tìm hiểu và triển khai asa firewall

Dựa vào yếu tố con người Kẻ tấn công có thể liên lạc với một người quản trị hệ thống, giả làm một người sử dụng để yêu cầu thay đổi mật khẩu, thay đổi quyền truy nhập của mình đối với hệ

Lời cảm ơn

Mục lục

Lời cảm ơn 1

Mục lục 2

Danh mục hình 3

A.Tổng quan về đề tài 5

B Cấu trúc của đề tài 6

I.Tổng quan về an ninh mạng: 6

1.Mục tiêu an ninh mạng 6

2.Các phương thức tấn công 7

3 Các chính sách an ninh mạng 11

II Radius 18

1 Tổng quan về Radius: 18

2 Kiến trúc RADIUS: 22

3 Hoạt động: 37

4 RFCs: 40

III ASA 46

1 Lịch sử ra đời 46

2 Các sản phẩm tường lửa của Cisco: 46

3 Điều khiển truy cập mạng (NAC) 46

4 Giao thức AAA và dịch vụ hỗ trợ của Cisco ASA 52

5 Kiểm tra ứng dụng 61

6 Khả năng chịu lỗi và dự phòng (failover and redundancy) 61

8 Phát hiện xâm nhập (IDS) 66

IV Mô phỏng 70

1 Mục tiêu của mô phỏng 70

2 Các công cụ cần thiết để thực hiện mô phỏng 70

3 Các bước giả lập ASA trên GNS3 70

4 Kết quả đạt được 76

V.KẾT LUẬN CHUNG 76

VI.HƯỚNG PHÁT TRIỂN CỦA ĐỀ TÀI 77

Tài liệu tham khảo: 77

Danh mục hình

Danh mục bảng 4

Hình 1-1: Các lớp bảo mật tường lửa 12

Hình 2-1:Mối quan hệ tin tưởng độc lập trong một giao dịch hop-to-hop 21

Hình 2-2:Mối quan hệ tin tưởng máy khách/máy chủ trong mô hình end-to-end 22

Hình 2-3:Một mô tả về cấu trúc gói tin dữ liệu RADIUS 24

Hình 2-4: Một gói tin Access-Request điển hình 27

Hình 2-5: Gói tin Access-Accept điển hình 28

Hình 2-6: Gói tin Access-Reject điển hình 29

Hình 2-7: Gói tin Access-Challenge điển hình 29

Hình 2-8: Gói tin Accounting-Request điển hình 30

Hình 2-9: Gói tin Accounting-Response điển hình 31

Hình 2-10: Mẫu truyền các cặp giá trị thuộc tính (AVP) tiêu chuẩn 33

Hình 2-11: Sự truyền đi của 1 VAS bên trong 1 AVP tiêu chuẩn 34

Hình 2-12: Quá trình xác thực RADIUS đơn giản 39

Hình 3-1:Mô tả quá trình lọc gói của tường lửa 48

Hình 3-2: Mô tả kiến trúc cơ bản cho NAS/RADIUS/TACACS+/AAA 53

Hình 3-3 Định dạng gói tin Radius 55

Hình 3-4: Định dạng gói tin 57

Hình 3-5: Cơ chế xác thực 59

Hình 3-6: Quá trình kết nối giữa Client và Server 61

Hình 3-7:minh họa liên kết chịu lỗi 63

Hình 3-8: Minh họa cách một gói được xử lý trong các thiết bị an ninh khi đi qua các công cụ QoS 65

Danh mục bảng

A.Tổng quan về đề tài

Mục tiêu của việc nghiên cứu về Firewall ASA

+ Việc nghiên cứu giúp cho khả năng tự học ,tìm hiểu và nghiên cứu độc lậpngày càng tốt hơn

+ Nghiên cứu về hệ thống firewall ASA

+ Triển khai hệ thống phất hiện, ngăn chặn các lưu lượng ra vào của hệ thống là

sự cần thiết cho các doanh nghiệp có nhu cầu về sự an toàn của hệ thống trướcnhững hành vi xâm nhập trái phép Trước sự phát triển của internet và sự hiểu biếtcủa ngày càng sâu của con người thì việc truy cập và phá hoại hệ thống mạng củamột doanh nghiệp ,công ty nào đó củng theo đà phát triển của internet mà tăng lênrất nhiều

+ Việc nghiên cứu này đáp ứng cho lãnh vực bảo mật và an ninh của hệ thống.+ ASA(Adaptive Security Appliance) là một thiết bị tường lửa mạnh tất cả trongmột và được ưa chuộng nhất hiện nay của Cisco.Chính vì vậy mục tiêu của đề tàinày là nhằm nghiên cứu và tìm hiểu cách thức hoạt động,phương pháp cấu hình vàứng dụng của nó trong việc bảo mật hệ thống mạng.Kết quả đạt được qua việcnghiên cứu thiết bị này là hiểu được cách thức hoạt động và có khả năng triển khaithiết bị này vào trong một số hệ thống mạng bất kỳ

+Nghiên cứu về AAA server

+Nghiên cứu về cách tổ chức giám sát hoạt động của người dùng cuối như thờigian bắt đầu hay kết thúc của người dùng (accounting).Bảo mật là vấn đề rất quantrọng.Với mức độ điều khiển, thật dễ dàng để cài đặt bảo mật và quản trị mạng cóthể định nghĩa các vai trò (role) đưa ra cho user những lệnh mà họ cần để hoànthành nhiệm vụ của họ và theo dõi những thay đổi trong mạng Với khả năng log lạicác sự kiện, ta có thể có những sự điều chỉnh thích hợp với từng yêu cầu đặt ra.Tất cả những thành phần này là cần thiết để duy trì tính an toàn, bảo mật cho mạng.Với thông tin thu thập được, có thể tiên đoán việc cập nhật cần thiết theo thời gian.Yêu cầu bảo mật dữ liệu, gia tăng băng thông, giám sát các vấn đề trên mạng thôngAAA server

B Cấu trúc của đề tài.

Đề tài được chia làm 6 phần

Chương này giới thiệu về tường lủa cisco asa ,các kỹ thuật được áp dụng chotường lửu

IV Mô phỏng

Chương này mô tả quá trình hiện thực cisco asa với mô hình mạng cụ thểcho thấy tính thực tế và kiểm nghiệm đúng lý thuyết của đề tài này.Chỉ rõ chi tiếtquá trình thực nghiệm

V Kết luận chung

Chương này nêu ra những kết quả của đề tài làm được những gì và nhữngmặc hạn chế khó khăn chưa thực hiện được của đề tài

VI Hướng phát triển của đề tài

I.Tổng quan về an ninh mạng:

1.Mục tiêu an ninh mạng

Việc phát triển ngày càng tăng của mạng internet do sự thuận tiện mà nó đem lạicho con người tuy nhiên cũng kéo theo nhiều mối nguy hiểm rình rập của nhữnghacker mạng Đảm bảo cho người dùng được an toàn khi làm việc trên mạng là mụctiêu hàng đầu của an ninh mạng:

 Bảo đảm mạng nội bộ không bị xâm nhập trái phép

 Các tài liệu và thông tin quan trọng không bị rò rỉ và bị mất

 Các dịch vụ được thực hiện nhanh chóng không bị trì trệ hoặc không đượcthực hiện

 Các cuộc mua bán trên mạng diễn ra đúng với yêu cầu người dùng.

 Người dùng làm việc trên mạng không bị mạo danh, lừa đảo

nó, virus cần một máy chủ như là một bảng tính hoặc e-mail để đính kèm, lây nhiễm, và nhân rộng Có một số hiệu ứng chung của vi rút Một số virus lành tính,

và chỉ cần thông báo cho nạn nhân của họ rằng họ đã bị nhiễm bệnh Các virus ác tính tạo ra sự hủy hoại bằng cách xóa các tập tin và nếu không thì gây ra lỗi cho các máy tính bị nhiễm có chứa tài sản kỹ thuật số, chẳng hạn như hình ảnh, tài liệu, mật khẩu, và các bản báo cáo tài chính

2.2 Worm

Worm là một chương trình phá hoại quét các điểm yếu hoặc lỗ hổng bảo mậttrên các máy tính khác để khai thác các điểm yếu và nhân rộng.Worm có thể tái tạođộc lập và rất nhanh chóng

Worm khác với virus trong hai cách chính:

Virus cần một máy chủ để đính kèm và thực hiện, và sâu không yêu cầu mộtmáy chủ.Virus và sâu thường gây ra các loại khác nhau của sự hủy diệt

Virus, một khi chúng đang cư trú trong bộ nhớ, thường xóa và sửa đổi các tậptin quan trọng trên máy tính bị nhiễm bệnh Tuy nhiên, Worms có xu hướng mạngtrung tâm hơn so với máy tính trung tâm Worms có thể tái tạo một cách nhanhchóng bằng cách bắt đầu kết nối mạng để nhân rộng và gửi số lượng lớn dữ liệu.Worms cũng có thể chứa một hành khách mang theo, hoặc trọng tải dữ liệu, mà cóthể giao một máy tính mục tiêu cho các trạng thái của một zombie Zombie là mộtmáy tính có bị xâm phạm và hiện đang được kiểm soát bởi những kẻ tấn côngmạng Zombies thường được sử dụng để khởi động các cuộc tấn công mạng khác.Một bộ sưu tập lớn các zombie dưới sự điều khiển của kẻ tấn công được gọi là một

