The Dude là phần mềm giám sát mạng, sẽ tự động quét các thiết bị trong mạng con đƣợc chỉ định, vẽ và xây dựng một sơ đồ mạng lƣới, theo dõi dịch vụ của các thiết bị mạng và cảnh báo khi các dịch vụ gặp vấn đề.
Không chỉ có thể theo dõi các thiết bị RouterOS mà còn có thể theo dõi bất kỳ thiết bị nào có thể truy cập bằng cách ping, hoặc cung cấp thông tin SNMP.
Cho phép đƣa ra các biểu đồ lƣu lƣợng, báo cáo nghẽn gián đoạn, và thậm chí thể hiện nhƣ một SysLog server lƣu trữ các Log file thiết bị.
The Dude cũng có thể quản lý cấu hình RouterOS thiết bị mạng của bạn, tự động nâng cấp phần mềm và cấu hình hàng loạt thiết bị.
The Dude là một phần mềm ứng dụng miễn phí. 4.1.9. Cấu hình Thiết bị
RouterOS hỗ trợ nhiều phƣơng thức cấu hình thông qua cổng Serial Console kết nối terminal, Cấu hình với giao diện GUI thông qua công cụ Winbox, cấu hình dựa trên giao diện web hoặc cho phép xây dựng chƣơng trình API tạo ra một ứng dụng điều khiển… Ngoài ra RouterOS cũng hỗ trợ kết nối dựa trên lớp MAC với khả năng tùy chỉnh đƣợc thực hiện bởi công cụ MAC-Telnet và Winbox.
4.1.10.Đẩy dữ liệu (Forwarding)
Hệ điều hành RouterOS hỗ trợ chuyển tiếp lớp 2 (Layer2 forwarding) bao gồm Bridging, Mesh và HWMP+. Với HWMP+ là một giao thức định tuyến
57
mới cho mạng vô tuyến Mesh, cải thiện HWMP (Hybrid Wireless Mesh Protocol) trong chuẩn dự thảo 802.11s.
Sử dụng công nghệ (R)STP có thể loại bỏ các địa chỉ MAC trùng đƣợc nhìn từ nhiều port Bridge bằng cách vô hiệu hóa port thứ cấp tới địa chỉ MAC. Điều này giúp chống loop và cải thiện độ tin cậy của mạng.
4.1.11. Giao thức MPLS
MPLS là chuẩn chuyển mạch nhãn đa giao thức (MultiProtocol Label Switching). Nó có thể thay thế quyết định chuyển tiếp gói tin (packets forwarding) và định tuyến IP (IP routing), không còn dựa trên trƣờng IP header và bảng định tuyến mà thay vào đó nhãn sẽ đƣợc gắn vào gói tin. Phƣơng thức này tăng tốc quá trình chuyển tiếp vì tra cứu node kế tiếp đơn giản hơn so với tra cứu bởi bảng định tuyến.
MPLS giúp dễ dàng tạo các “liên kết ảo” giữa các node trong mạng, bất chấp giao thức mã hóa dữ liệu của chúng.
Trong một mạng MPLS, các gói dữ liệu đƣợc chỉ định nhãn. Quyết định chuyển tiếp gói tin đƣợc thực hiện hoàn toàn dựa trên nội dung các nhãn này, mà không cần kiểm tra các gói dữ liệu riêng của nó. Điều này cho phép tạo ra một mạch liên kết end-to-end thông qua các router, switch… sử dụng bất kỳ giao thức nào.
Một vài tính năng MPLS đƣợc hỗ trợ o Static Label binding cho IPv4
o Giao thức phân phối nhãn (Label Distribution Protocol) cho IPv4 o RSVP Traffic Engineering tunnels
o Tự động phát hiện và báo hiệu dựa trên VPLS MP-BGP o MP-BGP dựa trên MPLS IP VPN
4.1.12.VPN
Hỗ trợ thiết lập kết nối an toàn, liên kết mã hóa sử dụng các phƣơng pháp và các giao thức liên kết tunnel khác nhau.
