Què és la seguretat IP (IPSec), els protocols de seguretat TACACS i AAA

what is ip security

Proveu El Nostre Instrument Per Eliminar Problemes

Seleccioneu El Sistema Operatiu Trieu Un Programa De Projecció (Opcionalment)

Descriviu El Vostre Problema

Guia completa de seguretat IP (IPSec), protocols de seguretat d'accés a la xarxa TACACS i AAA:

En un tutorial anterior, vam conèixer-ne Protocols HTTP i DHCP en detall i també vam aprendre més sobre el funcionament dels protocols presents a diferents capes del model TCP / IP i del model de referència ISO-OSI.

Aquí, coneixerem com accedir a xarxes distintives i quin tipus de procés d’autenticació seguiran els usuaris finals per arribar a una xarxa concreta i accedir als seus recursos i serveis amb l’ajut dels protocols de seguretat.

Lectura recomanada => Guia de xarxes informàtiques

Protocols de seguretat d’accés a la xarxa-Part-1

Hi ha centenars d’estàndards i protocols d’autenticació, xifratge, seguretat i accés a la xarxa. Però aquí estem discutint només alguns dels protocols més populars.

Què aprendreu:

Què és la seguretat IP (IPSec)?
TACACS (Sistema de control d'accés del controlador d'accés a la terminal)
AAA (autenticació, autorització i comptabilitat)

Què és la seguretat IP (IPSec)?

IPSec és un protocol de seguretat que s’utilitza per proporcionar seguretat a la capa de xarxa del sistema de xarxa. IPSec autentica i xifra els paquets de dades a través d’una xarxa IP.

Característiques d'IPSec

Protegeix el paquet de dades global produït a la capa IP, incloses les capçaleres de capa superior.
IPSec funciona entre dues xarxes diferents, per tant, l'adopció de funcions de seguretat és més fàcil d'implementar sense fer cap canvi a les aplicacions en execució.
També proporciona seguretat basada en l’amfitrió.
La tasca més freqüent d’IPSec és protegir una xarxa VPN (una xarxa privada virtual) entre dues entitats de xarxa diferents.

Funcions de seguretat:

Els nodes d'origen i de destinació poden transmetre missatges en forma xifrada i facilitar així la confidencialitat dels paquets de dades.
Manté l'autenticació i la integritat de les dades.
Protecció contra atacs de virus mitjançant la gestió de claus.

Funcionament d'IPSec

El funcionament d'IPSec es divideix en dues sub-parts. El primer és la comunicació IPSec i el segon és l’intercanvi de claus d’Internet (IKE).
La comunicació IPSec és responsable de gestionar la comunicació segura entre dos nodes d’intercanvi mitjançant protocols de seguretat com la capçalera d’autenticació (AH) i l’encapsulat SP (ESP).
També inclou funcions com l’encapsulació, xifratge de paquets de dades i processament de datagrames IP.
IKE és un tipus de protocol de gestió de claus que s'utilitza per a IPSec.
Aquest no és un procés necessari, ja que la gestió de claus es pot realitzar manualment, però per a xarxes enormes es desplega IKE.

Modes de comunicació IPSec

Hi ha dos tipus de modes de comunicació, i, e. transport i mode túnel. Tanmateix, com que el mode de transport es reté per a la comunicació punt a punt, el mode túnel es desplega de manera més àmplia.

En mode túnel, la nova capçalera IP s’afegeix al paquet de dades i s’encapsula abans d’introduir cap protocol de seguretat. En això, mitjançant una única passarel·la, es poden entretenir múltiples sessions de comunicacions.

El flux de dades en mode túnel es mostra amb l'ajut del diagrama següent.

Mode de comunicació IP sec

Protocols IPSec

Els protocols de seguretat s’utilitzen per complir els requisits de seguretat. Diverses associacions de seguretat es creen i es mantenen entre dos nodes mitjançant protocols de seguretat. Els dos tipus de protocols de seguretat que utilitza IPSec inclouen capçalera d’autenticació (AH) i càrrega útil de seguretat encapsulant (ESP).

Capçalera d'autenticació (AH): Les seves disposicions són l'autenticació imposant AH al paquet de dades IP. El lloc on s'ha d'afegir la unitat de capçalera es basa en el mode de comunicació utilitzat.

