Đang tải... (xem toàn văn)
Nội dung của bài giảng trình bày tổng quan về kiến trúc AAA, các nhân tố xác thực, phân loại xác thực, xác thực người dùng, các loại mật khẩu, các kiểu cung cấp ứng dụng cung cấp AAA, khuôn dạng gói tin, nguyên lý hoạt động và cấu trúc của gói tin.
Trình bày: Ths Lương Trần Hy Hiến http://hienlth.info/hutech/baomatthongtin Tổng quan kiến trúc AAA TACACS+ RADIUS AAA cho phép nhà quản trị mạng biết thơng tin quan trọng tình mức độ an tồn mạng Ta bật dịch vụ AAA router, switch, firewall, thiết bị VPN, server, … Các dịch vụ AAA chia thành ba phần, xác thực (authentication), cấp quyền (authorzation), tính cước (accounting) Dùng để nhận dạng người dùng Kiểm tra username password người dùng so với với CSDL lưu AAA Server Một username password chấp nhận, AAA dùng để định nghĩa thẩm quyền mà người dùng phép làm hệ thống Những mà người dùng sở hữu bẩm sinh VD: vết lăn tay, mẫu hình võng mạc mắt, chuỗi DNA, mẫu hình giọng nói xác minh chữ ký, tín hiệu sinh điện đặc hữu thể sống tạo sinh (unique bio-electric signals), biệt danh sinh trắc (biometric identifier) Những người dùng có VD: chứng minh thư (ID card), chứng an ninh (security token), chứng phần mềm (software token) điện thoại di động (cell phone) Những người dùng biết VD: mật khẩu, số định danh cá nhân (personal identification number - PIN)) Xác thực Xác thực người dùng Xác thực tiến trình Xác thực tình Cơ chế xác thực chia làm loại: What you know: mật khẩu, tên đăng nhập… What you process: thẻ bài, lực… Something about you: hình ảnh, dấu vân tay… Xác thực mật khẩu: Cơ chế xác thực user phổ biến, an toàn hiệu Mật phải đảm bảo: ▪ ▪ ▪ ▪ ▪ ▪ Kết hợp ký tự, ký số… Đủ dài (vd, từ ký tự trở lên) Không sử dụng ký hiệu, tên phổ biến Không giống Thay đổi thường xuyên Không lưu sẵn máy Mật theo nhóm: Nhóm user sử dụng chung tài khoản, ứng dụng… Nhóm host chung hệ thống mạng Mật sử dụng nhiều lần: Mỗi user có mật đăng nhập hệ thống Mật sử dụng thường xuyên, thay đổi Tiện lợi cho user, dễ bị đánh cắp Mật sử dụng lần: Dành cho user đăng nhập hệ thống lần Mỗi lần đăng nhập, user cấp lại mật Sau logout, password bị hủy Thẻ (token): User hợp pháp cấp thẻ sử dụng Chứng thực luận lý: thẻ + mã số thẻ Chứng thực vật lý: thẻ + mã thẻ + máy đọc thẻ Thẻ từ mã vạch (magnetic stripe credit card): Bổ sung thông tin user, gia tăng độ an toàn thẻ Độ an tồn chưa cao (thẻ bị mất, đánh cắp…) Thẻ thông minh (smart card, chip card): Thẻ từ mã vạch sử dụng chip điện tử, vi xử lý Độ an tồn cao, tiện dụng (user sử dụng nhiều nơi) Nhận dạng thông minh: Xác thực đặc trưng user (vân tay, mống mắt) máy quét Độ xác cao, nhiên tập đặc trưng user bị đánh cắp Cho phép nhà quản trị điều khiển việc cấp quyền khoảng thời gian, hay thiết bị, nhóm, người dùng cụ thể hay giao thức Cho phép nhà quản trị tạo thuộc tính mơ tả chức người dùng phép làm cần phải xác thực trước cấp quyền cho người 10 Cho phép nhà quản trị thu thập thông tin thời gian bắt đầu, thời gian kết thúc người dùng truy cập vào hệ thống, câu lệnh thực thi, thống kê lưu lượng, việc sử dụng tài nguyên sau lưu trữ thông tin hệ thống sở liệu quan hệ Cho phép giám sát dịch vụ tài nguyên người dùng sử dụng Ví dụ: thống kê cho thấy người dùng có tên truy cập SON truy cập vào SERVER giao thức FTP với số lần lần Thơng tin dùng để tính cước khách hàng, quản lý mạng, kiểm toán sổ sách 11 TACACS (Terminal Access Controller Access Control System) RADIUS (Remote Authentication Dial-In User Service) 12 TACACS giao thức chuẩn hóa sử dụng giao thức hướng kết nối (connection-oriented) TCP port 49 TACACS+ (Terminal Access controller AccessControl System Plus) giao thức độc quyền Cisco, thiết kế dùng kiến trúc AAA cho việc chứng thực, ủy quyền kế tốn mơi trường mạng 13 TACACS+ ID định nghĩa 12 bytes header xuất tất gói tin TACACS+ Cấu trúc giao thức TACACS+: gồm cấu trúc phần header Data Cấu trúc header Data: chứa thông tin liên lạc Tacacs+ client (Network Access Server) Tacacs+ Server (AAA server) 14 15 Radius (Remote Access Dial In User Service) giao thức mạng cung cấp việc quản lý xác thực tập trung, ủy quyền, kế toán ( AAA ) máy tính kết nối vào mạng sử dụng dịch vụ mạng RADIUS phát triển Livingston Enterprises, Inc vào năm 1991 16 Application TCP / UDP RADIUS IP Link Physical 17 RADIUS Server LAN / WAN RADIUS Client (NAS – Network Access Server) Dial-In Dial-In User 18 19 20 Quá trình xác thực RADIUS 21 Quá trình chứng thực accounting 22 23 ... người dùng sử dụng Ví dụ: thống kê cho thấy người dùng có tên truy cập SON truy cập vào SERVER giao thức FTP với số lần lần Thông tin dùng để tính cước khách hàng, quản lý mạng, kiểm toán sổ sách... sử dụng ký hiệu, tên phổ biến Không giống Thay đổi thường xuyên Không lưu sẵn máy Mật theo nhóm: Nhóm user sử dụng chung tài khoản, ứng dụng Nhóm host chung hệ thống mạng Mật sử dụng. .. có mật đăng nhập hệ thống Mật sử dụng thường xuyên, thay đổi Tiện lợi cho user, dễ bị đánh cắp Mật sử dụng lần: Dành cho user đăng nhập hệ thống lần Mỗi lần đăng nhập, user cấp lại mật