IPSec (IP 보안), TACACS 및 AAA 보안 프로토콜이란?

what is ip security

IP 보안 (IPSec), TACACS 및 AAA 네트워크 액세스 보안 프로토콜에 대한 전체 가이드 :

이전 튜토리얼에서 우리는 HTTP 및 DHCP 프로토콜 TCP / IP 모델과 ISO-OSI 참조 모델의 여러 계층에 존재하는 프로토콜의 작동에 대해 자세히 배웠습니다.

여기서는 고유 한 네트워크에 액세스하는 방법과 최종 사용자가 보안 프로토콜의 도움을 받아 특정 네트워크에 도달하고 리소스 및 서비스에 액세스하기 위해 어떤 종류의 인증 프로세스를 따를 지 알게됩니다.

추천 읽기 => 컴퓨터 네트워킹 가이드

인증, 암호화, 보안 및 네트워크 액세스를위한 수백 가지 표준 및 프로토콜이 있습니다. 그러나 여기서는 가장 널리 사용되는 프로토콜 중 몇 가지만 논의합니다.

학습 내용 :

• IP 보안 (IPSec)이란 무엇입니까?
  • IPSec의 특징
  • IPSec의 작동
  • IPSec 통신 모드
  • IPSec 프로토콜
  • IPSec의 보안 연결
• TACACS (Terminal Access Controller Access Control System)
• AAA (인증, 승인 및 회계)
  • 802.1X
  • 결론
  • 추천 도서

IP 보안 (IPSec)이란 무엇입니까?

IPSec은 네트워킹 시스템의 네트워크 계층에서 보안을 제공하는 데 사용되는 보안 프로토콜입니다. IPSec은 IP 네트워크를 통해 데이터 패킷을 인증하고 암호화합니다.

IPSec의 특징

• 상위 계층 헤더를 포함하여 IP 계층에서 생성 된 전체 데이터 패킷을 보호합니다.
• IPSec은 서로 다른 두 네트워크 사이에서 작동하므로 실행중인 응용 프로그램을 변경하지 않고도 보안 기능을 쉽게 구현할 수 있습니다.
• 호스트 기반 보안도 제공합니다.
• IPSec의 가장 빈번한 작업은 서로 다른 두 네트워크 엔터티 간의 VPN 네트워크 (가상 사설망)를 보호하는 것입니다.

보안 기능 :

• 소스 및 대상 노드는 암호화 된 형식으로 메시지를 전송할 수 있으므로 데이터 패킷의 기밀성을 용이하게합니다.
• 데이터 인증 및 무결성을 유지합니다.
• 키 관리를 통해 바이러스 공격에 대한 보호를 제공합니다.

IPSec의 작동

• IPSec의 작동은 두 개의 하위 부분으로 나뉩니다. 첫 번째는 IPSec 통신이고 두 번째는 IKE (인터넷 키 교환)입니다.
• IPSec 통신은 인증 헤더 (AH) 및 캡슐화 된 SP (ESP)와 같은 보안 프로토콜을 사용하여 두 교환 노드 간의 보안 통신을 관리 할 책임이 있습니다.
• 또한 캡슐화, 데이터 패킷 암호화 및 IP 데이터 그램 처리와 같은 기능도 포함됩니다.
• IKE IPSec에 사용되는 일종의 키 관리 프로토콜입니다.
• 키 관리는 수동으로 수행 할 수 있으므로 필요한 프로세스는 아니지만 대규모 네트워크의 경우 IKE가 배포됩니다.

IPSec 통신 모드

통신 모드에는 두 가지가 있습니다. 전송 및 터널 모드. 그러나 지점 간 통신을 위해 전송 모드가 보류되므로 터널 모드가 가장 널리 배포됩니다.

터널 모드에서는 새로운 IP 헤더가 데이터 패킷에 추가되고 보안 프로토콜을 도입하기 전에 캡슐화됩니다. 이를 통해 단일 게이트웨이를 통해 여러 세션의 통신을 즐길 수 있습니다.

터널 모드의 데이터 흐름은 아래 다이어그램의 도움으로 표시됩니다.

IPSec 프로토콜

보안 프로토콜은 보안 요구 사항을 충족하는 데 사용됩니다. 보안 프로토콜을 사용하여 두 노드간에 다양한 보안 연결이 구축되고 유지됩니다. IPSec에서 사용하는 두 가지 종류의 보안 프로토콜에는 AH (인증 헤더)와 ESP (Encapsulating Security Payload)가 있습니다.

