CISCO SECURE ACS CHẠY TRÊN NỀN WINDOWS - Cisco Secure ACS [3] chạy trên nền Windows là một phần mềm ứng dụng bảo mật mạng cho phép ta điều khiển cách truy cập mạng, các cuộc gọi vào, và truy cập Internet. Cisco Secure ACS chạy trên nền Windows hoạt động giống như một dịch vụ của Windows NT/2000 điều khiển việc xác thực, cấp quyền, và tính cước người dùng truy cập vào mạng. - Cisco Secure ACS chạy trên nền Windows cung cấp dịch vụ AAA cho các thiết bị truy cập mạng có chức năng như AAA client, router, NAS, PIX firewall và VPN 3000 Concentrator. Một AAA client có thể là một thiết bị bất kì cung cấp chức năng AAA client và sử dụng một trong các giao thức AAA hỗ trợ bởi Cisco Secure ACS. Cisco Secure ACS chạy trên nền Windows xem tất cả thiết bị như vậy là AAA client. Cisco Secure ACS chạy trên nền Windows sử dụng giao thức TACACS+/RADIUS để cung cấp dịch vụ AAA nhằm bảo đảm một môi trường an toàn tuyệt đối. - Cisco Secure ACS chạy trên nền Windows giúp tập trung việc điều khiển truy cập và tính cước, thêm vào đó là quản lý việc truy cập vào router và switch. Với Cisco Secure ACS chạy trên nền Windows, các nhà quản trị mạng có thể nhanh chóng quản lý tài khoản và thay đổi toàn bộ mức độ yêu cầu dịch vụ cho toàn bộ các nhóm người dùng. - Cisco Secure ACS chạy trên nền Windows là một ACS dễ sử dụng bởi tính dễ cài đặt và quản trị. Nó thường chạy trên nền Windows NT Server hoặc Windows 2000 Server. Cisco Secure ACS chạy trên nền Windows cho phép xác thực username và password lưu trong cơ sở dữ liệu của Windows NT/2000, của chính cơ sở dữ liệu trong Cisco Secure ACS, cơ sở dữ liệu từ bên ngoài, - Các mức độ bảo mật khác nhau có thể dùng với Cisco Secure ACS chạy trên nền Windows với các yêu cầu khác nhau. Mức độ bảo mật người dùng-mạng là PAP. Mặc dù nó không trình bày dạng bảo mật cao nhất của tính chất mã hóa bí mật, PAP đem lại nhiều sự tiện lợi và đơn giản cho khách hàng. Xác thực PAP có thể xác thực với cơ sở dữ liệu trong Windows NT/2000. Xác thực CHAP cho phép một mức độ cao hơn về tính bảo mật cho các password mã hóa khi giao tiếp từ khách hàng cho đến thiết bị truy cập mạng (NAS). Microsoft CHAP (MS-CHAP) là một phiên bản của CHAP được đưa ra bởi Microsoft để làm việc gần gũi, dễ dàng hơn trong hệ điều hành Microsoft Windows. - PAP, CHAP và MS-CHAP là các giao thức xác thực được dùng để mã hóa password. Tuy nhiên, mỗi giao thức cung cấp một mức độ bảo mật khác nhau: • PAP: sử dụng password dạng clear-text và là giao thức ít bảo đảm tính xác thực nhất. Nếu ta sử dụng cơ sở dữ liệu trong Windows NT/2000 để xác thực người dùng, ta phải mã hóa PAP password. • CHAP: sử dụng kĩ thuật “thách thức-phúc đáp” (challenge-response) với việc mã hóa một chiều khi phúc đáp. CHAP cho phép Cisco Secure ACS khởi tạo với độ an toàn cao. CHAP password có thể tái dùng lại. Nếu sử dụng Windows database để xác thực, ta có thể sử dụng PAP hoặc CHAP. • MS-CHAP: Cisco Secure ACS chạy trên nền Windows hỗ trợ MS-CHAP để xác thực người dùng. MS-CHAP khác biệt so với CHAP ở chỗ: - Các gói phúc đáp của MS-CHAP thì tương thích vói Microsoft Windows và quản lý mạng LAN. Dạng MS-CHAP không cung cấp cách xác thực và lưu trữ một mật khẩu dạng clear-text hay được mã hóa. - MS-CHAP cung cấp kĩ thuật xác thực điều khiển bởi người xác thực. - MS-CHAP ver 2 cung cấp các mã lỗi thêm vào trong trường “Thông điệp lỗi của gói” (Failure Packet Message) 1. Các