what is ip security
IP सुरक्षा (IPSec), TACACS और AAA नेटवर्क एक्सेस सुरक्षा प्रोटोकॉल के लिए पूरी गाइड:
पिछले ट्यूटोरियल में, हमने सीखा HTTP और DHCP प्रोटोकॉल विस्तार से और हमने टीसीपी / आईपी मॉडल और आईएसओ-ओएसआई संदर्भ मॉडल की विभिन्न परतों में मौजूद प्रोटोकॉल के काम के बारे में अधिक जानकारी प्राप्त की।
स्वचालित परीक्षण मामलों को कैसे लिखें
यहां, हम यह जान पाएंगे कि विशिष्ट नेटवर्क तक कैसे पहुंच बनाई जाए और किसी विशेष नेटवर्क तक पहुंचने के लिए और सुरक्षा प्रोटोकॉल की मदद से अपने संसाधनों और सेवाओं तक पहुंचने के लिए किस तरह की प्रमाणीकरण प्रक्रिया का पालन किया जाएगा।
अनुशंसित पढ़ें => कंप्यूटर नेटवर्किंग के लिए गाइड
प्रमाणीकरण, एन्क्रिप्शन, सुरक्षा और नेटवर्क एक्सेस के लिए सैकड़ों मानक और प्रोटोकॉल हैं। लेकिन यहां हम कुछ सबसे लोकप्रिय प्रचलित प्रोटोकॉलों के बारे में चर्चा कर रहे हैं।
आप क्या सीखेंगे:
- आईपी सुरक्षा (IPSec) क्या है?
- टीएसीएसीएस (टर्मिनल एक्सेस कंट्रोलर एक्सेस कंट्रोल सिस्टम)
- एएए (प्रमाणीकरण, प्राधिकरण और लेखा)
आईपी सुरक्षा (IPSec) क्या है?
IPSec एक सुरक्षा प्रोटोकॉल है जिसका उपयोग नेटवर्किंग सिस्टम की नेटवर्क लेयर पर सुरक्षा प्रदान करने के लिए किया जाता है। IPSec एक IP नेटवर्क पर डेटा पैकेट को प्रमाणित करता है और इनक्रिप्ट करता है।
IPSec की विशेषताएं
- यह उच्च परत हेडर के समावेशी आईपी परत पर उत्पादित समग्र डेटा पैकेट की रक्षा करता है।
- IPSec दो अलग-अलग नेटवर्क के बीच काम करता है, इसलिए, रनिंग एप्लिकेशन में कोई बदलाव किए बिना सुरक्षा सुविधाओं को अपनाना आसान है।
- प्रावधान मेजबान आधारित सुरक्षा के रूप में अच्छी तरह से।
- IPSec का सबसे अक्सर कार्य दो अलग-अलग नेटवर्क संस्थाओं के बीच वीपीएन नेटवर्क (एक आभासी निजी नेटवर्क) को सुरक्षित करना है।
सुरक्षा कार्य:
- स्रोत और गंतव्य नोड्स एन्क्रिप्टेड रूप में संदेश प्रसारित कर सकते हैं और इस प्रकार डेटा पैकेट की गोपनीयता की सुविधा प्रदान करते हैं।
- डेटा प्रमाणीकरण और अखंडता को बनाए रखता है।
- प्रमुख प्रबंधन के माध्यम से वायरस के हमलों से सुरक्षा प्रदान करता है।
IPSec का संचालन
- IPSec के कामकाज को दो उप-भागों में विभाजित किया गया है। पहला IPSec संचार है और दूसरा इंटरनेट कुंजी विनिमय (IKE) है।
- IPSec संचार प्रमाणीकरण हेडर (AH) और एनकैप्सुलेटेड SP (ESP) जैसे सुरक्षा प्रोटोकॉल का उपयोग करके दो एक्सचेंज नोड्स के बीच सुरक्षित संचार के प्रबंधन के लिए जवाबदेह है।
- इसमें एनकैप्सुलेशन, डेटा पैकेट के एन्क्रिप्शन और आईपी डेटाग्राम के प्रसंस्करण जैसे कार्य भी शामिल हैं।
- आइक एक प्रकार का प्रमुख प्रबंधन प्रोटोकॉल है जो IPSec के लिए उपयोग किया जाता है।