"botnet" Botnets có thể phát triển được khá lớn Botnet được xác định đã lớn hơn100.000 máy tính zombie

2.3 Trojan horse

Một con ngựa Trojan, hoặc Trojan, là phần mềm nguy hại tìm cách ngụy trangchính nó như là một ứng dụng đáng tin cậy như là một trò chơi hoặc trình bảo vệmàn hình Một khi người dùng tin cậy cố gắng để truy cập những gì có vẻ là một tròchơi vô thưởng vô phạt hoặc trình bảo vệ màn hình, các Trojan có thể bắt đầu cáchoạt động gây tổn hại như xóa các tập tin hoặc định dạng lại một ổ đĩa cứng Trojanthường không tự sao chép.Những kẻ tấn công mạng cố gắng sử dụng các ứng dụngphổ biến, chẳng hạn như iTunes của Apple, để triển khai một Trojan Ví dụ, mộtcuộc tấn công mạng sẽ gửi một e-mail với một liên kết có mục đích để tải về mộtbài hát iTunes miễn phí Trojan này sau đó sẽ bắt đầu một kết nối đến một máy chủweb bên ngoài và bắt đầu một cuộc tấn công một khi người dùng cố gắng để tải vềcác bài hát miễn phí rõ ràng

2.4 Từ chối dịch vụ.

Một cuộc tấn công từ chối dịch vụ (DoS) là một cuộc tấn công mạng có kết quảtrong việc từ chối dịch vụ bằng một ứng dụng yêu cầu như là một máy chủ web Cómột vài cơ chế để tạo ra một cuộc tấn công DoS Các phương pháp đơn giản nhất làtạo ra một lượng lớn những gì xuất hiện để được giao thông mạng hợp lệ Đây là

loại tấn công DoS mạng cố gắng để làm nghẽn các ống dẫn lưu lượng truy cậpmạng để sử dụng hợp lệ không thể có được thông qua kết nối mạng Tuy nhiên, loạiDoS thông thường cần phải được phân phối bởi vì nó thường đòi hỏi nhiều hơn mộtnguồn để tạo ra các cuộc tấn công.Một cuộc tấn công DoS lợi dụng thực tế là hệthống mục tiêu như các máy chủ phải duy trì thông tin trạng thái và có thể có kíchthước bộ đệm và dự kiến nội dung gói tin mạng cho các ứng dụng cụ thể Một cuộctấn công DoS có thể khai thác lỗ hổng này bằng cách gửi các gói có giá trị kích cỡ

và dữ liệu mà không như mong đợi của các ứng dụng nhận được.Một số loại tấncông DoS tồn tại, bao gồm các cuộc tấn công Teardrop và Ping of Death, mà gửicác gói thủ công mạng khác nhau từ những ứng dụng dự kiến và có thể gây ra sụp

đổ các ứng dụng và máy chủ Những cuộc tấn công DoS trên một máy chủ khôngđược bảo vệ, chẳng hạn như một máy chủ thương mại điện tử, có thể gây ra cácmáy chủ bị lỗi và ngăn chặn người dùng bổ sung thêm hàng vào giỏ mua sắm củahọ

2.5 Distributed Denial-of-Service

DDoS tương tự như trong ý định của cuộc tấn công DoS, ngoại trừ cuộc tấncông DDoS tạo ra nhiều nguồn tấn công Ngoài ra để tăng lượng truy cập mạng từnhiều kẻ tấn công phân phối, một cuộc tấn công DDoS cũng đưa ra những tháchthức của yêu cầu bảo vệ mạng để xác định và ngăn chặn mỗi kẻ tấn công phân phối

2.6 Spyware

Spyware là một lớp các ứng dụng phần mềm có thể tham gia vào một cuộc tấncông mạng Spyware là một ứng dụng cài đặt và vẫn còn để ẩn trên máy tính hoặcmáy tính xách tay mục tiêu Một khi các ứng dụng phần mềm gián điệp đã được bímật cài đặt, phần mềm gián điệp bắt thông tin về những gì người dùng đang làm vớimáy tính của họ Một số thông tin bị bắt bao gồm các trang web truy cập, e-mail gửi

đi, và mật khẩu sử dụng Những kẻ tấn công có thể sử dụng các mật khẩu và thôngtin bắt được để đi vào được mạng để khởi động một cuộc tấn công mạng

Ngoài việc được sử dụng để trực tiếp tham gia vào một cuộc tấn công mạng,phần mềm gián điệp cũng có thể được sử dụng để thu thập thông tin có thể đượcbán một cách bí mật Thông tin này, một lần mua, có thể được sử dụng bởi một kẻtấn công khác đó là "khai thác dữ liệu" để sử dụng trong việc lập kế hoạch cho mộtcuộc tấn công mạng khác

2.7 Phishing

Phishing là một kiểu tấn công mạng thường bắt đầu bằng cách gửi e-mail để ngườidùng không nghi ngờ Các e-mail lừa đảo cố gắng để trông giống như một thư điện tử hợppháp từ một tổ chức được biết đến và đáng tin cậy như là một trang web ngân hàng, thươngmại điện tử E-mail giả này cố gắng thuyết phục người dùng rằng một việc gì đó đã xảy ra,chẳng hạn như hoạt động đáng ngờ về tài khoản của họ, và người sử dụng phải thực hiệntheo các liên kết trong e-mail và đăng nhập vào trang web để xem thông tin người dùngcủa họ Các liên kết trong e-mail này thường là một bản sao giả của ngân hàng hoặc trangweb thương mại điện tử thực sự và các tính năng tương tự nhìn-và-cảm nhận các trang web

thực sự Các cuộc tấn công lừa đảo được thiết kế để lừa người dùng cung cấp thông tin cógiá trị như tên người dùng và mật khẩu của họ.

2.8 Dựa vào yếu tố con người

Kẻ tấn công có thể liên lạc với một người quản trị hệ thống, giả làm một người

sử dụng để yêu cầu thay đổi mật khẩu, thay đổi quyền truy nhập của mình đối với

hệ thống, hoặc thậm chí thay đổi một số cấu hình của hệ thống để thực hiện cácphương pháp tấn công khác.Với kiểu tấn công này không một thiết bị nào có thểngăn chặn một cách hữu hiệu, và chỉ có một cách giáo dục người sử dụng mạng nội

bộ về những yêu cầu bảo mật để đề cao cảnh giác với những hiện tượng đángnghi.Nói chung yếu tố con người là một điểm yếu trong bất kỳ một hệ thống bảo vệnào, và chỉ có sự giáo dục cộng với tinh thần hợp tác từ phía người sử dụng có thểnâng cao được độ an toàn của hệ thống bảo vệ

3 Các chính sách an ninh mạng

Hai hình thức chính sách bảo mật có liên quan đến bức tường lửa:

Các chính sách an ninh văn bản (đôi khi được gọi là các chính sách an ninhthông tin) để xác định những mục tiêu an ninh cho các tổ chức (bao gồm cả tườnglửa của họ)

Các chính sách quản lý và lọc nguồn và đích (đôi khi được gọi là chính sáchtường lửa hoặc thiết lập quy tắc tường lửa) để xác định cấu hình thực tế của thiết bị

3.1 Các chính sách an ninh văn bản

Chính sách an ninh văn bản tồn tại để cung cấp một lộ trình cấp cao về những gìcần phải được thực hiện để đảm bảo rằng tổ chức này có một chiến lược an ninhđược xác định tốt và ngoài sức tưởng tượng Đó là một quan niệm sai lầm phổ biến

mà một tổ chức có một chính sách an ninh Trong thực tế, chính sách bảo mật tổngthể của một tổ chức thường bao gồm nhiều chính sách bảo mật cá nhân, mà đượcghi vào địa chỉ mục tiêu cụ thể, thiết bị, hoặc các sản phẩm

Mục tiêu của một chính sách an ninh là xác định những gì cần phải được bảo vệ,

những người có trách nhiệm bảo vệ, và trong một số trường hợp như thế nào bảo vệ

sẽ xảy ra Chức năng này cuối cùng thường tách ra thành một tài liệu thủ tục độc lập

như lọc nguồn, lọc đích, hoặc quản lý truy Tóm lại, các chính sách bảo mật đơn

giản và chính xác nên vạch ra những yêu cầu cụ thể, quy tắc, và mục tiêu đó phải

được đáp ứng, để cung cấp một phương pháp đo lường của đặc điểm an ninh được

chứng thực của tổ chức

Để giúp đảm bảo rằng các chính sách bảo mật sẽ làm được điều này, suy nghĩ

của tường lửa trong điều khoản của các lớp bảo mật, với mỗi lớp có một lĩnh vực cụ

thể của hoạt động Hình 1-1 minh họa các lớp của tường lửa Như hình bên dưới

cho thấy, các bức tường lửa được chia thành bốn thành phần riêng biệt

Hình 1-1: Các lớp bảo mật tường lửa

Tại trung tâm là các lớp toàn vẹn vật lý của tường lửa, mà chủ yếu là liên quan

tới các quyền truy cập vật lý vào tường lửa, để đảm bảo quyền truy cập vật lý vào

thiết bị, chẳng hạn như thông qua một kết nối cứng là cổng console

Lớp tiếp theo là cấu hình tường lửa tĩnh, mà chủ yếu là liên quan tới truy cập

vào các phần mềm tường lửa được cấu hình tĩnh đang chạy (ví dụ, các hệ điều hành

PIX và cấu hình khởi động) Tại lớp này, chính sách bảo mật cần tập trung vào việc

xác định các hạn chế sẽ được yêu cầu để hạn chế truy cập quản trị, bao gồm cả bản

cập nhật phần mềm thực hiện và cấu hình tường lửa

Lớp thứ ba là cấu hình tường lửa động, trong đó bổ sung các cấu hình tĩnh bằng

việc có liên quan tới cấu hình động của tường lửa thông qua việc sử dụng các công

nghệ như giao thức định tuyến, lệnh ARP, giao diện và tình trạng thiết bị, kiểm

toán, nhật ký, và các lệnh tránh Mục tiêu của chính sách an ninh tại điểm này là để

Truy cập vật lýTruy cập quản trịNâng cấp phần mềmTập tin cấu hìnhCác giao thức định tuyến

Truy cập vào mạng tường lửa bảo vệ

Toàn vẹn vật lý tường lửa Cấu hình tường lửa tĩnh

Cấu hình tường lửa động Lưu lượng mạng qua tường

lửa

xác định các yêu cầu xung quanh những gì các loại cấu hình động sẽ được chophép.