tính chất chung: Hình 3.2: Sơ đồ kết nối giữa NAS và Cisco Secure ACS. - Cisco Secure ACS chạy trên nền Windows, như mô tả trong hình 3.2, có các đặc tính chung như sau: • Hỗ trợ đồng thời TACACS+ và RADIUS giữa Cisco Secure ACS và NAS • Hỗ trợ cơ sở dữ liệu trong Windows NT/2000 Server như: - Quản lý hợp nhất username/password tích hợp với Windows NT hoặc Windows 2000. - Cho phép đăng nhập vào mạng và Windows NT/2000 domain. - Chạy độc lập với Windows NT/2000, điểu khiển tên miền, điều khiển backup tên miền, • Hỗ trợ việc dùng với cơ sở dữ liệu bên ngoài người dùng: - Các server token card - NDS - ACS database - Các thứ khác • Hỗ trợ các giao thức xác thực sau: - ASCII/PAP - CHAP - MS-CHAP - LEAP - EAP-CHAP - EAP-TLS - ARAP • Hỗ trợ đặc tính callback của NAS để gia tăng tính bảo mật. 2. Các dịch vụ AAA: - Cisco Secure ACS hỗ trợ các đặc tính AAA: • Hỗ trợ TACACS+ như: - Access list, named access list, hoặc numbered accesslist - Giới hạn truy cập từng giờ trong ngày hay theo các ngày trong tuần. - Hỗ trợ ARA - Các mức phân quyền cho phép - Xác thực vào LDAP server • Các phiên bản RADIUS: - IETF RADIUS - Cặp giá trị thuộc tính (Atribute-Value) RADIUS - Các mở rộng của RADIUS • Hỗ trợ đồng thời cơ sở dữ liệu TACACS+/RADIUS riêng lẻ - Các đặc tính khác được Cisco Secure ACS hỗ trợ như là: • Hỗ trợ VPN và VPDN phù hợp với các tunnel nguồn cũng như đầu cuối • Giới hạn người dùng có thể dựa vào địa chỉ gọi CLID (Calling Line Identification) • Có thể ngăn cấm một account trong khoảng thời gian xác định nào đó 3. Các đặc tính quản trị: - Cisco Secure ACS trên nền Windows có nhiều đặc tính gần gũi với người dùng, như là: • Giao diện dựa vào trình duyệt web cho phép quản trị từ một web browser thông qua LAN hay quay số vào. Đơn giản hóa và phân phối cấu hình của ACS, thông tin người dùng, và thông tin nhóm: - Tài liệu giúp đỡ online giúp giải quyết vấn đề và mọi thắc mắc - Cho phép quản trị người dùng dễ dàng nhất cùng với các chính sách bảo mật - Quản trị từ xa có thể cho phép/từ chối bằng việc quản lý username/password duy nhất. - Các phiên làm việc quản trị từ xa có giá trị timeout. - Có thể biết được danh sách người dùng đã login vào. • Tạo các file TACACS+ và RADIUS riêng biệt có đuôi là .CSV để dễ dàng import vào cơ sở dữ liệu và các ứng dụng dạng bảng tính. • Có trình cài đặt tiện lợi để có thể thu thập được một lượng lớn người dùng. 4. Các đặc tính của hệ thống phân tán: Hình 3.3: Cisco Secure ACS với hệ thống phân tán - Như ta thấy trong hình 3.3, Cisco Secure ACS có thể dùng trong hệ thống phân tán. Nhiều chức năng Cisco Secure ACS cho Windows Server hoặc AAA Server có thể được cấu hình để giao tiếp với một thứ khác như master, client, peer. Cisco Secure ACS cũng chấp nhận giới hạn truy cập mạng của Cisco Secure ACS chạy trên các server khác trong hệ thống phân tán. Cisco Secure ACS trên nền Windows có các đặc tính mạnh mẽ như: • Chuyển tiếp việc xác thực: Điều này cho phép Cisco Secure ACS tự động chuyển tiếp một yêu cầu xác thực từ NAS đến một Cisco Secure ACS khác. Sau khi xác thực, các mức phân quyền được ứng dụng vào NAS cho việc xác thực người dùng đó. • Fallback trên các kết nối thất bại: Ta có thể cấu hình để yêu cầu Cisco Secure ACS kiểm tra một Cisco Secure ACS từ xa khác nếu một kết nối mạng đến Cisco Secure ACS đầu tiên với Windows Server bị lỗi. Nếu một yêu cầu xác thực không thể gửi đến server đầu