Đồ án Tìm hiểu về AAA và cấu hình AAA cho bức firewall PIX của Cisco

và khó quản lý. Người dùng có thể giả mạo địa chỉ IP được phép trong ACL để đánh lừa packet filter. Packet filter có thể bị lừa cho phép truy cập vào một người sử dụng hay được gọi là giả mạo (spoofing) với một địa chỉ IP đã được chứng thực bởi ACL. Nhiều ứng dụng mới (như ứng dụng đa phương tiện –Multimedia Application) tạo ra nhiều kết nối trên những cổng bất kỳ mà không xác định cổng sẽ ứng dụng cho đến khi kết nối được thiết lập. ACL được cấu hình một cách thủ công nên khó hỗ trợ các kiểu ứng dụng này. Hình 21 Công nghệ Packet Filtering Proxy Firewall proxy hay còn gọi là Proxy server đóng vai trò là đại diện cho các host trên những đoạn mạng (segment) cần bảo vệ, các host không tạo kết nối trực tiếp ra bên ngoài chúng gửi yêu cầu (request) đến các proxy server nơi chúng được xác thực (authenticated) và phân quyền (authorized). Tại đây proxy server gửi những yêu cầu này đến các host bên ngoài và gửi trả hồi âm (relay) của host bên ngoài vào trong. Các mạng lớn thường sử dụng proxy để tránh các vấn đề về băng thông, số lượng các host truy cập qua proxy là giới hạn, nó chỉ hỗ trợ các giao thức và ứng dụng cụ thể. Ưu điểm của proxy là đơn giản và chi phí lắp đặt thấp, tuy nhiên nhược điểm của nó là làm giảm hiệu năng hoạt động của mạng, hơn nữa chúng là ứng dụng chạy trên hệ điều hành, do đó độ tin cậy của nó còn phụ thuộc vào độ an toàn của hệ điều hành, nếu các hacker khai thác lỗ hổng hệ điều hành thì có thể dễ dàng truy cập qua firewall và truy nhập vào hệ thống. Hình 22 Sử dụng PROXY Server Hình 1.19 Công nghệ Proxy Stateful inspector Stateful Inspector hay còn gọi là Stateful Packet Filter là sự kết hợp hiệu năng và mức độ an ninh. Đây là công nghệ an toàn và đa năng nhất bởi các kết nối không chỉ được kiểm tra bởi ACL mà còn được ghi trong bảng trạng thái (State Table). Sau khi kết nối được thiết lập, tất cả các phiên kết nối (session) đi qua được so sánh với bảng trạng thái. Nếu thông tin không khớp thì kết nối sẽ bị huỷ, đây là công nghệ mới nhất nó có ưu điểm và độ an toàn cao, thiết bị điển hình là Pix Firewall của Cisco. Hình 23 Công nghệ Stateful Packet Filter Giới thiệu về CISCO PIX FIREWALL Tổng quan về PIX FIREWALL Pix Firewall là thiết bị an ninh mạng của tập đoàn Cisco, là một yếu tố chính trong toàn bộ giải pháp an ninh end-to-end của Cisco Pix Firewall, là một giải pháp an ninh phần cứng chuyên dụng và mức độ bảo mật cao hơn mà không ảnh hưởng đến sự thực thi của hệ thống mạng, nó là một hệ thống được lai ghép bởi vì nó sử dụng cả hai kỹ thuật packet filtering và proxy server. Pix Firewall sử dụng công nghệ firewall Stateful Inspector, với bốn tính năng cơ bản trong thiết kế của Cisco Pix Firewall khiến nó trở thành giải pháp an ninh hàng đầu: Simple Proprietary Embedded System (hệ thống nhúng đơn độc quyền): không giống như các firewall khác, Pix chạy trên hệ thống nhúng đơn độc quyền trong khi số khác chạy trên hệ điều hành chung (General OS) thì Pix Firewall chạy trên hệ điều hành riêng cho thiết bị. Hệ thống mang tính độc quyền của Cisco và sử dụng với mục đích bảo