what is ip security
Guide complet de la sécurité IP (IPSec), des protocoles de sécurité d'accès au réseau TACACS et AAA:
Dans le tutoriel précédent, nous avons appris Protocoles HTTP et DHCP en détail et nous en avons également appris davantage sur le fonctionnement des protocoles présents aux différentes couches du modèle TCP / IP et du modèle de référence ISO-OSI.
Ici, nous apprendrons comment accéder à des réseaux distincts et quel type de processus d'authentification sera suivi par les utilisateurs finaux pour atteindre un réseau particulier et accéder à ses ressources et services à l'aide des protocoles de sécurité.
cual es el mejor VPN para streaming
Lecture recommandée => Guide des réseaux informatiques
Il existe des centaines de normes et de protocoles pour l'authentification, le cryptage, la sécurité et l'accès au réseau. Mais ici, nous ne discutons que de quelques-uns des protocoles les plus couramment utilisés.
Ce que vous apprendrez:
- Qu'est-ce que la sécurité IP (IPSec)?
- TACACS (système de contrôle d'accès du contrôleur d'accès aux terminaux)
- AAA (authentification, autorisation et comptabilité)
Qu'est-ce que la sécurité IP (IPSec)?
IPSec est un protocole de sécurité utilisé pour assurer la sécurité au niveau de la couche réseau du système réseau. IPSec authentifie et crypte les paquets de données sur un réseau IP.
Caractéristiques d'IPSec
- Il protège le paquet de données global produit au niveau de la couche IP, y compris les en-têtes de couche supérieure.
- IPSec fonctionne entre deux réseaux différents, par conséquent, l'adoption des fonctionnalités de sécurité est plus facile à implémenter sans apporter de modifications aux applications en cours d'exécution.
- Fournit également une sécurité basée sur l'hôte.
- La tâche la plus fréquente d'IPSec est de sécuriser le réseau VPN (un réseau privé virtuel) entre deux entités réseau différentes.
Fonctions de sécurité:
- Les nœuds source et destination peuvent transmettre des messages sous forme cryptée et ainsi faciliter la confidentialité des paquets de données.
- Maintient l'authentification et l'intégrité des données.
- Fournit une protection contre les attaques de virus grâce à la gestion des clés.
Fonctionnement d'IPSec
- Le fonctionnement d'IPSec est divisé en deux sous-parties. Le premier est la communication IPSec et le second est l'échange de clés Internet (IKE).
- La communication IPSec est responsable de la gestion de la communication sécurisée entre deux nœuds d'échange en utilisant des protocoles de sécurité tels que l'en-tête d'authentification (AH) et le SP encapsulé (ESP).
- Il comprend également des fonctions telles que l'encapsulation, le cryptage des paquets de données et le traitement du datagramme IP.
- IKE est une sorte de protocole de gestion de clé qui est utilisé pour IPSec.
- Ce n'est pas un processus nécessaire car la gestion des clés peut être effectuée manuellement, mais pour les grands réseaux, IKE est déployé.
Modes de communication IPSec
Il existe deux types de modes de communication, i, e. transport et mode tunnel. Cependant, comme le mode de transport est retenu pour la communication point à point, le mode tunnel est le plus largement déployé.
En mode tunnel, le nouvel en-tête IP est ajouté dans le paquet de données et il est encapsulé avant l'introduction de tout protocole de sécurité. En cela, via une seule passerelle, plusieurs sessions de communication peuvent être diverties.
Le flux de données en mode tunnel est illustré à l'aide du diagramme ci-dessous.
Protocoles IPSec
Les protocoles de sécurité sont utilisés pour répondre aux exigences de sécurité. Diverses associations de sécurité sont créées et maintenues entre deux nœuds à l'aide de protocoles de sécurité. Les deux types de protocoles de sécurité utilisés par IPSec incluent l'en-tête d'authentification (AH) et l'encapsulation de la charge utile de sécurité (ESP).