tiên, thì server liệt kê kế tiếp sẽ được kiểm tra theo thứ tự từ trên xuống dưới, cho đến khi Cisco Secure ACS có thể xác thực được thành công. Nếu Cisco Secure ACS không kết nối được với bất kì server nào có trong danh sách thì việc xác thực sẽ thất bại. • Tính cước tập trung và từ xa: Cisco Secure ACS có thể cấu hình để chỉ ra một Cisco Secure ACS trung tâm được dùng như một server tính cước. Cisco Secure ACS trung tâm sẽ vẫn có tất cả đặc tính mà một Cisco Secure ACS khác có, ngoài ra nó có thể đặc tính là tập trung tất cả file log từ các Cisco Secure ACS khác gửi về. 5. Hỗ trợ cơ sở dữ liệu từ bên ngoài: - Ta có thể cấu hình Cisco Secure ACS để chuyển tiếp việc xác thực người dùng đến một hoặc nhiều cơ sở dữ liệu của người dùng từ bên ngoài. Việc hỗ trợ cơ sở dữ liệu người dùng từ bên ngoài có nghĩa là Cisco Secure ACS không bắt buộc ta phải tạo một entry của người dùng trong cơ sở dữ liệu người dùng CiscoSecure. Người dùng có thể xác thực bằng cách sử dụng bất kì một trong các cách sau: • Windows NT/2000 database • LDAP • NDS • ODBC • LEAP Proxy RADIUS server • RSA SecureID token server • Token server dựa vào RADIUS, gồm: - ActivCard token server - CRYPTOCard token server - VASCO token server - Generic RADIUS token server - Bất kể dùng cơ sở dữ liệu nào để xác thực người dùng, thì Cisco Secure ACS cũng sẽ xác thực các dịch vụ yêu cầu. - Cisco Secure ACS yêu cầu giao diện lập trình ứng dụng (API) để hỗ trợ xác thực. Cisco Secure ACS trên nền Windows cho phép giao tiếp với cơ sở dữ liệu từ bên ngoài bằng cách sử dụng API. Với Windows NT/2000, Generic LDAP, xác thực Novell NDS, thì việc dùng API để xác thực bên ngoài được xem là cục bộ đối với Cisco Secure ACS, và được cung cấp bởi hệ điều hành cục bộ. Trong những trường hợp như vậy, không đòi hỏi thêm bất kì một component nào khác nữa. - Trong trường hợp tài nguyên xác thực ODBC, thì ODBC driver phải được cài đặt vào Cisco Secure ACS. - Để giao tiếp với token server truyền thống, ta phải có phần mềm cung cấp bởi khách hàng OTP cùng với các component thêm vào Cisco Secure ACS. Ta cũng phải xác định “cài đặt người dùng” mà một token card được sử dụng. Với các server dùng token dựa vào RADIUS như ActivCard, CRYPTOCard, và VASCO thì giao diện RADIUS chuẩn được phục vụ như là API thứ ba. CISCO SECURE ACS CHẠY TRÊN NỀN WINDOWS (PHẦN 3) 9. Cách thức sử dụng cơ sở dữ liệu người dùng trong Windows: - Hình 3.7 cho thấy tiến trình xảy ra khi Cisco Secure ACS sử dụng cơ sở dữ liệu người dùng của Windows NT/2000 để chạy dịch vụ AAA. Các bước chính là: 1. Dịch vụ TACACS+/RADIUS chuyển tiếp yêu cầu đến dịch vụ xác thực và cấp quyền trong Cisco Secure ACS. 2. Username/password được gửi đến cơ sở dữ liệu người dùng cho Windows NT/2000 để xác thực. 3. Nếu được đồng ý, Windows NT/2000 sẽ cấp một quyền cho phép truy cập vào như một user cục bộ. 4. Một phúc đáp sẽ được trả về cho Cisco Secure ACS và việc cấp thẩm quyền sẽ được gán. 5. Việc xác thực và các thẩm quyền kết hợp với nó được gán trong Cisco Secure ACS về người dùng đó sẽ được gủi về NAS. Thông tin tài khoản đó sẽ được lưu giữ lại. Hình 3.7: Cách thức sử dụng cơ sở dữ liệu trong Windows NT/2000 - Một tiện ích thêm vào để sử dụng cơ sở dữ liệu người dùng của Windows NT/2000 đó là username/password được dùng để xác thực giống như việc login vào mạng, chẳng hạn như ta phải nhập username/password. 