what is ip security
Пълно ръководство за IP сигурност (IPSec), TACACS и AAA протоколи за сигурност на мрежовия достъп:
В предишния урок научихме за HTTP и DHCP протоколи подробно и също така научихме повече за работата на протоколите, присъстващи на различни слоеве на TCP / IP модела и референтния модел ISO-OSI.
Тук ще се запознаем с това как да получим достъп до отличителни мрежи и какъв процес на удостоверяване ще бъде последван от крайните потребители, за да достигнат до определена мрежа и да получат достъп до нейните ресурси и услуги с помощта на протоколите за сигурност.
Препоръчително четене => Ръководство за компютърни мрежи
Съществуват стотици стандарти и протоколи за удостоверяване, криптиране, сигурност и достъп до мрежата. Но тук обсъждаме само няколко от най-често използваните протоколи.
Какво ще научите:
- Какво е IP защита (IPSec)?
- TACACS (Терминална система за контрол на достъпа)
- AAA (удостоверяване, упълномощаване и счетоводство)
Какво е IP защита (IPSec)?
IPSec е протокол за защита, който се използва за осигуряване на сигурност на мрежовия слой на мрежовата система. IPSec удостоверява и криптира пакетите с данни през IP мрежа.
Характеристики на IPSec
- Той защитава цялостния пакет данни, произведен на IP слоя, включително заглавията на по-горния слой.
- IPSec работи между две различни мрежи, поради което приемането на защитни функции е по-лесно да се приложи, без да се правят промени в работещите приложения.
- Осигурява и базирана на хост защита.
- Най-честата задача на IPSec е да осигури VPN мрежа (виртуална частна мрежа) между два различни мрежови обекта.
Функции за сигурност:
- Източникът и дестинацията възли могат да предават съобщения в криптирана форма и по този начин улесняват поверителността на пакетите данни.
- Поддържа удостоверяване и целостта на данните.
- Осигурява защита срещу вирусни атаки чрез управление на ключове.
Работа на IPSec
- Работата на IPSec е разделена на две подчасти. Първият е IPSec комуникацията, а вторият е обменът на ключове в Интернет (IKE).
- Комуникацията IPSec е отговорна за управлението на сигурна комуникация между два обменни възела чрез използване на защитни протоколи като заглавие за удостоверяване (AH) и Encapsulated SP (ESP).
- Той също така включва функции като капсулиране, криптиране на пакети данни и обработка на IP дейтаграма.
- IKE е вид протокол за управление на ключове, който се използва за IPSec.
- Това не е необходим процес, тъй като управлението на ключове може да се извърши ръчно, но за огромни мрежи се използва IKE.
Режими на комуникация IPSec
Има два вида комуникационни режими, т.е. транспорт и тунелен режим. Тъй като обаче транспортният режим се задържа за комуникация от точка до точка, режимът на тунел е най-широко разгърнат.
В тунелния режим новият IP заглавие се добавя в пакета с данни и се капсулира, преди да въведем протокол за сигурност. При това чрез един шлюз могат да се забавляват множество комуникационни сесии.
Потокът от данни в тунелния режим е показан с помощта на диаграмата по-долу.
IPSec протоколи
Протоколите за сигурност се използват, за да отговорят на изискванията за сигурност. Различни асоциации за сигурност се изграждат и поддържат между два възела, използвайки протоколи за защита. Двата вида протоколи за защита, използвани от IPSec, включват заглавие за удостоверяване (AH) и капсулиране на полезен товар за сигурност (ESP).
Заглавие за удостоверяване (AH): Неговите разпоредби удостоверяват чрез налагане на AH в IP пакета с данни. Мястото, където трябва да се добави заглавната единица, се основава на използвания режим на комуникация.
Работата на AH се основава на алгоритъма за хеширане и класифициран ключ, който също може да бъде декодиран от възлите на крайния потребител. Обработката е следната:
- С помощта на SA (асоциация за сигурност) се събира информация за източника и местоназначението IP и кой протокол за защита ще бъде разположен. След като стане ясно, че AH ще бъде внедрен и заглавката се използва за определяне на стойността на подробните параметри.
- AH е от 32 бита и параметри като индекс на параметри на последователността и данни за удостоверяване във връзка със SA ще доставят потока от протокола.
AH процес на удостоверяване
как да отворите .bin файл
Протокол за защита на капсулирането (ESP): Този протокол е в състояние да предостави услуги за сигурност, които не се характеризират с протокола AH като поверителност, надеждност, удостоверяване и съпротива при повторно възпроизвеждане. Поредицата от предоставени услуги зависи от опциите, избрани в случая на иницииране на SA.
Процесът на ESP е както следва:
- След като се установи, че ESP ще бъде използван, се изчисляват различните параметри на заглавията. ESP има две важни полета, т.е. ESP хедър и ESP трейлър. Общият хедър е от 32 бита.
