Шта су ИП сигурносни протоколи (ИПСец), ТАЦАЦС и ААА сигурносни протоколи

what is ip security

Комплетан водич за ИП сигурност (ИПСец), ТАЦАЦС и ААА мрежни протокол за безбедност приступа:

У претходном упутству смо научили о ХТТП и ДХЦП протоколи детаљно, а такође смо сазнали више о раду протокола присутних на различитим слојевима ТЦП / ИП модела и ИСО-ОСИ референтног модела.

Овде ћемо упознати како да приступимо препознатљивим мрежама и какав ће поступак аутентификације следити крајњи корисници да би дошли до одређене мреже и приступили њеним ресурсима и услугама уз помоћ сигурносних протокола.

Препоручено читање => Водич за рачунарске мреже

Постоје стотине стандарда и протокола за потврду идентитета, шифровање, сигурност и приступ мрежи. Али овде разговарамо о само неколико најпопуларнијих протокола.

Шта ћете научити:

• Шта је ИП заштита (ИПСец)?
  • Карактеристике ИПСец-а
  • Рад ИПСец-а
  • ИПСец начини комуникације
  • ИПСец протоколи
  • Удружење безбедности у ИПСец
• ТАЦАЦС (Терминал Аццесс Цонтроллер Аццесс Цонтрол Систем)
• ААА (аутентификација, ауторизација и рачуноводство)
  • 802.1Кс
  • Закључак
  • Препоручено читање

Шта је ИП заштита (ИПСец)?

ИПСец је сигурносни протокол који се користи за пружање заштите на мрежном слоју мрежног система. ИПСец потврђује идентитет и шифрира пакете података преко ИП мреже.

Карактеристике ИПСец-а

• Чува целокупан пакет података произведен на ИП слоју, укључујући заглавља вишег слоја.
• ИПСец ради између две различите мреже, па је усвајање безбедносних карактеристика лакше имплементирати без икаквих промена у покренутим апликацијама.
• Такође обезбеђује сигурност засновану на хосту.
• Најчешћи задатак ИПСеца је да обезбеди ВПН мрежу (виртуелну приватну мрежу) између два различита мрежна ентитета.

Сигурносне функције:

• Изворни и одредишни чворови могу преносити поруке у шифрованом облику и тако олакшати поверљивост пакета података.
• Одржава аутентичност и интегритет података.
• Обезбеђује заштиту од напада вируса путем управљања кључевима.

Рад ИПСец-а

• Рад ИПСец-а подељен је у два поддела. Прва је ИПСец комуникација, а друга је Интернет размена кључева (ИКЕ).
• ИПСец комуникација одговорна је за управљање сигурном комуникацијом између два чвора за размену коришћењем сигурносних протокола попут заглавља за потврду идентитета (АХ) и енкапсулираног СП (ЕСП).
• Такође укључује функције као што су енкапсулација, шифровање пакета података и обрада ИП датаграма.
• ИКЕ је врста протокола за управљање кључевима који се користи за ИПСец.
• Ово није неопходан процес, јер се управљање кључевима може извршити ручно, али за велике мреже је постављен ИКЕ.

ИПСец начини комуникације

Постоје две врсте начина комуникације, тј. превоз и начин тунела. Међутим, како се начин транспорта задржава за комуникацију од тачке до тачке, режим тунела је најшире примењен.

У режиму тунела, ново ИП заглавље се додаје у пакет података и енкапсулира се пре него што уведемо било који сигурносни протокол. На овај начин, кроз један мрежни пролаз, може се забавити више сесија комуникације.

шта радити са ц ++-ом

Ток података у тунелском режиму приказан је уз помоћ доњег дијаграма.

ИПСец протоколи

Сигурносни протоколи се користе да би се задовољили сигурносни захтеви. Различита сигурносна удружења граде се и одржавају између два чвора помоћу сигурносних протокола. Две врсте сигурносних протокола које користи ИПСец укључују заглавље за потврду идентитета (АХ) и енкапсулирање корисног оптерећења (ЕСП).

Заглавље за потврду идентитета (АХ): Њена одредба утврђује аутентичност наметањем АХ у ИП пакет података. Место на које треба додати заглавље темељи се на начину комуникације који се користи.

Рад АХ заснован је на алгоритму хеширања и класификованом кључу који такође могу декодирати чворови крајњег корисника. Обрада је следећа:

• Уз помоћ СА (сигурносне асоцијације) прикупљају се изворне и одредишне ИП информације и који ће сигурносни протокол бити постављен, такође су познати. Једном када постане јасно, АХ ће се применити и заглавље се користи за одређивање вредности детаљних параметара.
• АХ је од 32 бита, а параметри попут индекса параметара секвенце и података за потврду идентитета у сарадњи са СА испоручиће проток протока.

Процес аутентификације АХ

Сигурносни протокол енкапсулације (ЕСП): Овај протокол је у могућности да пружи сигурносне услуге које АХ протокол не карактерише попут приватности, поузданости, аутентичности и отпора при поновном репродуковању. Серија додељених услуга зависи од опција изабраних у случају покретања СА.