- यह एक आवश्यक प्रक्रिया नहीं है क्योंकि कुंजी प्रबंधन को मैन्युअल रूप से किया जा सकता है लेकिन विशाल नेटवर्क के लिए, IKE को तैनात किया जाता है।
IPSec संचार मोड
संचार मोड दो प्रकार के होते हैं, i, e। परिवहन, और सुरंग मोड। हालाँकि, ट्रांसपोर्ट मोड को पॉइंट टू पॉइंट कम्युनिकेशन के लिए आयोजित किया जाता है, टनल मोड सबसे व्यापक रूप से तैनात किया जाता है।
सुरंग मोड में, नया आईपी हेडर डेटा पैकेट में जोड़ा जाता है और किसी भी सुरक्षा प्रोटोकॉल को पेश करने से पहले इसे एनकैप्सुलेट किया जाता है। इसमें, एक ही प्रवेश द्वार के माध्यम से, संचार के कई सत्रों का मनोरंजन किया जा सकता है।
सुरंग मोड में डेटा प्रवाह नीचे चित्र की मदद से दिखाया गया है।
IPSec प्रोटोकॉल
सुरक्षा प्रोटोकॉल का उपयोग सुरक्षा आवश्यकताओं को पूरा करने के लिए किया जाता है। सुरक्षा प्रोटोकॉल का उपयोग करके दो नोड्स के बीच विभिन्न सुरक्षा संघों का निर्माण और रखरखाव किया जाता है। IPSec द्वारा उपयोग किए जाने वाले दो प्रकार के सुरक्षा प्रोटोकॉल में प्रमाणीकरण हेडर (AH) और सिक्योरिटी पेलोड (ESP) शामिल हैं।
प्रमाणीकरण हैडर (AH): यह आईपी डेटा पैकेट में AH लगाकर प्रमाणीकरण का प्रावधान करता है। हेडर यूनिट को जिस स्थान पर जोड़ा जाना चाहिए वह उपयोग किए गए संचार के मोड पर आधारित है।
एएच का काम हैशिंग एल्गोरिथ्म और एक वर्गीकृत कुंजी पर आधारित है जिसे एंड-यूज़र नोड्स द्वारा डिकोड भी किया जा सकता है। प्रसंस्करण निम्नानुसार है:
- एसए (सुरक्षा संघ) की मदद से स्रोत और गंतव्य आईपी जानकारी एकत्र की जाती है और कौन से सुरक्षा प्रोटोकॉल को तैनात किया जाना है, यह भी जाना जाता है। एक बार यह स्पष्ट हो जाने के बाद, कि एएच को तैनात किया जाएगा, और विस्तृत मापदंडों के मूल्य को निर्धारित करने के लिए हेडर का उपयोग किया जाता है।
- AH 32-बिट्स का है और SA के साथ अनुक्रम पैरामीटर इंडेक्स और ऑथेंटिकेशन डेटा जैसे पैरामीटर प्रोटोकॉल प्रवाह प्रदान करेंगे।
एएच प्रमाणीकरण प्रक्रिया
इनकैप्सुलेशन सिक्योरिटी प्रोटोकॉल (ESP): यह प्रोटोकॉल उन सुरक्षा सेवाओं को प्रावधान करने में सक्षम है जो गोपनीयता, विश्वसनीयता, प्रमाणीकरण और पुनरावृत्ति प्रतिरोध जैसे एएच प्रोटोकॉल द्वारा विशेषता नहीं हैं। दी गई सेवाओं की श्रृंखला एसए दीक्षा के समय चुने गए विकल्पों पर निर्भर करती है।
ईएसपी की प्रक्रिया इस प्रकार है:
- एक बार जब यह पता चला है कि ईएसपी का उपयोग किया जाने वाला है, हेडर के विभिन्न मापदंडों की गणना की जाती है। ईएसपी के दो महत्वपूर्ण क्षेत्र हैं, अर्थात् ईएसपी हेडर और ईएसपी ट्रेलर। समग्र शीर्षलेख 32-बिट्स का है।
- हेडर में सुरक्षा पैरामीटर इंडेक्स (एसपीआई) और अनुक्रम संख्या होती है, जबकि ट्रेलर में फ़ील्ड्स की लंबाई, अगले हेडर विनिर्देश और सबसे महत्वपूर्ण प्रमाणीकरण डेटा होता है।
