Menü

IP Güvenliği (IPSec), TACACS ve AAA Güvenlik Protokolleri nedir

  • Ana
  • Diğer
  • IP Güvenliği (IPSec), TACACS ve AAA Güvenlik Protokolleri nedir

what is ip security

Sorunları Ortadan Kaldırmak Için Enstrümanımızı Deneyin

IP güvenliği (IPSec), TACACS ve AAA Ağ Erişimi Güvenlik Protokolleri için Eksiksiz Kılavuz:

Önceki öğreticide, şunları öğrendik: HTTP ve DHCP Protokolleri ayrıntılı olarak ve ayrıca TCP / IP modelinin farklı katmanlarında ve ISO-OSI referans modelinde bulunan protokollerin çalışması hakkında daha fazla bilgi edindik.

Burada farklı ağlara nasıl erişileceğini ve belirli bir ağa ulaşmak ve güvenlik protokolleri yardımıyla kaynaklarına ve hizmetlerine erişmek için son kullanıcılar tarafından ne tür bir kimlik doğrulama sürecini takip edeceğini öğreneceğiz.

Önerilen Okuma => Bilgisayar Ağı Rehberi

Ağ Erişim Güvenlik Protokolleri-Bölüm-1

orada kaç dosya türü var python

Kimlik doğrulama, şifreleme, güvenlik ve ağ erişimi için yüzlerce standart ve protokol vardır. Ancak burada en popüler olarak kullanılan protokollerden sadece birkaçını tartışıyoruz.

Ne öğreneceksin:

IP güvenliği (IPSec) nedir?

IPSec, ağ sisteminin ağ katmanında güvenliği sağlamak için kullanılan bir güvenlik protokolüdür. IPSec, veri paketlerini bir IP ağı üzerinden doğrular ve şifreler.

IPSec'in özellikleri

  • Üst katman başlıkları dahil olmak üzere IP katmanında üretilen genel veri paketini korur.
  • IPSec, iki farklı ağ arasında çalışır, bu nedenle, çalışan uygulamalarda herhangi bir değişiklik yapmadan güvenlik özelliklerinin benimsenmesi daha kolaydır.
  • Ana bilgisayar tabanlı güvenliği de sağlar.
  • IPSec'in en yaygın görevi, iki farklı ağ varlığı arasında VPN ağını (sanal bir özel ağ) güvenceye almaktır.

Güvenlik Fonksiyonları:

  • Kaynak ve hedef düğümler, mesajları şifrelenmiş biçimde iletebilir ve böylece veri paketlerinin gizliliğini kolaylaştırabilir.
  • Veri kimlik doğrulamasını ve bütünlüğünü korur.
  • Anahtar yönetimi aracılığıyla virüs saldırılarına karşı koruma sağlar.

IPSec'in çalışması

  • IPSec'in çalışması iki alt bölüme ayrılmıştır. İlki IPSec iletişimidir ve ikincisi İnternet anahtar değişimidir (IKE).
  • IPSec iletişimi, kimlik doğrulama başlığı (AH) ve Encapsulated SP (ESP) gibi güvenlik protokollerini kullanarak iki değişim düğümü arasındaki güvenli iletişimi yönetmekten sorumludur.
  • Ayrıca, kapsülleme, veri paketlerinin şifrelenmesi ve IP datagramının işlenmesi gibi işlevleri de içerir.
  • IKE IPSec için kullanılan bir tür anahtar yönetimi protokolüdür.
  • Anahtar yönetimi manuel olarak gerçekleştirilebildiği için bu gerekli bir süreç değildir, ancak büyük ağlar için IKE konuşlandırılmıştır.

IPSec İletişim Modları

İki tür iletişim modu vardır, yani. ulaşım ve tünel modu. Bununla birlikte, noktadan noktaya iletişim için taşıma modu geride tutulduğundan, tünel modu en yaygın şekilde kullanılır.

Tünel modunda, yeni IP başlığı veri paketine eklenir ve biz herhangi bir güvenlik protokolü sunmadan önce kapsüllenir. Bunda, tek bir ağ geçidi aracılığıyla, birden fazla iletişim oturumu eğlendirilebilir.

Tünel modunda veri akışı aşağıdaki diyagram yardımı ile gösterilmiştir.

IP sn iletişim modu

IPSec Protokolleri

Güvenlik protokolleri, güvenlik gereksinimlerini karşılamak için kullanılır. Güvenlik protokolleri kullanılarak iki düğüm arasında çeşitli güvenlik ilişkileri kurulur ve sürdürülür. IPSec tarafından kullanılan iki tür güvenlik protokolü arasında kimlik doğrulama başlığı (AH) ve kapsülleme güvenlik yükü (ESP) bulunur.

Kimlik Doğrulama Başlığı (AH): IP veri paketine AH uygulayarak kimlik doğrulamasını sağlar. Başlık ünitesinin ekleneceği yer, kullanılan iletişim moduna bağlıdır.

AH'nin çalışması, karma algoritmaya ve son kullanıcı düğümleri tarafından kodu çözülebilen sınıflandırılmış bir anahtara dayanır. İşlem aşağıdaki gibidir:

  • SA (güvenlik ilişkisi) yardımıyla, kaynak ve hedef IP bilgisi toplanır ve hangi güvenlik protokolünün uygulanacağı da bilinir. Netleştiğinde, AH konuşlandırılacaktır ve başlık, ayrıntılı parametrelerin değerini belirlemek için kullanılır.
  • AH, 32 bitliktir ve SA ile ilişkili sekans parametre indeksi ve kimlik doğrulama verileri gibi parametreler protokol akışını sağlar.

AH Kimlik Doğrulama Süreci

AH

Kapsülleme Güvenlik Protokolü (ESP): Bu protokol, gizlilik, güvenilirlik, kimlik doğrulama ve yeniden oynatma direnci gibi AH protokolüyle karakterize edilmeyen güvenlik hizmetlerini sağlama yeteneğine sahiptir. Verilen hizmet dizisi, SA başlatması anında seçilen seçeneklere bağlıdır.

ESP süreci aşağıdaki gibidir:

  • ESP'nin kullanılacağı belirlendikten sonra, çeşitli başlık parametreleri hesaplanır. ESP'nin iki önemli alanı vardır, yani ESP başlığı ve ESP treyleri. Genel başlık 32 bittir.
  • Başlık, güvenlik parametresi indeksine (SPI) ve sıra numarasına sahipken, römork, alan doldurma uzunluğuna, sonraki başlık spesifikasyonuna ve en önemlisi kimlik doğrulama verilerine sahiptir.
  • Aşağıdaki şema, şifreleme ve kimlik doğrulamasının tünel iletişim modu kullanılarak ESP'de nasıl sağlandığı gösterilmektedir.
  • Kullanılan şifreleme algoritmaları arasında DES, 3DES ve AES bulunur. Diğerleri de kullanılabilir.
  • Gizli anahtar, istenen çıktıyı onlardan alabilmeleri için hem gönderen hem de alan uçta bilinmelidir.

ESP Kimlik Doğrulama Süreci

ESP

IPSec'de Güvenlik Derneği

  • SA, IPSec iletişiminin ayrılmaz bir parçasıdır. Kaynak ve hedef ana bilgisayar arasındaki sanal bağlantı, bunlar arasındaki veri alışverişinden önce kurulur ve bu bağlantıya güvenlik ilişkisi (SA) adı verilir.
  • SA, şifreleme ve kimlik doğrulama protokollerini bulma, gizli anahtar ve bunları iki varlık ile paylaşma gibi parametrelerin birleşimidir.
  • SA’lar, güvenlik protokolünün başlığında bulunan güvenlik parametresi indeksi (SPI) numarasıyla tanınır.
  • SA, SPI, hedef IP adresi ve bir güvenlik protokolü tanımlayıcısı ile belirgin bir şekilde tanımlanır.
  • SPI değeri, gelen veri paketlerini alıcının ucundaki alıcıyla eşleştirmek için kullanılan gelişigüzel geliştirilmiş bir sayıdır, böylece farklı SA’ların aynı noktaya ulaştığını belirlemek basitleşir.

TACACS (Terminal Erişim Kontrol Cihazı Erişim Kontrol Sistemi)

Kimlik doğrulama süreci için en eski protokoldür. Bir sistemde istemci ana bilgisayarına verilen erişimi değerlendirmek için uzak bir kullanıcının oturum açma kullanıcı adını ve parolasını bir kimlik doğrulama sunucusuna aktarmasına izin veren UNIX ağlarında kullanıldı.

Protokol, varsayılan olarak TCP veya UDP'nin 49 numaralı bağlantı noktasını kullanır ve istemci ana bilgisayarının kullanıcı adı ve parolayı kabul etmesine ve TACACS kimlik doğrulama sunucusuna bir sorgu iletmesine izin verir. TACACS sunucusu, isteğe izin verilip verilmeyeceğini bulan ve bir yanıtla geri dönen TACACS arka plan programı veya TACACSD olarak bilinir.

