4.2.2.1. Các phương pháp xác thực Cisco Secure ACS hỗ trợ
Hình thức đơn giản của xác thực là yêu cầu ngƣời dùng cung cấp tên ngƣời dùng và mật khẩu.
Khi nhận đƣợc thông tin này, một AAA client chuyển tiếp nó tới máy chủ AAA hoặc hệ thống Cisco Secure ACS bằng cách sử dụng RADIUS hoặc TACACS +. Nhƣ đã thảo luận trƣớc đó, cả hai RADIUS và TACACS + mã hóa mật khẩu bằng cách sử dụng phƣơng pháp khác nhau, nhƣng mật khẩu là đƣợc truyền dạng clear text giữa máy trạm của ngƣời dùng và AAA client.
Sử dụng một tên ngƣời dùng và mật khẩu cố định để xác thực có thể dễ dàng triển khai thực hiện; Tuy nhiên, càng phân cấp đặc quyền của ngƣời dùng thì càng bảo mật hơn. Sử dụng hình thức đơn giản gửi mật khẩu dạng clear-text qua đƣờng truyền là không bảo mật. Vì vậy, phƣơng pháp xác thực hiện đại và an toàn hơn đã đƣợc phát triển, nhƣ Challenge Handshake Authentication Protocol (CHAP) và OTPs (mật khẩu một lần). Để cung cấp quản trị mạng với sự linh hoạt cao, Cisco Secure ACS hỗ trợ một loạt các phƣơng pháp xác thực, chẳng hạn nhƣ:
• PAP (Password Authentication Protocol)-Sử dụng mật khẩu clear-text (có nghĩa là mật khẩu không đƣợc mã hóa) và là giao thức xác thực ít bảo mật nhất. Nếu bạn đang sử dụng cơ sở dữ liệu ngƣời dùng Windows NT/2000 để xác thực ngƣời dùng, bạn phải sử dụng mã hóa mật khẩu PAP hoặc MSCHAP.
• CHAP-Sử dụng một cơ chế challenge-response với mã hóa một chiều trên response . CHAP cho phép Cisco Secure ACS thƣơng lƣợng từ cơ chết mã hoá an toàn nhất đến kém nhất, và nó bảo vệ mật khẩu truyền trong tiến trình. Mật khẩu CHAP đƣợc tái sử dụng. Nếu bạn đang sử dụng cơ sở dữ liệu của Cisco sử dụng an toàn để xác thực, bạn có thể sử dụng PAP hay CHAP. CHAP không làm việc với cơ sở dữ liệu ngƣời dùng Windows NT/2000; sử dụng MSCHAP.
• MS-CHAP (Microsoft CHAP)
• ARAP-Sử dụng một cơ chế challenge-response hai chiều. Khách hàng AAA thách thức khách hàng ngƣời dùng cuối để xác thực riêng của mình, và khách hàng ngƣời dùng cuối thách thức khách hàng AAA để xác thực riêng của mình.
Trong năm qua, các quản trị mạng đã ý thức hơn về các lỗ hổng của việc triển khai các công nghệ không dây khi không có dịch vụ AAA thích hợp và các phƣơng pháp mã hóa. Các lỗ hổng nằm với việc thực hiện RC4 (một thuật toán mã hóa) trong mã hoá Wired Equivalent Privacy (WEP) . EAP (Extensible
Authentication Protocol) cung cấp các khóa WEP tĩnh trên mỗi phiên cơ sở cho việc mã hóa không dây. Có một số điểm yếu trong thuật toán của RC4. Mật mã này có
65
thể cung cấp ngƣời dùng trái phép với một số lƣợng nhỏ các bit quan trọng mà có thể đƣợc sử dụng để xây dựng các "WEP key" cần thiết để đạt đƣợc quyền truy cập vào một mạng lƣới.
Cisco Systems đã phát triển một chƣơng trình bảo mật đƣợc gọi là LEAP (Lightweight EAP hoặc EAP - Cisco Wireless). Kể từ tháng 11 năm 2000 Dựa vào khung xác thực 802.1x, ( LEAP khắc phục một số điểm yếu khi sử dụng dynamic WEP và quản lý chủ key trên mỗi gói cơ sở.