인증 헤더 (AH) : AH를 IP 데이터 패킷에 부과하여 인증을 제공합니다. 헤더 유닛을 추가해야하는 위치는 사용되는 통신 모드에 따라 다릅니다.

AH의 작동은 해싱 알고리즘과 최종 사용자 노드에서도 디코딩 할 수있는 분류 된 키를 기반으로합니다. 처리는 다음과 같습니다.

• SA (보안 연결)의 도움으로 소스 및 대상 IP 정보가 수집되고 배포 될 보안 프로토콜도 알려져 있습니다. 명확 해지면 AH가 배포되고 헤더가 세부 매개 변수의 값을 결정하는 데 사용됩니다.
• AH는 32 비트이며 SA와 관련된 시퀀스 매개 변수 색인 및 인증 데이터와 같은 매개 변수가 프로토콜 흐름을 전달합니다.

AH 인증 프로세스

ESP (Encapsulation Security Protocol) : 이 프로토콜은 프라이버시, 신뢰성, 인증 및 재생 저항과 같은 AH 프로토콜의 특징이없는 보안 서비스를 프로비저닝 할 수 있습니다. 부여되는 일련의 서비스는 SA 시작 인스턴스에서 선택한 옵션에 따라 다릅니다.

ESP의 과정은 다음과 같습니다.

• ESP가 사용될 것으로 확인되면 헤더의 다양한 매개 변수가 계산됩니다. ESP에는 두 개의 중요한 필드, 즉 ESP 헤더와 ESP 트레일러가 있습니다. 전체 헤더는 32 비트입니다.
• 헤더에는 보안 매개 변수 인덱스 (SPI)와 시퀀스 번호가 있으며 트레일러에는 필드 패딩 길이, 다음 헤더 사양 및 가장 중요한 인증 데이터가 있습니다.
• 아래 다이어그램은 터널 통신 모드를 사용하여 ESP에서 암호화 및 인증이 제공되는 방식을 보여줍니다.
• 사용되는 암호화 알고리즘에는 DES, 3DES 및 AES가 포함됩니다. 다른 것도 사용할 수 있습니다.
• 비밀 키는 송신 측과 수신 측 모두에서 알고 있어야 원하는 출력을 추출 할 수 있습니다.

ESP 인증 프로세스

IPSec의 보안 연결

• SA는 IPSec 통신의 필수적인 부분입니다. 소스와 대상 호스트 간의 가상 연결은 데이터 교환 전에 설정되며이 연결을 SA (보안 연결)라고합니다.
• SA는 암호화 및 인증 프로토콜, 비밀 키를 찾아 두 엔티티와 공유하는 것과 같은 매개 변수의 조합입니다.
• SA는 보안 프로토콜의 헤더에있는 SPI (보안 매개 변수 색인) 번호로 인식됩니다.
• SA는 SPI, 대상 IP 주소 및 보안 프로토콜 식별자로 구별됩니다.
• SPI 값은 수신 데이터 패킷을 수신자 끝의 수신자와 매핑하는 데 사용되는 임의의 진화 된 숫자이므로 동일한 지점에 도달하는 다른 SA를 ​​쉽게 식별 할 수 있습니다.

TACACS (Terminal Access Controller Access Control System)

인증 프로세스를위한 가장 오래된 프로토콜입니다. 원격 사용자가 로그인 사용자 이름과 암호를 인증 서버에 전달하여 클라이언트 호스트에 부여 된 액세스 권한을 시스템에 부여했는지 여부를 평가할 수 있도록 허용하는 UNIX 네트워크에서 사용되었습니다.

이 프로토콜은 기본적으로 TCP 또는 UDP의 포트 49를 사용하며 클라이언트 호스트가 사용자 이름과 암호를 확인하고 쿼리를 TACACS 인증 서버로 전달할 수 있도록합니다. TACACS 서버는 TACACS 데몬 또는 TACACSD로 알려져 있으며 요청을 허용 및 거부할지 여부를 확인하고 응답으로 되돌립니다.

응답에 따라 액세스가 허용되거나 거부되고 사용자는 전화 접속 연결을 사용하여 로그인 할 수 있습니다. 따라서 인증 프로세스는 TACACSD에 의해 지배되며 많이 사용되지 않습니다.

