what is ip security
Vollständiger Leitfaden zu IP-Sicherheits- (IPSec), TACACS- und AAA-Netzwerkzugriffssicherheitsprotokollen:
Im vorherigen Tutorial haben wir davon erfahren HTTP- und DHCP-Protokolle im Detail und wir haben auch mehr über die Funktionsweise der Protokolle erfahren, die auf verschiedenen Ebenen des TCP / IP-Modells und des ISO-OSI-Referenzmodells vorhanden sind.
Hier erfahren Sie, wie Sie Zugriff auf bestimmte Netzwerke erhalten und welche Art von Authentifizierungsprozess von den Endbenutzern befolgt wird, um mithilfe der Sicherheitsprotokolle auf ein bestimmtes Netzwerk zuzugreifen und auf dessen Ressourcen und Dienste zuzugreifen.
Empfohlenes Lesen => Anleitung zum Computernetzwerk
Es gibt Hunderte von Standards und Protokollen für Authentifizierung, Verschlüsselung, Sicherheit und Netzwerkzugriff. Aber hier diskutieren wir nur einige der am häufigsten verwendeten Protokolle.
Was du lernen wirst:
- Was ist IP-Sicherheit (IPSec)?
- TACACS (Terminal Access Controller-Zugangskontrollsystem)
- AAA (Authentifizierung, Autorisierung und Buchhaltung)
Was ist IP-Sicherheit (IPSec)?
IPSec ist ein Sicherheitsprotokoll, mit dem Sicherheit auf der Netzwerkebene des Netzwerksystems bereitgestellt wird. IPSec authentifiziert und verschlüsselt die Datenpakete über ein IP-Netzwerk.
Funktionen von IPSec
- Es schützt das gesamte auf der IP-Schicht erzeugte Datenpaket einschließlich der Header der höheren Schicht.
- IPSec arbeitet zwischen zwei verschiedenen Netzwerken. Daher ist die Übernahme von Sicherheitsfunktionen einfacher zu implementieren, ohne dass Änderungen an den ausgeführten Anwendungen vorgenommen werden müssen.
- Bietet auch hostbasierte Sicherheit.
- Die häufigste Aufgabe von IPSec ist das Sichern eines VPN-Netzwerks (eines virtuellen privaten Netzwerks) zwischen zwei verschiedenen Netzwerkeinheiten.
Sicherheitsfunktionen:
- Die Quell- und Zielknoten können Nachrichten in verschlüsselter Form übertragen und so die Vertraulichkeit von Datenpaketen erleichtern.
- Bewahrt die Datenauthentifizierung und -integrität.
- Bietet Schutz vor Virenangriffen durch Schlüsselverwaltung.
Betrieb von IPSec
- Die Arbeitsweise von IPSec ist in zwei Teile unterteilt. Die erste ist die IPSec-Kommunikation und die zweite ist der Internet Key Exchange (IKE).
- Die IPSec-Kommunikation ist für die Verwaltung der sicheren Kommunikation zwischen zwei Austauschknoten mithilfe von Sicherheitsprotokollen wie Authentifizierungsheader (AH) und Encapsulated SP (ESP) verantwortlich.
- Es enthält auch Funktionen wie Kapselung, Verschlüsselung von Datenpaketen und Verarbeitung von IP-Datagrammen.
- IKE ist eine Art Schlüsselverwaltungsprotokoll, das für IPSec verwendet wird.
- Dies ist kein notwendiger Prozess, da die Schlüsselverwaltung manuell durchgeführt werden kann. Für große Netzwerke wird jedoch IKE bereitgestellt.
IPSec-Kommunikationsmodi
Es gibt zwei Arten von Kommunikationsmodi, d.h. Transport- und Tunnelmodus. Da der Transportmodus jedoch für die Punkt-zu-Punkt-Kommunikation zurückgehalten wird, ist der Tunnelmodus am weitesten verbreitet.