- नीचे दिए गए आरेख में दिखाया गया है कि सुरंग संचार मोड का उपयोग करके ईएसपी में एन्क्रिप्शन और प्रमाणीकरण कैसे प्रदान किया जाता है।
- उपयोग किए गए एन्क्रिप्शन एल्गोरिदम में डेस, 3 डीईएस और एईएस शामिल हैं। दूसरों को भी इस्तेमाल किया जा सकता है।
- गुप्त कुंजी को भेजने वाले छोर और प्राप्त करने वाले छोर दोनों पर जाना जाना चाहिए ताकि वे उनसे वांछित आउटपुट निकाल सकें।
ईएसपी प्रमाणीकरण प्रक्रिया
IPSec में सुरक्षा संघ
- SA IPSec संचार का एक अभिन्न अंग है। स्रोत और गंतव्य होस्ट के बीच वर्चुअल कनेक्टिविटी को उनके बीच डेटा के आदान-प्रदान से पहले स्थापित किया जाता है, और इस कनेक्शन को सुरक्षा संघ (एसए) कहा जाता है।
- SA एन्क्रिप्शन और प्रमाणीकरण प्रोटोकॉल, गुप्त कुंजी का पता लगाने और उन्हें दो संस्थाओं के साथ साझा करने जैसे मापदंडों का एक संयोजन है।
- SA को सुरक्षा पैरामीटर इंडेक्स (SPI) नंबर से पहचाना जाता है जो सुरक्षा प्रोटोकॉल के हेडर में मौजूद होता है।
- एसएपी को विशिष्ट रूप से एसपीआई, गंतव्य आईपी पते और एक सुरक्षा प्रोटोकॉल पहचानकर्ता द्वारा पहचाना जाता है।
- SPI मान एक मनमानी विकसित संख्या है जिसका उपयोग प्राप्तकर्ता अंत में प्राप्तकर्ता के पास आने वाले डेटा पैकेट को मैप करने के लिए किया जाता है, ताकि विभिन्न SA के समान बिंदु तक पहुंचने के लिए पहचान करना सरल हो जाए।
टीएसीएसीएस (टर्मिनल एक्सेस कंट्रोलर एक्सेस कंट्रोल सिस्टम)
यह प्रमाणीकरण प्रक्रिया के लिए सबसे पुराना प्रोटोकॉल है। इसका उपयोग UNIX नेटवर्क में किया गया था जो क्लाइंट उपयोगकर्ता को दी गई एक्सेस या सिस्टम में नहीं होने के लिए मूल्यांकन करने के लिए एक प्रमाणीकरण सर्वर के लिए लॉगिन उपयोगकर्ता नाम और पासवर्ड को पारित करने की अनुमति देता है।
प्रोटोकॉल डिफ़ॉल्ट रूप से टीसीपी या यूडीपी के पोर्ट 49 का उपयोग करता है और यह क्लाइंट होस्ट को उपयोगकर्ता नाम और पासवर्ड को स्वीकार करने और TACACS प्रमाणीकरण सर्वर को एक क्वेरी अग्रेषित करने की अनुमति देता है। TACACS सर्वर को TACACS डेमॉन या TACACSD के रूप में जाना जाता है, जो यह पता लगाता है कि रिक्वेस्ट को रिक्वेस्ट करने और रिजेक्ट करने से इनकार किया जाए या नहीं।
प्रतिक्रिया के आधार पर, पहुंच प्रदान या अस्वीकृत कर दी जाती है और उपयोगकर्ता डायल-अप कनेक्शन का उपयोग करके लॉग इन कर सकता है। इस प्रकार प्रमाणीकरण की प्रक्रिया TACACSD पर हावी है और उपयोग में बहुत अधिक नहीं है।
इसलिए TACACS को TACACS + और RADIUS द्वारा स्विच किया जाता है जो इन दिनों अधिकांश नेटवर्क में उपयोग किए जाते हैं। TACACS प्रमाणीकरण के लिए AAA आर्किटेक्चर का उपयोग करता है और प्रमाणीकरण में शामिल प्रत्येक प्रक्रिया को पूरा करने के लिए अलग-अलग सर्वर का उपयोग किया जाता है।
