Che cosa sono i protocolli di sicurezza IP Security (IPSec), TACACS e AAA

what is ip security

Prova Il Nostro Strumento Per Eliminare I Problemi

Seleziona Il Sistema Operativo Scegli Un Programma Di Proiezione (Facoltativamente)

Descrivi Il Tuo Problema

Guida completa ai protocolli di protezione IP (IPSec), TACACS e AAA Network Access Security:

Nel tutorial precedente, abbiamo imparato a conoscere Protocolli HTTP e DHCP in dettaglio e abbiamo anche appreso di più sul funzionamento dei protocolli presenti ai diversi livelli del modello TCP / IP e del modello di riferimento ISO-OSI.

Qui, impareremo come ottenere l'accesso a reti distintive e quale tipo di processo di autenticazione sarà seguito dagli utenti finali per raggiungere una particolare rete e accedere alle sue risorse e servizi con l'aiuto dei protocolli di sicurezza.

Lettura consigliata => Guida alla rete di computer

Protocolli di protezione dell

Esistono centinaia di standard e protocolli per l'autenticazione, la crittografia, la sicurezza e l'accesso alla rete. Ma qui stiamo discutendo solo alcuni dei protocolli più comunemente usati.

Cosa imparerai:

Cos'è la protezione IP (IPSec)?
TACACS (Terminal Access Controller Access Control System)
AAA (autenticazione, autorizzazione e contabilità)

Cos'è la protezione IP (IPSec)?

IPSec è un protocollo di sicurezza utilizzato per fornire sicurezza a livello di rete del sistema di rete. IPSec autentica e crittografa i pacchetti di dati su una rete IP.

Caratteristiche di IPSec

Protegge il pacchetto di dati complessivo prodotto a livello IP, comprese le intestazioni di livello superiore.
IPSec funziona tra due reti diverse, pertanto l'adozione di funzionalità di sicurezza è più semplice da implementare senza apportare modifiche alle applicazioni in esecuzione.
Fornisce anche sicurezza basata su host.
Il compito più frequente di IPSec è proteggere la rete VPN (una rete privata virtuale) tra due diverse entità di rete.

Funzioni di sicurezza:

I nodi di origine e di destinazione possono trasmettere messaggi in forma crittografata e quindi facilitare la riservatezza dei pacchetti di dati.
Mantiene l'autenticazione e l'integrità dei dati.
Fornisce protezione dagli attacchi di virus attraverso la gestione delle chiavi.

Funzionamento di IPSec

Il funzionamento di IPSec è suddiviso in due sottoparti. Il primo è la comunicazione IPSec e il secondo è lo scambio di chiavi Internet (IKE).
La comunicazione IPSec è responsabile della gestione della comunicazione sicura tra due nodi di scambio utilizzando protocolli di sicurezza come l'header di autenticazione (AH) e l'SP incapsulato (ESP).
Include anche funzioni come l'incapsulamento, la crittografia dei pacchetti di dati e l'elaborazione del datagramma IP.
IKE è un tipo di protocollo di gestione delle chiavi utilizzato per IPSec.
Questo non è un processo necessario in quanto la gestione delle chiavi può essere eseguita manualmente, ma per reti enormi viene distribuito IKE.

Modalità di comunicazione IPSec

Esistono due tipi di modalità di comunicazione, i, e. trasporto e modalità tunnel. Tuttavia, poiché la modalità di trasporto viene trattenuta per la comunicazione punto a punto, la modalità tunnel è la più diffusa.

Nella modalità tunnel, la nuova intestazione IP viene aggiunta al pacchetto di dati e viene incapsulata prima di introdurre qualsiasi protocollo di sicurezza. In questo, attraverso un unico gateway, possono essere intrattenute più sessioni di comunicazione.

Il flusso di dati nella modalità tunnel viene mostrato con l'aiuto del diagramma sottostante.

Modalità di comunicazione IP sec

Protocolli IPSec

I protocolli di sicurezza vengono utilizzati per soddisfare i requisiti di sicurezza. Varie associazioni di sicurezza vengono create e mantenute tra due nodi utilizzando protocolli di sicurezza. I due tipi di protocolli di sicurezza utilizzati da IPSec includono l'intestazione di autenticazione (AH) e l'incapsulamento del payload di sicurezza (ESP).

