what is ip security
Komplett guide till IP-säkerhet (IPSec), TACACS och AAA Network Access Security Protocols:
I föregående handledning lärde vi oss om HTTP- och DHCP-protokoll i detalj och vi lärde oss också mer om hur protokollen fungerar i olika lager av TCP / IP-modellen och ISO-OSI-referensmodellen.
Här kommer vi att lära känna hur man får tillgång till distinkta nätverk och vilken typ av autentiseringsprocess som kommer att följas av slutanvändarna för att nå ett visst nätverk och få tillgång till dess resurser och tjänster med hjälp av säkerhetsprotokollen.
Rekommenderad läsning => Guide till datanätverk
Det finns hundratals standarder och protokoll för autentisering, kryptering, säkerhet och nätverksåtkomst. Men här diskuterar vi bara några av de mest populära protokollen.
Vad du kommer att lära dig:
- Vad är IP-säkerhet (IPSec)?
- TACACS (Terminal Access Controller Access Control System)
- AAA (autentisering, auktorisering och redovisning)
Vad är IP-säkerhet (IPSec)?
IPSec är ett säkerhetsprotokoll som används för att tillhandahålla säkerhet vid nätverkssystemet i nätverkssystemet. IPSec autentiserar och krypterar datapaket över ett IP-nätverk.
Funktioner i IPSec
- Det skyddar det övergripande datapaketet som produceras vid IP-lagret inklusive rubriker med högre lager.
- IPSec fungerar mellan två olika nätverk, därför är det lättare att implementera säkerhetsfunktioner utan att göra några ändringar i de pågående applikationerna.
- Bestämmer också värdbaserad säkerhet.
- Den vanligaste uppgiften för IPSec är att säkra VPN-nätverk (ett virtuellt privat nätverk) mellan två olika nätverksenheter.
Säkerhetsfunktioner:
- Käll- och destinationsnoderna kan sända meddelanden i krypterad form och därmed underlätta konfidentialiteten för datapaket.
- Upprätthåller datautentisering och integritet.
- Tillhandahåller skydd mot virusattacker genom nyckelhantering.
Drift av IPSec
- IPSecs arbete är uppdelat i två underdelar. Den första är IPSec-kommunikation och den andra är Internetnyckelutbyte (IKE).
- IPSec-kommunikationen är ansvarig för hantering av säker kommunikation mellan två växelnoder genom att använda säkerhetsprotokoll som autentiseringshuvud (AH) och Encapsulated SP (ESP).
- Det inkluderar också funktioner som inkapsling, kryptering av datapaket och bearbetning av IP-datagram.
- IKE är ett slags nyckelhanteringsprotokoll som används för IPSec.
- Detta är inte en nödvändig process eftersom nyckelhantering kan utföras manuellt men för stora nätverk distribueras IKE.
IPSec-kommunikationslägen
Det finns två typer av kommunikationslägen, i, e. transport- och tunnelläge. Eftersom transportläget hålls tillbaka för punkt-till-punkt-kommunikation, används dock tunnelläget mest.
I tunnelläget läggs det nya IP-rubriken till i datapaketet och det inkapslas innan vi inför något säkerhetsprotokoll. I detta, genom en enda gateway, kan flera sessioner av kommunikation underhållas.
Dataflödet i tunnelläget visas med hjälp av nedanstående diagram.
IPSec-protokoll
Säkerhetsprotokoll används för att uppfylla säkerhetskrav. Olika säkerhetsföreningar byggs upp och underhålls mellan två noder med hjälp av säkerhetsprotokoll. De två typerna av säkerhetsprotokoll som används av IPSec inkluderar autentiseringshuvud (AH) och inkapslande säkerhetsnyttolast (ESP).
Autentiseringshuvud (AH): Dess bestämmer autentisering genom att införa AH i IP-datapaketet. Platsen där rubrikenheten ska läggas till baseras på det kommunikationssätt som används.
Arbetet med AH baseras på hashingalgoritmen och en klassificerad nyckel som också kan avkodas av slutanvändarnoderna. Bearbetningen sker enligt följande:
- Från hjälp av SA (säkerhetsförening) samlas käll- och destinations-IP-informationen och vilket säkerhetsprotokoll som kommer att distribueras är också kända. När det har blivit klart kommer AH att distribueras och rubriken används för att bestämma värdet på detaljerade parametrar.
- AH har 32 bitar och parametrar som sekvensparameterindex och autentiseringsdata i samband med SA kommer att leverera protokollflödet.
AH-autentiseringsprocess
Encapsulation Security Protocol (ESP): Detta protokoll kan tillhandahålla säkerhetstjänster som inte kännetecknas av AH-protokollet som sekretess, tillförlitlighet, autentisering och reprisresistens. Serien av tjänster som beviljas beror på de alternativ som valts vid SA-initiering.
Processen med ESP är som följer:
- När det har identifierats att ESP kommer att användas beräknas de olika parametrarna för rubriker. ESP har två viktiga fält, dvs. ESP-rubrik och ESP-trailer. Den övergripande rubriken är på 32 bitar.