El funcionament d'AH es basa en l'algoritme de hash i una clau classificada que també pot ser descodificada pels nodes de l'usuari final. El processament és el següent:

De l'ajut de SA (associació de seguretat) es recull la informació IP d'origen i destinació i també es coneix quin protocol de seguretat es desplegarà. Un cop hagi quedat clar, es desplegarà AH i s’utilitzarà la capçalera per determinar el valor dels paràmetres detallats.
L'AH té 32 bits i paràmetres com l'índex de paràmetres de seqüència i les dades d'autenticació en associació amb SA proporcionaran el flux de protocol.

Procés d'autenticació AH

Protocol de seguretat d’encapsulació (ESP): Aquest protocol és capaç de subministrar serveis de seguretat que no es caracteritzen pel protocol AH, com ara privadesa, fiabilitat, autenticació i resistència a la reproducció. La sèrie de serveis atorgats depèn de les opcions escollides en el moment de la iniciació SA.

El procés d’ESP és el següent:

c ++ genera un número aleatori entre 0 i 1

Un cop s'hagi identificat que s'utilitzarà ESP, es calcularan els diversos paràmetres de les capçaleres. L’ESP té dos camps importants, és a dir, la capçalera ESP i el remolc ESP. La capçalera general és de 32 bits.
La capçalera té l'índex de paràmetres de seguretat (SPI) i el número de seqüència, mentre que el tràiler té la longitud de farciment dels camps, la següent especificació de capçalera i, sobretot, les dades d'autenticació.
El diagrama següent es mostra com es proporcionen xifratge i autenticació a ESP mitjançant el mode de comunicació de túnels.
Els algoritmes de xifratge utilitzats inclouen DES, 3DES i AES. Els altres també es poden utilitzar.
La clau secreta s’ha de conèixer tant a l’extrem d’enviament com a la de recepció, de manera que puguin extreure’n la sortida desitjada.

Procés d'autenticació ESP

ESP

Associació de Seguretat en IPSec

SA és una part integral de la comunicació IPSec. La connectivitat virtual entre la font i l'amfitrió de destinació es configura abans de l'intercanvi de dades entre ells i aquesta connexió s'anomena associació de seguretat (SA).
SA és una combinació de paràmetres com esbrinar protocols de xifratge i autenticació, clau secreta i compartir-los amb dues entitats.
Els SA es reconeixen pel número d’índex de paràmetres de seguretat (SPI) que es troba a la capçalera del protocol de seguretat.
El SA s’identifica de manera distintiva mitjançant l’SPI, l’adreça IP de destinació i un identificador de protocol de seguretat.
El valor SPI és un número arbitrari evolucionat que s’utilitza per mapar els paquets de dades entrants amb el del destinatari a l’extrem del receptor, de manera que serà fàcil identificar els diferents SA que arriben al mateix punt.

TACACS (Sistema de control d'accés del controlador d'accés a la terminal)

És el protocol més antic per al procés d’autenticació. Es va utilitzar a les xarxes UNIX que permeten a un usuari remot passar el nom d’usuari i la contrasenya d’inici de sessió a un servidor d’autenticació per avaluar l’accés concedit a l’amfitrió client o no en un sistema.

El protocol utilitza el port 49 de TCP o UDP per defecte i permet a l’amfitrió client reconèixer el nom d’usuari i la contrasenya i reenviar una consulta al servidor d’autenticació TACACS. El servidor TACACS es coneix com dimoni TACACS o TACACSD, que descobreix si permetre i denegar la sol·licitud i reverteix amb una resposta.

En funció de la resposta, es concedeix o es denega l’accés i l’usuari pot iniciar la sessió mitjançant connexions de connexió telefònica. Per tant, el procés d’autenticació està dominat pel TACACSD i no s’utilitza gaire.

Per tant, TACACS és canviat per TACACS + i RADIUS, que s’utilitzen en la majoria de les xarxes actualment. TACACS utilitza l'arquitectura AAA per a l'autenticació i s'utilitzen servidors diferents per completar cada procés implicat en l'autenticació.

