IPセキュリティ（IPSec）、TACACS、AAAセキュリティプロトコルとは

what is ip security

IPセキュリティ（IPSec）、TACACS、およびAAAネットワークアクセスセキュリティプロトコルの完全ガイド：

前のチュートリアルでは、 HTTPおよびDHCPプロトコル 詳細に加えて、TCP / IPモデルとISO-OSI参照モデルのさまざまな層に存在するプロトコルの動作についても学びました。

ここでは、特徴的なネットワークにアクセスする方法と、エンドユーザーが特定のネットワークに到達し、セキュリティプロトコルを使用してそのリソースとサービスにアクセスするためにどのような認証プロセスを実行するかについて説明します。

推奨読書=> コンピュータネットワークのガイド

最高の無料mp3ダウンローダーは何ですか

認証、暗号化、セキュリティ、およびネットワークアクセスには、何百もの標準とプロトコルがあります。ただし、ここでは、最も一般的に使用されているプロトコルのいくつかについてのみ説明します。

学習内容：

• IPセキュリティ（IPSec）とは何ですか？
  • IPSecの機能
  • IPSecの操作
  • IPSec通信モード
  • IPSecプロトコル
  • IPSecのセキュリティアソシエーション
• TACACS（ターミナルアクセスコントローラアクセス制御システム）
• AAA（認証、許可、およびアカウンティング）
  • 802.1X
  • 結論
  • 推奨読書

IPセキュリティ（IPSec）とは何ですか？

IPSecは、ネットワークシステムのネットワーク層でセキュリティを提供するために使用されるセキュリティプロトコルです。 IPSecは、IPネットワークを介してデータパケットを認証および暗号化します。

IPSecの機能

• 上位層のヘッダーを含む、IP層で生成されたデータパケット全体を保護します。
• IPSecは2つの異なるネットワーク間で機能するため、実行中のアプリケーションに変更を加えることなく、セキュリティ機能の採用を簡単に実装できます。
• ホストベースのセキュリティもプロビジョニングします。
• IPSecの最も頻繁なタスクは、2つの異なるネットワークエンティティ間のVPNネットワーク（仮想プライベートネットワーク）を保護することです。

セキュリティ機能：

• 送信元ノードと宛先ノードは暗号化された形式でメッセージを送信できるため、データパケットの機密性が高まります。
• データ認証と整合性を維持します。
• キー管理を通じてウイルス攻撃に対する保護を提供します。

IPSecの操作

• IPSecの動作は、2つのサブパートに分かれています。 1つ目はIPSec通信で、2つ目はインターネットキー交換（IKE）です。
• IPSec通信は、認証ヘッダー（AH）やカプセル化SP（ESP）などのセキュリティプロトコルを使用して、2つの交換ノード間の安全な通信を管理する責任があります。
• また、カプセル化、データパケットの暗号化、IPデータグラムの処理などの機能も含まれています。
• IKE は、IPSecに使用される一種のキー管理プロトコルです。
• キー管理は手動で実行できるため、これは必要なプロセスではありませんが、大規模なネットワークではIKEが展開されます。

IPSec通信モード

通信モードには2種類あります。トランスポート、およびトンネルモード。ただし、ポイントツーポイント通信ではトランスポートモードが抑制されるため、トンネルモードが最も広く展開されています。

トンネルモードでは、新しいIPヘッダーがデータパケットに追加され、セキュリティプロトコルを導入する前にカプセル化されます。これでは、単一のゲートウェイを介して、通信の複数のセッションを楽しむことができます。

トンネルモードでのデータフローは、次の図を使用して示されています。

IPSecプロトコル

セキュリティプロトコルは、セキュリティ要件を満たすために使用されます。セキュリティプロトコルを使用して、2つのノード間でさまざまなセキュリティアソシエーションが構築および維持されます。 IPSecで使用される2種類のセキュリティプロトコルには、認証ヘッダー（AH）とカプセル化セキュリティペイロード（ESP）があります。

認証ヘッダー（AH）： IPデータパケットにAHを課すことにより、認証をプロビジョニングします。ヘッダーユニットを追加する場所は、使用する通信モードによって異なります。

AHの動作は、ハッシュアルゴリズムと、エンドユーザーノードでもデコードできる分類されたキーに基づいています。処理は次のとおりです。

• SA（セキュリティアソシエーション）の助けを借りて、送信元と宛先のIP情報が収集され、どのセキュリティプロトコルが展開されるかがわかります。明らかになると、AHがデプロイされ、ヘッダーを使用して詳細なパラメータの値が決定されます。
• AHは32ビットであり、SAに関連するシーケンスパラメータインデックスや認証データなどのパラメータがプロトコルフローを提供します。

AH認証プロセス

カプセル化セキュリティプロトコル（ESP）： このプロトコルは、プライバシー、信頼性、認証、再生抵抗などのAHプロトコルによって特徴付けられないセキュリティサービスをプロビジョニングできます。付与される一連のサービスは、SA開始時に選択されたオプションによって異なります。

