Hệ điều hành RouterOS có thể thực hiện vai trò Máy chủ Ủy thác Web (Web Proxy server) để lƣu trữ tạm (cache) các nguồn tại nguyên Web dƣới dạng các file sao lƣu (copied and cached files) và nhờ đó tăng tốc độ duyệt Web của ngƣời dùng khi có yêu cầu cùng nội dung. Máy chủ Ủy thác Web trên RouterOS thực hiện các chức năng sau:
o Ủy thác HTTP thông thƣờng ( Regular HTTP Proxy) - Nhà quản trị mạng cấu hình chỉ định Máy chủ Ủy thác trên RouterOS và ngƣời dùng cấu hình chỉ định Máy chủ Ủy thác trên trình duyệt Web của máy tính.
o Uy thác HTTP trong suốt đối với ngƣời dùng (Transperent HTTP Proxy) - Ngƣời dùng hoàn toàn không biết có Máy chủ Ủy thác hoạt động và họ cũng không thay đổi bất kỳ cấu hình gì trên trình duyệt Web của máy tính.
o Danh sách truy cập (Access List) - Thiết lập các quy tắc để duyệt hoặc không duyệt danh sách Web đƣợc yêu cầu (tƣơng tự nhƣ tƣờng lửa) theo địa chỉ nguồn, theo địa chỉ đích, theo URL và theo các phƣơng thức yêu cầu HTTP (GET, HEAD,...). Nếu phù hợp với quy tắc, một tác động (action) tƣơng ứng với quy tắc sẽ đƣợc thực thi.
o Danh sách Lƣu trữ tạm (Cache Access List) - Xác định các đối tƣợng (tên miền, máy chủ, trang web..) có thể đƣợc lƣu nhớ tại Máy chủ Ủy thác.
o Danh sách Lƣu trữ tạm trong máy chủ Ủy thác đang xử lý (Direct Access List ) - Xác định tài nguyên nào truy cập trực tiếp tại máy chủ Ủy thác đang xử lý hoặc truy cập thông qua một máy chủ Ủy thác khác.
o Danh sách Kết nối (Connection List) - Danh sách các kết nối hiện tại mà Máy chủ Ủy thác đang phục vụ.
o Phƣơng tiện Ghi chép (Logging facility) - Cho phép lấy và lƣu trữ các thông tin liên quan đến hoạt động của Máy chủ Ủy thác.
o Ủy thác đối với các yêu cầu theo nghi thức SOCKS. o Hỗ trợ Máy chủ Ủy thác mẹ (Parent proxy support) o Lƣu trữ tạm (Cache) trên ổ đĩa bên ngoài.
Tại các mạng WiFi Công Cộng (WiFi Hotspot), hệ điều hành RouterOS có thể vừa Quản lý Truy cập Mạng mà vừa hoạt động nhƣ một Máy chủ Ủy thác Trong suốt đối với ngƣời dùng (Transparent Proxy server) .RouterOS sẽ tự động lấy các yêu cầu HTTP từ trình duyệt Web của ngƣời dùng, chuyển hƣớng yêu cầu đến Máy chủ Ủy thác cục bộ (Local Proxy server) và nhờ đó giúp tăng tốc độ duyệt Web đáng kể mà không cần thay đổi cấu hình trong trình duyệt Web của ngƣời dùng, đặc biệt là khách vãng lai.
56 4.1.7. Chất lƣợng Dịch vụ (QoS)
Kiểm soát băng thông, thiết lập các cơ chế kiểm soát tốc độ dữ liệu cấp phát, độ trễ, độ tin cậy mạng.
Cấu hình ƣu tiên hay định hình lƣu lƣợng mạng:
o Giới hạn tốc độ dữ liệu cho từng IP, subnet, giao thức, port cụ thể và các thông số khác.
o Giới hạn lƣu lƣợng peer-to-peer o Ƣu tiên luồng gói tin
o Sử dụng hàng đợi cho duyệt web nhanh hơn
o Áp dụng hang đợi trong các khoảng thời gian nhất định
o Chia sẻ băng thông lƣu lƣợng ngƣời dùng đồng đều hoặc tùy thuộc tải của kênh
4.1.8. Phần mềm Quản lý Thiết bị - The Dude
The Dude là phần mềm giám sát mạng, sẽ tự động quét các thiết bị trong mạng con đƣợc chỉ định, vẽ và xây dựng một sơ đồ mạng lƣới, theo dõi dịch vụ của các thiết bị mạng và cảnh báo khi các dịch vụ gặp vấn đề.