TACACS + funciona en protocols TCP i orientats a la connexió. TACACS + xifra tot el paquet de dades abans de transmetre, de manera que és menys propens a atacs de virus. A l'extrem remot, la clau secreta s'utilitza per desxifrar totes les dades a l'original.

TACACS

AAA (autenticació, autorització i comptabilitat)

Es tracta d’una arquitectura de seguretat informàtica i diversos protocols segueixen aquesta arquitectura per proporcionar autenticació.

El principi de funcionament d’aquests tres passos és el següent:

Autenticació: Especifica que el client usuari que sol·licita un servei és un usuari de bona fe. El procés es realitza presentant credencials com una contrasenya única (OTP), certificat digital o mitjançant una trucada telefònica.

Autorització: En funció del tipus de servei permès a l’usuari i en funció de la restricció de l’usuari, l’autorització es concedeix a l’usuari. Els serveis inclouen enrutament, assignació d’IP, gestió del trànsit, etc.

Comptabilitat: La comptabilitat es desplega amb finalitats de gestió i planificació. Conté tota la informació necessària, com ara quan s’iniciarà i acabarà un servei concret, la identitat de l’usuari i els serveis utilitzats, etc.

El servidor proporcionarà tots els serveis anteriors i els lliurarà als clients.

Protocols AAA : Com sabem, antigament s’utilitzaven TACACS i TACACS + per al procés d’autenticació. Però ara hi ha un protocol més conegut com a RADIUS, basat en AAA, que s’utilitza àmpliament a tot el sistema de xarxes.

Servidor d'accés a la xarxa: És un component de servei que actua com una interfície entre el client i els serveis d'accés telefònic. Està present a l'extrem ISP per proporcionar accés a Internet als seus usuaris. El NAS també és un punt d’accés individual per a usuaris remots i també actua com una porta d’entrada per protegir els recursos de la xarxa.

Protocol RADIUS : RADIUS significa servei d'autenticació remota d'autenticació remota. S'utilitza bàsicament per a aplicacions com l'accés a la xarxa i la mobilitat IP. Els protocols d'autenticació com PAP o EAP es desplegen per autenticar subscriptors.

RADIUS funciona amb el model client-servidor que funciona a la capa d'aplicació i utilitza el port TCP o UDP 1812. El NAS que actua com a passarel·les per accedir a una xarxa inclou tant el client RADIUS com els components del servidor RADIUS.

El RADIUS treballa sobre l'arquitectura AAA i, per tant, utilitza dos formats de missatges de tipus paquet per realitzar el procés, un missatge de sol·licitud d'accés per a l'autenticació i autorització i una sol·licitud de comptabilitat per supervisar la comptabilitat.

Autenticació i autorització a RADIUS:

com es fa una adreça de correu electrònic falsa

L'usuari final envia una sol·licitud al NAS que busca accés a la xarxa fent ús de les credencials d'accés. A continuació, el NAS reenvia un missatge de sol·licitud d’accés RADIUS al servidor RADIUS augmentant el permís d’accés a la xarxa.

El missatge de sol·licitud inclou credencials d’accés com ara el nom d’usuari i la contrasenya o la signatura digital de l’usuari. També té altres dades com l'adreça IP, el número de telèfon de l'usuari, etc.

El servidor RADIUS examina les dades mitjançant mètodes d’autenticació com EAP o PAP. Després de confirmar la informació de credencials i altres dades rellevants, el servidor torna amb aquesta resposta.

Flux d

# 1) Rebutjar accés : L'accés es rebutja perquè la prova d'identitat o l'identificador d'inici de sessió enviat no són vàlids ni han caducat.

# 2) Desafiament d'accés : A part de les dades bàsiques de credencials d’accés, el servidor també requereix altra informació per concedir accés com ara el número OTP o el número PIN. S'utilitza bàsicament per a una autenticació més sofisticada.

# 3) Accés-Acceptació : El permís d'accés s'ha donat a l'usuari final. Després de l'autenticació de l'usuari, el servidor en un interval de temps regular examina si l'usuari està autoritzat a utilitzar els serveis de xarxa sol·licitats. En funció de la configuració, es pot permetre a l’usuari accedir només a un servei concret i no als altres.

Cada resposta de RADIUS també té un atribut de missatge de resposta que presenta el motiu del rebuig o acceptació.