Im Tunnelmodus wird der neue IP-Header zum Datenpaket hinzugefügt und eingekapselt, bevor ein Sicherheitsprotokoll eingeführt wird. Dabei können über ein einziges Gateway mehrere Kommunikationssitzungen unterhalten werden.
Der Datenfluss im Tunnelmodus wird anhand des folgenden Diagramms dargestellt.
IPSec-Protokolle
Sicherheitsprotokolle werden verwendet, um die Sicherheitsanforderungen zu erfüllen. Mithilfe von Sicherheitsprotokollen werden verschiedene Sicherheitszuordnungen zwischen zwei Knoten aufgebaut und verwaltet. Die beiden von IPSec verwendeten Arten von Sicherheitsprotokollen umfassen den Authentifizierungsheader (AH) und die Kapselung der Sicherheitsnutzlast (ESP).
Authentifizierungsheader (AH): Es bietet die Authentifizierung durch Auferlegen von AH in das IP-Datenpaket. Der Ort, an dem die Kopfeinheit hinzugefügt werden soll, basiert auf dem verwendeten Kommunikationsmodus.
Die Arbeitsweise von AH basiert auf dem Hashing-Algorithmus und einem klassifizierten Schlüssel, der auch von den Endbenutzerknoten dekodiert werden kann. Die Verarbeitung ist wie folgt:
- Mithilfe von SA (Security Association) werden die Quell- und Ziel-IP-Informationen gesammelt und es ist auch bekannt, welches Sicherheitsprotokoll bereitgestellt werden soll. Sobald klar ist, dass AH bereitgestellt wird, wird der Header verwendet, um den Wert detaillierter Parameter zu bestimmen.
- Der AH besteht aus 32 Bit und Parameter wie der Sequenzparameterindex und Authentifizierungsdaten in Verbindung mit SA liefern den Protokollfluss.
AH Authentifizierungsprozess
Encapsulation Security Protocol (ESP): Dieses Protokoll kann die Sicherheitsdienste bereitstellen, die nicht durch das AH-Protokoll gekennzeichnet sind, wie Datenschutz, Zuverlässigkeit, Authentifizierung und Wiedergabewiderstand. Die Reihe der gewährten Dienste hängt von den Optionen ab, die zum Zeitpunkt der SA-Initiierung ausgewählt wurden.
Der Prozess der ESP ist wie folgt:
- Sobald festgestellt wurde, dass ESP verwendet werden soll, werden die verschiedenen Parameter der Header berechnet. Das ESP hat zwei wichtige Felder, d. H. Den ESP-Header und den ESP-Trailer. Der Gesamtheader besteht aus 32 Bit.
- Der Header enthält den Sicherheitsparameterindex (SPI) und die Sequenznummer, während der Trailer die Felder Auffülllänge, die nächste Headerspezifikation und vor allem die Authentifizierungsdaten enthält.
- Das folgende Diagramm zeigt, wie Verschlüsselung und Authentifizierung in ESP im Tunnelkommunikationsmodus bereitgestellt werden.
- Die verwendeten Verschlüsselungsalgorithmen umfassen DES, 3DES und AES. Die anderen können auch verwendet werden.
- Der geheime Schlüssel sollte sowohl am sendenden als auch am empfangenden Ende bekannt sein, damit sie die gewünschte Ausgabe daraus extrahieren können.
ESP-Authentifizierungsprozess
Sicherheitsverband in IPSec
- SA ist ein wesentlicher Bestandteil der IPSec-Kommunikation. Die virtuelle Konnektivität zwischen dem Quell- und dem Zielhost wird vor dem Datenaustausch zwischen ihnen eingerichtet, und diese Verbindung wird als Security Association (SA) bezeichnet.
- SA ist eine Kombination von Parametern wie das Herausfinden von Verschlüsselungs- und Authentifizierungsprotokollen, der geheime Schlüssel und deren gemeinsame Nutzung mit zwei Entitäten.