ESPのプロセスは次のとおりです。

• ESPが使用されることが確認されると、ヘッダーのさまざまなパラメーターが計算されます。 ESPには、ESPヘッダーとESPトレーラーの2つの重要なフィールドがあります。全体のヘッダーは32ビットです。
• ヘッダーにはセキュリティパラメーターインデックス（SPI）とシーケンス番号があり、トレーラーにはフィールドのパディング長、次のヘッダー仕様、そして最も重要な認証データがあります。
• 次の図は、トンネル通信モードを使用してESPで暗号化と認証がどのように提供されるかを示しています。
• 使用される暗号化アルゴリズムには、DES、3DES、およびAESが含まれます。その他も使用できます。
• 秘密鍵は、送信側と受信側の両方で認識されている必要があります。これにより、秘密鍵から目的の出力を抽出できます。

ESP認証プロセス

IPSecのセキュリティアソシエーション

• SAはIPSec通信の不可欠な部分です。送信元ホストと宛先ホストの間の仮想接続は、それらの間でデータを交換する前にセットアップされ、この接続はセキュリティアソシエーション（SA）と呼ばれます。
• SAは、暗号化および認証プロトコル、秘密鍵の検索、それらを2つのエンティティとの共有などのパラメータの組み合わせです。
• SAは、セキュリティプロトコルのヘッダーにあるセキュリティパラメータインデックス（SPI）番号によって認識されます。
• SAは、SPI、宛先IPアドレス、およびセキュリティプロトコル識別子によって明確に識別されます。
• SPI値は任意に展開された数値であり、受信データパケットを受信側の受信者のパケットにマッピングするために使用されます。これにより、同じポイントに到達するさまざまなSAを簡単に識別できます。

TACACS（ターミナルアクセスコントローラアクセス制御システム）

これは、認証プロセスの最も古いプロトコルです。これは、リモートユーザーがログインユーザー名とパスワードを認証サーバーに渡して、システムでクライアントホストに付与されているアクセスを評価できるようにするUNIXネットワークで使用されていました。

このプロトコルは、デフォルトでTCPまたはUDPのポート49を使用し、クライアントホストがユーザー名とパスワードを確認して、クエリをTACACS認証サーバーに転送できるようにします。 TACACSサーバーはTACACSデーモンまたはTACACSDと呼ばれ、要求を許可および拒否するかどうかを確認し、応答を返します。

応答に基づいて、アクセスが許可または拒否され、ユーザーはダイヤルアップ接続を使用してログインできます。したがって、認証のプロセスはTACACSDによって支配されており、あまり使用されていません。

したがって、TACACSは、最近ほとんどのネットワークで使用されているTACACS +とRADIUSによって切り替えられます。 TACACSは認証にAAAアーキテクチャを使用し、認証に関連する各プロセスを完了するために個別のサーバーが使用されます。

TACACS +は、TCPおよびコネクション型プロトコルで動作します。 TACACS +は、送信する前にデータパケット全体を暗号化するため、ウイルス攻撃を受けにくくなります。リモートエンドでは、秘密鍵を使用してデータ全体を元のデータに復号化します。

AAA（認証、許可、およびアカウンティング）

これはコンピュータセキュリティアーキテクチャであり、さまざまなプロトコルがこのアーキテクチャに従って認証を提供します。

これらの3つのステップの動作原理は次のとおりです。

認証： これは、サービスを要求しているユーザークライアントが真正なユーザーであることを指定します。このプロセスは、ワンタイムパスワード（OTP）、デジタル証明書などの資格情報を提示するか、電話で実行されます。

承認： ユーザーに許可されているサービスの種類とユーザーの制限に基づいて、承認がユーザーに付与されます。サービスには、ルーティング、IP割り当て、トラフィック管理などが含まれます。

会計： アカウンティングは、管理と計画の目的で展開されます。特定のサービスがいつ開始および終了するか、ユーザーのIDと使用されるサービスなど、必要なすべての情報が含まれています。

サーバーは上記のすべてのサービスを提供し、それをクライアントに配信します。

AAAプロトコル ：ご存知のように、過去にはTACACSとTACACS +が認証プロセスに使用されていました。しかし、現在、AAAベースでネットワークシステム全体で広く使用されているRADIUSと呼ばれるプロトコルがもう1つあります。

ネットワークアクセスサーバー： これは、クライアントとダイヤルアップサービス間のインターフェイスとして機能するサービスコンポーネントです。これは、ユーザーにインターネットへのアクセスを提供するためにISP側に存在します。 NASは、リモートユーザーの単独アクセスポイントでもあり、ネットワークのリソースを保護するためのゲートウェイとしても機能します。

RADIUSプロトコル ：RADIUSは、リモート認証ダイヤルインユーザーサービスの略です。基本的に、ネットワークアクセスやIPモビリティなどのアプリケーションに使用されます。 PAPやEAPなどの認証プロトコルは、サブスクライバーを認証するために展開されます。

RADIUSは、アプリケーション層で動作し、TCPまたはUDPポート1812を使用するクライアントサーバーモデルで動作します。ネットワークにアクセスするためのゲートウェイとして機能するNASには、RADIUSクライアントとRADIUSサーバーコンポーネントの両方が含まれます。

RADIUSはAAAアーキテクチャで動作するため、2つのパケットタイプのメッセージ形式を使用してプロセスを実行します。認証と承認のためのアクセス要求メッセージと、アカウンティングを監視するためのアカウンティング要求です。

RADIUSでの認証と承認：

vbスクリプトインタビューの質問と回答

エンドユーザーは、アクセス資格情報を利用してネットワークへのアクセスを求める要求をNASに送信します。次に、NASは、ネットワークへのアクセス許可を上げることにより、RADIUSアクセス要求メッセージをRADIUSサーバーに転送します。

要求メッセージは、ユーザー名とパスワードなどのアクセス資格情報、またはユーザーのデジタル署名で構成されます。また、IPアドレス、ユーザーの電話番号などの他のデータもあります。

RADIUSサーバーは、EAPやPAPなどの認証方法を使用してデータを検査します。資格情報およびその他の関連データを確認した後、サーバーはこの応答で元に戻ります。

＃1）アクセス拒否 ：送信されたIDプルーフまたはログインIDが無効であるか、有効期限が切れているため、アクセスは拒否されます。

＃2）アクセスチャレンジ ：基本的なアクセス資格情報データとは別に、サーバーはOTPやPIN番号などのアクセスを許可するために他の情報も必要とします。これは基本的に、より高度な認証に使用されます。

＃3）アクセス-受け入れる ：アクセス許可がエンドユーザーに付与されました。ユーザーの認証後、サーバーは定期的に、ユーザーが要求されたネットワークサービスの使用を許可されているかどうかを調べます。設定に基づいて、ユーザーは特定のサービスにのみアクセスでき、他のサービスにはアクセスできない場合があります。

すべてのRADIUS応答には、拒否または受け入れの理由を示す応答メッセージ属性もあります。

ユーザーのネットワークアドレス、許可されたサービスの種類、セッションの期間などの承認属性も、ユーザーにアクセスが許可された後にNASに渡されます。

会計：

ネットワークにログインするためのアクセスがユーザーに許可された後、アカウンティングの部分が見えてきます。ネットワークへのユーザーのアクセスの開始を示すために、「start」属性で構成されるRADIUSアカウンティング要求メッセージがNASからRADIUSサーバーに送信されます。

開始属性は、主にユーザーのID、セッションの開始時間と終了時間、およびネットワーク関連の情報で構成されます。

ユーザーがセッションを閉じたい場合、NASは、RADIUSサーバーへのネットワークへのアクセスを停止するための「stop」属性で構成されるRADIUSアカウンティング要求メッセージを公開します。また、ネットワークのデータやその他のサービスの切断と最終的な使用の動機も提供します。

その見返りとして、RADIUSサーバーは、サービスをオフにする確認応答としてアカウンティング応答メッセージを送信し、ネットワークへのユーザーのアクセスを終了します。

この部分は主に、統計とデータの監視が必要なアプリケーションに使用されます。

その間、RADIUS要求と応答メッセージ属性のフローの間に、NASは「暫定更新」要求属性もRADIUSサーバーに送信して、ネットワークを最新の必要なデータで更新します。

802.1X

これは、システムのネットワークアクセスを制御するための基本的な標準プロトコルの1つです。

認証プロセスのシナリオには、サービスの要求を開始するサプリカントと呼ばれるエンドデバイス、オーセンティケーター、および認証サーバーが含まれます。オーセンティケーターはネットワークの保護手段として機能し、ユーザーのIDが確認されるまで、要求元のクライアントへのアクセスを1回だけ許可します。

このプロトコルの詳細な動作は、このチュートリアルのパート2で説明されています。

結論

このチュートリアルから、上記のプロトコルを使用して、認証、承認を取得し、ネットワークにセキュリティをプロビジョニングする方法を学びました。

また、これらのプロトコルにより、ネットワークシステムが無許可のユーザー、ハッカー、ウイルス攻撃から保護され、AAAアーキテクチャが理解されることも分析しました。

ネットワークへのユーザーのアクセスを制御して、分類されたネットワークへの限られたアクセスのみを提供する方法に関する事実を明確に指定する、802.1Xプロトコルおよび802.11iプロトコルに関する深い知識。

前のチュートリアル | 次のチュートリアル

推奨読書

• ワイドエリアネットワーク（WAN）とは：ライブWANネットワークの例
• 仮想化とは何ですか？ネットワーク、データ、アプリ、ストレージの仮想化の例
• 基本的なネットワークトラブルシューティングの手順とツール
• ネットワークセキュリティとは：その種類と管理
• IEEE802.11および802.11iワイヤレスLANおよび802.1x認証標準
• HTTP（ハイパーテキスト転送プロトコル）およびDHCPプロトコルとは何ですか？
• 重要なアプリケーション層プロトコル：DNS、FTP、SMTP、およびMIMEプロトコル
• IPv4とIPv6：正確な違いは何ですか