Sự cần thiết phải có an ninh mạng trong một hệ thống mạng An ninh mạng bảo vệ mạng của bạn trước việc đánh cắp và sử dụng sai mục đích thông tin kinh doanh bí mật và chống lại tấn công b
Trang 1LỜI CAM ĐOAN Tôi xin cam đoan Luận văn Thạc sĩ kỹ thuật này là do tôi nghiên cứu và được thực hiện dưới sự hướng dẫn khoa học của TS.Trần Minh Trung Các kết quả
do tôi tự nghiên cứu và tham khảo từ các nguồn tài liệu cũng như các công trình nghiên cứu khoa học khác được trích dẫn đầy đủ Nếu có vấn đề về sai phạm bản quyền, tôi xin hoàn toàn chịu trách nhiệm trước Nhà trường
Hà Nội, ngày 20 tháng 04 năm 2015
Học viên
Nguyễn Quý Linh
Trang 2LỜI CẢM ƠN
Để hoàn thành Luận văn Thạc sĩ của mình, em xin gửi lời cảm ơn chân thành đến Ban Giám Hiệu, Viện Đào Tạo Sau Đại Học, Viện Điện Tử Viễn Thông và các Giảng viên trường Đại Học Bách khoa Hà Nội đã nhiệt tình truyền đạt những kiến thức quý báu cho em trong suốt quá trình học tập và hoàn thành Luận văn Thạc sĩ
Em xin gửi lời cảm ơn tới TS Trần Minh Trung – Người trực tiếp chỉ bảo, hướng dẫn em trong suốt quá trình nghiên cứu và hoàn thành Luận văn Thạc sĩ
Em xin chân thành cảm ơn các anh, chị đồng nghiệp tại Phòng Hạ tầng Công nghệ thông tin Công ty cổ phần tin học Viễn Thông – Hàng Không (AITS) đã giúp
đỡ em trong suốt quá trình thực hiện đề tài
Sau cùng tôi xin gửi lời biết ơn sâu sắc đến người thân trong gia đình đã luôn tạo điều kiện tốt nhất cho tôi trong suốt quá trình học cũng như thực hiện luận văn
Do thời gian có hạn và kinh nghiệm nghiên cứu khoa học chưa nhiều nên luận văn còn nhiều thiếu soát, rất mong nhận được ý kiến góp ý của Thầy/Cô và các anh chị học viên cũng như các đồng nghiệp
Hà Nội, ngày 20 tháng 04 năm 2015
Học viên
Nguyễn Quý Linh
Trang 3MỤC LỤC
LỜI CAM ĐOAN 1
LỜI CẢM ƠN 2
MỤC LỤC 3
DANH MỤC CÁC HÌNH VẼ 7
DANH MỤC CÁC CHỮ VIẾT TẮT 9
DANH MỤC CÁC BẢNG 11
MỞ ĐẦU 12
Chương 1 - TỔNG QUAN VỀ AN NINH MẠNG 13
1.1 Mạng máy tính và các vấn đề phát sinh 13
1.1.1 Sự cần thiết phải có an ninh mạng trong một hệ thống mạng 13
1.1.2 Xác định nguy cơ đối với hệ thống mạng 15
1.1.3 Đo lường mức độ nguy cơ của một hệ thống mạng 16
1.2 Quá trình thăm dò tấn công 17
1.2.1 Thăm dò (Reconnaissace) 17
1.2.2 Quét hệ thống (Scanning) 18
1.2.3 Chiếm quyền điều khiển (Gainning access) 18
1.2.4 Duy trì điều khiển hệ thống (Maitaining access) 18
1.2.5 Xoá dấu vết (Clearning tracks) 19
1.3 Các biện pháp bảo mật mạng 19
1.3.1 Mã hoá, nhận dạng, chứng thực người dùng và phần quyền sử dụng 19 1.3.2 Bảo mật máy trạm 25
1.3.3 Bảo mật truyền thông 26
1.4 Các công nghệ và kỹ thuật bảo mật 27
1.4.1 Bảo mật bằng firewall 27
1.4.2 Bảo mật bằng VPN 28
1.4.3 Bảo mật bằng IDS (Phát hiện tấn công) 29
1.4.4 Bảo mật ứng dụng 29
1.4.5 Thống kê tài nguyên 31
Chương 2 - TỔNG QUAN VỀ VPN 32
Trang 42.1 Định nghĩa VPN 32
2.2 Lợi ích của VPN 33
2.3 Các thành phần cần thiết để tạo kết nối VPN 33
2.4 Các giao thức VPN 33
2.4.1 L2TP 34
2.4.2 GRE 34
2.4.3 IPSec 34
2.4.4 Point to Point Tunneling Protocol (PPTP) 35
Chương 3 - TỔNG QUAN VỀ AAA VÀ CẤU HÌNH AAA TRÊN CISCO ASA FIREWALL 37
3.1 Định nghĩa AAA 37
3.1.1 Xác thực (Authentication) 38
3.1.2 Uỷ quyền (Authorization) 38
3.1.3 Kiểm toán (Accounting) 39
3.2 Giao thức sử dụng trong dịch vụ AAA 39
3.3 Dịch vụ AAA trên CISCO ASA FIREWALL 45
3.3.1 Đặc điểm của AAA trên ASA FIREWALL 45
3.3.2 Cấu hình xác thực 46
3.3.3 Cấu hình uỷ quyền 52
3.3.4 Cấu hình kiểm toán 52
Chương 4 - NETWORK ACCESS SERVER 53
4.1 RouterOS 53
4.1.1 Hệ Điều Hành RouterOS 53
4.1.2 Kiến trúc phần cứng 53
4.1.3 Định tuyến (Router) 53
4.1.4 Tường lửa (Firewall) 53
4.1.5 Quản lý Truy cập Mạng Công Cộng (Hotspot Gateway) 54
4.1.6 Máy chủ Ủy thác Web (Web Proxy Server) 55
4.1.7 Chất lượng Dịch vụ (QoS) 56
4.1.8 Phần mềm Quản lý Thiết bị - The Dude 56
4.1.9 Cấu hình Thiết bị 56
Trang 54.1.10 Đẩy dữ liệu (Forwarding) 56
4.1.11 Giao thức MPLS 57
4.1.12 VPN 57
4.1.13 Mạng Không Dây (Wireless) 57
4.1.14 Công cụ hỗ trợ 58
4.1.15 Giấy phép (License) 58
4.2 Cisco secure ACS 59
4.2.1 Vì sao lại có Cisco Secure ACS 59
4.2.2 Một số chức năng AAA nhúng vào trong Cisco Secure ACS 64
4.2.3 Cấu trúc của Cisco Secure ACS 69
4.2.4 Cách thức hoạt động của Cisco Secure ACS 71
4.2.5 Lộ trình triển khai Cisco Secure ACS 75
4.3 So sánh RouterOS, Cisco secure ACS và các sản phẩm khác 76
Chương 5 - ỨNG DỤNG TRIỂN KHAI ACS VÀO HỆ THỐNG MẠNG CỦA VIETNAM AIRLINES 78
5.1 Thực trạng hệ thống hiện tại 78
5.1.1 Thực trạng về tài khoản quản trị các thiết bị mạng 78
5.1.2 Thực trạng hệ thống VPN 78
5.2 Triển khai Cisco Secure ACS vào mạng Vietnamairlines 79
5.3 Dự kiến kết quả đạt được 80
5.4 Mô hình triển khai 80
5.5 Các công cụ thực hiện mô phỏng 81
5.6 Các bước cài đặt cấu hình hệ thống 81
5.6.1 Cấu hình cơ bản cho ASA 81
5.6.2 Cấu hình thông tin xác thực trên AAA server sử dụng phần mềm Cisco secure ACS 84
5.6.3 Tiến hành kiểm tra xác thực 99
5.6.4 Tạo kết nối VPN 101
5.6.5 Cấu hình xác thực cho VPN trên ACS 103
5.6.6 Kiểm tra kết nối VPN 118
5.7 Kết quả 123
Trang 6KẾT LUẬN 124
TÀI LIỆU THAM KHẢO 125
PHỤ LỤC 126
Phụ lục A - Các group hiện có 126
Trang 7DANH MỤC CÁC HÌNH VẼ
Hình 1-1 Quá trình đánh giá nguy cơ của hệ thống 15
Hình 1-2 Quá trình thăm dò vào một hệ thống mạng 17
Hình 1-3 Quét trộm đối với cổng không hoạt động 18
Hình 1-4 Đối với cổng hoạt động 18
Hình 1-5 Quá trình mã hoá 19
Hình 1-6 Mô hình giải thuật băm 20
Hình 1-7 Giải thuật mã hoá đồng bộ/đối xứng 21