- Заглавката има индекс на параметъра за сигурност (SPI) и пореден номер, докато ремаркето има дължината на подложката на полетата, следващата спецификация на заглавката и най-важното данни за удостоверяване.
- Диаграмата по-долу е показана как се осигуряват криптиране и удостоверяване в ESP, използвайки тунелен комуникационен режим.
- Използваните алгоритми за криптиране включват DES, 3DES и AES. Другите също могат да се използват.
- Тайният ключ трябва да е известен както в изпращащия, така и в приемащия край, за да могат те да извлекат желания изход от тях.
ESP процес за удостоверяване
Асоциация за сигурност в IPSec
- SA е неразделна част от комуникацията IPSec. Виртуалната свързаност между източника и хоста на местоназначението се настройва преди обмена на данни между тях и тази връзка се нарича асоциация за сигурност (SA).
- SA е комбинация от параметри като откриване на протоколи за криптиране и удостоверяване, таен ключ и споделянето им с две обекти.
- SA се разпознават от номера на индекса на параметъра за сигурност (SPI), който присъства в заглавката на протокола за защита.
- SA се идентифицира отлично чрез SPI, IP адрес на дестинация и идентификатор на протокола за сигурност.
- Стойността SPI е произволно еволюирало число, което се използва за картографиране на входящите пакети данни с този на получателя в края на приемника, така че ще стане лесно да се идентифицират различните SA, достигащи една и съща точка.
TACACS (Терминална система за контрол на достъпа)
Това е най-старият протокол за процеса на удостоверяване. Той беше използван в UNIX мрежи, което позволява на отдалечен потребител да предава потребителското име и парола за вход на сървър за удостоверяване, за да оцени достъпа, предоставен на клиентския хост или не в системата.
Протоколът използва порт 49 на TCP или UDP по подразбиране и позволява на клиентския хост да потвърди потребителското име и паролата и да препрати заявка към сървъра за удостоверяване на TACACS. Сървърът TACACS е известен като демон TACACS или TACACSD, който установява дали да разреши и откаже заявката и се връща с отговор.
Въз основа на отговора достъпът се предоставя или отказва и потребителят може да влезе с помощта на комутируеми връзки. По този начин процесът на удостоверяване се доминира от TACACSD и не се използва много.
Следователно TACACS се превключва от TACACS + и RADIUS, които се използват в повечето мрежи в наши дни. TACACS използва архитектурата AAA за удостоверяване и отделни сървъри се използват за завършване на всеки процес, участващ в удостоверяването.
TACACS + работи върху TCP и протокол, ориентиран към връзката. TACACS + криптира целия пакет с данни преди предаване, като по този начин е по-малко податлив на вирусни атаки. В отдалечения край тайният ключ се използва за дешифриране на всички данни в оригиналния.
AAA (удостоверяване, упълномощаване и счетоводство)
Това е архитектура за компютърна сигурност и различни протоколи я следват за осигуряване на удостоверяване.
Принципът на работа на тези три стъпки е следният:
Удостоверяване: Той уточнява, че потребителският клиент, който иска услуга, е добросъвестен потребител. Процесът се извършва чрез представяне на идентификационни данни като еднократна парола (OTP), цифров сертификат или чрез телефонно обаждане.
Разрешение: Въз основа на типа услуга, разрешена на потребителя, и въз основа на потребителското ограничение, разрешението се предоставя на потребителя. Услугите включват маршрутизация, разпределение на IP, управление на трафика и др.
Счетоводство: Счетоводството е внедрено за целите на управлението и планирането. Той съдържа цялата необходима информация, като например кога дадена услуга ще започне и завърши, самоличността на потребителя и използваните услуги и т.н.
Сървърът ще предостави всички горепосочени услуги и ще ги достави на клиентите.
Протоколи AAA : Както знаем, в миналото TACACS и TACACS + са били използвани за процеса на удостоверяване. Но сега има още един протокол, известен като RADIUS, който е базиран на AAA и се използва широко в мрежата.
Сървър за мрежов достъп: Това е сервизен компонент, който действа като интерфейс между клиента и комутируемите услуги. Той присъства в края на ISP, за да предоставя достъп до интернет на своите потребители. NAS също е самостоятелна точка за достъп за отдалечени потребители и действа като шлюз за защита на ресурсите на мрежата.
Протокол RADIUS : RADIUS означава услуга за дистанционно удостоверяване на комутируема потребителска връзка. По принцип се използва за приложения като мрежов достъп и IP мобилност. Протоколите за удостоверяване като PAP или EAP са внедрени за удостоверяване на абонати.
RADIUS работи върху модела клиент-сървър, който работи на приложния слой и използва TCP или UDP порт 1812. NAS, които действат като шлюзове за достъп до мрежа, включват както RADIUS клиент, така и компоненти на RADIUS сървър.