Intestazione di autenticazione (AH): Fornisce l'autenticazione imponendo AH nel pacchetto di dati IP. Il luogo in cui deve essere aggiunta l'unità di intestazione si basa sulla modalità di comunicazione utilizzata.

Il funzionamento di AH si basa sull'algoritmo di hashing e su una chiave classificata che può essere decodificata anche dai nodi dell'utente finale. Il trattamento è il seguente:

Con l'aiuto di SA (associazione di sicurezza) vengono raccolte le informazioni sull'IP di origine e di destinazione e si conosce anche il protocollo di sicurezza che verrà implementato. Una volta che è diventato chiaro, verrà distribuito AH e l'intestazione viene utilizzata per determinare il valore dei parametri dettagliati.
L'AH è di 32 bit e parametri come l'indice del parametro di sequenza e i dati di autenticazione in associazione con SA forniranno il flusso del protocollo.

Processo di autenticazione AH

Encapsulation Security Protocol (ESP): Questo protocollo è in grado di fornire i servizi di sicurezza che non sono caratterizzati dal protocollo AH come privacy, affidabilità, autenticazione e resistenza alla riproduzione. La serie di servizi concessi dipende dalle opzioni scelte al momento dell'avvio di SA.

Il processo di ESP è il seguente:

Una volta identificato che verrà utilizzato ESP, vengono calcolati i vari parametri delle intestazioni. L'ESP ha due campi importanti, ovvero l'header ESP e il trailer ESP. L'intestazione complessiva è di 32 bit.
L'intestazione ha l'indice del parametro di sicurezza (SPI) e il numero di sequenza mentre il trailer ha la lunghezza del riempimento dei campi, la specifica dell'intestazione successiva e, soprattutto, i dati di autenticazione.
Il diagramma seguente mostra come vengono fornite la crittografia e l'autenticazione in ESP utilizzando la modalità di comunicazione tunnel.
Gli algoritmi di crittografia utilizzati includono DES, 3DES e AES. Possono essere utilizzati anche gli altri.
La chiave segreta dovrebbe essere nota sia all'estremità di invio che a quella di ricezione in modo che possano estrarre l'output desiderato da loro.

Processo di autenticazione ESP

ESP

Security Association in IPSec

SA è parte integrante della comunicazione IPSec. La connettività virtuale tra l'origine e l'host di destinazione viene impostata prima dello scambio di dati tra di loro e questa connessione è chiamata associazione di sicurezza (SA).
SA è una combinazione di parametri come scoprire i protocolli di crittografia e autenticazione, chiave segreta e condividerli con due entità.
Le SA sono riconosciute dal numero SPI (security parameter index) presente nell'intestazione del protocollo di sicurezza.
La SA è identificata distintamente dall'SPI, dall'indirizzo IP di destinazione e da un identificatore del protocollo di sicurezza.
Il valore SPI è un numero evoluto arbitrario che viene utilizzato per mappare i pacchetti di dati in arrivo con quello del destinatario all'estremità del ricevitore in modo che diventi semplice identificare le diverse SA che raggiungono lo stesso punto.

TACACS (Terminal Access Controller Access Control System)

È il protocollo più vecchio per il processo di autenticazione. È stato utilizzato nelle reti UNIX che consentono a un utente remoto di trasmettere il nome utente e la password di accesso a un server di autenticazione per valutare l'accesso concesso o meno all'host client in un sistema.

Il protocollo utilizza la porta 49 di TCP o UDP per impostazione predefinita e consente all'host del client di riconoscere il nome utente e la password e inoltrare una query al server di autenticazione TACACS. Il server TACACS è noto come demone TACACS o TACACSD che scopre se consentire e rifiutare la richiesta e ripristina con una risposta.

In base alla risposta, l'accesso viene concesso o negato e l'utente può accedere utilizzando connessioni remote. Pertanto il processo di autenticazione è dominato dal TACACSD e non è molto utilizzato.

come trovare la chiave di sicurezza di rete sul mio computer

Pertanto TACACS è passato da TACACS + e RADIUS che sono stati utilizzati nella maggior parte delle reti in questi giorni. TACACS utilizza l'architettura AAA per l'autenticazione e vengono utilizzati server distinti per completare ogni processo coinvolto nell'autenticazione.