Không chỉ có thể theo dõi các thiết bị RouterOS mà còn có thể theo dõi bất kỳ thiết bị nào có thể truy cập bằng cách ping, hoặc cung cấp thông tin SNMP.
Cho phép đƣa ra các biểu đồ lƣu lƣợng, báo cáo nghẽn gián đoạn, và thậm chí thể hiện nhƣ một SysLog server lƣu trữ các Log file thiết bị.
The Dude cũng có thể quản lý cấu hình RouterOS thiết bị mạng của bạn, tự động nâng cấp phần mềm và cấu hình hàng loạt thiết bị.
The Dude là một phần mềm ứng dụng miễn phí. 4.1.9. Cấu hình Thiết bị
RouterOS hỗ trợ nhiều phƣơng thức cấu hình thông qua cổng Serial Console kết nối terminal, Cấu hình với giao diện GUI thông qua công cụ Winbox, cấu hình dựa trên giao diện web hoặc cho phép xây dựng chƣơng trình API tạo ra một ứng dụng điều khiển… Ngoài ra RouterOS cũng hỗ trợ kết nối dựa trên lớp MAC với khả năng tùy chỉnh đƣợc thực hiện bởi công cụ MAC-Telnet và Winbox.
4.1.10.Đẩy dữ liệu (Forwarding)
Hệ điều hành RouterOS hỗ trợ chuyển tiếp lớp 2 (Layer2 forwarding) bao gồm Bridging, Mesh và HWMP+. Với HWMP+ là một giao thức định tuyến
57
mới cho mạng vô tuyến Mesh, cải thiện HWMP (Hybrid Wireless Mesh Protocol) trong chuẩn dự thảo 802.11s.
Sử dụng công nghệ (R)STP có thể loại bỏ các địa chỉ MAC trùng đƣợc nhìn từ nhiều port Bridge bằng cách vô hiệu hóa port thứ cấp tới địa chỉ MAC. Điều này giúp chống loop và cải thiện độ tin cậy của mạng.
4.1.11. Giao thức MPLS
MPLS là chuẩn chuyển mạch nhãn đa giao thức (MultiProtocol Label Switching). Nó có thể thay thế quyết định chuyển tiếp gói tin (packets forwarding) và định tuyến IP (IP routing), không còn dựa trên trƣờng IP header và bảng định tuyến mà thay vào đó nhãn sẽ đƣợc gắn vào gói tin. Phƣơng thức này tăng tốc quá trình chuyển tiếp vì tra cứu node kế tiếp đơn giản hơn so với tra cứu bởi bảng định tuyến.
MPLS giúp dễ dàng tạo các “liên kết ảo” giữa các node trong mạng, bất chấp giao thức mã hóa dữ liệu của chúng.
Trong một mạng MPLS, các gói dữ liệu đƣợc chỉ định nhãn. Quyết định chuyển tiếp gói tin đƣợc thực hiện hoàn toàn dựa trên nội dung các nhãn này, mà không cần kiểm tra các gói dữ liệu riêng của nó. Điều này cho phép tạo ra một mạch liên kết end-to-end thông qua các router, switch… sử dụng bất kỳ giao thức nào.