Hình 1-8 Giải thuật mã hóa không đồng bộ/không đối xứng 22
Hình 1-9 Chứng thực bằng user và password 23
Hình 1-10 Hoạt động của CHAP 23
Hình 1-11 Mã hóa Kerberos 24
Hình 1-12 Bảo mật FTP 26
Hình 1-13 Mô hình tổng quát firewall 28
Hình 1-14 Bảo mật bằng VPN 29
Hình 1-15 Hệ thống chống xâm nhập IDS 29
Hình 1-16 Thư điện tử 30
Hình 1-17 Thống kê tài nguyên bằng Monitoring 31
Hình 2-1 Mô hình mạng VPN 32
Hình 2-2 Mô hình L2TP 34
Hình 2-3 Mô hình IPSEC 35
Hình 2-4 Mô hình PPTP 35
Hình 3-1 Mô hình AAA chung 37
Hình 3-2 Các giao thức cho dịch vụ AAA 39
Hình 3-3 Định dạng gói tin 41
Hình 3-4 Gói tin RADIUS 44
Hình 3-5 Mô tả tiến trình sử dụng Virtual http 51
Hình 4-1 Mô hình mạng doanh nghiệp 60
Hình 4-2 Quản lý truy cập đơn giản 61
Hình 4-3 Giải pháp AAA của Cisco 63
Hình 4-4 Các loại cơ sở dữ liệu được hỗ trợ 66
Hình 4-5 Tính năng phân quyền 67
Hình 4-6 Tính năng quản lý cấu hình thiết bị 68
Hình 4-7 Cấu trúc chức năng 69
Hình 4-8 Các service của ACS 70
Hình 4-9 Cách thức hoạt động 71
Hình 4-10 Các bước cụ thể 72
Hình 4-11 Xử lý đối với User 73
Hình 4-12 Hình 4-13 Xử lý đối với User Unknown 74
Hình 4-14 Lộ trình triển khai ACS 76
Hình 5-1 Băng thông sử dụng trung bình 79
Hình 5-2 Số peer mỗi hệ thống tại Gia Lâm 79
Hình 5-3 Mô hình sử dụng firewall và AAA Server 80
Hình 5-4 Mô hình mô phỏng trên VMware Workstation 81
Hình 5-5 Kiểm tra kết nối từ ASA đến các thiết bị khác 83
Hình 5-6 Join ACS vào Actice Directory 85
Hình 5-7 Join ACS vào Actice Directory 85
Trang 8Hình 5-8 Join ACS vào Actice Directory 86
Hình 5-9 Tạo tài khoản 87
Hình 5-10 Tạo Location 87
Hình 5-11 Tạo Device Type 88
Hình 5-12 Add Firewall ASA 89
Hình 5-13 Tạo Identity Groups 90
Hình 5-14 Tạo Users Local 90
Hình 5-15 Tạo Shell Profiles 91
Hình 5-16 Tạo Shell Profiles 92
Hình 5-17 Tạo Shell Profiles 93
Hình 5-18 Tạo Identity Store Sequences 94
Hình 5-19 Tạo Access Services 95
Hình 5-20 Tạo Access Services 95
Hình 5-21 Chọn Identity Source 96
Hình 5-22 Chọn Authorization 97
Hình 5-23 Chọn Authorization 98
Hình 5-24 Chọn Rule cho Access Service đang chạy 99
Hình 5-25 Kiểm tra xác thực truy cập ASA với server chứng thực là AAA Server 100
Hình 5-26 Kiểm tra quá trình chứng thực bằng Wireshack 100
Hình 5-27 Khai báo AAA Clients 104
Hình 5-28 Khai báo AAA Clients 105
Hình 5-29 Tạo User 106
Hình 5-30 Tạo User 107
Hình 5-31 Tạo User 107
Hình 5-32 Tạo Downloadable ACLs 108
Hình 5-33 Tạo Downloadable ACLs 109
Hình 5-34 Tạo Downloadable ACLs 109
Hình 5-35 Tạo Access Services 110
Hình 5-36 Tạo Access Services 111
Hình 5-37 Cấu hình Identity 112
Hình 5-38 Cấu hình Authorization - Cusomize 113
Hình 5-39 Cấu hình Authorization - Rule 114
Hình 5-40 Cấu hình Authorization - Rule 115
Hình 5-41 Cấu hình Authorization 116
Hình 5-42 Cấu hình Rule default 116
Hình 5-43 Tạo Service Selection Rules 117
Hình 5-44 Tạo Service Selection Rules 118
Trang 9DANH MỤC CÁC CHỮ VIẾT TẮT DDoS Distributed denial of
DNS Domain Name System Phân giải tên miền
MD5 Message Digest 5 Thuật toán tóm lược tin báo 5
Algorithm
Hàm băm
Standard
Mã hóa dữ liệu tiêu chuẩn
Standard
Mã hóa dữ liệu nâng cao
Shamir, and Leonard Adleman
Giao thức xác thực bắt tay hai bước
KDC key distribution center Trung tâm phân phối khóa TGS ticket granting server Máy chủ cấp vé
AS authentication server Máy chủ xác thực
CA Certificates Authority Chứng chỉ bảo mật
Infrastructure
Cơ sở hạ tầng khóa công khai
FTP Transfer Protocol Giao thức truyền dẫn
Ngôn ngữ đánh dấu siêu văn bản
Trang 10L2TP Layer 2 Tunneling
Protocol
Giao thức đường hầm lớp 2
L2F Layer 2 Forwarding Chuyển tiếp lớp 2
Security
Giao thức bảo mật IP
Authentication Protocol
Giao thức xác thực mở rộng
RAS Remote Access Server Máy chủ điều khiển từ xa
Payload
Đóng gói bảo mật tải
Task Force
Lực Lượng Quản Lý Kỹ Thuật
Interconnection Reference Model
Mô hình tham chiếu mở
ISAKMP Internet Security
Association and Key Management Protocol
Giao thức quản lý mã khóa
Mạng điện thoại công cộng
Protocol
Giao thức thoại qua Internet
ACL Access control list Danh sách kiểm soát truy cập
translation
Phân giải địa chỉ
Học Viện kỹ nghệ Điện và Điện
Tử
Extensible Authentication Protocol
Giao thức xác thực mở rộng Lightweight
Trang 11DANH MỤC CÁC BẢNG Bảng 1-1 Các phương pháp mã hóa đối xứng thông dụng 21Bảng 5-1 Địa chỉ IP của các Interface 81
Trang 12MỞ ĐẦU Hiện nay vấn đề toàn cầu hoá và nền kinh tế thị trường mở cửa đã mang lại nhiều cơ hội làm ăn hợp tác kinh doanh và phát triển Các ngành công nghiệp máy tính và truyền thông phát triển đã đưa thế giới chuyển sang thời đại mới: thời đại công nghệ thông tin Việc nắm bắt và ứng dụng Công nghệ thông tin trong các lĩnh vực khoa học, kinh tế, xã hội đã đem lại cho các doanh nghiệp và các tổ chức những thành tựu và lợi ích to lớn Máy tính đã trở thành công cụ đắc lực và không thể thiếu của con người, con người có thể ngồi tại chỗ mà vẫn nắm bắt được các thông tin trên thế giới hàng ngày đó là nhờ vào sự phát triển mạnh mẽ của Internet Các tổ chức, công ty hay các cơ quan đều phải (tính đến) xây dựng hệ thống tài nguyên chung để có thể phục vụ cho nhu cầu của các nhân viên và khách hàng
Và một nhu cầu tất yếu sẽ nảy sinh là người quản lý hệ thống phải kiểm soát được việc truy nhập sử dụng các tài nguyên đó Một vài người có nhiều quyền hơn một vài người khác Ngoài ra, người quản lý cũng muốn rằng những người khác nhau không thể truy nhập được vào các tài nguyên nào đó của nhau Để thực hiện được các nhu cầu truy nhập trên, chúng ta phải xác định được người dùng hệ thống