TACACS + funziona su TCP e protocollo orientato alla connessione. TACACS + crittografa l'intero pacchetto di dati prima della trasmissione, quindi è meno soggetto ad attacchi di virus. All'estremità remota, la chiave segreta viene utilizzata per decrittografare tutti i dati in quello originale.

TACAC

AAA (autenticazione, autorizzazione e contabilità)

Si tratta di un'architettura di sicurezza del computer e vari protocolli seguono questa architettura per fornire l'autenticazione.

Il principio di funzionamento di questi tre passaggi è il seguente:

Autenticazione: Specifica che il client utente che richiede un servizio è un utente in buona fede. Il processo viene effettuato presentando credenziali come una password monouso (OTP), certificato digitale o tramite chiamata telefonica.

Autorizzazione: In base al tipo di servizio consentito all'utente e in base alla restrizione dell'utente, l'autorizzazione viene concessa all'utente. I servizi includono routing, allocazione IP, gestione del traffico ecc.

Contabilità: La contabilità viene distribuita per scopi di gestione e pianificazione. Contiene tutte le informazioni necessarie come l'inizio e la fine di un particolare servizio, l'identità dell'utente e i servizi utilizzati, ecc.

Il server fornirà tutti i servizi di cui sopra e li consegnerà ai client.

Protocolli AAA : Come sappiamo, in passato sono stati utilizzati TACACS e TACACS + per il processo di autenticazione. Ma ora esiste un altro protocollo noto come RADIUS che è basato su AAA ed è ampiamente utilizzato in tutto il sistema di rete.

Server di accesso alla rete: È un componente di servizio che funge da interfaccia tra il client e i servizi di accesso remoto. È presente all'estremità dell'ISP per fornire l'accesso a Internet ai propri utenti. Il NAS è anche un punto di accesso singolo per utenti remoti e funge anche da gateway per proteggere le risorse della rete.

Protocollo RADIUS : RADIUS sta per servizio di accesso remoto per l'autenticazione remota. Fondamentalmente è utilizzato per applicazioni come l'accesso alla rete e la mobilità IP. I protocolli di autenticazione come PAP o EAP vengono distribuiti per autenticare gli abbonati.

RADIUS funziona sul modello client-server che opera sul livello dell'applicazione e utilizza la porta TCP o UDP 1812. Il NAS che funge da gateway per accedere a una rete include sia il client RADIUS che i componenti del server RADIUS.

Il RADIUS funziona su architettura AAA e quindi utilizza due formati di messaggi di tipo pacchetto per completare il processo, un messaggio di richiesta di accesso per autenticazione e autorizzazione e richiesta di contabilità per la supervisione della contabilità.

Autenticazione e autorizzazione in RADIUS:

L'utente finale invia una richiesta al NAS cercando di accedere alla rete utilizzando le credenziali di accesso. Quindi il NAS inoltra un messaggio di richiesta di accesso RADIUS al server RADIUS, ottenendo l'autorizzazione per l'accesso alla rete.

Il messaggio di richiesta comprende le credenziali di accesso come nome utente e password o firma digitale dell'utente. Ha anche altri dati come indirizzo IP, numero di telefono dell'utente ecc.

Il server RADIUS esamina i dati utilizzando metodi di autenticazione come EAP o PAP. Dopo aver confermato le informazioni sulle credenziali e altri dati rilevanti, il server ripristina questa risposta.

Autenticazione RADIUS e flusso di autorizzazione

# 1) Accesso rifiutato : L'accesso viene rifiutato in quanto la prova di identità o l'ID di accesso inviato non è valido o è scaduto.

# 2) Sfida di accesso : Oltre ai dati delle credenziali di accesso di base, il server richiede anche altre informazioni per consentire l'accesso come il numero OTP o PIN. Fondamentalmente è utilizzato per un'autenticazione più sofisticata.

# 3) Accesso-Accetta : L'autorizzazione di accesso è stata concessa all'utente finale. Dopo l'autenticazione dell'utente, il server verifica a intervalli regolari se l'utente è autorizzato a utilizzare i servizi di rete richiesti. In base alle impostazioni, l'utente può essere autorizzato ad accedere solo a un determinato servizio e non agli altri.