- SAs werden an der SPI-Nummer (Security Parameter Index) erkannt, die im Header des Sicherheitsprotokolls vorhanden ist.
- Die SA wird durch den SPI, die Ziel-IP-Adresse und eine Sicherheitsprotokollkennung eindeutig identifiziert.
- Der SPI-Wert ist eine willkürlich entwickelte Zahl, die verwendet wird, um die eingehenden Datenpakete mit der des Empfängers am Empfängerseite abzubilden, so dass es einfach wird, die verschiedenen SAs zu identifizieren, die denselben Punkt erreichen.
TACACS (Terminal Access Controller-Zugangskontrollsystem)
Es ist das älteste Protokoll für den Authentifizierungsprozess. Es wurde in UNIX-Netzwerken verwendet, mit denen ein Remotebenutzer den Anmeldenamen und das Kennwort an einen Authentifizierungsserver weitergeben kann, um den Zugriff zu bewerten, der dem Clienthost gewährt wurde oder nicht in einem System.
Das Protokoll verwendet standardmäßig den Port 49 von TCP oder UDP und ermöglicht es dem Client-Host, den Benutzernamen und das Kennwort zu bestätigen und eine Abfrage an den TACACS-Authentifizierungsserver weiterzuleiten. Der TACACS-Server wird als TACACS-Daemon oder TACACSD bezeichnet, der herausfindet, ob die Anforderung zugelassen und abgelehnt werden soll, und mit einer Antwort zurückgesetzt wird.
Auf der Grundlage der Antwort wird der Zugriff gewährt oder verweigert, und der Benutzer kann sich über DFÜ-Verbindungen anmelden. Daher wird der Authentifizierungsprozess vom TACACSD dominiert und nicht sehr häufig verwendet.
Daher wird TACACS von TACACS + und RADIUS umgeschaltet, die heutzutage in den meisten Netzwerken verwendet werden. TACACS verwendet die AAA-Architektur zur Authentifizierung und es werden unterschiedliche Server verwendet, um jeden an der Authentifizierung beteiligten Prozess abzuschließen.
TACACS + arbeitet mit TCP und verbindungsorientiertem Protokoll. TACACS + verschlüsselt das gesamte Datenpaket vor der Übertragung und ist daher weniger anfällig für Virenangriffe. Am entfernten Ende wird der geheime Schlüssel verwendet, um die gesamten Daten in die ursprünglichen zu entschlüsseln.
AAA (Authentifizierung, Autorisierung und Buchhaltung)
Dies ist eine Computersicherheitsarchitektur, und verschiedene Protokolle folgen dieser Architektur zur Bereitstellung der Authentifizierung.
wie man JAR-Dateien unter Windows ausführt
Das Arbeitsprinzip dieser drei Schritte lautet wie folgt:
Authentifizierung: Es gibt an, dass der Benutzerclient, der einen Dienst anfordert, ein bonafide Benutzer ist. Der Vorgang erfolgt durch Vorlage von Anmeldeinformationen wie einem Einmalkennwort (OTP), einem digitalen Zertifikat oder per Telefonanruf.
Genehmigung: Basierend auf der Art des Dienstes, der dem Benutzer gestattet ist, und basierend auf der Benutzerbeschränkung wird die Autorisierung dem Benutzer erteilt. Die Dienste umfassen Routing, IP-Zuweisung, Verkehrsmanagement usw.
Buchhaltung: Das Rechnungswesen wird zu Verwaltungs- und Planungszwecken eingesetzt. Es enthält alle erforderlichen Informationen wie den Start und das Ende eines bestimmten Dienstes, die Identität des Benutzers und die verwendeten Dienste usw.
Der Server stellt alle oben genannten Dienste bereit und stellt sie den Clients zur Verfügung.
