Tác giả: Nguyễn Thị Băng Tâm Chương 4 : CẤU HÌNH AAA TRÊN PIX FIREWALL 1. Tổng quan về AAA Việc nhận thực quyết định việc nhận dạng một user và kiểm tra thông tin về user đó. Việc nhận thực truyền thống sử dụng tên và một password cố định . Khi truy nhập vào một thiết bị hay mạng với user ID thì sẽ biết được user đó là ai . Khi user đã được xác thực , authentication server sẽ cho phép user đó một quyền cụ thể (authorization) dựa trên thông tin về user ID và password đó . Authorization cho biết user có thể làm gì . Khi user đã vào được và đang sử dụng một dịch vụ , host hay một mạng nào đó , sẽ có một bản ghi lại những việc mà user đã làm . Accounting có nhiệm vụ thực hiện điều này . Accounting cũng có thể được sử dụng cho việc thanh toán hóa đơn , pháp lí hay một kế hoạch . Authentication , Authorization và Accounting (AAA) được PIX firewall sử dụng kiểm tra xem user là ai , user có thể làm gì và user đã làm gì . Bản thân PIX firewall có thể điều khiển việc truy nhập dựa trên port và địa chỉ IP , nhưng phương pháp này không cung cấp một cơ chế để xác định được bản thân mỗi user và điều khiển luồng traffic của user đó . Authentication có thể thực hiện được mà không cần có authorization , nhưng Authorization sẽ không bao giờ thực hiện được nếu không có Authentication . Đặc điểm của AAA khi sử dụng với PIX firewall bao gồm : - Client cần truy nhập đến một dịch vụ nào đó . PIX firewall , lúc này đóng vai trò là gateway giữa client và thiết bị , sẽ yêu cầu client gửi user ID và password . - PIX nhận được thông tin đó và chuyển nó đến AAA server .AAA server được định nghĩa như là một thực thể logic dùng để cung cấp 3 chức năng AAA . Server sẽ tìm xem thông tin về user này có trong database của nó hay không ? Nếu có thì user sẽ được phép sử dụng dịch vụ đã yêu cầu . Nếu không , user bị từ chối sử dụng dịch vụ đó . Với việc sử dụng AAA server riêng như vậy , giúp cho PIX giảm được tải (CPU) , cấu hình và quản lí đơn giản , làm tăng khả năng mở rộng . Việc sử dụng AAA server cho phép chỉ có các user được xác thực mới được truy cập đến một mạng nào đó , ví dụ như các user có user ID và password hợp lệ mới được truy cập internet , hoặc là giới hạn quyền của user sau khi xác thực thành công sử dụng một dịch vụ nào đó . Bằng việc cấu hình trên PIX và AAA server , nhà quản trị mạng có thể giới hạn việc truy cập các dịch vụ như FTP , Telnet , HTTP , hay là các dịch vụ khác . User có thể xác thực với PIX firewall sử dụng một trong 3 phương pháp sau : - Telnet : dấu nhắc được phát ra bởi Pix , mỗi user có 4 lần log in . Nếu username hoặc password sai sau lần thứ tư , Pix sẽ làm rớt kết nối . Nếu xác thực và thẩm quyền thành công , user - FTP : dấu nhắc được phát ra từ chương trình FTP . Nếu password không đúng , kết nối sẽ bị rớt ngay lập tức . Nếu username hoặc password trong authentication database khác với username và password của remote host mà ta cần truy nhập vào thông qua FTP , sử dụng username và password theo mẫu sau : · aaa_username@remote_username · aaa_password@remote_password PIX firewall gửi aaa_username và aaa_password đến AAA server , nếu authentication và authorization thành công , remote_username và remote_password được gửi chuyến FTP server đích . - HTTP : browser phát ra cửa sổ username , password . Nếu nhập vào không đúng password , user sẽ được nhắc nhập lại . Nếu username hoặc password trong database authentication khác với username và password ở remote host , thì nhập username và password theo mẫu sau : · aaa_username@remote_username · aaa_password@remote_password PIX firewall gửi aaa_username và aaa_password đến AAA server , nếu authentication và authorization thành công , remote_username và remote_password được gửi chuyến HTTP server đích . 2. Cut-through proxy PIX firewall có thể configuration replication `ung cấp việc xác thực và thẩm quyền cho user để sử dụng dịch vụ nào đó thông qua Pix . Đặc biệt , pix cho phép ta thực hiện việc xác thực và thẩm quyền cho các phiên FTP , HTTP , và Telnet cho cả 2 hướng inbound và outbound . Chức năng này còn đựơc gọi là cut-through proxy . Cut-through proxy cho phép ta điều khiển các dịch vụ thích hợp thông qua firewall bằng user chứ không phải địa chỉ IP . Khác với proxy server phải phân tích mỗi gói dữ liệu trong một phiên ở lớp application , điều này ảnh hưởng trực tiếp đến vấn đề thời gian và tốc độ xử lý , sử dụng Cut-through proxy , PIX firewall sẽ chỉ gửi query đầu tiên cho việc chứng thực tới một TACACS+ hoặc RADIUS database server . Khi một user được chứng thực thành công ứng với policy đã được thiết lập , thì pix sẽ chuyển session flow và traffic flow trực tiếp giữa 2 host trong khi vẫn duy trì thông tin trạng thái Ví dụ sau đây sẽ giúp ta hiểu rõ hơn hoạt động của cut-through proxy : Error! Ứng dụng điển hình của công nghệ này là một user ở mạng bên ngoài (internet) truy cập vào HTTP server nằm trong vùng DMZ của mạng intranet như trong hình vẽ trên . User ở mạng ngoài truy cập vào XYZ web server , PIX yêu cầu user nhập thông tin username và password , thông tin này được pix chuyển đến AAA server . Nếu được xác thực , user được phép đến XYZ web server . Nếu web server này cũng đòi xác thực , thì user sẽ gửi remote username và password đến server đó . 