TACACS + टीसीपी और कनेक्शन-उन्मुख प्रोटोकॉल पर काम करता है। TACACS + संचार करने से पहले पूरे डेटा पैकेट को एन्क्रिप्ट करता है और इस प्रकार वायरस के हमलों का खतरा कम होता है। दूरस्थ अंत में, गुप्त कुंजी का उपयोग संपूर्ण डेटा को मूल एक में डिक्रिप्ट करने के लिए किया जाता है।
एएए (प्रमाणीकरण, प्राधिकरण और लेखा)
यह एक कंप्यूटर सुरक्षा वास्तुकला है और विभिन्न प्रोटोकॉल प्रमाणीकरण प्रदान करने के लिए इस वास्तुकला का पालन करते हैं।
शुरुआती के लिए कंप्यूटर प्रोग्राम कैसे करें
इन तीन चरणों का कार्य सिद्धांत निम्नानुसार है:
प्रमाणीकरण: यह निर्दिष्ट करता है कि उपयोगकर्ता क्लाइंट जो एक सेवा के लिए अनुरोध कर रहा है वह एक बोनफाइड उपयोगकर्ता है। इस प्रक्रिया को वन-टाइम पासवर्ड (OTP), डिजिटल प्रमाणपत्र या टेलीफ़ोनिक कॉल के माध्यम से क्रेडेंशियल प्रस्तुत करके किया जाता है।
प्राधिकरण: उपयोगकर्ता को दी जाने वाली सेवा के प्रकार और उपयोगकर्ता प्रतिबंध के आधार पर, उपयोगकर्ता को प्राधिकरण प्रदान किया जाता है। सेवाओं में रूटिंग, आईपी आवंटन, यातायात प्रबंधन आदि शामिल हैं।
लेखांकन: लेखांकन प्रबंधन और नियोजन उद्देश्यों के लिए तैनात किया गया है। इसमें सभी आवश्यक जानकारी शामिल हैं जैसे कि कोई विशेष सेवा कब शुरू और समाप्त होगी, उपयोगकर्ता की पहचान और उपयोग की जाने वाली सेवाएं, आदि।
सर्वर उपरोक्त सभी सेवाएं प्रदान करेगा और ग्राहकों को वितरित करेगा।
एएए प्रोटोकॉल : जैसा कि हम जानते हैं, पूर्व में TACACS और TACACS + का उपयोग प्रमाणीकरण प्रक्रिया के लिए किया गया था। लेकिन अब RADIUS के रूप में जाना जाने वाला एक और प्रोटोकॉल है जो AAA आधारित है और व्यापक रूप से नेटवर्किंग सिस्टम में उपयोग किया जाता है।
नेटवर्क एक्सेस सर्वर: यह एक सेवा घटक है जो क्लाइंट और डायल-अप सेवाओं के बीच एक इंटरफेस के रूप में कार्य करता है। यह अपने उपयोगकर्ताओं को इंटरनेट का उपयोग प्रदान करने के लिए आईएसपी के अंत में मौजूद है। एनएएस दूरस्थ उपयोगकर्ताओं के लिए एक एकल बिंदु भी है और नेटवर्क के संसाधनों की सुरक्षा के लिए एक प्रवेश द्वार के रूप में भी काम करता है।
RADIUS प्रोटोकॉल : RADIUS का मतलब रिमोट प्रमाणीकरण डायल-इन उपयोगकर्ता सेवा है। यह मूल रूप से नेटवर्क एक्सेस और आईपी मोबिलिटी जैसे अनुप्रयोगों के लिए उपयोग किया जाता है। PAP या EAP जैसे प्रमाणीकरण प्रोटोकॉल ग्राहकों को प्रमाणित करने के लिए तैनात किए जाते हैं।
RADIUS क्लाइंट-सर्वर मॉडल पर काम करता है जो एप्लिकेशन लेयर पर काम करता है और TCP या UDP पोर्ट 1812 का उपयोग करता है। NAS जो नेटवर्क तक पहुंचने के लिए गेटवे के रूप में कार्य करता है, उसमें RADIUS क्लाइंट और साथ ही RADIUS सर्वर घटक दोनों शामिल हैं।