Yanıt temelinde, erişim izni verilir veya reddedilir ve kullanıcı çevirmeli bağlantılar kullanarak oturum açabilir. Bu nedenle, kimlik doğrulama sürecine TACACSD hakimdir ve kullanımda çok fazla değildir.

Bu nedenle TACACS, bugünlerde ağların çoğunda kullanılan TACACS + ve RADIUS tarafından değiştirilir. TACACS, kimlik doğrulama için AAA mimarisini kullanır ve kimlik doğrulamayla ilgili her işlemi tamamlamak için farklı sunucular kullanılır.

TACACS +, TCP ve bağlantı odaklı protokol üzerinde çalışır. TACACS +, tüm veri paketini iletmeden önce şifreler, böylece virüs saldırılarına daha az meyillidir. Uzak uçta, gizli anahtar, tüm verilerin orijinal olana şifresini çözmek için kullanılır.

TACACS

AAA (Kimlik Doğrulama, Yetkilendirme ve Muhasebe)

Bu bir bilgisayar güvenlik mimarisidir ve kimlik doğrulaması sağlamak için bu mimariyi çeşitli protokoller izler.

Bu üç adımın çalışma prensibi aşağıdaki gibidir:

Doğrulama: Bir hizmet talep eden kullanıcı istemcisinin iyi niyetli bir kullanıcı olduğunu belirtir. İşlem, tek kullanımlık şifre (OTP), dijital sertifika gibi kimlik bilgilerinin sunulması veya telefon görüşmesi yoluyla gerçekleştirilir.

Yetki: Kullanıcıya izin verilen hizmet türüne göre ve kullanıcı kısıtlamasına bağlı olarak, yetkilendirme kullanıcıya verilir. Hizmetler, yönlendirme, IP tahsisi, trafik yönetimi vb. İçerir.

Muhasebe: Muhasebe, yönetim ve planlama amacıyla konuşlandırılır. Belirli bir hizmetin ne zaman başlayıp biteceği, kullanıcının kimliği ve kullanılan hizmetler vb. Gibi gerekli tüm bilgileri içerir.

Sunucu, yukarıdaki tüm hizmetleri sağlayacak ve müşterilere teslim edecektir.

AAA Protokolleri : Bildiğimiz gibi, geçmişte kimlik doğrulama işlemi için TACACS ve TACACS + kullanıldı. Ancak şimdi, AAA tabanlı olan ve ağ sisteminin her yerinde yaygın olarak kullanılan RADIUS olarak bilinen bir protokol daha var.

Ağ Erişim Sunucusu: İstemci ve çevirmeli hizmetler arasında bir arayüz görevi gören bir hizmet bileşenidir. ISP ucunda, kullanıcılarına internet erişimini sağlamak için mevcuttur. NAS ayrıca uzak kullanıcılar için tek erişim noktasıdır ve ayrıca ağın kaynaklarını korumak için bir ağ geçidi görevi görür.

RADIUS Protokolü : RADIUS, uzaktan kimlik doğrulama çevirmeli kullanıcı hizmeti anlamına gelir. Temel olarak ağ erişimi ve IP mobilitesi gibi uygulamalar için kullanılır. PAP veya EAP gibi kimlik doğrulama protokolleri, abonelerin kimliğini doğrulamak için kullanılır.

RADIUS, uygulama katmanında çalışan ve TCP veya UDP bağlantı noktası 1812'yi kullanan istemci-sunucu modelinde çalışır. Bir ağa erişmek için ağ geçidi görevi gören NAS, hem RADIUS istemcisini hem de RADIUS sunucu bileşenlerini içerir.

RADIUS, AAA mimarisi üzerinde çalışır ve bu nedenle işlemi gerçekleştirmek için iki paket tipi mesaj formatı kullanır: kimlik doğrulama ve yetkilendirme için bir erişim talebi mesajı ve muhasebeyi denetlemek için hesap talebi.

RADIUS'ta Kimlik Doğrulama ve Yetkilendirme:

ne görürsen onu alırsın web kurucu

Son kullanıcı, erişim kimlik bilgilerini kullanarak ağa erişmek isteyen NAS'a bir istek gönderir. Daha sonra NAS, ağa erişim iznini artırarak RADIUS sunucusuna bir RADIUS erişim isteği mesajı iletir.

İstek mesajı, kullanıcı adı ve parolası gibi erişim kimlik bilgilerinden veya kullanıcının dijital imzasından oluşur. IP adresi, kullanıcının telefon numarası vb. Gibi diğer verileri de içerir.