o Cho phép cấu hình các chế độ mạng thông suốt, liên kết đƣờng hầm tunnel, IPsec, các giao thức mã hóa.
o Liên kết đƣờng hầm tunnel điểm-điểm
o Cấu hình phân định VLAN chuẩn 802.1Q, hỗ trợ tạo các VLAN ảo… o Hỗ trợ tính năng độc quyền EoIP, là một giao thức liên kết tunnel
Ethernet giữ hai thiết bị định tuyến trên một kết nối IP. Khi chức năng cầu liên kết của đƣợc kích hoạt, tất cả lƣu lƣợng Ethernet sẽ đƣợc bắt cầu giống nhƣ là một cáp kết nối giữa hai router. Điều này giúp cho nhiều sơ đồ mạng có thể kết nối LAN bắt cầu qua Internet.
58
RouterOS hỗ trợ nhiều công nghệ vô tuyến, khả năng thích hợp cho thiết kế sử dụng các mạng WiFi hộ gia đình, hoặc xây dựng một mạng mesh công cộng diện rộng.
o Chuẩn mạng vô tuyến 802.11a/b/g/n
o Giao thức độc quyền Nstreme và Nstreme2 o Cơ chế Client Polling
o RTS/CTS o WDS o AP ảo
o Access Control List o Roaming
o WMM
o Giao thức HWMP+
o Giao thức định tuyến MME
Giao thức không mạng không dây Nstreme và Nstreme2 cho phép mở rộng phạm vi kết nối và cải thiện tốc độ khi sử dụng router Mikrotik tại mỗi đầu. Ngoài ra Nstreme dual cũng đƣợc hỗ trợ cho phép sử dụng hai anten mỗi đầu, một để truyền và một cho nhận.
4.1.14.Công cụ hỗ trợ
Để giúp quản lý mạng, RouterOS cung cấp nhiều công cụ cho phép quản lý và tối ƣu mạng
o Ping, tracer route
o Bandwidth test, ping flood o Packet sniffer, torch o Telnet, SSH
o E-mail and SMS send tools o Automated script execution tools o CALEA data mirroring
o File Fetch tool
o Active connection table o NTP Client and Server o TFTP server
o Dynamic DNS updater o VRRP redundancy support
o SNMP for providing graphs and stats o RADIUS client and server (User Manager) 4.1.15.Giấy phép (License)
59
Mỗi RouterOS đi kèm với một chứng chỉ giấy phép (License key) để đƣợc sử dụng mãi mãi và bắt buộc phải mua để có đƣợc nó.
Có 4 loại License key từ License L3 (level 3) - cấp thấp nhất với một số hạn chế cho đến License L6 – cấp cao nhất và không bị giới hạn tính năng
Mỗi thiết bị RouterBoard của Mikrotik đã đƣợc cài đặt trƣớc một License RouterOS version và không yêu cầu mua thêm
4.2.Cisco secure ACS
60
4.2.1.1. Môi trường truy cập ngày càng mở rộng
Hình 4-1 Mô hình mạng doanh nghiệp
Trong môi trƣờng kinh doanh luôn thay đổi, nhân viên không bị giới hạn trong một không gian văn phòng duy nhất để thực hiện chức năng công việc của họ , họ có thể thực hiện công việc của họ từ bất cứ nơi nào . Vì vậy, ngƣời sử dụng lao động cần phải cung cấp cho nhân viên sự linh hoạt để truy cập tài nguyên mạng theo nhiều cách . Trong những năm gần đây , các công ty ngày càng có nhiều khả năng truy cập thêm để tận dụng công nghệ và an ninh tiến bộ .
Thật không may, tính chất nhạy cảm của tài nguyên mạng công ty, và các hành vi tinh nghịch và đôi khi nguy hiểm của một số ngƣời, đòi hỏi ngƣời quản trị mạng cần phải kiểm soát và giám sát truy cập một cách cẩn thận . Các khái niệm về kiểm soát truy cập cũng có thể đƣợc mở rộng đến các truy cập quản trị đến các thiết bị mạng cho các cấu hình và giám sát.