따라서 TACACS는 요즘 대부분의 네트워크에서 사용되는 TACACS + 및 RADIUS로 전환됩니다. TACACS는 인증을 위해 AAA 아키텍처를 사용하고 인증과 관련된 각 프로세스를 완료하기 위해 별개의 서버를 사용합니다.

TACACS +는 TCP 및 연결 지향 프로토콜에서 작동합니다. TACACS +는 전송하기 전에 전체 데이터 패킷을 암호화하므로 바이러스 공격에 덜 취약합니다. 원격 끝에서 비밀 키는 전체 데이터를 원래 데이터로 해독하는 데 사용됩니다.

AAA (인증, 승인 및 회계)

이것은 컴퓨터 보안 아키텍처이며 다양한 프로토콜이 인증을 제공하기 위해이 아키텍처를 따릅니다.

이 세 단계의 작동 원리는 다음과 같습니다.

입증: 서비스를 요청하는 사용자 클라이언트가 보나 피드 사용자임을 지정합니다. 이 프로세스는 일회용 암호 (OTP), 디지털 인증서 또는 전화 통화와 같은 자격 증명을 제시하여 수행됩니다.

권한 부여: 사용자에게 허용 된 서비스 유형 및 사용자 제한에 따라 권한이 사용자에게 부여됩니다. 서비스에는 라우팅, IP 할당, 트래픽 관리 등이 포함됩니다.

회계: 회계는 관리 및 계획 목적으로 배포됩니다. 여기에는 특정 서비스가 시작되고 종료되는시기, 사용자 ID 및 사용되는 서비스 등과 같은 필요한 모든 정보가 포함됩니다.

서버는 위의 모든 서비스를 제공하고 클라이언트에게 전달합니다.

AAA 프로토콜 : 아시다시피 과거에는 TACACS와 TACACS +가 인증 과정에 사용되었습니다. 그러나 이제 AAA 기반이며 네트워킹 시스템 전체에서 널리 사용되는 RADIUS라는 프로토콜이 하나 더 있습니다.

네트워크 액세스 서버 : 클라이언트와 전화 접속 서비스 간의 인터페이스 역할을하는 서비스 구성 요소입니다. ISP 측에 존재하여 사용자에게 인터넷 액세스를 제공합니다. NAS는 또한 원격 사용자를위한 단독 액세스 지점이며 네트워크 리소스를 보호하기위한 게이트웨이 역할도합니다.

RADIUS 프로토콜 : RADIUS는 원격 인증 전화 접속 사용자 서비스를 의미합니다. 기본적으로 네트워크 액세스 및 IP 이동성과 같은 애플리케이션에 사용됩니다. PAP 또는 EAP와 같은 인증 프로토콜은 가입자를 인증하기 위해 배포됩니다.

RADIUS는 응용 프로그램 계층에서 작동하고 TCP 또는 UDP 포트 1812를 사용하는 클라이언트-서버 모델에서 작동합니다. 네트워크에 액세스하는 게이트웨이 역할을하는 NAS에는 RADIUS 클라이언트와 RADIUS 서버 구성 요소가 모두 포함됩니다.

RADIUS는 AAA 아키텍처에서 작동하므로 두 가지 패킷 유형 메시지 형식을 사용하여 프로세스를 수행합니다. 인증 및 권한 부여를위한 액세스 요청 메시지와 계정 감독을위한 계정 요청입니다.

RADIUS의 인증 및 권한 부여 :

xbox one 가상 현실 헤드셋 출시일

최종 사용자는 액세스 자격 증명을 사용하여 네트워크에 대한 액세스를 요청하는 요청을 NAS에 보냅니다. 그런 다음 NAS는 네트워크 액세스 권한을 높여 RADIUS 액세스 요청 메시지를 RADIUS 서버에 전달합니다.

요청 메시지는 사용자 이름 및 암호 또는 사용자의 디지털 서명과 같은 액세스 자격 증명으로 구성됩니다. 또한 IP 주소, 사용자의 전화 번호 등과 같은 다른 데이터가 있습니다.

RADIUS 서버는 EAP 또는 PAP와 같은 인증 방법을 사용하여 데이터를 검사합니다. 자격 증명 정보 및 기타 관련 데이터를 확인한 후 서버는이 응답으로 되돌립니다.