là ai để có thể phục vụ một cách chính xác nhất, đó chính là việc xác thực người dùng Đây là một vấn đề nóng bỏng và đang được quan tâm hiện nay
Là một người làm về hệ thống với công việc là nghiên cứu, thiết kế, triển khai và quản trị hệ thống mạng của Tổng Công ty Hàng Không Việt Nam (Vietnam Airlines Corporation) thì việc tích hợp triển khai hệ thống xác thực người dùng cho mạng Vietnamairlines là vô cùng cần thiết và cấp bách Do đó tác giả đã lựa chọn
đề tài “An toàn mạng máy tính và giải pháp xác thực người dùng” cho luận văn của mình
Trang 13Chương 1 - TỔNG QUAN VỀ AN NINH MẠNG
1.1 Mạng máy tính và các vấn đề phát sinh
1.1.1 Sự cần thiết phải có an ninh mạng trong một hệ thống mạng
An ninh mạng bảo vệ mạng của bạn trước việc đánh cắp và sử dụng sai mục đích thông tin kinh doanh bí mật và chống lại tấn công bằng mã độc từ vi rút và sâu máy tính trên mạng Internet Nếu an ninh mạng không được triển khai công ty của bạn sẽ gặp rủi ro trước xâm nhập trái phép, sự ngừng trệ hoạt động của mạng, sự gián đoạn dịch vụ, sự không tuân thủ quy định và thậm chí là các hành động phạm pháp
Từ đây ta thấy được an ninh trong hệ thống mạng luôn là vấn đề nóng hổi, cần được quan tâm và mang tính quan trọng hơn hết
Theo số liệu từ VNCERT năm 2014 ở Việt Nam có 19.789 sự cố gồm các loại
sự cố tấn công lừa đảo, tấn công thay đổi giao diện và tấn công cài mã độc lên website… 1.458 sự cố tấn công lừa đảo, tăng 179% so với năm ngoái VNCERT đã gửi yêu cầu điều phối và xử lý được 1.138 sự cố (tăng 145% so với năm 2013) 10.037 sự cố tấn công cài mã độc lên website, đã gửi yêu cầu điều phối và xử lý 5.976 sự cố, trong đó có 20 sự cố liên quan đến tên miền gov.vn 8.291 sự cố tấn công thay đổi giao diện (tăng 406% so với năm 2013), trong đó có 274 sự cố liên quan đến tên miền gov.vn, đã gửi yêu cầu điều phối và xử lý 4.493 sự cố
Trên 3,37 triệu lượt địa chỉ IP của Việt Nam nằm trong mạng botnet VNCERT đã gửi cảnh báo cho 8.233 địa chỉ IP thuộc cơ quan nhà nước, đồng thời, gửi cảnh báo và tài liệu hướng dẫn phát hiện gỡ bỏ Botnet tới tất cả các đơn vị quản
lý các địa chỉ IP nêu trên
88 sự cố tấn công tấn công từ chối dịch vụ (DDoS) được gửi tới các nhà cung cấp dịch vụ Internet: Viettel, ODS, CMC, FPT, QTSC, Hanel, Nhân Hòa, SPT và VDC
Trang 141.1.1.1 Các yếu tố cần được bảo vệ trong hệ thống mạng
Yếu tố đầu tiên phải nói đến là dữ liệu, những thông tin lưu trữ trên hệ thống máy tính cần được bảo vệ do các yêu cầu về tính bảo mật, tính toàn vẹn hay tính kịp thời Thông thường yêu cầu về bảo mật được coi là yêu cầu quan trọng đối với thông tin lưu trữ trên mạng Tuy nhiên, ngay cả khi những thông tin không được giữ
bí mật, thì yêu cầu về tính toàn vẹn cũng rất quan trọng Không một cá nhân, một tổ chức nào lãng phí tài nguyên vật chất và thời gian để lưu trữ những thông tin mà không biết về tính đúng đắn của những thông tin đó
Yếu tố thứ hai là về tài nguyên hệ thống, sau khi các Attacker đã làm chủ được hệ thống chúng sẽ sử dụng các máy này để chạy các chương trình như dò tím mật khẩu để tấn công vào hệ thống mạng
Yếu tố thứ ba là danh tiếng một khi dữ liệu bị đánh cắp thì việc nghi ngờ nhau trong công ty là điều không tránh khỏi, vì vậy sẽ ảnh hưởng đến danh tiếng của công ty rất nhiều
1.1.1.2 Các yếu tố đảm bảo an toàn thông tin
An toàn thông tin nghĩa là thông tin được bảo vệ, các hệ thống và những dịch
vụ có khả năng chống lại những tai hoạ, lỗi và sự tác động không mong đợi Mục tiêu của an toàn bảo mật trong công nghệ thông tin là đưa ra một số tiêu chuẩn an toàn và ứng dụng các tiêu chuẩn an toàn này để loại trừ hoặc giảm bớt các nguy hiểm
Hiện nay các biện pháp tấn công càng ngày càng tinh vi, sự đe dọa tới độ an toàn thông tin có thể đến từ nhiều nơi khác nhau theo nhiều cách khác nhau, vì vậy các yêu cầu cần để đảm bảo an toàn thông tin như sau:
Tính bí mật: Thông tin phải đảm bảo tính bí mật và được sử dụng đúng đối tượng
Tính toàn vẹn: Thông tin phải đảm bảo đầy đủ, nguyên vẹn về cấu trúc, không mâu thuẫn
Tính sẵn sàng: Thông tin phải luôn sẵn sàng để tiếp cận, để phục vụ theo đúng mục đích và đúng cách
Trang 15 Tính chính xác: Thông tin phải chính xác, tin cậy
Tính không khước từ (chống chối bỏ): Thông tin có thể kiểm chứng được nguồn gốc hoặc người đưa tin
1.1.2 Xác định nguy cơ đối với hệ thống mạng
Nguy cơ hệ thống (Risk) được hình thành bởi sự kết hợp giữa lỗ hổng hệ thống và các mối đe dọa đến hệ thống, nguy cơ hệ thống có thể định nghĩa trong ba cấp độ thấp, trung bình và cao[1] Để xác định nguy cơ đối với hệ thống trước tiên
ta phải đánh giá nguy cơ hệ thống theo sơ đồ sau
Hình 1-1 Quá trình đánh giá nguy cơ của hệ thống
Các điểm truy cập người dùng
Các điểm truy cập không dây
Ở mỗi điểm truy cập, ta phải xác định được các thông tin có thể truy cập và mức độ truy cập vào hệ thống
Trang 161.1.2.2 Xác định các mối đe dọa
Đây là một công việc khó khăn vì các mối đe dọa thường không xuất hiện rõ ràng (ẩn), thời điểm và quy mô tấn công không biết trước Các hình thức và kỹ thuật tấn công đa dạng như:
1.1.3 Đo lường mức độ nguy cơ của một hệ thống mạng
Những nguy cơ bảo mật đe dọa mất mát dữ liệu nhạy cảm luôn là mối lo ngại của những doanh nghiệp vừa và nhỏ Dưới đây là các mức độ nguy cơ mà các doanh nghiệp luôn phải đối mặt:
- Một số doanh nghiệp vừa và nhỏ, những dữ liệu quan trọng hay thông tin khách hàng thường được giao phó cho một cá nhân Điều này tạo nên tình trạng "lệ thuộc quyền hạn"
- Hệ thống máy tính, mạng của doanh nghiệp luôn phải đối mặt với nhiều nguy cơ bảo mật, từ việc hư hỏng vật lý cho đến các trường hợp bị tấn công từ tin tặc hay virus đều có khả năng gây tổn hại cho dữ liệu, do đó cần phải có kế hoạch
xử lý rủi ro
Trang 17- Tin tặc hiện nay thường dùng các tập tin chứa đựng tài khoản mặc định (username và password) của các thiết bị kết nối mạng để dò tìm quyền hạn truy xuất khả năng đăng nhập vào hệ thống mạng, đặc biệt là các tài khoản thiết lập mặc định
- Thiếu cảnh giác với mạng công cộng: một thủ đoạn chung tin tặc hay sử dụng để dẫn dụ những nạn nhân là đặt một thiết bị trung chuyển wireless access-point không cài đặt mật khẩu
- Các doanh nghiệp không coi trọng việc đặt website của mình tại máy chủ nào, mức độ bảo mật ra sao Do đó, website kinh doanh của doanh nghiệp sẽ là mục tiêu của các đợt tấn công SQL Injection
Hơn 90% các cuộc tấn công vào hệ thống mạng đều cố gắng khai thác các lỗi bảo mật đã được biết đến Mặc dù các bản vá lỗi vẫn thường xuyên được những hãng sản xuất cung cấp ngay sau khi lỗi được phát hiện nhưng một vài doanh nghiệp lại không coi trọng việc cập nhật lỗi này dẫn đến việc các lỗi bảo mật luôn là những cuộc tấn công
1.2 Quá trình thăm dò tấn công
Hình 1-2 Quá trình thăm dò vào một hệ thống mạng
1.2.1 Thăm dò (Reconnaissace)
Thăm dò mục tiêu là một trong những bước qua trọng để biết những thông tin trên hệ thống mục tiêu[2] Hacker sử dụng kỹ thuật này để khám phá hệ thống mục tiêu đang chạy trên hệ điều hành nào, có bao nhiêu dịch vụ đang chạy trên các dịch
vụ đó, cổng dịch vụ nào đang đóng và cổng nào đang mở, gồm hai loại:
Trang 18 Passive: Thu thập các thông tin chung như vị trí địa lý, điện thoại, email của các cá nhân, người điều hành trong tổ chức
Active: Thu thập các thông tin về địa chỉ IP, domain, DNS,… của hệ thống
1.2.2 Quét hệ thống (Scanning)
Quét thăm dò hệ thống là phương pháp quan trọng mà Attacker thường dùng
để tìm hiểu hệ thống và thu thập các thông tin như địa chỉ IP cụ thể, hệ điều hành hay các kiến trúc hệ thống mạng Một vài phương pháp quét thông dụng như: quét cổng, quét dải mạng và quét các điểm yếu trên hệ thống
Hình 1-3 Quét trộm đối với cổng không hoạt động
Hình 1-4 Đối với cổng hoạt động
1.2.3 Chiếm quyền điều khiển (Gainning access)
o Mức hệ điều hành
o Mức ứng dụng
o Mức mạng
o Từ chối dịch vụ
1.2.4 Duy trì điều khiển hệ thống (Maitaining access)
Upload/download biến đổi thông tin
Trang 191.2.5 Xoá dấu vết (Clearning tracks)
Sau khi bị tấn công thì hệ thống sẽ lưu lại những vết do attacker để lại Attacker cần xoá chúng đi nhằm tránh bị phát hiện
Hình 1-5 Quá trình mã hoá
Mã hoá nhằm đảm bảo các yêu cầu sau:
o Tính bí mật (confidentiality): dữ liệu không bị xem bởi “bên thứ 3”
o Tính toàn vẹn (Integrity): dữ liệu không bị thay đổi trong quá trình
truyền
Trang 20Tính không từ chối (Non-repudiation): là cơ chế người thực hiện hành động không thể chối bỏ những gì mình đã làm, có thể kiểm chứng được nguồn gốc hoặc người đưa tin
1.3.1.2 Các giải thuật mã hoá
Giải thuật băm (Hashing Encryption)
Là cách thức mã hoá một chiều tiến hành biến đổi văn bản nhận dạng (cleartext) trở thành hình thái mã hoá mà không bao giờ có thể giải mã Kết quả của tiến trình hashing còn được gọi là một hash (xử lý băm), giá trị hash (hash value), hay thông điệp đã được mã hoá (message digest) và tất nhiên không thể tái tạo lại dạng ban đầu
Trong xử lý hàm băm dữ liệu đầu vào có thể khác nhau về độ dài, thế nhưng
độ dài của xử lý Hash lại là cố định Hashing được sử dụng trong một số mô hình xác thực password Một giá trị hash có thể được gắn với một thông điệp điện tử (electronic message) nhằm hỗ trợ tính tích hợp của dữ liệu hoặc hỗ trợ xác định trách nhiệm không thể chối từ (non-repudiation)
Hình 1-6 Mô hình giải thuật băm
Một số giải thuật băm
o MD5 (Message Digest 5): giá trị băm 128 bit
o SHA-1 (Secure Hash Algorithm): giá trị băm 160 bit
Giải thuật mã hoá đồng bộ/đối xứng (Symmetric)
Mã hoá đối xứng hay mã hoá chia sẻ khoá (shared-key encryption) là mô hình
mã hoá hai chiều có nghĩa là tiến trình mã hoá và giải mã đều dùng chung một khoá
Trang 21Khoá này phải được chuyển giao bí mật giữa hai đối tượng tham gia giao tiếp Có thể bẻ khoá bằng tấn công vét cạn (Brute Force)
Hình 1-7 Giải thuật mã hoá đồng bộ/đối xứng
Cách thức mã hoá như sau:
o Hai bên chia sẻ chung 1 khoá (được giữ bí mật)
o Trước khi bắt đầu liên lạc hai bên phải trao đổi khoá bí mật cho nhau
o Mỗi phía của thành phần liên lạc yêu cầu một khoá chia sẻ duy nhất, khoá này không chia sẻ với các liên lạc khác
Bảng dưới đây cho thấy chi tiết các phương pháp mã hóa đối xứng thông dụng
- Bị thay thế bởi AES
Advanced Encryption Standard
Bảng 1-1 Các phương pháp mã hóa đối xứng thông dụng
Giải thuật mã hóa không đồng bộ/không đối xứng (Asymmetric)
Trang 22Mã hóa bất đối xứng, hay mã hóa khóa công khai(public-key encryption), là
mô hình mã hóa 2 chiều sử dụng một cặp khóa là khóa riêng (private key) và khóa công (public keys) Thông thường, một thông điệp được mã hóa với private key, và chắc chắn rằng key này là của người gửi thông điệp (message sender) Nó sẽ được giải mã với public key, bất cứ người nhận nào cũng có thể truy cập nếu họ có key này Chú ý, chỉ có public key trong cùng một cặp khóa mới có thể giải mã dữ liệu