4.2.2.2. Mật khẩu
Cisco Secure ACS cũng cung cấp hỗ trợ cho nhiều tùy chọn mật khẩu bao gồm:
• Mật khẩu duy nhất cho mỗi phƣơng thức xác thực : ACSII , PAP, CHAP , MS-CHAP , ARAP . Dễ dàng thiết lập, nhƣng vì ASCII và PAP là clear text, nên CHAP đƣợc chọn nhiều hơn.
• Mật khẩu riêng biệt cho ASCII / PAP và CHAP / MS-CHAP / ARAP. Tùy chọn này ít thuận tiện cho ngƣời dùng cuối ( cần hai mật khẩu ) , nhƣng nếu mật khẩu ASCI / PAP bị tấn công, mật khẩu CHAP có thể vẫn bảo mật.
• Mật khẩu inbound - Phổ biến nhất đƣợc sử dụng bởi ngƣời dùng Cisco Secure ACS và đƣợc hỗ trợ bởi cả hai giao thức TACACS + và RADIUS. Nó đƣợc thiết lập trong nội bộ sử dụng cơ sở dữ liệu của Cisco Secure.
• Mật khẩu Outbound - Đƣợc hỗ trợ bởi TACACS + ; Mật khẩu outbound cho phép một AAA client để xác thực riêng với AAA client khác hoặc ngƣời dùng cuối thông qua xác thực bên ngoài. Xác thực bên ngoài có thể là PAP, CHAP , MS- CHAP , hoặc ARAP và kết quả lƣu trong ACS Cisco Secure . Theo mặc định xác thực ASCII / PAP cho ngƣời dùng hoặc CHAP / MS-CHAP / ARAP đƣợc sử dụng. Để ngăn chặn ảnh hƣởng đến mật khẩu inbound , ngƣời sử dụng có thể cấu hình một mật khẩu SENDAUTH riêng biệt.
• Token caching - Lƣu trữ OTP token trong thời gian xác định cho một kệnh ISDN B
• Mật khẩu aging - Mật khẩu hết hạn sau một số lần đăng nhập , hoặc theo ngày , vv
• Mật khẩu ngƣời dùng có thể thay đổi
4.2.2.3. Cisco Secure ACS hỗ trợ liên kết các dữ liệu xác thực
Cisco Secure ACS hỗ trợ liên kết các dữ liệu xác thực thông qua các cơ sở dữ liệu bên ngoài một cách linh hoạt.
66
Hình 4-4 Các loại cơ sở dữ liệu được hỗ trợ
Ngƣời quản trị mạng cần có tính linh hoạt trong việc sử dụng loại hình cơ sở dữ liệu lƣu trữ thông tin AAA. Cisco Secure ACS có cơ sở dữ liệu riêng của mình; Ngoài ra, các quản trị viên có thể tận dụng nhiều cơ sở dữ liệu bên ngoài có chứa thông tin xác thực ngƣời dùng. Cisco Secure ACS kết nối ngƣời sử dụng với cơ sở dữ liệu bên ngoài xác thực để tập trung các thông tin. Mức độ bảo mật khác nhau có thể đƣợc sử dụng với Cisco Secure ACS phù hợp yêu cầu thay đổi và chính sách bảo mật của khách hàng.
Không phải tất cả các giao thức xác thực đƣợc hỗ trợ bởi Cisco Secure ACS có thể đƣợc sử dụng với cơ sở dữ liệu bên ngoài đƣợc hỗ trợ bởi Cisco Secure ACS. Sử dụng biểu đồ trên nhƣ một tài liệu tham khảo để xác định cơ sở dữ liệu hỗ trợ giao thức xác thực nào có thể sử dụng. Nhƣ minh họa, cơ sở dữ liệu ACS Cisco Secure hỗ trợ tất cả các giao thức xác thực đƣợc liệt kê.