3. Cấu hình xác thực Khi CSACS ( Cisco Secure Access Control Server ) được cấu hình (CSACS là một phần mềm được cài đặt trên server cung cấp đầy đủ 3 dịch vụ AAA) , một entry tương ứng với AAA server phải được cấu hình trên pix . Các bước cấu hình như sau: - Tạo AAA group , chỉ ra giao thức dùng cho xác thực : aaa-server group_tag (if_name) host server_ip key timeout seconds - Tạo ra AAA server và đăng kí nó đến AAA group , nhiều AAA server có thể ở trong cùng một group : aaa-server group_tag protocol auth_protocol Group_tag : tên của server group If_name : tên interface kết nối với server Host server_ip : địa chỉ IP của TACACS+ server hoặc RADIUS server Key : là từ khóa case-sensitive , có độ dài tối đa là 127 kí tự , từ khóa này phải giống với từ khóa của server . Key được sử dụng giữa client và server cho việc mã hóa dữ liệu giữa chúng . Nếu key không được chỉ ra , mã hóa sẽ không xảy ra . Không được sử dụng khoảng trắng giữa các kí tự trong key . Timeout seconds : chỉ ra khoảng thời gian mà pix phải chờ để thử lại lần nữa , pix sẽ thử lại 4 lần trước khi chọn server kế tiếp cho việc xác thực . Giá trị mặc định của timeout là 30 giây . Auth_protocol : là chỉ ra loại server nào được sử dụng , tacacs hay là radius . ?Note : Mặc định , PIX firewall giao tiếp với RADIUS server dùng port 1645 dành cho việc xác thực và port 1646 dành cho accounting . Các RADIUS đời mới hơn có thể sử dụng port 1812 và port 1813 . Nếu server sử dụng port khác 1645 và 1646 , ta cần phải định nghĩa lại giá trị port tương ứng trên Pix bằng câu lệnh aaa-server radius-authport và aaa-server radius-acctport trước khi cấu hình RADIUS server . Với PIX firewall , nhà quản trị có thể định nghĩa từng group riêng cho các loại traffic khác nhau , ví dụ như một TÁCACS + server cho inbound traffic , một TACACS+ server khác cho outbound traffic . Ta có thể có đến 16 tag group và mỗi group có thể có đến 16 AAA server , tổng cộng có đến 256 server . Cấu hình mặc định ở pix có hai giao thức AAA server là : - aaa-server tacacs+ protocol tacacs+ - aaa-server radius protocol radius Sau khi đã chỉ ra aaa-server , ta cần phải cấu hình xác thực , sử dụng câu lệnh aaa authentication để bật hay tắt việc xác thực user . Có các loại xác thực sau : a. Xác thực khi user truy cập vào PIX : Câu lệnh : aaa authentication [serial | enable | telnet | ssh | http] console <group_tag> Xác thực việc access vào pix console có nhiều loại khác nhau tùy thuộc vào option được chọn . Enable option cho phép 3 lần thử trước khi từ chối việc access . Serial và telnet cho phép user thử nhiều lần cho đến khi log in vào được thiết bị . Telnet cho phép ta chỉ ra host nào có thể access vào pix . Đối với các OS version 5.0 trở về trước , telnet đến pix chỉ được thực hiện từ internal interface đi ra mạng ngoài, không cho phép outside interface . Nhưng các version OS sau này đều hỗ trợ tính năng này . Tuy nhiên, PIX firewall bắt buộc rằng tất cả telnet traffic đến outside interface phải được bảo vệ bởi IPSEC . Do đó , để khởi động một telnet session đến outside interface , cấu hình IPSEC ở outside interface bao gồm cả IP traffic do pix tạo ra . Chỉ có traffic trở về telnet client được gửi qua IPSEC tunnel , không phải là tất cả traffic được phát ra bởi outside interface . b. Xác thực cho traffic đi qua pix : Câu lệnh : aaa authentication {include | exclude} <authen_service> {inbound | outbound | <interface>} <local_ip> <local_mask> <foreign_ip> <foreign_mask> <group_tag> include : tạo ra một quy tắc mới cho dịch vụ cụ thể nào đó . exclude : chỉ ra host nào đó được bỏ qua các quy tắc mà ta đã định nghĩa trước đó authen_service : dịch vụ mà user muốn access vào . Tham số này có thể là ftp , telnet , http , hay là cả 3 dịch vụ trên (any) . inbound : xác thực các kết nối inbound . Inbound có nghĩa là kết nối đó được khởi tạo từ interface outside đến interface inside . outbound : xác thực các kết nối outbound . Outbound có nghĩa là kết nối được khởi tạo từ inside interface đến outside interface . if_name : tên của interface mà ở đó user cần xác thực . Sử dụng if_name , cộng với local_ip và foreign_ip để biết . server dùng port 1645 dành cho việc xác thực và port 1646 dành cho accounting . Các RADIUS đời mới hơn có thể sử dụng port 1812 và port 1813 . Nếu server sử dụng port khác 1645 và 1646 , ta cần. thì user sẽ gửi remote username và password đến server đó . 3. Cấu hình xác thực Khi CSACS ( Cisco Secure Access Control Server ) được cấu hình (CSACS là một phần mềm được cài đặt trên server