En-tête d'authentification (AH): Il prévoit l'authentification en imposant AH dans le paquet de données IP. L'endroit où l'unité principale doit être ajoutée est basé sur le mode de communication utilisé.
Le fonctionnement d'AH est basé sur l'algorithme de hachage et une clé classifiée qui peut également être décodée par les nœuds de l'utilisateur final. Le traitement est le suivant:
- A l'aide de SA (association de sécurité), les informations IP source et de destination sont collectées et le protocole de sécurité qui va être déployé est également connu. Une fois qu'il est devenu clair, que AH sera déployé et l'en-tête est utilisé pour déterminer la valeur des paramètres détaillés.
- L'AH est de 32 bits et des paramètres tels que l'index de paramètre de séquence et les données d'authentification en association avec SA fourniront le flux de protocole.
Processus d'authentification AH
Protocole de sécurité d'encapsulation (ESP): Ce protocole est capable de fournir les services de sécurité qui ne sont pas caractérisés par le protocole AH comme la confidentialité, la fiabilité, l'authentification et la résistance à la relecture. La série de services accordés dépend des options choisies au moment de l'ouverture de l'AS.
Le processus d'ESP est le suivant:
- Une fois qu'il a été identifié que l'ESP va être utilisé, les différents paramètres des en-têtes sont calculés. L'ESP a deux champs importants, à savoir l'en-tête ESP et la remorque ESP. L'en-tête global est de 32 bits.
- L'en-tête a l'index de paramètre de sécurité (SPI) et le numéro de séquence tandis que la fin de page a la longueur de remplissage des champs, la spécification d'en-tête suivante et surtout les données d'authentification.
- Le diagramme ci-dessous montre comment le cryptage et l'authentification sont fournis dans ESP en utilisant le mode de communication tunnel.
- Les algorithmes de chiffrement utilisés incluent DES, 3DES et AES. Les autres peuvent également être utilisés.
- La clé secrète doit être connue à la fois à l'envoi et à la réception afin qu'ils puissent en extraire la sortie souhaitée.
Processus d'authentification ESP
Association de sécurité dans IPSec
- SA fait partie intégrante de la communication IPSec. La connectivité virtuelle entre la source et l'hôte de destination est établie avant l'échange de données entre eux, et cette connexion est appelée association de sécurité (SA).
- SA est une combinaison de paramètres tels que la découverte des protocoles de cryptage et d'authentification, la clé secrète et leur partage avec deux entités.
- Les SA sont reconnus par le numéro d’index des paramètres de sécurité (SPI) qui est présent dans l’en-tête du protocole de sécurité.
- L'association de sécurité est identifiée de manière distincte par le SPI, l'adresse IP de destination et un identifiant de protocole de sécurité.
- La valeur SPI est un nombre évolué arbitraire qui est utilisé pour mapper les paquets de données entrants avec celui du destinataire à l'extrémité du récepteur afin qu'il devienne simple d'identifier les différentes SA atteignant le même point.
TACACS (système de contrôle d'accès du contrôleur d'accès aux terminaux)
C'est le protocole le plus ancien pour le processus d'authentification. Il a été utilisé dans les réseaux UNIX qui permet à un utilisateur distant de transmettre le nom d'utilisateur et le mot de passe de connexion à un serveur d'authentification pour évaluer l'accès accordé à l'hôte client ou non dans un système.
Le protocole utilise le port 49 de TCP ou UDP par défaut et permet à l'hôte client d'accuser réception du nom d'utilisateur et du mot de passe et de transmettre une requête au serveur d'authentification TACACS. Le serveur TACACS est connu sous le nom de démon TACACS ou TACACSD qui découvre s'il faut autoriser et refuser la demande et revient avec une réponse.
Sur la base de la réponse, l'accès est accordé ou refusé et l'utilisateur peut se connecter en utilisant des connexions d'accès à distance. Ainsi, le processus d'authentification est dominé par le TACACSD et n'est pas très utilisé.
