Tham khảo tài liệu ''giáo trình khởi tạo mạng riêng ảo - công nghệ mạng riêng ảo part 20'', công nghệ thông tin, kỹ thuật lập trình phục vụ nhu cầu học tập, nghiên cứu và làm việc hiệu quả
Hình 4.3 Luồng thơng tin RADIUS Mặc dù Server xác thực RADIUS TACACS cài đặt theo nhiều cách khác nhau, tuỳ thuộc vào lược đồ bảo mật mạng mà chúng phục vụ, tiến trình sở cho việc xác thực người dùng giống Sử dụng Moderm, người dùng quay số từ xa kết nối tới Server từ xa (gọi Server truy cập mạng NAS), với Moderm số tương tự Lúc kết nối Moderm tạo, NAS nhắc người dùng tên đăng nhập mật NAS sau tạo yêu cầu xác thực từ gói liệu cung cấp, bao gồm thơng tin định danh mà thiết bị NAS xác định gửi yêu cầu xác thực như: cổng dùng cho kết nối Moderm Tên đăng nhập/Mật Một vai trò quan trọng thực thi Server xác thực, Server mạng để xác nhận tính hợp lệ ID/mật người dùng cho mạng Nếu thiết bị cấu hình cho xác thực qua Server xác thực thiết bị nhận gói liệu từ giao thức xác thực, thiết bị gửi qua ID Mật người dùng tới Server cho việc xác thực Nếu ID/mật người dùng đúng, Server phản hồi lại Thiết bị sau liên lạc với người khởi tạo yêu cầu ban đầu Nếu Server khơng tìm thấy ID/mật người dùng từ chối thiết bị gửi phản hồi tới thiết bị Thiết bị sau từ chối phiên với nơi mà nhận yêu cầu xác thực Server xác thực Server RADIUS Server khác dựa công nghệ xác thực trung tâm khác Kerberos, DCE, SecureID RACF Một Server RADIUS cấu hình để chuyển tiếp yêu cầu tới Server xác thực trung tâm truy cập thành công từ chối thơng tin cấu hình trở lại Client Với việc bảo vệ trước nghe hacker, NAS hoạt động Client RADIUS TACACS, mã hoá mật trước gửi mật tới Server xác thực Nếu Server bảo mật khơng đến được, Client bảo mật thiết bị NAS định tuyến yêu cầu tới Server thay Lúc nhận yêu cầu xác thực, Server xác thực xác minh yêu cầu sau giải mã gói liệu để truy cập thơng tin tên đăng nhập/mật người dùng Nếu tên đăng nhập/mật người dùng đúng, Server gửi gói liệu báo nhận xác thực Gói liệu báo nhận gồm thơng tin lọc bổ sung thông tin yêu cầu tài nguyên mạng người dùng mức cấp quyền Server bảo mật có thể, với thể dạng NAS mà người dùng cần TCP/IP và/hoặc Internet Packet Exchange (IPX) sử dụng PPP, mà người dùng cần SLIP để kết nối tới mạng Nó gồm thông tin tài nguyên mạng xác định mà người dùng phép truy cập Để phá hỏng việc nghe mạng, Server bảo mật gửi khóa xác thực chữ ký, nhận dạng tới Client bảo mật Một NAS nhận thơng tin này, cho phép cấu hình mức cần thiết phép người dùng quyền truy cập dịch vụ tài nguyên mạng Nếu điểm tất tiến trình đăng nhập mà điều kiện xác thực cần thiết không thỏa mãn, Server sở liệu bảo mật gửi thông điệp từ chối xác thực tới thiết bị NAS người dùng bị từ chối truy cập mạng 4.1.2 Sử dụng RADIUS với đường hầm tầng RADIUS dùng để xác thực đường hầm tầng kết nối PPP phần quan trọng với mạng riêng ảo Có mơ hình đường hầm tầng 2, mơ hình tự nguyện bắt buộc RADIUS dùng trường hợp để xác thực người dùng cấp quyền/từ chối thiết lập đường hầm hay thiết lập phiên Điều bổ sung thêm tầng bảo mật với kịch mạng riêng ảo tầng đường hầm thiết lập phiên thiết lập, khơng có luồng thơng tin phép chuyển qua đường hầm, thêm vào đó, việc xác thực truy cập tới đường hầm kiểm sốt tập trung Hình 4.4 minh họa cách sử dụng RADIUS khác mơi trường mạng riêng ảo mà đường hầm bắt buộc dùng liên quan tới ISP để thiết lập đường hầm hay bắt đầu phiên qua đường hầm tồn với tư cách đại diện Client từ xa ISP dùng server ủy quyền RADIUS để chuyển thiếp xác thực client trở lại Server xác thực trung tâm khơng cần phải trì thơng tin người dùng hai vị trí, ISP Server trung tâm Hình 4.4 Sử dụng RADIUS với đường hầm tầng 4.2 Chuyển dịch địa mạng(NAT) Ban đầu NAT đề xuất giải pháp ngắn hạn cho vấn đề cạn kiệt địa IP Tuy nhiên, NAT phương tiện hiệu để ngăn chặn Hacker người dùng bên xâm nhập