đã mã hóa với private key tương ứng Và private key thì không bao giờ được chia sẻ với bất kỳ ai và do đó nó giữ được tính bảo mật, với dạng mã hóa này được ứng dụng trong chữ ký điện tử
Hình 1-8 Giải thuật mã hóa không đồng bộ/không đối xứng
Các giải thuật
o RSA (Ron Rivest, Adi Shamir, and Leonard Adleman)
o DSA (Digital Signature Standard)
o Diffie-Hellman (W.Diffie and Dr.M.E.Hellman)
Trang 23Hình 1-9 Chứng thực bằng user và password
- Tuy nhiên phương pháp này xuất hiện những vấn đề như dễ bị đánh cắp trong quá trình đến server
- Giải pháp
o Đặt mật khẩu dài tối thiểu là tám kí tự, bao gồm chữ cái, số, biểu tượng
o Thay đổi password: 01 tháng/lần
Không nên đặt cùng password ở nhiều nơi
Xem xét việc cung cấp password cho ai
CHAP (Challenge Hanshake Authentication Protocol): Dùng để mã hóa mật khẩu khi đăng nhập, dùng phương pháp chứng thực thử thách/hồi đáp Định kỳ kiểm tra lại các định danh của kết nối sử dụng cơ chế bắt tay 3 bước và thông tin bí mật được mã hóa sử dụng MD5 Hoạt động của CHAP như sau:
Hình 1-10 Hoạt động của CHAP
Kerberos
Kerberos là một giao thức mật mã dùng để xác thực trong các mạng máy tính hoạt động trên những đường truyền không an toàn Giao thức Kerberos có khả năng chống lại việc nghe lén hay gửi lại các gói tin cũ và đảm bảo tính toàn vẹn của dữ
Trang 24liệu Mục tiêu khi thiết kế giao thức này là nhằm vào mô hình máy chủ-máy khách
(client-server) và đảm bảo nhận thực cho cả hai chiều
Kerberos hoạt động sử dụng một bên thứ ba tham gia vào quá trình nhận thực
gọi là key distribution center – KDC (KDC bao gồm hai chức năng: "máy chủ xác thực" (authentication server - AS) và "máy chủ cung cấp vé" (ticket granting server
- TGS) "Vé" trong hệ thống Kerberos chính là các chứng thực chứng minh nhận dạng của người sử dụng.) Mỗi người sử dụng trong hệ thống chia sẻ một khóa chung với máy chủ Kerberos Việc sở hữu thông tin về khóa chính là bằng chứng để chứng minh nhận dạng của một người sử dụng Trong mỗi giao dịch giữa hai người
sử dụng trong hệ thống, máy chủ Kerberos sẽ tạo ra một khóa phiên dùng cho phiên giao dịch đó
Trang 25 Smart cards làm tăng giá triển khai và bảo trì
Dịch vụ CA tốn kém
Sinh trắc học
Có thể dùng các phương pháp sau: mống mắt/võng mạc, vân tay, giọng nói
Ưu điểm của phương pháp này rất chính xác, thời gian chứng thực nhanh, tuy nhiên giá thành cao cho phần cứng và phần mềm, việc nhận diện có thể bị sai lệch
Kết hợp nhiều phương pháp (Multi-factor)
Sử dụng nhiều hơn một phương pháp chứng thực như: mật khẩu/ PIN, smart card, sinh trắc học, phương pháp này nhằm tạo sự bảo vệ theo chiều sâu với nhiều tầng bảo vệ khác nhau
Ưu điểm: làm giảm sự phụ thuộc vào password, hệ thống chứng thực mạnh hơn và cung cấp khả năng cho Public Key Infrastructure (PKI)
o Nhược điểm: tăng chi phí triển khai, tăng chi phí duy trì, chi phí nâng cấp
1.3.2 Bảo mật máy trạm
Sự kiểm tra đều đặn mức bảo mật được cung cấp bởi các máy chủ phụ thuộc chủ yếu vào sự quản lý Mọi máy chủ ở trong một công ty nên được kiểm tra từ Internet để phát hiện lỗ hổng bảo mật Thêm nữa, việc kiểm tra từ bên trong và quá trình thẩm định máy chủ về căn bản là cần thiết để giảm thiểu tính rủi ro của hệ thống, như khi firewall bị lỗi hay một máy chủ, hệ thống nào đó bị trục trặc
Hầu hết các hệ điều hành đều chạy trong tình trạng thấp hơn với mức bảo mật tối thiểu và có rất nhiều lỗ hổng bảo mật Trước khi một máy chủ khi đưa vào sản xuất, sẽ có một quá trình kiểm tra theo một số bước nhất định Toàn bộ các bản sửa lỗi phải được cài đặt trên máy chủ, và bất cứ dịch vụ không cần thiết nào phải được loại bỏ Điều này làm tránh độ rủi ro xuống mức thấp nhất cho hệ thống
Việc tiếp theo là kiểm tra các log file từ các máy chủ và các ứng dụng Chúng
sẽ cung cấp cho ta một số thông tin tốt nhất về hệ thống, các tấn công bảo mật
Trang 26Trong rất nhiều trường hợp, đó chính là một trong những cách để xác nhận quy mô của một tấn công vào máy chủ
1.3.3 Bảo mật truyền thông
Tiêu biểu như bảo mật trên FTP, SSH
Bảo mật truyền thông FTP
Hình 1-12 Bảo mật FTP
FTP là giao thức lớp ứng dụng trong bộ giao thức TCP/IP cho phép truyền dữ liệu chủ yếu qua port 20 và nhận dữ liệu tại port 21, dữ liệu được truyền dưới dạng clear-text, tuy nhiên nguy cơ bị nghe lén trong quá trình truyền file hay lấy mật khẩu trong quá trình chứng thực là rất cao, thêm vào đó user mặc định Anonymous không an toàn tạo điều kiện cho việc tấn công tràn bộ đệm
Biện pháp đặt ra là sử dụng giao thức S/FTP (S/FTP = FTP + SSL/TSL) có tính bảo mật vì những lí do sau:
o Sử dụng chứng thực RSA/DSA
o Sử dụng cổng TCP 990 cho điều khiển, cổng TCP 989 cho dữ liệu
o Tắt chức năng Anonymous nếu không sử dụng
o Sử dụng IDS để phát hiện tấn công tràn bộ đệm
o Sử dụng IPSec để mã hóa dữ liệu
Bảo mật truyền thông SSH
SSH là dạng mã hóa an toàn thay thế cho telnet, rlogin hoạt động theo mô hình client/server và sử dụng kỹ thuật mã hóa public key để cung cấp phiên mã hóa,
nó chỉ cung cấp khả năng chuyển tiếp port bất kỳ qua một kết nối đã được mã hóa
Trang 27Với telnet hay rlogin quá trình truyền username và password dưới dạng cleartext nên rất dễ bị nghe lén, bằng cách bắt đầu một phiên mã hóa