Cuối cùng là lưu lượng mạng qua tường lửa, mà là thực sự những gì mà tườnglửa tồn tại để bảo vệ tài nguyên Lớp này là có liên quan tới chức năng như ACL vàthông tin dịch vụ proxy Các chính sách an ninh ở lớp này có trách nhiệm xác địnhcác yêu cầu như chúng liên quan đến lưu lượng đi qua tường lửa

Định dạng chính sách an ninh:

Để thực hiện các mục tiêu được xác định trước đó, hầu hết các chính sách bảomật tuân theo một định dạng hoặc bố trí cụ thể và các chia sẻ yếu tố thông thường Nói chung, hầu hết các chính sách an ninh chia sẻ bảy phần:

• Tổng quan: Phần tổng quan cung cấp một giải thích ngắn gọn về những địachỉ chính sách

• Mục đích: phần mục đích giải thích tại sao chính sách là cần thiết

• Phạm vi: Phần phạm vi xác định chính sách áp dụng cho những gì và xácđịnh người chịu trách nhiệm về chính sách

vật lý tường lửa và lớp bảo mật cấu hình tường lửa tĩnh Các chính sách quản lý truycập cần phải định nghĩa cho cả hai giao thức quản lý từ xa và cục bộ sẽ được chophép, cũng như đó người dùng có thể kết nối với tường lửa và có quyền truy cập đểthực hiện những tác vụ.

Ngoài ra, các chính sách quản lý truy cập cần xác định các yêu cầu đối với cácgiao thức quản lý như Network Time Protocol (NTP), syslog, TFTP, FTP, SimpleNetwork Management Protocol (SNMP), và bất kỳ giao thức khác có thể được sửdụng để quản lý và duy trì thiết bị

3.3 Chính sách lọc:

Thay vì định nghĩa bộ quy tắc thực tế tường lửa sẽ sử dụng, các chính sách lọccần phải chỉ và xác định chính xác các loại lọc mà phải được sử dụng và nơi lọcđược áp dụng Chính sách này có xu hướng để giải quyết cấu hình tường lửa tĩnh vàchi tiết trong lớp lưu lượng mạng qua tường lửa Ví dụ, một chính sách lọc tốt cầnphải yêu cầu cả hai lối vào và đi ra bộ lọc được thực hiện với các bức tường lửa.Các chính sách lọc cũng cần xác định các yêu cầu chung trong việc kết nối mạngcấp độ bảo mật và nguồn khác nhau Ví dụ, với một DMZ, tùy thuộc vào hướng củalưu lượng, các yêu cầu lọc khác nhau có thể cần thiết, và nó là vai trò của các chínhsách lọc để xác định những yêu cầu

3.4 Chính sách định tuyến:

Các chính sách định tuyến thường không phải là một tài liệu tường lửa trungtâm Tuy nhiên, với thiết kế chu vi phức tạp hơn cũng như sử dụng ngày càng tăngcủa các bức tường lửa trong mạng nội bộ, tường lửa có thể dễ dàng trở thành mộtphần của cơ sở hạ tầng định tuyến Các chính sách định tuyến cần phải có một phần

có quy định cụ thể bao gồm một tường lửa trong các cơ sở hạ tầng định tuyến vàđịnh nghĩa các phương thức trong đó các định tuyến sẽ xảy ra Chính sách này có xuhướng để giải quyết các lớp cấu hình tường tĩnh lửa và cấu hình động tường lửa.Trong hầu hết trường hợp, các chính sách định tuyến nên ngăn cấm firewall mộtcách rõ ràng từ việc chia sẻ bảng định tuyến mạng nội bộ với bất kỳ nguồn bênngoài Tương tự như vậy, các chính sách định tuyến cần xác định các trường hợptrong đó các giao thức định tuyến động và tuyến đường tĩnh là phù hợp Các chínhsách cũng nên xác định bất kỳ cơ chế bảo mật giao thức cụ thể cần phải được cấuhình, (ví dụ, việc sử dụng thuật toán băm để đảm bảo chỉ các nút được chứng thực

có thể vượt qua dữ liệu định tuyến)

3.5 C hính sách Remote-access/VPN

Trong lĩnh vực hội tụ hiện nay, sự khác biệt giữa tường lửa và bộ tập trung VPN

đã ngày càng trở nên mờ nhạt Hầu hết các thị trường tường lửa lớn có thể phục vụnhư là điểm kết thúc cho VPN, và do đó chính sách remote-access/VPN cần thiếtxác định các yêu cầu về mức độ mã hóa và xác thực rằng một kết nối VPN sẽ yêucầu Trong nhiều trường hợp, các chính sách VPN kết hợp với chính sách mã hóacủa tổ chức xác định phương pháp VPN tổng thể sẽ được sử dụng Chính sách này

có xu hướng để giải quyết các lớp cấu hình tường lửa tĩnh và lưu lượng mạng quatường lửa

Các chính sách remote-access/VPN cũng cần xác định các giao thức sẽ được sửdụng: IP Security (IPsec), Layer 2 Tunneling Protocol (L2TP), hoặc Point-to-PointTunneling Protocol (PPTP) Trong hầu hết trường hợp, IPsec được sử dụng riêngbiệt Giả sử IPsec, chính sách remote-access/VPN cần phải yêu cầu sử dụng của các

preshared keys, chứng thực mở rộng, với việc sử dụng giấy chứng nhận, mật khẩumột lần, và Public Key Infrastructure (PKI) cho môi trường an toàn nhất Tương tựnhư vậy, các chính sách remote-access/VPN nên xác định những khách hàng sẽđược sử dụng (có nghĩa là, trong xây dựng- Microsoft VPN Client, Cisco SecureVPN Client, vv).

Cuối cùng, các chính sách remote-access/VPN cần xác định các loại truy cập vàcác nguồn lực sẽ được cung cấp để kết nối từ xa và các loại kết nối từ xa sẽ đượccho phép

3.6 Chính sách giám sát / ghi nhận:

Một trong những yếu tố quan trọng nhất đảm bảo rằng một tường lửa cung cấpmức bảo mật được mong đợi là thực hiện một hệ thống giám sát tường lửa Chínhsách giám sát / ghi nhận xác định các phương pháp và mức độ giám sát sẽ đượcthực hiện Tối thiểu, các chính sách giám sát / ghi nhận cần cung cấp một cơ chế đểtheo dõi hiệu suất của tường lửa cũng như sự xuất hiện của tất cả các sự kiện liênquan đến an ninh và các mục đăng nhập Chính sách này có xu hướng để giải quyếtcác lớp cấu hình tường lửa tĩnh

Chính sách giám sát / ghi nhận cũng nên xác định cách các thông tin phải đượcthu thập, duy trì, và báo cáo Trong nhiều trường hợp, thông tin này có thể được sửdụng để xác định các yêu cầu quản lý của bên thứ ba và các ứng dụng theo dõi nhưCiscoWorks, NetIQ Security Manager, hoặc Kiwi Syslog Daemon

3.7 Chính sách vùng DMZ:

Các chính sách DMZ là một văn bản diện rộng để xác định tất cả các yếu tố củakhông chỉ chính DMZ mà còn các thiết bị trong DMZ Mục tiêu của chính sáchDMZ là xác định các tiêu chuẩn và yêu cầu của tất cả các thiết bị và kết nối và lưulượng giao thông vì nó liên quan đến DMZ Chính sách này có xu hướng để giảiquyết các lớp cấu hình tường lửa tĩnh và lưu lượng mạng qua tường lửa

Do sự phức tạp của môi trường DMZ điển hình, các chính sách DMZ là có khảnăng sẽ là một tài liệu lớn nhiều trang Để giúp đảm bảo rằng các chính sách DMZthiết thực và hiệu quả, điển hình là ba tiêu chuẩn cần được xác định rộng rãi cho tất

cả các thiết bị liên quan đến DMZ, kết nối, và lưu lượng giao thông:

• Trách nhiệm quyền sở hữu

• Yêu cầu cấu hình an toàn

• Yêu cầu hoạt động và kiểm soát thay đổi

3.8 Chính sách có thể áp dụng thông thường:

Ngoài các chính sách tường lửa cụ thể, có nhiều chính sách có thể áp dụng thôngthường, mặc dù không phải là tường lửa cụ thể (đã ứng dụng trên nhiều thiết bị,không chỉ là tường lửa) dù sao cũng nên được áp dụng đối với tường lửa Chúngbao gồm những điều sau đây:

Chính sách mật khẩu: chính sách mật khẩu của công ty nên được để cập đếnkhông chỉ xác định truy cập quản trị tường lửa, mà còn để sử dụng trong việc tạo rapreshared secrets, bảng băm, và các chuỗi cộng đồng

Chính sách mã hóa: chính sách mã hóa của công ty nên được đề cập đến để xácđịnh tất cả các hình thức truy cập mã hóa, bao gồm Hypertext Transfer Protocol,Secure (HTTPS), Secure Sockets Layer (SSL), Secure Shell (SSH), và truy cậpIPsec / VPN

Chính sách kiểm định: chính sách kiểm định của công ty phải được đề cập đểxác định các yêu cầu kiểm định của tường lửa

Chính sách đánh giá rủi ro: chính sách đánh giá rủi ro của công ty cần được đềcập để xác định phương pháp sẽ được sử dụng để xác định các rủi ro liên quan với

hệ thống tất cả thêm, di chuyển, và thay đổi vì nó liên quan đến tường lửa và chu vimạng trong toàn thể

Dưới đây là một số công việc cần thiết cho người quản trị mạng:

• Ghi nhận và xem lại nhật ký tường lửa thường xuyên

• Tạo ACL đi vào thật chi tiết, cụ thể

• Bảo vệ vùng DMZ về nhiều phía

• Thận trọng với lưu lượng ICMP

• Giữ mọi lưu lượng quản lý firewall được bảo mật

• Xem lại các quy tắc tường lửa định kỳ

kỹ thuật số như là một phần của cơ sở hạ tầng khoá công khai (PKI) sẽ trở thành bộxác thực được ưa thích trên Internet.

Các khía cạnh quan trọng của chứng thực là nó cho phép hai đối tượng duy nhất

để hình thành một mối quan hệ tin cậy - cả hai đều giả định là người dùng hợp lệ

Sự tin tưởng giữa các hệ thống cho phép cho các chức năng quan trọng như các máychủ proxy, trong đó một hệ thống chấp nhận một yêu cầu thay mặt cho một hệthống khác và cho phép AAA thực thi nối các mạng không đồng nhất hỗ trợ các loạimáy khách và dịch vụ khác nhau Mối quan hệ tin tưởng có thể trở nên khá phứctạp

1.1.2 Ủy quyền (Authorization)

Ủy quyền liên quan đến việc sử dụng một bộ quy tắc hoặc các mẫu để quyếtđịnh những gì một người sử dụng đã chứng thực có thể làm trên hệ thống Ví dụ,trong trường hợp của một nhà cung cấp dịch vụ Internet, nó có thể quyết định liệumột địa chỉ IP tĩnh được cho là trái ngược với một địa chỉ DHCP được giao Cácquản trị hệ thống định nghĩa những quy tắc này

Cái gọi là "triển khai thông minh" của các máy chủ AAA có logic rằng sẽ phântích yêu cầu và cấp quyền truy cập bất cứ điều gì có thể, có hoặc không phải là toàn

bộ yêu cầu là hợp lệ Ví dụ, một máy khách quay số kết nối và yêu cầu nhiều liênkết Một máy chủ AAA chung chỉ đơn giản là sẽ từ chối toàn bộ yêu cầu, nhưngmột sự thực thi thông minh hơn sẽ xem xét yêu cầu, xác định rằng máy khách chỉđược phép một kết nối dial-up, và cấp một kênh trong khi từ chối các yêu cầu khác

1.1.3 Kế toán (Accounting).

Làm tròn các khuôn khổ AAA là kế toán, mà các tài nguyên giới hạn và văn bảnngười dùng tận dụng trong quá trình truy cập Điều này có thể bao gồm số lượngthời gian hệ thống hoặc số lượng dữ liệu người dùng đã gửi và/hoặc nhận đượctrong phiên Kế toán được thực hiện bởi ghi nhận thống kê của phiên và thông tin

sử dụng và được sử dụng để kiểm soát ủy quyền, thanh toán, phân tích xu hướng, sửdụng tài nguyên, và năng lực lập kế hoạch hoạt động

Dữ liệu kế toán đã sử dụng nhiều Một quản trị viên có thể phân tích các yêu cầuthành công để xác định năng lực và dự báo phụ tải hệ thống trong tương lai Mộtchủ doanh nghiệp có thể theo dõi thời gian dành cho các dịch vụ nhất định và hóađơn cho phù hợp Một phân tích bảo mật có thể xem xét các yêu cầu từ chối, xemnếu một mẫu xuất hiện, và có thể tránh một hacker hoặc người tải miễn phí Các dữliệu kế toán là các tiện ích tuyệt vời cho một quản trị viên máy chủ AAA

1.2 Các điểm chính của kiến trúc AAA:

Các kiến trúc AAA đơn giản là một cố gắng vạch ra một thiết kế như thế nàomỗi phần AAA phù hợp với nhau AAA triển khai thực hiện có thể đơn giản hayphức tạp như nó cần, chủ yếu là do sự nỗ lực của nhóm chuyên nghiên cứu Internet(IRTF) làm việc theo nhóm kiến trúc AAA để thực hiện một mô hình như ứng dụngtrung lập như có thể Nói cách khác, mô hình AAA được thiết kế để làm việc trongmôi trường có yêu cầu người sử dụng khác nhau và đều thay đổi thiết kế mạng Cómột số thuộc tính quan trọng của mô hình làm nó có thể thực hiện được

Trước tiên, mô hình AAA phụ thuộc vào sự tương tác máy khách / máy chủ,trong đó một hệ thống máy khách yêu cầu các dịch vụ hoặc tài nguyên của một hệ

thống máy chủ Trong triển khai thực hiện đơn giản, những vai trò này thường kẹt máy chủ không bao giờ hoạt động như các máy khách và ngược lại Môi trườngmáy khách / máy chủ cho phép một thiết kế cân bằng tải tốt, trong đó tính sẵn sàngcao và thời gian phản hồi rất quan trọng Máy chủ có thể được phân phối và phâncấp giữa các mạng Tương phản này với mô hình mạng đối diện, một mạng nganghàng (P2P) Với các mạng P2P, tất cả các hệ thống hiển thị đặc tính của cả hai hệthống máy khách và máy chủ, có thể giới thiệu những điểm như độ trễ và chưa sẵnsàng xử lý.

-Một khả năng proxy là một biến thể nhỏ về điều này -Một máy chủ AAA có thểđược cấu hình để ủy quyền cho một yêu cầu hoặc vượt qua nó cùng với một máychủ AAA, sau đó sẽ làm cho các quy định thích hợp hoặc vượt qua nó cùng một lầnnữa Về bản chất, một chuỗi proxy được tạo ra, trong đó các máy chủ AAA cónhững yêu cầu của cả máy khách và các máy chủ AAA khác Khi một máy chủproxy server khác, người khởi tạo hiển thị các đặc tính của máy khách Như vậy,một mối quan hệ tin cậy đã được tạo ra cho mỗi bước truyền máy khách / máy chủcho đến khi đạt yêu cầu thiết bị quy định các nguồn lực cần thiết

Proxy là một tính năng rất hữu ích của mô hình AAA và có lợi cho doanhnghiệp và triển khai mạng lưới phân phối, trong đó một số thiết bị AAA có thể đượccấu hình để yêu cầu luôn ủy quyền cho các máy tại các địa điểm khác Một ví dụ về

ủy quyền tốt nhất là với một thỏa thuận người bán lại ISP Thường thì một công tymạng lớn sẽ đầu tư đáng kể cơ sở hạ tầng mạng và các điểm diễn ra sự hiện diện ởnhiều địa điểm Trang bị mạng lưới phân phối, công ty sau đó bán lại cho các ISPnhỏ hơn có nhu cầu mở rộng phạm vi bảo hiểm của họ và tận dụng lợi thế của mộtmạng lưới tốt hơn đại lý bán lẻ có để cung cấp một số hình thức kiểm soát truy cậptrên các nguồn tài nguyên hữu hình ở mỗi vị trí, nhưng các ISP nhỏ hơn khôngmuốn chia sẻ thông tin cá nhân về người dùng của mình với các đại lý bán lẻ Trongtrường hợp này, một máy AAA proxy được đặt tại mỗi điểm của đại lý bán lẻ của

sự hiện diện, và những máy sau đó giao tiếp với các thiết bị NAS thích hợp tại cácISP nhỏ hơn

Máy khách yêu cầu dịch vụ và nguồn tài nguyên từ một máy chủ AAA (và trongtrường hợp này, máy khách có thể bao gồm AAA proxy) có thể giao tiếp với nhaubằng cách sử dụng hoặc là một giao dịch hop-to-hop hoặc một giao dịch end-to-end

Sự phân biệt là nơi mà các mối quan hệ tin cậy nằm trong chuỗi giao dịch Xem xétcác trường hợp sau đây để có được một hình ảnh tốt hơn.