Kiểm soát và quản lý truy cập đƣợc thực hiện thông qua một bộ ba chức năng bảo mật độc lập đƣợc gọi chung là AAA hoặc Authentication, Authorization , và Accounting[1] PGS. TSKH. Hoàng Đăng Hải (2012), Tổng quan về an ninh mạng, Trung tâm VNCERT - Bộ Thông tin và Truyền thông.
[2] PGS. TSKH. Hoàng Đăng Hải (2012), Các kỹ thuật tấn công, xâm nhập hệ thống.
61
[3] ThS Trần Công Hùng (2002), Kỹ thuật Mạng riêng ảo (VPN), Học viện Bƣu chính Viễn thông, NXB Bƣu Điện.
[4] Harris Andrea (2010), Cisco ASA Firewall Fundamentals, 2nd Edition. .
4.2.1.2. Quản lý truy cập lúc trước
Hình 4-2 Quản lý truy cập đơn giản
Trong quá khứ, không có nhiều nguy cơ về bảo mật mạng. Ngƣời sử dụng cần phải đƣợc kết nối vật lý trong khuôn viên của công ty và các mạng thì nhỏ hơn . Nhƣng bây giờ, các mạng doanh nghiệp có thể đƣợc truy cập bằng cách sử dụng card không dây hoặc sử dụng mạng của ISP và VPN. Ngƣời sử dụng mạng không dây để dễ dàng truy cập Internet và các tài nguyên khác của công ty qua các kết nối không bảo mật. Vậy tại sao các nhà quản trị mạng không bảo mật các kết nối của họ . Hoặc các quản trị mạng không triển khai các dịch vụ AAA vì tốn thời gian , không có khả năng mở rộng, khó quản lý .
Hầu hết các thiết bị truy cập mạng đi kèm với tính năng loại AAA nhúng vào trong phần mềm của họ . Ví dụ đơn giản , thiết bị Cisco IOS cho phép bạn cấu hình danh sách truy cập (ACL ) để kiểm soát truy cập bởi các host, protocol,
interface , vv Vì vậy, cần phải giải quyết vấn đề. Vâng, trong một mạng rất nhỏ , có thể là khả thi cho một quản trị mạng cho cấu hình từng thiết bị truy cập . Ngoài ra,
62
cấu hình chỉ đơn giản là cấp quyền cho những ngƣời cần truy cập đầy đủ bằng việc cho phép nhập mật khẩu có thể đƣợc truy cập đầy đủ. Nhƣng khi mạng phát triển lớn hơn và phân tán về mặt địa lý ? Cấu hình thiết bị cá nhân từng ngƣời một trở nên rất tốn thời gian. Với sự gia tăng các thiết bị , các yêu cầu về quyền truy cập cũng tăng tƣơng tự trong quản trị mạng không thể tránh khỏi . Bây giờ, nếu trong một khu vực quản trị viên chỉ cần truy cập vào các thiết bị trong khu vực của họ , nhƣng một quản trị toàn cầu cần truy cập vào tất cả các thiết bị , quản lý theo mật khẩu không thể là khả thi.
4.2.1.3. Quản lý truy cập hiện nay
Một cách tốt hơn - AAA Client / Server
May mắn thay, hầu hết các thiết bị truy cập cũng có nhúng AAA client kết nối đến một máy chủ AAA. Điều này cho phép kiểm soát truy cập đƣợc tập trung để cho phép để quản lý nhanh chóng thay đổi kiểm soát truy cập cho ngƣời dùng và các thiết bị trên toàn cầu ; một giải pháp có khả năng mở rộng hơn . Máy chủ AAA tập trung cho phép kiểm soát truy cập chính xác .
AAA client sử dụng hai giao thức khác nhau để truyền đạt yêu cầu AAA tới máy chủ AAA : Terminal Access Controller Access Control System (TACACS+) và Remote Access Dial-In User Service (RADIUS).