AAA-Protokolle : Wie wir wissen, wurden in der Vergangenheit TACACS und TACACS + für den Authentifizierungsprozess verwendet. Jetzt gibt es ein weiteres Protokoll namens RADIUS, das auf AAA basiert und im gesamten Netzwerksystem weit verbreitet ist.
Netzwerkzugriffsserver: Es ist eine Dienstkomponente, die als Schnittstelle zwischen dem Client und den DFÜ-Diensten fungiert. Es ist am ISP-Ende vorhanden, um seinen Benutzern den Zugang zum Internet zu ermöglichen. NAS ist auch ein Solo-Zugriffspunkt für Remotebenutzer und fungiert auch als Gateway zum Schutz der Ressourcen des Netzwerks.
RADIUS-Protokoll : RADIUS steht für Remote Authentication Dial-In User Service. Es wird hauptsächlich für Anwendungen wie Netzwerkzugriff und IP-Mobilität verwendet. Die Authentifizierungsprotokolle wie PAP oder EAP werden zur Authentifizierung von Abonnenten bereitgestellt.
RADIUS arbeitet mit dem Client-Server-Modell, das auf der Anwendungsschicht ausgeführt wird und den TCP- oder UDP-Port 1812 verwendet. Der NAS, der als Gateways für den Zugriff auf ein Netzwerk fungiert, umfasst sowohl den RADIUS-Client als auch RADIUS-Serverkomponenten.
Der RADIUS arbeitet mit einer AAA-Architektur und verwendet daher zwei paketartige Nachrichtenformate, um den Prozess durchzuführen, eine Zugriffsanforderungsnachricht zur Authentifizierung und Autorisierung und eine Abrechnungsanforderung zur Überwachung der Abrechnung.
Authentifizierung und Autorisierung in RADIUS:
Der Endbenutzer sendet eine Anfrage an NAS, um unter Verwendung der Zugangsdaten Zugriff auf das Netzwerk zu erhalten. Anschließend leitet der NAS eine RADIUS-Zugriffsanforderungsnachricht an den RADIUS-Server weiter, indem er die Berechtigung für den Zugriff auf das Netzwerk erhöht.
Die Anforderungsnachricht enthält Zugriffsdaten wie Benutzername und Kennwort oder digitale Signatur des Benutzers. Es hat auch andere Daten wie IP-Adresse, Telefonnummer des Benutzers usw.
Der RADIUS-Server überprüft die Daten mithilfe von Authentifizierungsmethoden wie EAP oder PAP. Nach Bestätigung der Anmeldeinformationen und anderer relevanter Daten kehrt der Server mit dieser Antwort zurück.
# 1) Zugriff ablehnen : Der Zugriff wird abgelehnt, da der übermittelte Identitätsnachweis oder die übermittelte Login-ID nicht gültig oder abgelaufen ist.
Fragen und Antworten zum Java-Programminterview
# 2) Access Challenge : Neben den grundlegenden Zugangsdaten benötigt der Server auch andere Informationen, um den Zugriff zu gewähren, z. B. die OTP- oder PIN-Nummer. Es wird grundsätzlich für eine anspruchsvollere Authentifizierung verwendet.
# 3) Zugriff akzeptieren : Die Zugriffsberechtigung wurde dem Endbenutzer erteilt. Nach der Authentifizierung des Benutzers prüft der Server in regelmäßigen Abständen, ob der Benutzer berechtigt ist, die angeforderten Netzwerkdienste zu verwenden. Basierend auf den Einstellungen kann der Benutzer möglicherweise nur auf einen bestimmten Dienst und nicht auf die anderen zugreifen.
Jede RADIUS-Antwort verfügt außerdem über ein Antwortnachrichtenattribut, das den Grund für die Ablehnung oder Annahme darstellt.
Die Autorisierungsattribute wie die Netzwerkadresse des Benutzers, die Art des gewährten Dienstes und die Zeitdauer der Sitzung werden ebenfalls an den NAS weitergeleitet, nachdem dem Benutzer der Zugriff gewährt wurde.