Trong một giao dịch hop-to-hop, một máy khách gửi một yêu cầu ban đầu chomột thiết bị AAA Tại thời điểm này, có một mối quan hệ tin cậy giữa máy khách

và máy chủ AAA tuyến đầu Máy đó xác định yêu cầu cần phải được chuyển tiếpđến một máy chủ khác ở một vị trí khác nhau, do đó, nó hoạt động như một proxy

và địa chỉ liên lạc một máy chủ AAA Bây giờ các mối quan hệ tin tưởng là với haimáy chủ AAA, với các máy tính tiền tuyến hoạt động như các máy khách và máyAAA thứ hai đóng vai trò là máy chủ Điều quan trọng cần lưu ý rằng mối quan hệtin tưởng không phải là vốn đã hiểu ngầm, có nghĩa là các máy khách ban đầu vàcác máy AAA thứ hai không có một mối quan hệ tin tưởng Hình 2-1 cho thấy sựtin tưởng là tuần tự và độc lập với nhau

Hình 2-1:Mối quan hệ tin tưởng độc lập trong một giao dịch

hop-to-hopKhác với mô hình hop-to-hop là phương pháp giao dịch end-to-end Sự khácbiệt chính là, một lần nữa, nơi mà các mối quan hệ tin cậy nằm trong mô hình này,

đó là giữa máy khách yêu cầu và máy chủ AAA mà cuối cùng cho phép các yêucầu Trong một mô hình end-to-end, chuỗi proxy vẫn còn rất nhiều chức năng như

là mô hình không có nghĩa là các giao dịch end-to-end: đó là mối quan hệ tin tưởng.Bởi vì nó là thiết kế không đáng kể để truyền thông tin nhạy cảm trong các yêu cầuproxy, một số có ý nghĩa khác của chứng thực một yêu cầu và xác nhận tính toànvẹn dữ liệu là cần thiết khi nhảy yêu cầu ban đầu thông qua các bước nhảy trong

Máy chủ AAA phê duyệt

Mối quan hệ tin tưởng Mối quan hệ tin tưởng

Máy khách

Yêu cầu Proxies Yêu cầu Proxies

chuỗi proxy Thông thường nhất, giấy chứng nhận kỹ thuật số và PKI xác nhậnkhác được sử dụng trong các tình huống này RFC 2903 và 2905 mô tả các yêu cầucủa việc thực hiện an ninh end-to-end, được thể hiện trong hình 2-2.

Hình 2-2:Mối quan hệ tin tưởng máy khách/máy chủ trong mô

hình end-to-end

2 Kiến trúc RADIUS:

2.1 Sử dụng UDP hay TCP:

RADIUS đã chính thức được giao cổng UDP 1812 cho RADIUS Authentication

và 1813 cho RADIUS Accounting bởi Internet Assigned Numbers Authority(IANA) Tuy nhiên, trước khi IANA phân bổ các cổng 1812 và 1813, cổng 1645 và

1646 (xác thực và kế toán tương ứng) đã được sử dụng không chính thức và trởthành các cổng mặc định do nhiều máy chủ và máy khách RADIUS triển khai trongthời gian này Truyền thống của việc sử dụng 1645 và 1646 để tiếp tục tương thíchngược trở lại cho đến ngày nay Vì lý do này nhiều máy chủ RADIUS triển khaigiám sát cả hai bộ cổng UDP cho các yêu cầu RADIUS Các máy chủ RADIUSMicrosoft mặc định 1812 và 1813 nhưng mặc định các thiết bị Cisco là cổng truyềnthống1645 và 1646 Các máy chủ RADIUS Juniper Networks lắng nghe trên cả haicổng chính thức và không chính thức 1645, 1812, 1646 và 1813 mặc định nhưng cóthể được cấu hình với các cổng bất kỳ

Đối với yêu cầu hoạt động hoàn toàn, UDP được chọn chủ yếu bởi RADIUS cómột vài đặc tính cố hữu là đặc trưng của UDP: RADIUS yêu cầu không truy vấn tới

Máy chủ AAA phê duyệt Máy chủ AAA Máy chủ AAA cuối

trung gianYêu cầu Proxies Yêu cầu Proxies

Không có mối quan

hệ tin tưởng nào giữa các máy chủ Proxy

Mối quan hệ tin tưởng Máy khách

một máy chủ xác thực chính được chuyển hướng đến một máy chủ thứ cấp, và đểlàm điều này, một bản sao của yêu cầu ban đầu phải tồn tại trên tầng giao vận trong

mô hình OSI Điều này, có hiệu lực, nhiệm vụ sử dụng các bộ định giờ phát lại.Các giao thức đặt cược vào sự kiên nhẫn của người dùng chờ đợi một phản ứng

Nó giả định một số mặt trung bình giữa nhanh như chớp và chậm như mật đường.Các RFC RADIUS mô tả là tốt nhất: "Tại một mức độ cao, RADIUS không đòi hỏimột" đáp trả" phát hiện dữ liệu bị mất Người sử dụng sẵn sàng chờ đợi vài giây choviệc chứng thực hoàn thành Phát lại TCP thường (dựa trên trung bình thời gian đivòng) không được yêu cầu, cũng không phải là các chi phí xác nhận của TCP Ởmức độ cao khác, người dùng không sẵn sàng chờ đợi vài phút để xác thực Do đóviệc cung cấp đáng tin cậy của dữ liệu TCP hai phút sau đó không hữu ích Việc sửdụng nhanh hơn của máy chủ thay thế cho phép người dùng truy cập trước khi bỏcuộc."

Kể từ khi RADIUS là không quốc tịch , UDP có vẻ tự nhiên, như UDP cũng làkhông quốc tịch Với TCP, máy và máy chủ phải có mã đặc biệt hoặc cách giảiquyết hành chính để giảm thiểu những ảnh hưởng của tổn thất điện năng, khởi độnglại, lưu lượng mạng lớn, và ngừng hoạt động của hệ thống UDP ngăn ngừa đượcvấn đề hóc búa này vì nó cho phép một phiên mở và vẫn mở trong suốt toàn bộ giaodịch

Để cho phép hệ thống nặng nề sử dụng và giao thông trên mặt sau, mà đôi khi cóthể trì hoãn các truy vấn và tìm kiếm hơn 30 giây hoặc nhiều hơn, nó đã được xácđịnh rằng RADIUS là đa luồng UDP cho phép RADIUS sản sinh để phục vụ nhiềuyêu cầu tại một thời điểm, và mỗi phiên đầy, khả năng giao tiếp không có giới hạngiữa các thiết bị mạng và máy khách Vì vậy, UDP là phù hợp

Nhược điểm duy nhất khi sử dụng UDP là các nhà phát triển phải tự tạo và quản

lý giờ phát lại, khả năng này được xây dựng vào TCP Tuy nhiên, nhóm RADIUScảm thấy rằng đây là một nhược điểm ít ảnh hưởng hơn so với sự tiện lợi và đơngiản của việc sử dụng UDP Và vì thế UDP được sử dụng

2.2 Định dạng gói tin RADIUS:

Các giao thức RADIUS sử dụng gói tin UDP để vượt qua được truyền đi giữamáy trạm và máy chủ Giao thức giao tiếp trên cổng 1812, đó là một thay đổi từ tài

liệu gốc RFC RADIUS Các phiên bản đầu tiên xác định rằng truyền thôngRADIUS đã diễn ra trên cổng 1645, nhưng sau này đã phát hiện xung đột với dịch

2.2.1 Mã

Trường mã dài một octet và dùng để phân biệt các loại tin nhắn RADIUS đượcgửi trong gói đó Các gói tin với các lĩnh vực mã không hợp lệ được ném đi màkhông thông báo Mã số hợp lệ là:

2.2.3 Độ dài:

Các khu vực có chiều dài là hai octet và được sử dụng để chỉ định độ dài gói tinRADIUS được phép Giá trị trong lĩnh vực này được tính bằng cách phân tích mã,nhận dạng, chiều dài, thẩm định, và các lĩnh vực thuộc tính và việc tìm kiếm tổnghợp của chúng Các lĩnh vực được kiểm tra chiều dài khi một máy chủ RADIUSnhận được một gói tin để đảm bảo toàn vẹn dữ liệu Giá trị hợp lệ chiều dài khoảng

từ 20 đến 4096

Các đặc điểm kỹ thuật RFC đòi hỏi những hoạt động nhất định của các máy chủRADIUS có liên quan đến chiều dài dữ liệu không chính xác Nếu máy chủRADIUS nhận được một hộp với một tin nhắn dài hơn so với lĩnh vực chiều dài, nó

sẽ bỏ qua tất cả các dữ liệu qua các điểm cuối được chỉ định trong lĩnh vực chiều

dài Ngược lại, nếu máy chủ nhận được một tin nhắn ngắn hơn so với độ dài lĩnhvực báo cáo, máy chủ sẽ loại bỏ các tin nhắn.