Khi máy client muốn kết nối phiên an toàn với một host, client phải bắt đầu kết nối bằng cách thiết lập yêu cầu tới một phiên SSH Một khi server nhận dược yêu cầu từ client, hai bên thực hiện cơ chế three-way handshake trong đó bao gồm việc xác minh các giao thức, khóa phiên sẽ được thay đổi giữa client và server, khi khóa phiên đã trao đổi và xác minh đối với bộ nhớ cache của host key, client lúc này có thể bắt đầu một phiên an toàn
1.4 Các công nghệ và kỹ thuật bảo mật
1.4.1 Bảo mật bằng firewall
Là một hàng rào giữa hai mạng máy tính, nó bảo vệ mạng này tránh khỏi sự xâm nhập từ mạng kia, đối với những doanh nghiệp cỡ vừa là lớn thì việc sử dụng firewall là rất cần thiết, chức năng chính là kiểm soát luồng thông tin giữa mạng cần bảo vệ và Internet thông qua các chính sách truy cập đã được thiết lập
Firewall có thể là phần cứng, phần mềm hoặc cả hai Tất cả đều có chung một thuộc tính là cho phép xử lý dựa trên địa chỉ nguồn, bên cạnh đó nó còn có các tính năng như dự phòng trong trường hợp xảy ra lỗi hệ thống
Trang 28Hình 1-13 Mô hình tổng quát firewall
Do đó việc lựa chọn firewall thích hợp cho một hệ thống không phải là dễ dàng Các firewall đều phụ thuộc trên một môi trường, cấu hình mạng, ứng dụng cụ thể Khi xem xét lựa chọn một firewall cần tập trung tìm hiểu tập các chức năng của firewall như tính năng lọc địa chỉ, gói tin
1.4.2 Bảo mật bằng VPN
VPN (Virtual Private Network) là một mạng riêng ảo được kết nối thông qua mạng công cộng cung cấp cơ chế bảo mật trong một môi trường mạng không an toàn Đặc điểm của VPN là dữ liệu trong quá trình truyền được mã hóa, người sử dụng đầu xa được chứng thực, VPN sử dụng đa giao thức như IPSec, SSL nhằm tăng thêm tính bảo mật của hệ thống, bên cạnh đó tiết kiệm được chi phí trong việc triển khai
Trang 29Hình 1-14 Bảo mật bằng VPN
1.4.3 Bảo mật bằng IDS (Phát hiện tấn công)
IDS (Intrusion Detection System) là hệ thống phát hiện xâm nhập, hệ thống bảo mật bổ sung cho firewall với công nghệ cao tương đương với hệ thống chuông báo động được cấu hình để giám sát các điểm truy cập có thể theo dõi, phát hiện sự xâm nhập của các attacker Có khả năng phát hiện ra các đoạn mã độc hại hoạt động trong hệ thống mạng và có khả năng vượt qua được firewall Có hai dạng chính đó
là network based và host based
Hình 1-15 Hệ thống chống xâm nhập IDS
1.4.4 Bảo mật ứng dụng
1.4.4.1 Hệ thống thư điện tử
Thư điện tử hay email là một hệ thống chuyển nhận thư từ qua các mạng máy
tính, là một phương tiện thông tin rất nhanh Một mẫu thông tin (thư từ) có thể được gửi đi ở dạng mã hoá hay dạng thông thường và được chuyển qua các mạng máy tính đặc biệt là mạng Internet Nó có thể chuyển mẫu thông tin từ một máy nguồn tới một hay rất nhiều máy nhận trong cùng lúc
Trang 30Ngày nay, email chẳng những có thể truyền gửi được chữ, nó còn có thể truyền được các dạng thông tin khác như hình ảnh, âm thanh, phim, và đặc biệt các phần mềm thư điện tử kiểu mới còn có thể hiển thị các email dạng sống động tương thích với kiểu tệp HTML
Cấu hình Mail Server tốt, không bị open relay
Ngăn chặn Spam trên Mail Server
Cảnh giác với email lạ
1.4.4.2 Bảo mật ứng dụng Web
o Web traffic: Sử dụng giao thức bảo mật SSL/TSL để mã hóa thông tin giữa Client và Server, hoạt động tầng Transport, sử dụng mã hóa không đối xứng và MD5, sử dụng Public Key để chứng thực và mã hóa giao dịch giữa Client và Server và TSL bảo mật tốt hơn
Vấn đề đặt ra là trong quá trình chứng thực cả Client và Server đều phải cần triển khai PKI, ảnh hưởng đến Performance, việc triển khai tiềm tàng một số vấn đề: phương thức triển khai, cấu hình hệ thống, lựa chọn phần mềm
Trang 31o Web Client: Trong mô hình client/server, máy client là một máy trạm mà chỉ được sử dụng bởi 1 người dùng với để muốn thể hiện tính độc lập cho
nó Các điểm yếu của Client như JavaScript, ActiveX, Cookies, Applets
o Web Server: Server cung cấp và điều khiển các tiến trình truy cập vào tài nguyên của hệ thống Vai trò của server như là một nhà cung cấp dịch vụ cho các clients yêu cầu tới khi cần, các dịch vụ như cơ sở dữ liệu, in ấn, truyền file, hệ thống Các lỗi thường xảy ra trong WEB Server: lỗi tràn
bộ đệm, CGI/ Server Script và HTTP, HTTPS
1.4.5 Thống kê tài nguyên
Hình 1-17 Thống kê tài nguyên bằng Monitoring
Là khả năng kiểm soát (kiểm kê) hệ thống mạng, bao gồm:
Logging: Ghi lại các hoạt động phục vụ cho việc thống kê các sự kiện trên mạng Ví dụ muốn kiểm soát xem những ai đã truy cập file server, trong thời điểm nào, làm gì (Event Viewer)
Scanning: Quét hệ thống để kiểm soát những dịch vụ gì đang chạy trên mạng, phân tích các nguy cơ của hệ thống mạng Ví dụ Task manager
Monitoring: Phân tích logfile để kiểm tra các tài nguyên mạng được sử dụng như thế nào Ví dụ các syslog server
Trang 32Chương 2 - TỔNG QUAN VỀ VPN 2.1 Định nghĩa VPN
VPN được hiểu đơn giản như là sự mở rộng của một mạng riêng ( Private Network) thông qua các mạng công cộng Về căn bản, mỗi VPN là một mạng riêng rẽ sử dụng một mạng chung (thường là Internet) để kết nối cùng với các site (các mạng riêng lẻ) hay nhiều người sử dụng từ xa[3] Thay cho việc sử dụng kết nối thực, chuyên dùng như đường leased-line, mỗi VPN sử dụng các kết nối ảo được dẫn đường qua Internet từ mạng riêng của các công ty tới các site hay các nhân viên từ xa