RADIUS работи върху архитектура AAA и по този начин използва два формата съобщения от тип пакет, за да осъществи процеса, съобщение за заявка за достъп за удостоверяване и оторизация и искане за счетоводство за надзор на счетоводството.
Удостоверяване и упълномощаване в RADIUS:
най-добрият шпионски софтуер за iphone 5
Крайният потребител изпраща заявка до NAS, търсейки достъп до мрежата, като използва идентификационните данни за достъп. След това NAS препраща съобщение за заявка за достъп до RADIUS към RADIUS сървъра, като издига разрешение за достъп до мрежата.
Съобщението за заявка се състои от идентификационни данни за достъп като потребителско име и парола или цифров подпис на потребителя. Той също така има други данни като IP адрес, телефонен номер на потребителя и т.н.
Сървърът RADIUS изследва данните, използвайки методи за удостоверяване като EAP или PAP. След потвърждаване на информацията за идентификационните данни и други съответни данни сървърът се връща обратно с този отговор.
# 1) Отхвърляне на достъпа : Достъпът е отхвърлен, тъй като представеното доказателство за самоличност или идентификационен номер за влизане не е валидно или изтече.
# 2) Предизвикателство за достъп : Освен основните данни за идентификационни данни за достъп, сървърът изисква и друга информация, за да предостави достъп като OTP или ПИН номер. По принцип се използва за по-сложно удостоверяване.
# 3) Приемане на достъп : Разрешението за достъп е дадено на крайния потребител. След удостоверяването на потребителя сървърът редовно проверява дали потребителят е упълномощен да използва поисканите мрежови услуги. Въз основа на настройките на потребителя може да бъде разрешен достъп само до определена услуга, но не и до останалите.
Всеки RADIUS отговор също има атрибут отговор-съобщение, който представя причината за отхвърляне или приемане.
Атрибутите за упълномощаване като мрежовия адрес на потребителя, вида на предоставената услуга, продължителността на времето на сесията също се предават на NAS след предоставяне на достъп на потребителя.
Счетоводство:
След като достъпът бъде предоставен на потребителя за влизане в мрежата, счетоводната част се появява на снимката. За да се обозначи инициирането на достъп на потребителя до мрежата, съобщението за заявка за счетоводно запитване RADIUS, което се състои от атрибут “start”, се изпраща от NAS към RADIUS сървъра.
Атрибутът start се състои главно от самоличността на потребителя, времето за начало и край на сесията и информация, свързана с мрежата.
Когато потребителят иска да затвори сесията, NAS ще публикува съобщение за искане на RADIUS счетоводство, което се състои от атрибут “stop”, за да спре достъпа до мрежата до RADIUS сървъра. Той също така предоставя мотива за изключване и окончателно използване на данни и други услуги на мрежата.
В замяна на това RADIUS сървърът изпраща съобщението за счетоводен отговор като потвърждение за изключване на услугите и прекратява достъпа на потребителя до мрежата.
Тази част се използва най-вече за приложения, където се изисква статистика и мониторинг на данните.
Междувременно, между потока от атрибути на RADIUS заявка и съобщение за отговор, NAS също ще изпрати атрибути за междинно актуализиране на RADIUS сървъра, за да актуализира мрежата с някои последни необходими данни.
802.1X
Това е един от основните стандартни протоколи за контрол на мрежовия достъп в дадена система.
Сценарият на процеса на удостоверяване включва крайно устройство, което е известно като молител, който инициира заявката за услуга, удостоверителя и сървъра за удостоверяване. Удостоверителят действа като предпазна мярка за мрежата и позволява достъп до искащия клиент само веднъж, докато идентификацията на потребителя не бъде проверена.
Подробната работа на този протокол е обяснена в част 2 на този урок.
Заключение
От този урок научихме как да получим удостоверяване, оторизация и сигурност на мрежите с помощта на гореспоменатите протоколи.
Също така анализирахме, че тези протоколи правят нашата мрежова система защитена от неоторизирани потребители, хакери и вирусни атаки и разбират архитектурата на AAA.
Дълбоко познаване на протокола 802.1X и протокола 802.11i, който ясно посочва факта как достъпът на потребителя до мрежата може да бъде контролиран, за да осигури само ограничен достъп до класифицирана мрежа.
PREV Урок | СЛЕДВАЩ урок
Препоръчително четене
- Какво е Wide Area Network (WAN): Примери за WAN мрежа на живо
- Какво е виртуализация? Примери за виртуализация на мрежа, данни, приложения и съхранение
- Основни стъпки и инструменти за отстраняване на неизправности в мрежата
- Какво е мрежова сигурност: нейните видове и управление
- IEEE 802.11 и 802.11i Wireless LAN и 802.1x стандарти за удостоверяване
- Какво представляват протоколите HTTP (Hypertext Transfer Protocol) и DHCP?
- Важни протоколи от приложния слой: DNS, FTP, SMTP и MIME протоколи
- IPv4 срещу IPv6: Каква е точната разлика