Els atributs d’autorització, com ara l’adreça de xarxa de l’usuari, el tipus de servei atorgat, la durada de la sessió, també es transmeten al NAS després que l’usuari tingui accés.

Comptabilitat:

Després de concedir l'accés a l'usuari per iniciar sessió a la xarxa, la part comptable apareix a la imatge. Per indicar l’inici de l’accés de l’usuari a la xarxa, el NAS envia un missatge de sol·licitud de comptabilitat RADIUS que consisteix en l’atribut 'start' al servidor RADIUS.

L’atribut start consisteix principalment en la identitat de l’usuari, l’hora d’inici i finalització de la sessió i la informació relacionada amb la xarxa.

Quan l'usuari vulgui tancar la sessió, el NAS publicarà un missatge de sol·licitud de comptabilitat RADIUS que consisteix en un atribut 'stop' per aturar l'accés a la xarxa al servidor RADIUS. També proporciona el motiu de desconnexió i ús final de dades i altres serveis de la xarxa.

A canvi, el servidor RADIUS envia el missatge de resposta comptable com a confirmació per apagar els serveis i finalitza l'accés de l'usuari a la xarxa.

Flux comptable RADIUS

Aquesta part s'utilitza principalment per a aplicacions on es requereixen estadístiques i control de dades.

Mentrestant, entre el flux d’atributs de missatge de sol·licitud i resposta de RADIUS, el NAS també enviarà atributs de sol·licitud “actualització provisional” al servidor RADIUS per actualitzar la xarxa amb algunes dades necessàries més recents.

802.1X

És un dels protocols estàndard bàsics per controlar l'accés a la xarxa en un sistema.

L'escenari del procés d'autenticació consisteix en un dispositiu final conegut com a sol·licitant, que inicia la sol·licitud de servei, l'autenticador i el servidor d'autenticació. L’autenticador actua com a protecció de la xarxa i permet l’accés al client sol·licitant només una vegada fins que no s’hagi verificat la identificació de l’usuari.

El funcionament detallat d’aquest protocol s’explica a la part 2 d’aquest tutorial.

Conclusió

A partir d’aquest tutorial, hem après a obtenir autenticació, autorització i seguretat de disposicions a la xarxa amb l’ajut dels protocols esmentats anteriorment.

També hem analitzat que aquests protocols fan que el nostre sistema de xarxa estigui protegit contra usuaris no autoritzats, pirates informàtics i atacs de virus i comprengui l'arquitectura AAA.

Coneixement profund sobre el protocol 802.1X i el protocol 802.11i que especifica clarament el fet de com es pot controlar l'accés de l'usuari a una xarxa per proporcionar només accés limitat a una xarxa classificada.

PREV Tutorial | NEXT Tutorial

Què és la seguretat IP (IPSec), els protocols de seguretat TACACS i AAA

Què és la seguretat IP (IPSec)?

Característiques d'IPSec

Funcionament d'IPSec

Modes de comunicació IPSec

Protocols IPSec

Associació de Seguretat en IPSec

TACACS (Sistema de control d'accés del controlador d'accés a la terminal)

AAA (autenticació, autorització i comptabilitat)

802.1X

Conclusió

Lectura recomanada

Articles D'Interès

L'Elecció De L'Editor

Breakers Collection per finalment portar el dolor el 12 de gener

Hi ha alguna cosa a fer a Gut Check Rock a Tears of the Kingdom (TotK)?

Com canviar la teva aparença a Avatar: Frontiers of Pandora

Un any després, A Better Ubisoft afirma que no s'ha complert cap de les seves peticions

Ressenya: Polybius

CD Projekt Red organitza demà un flux de Cyberpunk 2077

Amb tants desenvolupadors que adopten personatges queer, encara hi ha un lloc per a la codificació gai als jocs?

Nutaku és a punt de relacionar el crowdfunding

Una actualització massiva de Phantasy Star Online 2: New Genesis arribarà al desembre

Polis indignats per les modificacions de Grand Theft Auto que representen els seus cotxes

James Corden organitza una estranya reunió de l'ajuntament d'Activision amb Bobby Kotick

Sonic Frontiers rebrà un DLC gratuït amb la temàtica de Monster Hunter