67
4.2.2.4. Tính năng phân quyền của Cisco Secure ACS
Hình 4-5 Tính năng phân quyền
Một khi ngƣời dùng đã đƣợc chứng thực, Cisco Secure ACS sẽ gửi một hồ sơ ngƣời sử dụng cho AAA client có chứa các chính sách đƣa ra mệnh lệnh gì các dịch vụ mạng ngƣời dùng có thể truy cập. Cisco Secure ACS cho phép ngƣời quản trị để tùy chỉnh cho phép trên một ngƣời dùng cá nhân hoặc một nhóm ngƣời sử dụng. Truy cập có thể đƣợc phân biệt theo mức độ bảo mật, thời gian truy cập, và dịch vụ. Ví dụ, thông tin đăng nhập có thể đƣợc cấu hình để cho phép hoặc từ chối truy cập dựa trên thời gian trong ngày và ngày trong tuần. Chính sách tải về cũng có thể bao gồm các danh sách kiểm soát truy cập (ACL) trên cơ sở hạn chế hoặc khu vực của mạng hoặc hạn chế một số dịch vụ nhƣ FTP cho mỗi ngƣời dùng mỗi nhóm.
Một số tính năng uỷ quyền của Cisco Secure ACS:
• Có khả năng vô hiệu hóa tài khoản sau khi một số lần kết nối không thành công hoặc vào một ngày cụ thể
• Hạn chế số lƣợng phiên đồng thời cho cả một nhóm hoặc một ngƣời sử dụng
• Xác định chỉ tiêu sử dụng theo tổng thời gian hàng ngày, hàng tuần, hoặc hàng tháng
68
4.2.2.5. Tính năng kế toán của Cisco Secure ACS
Ngƣời sử dụng đã đƣợc cấp quyền truy cập vào mạng bằng đặc quyền nhất định, các chức năng kế toán đƣợc cung cấp bởi giao thức RADIUS và TACACS + cho phép các khách hàng AAA để chuyển tiếp dữ liệu có liên quan cho mỗi phiên sử dụng Cisco Secure ACS. Tùy thuộc vào cấu hình, Cisco Secure ACS lƣu lại thông tin kế toán vào tập tin CSV hoặc một cơ sở dữ liệu ODBC. Các bản ghi đƣợc cấu hình để nắm bắt càng nhiều thông tin cần thiết, nhƣng nói chung ghi lại thông tin về thời điểm bắt đầu và kết thúc kết nối, AAA client messages bằng tên ngƣời dùng, nhận dạng ngƣời gọi, và thời gian của mỗi phiên. Các file bản ghi có thể dễ dàng đƣợc xuất khẩu vào cơ sở dữ liệu và bảng tính để thanh toán, kiểm toán an ninh, và tạo báo cáo.
4.2.2.6. Tính năng quản lý cấu hình thiết bị của Cisco Secure ACS
Hình 4-6 Tính năng quản lý cấu hình thiết bị
Nhƣ đã đề cập trƣớc đó trong chƣơng này, chức năng AAA trong Cisco Secure ACS có thể đƣợc sử dụng cho hai chức năng quản lý truy cập mạng và quản lý cấu hình thiết bị mạng. Giao thức TACACS + là phù hợp hơn cho việc quản lý cấu hình thiết bị mạng vì có thêm nhiều tính năng cho phép phân quyền câu lệnh và ngƣời dùng.
Hầu hết các quản trị mạng đã quen thuộc với cách đăng nhập vào một thiết bị , cung cấp mật khẩu , và thực hiện bất cứ chức năng mà họ lựa chọn. Với Cisco Secure ACS , ngƣời sử dụng khác nhau có thể đƣợc đặc quyền khác nhau ngay cả với chức năng thiết bị ở cấp đặc quyền tƣơng tự. Để đạt đƣợc uỷ quyền này , Cisco
69
Secure ACS sử dụng các khái niệm về Command Authorization Sets (còn gọi là Device Command Sets - DCSs ) . Cisco Secure ACS DCS kiểm soát sự cho phép của mỗi lệnh trên mỗi thiết bị cho mỗi ngƣời dùng , mỗi một nhóm hay cá nhân mỗi nhóm thiết bị mạng tăng cƣờng đáng kể khả năng mở rộng và quản lý thiết lập hạn chế ủy quyền cho các quản trị viên mạng. Khi xác thực TACACS + câu lệnh đƣợc kích hoạt, mỗi lệnh đƣợc thực hiện bởi ngƣời dùng xác thực đƣợc gửi bởi AAA client đến Cisco Secure ACS để đƣa vào các bản ghi kế toán.