Процес ЕСП-а је следећи:

• Једном када се утврди да ће се ЕСП користити, израчунавају се различити параметри заглавља. ЕСП има два важна поља, тј. ЕСП заглавље и ЕСП приколицу. Укупно заглавље је од 32 бита.
• Заглавље има индекс сигурносних параметара (СПИ) и редни број, док приколица има поља дужине облога, следеће спецификације заглавља и најважније податке о аутентификацији.
• Дијаграм доле је приказан како се шифровање и потврда идентитета пружају у ЕСП-у помоћу тунелског начина комуникације.
• Коришћени алгоритми за шифровање укључују ДЕС, 3ДЕС и АЕС. Остале се такође могу користити.
• Тајни кључ би требао бити познат и на крају слања и на крају пријема како би могли извући жељени излаз из њих.

ЕСП поступак потврде идентитета

Удружење безбедности у ИПСец

• СА је саставни део ИПСец комуникације. Виртуелна повезаност између извора и одредишног домаћина поставља се пре размене података између њих, а та веза се назива безбедносна асоцијација (СА).
• СА је комбинација параметара попут проналажења протокола шифровања и потврде идентитета, тајног кључа и дељења са два ентитета.
• СА се препознају по броју индекса сигурносних параметара (СПИ) који је присутан у заглављу безбедносног протокола.
• СА се препознаје по СПИ, ИП адреси одредишта и идентификатору сигурносног протокола.
• СПИ вредност је произвољан еволуирани број који се користи за мапирање долазних пакета података са примаочевим на крају пријемника, тако да ће бити лако идентификовати различите СА који долазе до исте тачке.

ТАЦАЦС (Терминал Аццесс Цонтроллер Аццесс Цонтрол Систем)

То је најстарији протокол за поступак потврде идентитета. Коришћен је у УНИКС мрежама које омогућавају удаљеном кориснику да проследи корисничко име и лозинку за пријављивање на сервер за проверу идентитета како би проценио приступ одобрен клијентском хосту или не у систему.

Протокол подразумевано користи порт 49 ТЦП или УДП и омогућава клијентском хосту да потврди корисничко име и лозинку и проследи упит ТАЦАЦС серверу за потврду идентитета. ТАЦАЦС сервер познат је као ТАЦАЦС демон или ТАЦАЦСД који сазнаје да ли да дозволи и одбије захтев и враћа се уз одговор.

На основу одговора, приступ се одобрава или одбија и корисник се може пријавити користећи диал-уп везе. Стога процесом аутентификације доминира ТАЦАЦСД и он се не користи превише.

Стога ТАЦАЦС пребацују ТАЦАЦС + и РАДИУС који се данас користе у већини мрежа. ТАЦАЦС користи ААА архитектуру за аутентификацију, а различити сервери се користе за довршавање сваког процеса који је укључен у аутентификацију.

ТАЦАЦС + ради на ТЦП-у и протоколу оријентисаном на везу. ТАЦАЦС + шифрује читав пакет података пре слања, тако да је мање склон вирусним нападима. На удаљеном крају тајни кључ се користи за дешифровање целих података у оригинални.

ААА (аутентификација, ауторизација и рачуноводство)

Ово је архитектура рачунарске сигурности и различити протоколи следе ову архитектуру за обезбеђивање аутентичности.

Принцип рада ова три корака је следећи:

Аутентикација: У њему се наводи да је кориснички клијент који захтева услугу бонафиде корисник. Процес се изводи представљањем акредитива попут једнократне лозинке (ОТП), дигиталног сертификата или путем телефонског позива.

Овлашћење: На основу врсте услуге која је дозвољена кориснику и на основу корисничких ограничења, ауторизација се додељује кориснику. Услуге укључују рутирање, додељивање ИП-а, управљање саобраћајем итд.

Рачуноводство: Рачуноводство је распоређено у сврху управљања и планирања. Садржи све потребне информације, на пример када ће одређена услуга започети и завршити, идентитет корисника и услуге које се користе итд.

Сервер ће пружити све горе наведене услуге и испоручити их клијентима.

ААА протоколи : Као што знамо, у прошлости су ТАЦАЦС и ТАЦАЦС + коришћени за поступак потврде идентитета. Али сада постоји још један протокол познат као РАДИУС који је заснован на ААА и који се широко користи у мрежном систему.

Сервер за мрежни приступ: То је компонента услуге која делује као интерфејс између клијента и диал-уп услуга. Присутан је на крају ИСП-а и омогућава својим корисницима приступ Интернету. НАС је такође соло приступна тачка за удаљене кориснике и такође делује као мрежни пролаз за заштиту ресурса мреже.

РАДИУС протокол : РАДИУС је скраћеница за услугу корисничког позива путем даљинске потврде идентитета. У основи се користи за апликације попут приступа мрежи и мобилности ИП-а. Протоколи за потврду идентитета, попут ПАП или ЕАП, примењују се за потврду идентитета претплатника.