Khi một ngƣời dùng truy cập vào mạng hoặc các thiết bị mạng thông qua một thiết bị cấu hình nhƣ một AAA client , AAA client chuyển tiếp yêu cầu chứng
63
thực của ngƣời dùng đến máy chủ AAA (tức là tên đăng nhập và mật khẩu). Máy chủ AAA trả về bản tin thành công hay thất bại phụ thuộc vào thông tin trong kho lƣu trữ của máy chủ. Một khi ngƣời dùng đƣợc xác thực thành công , máy chủ AAA gửi một tập các thuộc tính của sestion ( authorization ) cho AAA client để cung cấp thêm thuộc tính bảo mật và kiểm soát các đặc quyền cho ngƣời sử dụng .
Chúng ta hãy xem xét kỹ hơn hai giao thức AAA sử dụng giữa khách AAA client và máy chủ AAA.
4.2.1.4. Giải pháp AAA của Cisco - Access Control Server (ACS)
Hình 4-3 Giải pháp AAA của Cisco
Giải pháp của Cisco với các dịch vụ AAA là Cisco Secure Access Control Server ( ACS) . ACS là có khả năng mở rộng , máy chủ kiểm soát truy cập hiệu suất cao hoạt động nhƣ một máy chủ RADIUS, TACACS + tập trung để kiểm soát chứng thực , ủy quyền, và kế toán của ngƣời sử dụng truy cập vào các nguồn tài nguyên doanh nghiệp thông qua mạng. ACS đƣợc quản lý từ một giao diện đồ họa dựa trên web, và phân phối điều khiển AAA đến hàng trăm hoặc hàng ngàn cổng truy cập trong mạng. ACS có thể quản lý truy cập ngƣời dùng cho Cisco IOS router, mạng riêng ảo (VPN) , tƣờng lửa, quay số và truy cập băng rộng DSL , giải pháp truy cập cáp , thoại qua IP (VoIP) , các giải pháp không dây của Cisco , và Cisco Catalyst switches thông qua IEEE 802.1X access control . Ngoài ra, ACS cũng cho phép tăng cƣờng quản lý các thiết bị mạng TACACS cho phép sử dụng một thiết bị command policy engine.
64
4.2.2. Một số chức năng AAA nhúng vào trong Cisco Secure ACS
4.2.2.1. Các phương pháp xác thực Cisco Secure ACS hỗ trợ
Hình thức đơn giản của xác thực là yêu cầu ngƣời dùng cung cấp tên ngƣời dùng và mật khẩu.
Khi nhận đƣợc thông tin này, một AAA client chuyển tiếp nó tới máy chủ AAA hoặc hệ thống Cisco Secure ACS bằng cách sử dụng RADIUS hoặc TACACS +. Nhƣ đã thảo luận trƣớc đó, cả hai RADIUS và TACACS + mã hóa mật khẩu bằng cách sử dụng phƣơng pháp khác nhau, nhƣng mật khẩu là đƣợc truyền dạng clear text giữa máy trạm của ngƣời dùng và AAA client.
Sử dụng một tên ngƣời dùng và mật khẩu cố định để xác thực có thể dễ dàng triển khai thực hiện; Tuy nhiên, càng phân cấp đặc quyền của ngƣời dùng thì càng bảo mật hơn. Sử dụng hình thức đơn giản gửi mật khẩu dạng clear-text qua đƣờng truyền là không bảo mật. Vì vậy, phƣơng pháp xác thực hiện đại và an toàn hơn đã đƣợc phát triển, nhƣ Challenge Handshake Authentication Protocol (CHAP) và OTPs (mật khẩu một lần). Để cung cấp quản trị mạng với sự linh hoạt cao, Cisco Secure ACS hỗ trợ một loạt các phƣơng pháp xác thực, chẳng hạn nhƣ:
• PAP (Password Authentication Protocol)-Sử dụng mật khẩu clear-text (có nghĩa là mật khẩu không đƣợc mã hóa) và là giao thức xác thực ít bảo mật nhất. Nếu bạn đang sử dụng cơ sở dữ liệu ngƣời dùng Windows NT/2000 để xác thực ngƣời dùng, bạn phải sử dụng mã hóa mật khẩu PAP hoặc MSCHAP.