mật. Hệ thống này có những đặc điểm sau: An ninh hơn: hệ thống đơn được thiết kế với các tính năng dành riêng cho Pix Firewall do vậy sẽ không có khoảng cách giữa hệ điều hành và ứng dụng firewall nên cũng không có điểm yếu để khai thác. Tính năng tốt hơn: môi trường hệ thống dành riêng cho bảo mật sẽ yêu cầu ít bước để cấu hình so với hệ điều hành chung. Hiệu năng cao hơn: hệ thống đơn cho phép các tiến trình hoạt động hiệu quả hơn như Cisco Pix Firewall 515E có thể điều khiển 128 000 kết nối trong khi vẫn duy trì trạng thái (Stateful) của các kết nối. Apdaptive Security Algorithm (ASA): Cisco Pix Firewal sử dụng thuật toán ASA để điều khiển kết nối trạng thái (Stateful Connection), ASA tạo ra bảng trạng thái bao gồm địa chỉ nguồn, đích và các thông tin khác của kết nối được ghi trong bảng. Với việc sử dụng ASA, Cisco Pix Firewall có thể thực hiện lọc trạng thái (Stateful Filter) của các kết nối bổ sung cho quá trình lọc gói tin, nó hoạt động nhanh hơn Proxy, các interface của firewall có thể được thiết kế ở các cấp độ bảo mật (Security Level) khác nhau. Pix Firewall mặc định cho phép lưu lượng ra ngoài (Outbound trafic) từ một interface có cấp độ bảo mật cao đến một interface có cấp độ bảo mật thấp hơn, lưu lượng đi theo chiều ngược lại thoả mãn hai điều kiện sau: Chuyển đổi tĩnh cho đích (Static Translation) ACL (danh sách điều khiển truy cập) hay conduit (đường dẫn) được thiết lập cho phép lưu lượng đi qua, Pix được thiết kế với chức năng như một tiến trình hướng kết nối trạng thái (Stateful-Connection Oriented) nghĩa là duy trì các thông tin về phiên kết nối trong bảng trạng thái (State Table). Việc áp dụng chính sách bảo mật cho bảng trạng thái sẽ điều khiển tất cả các lưu lượng đi qua firewall. ASA ghi các thông tin kết nối vào bảng trạng thái khi các kết nối ra ngoài (Outbound Connection) được thiết lập. Nếu kết nối được phép thì các yêu cầu (Request) được ra mạng ngoài, lưu lượng trở về được so sánh với các thông tin trạng thái đang có, nếu thông tin không khớp firewall sẽ huỷ kết nối. Hệ thống bảo mật dựa trên trạng thái kết nối thay vì dựa trên các thông tin gói tin giúp firewall an toàn hơn và hacker khó tấn công các phiên kết nối TCP. Hoạt động của ASA hay Stateful Filer như sau: Host bên trong (Inside) khởi tạo kết nối ra bên ngoài (Outside). Pix ghi những thông tin sau về kết nối vào bảng trạng thái (State table): địa chỉ nguồn, cổng nguồn, địa chỉ đích, cổng đích, thông tin TCP Sequence, TCP/UDP Flag, số TCP sequence tạo ra ngẫu nhiên. Các thông tin này tạo thành một mục (Entry) trong bảng trạng thái, mục này gọi là một đối tượng kết nối (Session Object). Đối tượng kết nối được so sánh với chính sách bảo mật (Security Policy) nếu kết nối không được phép đối tượng sẽ bị huỷ bỏ, ngược lại kết nối được cho phép địa chỉ nguồn sẽ được chuyển đổi và yêu cầu (Request) tiếp tục đến máy ngoài. Máy ngoài trả lời yêu cầu của nguồn. Hồi âm (Response) đến tưởng lửa sẽ được so sánh với đối tượng kết nối, nếu hồi âm khớp với đối tượng địa chỉ đích sẽ được chuyển đổi trở lại và lưu lượng sẽ được đi qua firewall đến host bên trong, nếu không khớp kết nối sẽ bị huỷ. Cut-through proxy: là giải pháp thực hiện một cách trong suốt quá trình xác thực và phân quyền cho các kết nối trong (Inbound) và ngoài (Outbound) tại firewall, nó ít gậy ra overhead bởi quá trình xác thực và phân quyền không thực hiện bởi Pix mà được chuyển qua AAA server. Tính năng của cut-through proxy giúp Cisco Pix Firewall hoạt động hiệu quả hơn firewall proxy vì nó thực hiện quá trình xác minh người dùng tại tần ứng dụng, kiểm tra phân quyền tới chính sách bảo mật, rồi sau đó mở kết nối như được phân quyền bởi chính sách bảo mật. Các lưu lượng đến sau của kết nối này không bị quản lý tại tầng ứng dụng nữa nhưng vẫn được kiểm tra trạng thái, việc này giúp Pix Firewall hoạt động nhanh hơn và không bị quá tải so với firewall Proxy. Hoạt động của cut-through proxy như sau: Một kết nối HTTP, FTP hay Telnet đến Web server bên trong được khởi tạo. Firewall yêu cầu người dùng (User) hoàn thành đăng nhập người dùng (User login). Cisco Pix Firewall sử dụng hai giao thức Remote Authentication Dial-In User service (RADIUS) và Terminal Access Controller Access Control System (TACACS +) để chuyển thông tin của người dùng đến server xác thực (Authentication Server) bên ngoài là nơi sẽ kiểm tra thông tin này. Sau khi xác thực thành công, kết nối sẽ được mở tại tầng mạng, các thông tin về phiên kết nối sẽ được ghi vào bảng trạng thái và quá trình ASA sẽ bắt đầu. Chú ý: Người dùng có thể được xác thực thông tin trên Pix Firewall bởi quá trình xác thực này sẽ làm tăng khối lượng công việc của Pix Firewall. Redundancy (dự phòng): các thiết bị Pix Firewall 515 trở lên có thể được cấu hình thành một cặp gồm một hệ thống chính (primary) và một hệ thống dự phòng nóng (Standby) việc dự phòng này kết hợp với failover (vượt lỗi) giúp Pix Firewall trở thành giải pháp có tính ứng biến cao nhằm bảo vệ cho các đoạn mạng có yêu cầu bảo mật cao, nếu hệ thống chính bị lỗi hệ thống thứ hai sẽ tự động bật lên giúp giảm nguy cơ sụp đổ hệ thống mạng. Pix Firewall có thể vận hành và mở rộng cấp độ được với các IPSec, các IPSec bao gồm một lưới an ninh và các giao thức chứng thực như IKE (Internet Key Exchange) và PKI (Public Key Infractructure). Các máy client ở xa có thể truy cập một cách an toàn đến mạng của công ty thông qua các ISPs của họ Hoạt động của PIX FIREWALL Nguyên tắc hoạt động chung của firewall (kể cả firewall mềm như proxy hay dạng firewall cứng như là PIX) là bắt gói dữ liệu đi ngang qua nó và so sánh với các luật đã thiết lập. Nếu thấy không vi phạm luật nào thì cho đi qua, ngược lại thì huỷ gói dữ liệu. Pix firewall hoạt động dựa trên cơ chế ASA (Adaptive Security Algorithm) sử dụng Security level (mức độ bảo mật). Giữa hai cổng thì một sẽ có Security level cao hơn, một có Security level thấp hơn. Sử dụng giải thuật ASA duy trì vành đai an toàn giữa các mạng điều khiển bởi thiết bị an ninh. ASA tuân theo các quy luật sau: Không gói tin nào đi qua PIX mà không có một kết nối và trạng thái. Cho phép các kết nối ra bên ngoài, trừ những kết nối bị cấm bởi danh sách điều khiển truy nhập ACLs. Một kết nối ra bên ngoài có thể là một nguồn hoặc một client ở cổng có mức