10. Hỗ trợ Token Card: - Cisco Secure ACS hỗ trợ một số token server thứ ba như là RSA SecureID, Secure Computing SafeWord, Symantec (AXENT) Defender và bất kì hexa X.909 token card nào chẳng hạn như CRYPTOCard. Hình 3.8 cho thấy một số token server mà Cisco Secure ACS đóng vai trò như là một client của token server. Hình 3.8: Hỗ trợ Token Card - Với những cái khác, nó sử dụng giao tiếp RADIUS của token server để yêu cầu xác thực. Giống như với cơ sở dữ liệu của Windows NT/2000, sau khi username được đặt trong cơ sở dữ liệu người dùng, CSAuth có thể kiểm tra server đã lựa chọn để xác thực username và token-card password. Token server đưa ra phúc đáp, để chấp nhận hay từ chối một phê chuẩn. Nếu một phúc đáp được chấp nhận, CSAuth sẽ biết cách thức xác thực cần cho người dùng. - Cisco Secure ACS có thể hỗ trợ token server bằng việc sử dụng RADIUS server đã được xây dựng vào trong token server. Cisco Secure ACS gửi các yêu cầu xác thực RADIUS chuẩn đến các cổng xác thực RADIUS trên token server. Token server được hỗ trợ RADIUS server như là ActivCard, CRYPTOCard, VASCO, RSA Security, và Secure Computing. 11. Các cải tiến trong phiên bản Cisco Secure ACS ver 3.1 và ver 3.2 so với trước: - Cisco Secure ACS ver 3.1 có các cải tiến sau: • Hỗ trợ giao thức xác thực mở rộng có bảo vệ (PEAP): Điều này cung cấp chức năng bảo mật lớn hơn, mở rộng nhiều hơn và hỗ trợ cho việc xác thực token một lần và cải tiến password. • SSL hỗ trợ việc quản trị truy cập: SSL có thể dùng để quản lý việc truy cập một cách an toàn thông qua giao diện HTML trong Cisco Secure ACS. • Cải tiến việc thay đổi password: Cisco Secure ACS cho phép điều khiển cách thức nhà quản trị mạng thay đổi password trong suốt phiên làm việc telnet của TACACS+ AAA client. • Cải tiến việc đánh địa chỉ IP: Để giảm khả năng cấp phát địa chỉ IP đã dùng, Cisco Secure ACS sử dụng thuộc tính IETF RADIUS Class như là một chỉ số truyền thống cho phiên làm việc người dùng. • Tìm kiếm thiết bị mạng: khả năng tìm kiếm mới này giúp ta nghiên cứu một thiết bị mạng cấu hình trước dựa trên tên thiết bị, địa chỉ IP, phân loại (AAA client hay là AAA server) và nhóm thiết bị mạng. • Cải thiện việc hỗ trợ cơ sở hạ tầng khóa chung: Trong khi xác thực kiểu EAP-TLS, Cisco Secure ACS có thể thiết lập sự so sánh giữa certificate nhận được từ client đầu cuối với certificate lưu trữ trong thư mục LDAP. • Nâng cao EAP proxy: Cisco Secure ACS hỗ trợ LEAP và EAP-TLS proxy với cơ sở dữ liệu RADIUS khác hoặc cơ sở dữ liệu từ bên ngoài thông qua RADIUS chuẩn. • Hỗ trợ ứng dụng quản trị trung tâm: Cisco Secure ACS cung cấp framework điều khiển việc quản trị TACACS+ tích hợp cho nhiều công cụ quản trị bảo mật Cisco như là “CiscoWork VPN”, “Giải pháp quản trị bảo mật”. - Cisco Secure ACS ver 3.2 có các cải tiến sau: • Hỗ trợ PEAP cho MS Windows client: Hỗ trợ MS PEAP phù hợp với Windows 98, NT, 2000, XP • Hỗ trợ LDAP đa luồng: Để cải tiến hiệu suất trong môi trường tác vụ mở rộng như môi trường không dây, Cisco Secure ACS ver 3.2 có thể xử lý nhiều yêu cầu xác thực LDAP song song. • Cải thiện EAP-TLS: Những cải thiện EAP-TLS được đưa ra bởi Cisco Secure ACS v3.2 cho phép mở rộng khả năng Cisco Secure ACS PKI. • Cấu hình EAP hỗn hợp: Cisco Secure ACS ver 3.2 hỗ trợ các loại EAP sau: - PEAP (EAP-GTC) - PEAP (EAP-MSCHAPv2) - EAP-TLS - EAP-MD5 - Cisco EAP wireless • Thiết lập thông số EAP dễ dàng: cho phép một hoặc nhiều loại EAP có thể chọn