РАДИУС ради на моделу клијент-сервер који ради на апликативном слоју и користи ТЦП или УДП порт 1812. НАС који делује као мрежни пролаз за приступ мрежи укључује и РАДИУС клијент као и РАДИУС серверске компоненте.

РАДИУС ради на ААА архитектури и на тај начин користи два формата пакета типа порука за постизање процеса, поруку захтева за приступ за аутентификацију и ауторизацију и рачуноводствени захтев за надгледање рачуноводства.

Аутентификација и ауторизација у РАДИУС-у:

која је разлика између прослеђивања порта и окидања порта

Крајњи корисник шаље НАС НАС-у тражећи приступ мрежи користећи се акредитивима за приступ. Затим НАС прослеђује РАДИУС поруку захтева за приступ РАДИУС серверу, подизањем дозволе за приступ мрежи.

Порука захтева садржи приступне податке као што су корисничко име и лозинка или дигитални потпис корисника. Такође има и друге податке попут ИП адресе, броја телефона корисника итд.

РАДИУС сервер испитује податке користећи методе потврде идентитета као што су ЕАП или ПАП. Након потврде података о акредитиву и других релевантних података, сервер се враћа назад са овим одговором.

# 1) Одбијање приступа : Приступ је одбијен јер достављени доказ о идентитету или ИД за пријављивање није важећи или је истекао.

# 2) Приступ изазову : Поред основних података о акредитивима, сервер захтева и друге информације за одобравање приступа попут ОТП или ПИН броја. У основи се користи за софистициранију потврду идентитета.

# 3) Приступ-прихвати : Дозвола за приступ дата је крајњем кориснику. Након аутентификације корисника, сервер у редовном интервалу проверава да ли је корисник овлашћен да користи тражене мрежне услуге. На основу подешавања, кориснику може бити дозвољен приступ само одређеној услузи, а не и осталим.

Сваки РАДИУС одговор такође има атрибут одговор-порука који представља разлог одбијања или прихватања.

Атрибути ауторизације као што су мрежна адреса корисника, врста одобрене услуге, време трајања сесије такође се преносе на НАС након што је кориснику одобрен приступ.

Рачуноводство:

Након што се кориснику одобри приступ за пријављивање у мрежу, на слици се појављује рачуноводствени део. Да би означио покретање корисничког приступа мрежи, НАС шаље РАДИУС серверу поруку захтева за обрачун РАДИУС-а која се састоји од атрибута „старт“.

Атрибут старт се углавном састоји од идентитета корисника, времена почетка и завршетка сесије и информација у вези са мрежом.

Када корисник жели да затвори сесију, НАС ће објавити поруку захтева за обрачун РАДИУС-а која се састоји од атрибута „стоп“ за заустављање приступа мрежи РАДИУС серверу. Такође пружа мотив за прекид везе и коначну употребу података и других услуга мреже.

Заузврат, РАДИУС сервер шаље поруку рачуноводственог одговора као потврду да искључи услуге и укида приступ корисника мрежи.

Овај део се углавном користи за апликације где је потребна статистика и надзор података.

У међувремену, између протока РАДИУС захтева и атрибута поруке одговора, НАС ће такође послати атрибуте захтева „привремено ажурирање“ РАДИУС серверу како би ажурирао мрежу са неким најновијим потребним подацима.

802.1Кс

То је један од основних стандардних протокола за контролу приступа мрежи у систему.

Сценариј поступка аутентификације укључује крајњи уређај који је познат као подносилац захтева, који иницира захтев за услугу, аутентификатор и сервер за потврду идентитета. Аутентификатор делује као заштита мреже и дозвољава приступ клијенту који захтева захтев само једном док се не потврди идентитет корисника.

Детаљан рад овог протокола објашњен је у делу 2 овог водича.

Закључак

Из овог водича научили смо како да уз помоћ горе поменутих протокола добијемо потврду идентитета, ауторизацију и заштиту одредби на мрежи.

Такође смо анализирали да ови протоколи чине наш мрежни систем заштићеним од неовлашћених корисника, хакера и напада вируса и разумевање ААА архитектуре.

Дубоко знање о протоколу 802.1Кс и протоколу 802.11и који јасно прецизира чињеницу о томе како приступ корисника мрежи може да се контролише тако да пружа само ограничени приступ класификованој мрежи.

ПРЕВ Туториал |. | СЛЕДЕЋА Лекција

Препоручено читање

• Шта је мрежа широког подручја (ВАН): примери ВАН мреже уживо
• Шта је виртуелизација? Примери виртуелизације мреже, података, апликација и складиштења
• Основни кораци и алати за решавање проблема са мрежом
• Шта је мрежна сигурност: њене врсте и управљање
• Бежични ЛАН ИЕЕЕ 802.11 и 802.11и и стандарди за потврду идентитета 802.1к
• Шта су ХТТП (Хипертект Трансфер Протоцол) и ДХЦП протоколи?
• Важни протоколи слоја апликација: ДНС, ФТП, СМТП и МИМЕ протоколи
• ИПв4 вс ИПв6: У чему је тачна разлика