Đang tải... (xem toàn văn)
Tham khảo tài liệu ''giáo trình khởi tạo mạng riêng ảo - công nghệ mạng riêng ảo part 19'', công nghệ thông tin, kỹ thuật lập trình phục vụ nhu cầu học tập, nghiên cứu và làm việc hiệu quả
Chương IV Một số cơng nghệ an tồn bổ sung cho mạng riêng ảo Trong chương trước thảo luận cơng nghệ an tồn dùng để xây dựng mạng riêng ảo Trong cơng nghệ thường đủ hiệu với tác vụ đơn lẻ, có trường hợp mà cơng nghệ khơng đáp ứng yêu cầu cho giải pháp VPN đầy đủ Một trường hợp sử dụng chứng số, xác thực mã hóa Chương mô tả ngắn gọn số công nghệ an tồn bổ sung thêm vào giải pháp mạng riêng ảo đồng thời tồn mơi trường mạng riêng ảo hồn cảnh 4.1 Xác thực với người dùng quay số truy cập từ xa Quay số từ xa tới Intranet công ty, tới Internet tạo Server truy cập từ xa(RAS), phần quan trọng dịch vụ liên mạng ngày Như biết, ngày nhiều người dùng di động yêu cầu truy cập không tới tài nguyên mạng trung tâm mà với nguồn thông tin Internet Sự phổ biến Internet Intranet tổ chức thúc đẩy phát triển dịch vụ thiết bị truy cập từ xa Nhu cầu kết nối cách đơn giản tới tài nguyên tổ chức từ thiết bị máy tính di động máy xách tay chẳng hạn ngày tăng Sự xuất truy cập từ xa nguyên nhân phát triển lĩnh vực bảo mật Mơ hình bảo mật xác thức – cấp quyền kiểm toán(AAA) phát triển để nhằm vào vấn đề bảo mật truy cập từ xa AAA khung dùng để cấu hình ba chức an tồn bản: xác thực, cấp quyền kiểm tốn Ngày nay, mơ hình an toàn AAA sử dụng tất kịch truy cập từ xa thực tế cho phép người quản trị mạng nhận dạng trả lời ba câu hỏi quan trọng sau: - Ai truy cập mạng? - Người dùng phép làm gì? Và hoạt động hạn chế người dùng truy cập mạng thành công? - Người dùng làm lúc nào? AAA mơ tả ngắn gọn sau: - Xác thực(Authentication): Xác thực bước bảo mật Đây hoạt động xác định người dùng(hoặc thực thể) trước truy cập tài nguyên mạng Xác thực nhiều dạng, dạng truyền thống sử dụng tên đăng nhập mật cố định Hầu hết máy tính làm việc theo cách Tuy nhiên, phần lớn mật cố định có giới hạn định lĩnh vực bảo mật Nhiều chế xác thực đại sử dụng mật lần hay truy vấn dạng yêu cầu – đáp ứng (Ví dụ giao thức xác thực: PAP, CHAP, EAP…) Thông thường, xác thực xẩy lúc người dùng đăng nhập lần vào máy yêu cầu dịch vụ từ - Cấp quyền(Authorization): Đây hoạt động xác định người dùng phép làm Nghĩa muốn nói đến việc kiểm sốt hoạt động mà người dùng phép thực mạng tài nguyên mà người dùng phép truy cập Kết là, cấp quyền cung cấp chế cho việc kiểm soát truy cập từ xa phương tiện như: cấp quyền lần, cấp quyề cho dịch vụ, danh sách tài khoản người dùng sách nhóm Thơng thường thuộc tính, đặc quyền quyền truy cập biên dịch lưu trữ sở liệu trung tâm cho mục đích cấp quyền Các thuộc tính quyền định hoạt động mà người dùng phép thực Khi người dùng cần cấp quyền sau xác thực thành công, thuộc tính quyền xác minh dựa vào sở liệu với người dùng chuyển tiếp tới Server liên quan(ví dụ: Server truy cập từ xa) Thông thường, xác thực thực trước cấp quyền, điều khơng thiết phải u cầu Nếu tài nguyên mạng, Server, nhận yêu cầu cấp quyền mà không qua xác thực, Agent cấp quyền thiết bị mạng phải định người dùng truy cập thiết bị mạng phép thực dịch vụ xác định u cầu cấp quyền hay khơng - Kiểm tốn(Auounting): Đây hoạt động điển hình thứ sau xác thực cấp quyền Kiểm toán ghi lại hoạt động mà người dùng thực Kiểm toán chế ghi lại hoạt động mà người dùng thực sau đăng nhập thành cơng vào mạng Kiểm tốn bao hàm việc: thu thập, ghi danh sách, kiểm toán, ghi nhật ký báo cáo định danh người dùng, lệnh thực phiên, số lượng gói truyền tải, vv… Lúc hoạt động người dùng ghi lại, thời gian thực hiện, khoảng thời gian toàn phiên người dùng khoảng thời gian với hoạt động riêng lẻ ghi lại Thông tin chi tiết người dùng