- Sidhuvudet har säkerhetsparameterindex (SPI) och sekvensnummer medan trailern har fälten vadderingslängd, nästa rubrikspecifikation och viktigast av allt autentiseringsdata.
- Nedanstående diagram visar hur kryptering och autentisering tillhandahålls i ESP med tunnelkommunikationsläge.
- Krypteringsalgoritmerna som används inkluderar DES, 3DES och AES. De andra kan också användas.
- Den hemliga nyckeln bör vara känd både vid sändande och mottagande ände så att de kan extrahera önskad utgång från dem.
ESP-autentiseringsprocess
Säkerhetsförening i IPSec
- SA är en integrerad del av IPSec-kommunikationen. Den virtuella anslutningen mellan källan och destinationsvärden är inställd innan datautbytet mellan dem, och denna anslutning kallas säkerhetsförening (SA).
- SA är en kombination av parametrar som att hitta krypterings- och autentiseringsprotokoll, hemlig nyckel och dela dem med två enheter.
- SA känns igen av SPI-numret (Security Parameter Index) som finns i rubriken i säkerhetsprotokollet.
- SA identifieras tydligt av SPI, destinations-IP-adress och en säkerhetsprotokollidentifierare.
- SPI-värdet är ett godtyckligt utvecklat tal som används för att kartlägga inkommande datapaket med mottagarens ett i mottagaränden så att det blir enkelt att identifiera de olika SA: erna som når samma punkt.
TACACS (Terminal Access Controller Access Control System)
Det är det äldsta protokollet för autentiseringsprocessen. Den användes i UNIX-nätverk som tillåter en fjärranvändare att vidarebefordra inloggningsanvändarnamnet och lösenordet till en autentiseringsserver för att utvärdera åtkomsten till klientvärden eller inte i ett system.
Protokollet använder port 49 för TCP eller UDP som standard och det tillåter klientvärden att bekräfta användarnamnet och lösenordet och vidarebefordra en fråga till TACACS-autentiseringsservern. TACACS-servern är känd som TACACS-demon eller TACACSD som får reda på om tillåtelse och avslag på begäran och återgår med ett svar.
På grundval av svaret beviljas eller nekas åtkomst och användaren kan logga in med hjälp av fjärranslutningar. Således domineras autentiseringsprocessen av TACACSD och används inte särskilt mycket.
Därför växlas TACACS över av TACACS + och RADIUS som används i de flesta nätverk idag. TACACS använder AAA-arkitekturen för autentisering och distinkta servrar används för att slutföra varje process som är involverad i autentisering.
TACACS + fungerar på TCP och anslutningsorienterat protokoll. TACACS + krypterar hela datapaketet innan det överförs så det är mindre benäget för virusattacker. Vid den avlägsna änden används den hemliga nyckeln för att dekryptera hela data till den ursprungliga.
AAA (autentisering, auktorisering och redovisning)
Detta är en datasäkerhetsarkitektur och olika protokoll följer denna arkitektur för att tillhandahålla autentisering.
Arbetsprincipen för dessa tre steg är som följer:
Autentisering: Den specificerar att användarklienten som begär en tjänst är en godanvändare. Processen utförs genom att visa referenser som ett engångslösenord (OTP), digitalt certifikat eller via telefonsamtal.
Tillstånd: Baserat på vilken typ av tjänst som är tillåten för användaren och baserat på användarbegränsningen beviljas behörigheten till användaren. Tjänsterna inkluderar dirigering, IP-tilldelning, trafikhantering etc.
Bokföring: Bokföring distribueras för lednings- och planeringsändamål. Den innehåller all nödvändig information som när en viss tjänst startar och slutar, användarens identitet och de tjänster som används etc.
Servern kommer att tillhandahålla alla ovanstående tjänster och leverera den till klienterna.
AAA-protokoll : Som vi vet har TACACS och TACACS + tidigare använts för autentiseringsprocessen. Men nu finns det ytterligare ett protokoll som kallas RADIUS, vilket är AAA-baserat och används allmänt överallt i nätverkssystemet.
Nätverksåtkomstserver: Det är en servicekomponent som fungerar som ett gränssnitt mellan klienten och uppringningstjänster. Det finns i ISP-änden för att ge tillgång till internet till sina användare. NAS är också en ensam åtkomstpunkt för fjärranvändare och fungerar också som en gateway för att skydda nätverkets resurser.
RADIUS-protokoll : RADIUS står för fjärraventifieringsanvändartjänst. Den används i princip för applikationer som nätverksåtkomst och IP-mobilitet. Autentiseringsprotokollen som PAP eller EAP distribueras för att autentisera prenumeranter.
RADIUS fungerar på klientservermodellen som fungerar på applikationslagret och använder TCP- eller UDP-port 1812. NAS som fungerar som gateway för att komma åt ett nätverk inkluderar både RADIUS-klienten och RADIUS-serverkomponenterna.