Một vài tính năng MPLS đƣợc hỗ trợ o Static Label binding cho IPv4
o Giao thức phân phối nhãn (Label Distribution Protocol) cho IPv4 o RSVP Traffic Engineering tunnels
o Tự động phát hiện và báo hiệu dựa trên VPLS MP-BGP o MP-BGP dựa trên MPLS IP VPN
4.1.12.VPN
Hỗ trợ thiết lập kết nối an toàn, liên kết mã hóa sử dụng các phƣơng pháp và các giao thức liên kết tunnel khác nhau.
o Cho phép cấu hình các chế độ mạng thông suốt, liên kết đƣờng hầm tunnel, IPsec, các giao thức mã hóa.
o Liên kết đƣờng hầm tunnel điểm-điểm
o Cấu hình phân định VLAN chuẩn 802.1Q, hỗ trợ tạo các VLAN ảo… o Hỗ trợ tính năng độc quyền EoIP, là một giao thức liên kết tunnel
Ethernet giữ hai thiết bị định tuyến trên một kết nối IP. Khi chức năng cầu liên kết của đƣợc kích hoạt, tất cả lƣu lƣợng Ethernet sẽ đƣợc bắt cầu giống nhƣ là một cáp kết nối giữa hai router. Điều này giúp cho nhiều sơ đồ mạng có thể kết nối LAN bắt cầu qua Internet.
58
RouterOS hỗ trợ nhiều công nghệ vô tuyến, khả năng thích hợp cho thiết kế sử dụng các mạng WiFi hộ gia đình, hoặc xây dựng một mạng mesh công cộng diện rộng.
o Chuẩn mạng vô tuyến 802.11a/b/g/n
o Giao thức độc quyền Nstreme và Nstreme2 o Cơ chế Client Polling
o RTS/CTS o WDS o AP ảo
o Access Control List o Roaming
o WMM
o Giao thức HWMP+
o Giao thức định tuyến MME
Giao thức không mạng không dây Nstreme và Nstreme2 cho phép mở rộng phạm vi kết nối và cải thiện tốc độ khi sử dụng router Mikrotik tại mỗi đầu. Ngoài ra Nstreme dual cũng đƣợc hỗ trợ cho phép sử dụng hai anten mỗi đầu, một để truyền và một cho nhận.
4.1.14.Công cụ hỗ trợ
Để giúp quản lý mạng, RouterOS cung cấp nhiều công cụ cho phép quản lý và tối ƣu mạng
o Ping, tracer route
o Bandwidth test, ping flood o Packet sniffer, torch o Telnet, SSH
o E-mail and SMS send tools o Automated script execution tools o CALEA data mirroring
o File Fetch tool
o Active connection table o NTP Client and Server o TFTP server
o Dynamic DNS updater o VRRP redundancy support
o SNMP for providing graphs and stats o RADIUS client and server (User Manager) 4.1.15.Giấy phép (License)
59
Mỗi RouterOS đi kèm với một chứng chỉ giấy phép (License key) để đƣợc sử dụng mãi mãi và bắt buộc phải mua để có đƣợc nó.
Có 4 loại License key từ License L3 (level 3) - cấp thấp nhất với một số hạn chế cho đến License L6 – cấp cao nhất và không bị giới hạn tính năng
Mỗi thiết bị RouterBoard của Mikrotik đã đƣợc cài đặt trƣớc một License RouterOS version và không yêu cầu mua thêm
4.2.Cisco secure ACS
60
4.2.1.1. Môi trường truy cập ngày càng mở rộng
Hình 4-1 Mô hình mạng doanh nghiệp
Trong môi trƣờng kinh doanh luôn thay đổi, nhân viên không bị giới hạn trong một không gian văn phòng duy nhất để thực hiện chức năng công việc của họ , họ có thể thực hiện công việc của họ từ bất cứ nơi nào . Vì vậy, ngƣời sử dụng lao động cần phải cung cấp cho nhân viên sự linh hoạt để truy cập tài nguyên mạng theo nhiều cách . Trong những năm gần đây , các công ty ngày càng có nhiều khả năng truy cập thêm để tận dụng công nghệ và an ninh tiến bộ .
Thật không may, tính chất nhạy cảm của tài nguyên mạng công ty, và các hành vi tinh nghịch và đôi khi nguy hiểm của một số ngƣời, đòi hỏi ngƣời quản trị mạng cần phải kiểm soát và giám sát truy cập một cách cẩn thận . Các khái niệm về kiểm soát truy cập cũng có thể đƣợc mở rộng đến các truy cập quản trị đến các thiết bị mạng cho các cấu hình và giám sát.