đồng thời. • Hỗ trợ tính cước cho Aironet: Cisco Secure ACS ver 3.2 hỗ trợ việc tính cước dựa vào người dùng từ thiết bị truy cập Cisco Aironet wireless. • Có khả năng download “access control list” cho người dùng VPN: Cisco Secure ACS ver 3.2 mở rộng khả năng hỗ trợ ACL cho giải pháp Cisco VPN. 12. Giới thiệu về giao diện Cisco Secure ACS web browser: Hình 3.8: Giao diện chính của Cisco Secure ACS ver 3.2 - Với giao diện web browser, ta có thể cấu hình các chức năng như sau: • User Setup: Ta có thể thêm, xóa, sửa một account của người dùng, và liệt kê tất cả người dùng trong cơ sở dữ liệu. • Group Setup: Ta có thể tạo, sửa, đổi tên nhóm và liệt kê tất cả user trong một nhóm. • Shared Profile Components: Phát triển và tái sử dụng tên, tập tất cả các thành phần xác thực có thể áp dụng vào một hoặc nhiều người dùng hay nhóm người dùng và tham chiếu bởi tên trong từng profile riêng biệt. Các component bao gồm giới hạn truy cập mạng (NAR), tập lệnh cấp quyền, và các ACL download được. • Network Configuration: Cấu hình và sửa chữa tham số NAS, thêm, xóa NAS, cấu hình AAA tham số phân phối cho AAA server. • System Configuration: Khởi tạo và kết thúc các dịch vụ Cisco Secure ACS, cấu hình logging, điều khiển việc nhân bản cơ sở dữ liệu, và điều khiển việc đồng bộ hóa hệ quản trị cơ sở dữ liệu quan hệ. • Interface Configuration: Cấu hình các trường do người dùng định nghĩa sẽ được ghi lại vào trong file log, cấu hình các tùy chọn TACACS+/RADIUS, và điều khiển cách thức trình bày tùy chọn trong giao diện người dùng. • Administration Control: điều khiển việc quản trị Cisco Secure ACS từ bất kì Workstation nào trên mạng. • External User Databases: cấu hình chính sách user, cấu hình các mức phân quyền cho user, cấu hình các dạng cơ sở dữ liệu từ bên ngoài. • Reports and Activity: lưu lại các thông tin xảy ra đối với Cisco Secure ACS như là một phần danh sách của các loại báo cáo phù hợp với ta. Ta có thể cài đặt những file này vào trong cơ sở dữ liệu hay ứng dụng bảng tính. - TACACS+ Accounting Report: các danh sách cho biết thông tin khi một session bắt đầu và kết thúc, ghi lại thông điệp của NAS với username, cung cấp thông tin CLID và các bản ghi trong mỗi phiên. - RADIUS Accounting Report: danh sách cho biết thông tin khi một session bắt đầu và kết thúc, ghi lại thông điệp của NAS với username, cung cấp thông tin CLID và các bản ghi trong mỗi phiên. - Failed Attemps Report: danh sách xác thực không thành công. - Logged in Users: danh sách tất cả người dùng truy cập gần đây. - Disable Accounts: các account không cho phép hoạt động nữa. - Admin Accounting Report: bản lưu lại các trạng thái thao tác của admin. • Online Document: tài liệu hướng dẫn sử dụng Cisco Secure ACS như cách cấu hình, thao tác, và khái niệm có liên quan đến Cisco Secure ACS. . Cisco Secure ACS chạy trên nền Windows là một ACS dễ sử dụng bởi tính dễ cài đặt và quản trị. Nó thường chạy trên nền Windows NT Server hoặc Windows 2000 Server. Cisco Secure ACS chạy trên nền. AAA hỗ trợ bởi Cisco Secure ACS. Cisco Secure ACS chạy trên nền Windows xem tất cả thiết bị như vậy là AAA client. Cisco Secure ACS chạy trên nền Windows sử dụng giao thức TACACS+/RADIUS để. đối. - Cisco Secure ACS chạy trên nền Windows giúp tập trung việc điều khiển truy cập và tính cước, thêm vào đó là quản lý việc truy cập vào router và switch. Với Cisco Secure ACS chạy trên nền Windows,