Par conséquent, TACACS est commuté par TACACS + et RADIUS qui sont utilisés dans la plupart des réseaux ces jours-ci. TACACS utilise l'architecture AAA pour l'authentification et des serveurs distincts sont utilisés pour terminer chaque processus impliqué dans l'authentification.
TACACS + fonctionne sur TCP et le protocole orienté connexion. TACACS + crypte l'ensemble du paquet de données avant de le transmettre, il est donc moins sujet aux attaques de virus. À l'extrémité distante, la clé secrète est utilisée pour déchiffrer toutes les données dans l'original.
AAA (authentification, autorisation et comptabilité)
Il s'agit d'une architecture de sécurité informatique et divers protocoles suivent cette architecture pour fournir l'authentification.
Le principe de fonctionnement de ces trois étapes est le suivant:
Authentification: Il spécifie que le client utilisateur qui demande un service est un utilisateur de bonne foi. Le processus est effectué en présentant des informations d'identification comme un mot de passe à usage unique (OTP), un certificat numérique ou via un appel téléphonique.
Autorisation: En fonction du type de service autorisé à l'utilisateur et en fonction de la restriction de l'utilisateur, l'autorisation est accordée à l'utilisateur. Les services incluent le routage, l'attribution IP, la gestion du trafic, etc.
Comptabilité: La comptabilité est déployée à des fins de gestion et de planification. Il contient toutes les informations nécessaires comme le moment où un service particulier va démarrer et se terminer, l'identité de l'utilisateur et les services utilisés, etc.
Le serveur fournira tous les services ci-dessus et les fournira aux clients.
Protocoles AAA : Comme nous le savons, dans le passé, TACACS et TACACS + étaient utilisés pour le processus d'authentification. Mais maintenant, il existe un autre protocole connu sous le nom de RADIUS qui est basé sur AAA et est largement utilisé partout dans le système de réseau.
Serveur d'accès au réseau: C'est un composant de service qui agit comme une interface entre le client et les services d'accès à distance. Il est présent du côté du FAI pour donner accès à Internet à ses utilisateurs. Le NAS est également un point d'accès solo pour les utilisateurs distants et agit également comme une passerelle pour protéger les ressources du réseau.
Protocole RADIUS : RADIUS est l'acronyme de Remote Authentication Dial-in User Service. Il est essentiellement utilisé pour des applications telles que l'accès au réseau et la mobilité IP. Les protocoles d'authentification comme PAP ou EAP sont déployés pour authentifier les abonnés.
RADIUS fonctionne sur le modèle client-serveur qui opère sur la couche application et utilise le port TCP ou UDP 1812. Le NAS qui agit comme des passerelles pour accéder à un réseau comprend à la fois le client RADIUS et les composants du serveur RADIUS.
Le RADIUS fonctionne sur l'architecture AAA et utilise donc deux formats de message de type paquet pour accomplir le processus, un message de demande d'accès pour l'authentification et l'autorisation et une demande de comptabilité pour superviser la comptabilité.
Authentification et autorisation dans RADIUS:
top 10 des applications d'espionnage pour Android
L'utilisateur final envoie une demande au NAS cherchant à accéder au réseau en utilisant les informations d'identification d'accès. Ensuite, le NAS transmet un message de demande d'accès RADIUS au serveur RADIUS, en augmentant l'autorisation d'accès au réseau.
Le message de demande comprend des informations d'identification d'accès telles que le nom d'utilisateur et le mot de passe ou la signature numérique de l'utilisateur. Il contient également d'autres données telles que l'adresse IP, le numéro de téléphone de l'utilisateur, etc.
Le serveur RADIUS examine les données à l'aide de méthodes d'authentification telles que EAP ou PAP. Après avoir confirmé les informations d'identification et d'autres données pertinentes, le serveur revient avec cette réponse.
# 1) Rejet d'accès : L'accès est rejeté car la preuve d'identité ou l'ID de connexion soumis n'est pas valide ou a expiré.
# 2) Défi d'accès : Outre les données d'identification d'accès de base, le serveur a également besoin d'autres informations pour autoriser l'accès, telles que l'OTP ou le code PIN. Il est essentiellement utilisé pour une authentification plus sophistiquée.