Để có thể gửi và nhận dữ liệu thông qua mạng công cộng mà vẫn bảo đảm tính an toàn và bảo mật VPN cung cấp các cơ chế mã hoá dữ liệu trên đường truyền tạo ra một đường ống bảo mật giữa nơi nhận và nơi gửi (Tunnel) giống như một kết nối point-to-point trên mạng riêng Để có thể tạo ra một đường ống bảo mật đó, dữ liệu phải được mã hoá hay cơ chế giấu đi, chỉ cung cấp phần đầu gói dữ liệu (header) là thông tin về đường đi cho phép nó có thể đi đến đích thông qua mạng công cộng một cách nhanh chóng
Dữ liệu được mã hoá một cách cẩn thận do đó nếu các packet bị bắt lại trên đường truyền công cộng cũng không thể đọc được nội dùng vì không có khoá để giải mã Liên kết với dữ liệu được mã hoá và đóng gói được gọi là kết nối VPN Các đường kết nối VPN thường được gọi là đường ống VPN (Tunnel)
Trang 33
• Đơn giản hóa những gánh nặng
• Những cấu trúc mạng ống, vì thế giảm việc quản lý những gánh nặng: Sử dụng một giao thức Internet backbone loại trừ những PVC tĩnh hợp với kết nối hướng những giao thức như là Frame Rely và ATM
• Tăng tính bảo mật: các dữ liệu quan trọng sẽ được che giấu đối với những người không có quyền truy cập và cho phép truy cập đối với những người dùng có quyền truy cập
• Hỗ trợ các giao thức mạng thông dụng nhất hiện nay như TCP/IP
• Bảo mật địa chỉ IP: bởi vì thông tin được gửi đi trên VPN đã được mã hóa do
đó các địa chỉ bên trong mạng riêng được che giấu và chỉ sử dụng các địa chỉ bên ngoài Internet
2.3 Các thành phần cần thiết để tạo kết nối VPN
User Authentication: cung cấp cơ chế chứng thực người dùng, chỉ cho phép người dùng hợp lệ kết nối và truy cập hệ thống VPN
Address Management: cung cấp địa chỉ IP hợp lệ cho người dùng sau khi gia nhập hệ thống VPN để có thể truy cập tài nguyên trên mạng nội bộ
Data Encryption: cung cấp giải pháp mã hoá dữ liệu trong quá trình truyền nhằm bảo đảm tính riêng tư và toàn vẹn dữ liệu
Key Management: cung cấp giải pháp quản lý các khoá dùng cho quá trình
mã hoá và giải mã dữ liệu
2.4 Các giao thức VPN
Các giao thức để tạo nên cơ chế đường ống bảo mật cho VPN là L2TP, Cisco GRE và IPSec
Trang 342.4.1 L2TP
Trước khi xuất hiện chuẩn L2TP (tháng 8 năm 1999), Cisco sử dụng Layer 2 Forwarding (L2F) như là giao thức chuẩn để tạo kết nối VPN L2TP ra đời sau với những tính năng được tích hợp từ L2F
L2TP là dạng kết hợp của Cisco L2F và Mircosoft Point-to-Point Tunneling Protocol (PPTP) Microsoft hỗ trợ chuẩn PPTP và L2TP trong các phiên bản
WindowNT và 2000
L2TP được sử dụng để tạo kết nối độc lập, đa giao thức cho mạng riêng ảo quay số (Virtual Private Dail-up Network) L2TP cho phép người dùng có thể kết nối thông qua các chính sách bảo mật của công ty (security policies) để tạo VPN hay VPDN như là sự mở rộng của mạng nội bộ công ty
L2TP không cung cấp mã hóa
Hình 2-2 Mô hình L2TP
L2TP là sự kết hợp của PPP(giao thức Point-to-Point) với giao thức
L2F(Layer 2 Forwarding) của Cisco do đó rất hiệu quả trong kết nối mạng dial, ADSL, và các mạng truy cập từ xa khác Giao thức mở rộng này sử dụng PPP để cho phép truy cập VPN bởi những ngườI sử dụng từ xa
Bằng việc kết nối nhiều mạng con với các giao thức khác nhau trong môi trường có một giao thức chính GRE tunneling cho phép các giao thức khác có thể thuận lợi trong việc định tuyến cho gói IP
2.4.3 IPSec
Trang 35Hình 2-3 Mô hình IPSEC
IPSec là sự lựa chọn cho việc bảo mật trên VPN IPSec là một khung bao gồm bảo mật dữ liệu (data confidentiality), tính toàn vẹn của dữ liệu (integrity) và việc chứng thực dữ liệu
IPSec cung cấp dịch vụ bảo mật sử dụng KDE cho phép thỏa thuận các giao thức và thuật toán trên nền chính sách cục bộ (group policy) và sinh ra các khóa bảo
mã hóa và chứng thực được sử dụng trong IPSec
2.4.4 Point to Point Tunneling Protocol (PPTP)
Được sử dụng trên các máy client chạy HĐH Microsoft for NT4.0 và
Windows 95+ Giao thức này được sử dụng để mã hóa dữ liệu lưu thông trên Mạng LAN Giống như giao thức NETBEUI và IPX trong một pác két gửi lên Internet PPTP dựa trên chuẩn RSA RC4 và hỗ trợ bởi sự mã hóa 40-bit hoặc 128-bit
Hình 2-4 Mô hình PPTP
Nó không được phát triển trên dạng kết nối LAN-to-LAN và giới hạn 255 kết nối tới 1 server chỉ có một đường hầm VPN trên một kết nối Nó không cung
Trang 36cấp sự mã hóa cho các công việc lớn nhƣng nó dễ cài đặt và triển khai và là một giải pháp truy cập từ xa chỉ có thể làm đƣợc trên mạng MS Giao thức này thì đƣợc dùng tốt trong Window 2000 Layer 2 Tunneling Protocol thuộc về IPSec
Trang 37Chương 3 - TỔNG QUAN VỀ AAA VÀ CẤU HÌNH AAA TRÊN
CISCO ASA FIREWALL
3.1 Định nghĩa AAA
Hình 3-1 Mô hình AAA chung
AAA cho phép nhà quản trị mạng biết được các thông tin quan trọng về tình hình cũng như mức độ an toàn trong mạng Nó cung cấp việc xác thực
(authentication) người dùng nhằm bảo đảm có thể nhận dạng đúng người dùng Một khi đã nhận dạng người dùng, ta có thể giới hạn uỷ quyền (authorization) mà người dùng có thể làm Khi người dùng sử dụng mạng, ta cũng có thể giám sát tất cả những gì mà họ làm AAA với ba phần xác thực (authentication), uỷ quyền
(authorization) và kiểm toán (accounting) là các phần riêng biệt mà ta có thể sử dụng trong dịch vụ mạng, cần thiết để mở rộng và bảo mật mạng
AAA có thể dùng để tập hợp thông tin từ nhiều thiết bị trên mạng Ta có thể kích hoạt các dịch vụ AAA trên router, switch, firewall, các thiết bị VPN, server…
Các dịch vụ AAA bao gồm ba phần, xác thực (authentication), Uỷ quyền (Authorization) và kiểm toán (accounting) Ta sẽ tìm hiểu sự khác nhau của ba phần này và cách thức chúng làm việc như thể nào
Trang 383.1.1 Xác thực (Authentication)