Kiểm soát và quản lý truy cập đƣợc thực hiện thông qua một bộ ba chức năng bảo mật độc lập đƣợc gọi chung là AAA hoặc Authentication, Authorization , và Accounting[1] PGS. TSKH. Hoàng Đăng Hải (2012), Tổng quan về an ninh mạng, Trung tâm VNCERT - Bộ Thông tin và Truyền thông.
[2] PGS. TSKH. Hoàng Đăng Hải (2012), Các kỹ thuật tấn công, xâm nhập hệ thống.
61
[3] ThS Trần Công Hùng (2002), Kỹ thuật Mạng riêng ảo (VPN), Học viện Bƣu chính Viễn thông, NXB Bƣu Điện.
[4] Harris Andrea (2010), Cisco ASA Firewall Fundamentals, 2nd Edition. .
4.2.1.2. Quản lý truy cập lúc trước
Hình 4-2 Quản lý truy cập đơn giản
Trong quá khứ, không có nhiều nguy cơ về bảo mật mạng. Ngƣời sử dụng cần phải đƣợc kết nối vật lý trong khuôn viên của công ty và các mạng thì nhỏ hơn . Nhƣng bây giờ, các mạng doanh nghiệp có thể đƣợc truy cập bằng cách sử dụng card không dây hoặc sử dụng mạng của ISP và VPN. Ngƣời sử dụng mạng không dây để dễ dàng truy cập Internet và các tài nguyên khác của công ty qua các kết nối không bảo mật. Vậy tại sao các nhà quản trị mạng không bảo mật các kết nối của họ . Hoặc các quản trị mạng không triển khai các dịch vụ AAA vì tốn thời gian , không có khả năng mở rộng, khó quản lý .
Hầu hết các thiết bị truy cập mạng đi kèm với tính năng loại AAA nhúng vào trong phần mềm của họ . Ví dụ đơn giản , thiết bị Cisco IOS cho phép bạn cấu hình danh sách truy cập (ACL ) để kiểm soát truy cập bởi các host, protocol,
interface , vv Vì vậy, cần phải giải quyết vấn đề. Vâng, trong một mạng rất nhỏ , có thể là khả thi cho một quản trị mạng cho cấu hình từng thiết bị truy cập . Ngoài ra,
62
cấu hình chỉ đơn giản là cấp quyền cho những ngƣời cần truy cập đầy đủ bằng việc cho phép nhập mật khẩu có thể đƣợc truy cập đầy đủ. Nhƣng khi mạng phát triển lớn hơn và phân tán về mặt địa lý ? Cấu hình thiết bị cá nhân từng ngƣời một trở nên rất tốn thời gian. Với sự gia tăng các thiết bị , các yêu cầu về quyền truy cập cũng tăng tƣơng tự trong quản trị mạng không thể tránh khỏi . Bây giờ, nếu trong một khu vực quản trị viên chỉ cần truy cập vào các thiết bị trong khu vực của họ , nhƣng một quản trị toàn cầu cần truy cập vào tất cả các thiết bị , quản lý theo mật khẩu không thể là khả thi.
4.2.1.3. Quản lý truy cập hiện nay
Một cách tốt hơn - AAA Client / Server
May mắn thay, hầu hết các thiết bị truy cập cũng có nhúng AAA client kết nối đến một máy chủ AAA. Điều này cho phép kiểm soát truy cập đƣợc tập trung để cho phép để quản lý nhanh chóng thay đổi kiểm soát truy cập cho ngƣời dùng và các thiết bị trên toàn cầu ; một giải pháp có khả năng mở rộng hơn . Máy chủ AAA tập trung cho phép kiểm soát truy cập chính xác .
AAA client sử dụng hai giao thức khác nhau để truyền đạt yêu cầu AAA tới máy chủ AAA : Terminal Access Controller Access Control System (TACACS+) và Remote Access Dial-In User Service (RADIUS).