# 3) Accès-Accepter : L'autorisation d'accès a été donnée à l'utilisateur final. Après l'authentification de l'utilisateur, le serveur examine à intervalles réguliers si l'utilisateur est autorisé à utiliser les services réseau demandés. Sur la base des paramètres, l'utilisateur peut être autorisé à accéder uniquement à un service particulier et pas aux autres.
Chaque réponse RADIUS a également un attribut de message de réponse qui présente la raison du rejet ou de l'acceptation.
Les attributs d'autorisation tels que l'adresse réseau de l'utilisateur, le type de service accordé, la durée de la session sont également transmis au NAS une fois l'accès accordé à l'utilisateur.
Comptabilité:
Une fois que l'accès est accordé à l'utilisateur pour se connecter au réseau, la partie comptable entre en scène. Pour indiquer l’initiation de l’accès de l’utilisateur au réseau, un message de demande de comptabilité RADIUS composé de l’attribut «start» est envoyé par le NAS au serveur RADIUS.
L’attribut start se compose principalement de l’identité de l’utilisateur, de l’heure de début et de fin de la session et des informations relatives au réseau.
Lorsque l'utilisateur souhaite fermer la session, le NAS publie un message de demande de comptabilité RADIUS qui consiste en un attribut «stop» pour arrêter l'accès au réseau au serveur RADIUS. Il fournit également le motif de la déconnexion et de l'utilisation finale des données et d'autres services du réseau.
En retour, le serveur RADIUS envoie le message de réponse comptable comme accusé de réception pour désactiver les services et met fin à l'accès de l'utilisateur au réseau.
Cette partie est principalement utilisée pour les applications où les statistiques et la surveillance des données sont nécessaires.
En attendant, entre le flux d'attributs de requête RADIUS et de message de réponse, le NAS enverra également des attributs de requête de «mise à jour intermédiaire» au serveur RADIUS pour mettre à jour le réseau avec les dernières données nécessaires.
802.1X
C'est l'un des protocoles standard de base pour contrôler l'accès au réseau dans un système.
Le scénario du processus d'authentification implique un périphérique d'extrémité, appelé suppliant, qui lance la demande de service, l'authentificateur et le serveur d'authentification. L'authentificateur agit comme une sauvegarde du réseau et n'autorise l'accès au client demandeur qu'une seule fois jusqu'à ce que l'identification de l'utilisateur ait été vérifiée.
Le fonctionnement détaillé de ce protocole est expliqué dans la partie 2 de ce tutoriel.
Conclusion
À partir de ce didacticiel, nous avons appris comment obtenir une authentification, une autorisation et des dispositions de sécurité sur le réseau à l'aide des protocoles mentionnés ci-dessus.
Nous avons également analysé que ces protocoles sécurisent notre système de réseau contre les utilisateurs non autorisés, les pirates informatiques et les attaques de virus et nous comprenons l'architecture AAA.
Connaissance approfondie du protocole 802.1X et du protocole 802.11i qui spécifie clairement le fait sur la façon dont l'accès de l'utilisateur à un réseau peut être contrôlé pour ne fournir qu'un accès limité à un réseau classé.
Tutoriel PREV | Tutoriel SUIVANT
lecture recommandée
- Qu'est-ce que le réseau étendu (WAN): Exemples de réseaux WAN en direct
- Qu'est-ce que la virtualisation? Exemples de virtualisation du réseau, des données, des applications et du stockage
- Étapes et outils de dépannage de base du réseau
- Qu'est-ce que la sécurité réseau: ses types et sa gestion
- LAN sans fil IEEE 802.11 et 802.11i et normes d'authentification 802.1x
- Que sont les protocoles HTTP (Hypertext Transfer Protocol) et DHCP?
- Protocoles importants de la couche application: protocoles DNS, FTP, SMTP et MIME
- IPv4 vs IPv6: quelle est la différence exacte