2.2.4 Bộ xác thực:

Các khu vực thẩm định, thường dài 16 octet, là lĩnh vực mà trong đó sự toàn vẹncủa tải trọng của tin nhắn được kiểm tra và xác minh Trong lĩnh vực này, các octetquan trọng nhất được truyền trước bất kỳ octet khác – một giá trị được sử dụng đểtrả lời xác thực từ máy chủ RADIUS Giá trị này cũng được sử dụng trong cơ chế

để che giấu mật khẩu

Có hai loại hình cụ thể của các giá trị xác thực: các giá trị yêu cầu và đáp ứng.Yêu cầu các bộ xác thực được sử dụng với các gói yêu cầu xác thực và Accounting-Request Trong các giá trị yêu cầu, lĩnh vực này dài 16 octet và được tạo ra trên cơ

sở hoàn toàn ngẫu nhiên để ngăn chặn bất kỳ cuộc tấn công Trong khi RADIUSkhông làm một điều khoản để bảo vệ thông tin liên lạc đối với nghe lén và bắt góitin, các giá trị ngẫu nhiên kết hợp với một mật khẩu mạnh làm cho tấn công và rình

mò khó khăn

Việc xác thực đáp trả được sử dụng trong gói Access-Accept, Access-Reject, vàAccess-Challenge Giá trị được tính bằng cách sử dụng mã băm MD5 một chiềuđược tạo ra từ các giá trị của mã này, nhận dạng, chiều dài, và yêu cầu chứng thựccác vùng của tiêu đề gói tin, tiếp theo là trọng tải gói dữ liệu và bí mật được chia sẻ

2.3 Phân loại gói tin:

Có bốn loại gói tin RADIUS có liên quan đến các giai đoạn thẩm định và ủyquyền của các giao dịch AAA và hai gói tin liên quan tới quá trình kế toán:

Các gói tin Access-Request được sử dụng bởi người tiêu dùng dịch vụ khi được

đề nghị một dịch vụ cụ thể từ mạng Máy khách gửi một gói tin yêu cầu đến máychủ RADIUS với một danh sách các dịch vụ yêu cầu Các yếu tố quan trọng trongviệc truyền này là trường mật mã trong tiêu đề gói: nó phải được đặt là 1, giá trị duynhất của các gói yêu cầu Các RFC cho thấy các gói trả lời phải được gửi đến tất cảcác gói yêu cầu hợp lệ, trả lời là xác thực hay từ chối

Các tải trọng của gói tin Access-Request nên bao gồm các thuộc tính tên ngườidùng để xác định những người cố gắng truy cập vào các tài nguyên mạng Trọng tảiđược yêu cầu phải có các địa chỉ IP hoặc tên tiêu chuẩn của các thiết bị mạng mà từ

đó nó được yêu cầu dịch vụ Nó cũng có chứa một mật khẩu người dùng, mật khẩudựa trên một CHAP, hoặc một định danh, nhưng không phải cả hai loại mật khẩu.Các mật khẩu người dùng phải được băm bằng cách sử dụng MD5

Về cơ bản, các gói dữ liệu mới cần phải được tạo ra bất cứ khi nào thuộc tínhđược thay đổi, kể từ khi xác định các thông tin được thay đổi Các thuộc tính vớinhững bí mật được chia sẻ, cần phải được đảo ngược bởi các máy chủ proxy (để cóđược những thông tin tải trọng ban đầu) và sau đó mã hóa một lần nữa với bí mật

mà máy chủ proxy chia sẻ với máy chủ từ xa

Cấu trúc gói tin Access-Request được thể hiện trong hình 2-4

Hình 2-4: Một gói tin Access-Request điển hình

2.3.2 Access-Accept:

Các gói tin Access-Accept được gửi bởi máy chủ RADIUS tới máy khách đểxác nhận rằng yêu cầu của máy khách được chấp nhận Nếu tất cả các yêu cầu trongcác tải trọng Access-Request được chấp nhận, sau đó các máy chủ RADIUS phảithiết lập trường mật mã gói tin trả lời là 2 Các máy khách khi nhận được gói chấpnhận, phù hợp nó với các gói tin trả lời bằng cách sử dụng trường nhận dạng Cácgói không theo tiêu chuẩn này được bỏ đi

NAS ID hoặc name (Tùy biến)

MD5 user password hoặc CHAP PWD

Tất nhiên, để đảm bảo rằng các gói tin yêu cầu và chấp nhận phù hợp như đãnói, để đảm bảo các đáp trả chấp nhận được gửi trong các gói tin trả lời yêu cầutương ứng, trường định danh trong tiêu đề gói Access-Accept phải có một giá trịgiống hệt giá trị của trường định danh trong gói Access-Request.

Các gói tin Access-Accept có thể chứa nhiều hay ít thông tin thuộc tính như là

nó cần phải bao gồm Nhiều khả năng các thông tin thuộc tính trong gói này sẽ mô

tả các loại hình dịch vụ đã được xác thực và ủy quyền để máy khách có thể đặtmình lên để sử dụng các dịch vụ Tuy nhiên, nếu không có thông tin thuộc tínhđược bao gồm, máy khách giả định rằng các dịch vụ nó yêu cầu là những thứ đượcchấp nhận

Cấu trúc gói tin Access-Accept được hiển thị trong hình 2-5

Hình 2-5: Gói tin Access-Accept điển hình

2.3.3 Access-Reject:

Máy chủ RADIUS được yêu cầu gửi một gói tin Access-Reject lại cho máykhách nếu nó phải từ chối bất kỳ dịch vụ được yêu cầu trong các gói tin Access-Request Sự từ chối này có thể được dựa trên chính sách hệ thống, đặc quyền chưađầy đủ, hoặc bất kỳ các tiêu chuẩn khác - phần lớn điều này là một chức năng củacác thực hiện cá nhân Gói Access-Reject có thể được gửi tại bất kỳ thời gian trongmột phiên, làm cho chúng lý tưởng cho việc thi hành giới hạn thời gian kết nối Tuynhiên, không phải tất cả thiết bị hỗ trợ nhận được gói Access-Reject trong một kếtnối được thiết lập sẵn

Các tải trọng cho loại gói tin được giới hạn trong hai thuộc tính cụ thể: các thuộctính tin nhắn trả lời và thuộc tính trạng thái Proxy Trong khi các thuộc tính này cóthể xuất hiện nhiều hơn một lần trong tải trọng của gói tin, ngoài trừ bất kỳ thuộctính nhà cung cấp cụ thể, không có các thuộc tính khác được cho phép, theo các đặcđiểm kỹ thuật RFC, để được bao gồm trong gói tin

Cấu trúc gói tin Access-Reject được thể hiện trong hình 2-6

Mã

(2)

Từ định danh

(Duy nhất mỗi lần truyền)

Độ dài

(Tiêu đề và tải trọng) Bộ xác thực (Phản hồi)

= Mã + ID + độ dài + bộ xác thực yêu cầu + thuộc tính và khóa bí mật

Các thuộc tính: Hoàn toàn không bắt buộc Các dịch vụ ủy quyền

(Tùy biến)

Hình 2-6: Gói tin Access-Reject điển hình

Cần lưu ý rằng một số máy khách không hỗ trợ các quá trình thử thách / đáp ứngnhư thế này, trong trường hợp đó, máy khách xử lý các gói tin Access-Challengenhư là một gói tin Access-Reject Một số máy khách, tuy nhiên, hỗ trợ thử thách, vàlúc đó tin nhắn có thể được trao cho người sử dụng tại máy khách yêu cầu thêmthông tin xác thực, nó không cần thiết trong tình hình đó đặt ra một vòng các gói tinyêu cầu / đáp trả khác

Giống như các gói tin Access-Reject, chỉ có hai thuộc tính tiêu chuẩn có thểđược bao gồm trong một gói tin Access-Challenge : thuộc tính trạng thái và tin nhắntrả lời Bất kỳ các thuộc tính nhà cung cấp cụ thể cần thiết có thể được bao gồm làtốt Các thuộc tính tin nhắn trả lời có thể được bao gồm trong gói nhiều lần, nhưngcác thuộc tính trạng thái được giới hạn trong một trường hợp duy nhất Các thuộctính trạng thái được sao chép không thay đổi vào gói Access-Request được trả vềcho máy chủ thử thách

Cấu trúc gói tin Access-Challenge được thể hiện trong hình 2-7

Hình 2-7: Gói tin Access-Challenge điển hình

Mã

(3)

Từ định danh

(Duy nhất mỗi lần truyền)

Độ dài

(Tiêu đề và tải trọng) Bộ xác thực (Phản hồi)

= MD5(Mã + ID + độ dài + bộ xác thực yêu cầu + thuộc tính và khóa bí mật)

Các thuộc tính: Không bắt buộc Giới hạn: reply-message

Proxy message (cả hai có thể xuất hiện nhiều lần)

Độ dài

(Tiêu đề và tải trọng) Bộ xác thực (Phản hồi)

Các thuộc tính: Không bắt buộc Giới hạn: state

Reply-message (cả hai có thể gắn nhiều lần)

(Tùy biến)

2.3.5 Accounting-Request:

Các gói Accounting-Request được gửi từ một máy khách (thường là một máychủ truy cập mạng (NAS) hoặc proxy của nó) tới một máy chủ kế toán RADIUS, vàtruyền đạt thông tin sử dụng để cung cấp kế toán cho một dịch vụ cung cấp chongười dùng Các máy khách truyền một gói tin RADIUS với trường mã thiết lập là

4 (Accounting-Request)

Khi nhận được một Accounting-Request, máy chủ phải trả lời bằng góiAccounting-Response nếu nó ghi lại các gói tin kế toán thành công, và không phảitrả lời bất kỳ gói nào nếu nó ghi lại các gói tin kế toán thất bại