bảo mật cao hơn nơi nhận hoặc server. Cổng có mức bảo mật cao nhất là inside với giá trị là 100, cổng có mức bảo mật thấp nhất là outside với giá trị là 0. Bất kỳ cổng nào khác cũng có thể có mức bảo mật nhận giá trị từ 1 đến 99. Cấm các kết nối vào bên trong, ngoại trừ những kết nối được phép. Một kết nối vào bên trong là một nguồn hoặc client ở cổng hay mạng có mức bảo mật thấp hơn nơi nhận hoặc server. Tất cả các gói ICMP đều bị cấm, trừ những gói được phép. Mọi sự thử nghiệm nhằm phá vỡ các quy tắc trên đều bị huỷ bỏ. Khi có nhiều kết nối giữa PIX và các thiết bị xung quanh thì: Dữ liệu đi từ interface có Security level cao hơn đến interface có Security level thấp hơn, cần phải có một translation (static hay dynamic) để cho phép giao thông từ interface có Security level cao hơn đến interface có Security level thấp hơn. Khi đã có translation này, giao thông bắt đầu từ inside interface đến outside interface sẽ được phép, trừ khi nó bị chặn bởi access-list, authentication hay authorization. Dữ liệu đi từ interface có Security level thấp hơn đến interface có Security level cao hơn: 2 điều quan trọng cần phải được cấu hình để cho giao thông từ interface có Security level thấp hơn đến interface có Security level cao hơn là static translation và conduit hoặc access-list Cấp độ bảo mật và chính sách bảo mật mặc định Cisco Pix Firewall đặt các cấp độ bảo mật cho các interface của nó để quy định mức độ an ninh cho đoạn mạng (seqment) nối đến nó. Đoạn mạng nào cần đảm bảo an toàn cao thì cấp độ bảo mật càng cao, cấp độ bảo mật có từ 0 đến 100. Mặc định cấp độ 0 được đặt cho interface ethernet 0 (tên mặc định là outside), cấp độ 100 được đặt cho interface ethernet 1(còn gọi là inside), các interface khác (DMZ, Partnernet…) có cấp độ bảo mật nằm trong khoảng từ 1-99. Mặc định thì ASA cho phép lưu lượng từ cấp độ bảo mật cao đến cấp độ thấp hơn (Outbound Traffic) mà không cần thông qua chính sách bảo mật, bất kỳ lưu lượng nào đi theo chiều ngược lại (Inbound traffic) phải thông qua chính sách bảo mật (Access list hay conduit), nếu hai interface có cùng mức độ bảo mật thì lưu lượng không thể đi qua (không sử dụng). Trong pix firewall có 3 interface là Eth 0, Eth 1 và Eth 2. Trong đó cổng Eth 0 có mức độ bảo mật là 0, Eth 1 kết nối với cùng Inside có độ bảo mật là 100, còn lại Eth 2 kết nối với DMZ có mức độ bảo mật là 50. Theo chính sách bảo mật mặc định thì lưu lượng có thể đi từ vùng Inside đến DMZ hay Outside và từ vùng DMZ đến Outside còn các lưu lượng theo các chiều khác thì không cho phép Định tuyến trong PIX FIREWALL Mặc định thì pix firewall đóng vai trò như một thiết bị lớp 3 trong hệ thống mạng, nghĩa là nó phải định tuyến các lưu lượng đi qua nó, khi gói tin đến pix firewall nó cần xác định xem cần đẩy gói tin ra interface nào (nếu được phép). Tương tự như router, pix firewall định tuyến các lưu lượng dựa vào địa chỉ đích. Pix tách phần địa chỉ IP đích trong IP Header của gói tin và tra trong bảng định tuyến (Routing table) của nó để ra quyết định. Nếu nó biết được địa chỉ đích tương ứng với interface nào thì sẽ đẩy gói tin ra interface đó, nếu không tìm thấy