vào mạng Để đảm bảo truyền thông nơi Internet, tất địa IP phải gán cách thức IANA Điều trở nên khó khăn để hồn thành số lượng dãi địa sẵn dùng bị giới hạn Trước đây, nhiều tổ chức sử dụng địa IP cục bộ, không nghĩ tới yêu cầu kết nối Internet Ý tưởng NAT dựa thực tế số lượng nhỏ Host mạng riêng liên lạc với giới bên Nếu Host gán địa IP từ quĩ địa IP thức lúc cần liên lạc, có số lượng nhỏ địa thức yêu cầu NAT giải pháp cho mạng có dãi địa IP riêng địa trái phép muốn liên với Host Internet Trong thực tế, điều hồn tất việc thực thi firewall Vì lý do, Client liên lạc với Internet việc sử dụng Proxy SOCKS Server không để lộ địa họ với Interner, nên địa họ dịch chuyển Tuy nhiên, nhiều lý do, lúc Proxy hay SOCKS khơng sẵn sàng không phù hợp với yêu cầu đặc biệt, NAT phải dùng để quản lý lưu lượng mạng bên bên ngồi để khơng quảng cáo địa Host bên bên ngồi Xét mạng bên có dựa khơng gian địa IP riêng người dùng muốn dùng giao thức ứng dụng khơng có cổng kết nối ứng dụng Chỉ có tùy chọn thiết lập kết nối mức IP Host mạng bên Host Internet, Vì định tuyến khơng biết cách thức định tuyến gói IP trở lại địa IP riêng, khơng có điểm để gửi gói IP với địa IP riêng địa IP nguồn qua Router vào Internet Như hình 4.5, NAT lưu giữ địa cách lấy địa IP gói liệu dịch thành địa thức, Với gói vào dịch địa thức thành địa Hình 4.5 Dịch chuyển địa mạng Từ vị trí hai Host trao đổi gói IP với nhau, mạng an tồn mạng khơng an tồn, NAT giống định tuyến IP chuẩn chuyển tiếp gói IP giao diện mạng(Xem hình 4.6) Hình 4.6 NAT mạng an tồn mạng khơng an tồn 4.2.1 Sử dụng NAT với mạng riêng ảo NAT làm việc tốt với địa IP phần tiêu đề Một số giao thức ứng dụng trao đổi thông tin địa IP phần liệu ứng dụng gói IP, thơng thường NAT khơng có khả lưu giữ dịch chuyển địa IP giao thức ứng dụng Hiện tại, hầu hết thực thi xử lý giao thức FTP Nên ý thực thi NAT cho ứng dụng đặc biệt có thơng tin IP liệu ứng dụng phức tạp nhiều so với thực thi NAT chuẩn Giới hạn quan trọng khác NAT NAT thay đổi số tất thơng tin địa gói IP Lúc xác thực IPSec đầu cuối - đến - đầu cuối dùng, địa gói thay đổi ln thất bại kiểm tra tính tồn vẹn giao thức xác thực tiêu đề(AH), bít bị thay đổi gói liệu làm hiệu lực giá trị kiểm tra toàn vẹn đa tạo nguồn Vì giao thức IPSec đề xuất số giải pháp để giải vấn đề địa lưu giữ trước NAT, không cần thiết dùng NAT lúc tất Host tạo nên tổng thể mạng riêng ảo sử dụng địa IP toàn cục nhất(Public) Việc ẩn địa hồn tất chế độ đường hầm IPSec Nếu Công ty sử dụng địa riêng mạng Intranet, chế độ đường hầm IPSec giữ cho chúng không xuất dạng rõ mạng cơng cộng, loại trừ cần thiết có NAT 4.3 Giao thức SOCKS Một cổng mạch vòng tiếp nhận TCP kết nối UPD khơng cung cấp thêm tiến trình xử lý lọc gói Một cổng mạch vịng loại đặc biệt cổng nối mức ứng dụng Điều cổng nối mức ứng dụng cấu hình để chuyển qua tất thông tin người dùng xác thực, xem cổng mạch vịng(xem hình 4.7) Tuy nhiên thực hành, có khác đáng kể chúng: - Các cổng mạch vịng sử dụng số ứng dụng TCP/IP ứng dụng UDP mà khơng phải sửa đổi Client cho ứng dụng Như vậy, điều làm cho cổng mạch vòng trở thành lựa chọn tốt để thoã mãn yêu cầu người dùng - Các cổng mạch vịng khơng cung cấp xử lý lọc gói Như cổng nối dạng thường xem cổng nối suốt ... thiết dùng NAT lúc tất Host tạo nên tổng thể mạng riêng ảo sử dụng địa IP toàn cục nhất(Public) Việc ẩn địa hồn tất chế độ đường hầm IPSec Nếu Công ty sử dụng địa riêng mạng Intranet, chế độ đường... địa mạng Từ vị trí hai Host trao đổi gói IP với nhau, mạng an tồn mạng khơng an tồn, NAT giống định tuyến IP chuẩn chuyển tiếp gói IP giao diện mạng( Xem hình 4.6) Hình 4.6 NAT mạng an tồn mạng. .. cấp quyền/từ chối thiết lập đường hầm hay thiết lập phiên Điều bổ sung thêm tầng bảo mật với kịch mạng riêng ảo tầng đường hầm thiết lập phiên thiết lập, khơng có luồng thơng tin phép chuyển