Bất kỳ thuộc tính hợp lệ trong một gói Access-Request hoặc Access-AcceptRADIUS là hợp lệ trong một gói Accounting-Request RADIUS, ngoại trừ các thuộctính sau đây không phải có mặt trong một Accounting-Request: mật khẩu ngườidùng, mật khẩu CHAP, tin nhắn trả lời, trạng thái Hoặc địa chỉ IP NAS hoặc nhậndạng NAS phải được hiện diện trong một gói Accounting-Request RADIUS Nónên chứa một thuộc tính cổng NAS hoặc loại cổng NAS hoặc cả hai trừ khi các dịch

vụ không liên quan đến một cổng hoặc NAS không phân biệt giữa các cổng của nó.Nếu các gói tin Accounting-Request bao gồm một địa chỉ IP khung, thuộc tính

đó phải chứa địa chỉ IP của người dùng Nếu Access-Accept sử dụng các giá trị đặcbiệt cho địa chỉ IP khung nói với NAS để chuyển nhượng hoặc thương lượng mộtđịa chỉ IP cho người dùng, các địa chỉ IP khung (nếu có) trong Accounting-Requestphải có các địa chỉ IP thực tế được giao hoặc thương lượng

Hình 2-8: Gói tin Accounting-Request điển hình

• Mã: 4 – Accounting-Request

• Định danh: Các trường nhận dạng phải được thay đổi bất cứ khi nào nộidung của trường thuộc tính thay đổi, và bất cứ khi nào trả lời hợp lệ đã được nhậncho một yêu cầu trước đó Đối với việc truyền lại nơi mà nội dung giống hệt nhau,việc phải nhận dạng không thay đổi

Mã

(4)

Từ định danh

(Duy nhất) Độ dài

(Tiêu đề và tải trọng) Bộ xác thực (Yêu cầu)

Các thuộc tính: Chứa danh sách các thuộc tính

(Tùy biến)

Lưu ý rằng nếu Acct-Delay-Time được bao gồm trong các thuộc tính của mộtgiá trị Accounting-Request sau đó giá trị Acct-Delay-Time sẽ được cập nhật khi gói

dữ liệu được truyền lại, thay đổi nội dung của các trường thuộc tính và đòi hỏi mộtnhận dạng mới và xác thực yêu cầu

• Xác thực yêu cầu: Các xác thực yêu cầu của một Accounting-Request chứamột giá trị mảng băm MD5 16 octet tính theo phương pháp mô tả trong "Xác thựcyêu cầu" ở trên

• Thuộc tính: Các trường thuộc tính thay đổi trong chiều dài, và có một danhsách các thuộc tính

2.3.6 Accounting-Response:

Gói tin Accounting-Response được gửi bởi máy chủ kế toán RADIUS cho máykhách để xác nhận rằng các Accounting-Request đã được nhận và ghi nhận thànhcông Nếu Accounting-Request đã được ghi lại thành công sau đó máy chủ kế toánRADIUS phải chuyển một gói tin với các trường mã thiết lập là 5 (Accounting-Response) Khi gói tin Accounting-Response được tiếp nhận bởi máy khách, trườngnhận dạng trùng khớp với một Accounting-Request chờ xử lý Trường phải xácthực phản hồi phải chứa các phản hồi chính xác cho các Accounting-Request chờ

xử lý Gói tin không hợp lệ được âm thầm bỏ đi

Một gói Accounting-Response RADIUS không bắt buộc phải có những thuộctính trong đó

Hình 2-9: Gói tin Accounting-Response điển hình

Mã

(5)

Từ định danh

(Duy nhất) Độ dài

(Tiêu đề và tải trọng) Bộ xác thực (Phản hồi)

Các thuộc tính: Chứa hoặc không chứa danh sách các thuộc tính

(Tùy biến)

• Thuộc tính: Các trường thuộc tính thay đổi trong chiều dài, và có một danhsách trống hay nhiều thuộc tính.

2.4 Bí mật chia sẻ:

Để tăng cường an ninh và tăng tính toàn vẹn giao dịch, giao thức RADIUS sửdụng khái niệm bí mật chia sẻ Bí mật chia sẻ là những giá trị tạo ra một cách ngẫunhiên mà cả hai máy khách và máy chủ đều biết (vì thế mà gọi "chia sẻ") Những bímật chia sẻ được sử dụng trong tất cả các hoạt động có yêu cầu dữ liệu ẩn và giá trịche giấu Giới hạn kỹ thuật duy nhất là những bí mật chia sẻ phải có chiều dài lớnhơn 0, nhưng RFC khuyến cáo rằng các bí mật ít nhất là 16 octet Một bí mật có độdài đó là hầu như không thể bẻ với phương pháp vét cạn

Bí mật chia sẻ (thường chỉ gọi là "bí mật") là duy nhất với một cặp máy khách

và máy chủ RADIUS nói riêng Ví dụ, nếu một người sử dụng đăng ký nhiều nhàcung cấp dịch vụ Internet để truy cập quay số, người dùng này đã gián tiếp tạo cácyêu cầu tới nhiều máy chủ RADIUS Những bí mật chia sẻ giữa thiết bị NAS máykhách tại các ISP A, B, và C được sử dụng để giao tiếp với các máy chủ RADIUStương ứng không phù hợp

Trong khi một số triển khai RADIUS quy mô lớn hơn có thể tin rằng bảo vệ anninh giao dịch bằng cách sử dụng một sự thay đổi bí mật chia sẻ tự động là mộtbước đi thận trọng, có một khó khăn tiềm ẩn khá lớn: không có sự bảo đảm các máykhách và các máy chủ có thể đồng bộ hóa với các bí mật chia sẻ mới trong thời gianthích hợp nhất Và ngay cả khi nó đã được chắc chắn rằng các đồng bộ hóa đồngthời có thể xảy ra, nếu còn tồn tại các yêu cầu tới các máy chủ RADIUS và máykhách đang bận xử lý (và, do đó, nó bỏ lỡ thời cơ để đồng bộ hóa các bí mật mới),sau đó những yêu cầu còn tồn tại sẽ bị từ chối bởi máy chủ

2.5 Các thuộc tính và giá trị:

2.5.1 Các thuộc tính:

Số1-255

Độ dài

>3

Giá trị

Phụ thuộc vào số thuộc tính

Các thuộc tínhTiêu đề

Tải trọng

Hình 2-10: Mẫu truyền các cặp giá trị thuộc tính (AVP) tiêu

chuẩn

• Số thuộc tính: Con số này biểu thị các loại thuộc tính trình bày trong gói.Tên của thuộc tính không được thông qua trong gói - chỉ có số Nói chung, số thuộctính có thể trong khoảng 1-255, với một số cụ thể phục vụ như là một "cửa ngõ" củacác loại cho các nhà cung cấp để cung cấp các thuộc tính cụ thể của mình

• Chiều dài thuộc tính: Trường này mô tả chiều dài của trường thuộc tính, màcần phải từ 3 trở lên Trường này theo cách tương tự như các lĩnh vực chiều dài củatiêu đề gói tin RADIUS

• Giá trị: Chứa đặc điểm hoặc đặc tính của chính thuộc tính đó, trường này cầnthiết cho mỗi thuộc tính trình bày, thậm chí nếu giá trị bản thân nó là bằng không

Độ dài này sẽ thay đổi dựa trên bản chất vốn có của các thuộc tính của nó

Cơ cấu AVP thể hiện trong hình 2-6 bao gồm một tập liên tục các byte chứa ítnhất ba octet, với các octet đầu tiên là loại, thứ hai là chiều dài, và octet cuối cùng làgiá trị của các thuộc tính của chính nó

Các máy chủ RADIUS biết đầy đủ về một thuộc tính có tên gọi chính thức của

nó không cần được truyền đi trong gói Các mã số (số thuộc tính) là đủ để suy raloại thông tin được truyền đi trong giá trị cụ thể đó

Các loại thuộc tính:

Có 6 loại như được nêu trong RFC:

Số nguyên (INT): là những giá trị có chứa số nguyên Một thuộc tính như IdleTimeout có thể được thiết lập giá trị số nguyên là 15

Liệt kê (ENUM): dữ liệu đó là của các loại liệt kê bao gồm một số nguyên,nhưng giá trị này dựa trên một tập hợp cấu hình người sử dụng của dãy nhiều giá trị

và nhiều ý nghĩa Có thể gặp phải các giá trị liệt kê được gọi là giá trị số nguyêntheo ngữ nghĩa, trong khi không theo ngữ nghĩa giá trị nguyên chỉ đơn giản là loại

số nguyên

Địa chỉ IP (IPADDR): loại dữ liệu này là một số 32-bit được thiết kế để thôngqua một địa chỉ IP chính xác Trong khi RADIUS theo mặc định sẽ xem xét một địachỉ IP theo giá trị, một số triển khai thực hiện có thể được cấu hình để xử lý nó vớimột giá trị định sẵn, chẳng hạn như một subnet mask riêng Ngoài ra, một phần mởrộng gần đây để các giao thức RADIUS cho phép các địa chỉ IPv6 được sử dụngtrong loại này

Chuỗi ký tự (STRING): Chuỗi ký tự thường được xác định là chuỗi in UTF-8 cóthể được đọc theo giá trị Dữ liệu được truyền dưới dạng một dãy ký tự có thể bịchặn hay không bị chặn, bất cứ cái nào là thích hợp

Ngày tháng (DATE): là một con số không dấu 32-bit đại diện cho giây trôi qua

có khả năng cung cấp Tất nhiên, có lẽ bởi vì trong thực tế là một tiêu chuẩn, một sốnhà cung cấp - đặc biệt là Robotics/3Com Hoa Kỳ - không theo đặc tả RFC