Xác thực dùng để nhận dạng (identify) người dùng Trong suốt quá trình xác thực, username và password của người dùng được kiểm tra và đối chiếu với cơ sở
dữ liệu lưu trong AAA Server Tất nhiên, tuỳ thuộc vào giao thức mà AAA hỗ trợ
mã hoá đến đâu, ít nhất thì cũng mã hoá username và password
Xác thực sẽ xác định người dùng là ai Ví dụ: Người dùng có username là
LINH và mật khẩu là L!nh@nq sẽ là hợp lệ và được xác thực thành công với hệ thống Sau khi xác thực thành công thì người dùng đó có thể truy cập được vào mạng Tiến trình này chỉ là một trong các thành phần để điều khiển người dùng với AAA Một khi username và password được chấp nhận, AAA có thể dùng để định nghĩa thẩm quyền mà người dùng được phép làm trong hệ thống
3.1.2 Uỷ quyền (Authorization)
Uỷ quyền cho phép nhà quản trị điều khiển việc cấp quyền trong một khoảng thời gian, hay trên từng thiết bị, từng nhóm, từng người dùng cụ thể hay trên từng giao thức AAA cho phép nhà quản trị tạo ra các thuộc tính mô tả các chức năng của người dùng được phép thao tác vào tài nguyên Do đó, người dùng phải được xác thực trước khi uỷ quyền cho người đó
Uỷ quyền trong AAA làm việc giống như một tập các thuộc tính mô tả
những gì mà người dùng đã được xác thực có thể có
Ví dụ: Người dùng LINH sau khi đã xác thực thành công có thể chỉ được
phép truy cập vào server LINHNQ_SERVER thông qua FTP Những thuộc tính này được so sánh với thông tin chứa trong cơ sở dữ liệu của người dùng đó và kết quả được trả về AAA để xác định khả năng cũng như giới hạn thực tế của người đó Điều này yêu cầu cơ sở dữ liệu phải giao tiếp liên tục với AAA server trong suốt quá trình kết nối đến thiết bị truy cập từ xa (RAS)
Uỷ quyền liên quan đến việc sử dụng một bộ quy tắc hoặc các mẫu để quyết định những gì một người sử dụng đã chứng thực có thể làm trên hệ thống
Máy chủ AAA sẽ phân tích yêu cầu và cấp quyền truy cập bất cứ yêu cầu
nào có thể, có hoặc không phải là toàn bộ yêu cầu là hợp lệ Ví dụ: Một máy khách
quay số kết nối và yêu cầu nhiều liên kết Một máy chủ AAA chung chỉ đơn giản là
sẽ từ chối toàn bộ yêu cầu, nhưng một sự thực thi thông minh hơn sẽ xem xét yêu cầu, xác định rằng máy khách chỉ được phép một kết nối dial-up, và cấp một kênh trong khi từ chối các yêu cầu khác
Trang 393.1.3 Kiểm toán (Accounting)
Kiểm toán cho phép nhà quản trị có thể thu thập thông tin như thời gian bắt đầu, thời gian kết thúc người dùng truy cập vào hệ thống, các câu lệnh đã thực thi, thống kê lưu lượng, việc sử dụng tài nguyên và sau đó lưu trữ thông tin trong hệ thống cơ sở dữ liệu quan hệ Nói cách khác, kiểm toán cho phép giám sát dịch vụ và tài nguyên được người dùng sử dụng Ví dụ: thống kê cho thấy người dùng có tên truy cập là LINH đã truy cập vào LINHNQ_SERVER bằng giao thức FTP với số lần là 5 lần Điểm chính trong kiểm toán đó là cho phép người quản trị giám sát tích cực và tiên đoán được dịch vụ và việc sử dụng tài nguyên Thông tin này có thể được dùng để tính cước khách hàng, quản lý mạng, kiểm toán sổ sách
3.2 Giao thức sử dụng trong dịch vụ AAA
3.2.1.1 Giới thiệu
Hình 3-2 Các giao thức cho dịch vụ AAA
Có hai giao thức bảo mật dùng trong dịch vụ AAA đó là TACACS (Terminal Access Controller Access Control System) và RADIUS (Remote Authentication Dial-In User Service) Cả hai giao thức đều có phiên bản và thuộc tính riêng Chẳng hạn như phiên bản riêng của TACACS là TACACS+, tương thích hoàn toàn với TACACS RADIUS cũng có sự mở rộng khi cho phép khách hàng thêm thông tin xác định được mang bởi RADIUS TACACS và RADIUS được dùng từ một thiết bị như là server truy cập mạng (NAS) đến AAA server
Trang 40Xem xét một cuộc gọi từ xa như hình 3.2 Người dùng gọi từ PC đến NAS NAS sẽ hỏi thông tin để xác thực người dùng Từ PC đến NAS, giao thức sử dụng
là PPP, và một giao thức như là CHAP hay PAP được dùng để truyền thông tin xác thực NAS sẽ truyền thông tin đến AAA Server để xác thực Nó được mang bởi giao thức TACACS hoặc RADIUS
3.2.1.2 Tổng quan về TACACS
TACACS là giao thức được chuẩn hoá sử dụng giao thức hướng kết nối (connection-oriented) là TCP trên port 49
TACACS có các ưu điểm sau:
o Với khả năng nhận gói reset (RST) trong TCP, một thiết bị có thể lập tức báo cho đầu cuối khác biết rằng đã có hỏng hóc trong quá trình truyền
o TCP là giao thức mở rộng vì có khả năng xây dựng cơ chế phục hồi lỗi Nó có thể tương thích để phát triển cũng như làm tắc nghẽn mạng với việc sử dụng sequence number để truyền lại
o Toàn bộ payload được mã hoá với TACACS+ bằng cách sử dụng một khoá bí mật chung (shared secret key) TACACS+ đánh dấu một trường trong header để xác định xem thử có mã hoá hay không
o TACACS+ mã hoá toàn bộ gói bằng việc sử dụng khoá bí mật chung nhưng bỏ qua header TACACS chuẩn Cùng với header là một trường xác định body có được mã hoá hay không Thường thì trong toàn bộ thao tác, body của một gói được mã hoá hoàn toàn để truyền thông an toàn
o TACACS+ được chia làm ba phần: xác thực (authentication), cấp quyền (authorization) và tính cước (accounting) Với cách tiếp cận theo module, ta
có thể sử dụng các dạng khác của xác thực và vẫn sử dụng TACACS+ để cấp quyền
và tính cước Chẳng hạn như, việc sử dụng phương thức xác thực Kerberos cùng với việc cấp quyền và tính cước bằng TACACS+ là rất phổ biến
o TACACS+ hỗ trợ nhiều giao thức
o Với TACACS+, ta có thể dùng hai phương pháp để điều khiển việc cấp quyền thực thi các dòng lệnh của một user hay một nhóm nhiều user: