AAA với ba phần xác thực authentication, uỷ quyền authorization và kiểm toán accounting là các phần riêng biệt mà ta có thể sử dụng trong dịch vụ mạng, cần thiết để mở rộng và bảo mật mạ
Trang 1Bảo mật trong VPN
Tường lửa
Mật mã truy cập:bao gồm mật mã riêng và mật mã chung Giao thức bảo mật Internet
Máy chủ AAA (Authentication Authorization Accounting)- kiểm soát việc cho phép thẩm định quyền truy cập
Tường lửa
Tường lửa (firewall): là rào chắn vững chắc giữa mạng riêng và Internet Bạn có thể thiết lập các tường lửa để hạn chế số lượng cổng mở, loại gói tin và giao thức được chuyển qua Một số sản phẩm dùng cho VPN như router
1700 của Cisco có thể nâng cấp để gộp những tính năng của tường lửa bằng cách chạy hệ điều hành Internet
Cisco IOS thích hợp Tốt nhất là hãy cài tường lửa thật tốt trước khi thiết lập VPN
Mã truy cập Mật mã truy cập: là khi một máy tính mã hóa
dữ liệu và gửi nó tới một máy tính khác thì chỉ có máy đó mới giải mã được Có hai loại là mật mã riêng và mật mã chung Mật mã riêng (Symmetric-Key Encryption): Mỗi máy tính đều có một mã bí mật để mã hóa gói tin trước khi gửi tới máy tính khác trong mạng Mã riêng yêu cầu bạn phải biết mình đang liên hệ với những máy tính nào để có thể cài mã lên đó, để máy tính của người nhận có thể giải
mã được
Trang 2Mật mã chung (Public-Key Encryption): kết hợp mã riêng
và một mã công cộng Mã riêng này chỉ có máy của bạn nhận biết, còn mã chung thì do máy của bạn cấp cho bất
kỳ máy nào muốn liên hệ (một cách an toàn) với nó Để giải mã một message, máy tính phải dùng mã chung được máy tính nguồn cung cấp, đồng thời cần đến mã riêng của
nó nữa Có một ứng dụng loại này được dùng rất phổ biến
là Pretty Good Privacy (PGP), cho phép bạn mã hóa hầu như bất cứ thứ gì
II.1.3 Giao thức bảo mật giao thức Internet (IPSec) Giao thức bảo mật giao thức Internet (IPSec) cung cấp những tính năng an ninh cao cấp như các thuật toán mã hóa tốt hơn, quá trình thẩm định quyền đăng nhập toàn diện hơn IPSec có hai cơ chế mã hóa là Tunnel và Transport
Tunnel mã hóa tiêu đề (header) và kích thước của mỗi gói tin còn Transport chỉ mã hóa kích thước Chỉ những hệ thống nào hỗ trợ IPSec mới có thể tận dụng được giao thức này Ngoài ra, tất cả các thiết bị phải sử dụng một
mã khóa chung và các tường lửa trên mỗi hệ thống phải
có các thiết lập bảo mật giống nhau IPSec có thể mã hóa
dữ liệu giữa nhiều thiết bị khác nhau như router với
router…
Máy chủ AAA AAA : là viết tắt của ba chữ Authentication (thẩm định quyền truy cập), Authorization (cho phép) và Accounting (kiểm soát) Các server này được dùng để
Trang 3đảm bảo truy cập an toàn hơn Khi yêu cầu thiết lập một kết nối được gửi tới từ máy khách, nó sẽ phải qua máy chủ AAA để kiểm tra Các thông tin về những hoạt động của người sử dụng là hết sức cần thiết để theo dõi vì mục đích an toàn.
Mô hình AAA chung AAA cho phép nhà quản trị mạng biết được các thông tin quan trọng về tình hình cũng như mức độ an toàn trong mạng Nó cung cấp việc xác thực (authentication) người dùng nhằm bảo đảm có thể nhận dạng đúng người dùng Một khi
đã nhận dạng người dùng, ta có thể giới hạn uỷ quyền
(authorization) mà người dùng có thể làm Khi người dùng sử dụng mạng, ta cũng có thể giám sát tất cả những gì mà họ làm AAA với ba phần xác thực (authentication), uỷ quyền
(authorization) và kiểm toán (accounting) là các phần riêng biệt
mà ta có thể sử dụng trong dịch vụ mạng, cần thiết để mở rộng
và bảo mật mạng AAA có thể dùng để tập hợp thông tin từ nhiều thiết bị trên mạng Ta có thể kích hoạt các dịch vụ AAA trên
router, switch, firewall, các thiết bị VPN, server… Các dịch vụ AAA bao gồm ba phần, xác thực (authentication), Uỷ quyền
(accounting) và kiểm toán (accounting) Ta sẽ tìm hiểu sự khác nhau của ba phần này và cách thức chúng làm việc như thể nào Xác thực (Authentication) Xác thực dùng để nhận dạng (identify) người dùng Trong suốt quá trình xác thực, username và
password của người dùng được kiểm tra và đối chiếu với cơ sở
dữ liệu lưu trong AAA Server Tất nhiên, tuỳ thuộc vào giao thức
mà AAA hỗ trợ mã hoá đến đâu, ít nhất thì cũng mã hoá
username và password Xác thực sẽ xác định người dùng là ai
Ví dụ: Người dùng có username là VIET và mật khẩu là
Vieth@nIT sẽ là hợp lệ và được xác thực thành công với hệ
thống Sau khi xác thực thành công thì người dùng đó có thể truy
Trang 4cập được vào mạng Tiến trình này chỉ là một trong các thành phần để điều khiển người dùng với AAA Một khi username và password được chấp nhận, AAA có thể dùng để định nghĩa thẩm quyền mà người dùng được phép làm trong hệ thống Uỷ quyền (Authorization) Uỷ quyền cho phép nhà quản trị điều khiển việc cấp quyền trong một khoảng thời gian, hay trên từng thiết bị, từng nhóm, từng người dùng cụ thể hay trên từng giao thức AAA cho phép nhà quản trị tạo ra các thuộc tính mô tả các chức năng của người dùng được phép thao tác vào tài nguyên Do đó, người dùng phải được xác thực trước khi uỷ quyền cho người đó Uỷ quyền trong AAA làm việc giống như một tập các thuộc tính mô tả những gì mà người dùng đã được xác thực có thể có Ví dụ:
Người dùng VIET sau khi đã xác thực thành công có thể chỉ được phép truy cập vào server VIETHANIT_SERVER thông qua FTP Những thuộc tính này được so sánh với thông tin chứa trong cơ
sở dữ liệu của người dùng đó và kết quả được trả về AAA để xác định khả năng cũng như giới hạn thực tế của người đó Điều này yêu cầu cơ sở dữ liệu phải giao tiếp liên tục với AAA server trong suốt quá trình kết nối đến thiết bị truy cập từ xa (RAS) Uỷ quyền liên quan đến việc sử dụng một bộ quy tắc hoặc các mẫu để
quyết định những gì một người sử dụng đã chứng thực có thể làm trên hệ thống Ví dụ: Trong trường hợp của một nhà cung cấp dịch vụ Internet, nó có thể quyết định liệu một địa chỉ IP tĩnh được cho là trái ngược với một địa chỉ DHCP được giao Các quản trị hệ thống định nghĩa những quy tắc này Máy chủ AAA sẽ phân tích yêu cầu và cấp quyền truy cập bất cứ yêu cầu nào có thể, có hoặc không phải là toàn bộ yêu cầu là hợp lệ Ví dụ: Một máy khách quay số kết nối và yêu cầu nhiều liên kết Một máy chủ AAA chung chỉ đơn giản là sẽ từ chối toàn bộ yêu cầu, nhưng một sự thực thi thông minh hơn sẽ xem xét yêu cầu, xác định rằng máy khách chỉ được phép một kết nối dial-up, và cấp một kênh trong khi từ chối các yêu cầu khác Kiểm toán (Accounting)