• CHAP-Sử dụng một cơ chế challenge-response với mã hóa một chiều trên response . CHAP cho phép Cisco Secure ACS thƣơng lƣợng từ cơ chết mã hoá an toàn nhất đến kém nhất, và nó bảo vệ mật khẩu truyền trong tiến trình. Mật khẩu CHAP đƣợc tái sử dụng. Nếu bạn đang sử dụng cơ sở dữ liệu của Cisco sử dụng an toàn để xác thực, bạn có thể sử dụng PAP hay CHAP. CHAP không làm việc với cơ sở dữ liệu ngƣời dùng Windows NT/2000; sử dụng MSCHAP.
• MS-CHAP (Microsoft CHAP)
• ARAP-Sử dụng một cơ chế challenge-response hai chiều. Khách hàng AAA thách thức khách hàng ngƣời dùng cuối để xác thực riêng của mình, và khách hàng ngƣời dùng cuối thách thức khách hàng AAA để xác thực riêng của mình.
Trong năm qua, các quản trị mạng đã ý thức hơn về các lỗ hổng của việc triển khai các công nghệ không dây khi không có dịch vụ AAA thích hợp và các phƣơng pháp mã hóa. Các lỗ hổng nằm với việc thực hiện RC4 (một thuật toán mã hóa) trong mã hoá Wired Equivalent Privacy (WEP) . EAP (Extensible
Authentication Protocol) cung cấp các khóa WEP tĩnh trên mỗi phiên cơ sở cho việc mã hóa không dây. Có một số điểm yếu trong thuật toán của RC4. Mật mã này có
65
thể cung cấp ngƣời dùng trái phép với một số lƣợng nhỏ các bit quan trọng mà có thể đƣợc sử dụng để xây dựng các "WEP key" cần thiết để đạt đƣợc quyền truy cập vào một mạng lƣới.
Cisco Systems đã phát triển một chƣơng trình bảo mật đƣợc gọi là LEAP (Lightweight EAP hoặc EAP - Cisco Wireless). Kể từ tháng 11 năm 2000 Dựa vào khung xác thực 802.1x, ( LEAP khắc phục một số điểm yếu khi sử dụng dynamic WEP và quản lý chủ key trên mỗi gói cơ sở.
4.2.2.2. Mật khẩu
Cisco Secure ACS cũng cung cấp hỗ trợ cho nhiều tùy chọn mật khẩu bao gồm:
• Mật khẩu duy nhất cho mỗi phƣơng thức xác thực : ACSII , PAP, CHAP , MS-CHAP , ARAP . Dễ dàng thiết lập, nhƣng vì ASCII và PAP là clear text, nên CHAP đƣợc chọn nhiều hơn.
• Mật khẩu riêng biệt cho ASCII / PAP và CHAP / MS-CHAP / ARAP. Tùy chọn này ít thuận tiện cho ngƣời dùng cuối ( cần hai mật khẩu ) , nhƣng nếu mật khẩu ASCI / PAP bị tấn công, mật khẩu CHAP có thể vẫn bảo mật.
• Mật khẩu inbound - Phổ biến nhất đƣợc sử dụng bởi ngƣời dùng Cisco Secure ACS và đƣợc hỗ trợ bởi cả hai giao thức TACACS + và RADIUS. Nó đƣợc thiết lập trong nội bộ sử dụng cơ sở dữ liệu của Cisco Secure.
• Mật khẩu Outbound - Đƣợc hỗ trợ bởi TACACS + ; Mật khẩu outbound cho phép một AAA client để xác thực riêng với AAA client khác hoặc ngƣời dùng cuối thông qua xác thực bên ngoài. Xác thực bên ngoài có thể là PAP, CHAP , MS- CHAP , hoặc ARAP và kết quả lƣu trong ACS Cisco Secure . Theo mặc định xác thực ASCII / PAP cho ngƣời dùng hoặc CHAP / MS-CHAP / ARAP đƣợc sử dụng. Để ngăn chặn ảnh hƣởng đến mật khẩu inbound , ngƣời sử dụng có thể cấu hình một mật khẩu SENDAUTH riêng biệt.
• Token caching - Lƣu trữ OTP token trong thời gian xác định cho một kệnh