giúp người quản trị mạng theo dõi hoạt động người dùng đưa hành động phù hợp để trì an tồn mạng Mặc dù, kiểm tốn xem bước lơgic xác thực cấp quyền, thực thi khơng theo Trong thực tế, kiểm tốn thực thi hoạt động xác thực cấp quyền không thực Trong mơ hình sở liệu bảo mật Client/Server phân tán, số Client, Server truyền thông xác thực định danh người dùng quay số qua trung tâm sở liệu đơn Server xác thực Server xác thực lưu trữ tất thông tin người dùng, mật quyền ưu tiên truy cập họ Phân phối bảo mật đóng vai trị trung tâm liệu xác thực, an tồn phân tán thông tin người dùng thiết bị khác qua mạng Một Server xác thực đơn hỗ trợ hàng trăm Server truyền thông, hàng nghìn người dùng Các Server q trình truyền thơng truy cập Server xác thực cục từ xa qua kết nối mạng diện rộng(WAN) Một số đại lý cung cấp truy cập từ xa IETF đầu việc cố gắng bảo đảm an toàn cho truy cập từ xa, phương tiện bảo mật chuẩn hoá Dịch vụ xác thực người dùng quy số từ xa(RADIUS) hệ thống kiểm soát truy cập thiết bị cuối(TACACS) hai dự án mở khung chuẩn Internet đại lý truy cập từ xa Dịch vụ xác thực người dùng quay số từ xa(RADIUS) RADIUS hệ thống bảo mật phân tán phát triển Livingston Enterprises RADIUS thiết kế dựa khuyến cáo trước từ nhóm Network Access Server Working Requirements IETF Một nhóm IETF làm việc với RADIUS thành lập vào tháng năm 1996 để đưa chuẩn cho giao thức RADIUS, RADIUS giải pháp bảo mật đường quay số thừa nhận IETF Hình 4.1 Dịch vụ xác thực người dùng quay số từ xa RADIUS Hệ thống kiểm soát truy cập thiết bị đầu cuối(TACACS) Tương tự với RADIUS, TACACS giao thức chuẩn công nghiệp Như hình 4.2, lúc Client từ xa đưa yêu cầu xác thực tới NAS gần nhất, yêu cầu chuyển tiếp tới TACACS Sau TACACS chuyển tiếp ID mật cung cấp tới sở liệu trung tâm, sở liệu trung tâm sở liệu TACACS sở liệu bảo mật mở rộng Cuối cùng, thông tin lấy lại chuyển tiếp tới TACACS, chấp nhận từ chối yêu cầu kết nối sở thơng tin nhận từ sở liệu Hình 4.2 Xác thực từ xa dựa TACACS Hiện tại, có hai phiên TACACS thị trường, hai phiên phát triển Cisco Đó là: - XTACACS (eXtended TACACS): Là mở rộng TACACS, hỗ trợ tính cao cấp - TACACS+: Phiên TACACS ban đầu sử dụng Server truy cập riêng dạng Server TACACS+ Server cung cấp dịch vụ xác thực, cấp quyền kiểm toán độc lập NAS giữ vai trò quan trọng xác thực dựa RADIUS dựa TACACS Là Client RADIUS hay TACACS, NAS mã hố thơng tin(ID/Mật người dùng) cung cấp người dùng từ xa trước chuyển tiếp tới Server xác thực mạng chủ cuối, NAS có khả định tuyến yêu cầu xác thực tới Server xác thực khác Server xác thực đích khơng đến 4.1.1 Hoạt động RADIUS RADIUS phát triển Livingston Enterprises, thuộc quyền sở hữu IETF giao thức mở, phân phối dạng mã nguồn người sửa đổi Mặc dùng RADIUS ban đầu phát triển cho người quản trị NAS, sản phẩm hỗ trợ bổ sung thêm ứng dụng/thiết bị khác firewall, truy cập trang web cá nhân, tài khoản Email vấn đề bảo mật Internet liên quan đến xác thực khác RADIUS gồm phần: Có Client RADIUS, ví dụ: NAS hay phần mềm khác Firewall, Client gửi yêu cầu AAA tới RADIUS Server Mặt khác, có RADIUS Server, kiểm tra yêu cầu theo liệu cấu hình trước ... nguyên mạng, Server, nhận yêu cầu cấp quyền mà không qua xác thực, Agent cấp quyền thiết bị mạng phải định người dùng truy cập thiết bị mạng phép thực dịch vụ xác định yêu cầu cấp quyền hay khơng -. ..AAA mô tả ngắn gọn sau: - Xác thực(Authentication): Xác thực bước bảo mật Đây hoạt động xác định người dùng(hoặc thực thể) trước truy cập tài nguyên mạng Xác thực nhiều dạng, dạng truyền... khoảng thời gian với hoạt động riêng lẻ ghi lại Thông tin chi tiết người dùng giúp người quản trị mạng theo dõi hoạt động người dùng đưa hành động phù hợp để trì an tồn mạng Mặc dù, kiểm tốn xem bước