RADIUS fungerar på AAA-arkitektur och använder således två meddelandeformat för paket-typ för att åstadkomma processen, ett åtkomstbegäran för autentisering och auktorisering och bokföringsbegäran för övervakning av redovisning.
Autentisering och auktorisering i RADIUS:
Slutanvändaren skickar en begäran till NAS som söker åtkomst till nätverket genom att använda åtkomstuppgifterna. Sedan vidarebefordrar NAS ett RADIUS-åtkomstmeddelande till RADIUS-servern genom att höja behörighet för åtkomst till nätverket.
Förfrågningsmeddelandet består av åtkomstuppgifter som användarnamn och lösenord eller användarens digitala signatur. Det har också andra data som IP-adress, användarens telefonnummer etc.
RADIUS-servern undersöker data med autentiseringsmetoder som EAP eller PAP. Efter att ha bekräftat referensinformationen och andra relevanta data återgår servern med detta svar.
# 1) Åtkomst avslag : Åtkomsten avvisas eftersom det skickade identitetsbevis eller inloggnings-ID inte är giltigt eller upphört.
# 2) Åtkomstutmaning : Förutom de grundläggande uppgifterna för behörighetsinformation behöver servern också annan information för att ge åtkomst som OTP eller PIN-nummer. Det används i grunden för mer sofistikerad autentisering.
# 3) Access-Accept : Åtkomstbehörigheten har fått slutanvändaren. Efter autentiseringen av användaren undersöker servern regelbundet om användaren är behörig att använda de begärda nätverkstjänsterna. Baserat på inställningarna kan användaren bara få åtkomst till en viss tjänst och inte de andra.
Varje RADIUS-svar har också ett svar-meddelandeattribut som visar anledningen till avslag eller acceptans.
Auktoriseringsattributen som användarens nätverksadress, den typ av tjänst som beviljats, sessionens tidsperiod överförs också till NAS efter att åtkomst har beviljats användaren.
Bokföring:
Efter att användaren har åtkomst att logga in i nätverket kommer redovisningsdelen in i bilden. För att beteckna initieringen av användarens åtkomst till nätverket skickas ett RADIUS-bokföringsmeddelande som består av 'start' -attribut av NAS till RADIUS-servern.
Startattributet består huvudsakligen av användarens identitet, sessionens start- och sluttid och nätverksrelaterad information.
När användaren vill stänga sessionen publicerar NAS ett RADIUS-bokföringsmeddelande som består av ett 'attribut' attribut för att stoppa åtkomsten till nätverket till RADIUS-servern. Det ger också motivet för frånkoppling och slutlig användning av data och andra tjänster i nätverket.
I gengäld skickar RADIUS-servern redovisningsresponsmeddelandet som bekräftelse för att stänga av tjänsterna och avslutar användarens åtkomst till nätverket.
lägg till sträng till strängmatris Java
Denna del används mest för applikationer där statistik och dataövervakning krävs.
Under tiden, mellan flödet av RADIUS-begäran och attribut för svarsmeddelanden, kommer NAS också att skicka 'interim-update' -attribut för RADIUS-servern för att uppdatera nätverket med de senaste nödvändiga uppgifterna.
802.1X
Det är ett av de grundläggande standardprotokollen för att styra nätverksåtkomst i ett system.
Scenariot för autentiseringsprocessen involverar en slutenhet som är känd som en supplicant, som initierar begäran om service, autentiseraren och autentiseringsservern. Autentiseraren fungerar som ett skydd för nätverket och tillåter åtkomst till den begärande klienten bara en gång tills identifieringen av användaren har verifierats.
Det detaljerade arbetet med detta protokoll förklaras i del-2 i denna handledning.
Slutsats
Från denna handledning har vi lärt oss hur man får autentisering, auktorisering och säkerhetsförsörjning till nätverket med hjälp av ovannämnda protokoll.
Vi har också analyserat att dessa protokoll gör vårt nätverkssystem säkert från obehöriga användare, hackare och virusattacker och förstår AAA-arkitekturen.
Djup kunskap om 802.1X-protokollet och 802.11i-protokollet som tydligt specificerar hur användarens åtkomst till ett nätverk kan styras för att endast ge begränsad åtkomst till ett klassificerat nätverk.
PREV-handledning | NÄSTA självstudie
Rekommenderad läsning
- Vad är Wide Area Network (WAN): Live WAN Network Exempel
- Vad är virtualisering? Exempel på virtualisering av nätverk, data, app och lagring
- Grundläggande felsökningssteg och verktyg för nätverk
- Vad är nätverkssäkerhet: dess typer och hantering
- IEEE 802.11 och 802.11i trådlöst LAN och 802.1x autentiseringsstandarder
- Vad är HTTP (Hypertext Transfer Protocol) och DHCP-protokoll?
- Viktiga protokoll för applikationsskikt: DNS-, FTP-, SMTP- och MIME-protokoll
- IPv4 vs IPv6: Vad är den exakta skillnaden