitev povezave in končno uporabo podatkov in drugih omrežnih storitev.
V zameno strežnik RADIUS pošlje računovodsko odzivno sporočilo kot potrditev, da izključi storitve in prekine dostop uporabnika do omrežja.
Ta del se večinoma uporablja za aplikacije, kjer je potrebna statistika in spremljanje podatkov.
Medtem bo NAS med pretokom atributov zahteve RADIUS in odzivnih sporočil strežniku RADIUS poslal tudi atribute zahteve za vmesno posodobitev, da bo omrežje posodobil z nekaterimi najnovejšimi potrebnimi podatki.
802,1X
Je eden osnovnih standardnih protokolov za nadzor dostopa do omrežja v sistemu.
Scenarij postopka preverjanja pristnosti vključuje končno napravo, ki je znana kot prošitelj, ki sproži zahtevo za storitev, overitelj in strežnik za preverjanje pristnosti. Overitelj deluje kot zaščita pred omrežjem in omogoča dostop do stranke, ki je zahtevala, samo enkrat, dokler ni preverjena identiteta uporabnika.
Podrobno delovanje tega protokola je razloženo v 2. delu te vadnice.
Zaključek
Iz te vadnice smo se naučili, kako s pomočjo zgoraj omenjenih protokolov pridobiti avtentikacijo, avtorizacijo in zaščito določb omrežja.
Analizirali smo tudi, da s temi protokoli naš mrežni sistem varuje pred nepooblaščenimi uporabniki, hekerji in virusnimi napadi, ter razumevanje arhitekture AAA.
Poglobljeno znanje o protokolih 802.1X in 802.11i, ki jasno določa dejstvo, kako je mogoče nadzorovati dostop uporabnika do omrežja, da se omogoči le omejen dostop do tajnega omrežja.
PREV Vadnica | NASLEDNJA Vadnica
Priporočeno branje
- Kaj je širokopasovno omrežje (WAN): primeri omrežja WAN v živo
- Kaj je virtualizacija? Primeri virtualizacije omrežja, podatkov, aplikacij in shranjevanja
- Osnovni koraki in orodja za odpravljanje težav z omrežjem
- Kaj je omrežna varnost: njene vrste in upravljanje
- IEEE 802.11 in 802.11i Wireless LAN in 802.1x Authentication Standards
- Kaj so protokoli HTTP (Hypertext Transfer Protocol) in DHCP?
- Pomembni protokoli aplikacijskega sloja: protokoli DNS, FTP, SMTP in MIME
- IPv4 proti IPv6: Kakšna je natančna razlika