# 1) 액세스 거부 : 제출 된 신원 증명 또는 로그인 ID가 유효하지 않거나 만료되어 접근이 거부되었습니다.

# 2) 액세스 챌린지 : 기본 접속 자격증 명 데이터 외에 OTP 나 PIN 번호와 같은 접근 권한을 부여하기 위해 서버에 다른 정보가 필요합니다. 기본적으로보다 정교한 인증에 사용됩니다.

# 3) 액세스 허용 : 최종 사용자에게 액세스 권한이 부여되었습니다. 사용자 인증 후 서버는 사용자가 요청한 네트워크 서비스를 사용할 권한이 있는지 정기적으로 검사합니다. 설정에 따라 사용자는 특정 서비스에만 액세스 할 수 있고 다른 서비스에는 액세스 할 수 없습니다.

모든 RADIUS 응답에는 거부 또는 수락 이유를 나타내는 응답 메시지 속성도 있습니다.

사용자의 네트워크 주소, 부여 된 서비스 유형, 세션 시간과 같은 인증 속성은 사용자에게 액세스 권한이 부여 된 후 NAS에 전달됩니다.

회계:

사용자가 네트워크에 로그인 할 수 있도록 액세스 권한을 부여하면 계정 부분이 그림에 나타납니다. 사용자의 네트워크 액세스 시작을 나타 내기 위해 'start'속성으로 구성된 RADIUS 계정 요청 메시지가 NAS에서 RADIUS 서버로 전송됩니다.

시작 속성은 주로 사용자의 ID, 세션 시작 및 종료 시간 및 네트워크 관련 정보로 구성됩니다.

사용자가 세션을 닫고 싶을 때 NAS는 RADIUS 서버에 대한 네트워크 액세스를 중지하기 위해 'stop'속성으로 구성된 RADIUS 계정 요청 메시지를 게시합니다. 또한 네트워크의 데이터 및 기타 서비스의 연결 해제 및 최종 사용에 대한 동기를 제공합니다.

그 대가로 RADIUS 서버는 계정 응답 메시지를 승인으로 전송하여 서비스를 끄고 네트워크에 대한 사용자의 액세스를 종료합니다.

이 부분은 주로 통계 및 데이터 모니터링이 필요한 애플리케이션에 사용됩니다.

한편, RADIUS 요청 및 응답 메시지 속성의 흐름 사이에서 NAS는 RADIUS 서버에 '중간 업데이트'요청 속성을 전송하여 필요한 최신 데이터로 네트워크를 업데이트합니다.

802.1X

시스템에서 네트워크 액세스를 제어하는 ​​기본 표준 프로토콜 중 하나입니다.

인증 프로세스의 시나리오에는 서비스 요청을 시작하는 요청자, 인증 자 및 인증 서버로 알려진 최종 장치가 포함됩니다. 인증자는 네트워크에 대한 보호 장치 역할을하며 사용자 식별이 확인 될 때까지 요청하는 클라이언트에 대한 액세스를 한 번만 허용합니다.

이 프로토콜의 자세한 작업은이 자습서의 2 부에서 설명합니다.

결론

이 튜토리얼에서 위에서 언급 한 프로토콜을 사용하여 인증, 권한 부여 및 네트워크 보안 프로비저닝 방법을 배웠습니다.

또한 이러한 프로토콜이 네트워크 시스템을 무단 사용자, 해커 및 바이러스 공격으로부터 안전하게 보호하고 AAA 아키텍처를 이해하는 것으로 분석했습니다.

802.1X 프로토콜 및 802.11i 프로토콜에 대한 심층 지식은 분류 된 네트워크에 대한 제한된 액세스 만 제공하기 위해 네트워크에 대한 사용자 액세스를 제어하는 ​​방법에 대한 사실을 명확하게 지정합니다.

이전 튜토리얼 | NEXT 튜토리얼

추천 도서

• WAN (Wide Area Network)이란 : 라이브 WAN 네트워크 예
• 가상화 란 무엇입니까? 네트워크, 데이터, 앱 및 스토리지 가상화 예
• 기본 네트워크 문제 해결 단계 및 도구
• 네트워크 보안이란 무엇입니까? 유형 및 관리
• IEEE 802.11 및 802.11i 무선 LAN 및 802.1x 인증 표준
• HTTP (Hypertext Transfer Protocol) 및 DHCP 프로토콜이란 무엇입니까?
• 중요한 응용 프로그램 계층 프로토콜 : DNS, FTP, SMTP 및 MIME 프로토콜
• IPv4 vs IPv6 : 정확한 차이점은 무엇입니까