Ogni risposta RADIUS ha anche un attributo di messaggio di risposta che presenta il motivo del rifiuto o dell'accettazione.

Gli attributi di autorizzazione come l'indirizzo di rete dell'utente, il tipo di servizio concesso, la durata della sessione passano anche al NAS dopo che l'accesso è stato concesso all'utente.

Contabilità:

Dopo che l'accesso è stato concesso all'utente per accedere alla rete, la parte contabile entra in scena. Per denotare l'avvio dell'accesso dell'utente alla rete, il NAS invia al server RADIUS un messaggio di richiesta di account RADIUS costituito dall'attributo 'start'.

L'attributo di inizio consiste principalmente nell'identità dell'utente, nell'ora di inizio e fine della sessione e nelle informazioni relative alla rete.

Quando l'utente vuole chiudere la sessione, il NAS pubblicherà un messaggio di richiesta di account RADIUS che consiste in un attributo 'stop' per interrompere l'accesso alla rete al server RADIUS. Fornisce inoltre il motivo per la disconnessione e l'utilizzo finale dei dati e di altri servizi della rete.

In cambio, il server RADIUS invia il messaggio di risposta dell'account come riconoscimento per disattivare i servizi e termina l'accesso dell'utente alla rete.

Flusso di contabilità RADIUS

Questa parte viene utilizzata principalmente per applicazioni in cui è richiesto il monitoraggio delle statistiche e dei dati.

Nel frattempo, tra il flusso della richiesta RADIUS e gli attributi del messaggio di risposta, il NAS invierà anche attributi di richiesta di “aggiornamento intermedio” al server RADIUS per aggiornare la rete con alcuni dati necessari più recenti.

802.1X

È uno dei protocolli standard di base per controllare l'accesso alla rete in un sistema.

Lo scenario del processo di autenticazione coinvolge un dispositivo finale noto come supplicant, che avvia la richiesta di servizio, l'autenticatore e il server di autenticazione. L'autenticatore funge da salvaguardia per la rete e consente l'accesso al client richiedente solo una volta fino a quando l'identificazione dell'utente non è stata verificata.

Il funzionamento dettagliato di questo protocollo è spiegato nella parte 2 di questo tutorial.

Conclusione

Da questo tutorial abbiamo appreso come ottenere autenticazione, autorizzazione e messa in sicurezza della rete con l'ausilio dei protocolli sopra menzionati.

Abbiamo anche analizzato che questi protocolli proteggono il nostro sistema di rete da utenti non autorizzati, hacker e attacchi di virus e comprendiamo l'architettura AAA.

Conoscenza approfondita del protocollo 802.1X e del protocollo 802.11i che specifica chiaramente come è possibile controllare l'accesso dell'utente a una rete per fornire solo un accesso limitato a una rete classificata.

Tutorial PREV | PROSSIMO Tutorial

Che cosa sono i protocolli di sicurezza IP Security (IPSec), TACACS e AAA

Cos'è la protezione IP (IPSec)?

Caratteristiche di IPSec

Funzionamento di IPSec

Modalità di comunicazione IPSec

Protocolli IPSec

Security Association in IPSec

TACACS (Terminal Access Controller Access Control System)

AAA (autenticazione, autorizzazione e contabilità)

802.1X

Conclusione

Lettura consigliata

Articoli Interessanti

Scelta Del Redattore

Teoria unificata di Mario Timeline di Tomm Hulett

Recensione: Ace of Spades

Recensione: Dividi

Il tatuaggio Pokemon impazzito diventa il meme Internet più nuovo e amato

Recensione: Shadow of the Colossus (PS4)

Blaseball è tornato ed è pronto a deformare la realtà ancora una volta

Incontra il mercante e lo studioso in Octopath Traveller II

Con 500.000 vendite e oltre, Mordhau è già un successo su Steam

La battaglia di Battletoad in Xbox One di Shovel Knight è molto meglio del Kratos di PSN

Recensione: Shantae: 1/2 Genie Hero

Steam ci sta sfidando a eliminare i nostri arretrati

Oggi inizia il weekend free-to-play di Rainbow Six Siege