Trang 5Kiểm toán cho phép nhà quản trị có thể thu thập thông tin như thời gian bắt đầu, thời gian kết thúc người dùng truy cập vào hệ thống, các câu lệnh đã thực thi, thống kê lưu lượng, việc sử dụng tài nguyên và sau đó lưu trữ thông tin trong hệ thống cơ sở dữ liệu quan hệ Nói cách khác, kiểm toán cho phép giám sát dịch vụ
và tài nguyên được người dùng sử dụng Ví dụ: thống kê cho thấy người dùng có tên truy cập là VIET đã truy cập vào
VIETHANIT_SERVER bằng giao thức FTP với số lần là 5 lần Điểm chính trong kiểm toán đó là cho phép người quản trị giám sát tích cực và tiên đoán được dịch vụ và việc sử dụng tài
nguyên Thông tin này có thể được dùng để tính cước khách hàng, quản lý mạng, kiểm toán sổ sách Giao thức sử dụng trong dịch vụ AAA Giới thiệu Hình 3-2 Các giao thức cho dịch vụ AAA
Có hai giao thức bảo mật dùng trong dịch vụ AAA đó là TACACS (Terminal Access Controller Access Control System) và RADIUS (Remote Authentication Dial-In User Service) Cả hai giao thức đều có phiên bản và thuộc tính riêng Chẳng hạn như phiên bản riêng của TACACS là TACACS+, tương thích hoàn toàn với
TACACS RADIUS cũng có sự mở rộng khi cho phép khách hàng thêm thông tin xác định được mang bởi RADIUS TACACS và RADIUS được dùng từ một thiết bị như là server truy cập mạng (NAS) đến AAA server Xem xét một cuộc gọi từ xa như hình 3.2 Người dùng gọi từ PC đến NAS NAS sẽ hỏi thông tin để xác thực người dùng Từ PC đến NAS, giao thức sử dụng là PPP, và một giao thức như là CHAP hay PAP được dùng để truyền thông tin xác thực NAS sẽ truyền thông tin đến AAA Server để xác thực Nó được mang bởi giao thức TACACS hoặc RADIUS Tổng quan về TACACS TACACS là giao thức được chuẩn hoá sử
dụng giao thức hướng kết nối (connection-oriented) là TCP trên port 49 TACACS có các ưu điểm sau: Với khả năng nhận gói reset (RST) trong TCP, một thiết bị có thể lập tức báo cho đầu cuối khác biết rằng đã có hỏng hóc trong quá trình truyền TCP là
Trang 6giao thức mở rộng vì có khả năng xây dựng cơ chế phục hồi lỗi
Nó có thể tương thích để phát triển cũng như làm tắc nghẽn
mạng với việc sử dụng sequence number để truyền lại Toàn bộ payload được mã hoá với TACACS+ bằng cách sử dụng một khoá bí mật chung (shared secret key) TACACS+ đánh dấu một trường trong header để xác định xem thử có mã hoá hay không TACACS+ mã hoá toàn bộ gói bằng việc sử dụng khoá bí mật chung nhưng bỏ qua header TACACS chuẩn Cùng với header là một trường xác định body có được mã hoá hay không Thường thì trong toàn bộ thao tác, body của một gói được mã hoá hoàn toàn để truyền thông an toàn TACACS+ được chia làm ba phần: xác thực (authentication), cấp quyền (authorization) và tính cước (accounting) Với cách tiếp cận theo module, ta có thể sử dụng các dạng khác của xác thực và vẫn sử dụng TACACS+ để cấp quyền và tính cước Chẳng hạn như, việc sử dụng phương thức xác thực Kerberos cùng với việc cấp quyền và tính cước bằng TACACS+ là rất phổ biến TACACS+ hỗ trợ nhiều giao thức Với TACACS+, ta có thể dùng hai phương pháp để điều khiển việc cấp quyền thực thi các dòng lệnh của một user hay một nhóm nhiều user: Phương pháp thứ nhất là tạo một mức phân quyền (privilege) với một số câu lệnh giới hạn và user đã xác thực bởi router và TACACS server rồi thì
Bài báo cáo này thực hiện việc tìm hiểu về mạng riêng ảo –Virtual Private
Network Thông qua việc tìm hiểu đã cho thấy rằng:
Công nghệ VPN cung cấp một cách để mã hóa phần đầu trong kết nối Internet của người dùng, cùng lúc đó nó cũng giúp che giấu cả địa chỉ IP và vị trí của người dùng Kết quả là giúp tăng cường sự riêng tư và bảo mật, cộng thêm khả năng mở khóa các nội dụng hạn chế theo vị trí địa lý Mặc dù không phải lúc nào cũng nên dùng VPN đâu, nhưng đôi khi nó rất cần thiết