MultiBooks - Tổng hợp IT - PC part 278 ppsx

- Kiểm toán(Auounting): Đây là hoạt động điển hình thứ 3 sau xác thực và cấp quyền. Kiểm toán là ghi lại những hoạt động mà người dùng đã và đang thực hiện. Kiểm toán là cơ chế ghi lại những hoạt động mà người dùng thực hiện sau khi đã đăng nhập thành công vào mạng. Kiểm toán bao hàm việc: thu thập, ghi danh sách, kiểm toán, ghi nhật ký và báo cáo về các định danh người dùng, các lệnh đã được thực hiện trong một phiên, số lượng các gói được truyền tải, vv… Lúc một hoạt động của người dùng được ghi lại, thời gian nó được thực hiện, khoảng thời gian của toàn bộ phiên người dùng và khoảng thời gian với mỗi hoạt động riêng lẻ cũng được ghi lại. Thông tin chi tiết về người dùng giúp người quản trị mạng theo dõi được những hoạt động của người dùng và đưa ra những hành động phù hợp để duy trì an toàn mạng. Mặc dù, kiểm toán được xem là bước lôgic tiếp theo của xác thực và cấp quyền, nhưng nó có thể thực thi không theo tuần tự đó. Trong thực tế, kiểm toán có thể được thực thi ngay cả khi hoạt động xác thực và cấp quyền không được thực hiện. Trong mô hình cơ sở dữ liệu bảo mật Client/Server phân tán, một số các Client, Server trong truyền thông xác thực một định danh của người dùng quay số qua một trung tâm cơ sở dữ liệu đơn hoặc một Server xác thực. Server xác thực lưu trữ tất cả thông tin về người dùng, các mật khẩu và các quyền ưu tiên truy cập của họ. Phân phối bảo mật đóng vai trò như một trung tâm về dữ liệu xác thực, nó an toàn hơn sự phân tán thông tin người dùng trên các thiết bị khác qua một mạng. Một Server xác thực đơn có thể hỗ trợ cả hàng trăm Server truyền thông, hàng nghìn người dùng. Các Server trong quá trình truyền thông có thể truy cập một Server xác thực cục bộ hoặc từ xa qua kết nối mạng diện rộng(WAN). Một số đại lý cung cấp truy cập từ xa và IETF đã đi đầu trong việc cố gắng bảo đảm an toàn cho truy cập từ xa, các phương tiện bảo mật được chuẩn hoá. Dịch vụ xác thực người dùng quy số từ xa(RADIUS) và hệ thống kiểm soát truy cập các thiết bị cuối(TACACS) như là hai dự án đã mở ra bộ khung của chuẩn Internet và các đại lý truy cập từ xa. Dịch vụ xác thực người dùng quay số từ xa(RADIUS) RADIUS là một hệ thống bảo mật phân tán được phát triển bởi Livingston Enterprises. RADIUS được thiết kế dựa trên những khuyến cáo trước đó từ nhóm Network Access Server Working Requirements của IETF. Một nhóm IETF làm việc với RADIUS được thành lập vào tháng 1 năm 1996 để đưa ra các chuẩn cho giao thức RADIUS, RADIUS bây giờ là một giải pháp bảo mật đường quay số được thừa nhận bởi IETF Hình 4.1 Dịch vụ xác thực người dùng quay số từ xa RADIUS Hệ thống kiểm soát truy cập thiết bị đầu cuối(TACACS) Tương tự với RADIUS, TACACS là một giao thức chuẩn công nghiệp. Như trong hình 4.2, lúc một Client từ xa đưa ra một yêu cầu xác thực tới NAS gần nó nhất, yêu cầu này được chuyển tiếp tới TACACS. Sau đó TACACS chuyển tiếp ID và mật khẩu được cung cấp tới cơ sở dữ liệu trung tâm, cơ sở dữ liệu trung tâm này có thể là một cơ sở dữ liệu TACACS hoặc một cơ sở dữ liệu bảo mật mở rộng. Cuối cùng, thông tin được lấy lại và chuyển tiếp tới TACACS, nó lần lượt được chấp nhận hoặc từ chối yêu cầu kết nối trên cơ sở thông tin nó nhận được từ cơ sở dữ liệu Hình 4.2 Xác thực từ xa dựa trên TACACS Hiện tại, có hai phiên bản của TACACS trên thị trường, cả hai phiên bản này đều được phát triển bởi Cisco. Đó là: - XTACACS (eXtended TACACS): Là một mở rộng của TACACS, nó hỗ trợ các tính năng cao cấp. - TACACS+: Phiên bản này của TACACS ban đầu sử dụng một Server truy cập riêng dưới dạng Server TACACS+. Server này cung cấp các dịch vụ xác thực, cấp quyền và kiểm toán độc lập. NAS giữ một vai trò quan trọng trong cả xác thực dựa trên RADIUS và dựa trên TACACS. Là một Client RADIUS hay TACACS, NAS mã hoá các thông tin(ID/Mật khẩu của người dùng) được cung cấp bởi người dùng từ xa trước khi chuyển tiếp nó tới Server xác thực tại mạng chủ cuối, NAS cũng có khả năng định tuyến một yêu cầu xác thực tới Server xác thực khác nếu Server xác thực đích không đến được. 4.1.1. Hoạt động của RADIUS RADIUS