RADIUS AAA आर्किटेक्चर पर काम करता है और इस प्रकार प्रक्रिया को पूरा करने के लिए दो पैकेट-प्रकार के संदेश प्रारूपों का उपयोग करता है, प्रमाणीकरण और प्राधिकरण के लिए एक एक्सेस अनुरोध संदेश और लेखांकन की निगरानी के लिए अनुरोध-अनुरोध।
RADIUS में प्रमाणीकरण और प्राधिकरण:
अंतिम उपयोगकर्ता NAS को एक अनुरोध भेजता है जो एक्सेस क्रेडेंशियल्स का उपयोग करके नेटवर्क तक पहुंच की मांग करता है। फिर NAS नेटवर्क के लिए अनुमति बढ़ाकर, RADIUS सर्वर को एक RADIUS एक्सेस अनुरोध संदेश अग्रेषित करता है।
अनुरोध संदेश में उपयोगकर्ता और उपयोगकर्ता के डिजिटल हस्ताक्षर जैसे एक्सेस क्रेडेंशियल्स शामिल हैं। इसमें अन्य डेटा भी हैं जैसे कि आईपी एड्रेस, यूजर का फोन नंबर आदि।
RADIUS सर्वर ईएपी या पीएपी जैसे प्रमाणीकरण तरीकों का उपयोग करके डेटा की जांच करता है। क्रेडेंशियल जानकारी और अन्य प्रासंगिक डेटा की पुष्टि करने के बाद सर्वर इस प्रतिक्रिया के साथ वापस लौटता है।
# 1) पहुंच अस्वीकार : पहुंच को अस्वीकार कर दिया जाता है क्योंकि पहचान प्रमाण या लॉगिन आईडी प्रस्तुत नहीं की गई है या वैध नहीं है।
# 2) एक्सेस चैलेंज : मूल पहुँच क्रेडेंशियल डेटा के अलावा, सर्वर को अन्य जानकारी के साथ-साथ ओटीपी या पिन नंबर जैसी पहुँच प्रदान करने की आवश्यकता होती है। यह मूल रूप से अधिक परिष्कृत प्रमाणीकरण के लिए उपयोग किया जाता है।
# 3) प्रवेश-स्वीकार : अंतिम उपयोगकर्ता को एक्सेस की अनुमति दी गई है। उपयोगकर्ता के प्रमाणीकरण के बाद, समय के एक नियमित अंतराल पर सर्वर यह जांचता है कि उपयोगकर्ता द्वारा मांगी गई नेटवर्क सेवाओं का उपयोग करने के लिए अधिकृत है या नहीं। सेटिंग्स के आधार पर, उपयोगकर्ता को केवल एक विशेष सेवा का उपयोग करने की अनुमति दी जा सकती है और दूसरों को नहीं।
प्रत्येक RADIUS प्रतिक्रिया में एक उत्तर-संदेश विशेषता भी होती है जो अस्वीकृति या स्वीकृति का कारण प्रस्तुत करती है।
प्राधिकरण की विशेषता उपयोगकर्ता के नेटवर्क पते, दी गई सेवा के प्रकार, सत्र की समय अवधि भी उपयोगकर्ता को दी गई पहुंच के बाद NAS पर गुजरती है।
लेखांकन:
उपयोगकर्ता को नेटवर्क में प्रवेश करने के लिए पहुंच प्रदान करने के बाद, लेखा भाग तस्वीर में आता है। नेटवर्क के लिए उपयोगकर्ता की पहुँच की शुरूआत को सूचित करने के लिए एक RADIUS लेखा अनुरोध संदेश जिसमें 'प्रारंभ' विशेषता शामिल है, NAS द्वारा RADIUS सर्वर को भेजा जाता है।
प्रारंभ विशेषता में मुख्य रूप से उपयोगकर्ता की पहचान, सत्र प्रारंभ और समाप्ति समय और नेटवर्क से संबंधित जानकारी शामिल होती है।