thông tin thích hợp trong bảng định tuyến sẽ huỷ bỏ gói tin đó. Vì vậy để Pix Firewall có thể định tuyến cho các lưu lượng qua nó người quản trị cần phải cấu hình định tuyến cho các mạng ở các vùng mà Pix Firewall cần biết. Khi cấu hình định tuyến cho Pix Firewall có thể sử dụng định tuyến tĩnh (Static) hoặc định tuyến động (RIP, IGRP, EIGRP, OSPF…) Truy cập thông qua PIX FIRE WALL Pix Firewall có thể được cấu hình với nhiều interface, mỗi interface có một cấp độ bảo mật riêng, một interface được coi là bên trong (Inside)-tin cậy hay bên ngoài (outside)- không tin cậy còn phụ thuộc vào nó với interface nào. Nghĩa là trong mối quan hệ với interface này có thể là inside nhưng đối với interface khác nó có thể là Outside. Interface được coi là Inside đối với interface khác nếu như nó có cấp độ bảo mật cao hơn và ngược lại nếu cấp độ bảo mật của nó thấp hơn thì nó được coi là Outside. Chính sách bảo mật mặc định của Pix Firewall cho phép lưu lượng từ interface có độ bảo mật cao (Inside) truy cập vào interface có cấp độ bảo mật thấp hơn (Outside), kết nối từ Inside đến Outside được gọi là kết nối ra ngoài (Outbound Connection). Các kết nối này là mặc định và luôn được phép trừ khi người quản trị đưa ra chính sách bảo mật ngăn kết nối. Kết nối từ interface có cấp độ bảo mật thấp đến interface có cấp độ bảo mật cao hơn (từ Outside vào Inside) được gọi là kết nối vào trong (Inbound Connection) kết nối này mặc định là không được phép trừ khi người quản trị thiết lập cặp gồm chuyển đổi địa chỉ tĩnh (Static Translation) và Access list. Truy cập ngoài thông qua FIRE WALL Các kết nối ra ngoài (Outbound Connection) luôn được cho phép bởi chính sách bảo mật mặc định. Tuy nhiên ta cần phải thiết lập chuyển đổi địa chỉ cho Pix Firewall đối với kết nối kiểu này. Vì mục đích an toàn, để tránh mạng ngoài (Outside) biết được cấu trúc mạng bên trong (Inside) công nghệ chuyển đổi địa chỉ được sử dụng cho Pix Firewall giúp nó che dấu mạng được cấu trúc mạng bên trong mà vẫn đảm bảo kết nối hoạt động tốt. Có hai loại chuyển đổi địa chỉ: Chuyển đổi địa chỉ động (Dynamic Address Translation): chuyển đổi nhiều địa chỉ cục bộ (Local Address) ra một hoặc nhiều địa chỉ toàn cục (Global Address), chuyển đổi địa chỉ động được chia thành hai loại: Chuyển đổi địa chỉ mạng (Network Address Translation-NAT): chuyển đổi nhiều địa chỉ cục bộ ra một dải (pool) địa chỉ toàn cục. Chuyển đổi địa chỉ cổng (Port Address Translation-PAT): chuyển đổi nhiều địa chỉ cục bộ ra một hay một số địa chỉ toàn cục. Sau khi chuyển đổi các địa chỉ toàn cục có thể giống nhau nhưng khác về số hiệu cổng (Port), nói cách khác đây không phải là chuyển đổi một địa chỉ mà là chuyển đổi một cặp địa chỉ IP/số hiệu cổng (IP Address/Port). Chuyển đổi địa chỉ tĩnh (Static Address Translation): ánh xạ một-một giữa địa chỉ cục bộ và địa chỉ toàn cục. Với NAT và PAT mỗi khi có một chuyển đổi, pix firewall sẽ ghi nó vào bảng chuyển đổi (Xlate table), khi hết thời gian chuyển đổi (timeout) mà không có lưu lượng nào của chuyển đổi này đi qua thì Pix sẽ xoá nó khỏi bảng chuyển đổi, cơ chế này ngoài việc che dấu cấu trúc mạng bên trong còn tránh mạng ngoài có thể thăm dò và tấn công ngược lại địa chỉ đã chuyển đổi bởi các chuyển đổi chỉ tạm thời. Để cho phép các host bên trong (Inside) truy cập ra ngoài ta thiết lập chuyển đổi địa chỉ động với hai câu lệnh nat cho interface bên trong và global cho interface bên ngoài. Truy cập trong thông qua FIRE WALL Chính sách bảo mật mặc định của Pix Firewall không cho phép các truy cập từ mạng ngoài (outside) vào trong (inside). Để cho phép kết nối ta phải thiết lập hai thành phần sau: Danh sách điều khiển truy cập (Access Control List-ACL) Chuyển đổi địa chỉ tĩnh (Static Address Translation) Tuy nhiên cần lưu ý là chỉ thiết lập chuyển đổi tĩnh không cho phép kết nối được khởi tạo từ mạng ngoài mà phải kết hợp với access list. ACL là thành phần quan trọng được sử dụng trong các thiết bị của Cisco, đối với Pix Firewall ACL được dùng để hạn chế lưu lượng ra ngoài (outbound Traffic) và cho phép lưu lượng đi theo chiều ngược lại. Một ACL là một danh sách tuần tự các câu điều kiện “permit” và “deny” để chỉ ra cho Pix Firewall biết lưu lượng nào được chấp nhận (permit) hoặc loại bỏ (dney). Cơ chế kiểm tra của Access List tuân theo nguyên tắc tuần tự từ trên xuống, vì vậy thứ tự câu lệnh trong Access List trong quá trình kiểm tra nếu khớp (match) với câu lệnh nào thì gói tin sẽ được xử lý ngay mà không cần kiểm tra các câu lệnh tiếp theo. Lưu ý là trong mỗi Access List luôn có câu lệnh từ chối ẩn (Implicit Deny) ở cuối cùng (cho dù nó có được thiết lập hay không) với mục đích từ chối các gói tin. Sau khi thiết lập ACL cho phép truy cập vào trong ta chỉ cần chuyển đổi tĩnh, cho phép host ở mạng ngoài truy cập vào host bên trong qua địa chỉ toàn cục. Khi gói tin bên ngoài đến Pix Firewall đã thông qua chính sách bảo mật, Pix Firewall sẽ kiểm tra xem có chuyển đổi tĩnh phù hợp không nếu có nó chuyển đổi địa chỉ toàn cục ra địa chỉ cục bộ và đây gói tin đến đích. TỔNG QUAN VỀ AAA VÀ CẤU HÌNH AAA TRÊN CISCO PIX FIREWALL Tổng quan AAA Hình 31 Mô hình AAA chung AAA cho phép nhà quản trị mạng biết được các thông tin quan trọng về tình hình cũng như mức độ an toàn trong mạng. Nó cung cấp việc xác thực (authentication) người dùng nhằm bảo đảm có thể nhận dạng đúng người dùng. Một khi đã nhận dạng người dùng, ta có thể giới hạn uỷ quyền (authorization) mà người dùng có thể làm. Khi người dùng sử dụng mạng, ta cũng có thể giám sát tất cả những gì mà họ làm. AAA với ba phần xác thực (authentication), uỷ quyền (authorization) và kiểm toán (accounting) là các phần riêng biệt mà ta có thể sử dụng trong dịch vụ mạng, cần thiết để mở rộng và bảo mật mạng. AAA có thể dùng để tập hợp thông tin từ nhiều thiết bị trên mạng. Ta có thể kích hoạt các dịch vụ AAA trên router, switch, firewall, các thiết bị VPN, server… Các dịch vụ AAA bao gồm ba phần, xác thực (authentication), Uỷ quyền (accounting) và kiểm toán (accounting). Ta sẽ tìm hiểu sự khác nhau của ba phần này và cách thức chúng làm việc như thể nào. Xác thực (Authentication) Xác thực dùng để nhận dạng (identify) người dùng. Trong suốt quá trình xác thực, username và password của người dùng được kiểm tra và đối chiếu với cơ sở dữ liệu lưu trong AAA Server. Tất nhiên, tuỳ thuộc vào giao thức mà AAA hỗ trợ mã hoá đến đâu, ít nhất thì cũng mã hoá username và password. Xác thực sẽ xác định người dùng là ai. Ví dụ: Người dùng có username là VIET và mật khẩu là Vieth@nIT sẽ là hợp lệ và được xác thực thành công với hệ thống. Sau khi xác thực thành công thì người dùng đó có thể truy cập được vào mạng. Tiến trình này chỉ là một trong các thành phần để điều khiển người dùng với AAA. Một khi username và password được chấp nhận, AAA có thể dùng để định nghĩa thẩm quyền mà người dùng được phép làm trong hệ thống. Uỷ quyền (Authorization) Uỷ quyền cho phép nhà quản trị điều khiển việc cấp quyền trong một khoảng thời gian, hay trên từng thiết bị, từng nhóm, từng người dùng cụ thể hay trên từng giao thức. AAA cho phép nhà quản trị tạo ra các thuộc tính mô tả các chức năng của người dùng được phép thao tác vào tài nguyên. Do đó, người dùng phải được xác thực trước khi uỷ quyền cho người đó. Uỷ quyền trong AAA làm việc giống như một tập các thuộc tính mô tả những gì mà người dùng đã được xác thực có thể có. Ví dụ: Người dùng VIET sau khi đã xác thực thành công có thể chỉ được phép truy cập vào server VIETHANIT_SERVER thông qua FTP. Những thuộc tính này được so sánh với thông tin chứa trong cơ sở dữ liệu của người dùng đó và kết quả được trả về AAA để xác định khả năng cũng như giới hạn thực tế của người đó. Điều này yêu cầu cơ sở dữ liệu phải giao tiếp liên tục với AAA server trong suốt quá trình kết nối đến thiết bị truy cập từ xa (RAS). Uỷ quyền liên quan đến việc sử dụng một bộ quy tắc hoặc các mẫu để quyết định những gì một người sử dụng đã chứng thực có thể làm trên hệ thống. Ví dụ: Trong trường hợp của một nhà cung cấp dịch vụ Internet, nó có thể quyết định liệu một địa chỉ IP tĩnh được cho là trái ngược với một địa chỉ DHCP được giao. Các quản trị hệ thống định nghĩa những quy tắc này. Máy chủ AAA sẽ phân tích yêu cầu và cấp quyền truy cập bất cứ yêu cầu nào có thể, có hoặc không phải là toàn bộ yêu cầu là hợp lệ. Ví dụ: Một máy khách quay số kết nối và yêu cầu nhiều liên kết. Một máy chủ AAA chung chỉ đơn giản là sẽ từ chối toàn bộ yêu cầu, nhưng một sự thực thi thông minh hơn sẽ xem xét yêu cầu, xác định rằng máy khách chỉ được phép một kết nối dial-up, và cấp một kênh trong khi từ chối các yêu cầu khác. Kiểm toán (Accounting) Kiểm toán cho phép nhà quản trị có thể thu thập thông tin như thời gian bắt đầu, thời gian kết thúc người dùng truy cập vào hệ thống, các câu lệnh đã thực thi, thống kê lưu lượng, việc sử dụng tài nguyên và sau đó lưu trữ thông tin trong hệ thống cơ sở dữ liệu quan hệ. Nói cách khác, kiểm toán cho phép giám sát dịch vụ và tài nguyên được người dùng sử dụng. Ví dụ: thống kê cho thấy người dùng có tên truy cập là VIET đã truy cập vào VIETHANIT_SERVER bằng giao thức FTP với số lần là 5 lần. Điểm chính trong kiểm toán đó là cho phép người quản trị giám sát tích cực và tiên đoán được dịch vụ và việc sử dụng tài nguyên. Thông tin này có thể được dùng để tính cước khách hàng, quản lý mạng, kiểm toán sổ sách. Giao thức sử dụng trong dịch vụ AAA Giới thiệu Hình 32 Các