đầu tiên được phát triển bởi Livingston Enterprises, nhưng bây giờ thuộc quyền sở hữu của IETF và là một giao thức mở, có thể được phân phối dưới dạng mã nguồn và bất kỳ người nào cũng đều có thể sửa đổi. Mặc dùng RADIUS ban đầu được phát triển cho người quản trị của NAS, các sản phẩm hỗ trợ được bổ sung thêm các ứng dụng/thiết bị khác như firewall, truy cập trang web cá nhân, các tài khoản Email và các vấn đề bảo mật Internet liên quan đến xác thực khác. RADIUS gồm 2 phần: Có Client RADIUS, ví dụ: NAS hay bất kỳ phần mềm khác như Firewall, Client gửi một yêu cầu AAA tới RADIUS Server. Mặt khác, có RADIUS Server, nó kiểm tra yêu cầu theo dữ liệu đã được cấu hình trước. Hình 4.3. Luồng thông tin trong RADIUS Mặc dù các Server xác thực RADIUS và TACACS có thể được cài đặt theo nhiều cách khác nhau, tuỳ thuộc vào lược đồ bảo mật của mạng mà chúng phục vụ, nhưng tiến trình cơ sở cho việc xác thực một người dùng về cơ bản là giống nhau. Sử dụng một Moderm, một người dùng quay số từ xa kết nối tới một Server từ xa (gọi là Server truy cập mạng NAS), với một Moderm số hoặc tương tự. Lúc một kết nối Moderm được tạo, NAS nhắc người dùng về tên đăng nhập và mật khẩu. NAS sau đó sẽ tạo ra yêu cầu xác thực từ gói dữ liệu được cung cấp, nó bao gồm cả thông tin định danh mà thiết bị NAS xác định gửi yêu cầu xác thực như: cổng đang được dùng cho kết nối Moderm và Tên đăng nhập/Mật khẩu Một vai trò rất quan trọng được thực thi bởi Server xác thực, nó là một Server trong mạng để xác nhận tính hợp lệ của ID/mật khẩu người dùng cho mạng. Nếu một thiết bị được cấu hình cho xác thực qua một Server xác thực và thiết bị nhận một gói dữ liệu từ một giao thức xác thực, thiết bị gửi qua ID và Mật khẩu của người dùng tới Server cho việc xác thực. Nếu ID/mật khẩu của người dùng là đúng, Server phản hồi lại. Thiết bị sau đó có thể liên lạc với người khởi tạo yêu cầu ban đầu. Nếu Server không tìm thấy ID/mật khẩu của người dùng thì nó từ chối thiết bị và gửi phản hồi tới thiết bị. Thiết bị sau đó từ chối phiên với nơi mà nó đã nhận yêu cầu xác thực. Server xác thực có thể là chính một Server RADIUS hoặc một Server khác dựa trên các công nghệ xác thực trung tâm khác như Kerberos, DCE, SecureID hoặc RACF. Một Server RADIUS có thể được cấu hình để chuyển tiếp yêu cầu tới một Server xác thực trung tâm và truy cập thành công hoặc từ chối thông tin và cấu hình trở lại Client. Với việc bảo vệ trước các cuộc nghe lén của hacker, NAS hoạt động như Client RADIUS hoặc TACACS, mã hoá mật khẩu trước khi nó gửi mật khẩu tới Server xác thực. Nếu Server bảo mật chính không đến được, Client bảo mật hoặc thiết bị NAS có thể định tuyến yêu cầu tới một Server thay thế kế tiếp. Lúc nhận được một yêu cầu xác thực, Server xác thực sẽ xác minh yêu cầu và sau đó giải mã gói dữ liệu để truy cập thông tin tên đăng nhập/mật khẩu của người dùng. Nếu tên đăng nhập/mật khẩu của người dùng là đúng, Server gửi một gói dữ liệu báo đã nhận xác thực. Gói dữ liệu báo nhận này có thể gồm cả thông tin lọc bổ sung như thông tin trên các yêu cầu tài nguyên mạng của người dùng và các mức cấp quyền. Server bảo mật có thể, với thể hiện dưới dạng NAS mà một người dùng cần TCP/IP và/hoặc Internet Packet Exchange (IPX) sử dụng PPP, hoặc cái mà người dùng cần SLIP để kết nối tới mạng. Nó có thể gồm cả thông tin trên tài nguyên mạng xác định mà người dùng được phép truy cập. Để phá hỏng việc nghe lén trên mạng, Server bảo mật gửi một khóa xác thực hoặc chữ ký, nhận dạng của chính nó tới Client bảo mật. Một NAS nhận thông tin này, nó cho phép cấu hình ở mức cần thiết để cho phép người dùng quyền truy các . phiên bản này đều được phát triển bởi Cisco. Đó là: - XTACACS (eXtended TACACS): Là một mở rộng của TACACS, nó hỗ trợ các tính năng cao cấp. - TACACS+: Phiên bản này của TACACS ban đầu sử dụng. người quản trị mạng theo dõi được những hoạt động của người dùng và đưa ra những hành động phù hợp để duy trì an toàn mạng. Mặc dù, kiểm toán được xem là bước lôgic tiếp theo của xác thực và. - Kiểm toán(Auounting): Đây là hoạt động điển hình thứ 3 sau xác thực và cấp quyền. Kiểm toán là