Các giao thức RADIUS định nghĩa một AVP cụ thể như là một "cửa ngõ" AVPtrong đó các thuộc tính nhà cung cấp cụ thể, hoặc VSAs, có thể được đóng gói.VSA được thực hiện ở tải trọng giá trị của AVP tiêu chuẩn 26, được gọi là nhà cungcấp cụ thể Hình 2-11 cho thấy AVP tiêu chuẩn và làm thế nào thông tin được thựchiện trong VSA

Hình 2-11: Sự truyền đi của 1 VAS bên trong 1 AVP tiêu

chuẩn

ID nhà cung cấp

Phần này của VSA gồm bốn octet mà đại diện cho nhà phát triển / thiết kế / chủ

sở hữu của VSA Những mã số tiêu chuẩn được quy định trong tài liệu RFC 1700 là

"Các số được gán” Cụ thể hơn, các nhà cung cấp cá nhân được mã hoá với con sốduy nhất được gọi là mã doanh nghiệp tư nhân quản lý mạng hoặc NMPECs

Thứ tự của các nội dung trường ID nhà cung cấp được dựa trên một tiêu chuẩnnghiêm ngặt, với byte cao nhất để giá trị 4 octet được thiết lập về 0, và sau đó 3byte cuối cùng đặt vào mã NMPEC

Loại nhà cung cấp

Trường loại nhà cung cấp, dài một octet, chức năng hành xử theo cách tương tựnhư số thuộc tính trong một AVP tiêu chuẩn Các loại nhà cung cấp là những giá trịvới phạm vi từ 1 đến 255, và tầm quan trọng và ý nghĩa của từng giá trị được biếtđến bên trong các máy chủ RADIUS

Chiều dài

Trường này là một con số một octet cho biết chiều dài của toàn bộ VSA, vớichiều dài tối thiểu của toàn bộ VSA là 7 Một lần nữa, hoạt động của trường này làtương tự như lĩnh vực chiều dài trong một tiêu chuẩn, RFC định nghĩa AVP

Giá trị

Các trường giá trị được yêu cầu phải dài ít nhất một octet và chứa dữ liệu được

cụ thể cho các chính VSA đó Hầu hết các giá trị này được đọc, hiểu, và phân tíchbởi máy khách và máy chủ RADIUS trên đầu thu nhận thức của các tính năng đặcbiệt và khả năng phi tiêu chuẩn mà triển khai thực hiện cụ thể của chúng có hỗ trợ

Loại thuộc tính Chiều dài

(Octet)

Kích thước / Phạm vi

Ví dụ tải trọng

Không dấu

6256243265536

0xC0A801020xFFFFFE

(DATE) Không dấu 0x00000A

0x1954FF8ENhị phân

Các Access-Request được gửi tới máy chủ RADIUS qua mạng Nếu không cóphản hồi được trả về trong một khoảng thời gian, yêu cầu được gửi lại một số lần.Các máy khách cũng có thể chuyển tiếp yêu cầu tới một máy chủ thay thế hoặc cácmáy chủ trong trường hợp máy chủ chính bị ngừng hoạt động hoặc không thể truycập Một máy chủ thay thế có thể được sử dụng hoặc sau khi một số cố gắng truycập tới các máy chủ chính bị lỗi, hoặc trong một kiểu vận hành lần lượt

Một khi các máy chủ RADIUS nhận được yêu cầu, nó xác nhận hợp lệ của máykhách gửi Một yêu cầu từ máy khách mà các máy chủ RADIUS không có một bímật được chia sẻ phải được âm thầm bỏ đi Nếu máy khách là hợp lệ, máy chủRADIUS tra cứu một cơ sở dữ liệu của người dùng để tìm người sử dụng có tên phùhợp với yêu cầu Mục người sử dụng trong cơ sở dữ liệu chứa một danh sách cácyêu cầu đó phải được đáp ứng để cho phép người sử dụng truy cập Điều này luônluôn bao gồm xác minh mật khẩu, nhưng cũng có thể chỉ định các máy khách hoặccổng mà người dùng được phép truy cập

Máy chủ RADIUS có thể làm cho yêu cầu của các máy chủ khác đáp ứng cácyêu cầu, trong trường hợp nó hoạt động như một máy khách

Nếu bất kỳ thuộc tính Proxy-State được đưa ratrong các Access-Request, chúngphải được sao chép chưa sửa đổi và đặt vào các gói tin trả lời Các thuộc tính khác

có thể được đặt trước, sau, hoặc thậm chí giữa các thuộc tính Proxy-State

Nếu điều kiện nào không được đáp ứng, máy chủ RADIUS gửi một phản hồi

"Access-Reject" cho biết yêu cầu người sử dụng này không hợp lệ Nếu muốn, cácmáy chủ có thể bao gồm các tin nhắn văn bản trong Access-Reject có thể được hiểnthị bởi các máy khách cho người dùng Không có thuộc tính khác (trừ Proxy-State)được phép trong một Access-Reject

Nếu tất cả các điều kiện được đáp ứng và các máy chủ RADIUS muốn ra mộtthách thức mà người dùng phải đáp ứng, các máy chủ RADIUS gửi một phản hồi

"Access-Challenge" Nó có thể bao gồm các tin nhắn văn bản được hiển thị bởi cácmáy khách cho người sử dụng phản hồi cho thách thức này, và có thể bao gồm mộtthuộc tính trạng thái

Nếu máy khách nhận được một Access-Challenge và hỗ trợ thách thức / phảnứng nó có thể hiển thị các tin nhắn văn bản, nếu có, cho người sử dụng, và sau đónhắc nhở người dùng về một phản hồi Máy khách sau đó nộp lại bản gốc Access-Request của nó với một ID yêu cầu mới, với các thuộc tính người dùng mật khẩuthay thế bằng các phản hồi (đã mã hóa), và bao gồm cả các thuộc tính trạng thái từcác Access-Challenge, nếu có Chỉ có 0 hoặc 1 thể hiện của thuộc tính trạng thái cómặt trong yêu cầu Máy chủ có thể đáp ứng với Access-Request mới này với mộtAccess-Accept, một Access-Reject, hoặc một Access-Challenge khác

Nếu có đủ điều kiện, danh sách các giá trị cấu hình cho người sử dụng được đặtvào một phản hồi "Access-Accept" Những giá trị này bao gồm các loại hình dịch

vụ (ví dụ: SLIP, PPP, người dùng đăng nhập) và tất cả các giá trị cần thiết để cungcấp các dịch vụ mong muốn Đối với SLIP và PPP, điều này có thể bao gồm giá trịnhư địa chỉ IP, subnet mask, MTU, nén mong muốn, và nhận dạng lọc gói mongmuốn Đối với những người dùng chế độ ký tự, điều này có thể bao gồm giá trị nhưgiao thức và máy chủ mong muốn

Trong xác thực thách thức / phản hồi, người sử dụng được cho một số không thểđoán trước và thách thức để mã hóa nó và trả lại kết quả Người được ủy quyền đềuđược trang bị các thiết bị đặc biệt như thẻ thông minh hoặc các phần mềm tạo thuậnlợi cho tính toán của các phản hồi chính xác một cách dễ dàng Người sử dụng trái

Người sử dụng sau đó đi vào các thách thức trong thiết bị của mình (hoặc phầnmềm) và tính toán một phản hồi, người dùng nhập vào máy khách rồi máy đóchuyển tiếp nó tới máy chủ RADIUS thông qua một Access-Request thứ hai Nếuphản hồi trùng khớp với phản hồi mong muốn máy chủ RADIUS trả lời với mộtAccess-Accept, nếu không một Access-Reject sẽ được trả về máy khách.

Hình 2-12: Quá trình xác thực RADIUS đơn giản

1) Người dùng cố gắng truy cập vào Cisco ASA

2) Cisco ASA yêu cầu người dùng nhập tên và mật khẩu

3) Người dùng nhập vào thông số của mình và gửi cho cisco ASA

4) Cisco ASA gửi gói Access-Request tới máy chủ RADIUS

5) Nếu thông số người dùng nhập có trong cơ sở dữ liệu tại máy chủ

RADIUS, máy chủ RADIUS sẽ gửi gói Access-Accept về cho Cisco ASA, nếuthông số người dùng nhập không có thì máy chủ RADIUS sẽ gửi gói Access-Reject

về cho cisco ASA

6) Cisco ASA sẽ phản hồi về cho máy khách biết được phép hay không đượcphép truy cập vào 1 dịch vụ cụ thể

3.2 Quá trình kế toán:

Khi một máy khách được cấu hình để sử dụng RADIUS kế toán, khi bắt đầucung cấp dịch vụ nó sẽ tạo ra một gói tin bắt đầu kế toán mô tả các loại hình dịch vụđược cung cấp và người sử dụng nó đang được chuyển tới, và sẽ gửi tới máy chủ kếtoán RADIUS, trong đó sẽ gửi lại một xác nhận rằng gói tin đã được nhận Khi kếtthúc cung cấp dịch vụ máy khách sẽ tạo ra một gói kết thúc kế toán mô tả các loạihình dịch vụ đã được giao và thông số tùy ý như là thời gian trôi qua, octet vào và

4 5ASA

Máy chủ Radius ACS Người dùng