जब उपयोगकर्ता सत्र को बंद करना चाहता है, तो NAS एक RADIUS लेखांकन अनुरोध संदेश प्रकाशित करेगा, जिसमें RADIUS सर्वर के लिए नेटवर्क तक पहुंच को रोकने के लिए एक 'स्टॉप' विशेषता शामिल है। यह डेटा और नेटवर्क की अन्य सेवाओं के डिस्कनेक्ट और अंतिम उपयोग के लिए उद्देश्य भी प्रदान करता है।
बदले में, RADIUS सर्वर लेखांकन प्रतिक्रिया संदेश को सेवाओं को बंद करने के लिए पावती के रूप में भेजता है और नेटवर्क तक उपयोगकर्ता की पहुंच को समाप्त करता है।
यह हिस्सा ज्यादातर उन अनुप्रयोगों के लिए उपयोग किया जाता है जहां सांख्यिकी और डेटा निगरानी की आवश्यकता होती है।
इस बीच, RADIUS अनुरोध और प्रतिक्रिया संदेश विशेषताओं के प्रवाह के बीच, NAS कुछ नवीनतम आवश्यक डेटा के साथ नेटवर्क को अपडेट करने के लिए RADIUS सर्वर को 'अंतरिम-अद्यतन' अनुरोध विशेषताएँ भी भेजेगा।
सेलेनियम में निहित प्रतीक्षा और स्पष्ट प्रतीक्षा
802.1X है
यह सिस्टम में नेटवर्क एक्सेस को नियंत्रित करने के लिए बुनियादी मानक प्रोटोकॉल में से एक है।
प्रमाणीकरण प्रक्रिया के परिदृश्य में एक अंतिम उपकरण शामिल होता है जिसे एक समर्थक के रूप में जाना जाता है, जो सेवा, प्रमाणीकरणकर्ता और प्रमाणीकरण सर्वर के लिए अनुरोध शुरू करता है। प्रमाणक नेटवर्क के लिए एक सुरक्षा कवच के रूप में कार्य करता है और केवल एक बार अनुरोध करने वाले ग्राहक तक पहुंच की अनुमति देता है जब तक कि उपयोगकर्ता की पहचान सत्यापित नहीं की गई हो।
इस प्रोटोकॉल की विस्तृत कार्यप्रणाली को इस ट्यूटोरियल के भाग -2 में समझाया गया है।
निष्कर्ष
इस ट्यूटोरियल से हमने सीखा कि उपर्युक्त प्रोटोकॉल की सहायता से नेटवर्क को प्रमाणीकरण, प्राधिकरण और प्रावधान सुरक्षा कैसे प्राप्त करें।
हमने यह भी विश्लेषण किया है कि ये प्रोटोकॉल हमारे नेटवर्किंग सिस्टम को अनधिकृत उपयोगकर्ताओं, हैकर्स और वायरस के हमलों से सुरक्षित बनाते हैं और एएए वास्तुकला की समझ बनाते हैं।
802.1X प्रोटोकॉल और 802.11i प्रोटोकॉल पर गहन ज्ञान जो स्पष्ट रूप से इस तथ्य को निर्दिष्ट करता है कि किसी नेटवर्क पर उपयोगकर्ता की पहुंच को कैसे वर्गीकृत नेटवर्क तक सीमित पहुंच प्रदान करने के लिए नियंत्रित किया जा सकता है।
PREV ट्यूटोरियल | अगले ट्यूटोरियल
अनुशंसित पाठ
- वाइड एरिया नेटवर्क (WAN) क्या है: लाइव WAN नेटवर्क उदाहरण
- वर्चुअलाइजेशन क्या है? नेटवर्क, डेटा, ऐप और स्टोरेज वर्चुअलाइजेशन उदाहरण
- बेसिक नेटवर्क समस्या निवारण कदम और उपकरण
- नेटवर्क सुरक्षा क्या है: इसके प्रकार और प्रबंधन
- IEEE 802.11 और 802.11i वायरलेस लैन और 802.1x प्रमाणीकरण मानक
- HTTP (हाइपरटेक्स्ट ट्रांसफर प्रोटोकॉल) और DHCP प्रोटोकॉल क्या हैं?
- महत्वपूर्ण अनुप्रयोग परत प्रोटोकॉल: DNS, FTP, SMTP और MIME प्रोटोकॉल
- IPv4 बनाम IPv6: सटीक अंतर क्या है