Khi một ngƣời dùng truy cập vào mạng hoặc các thiết bị mạng thông qua một thiết bị cấu hình nhƣ một AAA client , AAA client chuyển tiếp yêu cầu chứng
63
thực của ngƣời dùng đến máy chủ AAA (tức là tên đăng nhập và mật khẩu). Máy chủ AAA trả về bản tin thành công hay thất bại phụ thuộc vào thông tin trong kho lƣu trữ của máy chủ. Một khi ngƣời dùng đƣợc xác thực thành công , máy chủ AAA gửi một tập các thuộc tính của sestion ( authorization ) cho AAA client để cung cấp thêm thuộc tính bảo mật và kiểm soát các đặc quyền cho ngƣời sử dụng .
Chúng ta hãy xem xét kỹ hơn hai giao thức AAA sử dụng giữa khách AAA client và máy chủ AAA.
4.2.1.4. Giải pháp AAA của Cisco - Access Control Server (ACS)
Hình 4-3 Giải pháp AAA của Cisco
Giải pháp của Cisco với các dịch vụ AAA là Cisco Secure Access Control Server ( ACS) . ACS là có khả năng mở rộng , máy chủ kiểm soát truy cập hiệu suất cao hoạt động nhƣ một máy chủ RADIUS, TACACS + tập trung để kiểm soát chứng thực , ủy quyền, và kế toán của ngƣời sử dụng truy cập vào các nguồn tài nguyên doanh nghiệp thông qua mạng. ACS đƣợc quản lý từ một giao diện đồ họa dựa trên web, và phân phối điều khiển AAA đến hàng trăm hoặc hàng ngàn cổng truy cập trong mạng. ACS có thể quản lý truy cập ngƣời dùng cho Cisco IOS router, mạng riêng ảo (VPN) , tƣờng lửa, quay số và truy cập băng rộng DSL , giải pháp truy cập cáp , thoại qua IP (VoIP) , các giải pháp không dây của Cisco , và Cisco Catalyst switches thông qua IEEE 802.1X access control . Ngoài ra, ACS cũng cho phép tăng cƣờng quản lý các thiết bị mạng TACACS cho phép sử dụng một thiết bị command policy engine.
64
4.2.2. Một số chức năng AAA nhúng vào trong Cisco Secure ACS
4.2.2.1. Các phương pháp xác thực Cisco Secure ACS hỗ trợ
Hình thức đơn giản của xác thực là yêu cầu ngƣời dùng cung cấp tên ngƣời dùng và mật khẩu.
Khi nhận đƣợc thông tin này, một AAA client chuyển tiếp nó tới máy chủ AAA hoặc hệ thống Cisco Secure ACS bằng cách sử dụng RADIUS hoặc TACACS +. Nhƣ đã thảo luận trƣớc đó, cả hai RADIUS và TACACS + mã hóa mật khẩu bằng cách sử dụng phƣơng pháp khác nhau, nhƣng mật khẩu là đƣợc truyền dạng clear text giữa máy trạm của ngƣời dùng và AAA client.
Sử dụng một tên ngƣời dùng và mật khẩu cố định để xác thực có thể dễ dàng triển khai thực hiện; Tuy nhiên, càng phân cấp đặc quyền của ngƣời dùng thì càng bảo mật hơn. Sử dụng hình thức đơn giản gửi mật khẩu dạng clear-text qua đƣờng truyền là không bảo mật. Vì vậy, phƣơng pháp xác thực hiện đại và an toàn hơn đã đƣợc phát triển, nhƣ Challenge Handshake Authentication Protocol (CHAP) và OTPs (mật khẩu một lần). Để cung cấp quản trị mạng với sự linh hoạt cao, Cisco Secure ACS hỗ trợ một loạt các phƣơng pháp xác thực, chẳng hạn nhƣ:
• PAP (Password Authentication Protocol)-Sử dụng mật khẩu clear-text (có nghĩa là mật khẩu không đƣợc mã hóa) và là giao thức xác thực ít bảo mật nhất. Nếu bạn đang sử dụng cơ sở dữ liệu ngƣời dùng Windows NT/2000 để xác thực ngƣời dùng, bạn phải sử dụng mã hóa mật khẩu PAP hoặc MSCHAP.
• CHAP-Sử dụng một cơ chế challenge-response với mã hóa một chiều trên response . CHAP cho phép Cisco Secure ACS thƣơng lƣợng từ cơ chết mã hoá an