giao thức cho dịch vụ AAA Có hai giao thức bảo mật dùng trong dịch vụ AAA đó là TACACS (Terminal Access Controller Access Control System) và RADIUS (Remote Authentication Dial-In User Service). Cả hai giao thức đều có phiên bản và thuộc tính riêng. Chẳng hạn như phiên bản riêng của TACACS là TACACS+, tương thích hoàn toàn với TACACS. RADIUS cũng có sự mở rộng khi cho phép khách hàng thêm thông tin xác định được mang bởi RADIUS. TACACS và RADIUS được dùng từ một thiết bị như là server truy cập mạng (NAS) đến AAA server. Xem xét một cuộc gọi từ xa như hình 3.2. Người dùng gọi từ PC đến NAS. NAS sẽ hỏi thông tin để xác thực người dùng. Từ PC đến NAS, giao thức sử dụng là PPP, và một giao thức như là CHAP hay PAP được dùng để truyền thông tin xác thực. NAS sẽ truyền thông tin đến AAA Server để xác thực. Nó được mang bởi giao thức TACACS hoặc RADIUS. Tổng quan về TACACS TACACS là giao thức được chuẩn hoá sử dụng giao thức hướng kết nối (connection-oriented) là TCP trên port 49. TACACS có các ưu điểm sau: Với khả năng nhận gói reset (RST) trong TCP, một thiết bị có thể lập tức báo cho đầu cuối khác biết rằng đã có hỏng hóc trong quá trình truyền. TCP là giao thức mở rộng vì có khả năng xây dựng cơ chế phục hồi lỗi. Nó có thể tương thích để phát triển cũng như làm tắc nghẽn mạng với việc sử dụng sequence number để truyền lại. Toàn bộ payload được mã hoá với TACACS+ bằng cách sử dụng một khoá bí mật chung (shared secret key). TACACS+ đánh dấu một trường trong header để xác định xem thử có mã hoá hay không. TACACS+ mã hoá toàn bộ gói bằng việc sử dụng khoá bí mật chung nhưng bỏ qua header TACACS chuẩn. Cùng với header là một trường xác định body có được mã hoá hay không. Thường thì trong toàn bộ thao tác, body của một gói được mã hoá hoàn toàn để truyền thông an toàn. TACACS+ được chia làm ba phần: xác thực (authentication), cấp quyền (authorization) và tính cước (accounting). Với cách tiếp cận theo module, ta có thể sử dụng các dạng khác của xác thực và vẫn sử dụng TACACS+ để cấp quyền và tính cước. Chẳng hạn như, việc sử dụng phương thức xác thực Kerberos cùng với việc cấp quyền và tính cước bằng TACACS+ là rất phổ biến. TACACS+ hỗ trợ nhiều giao thức. Với TACACS+, ta có thể dùng hai phương pháp để điều khiển việc cấp quyền thực thi các dòng lệnh của một user hay một nhóm nhiều user: Phương pháp thứ nhất là tạo một mức phân quyền (privilege) với một số câu lệnh giới hạn và user đã xác thực bởi router và TACACS server rồi thì sẽ được cấp cho mức đặc quyền xác định nói trên. Phương pháp thứ hai đó là tạo một danh sách các dòng lệnh xác định trên TACACS+ server để cho phép một user hay một nhóm sử dụng. TACACS thường được dùng trong môi trường enterprise. Nó có nhiều ưu điểm và làm việc tốt đáp ứng yêu cầu quản lý mạng hàng ngày. Định dạng TACACS và các giá trị tiêu đề Các ID TACACS định nghĩa một tiêu đề 12-byte xuất hiện trong tất cả các gói TACACS. tiêu đề này luôn luôn được gửi ở định dạng văn bản rõ ràng. 1 2 3 4 5 6 7 8 1 2 3 4 5 6 7 8 1 2 3 4 5 6 7 8 1 2 3 4 5 6 7 8 Major_version Minor_version Type Seq_no Flags Session_id Length Hình 3-4: Định dạng gói tin Major_