RADIUS sunucusu, verileri EAP veya PAP gibi kimlik doğrulama yöntemlerini kullanarak inceler. Kimlik bilgileri ve diğer ilgili verileri onayladıktan sonra, sunucu bu yanıtla geri döner.

RADIUS Kimlik Doğrulama ve Yetkilendirme Akışı

# 1) Erişim reddi : Gönderilen kimlik kanıtı veya oturum açma kimliği geçerli olmadığından veya süresi dolduğundan erişim reddedilir.

# 2) Erişim Zorluğu : Temel erişim kimlik bilgisi verilerinin yanı sıra, sunucu, OTP veya PIN numarası gibi erişim izni vermek için başka bilgilere de ihtiyaç duyar. Temelde daha karmaşık kimlik doğrulama için kullanılır.

# 3) Erişim-Kabul Et : Erişim izni son kullanıcıya verilmiştir. Kullanıcının kimlik doğrulamasından sonra, sunucu düzenli bir zaman aralığında, kullanıcının istenen ağ hizmetlerini kullanmaya yetkili olup olmadığını inceler. Ayarlara bağlı olarak, kullanıcının yalnızca belirli bir hizmete erişmesine izin verilebilir, diğerlerine değil.

Her RADIUS yanıtının, reddedilme veya kabul edilme nedenini gösteren bir yanıt mesajı özelliği de vardır.

Kullanıcının ağ adresi, verilen hizmet türü, oturumun süresi gibi yetkilendirme özellikleri, kullanıcıya erişim izni verildikten sonra NAS'a da geçer.

Muhasebe:

Kullanıcıya ağa giriş yapması için erişim izni verildikten sonra hesaplama kısmı devreye giriyor. Kullanıcının ağa erişiminin başladığını belirtmek için, NAS tarafından RADIUS sunucusuna 'start' özniteliğinden oluşan bir RADIUS hesaplama isteği mesajı gönderilir.

Başlangıç ​​özelliği esas olarak kullanıcının kimliği, oturum başlangıç ​​ve bitiş zamanı ve ağla ilgili bilgilerden oluşur.

Kullanıcı oturumu kapatmak istediğinde, NAS, ağa RADIUS sunucusuna erişimi durdurmak için bir 'durdur' özniteliğinden oluşan bir RADIUS hesaplama isteği mesajı yayınlayacaktır. Ayrıca, ağın veri ve diğer hizmetlerinin bağlantısının kesilmesi ve nihai kullanımı için bir neden sağlar.

Karşılığında, RADIUS sunucusu hizmetleri kapatmak için onay olarak hesaplama yanıt mesajını gönderir ve kullanıcının ağa erişimini sonlandırır.

RADIUS muhasebe akışı

Bu bölüm çoğunlukla istatistik ve veri izlemenin gerekli olduğu uygulamalar için kullanılır.

Bu arada, RADIUS isteğinin akışı ile yanıt mesajı öznitelikleri arasında, NAS ayrıca ağı gerekli en son verilerle güncellemek için RADIUS sunucusuna 'ara güncelleme' istek öznitelikleri gönderecektir.

802.1X

Bir sistemdeki ağ erişimini kontrol etmek için temel standart protokollerden biridir.

Kimlik doğrulama sürecinin senaryosu, hizmet talebini başlatan, talep eden olarak bilinen bir uç cihazı, kimlik doğrulayıcısını ve kimlik doğrulama sunucusunu içerir. Kimlik doğrulayıcı, ağ için bir koruma görevi görür ve kullanıcının kimliği doğrulanana kadar talepte bulunan istemciye yalnızca bir kez erişime izin verir.

Bu protokolün ayrıntılı çalışması bu eğitimin 2. bölümünde açıklanmıştır.

Sonuç

Bu eğitimden, yukarıda bahsedilen protokollerin yardımıyla ağa kimlik doğrulama, yetkilendirme ve tedarik güvenliğinin nasıl alınacağını öğrendik.

Ayrıca, bu protokollerin ağ sistemimizi yetkisiz kullanıcılardan, bilgisayar korsanlarından ve virüs saldırılarından güvenli hale getirdiğini ve AAA mimarisini anladığımızı da analiz ettik.

Kullanıcının bir ağa erişiminin, sınıflandırılmış bir ağa yalnızca sınırlı erişim sağlamak için nasıl kontrol edilebileceğini açıkça belirten 802.1X protokolü ve 802.11i protokolü hakkında derin bilgi.

PREV Eğitimi | SONRAKİ Eğitici

Önerilen Kaynaklar

^