Buchhaltung:
Nachdem dem Benutzer der Zugriff zum Anmelden im Netzwerk gewährt wurde, wird der Buchhaltungsteil angezeigt. Um die Initiierung des Benutzerzugriffs auf das Netzwerk anzuzeigen, sendet der NAS eine RADIUS-Kontoführungsanforderungsnachricht, die aus dem Attribut 'Start' besteht, an den RADIUS-Server.
Das Startattribut besteht hauptsächlich aus der Identität des Benutzers, der Start- und Endzeit der Sitzung und netzwerkbezogenen Informationen.
Wenn der Benutzer die Sitzung schließen möchte, veröffentlicht der NAS eine RADIUS-Kontoführungsanforderungsnachricht, die aus einem Attribut 'stop' besteht, um den Zugriff auf das Netzwerk auf den RADIUS-Server zu stoppen. Es liefert auch das Motiv für die Trennung und endgültige Nutzung von Daten und anderen Diensten des Netzwerks.
Im Gegenzug sendet der RADIUS-Server die Abrechnungsantwortnachricht als Bestätigung zum Ausschalten der Dienste und beendet den Zugriff des Benutzers auf das Netzwerk.
Dieser Teil wird hauptsächlich für Anwendungen verwendet, bei denen Statistiken und Datenüberwachung erforderlich sind.
In der Zwischenzeit sendet der NAS zwischen dem Fluss der RADIUS-Anforderungs- und Antwortnachrichtenattribute auch Anforderungsattribute für die Zwischenaktualisierung an den RADIUS-Server, um das Netzwerk mit den neuesten erforderlichen Daten zu aktualisieren.
802.1X
Es ist eines der grundlegenden Standardprotokolle zur Steuerung des Netzwerkzugriffs in einem System.
Das Szenario des Authentifizierungsprozesses umfasst ein Endgerät, das als Supplicant bezeichnet wird und die Serviceanforderung, den Authentifikator und den Authentifizierungsserver initiiert. Der Authentifikator dient als Schutz für das Netzwerk und ermöglicht den Zugriff auf den anfordernden Client nur einmal, bis die Identifizierung des Benutzers überprüft wurde.
Die detaillierte Arbeitsweise dieses Protokolls wird in Teil 2 dieses Tutorials erläutert.
Fazit
In diesem Tutorial haben wir gelernt, wie Sie mithilfe der oben genannten Protokolle Authentifizierung, Autorisierung und Sicherheit für das Netzwerk erhalten.
Wir haben auch analysiert, dass diese Protokolle unser Netzwerksystem vor unbefugten Benutzern, Hackern und Virenangriffen schützen und die AAA-Architektur verstehen.
Vertiefte Kenntnisse des 802.1X-Protokolls und des 802.11i-Protokolls, die klar angeben, wie der Zugriff des Benutzers auf ein Netzwerk gesteuert werden kann, um nur eingeschränkten Zugriff auf ein klassifiziertes Netzwerk zu ermöglichen.
PREV Tutorial | NÄCHSTES Tutorial
Literatur-Empfehlungen
- Was ist Wide Area Network (WAN)? Beispiele für Live-WAN-Netzwerke
- Was ist Virtualisierung? Beispiele für Netzwerk-, Daten-, App- und Speichervirtualisierung
- Grundlegende Schritte und Tools zur Fehlerbehebung im Netzwerk
- Was ist Netzwerksicherheit: Typen und Verwaltung
- IEEE 802.11- und 802.11i-WLAN- und 802.1x-Authentifizierungsstandards
- Was sind HTTP- (Hypertext Transfer Protocol) und DHCP-Protokolle?
- Wichtige Protokolle der Anwendungsschicht: DNS-, FTP-, SMTP- und MIME-Protokolle
- IPv4 vs IPv6: Was ist der genaue Unterschied