AAA cho phép nhà quản trị mạng biết được các thông tin quan trọng về tình
hình cùng như mức độ an toàn trong mạng. Nó cung cấp việc xác thực (authentication)
người dùng nhằm bảo đảm có thế nhận dạng đúng người dùng. Một khi đã nhận dạng
người dùng, ta có thể giới hạn uỷ quyền (authorization) mà người dùng có thể
làm. Khi
người dùng sử dụng mạng, ta cũng có thể giám sát tất cả nhừng gì mà họ làm. AAA
Tìm hiếu về AAA và cấu hình AAA cho bức firewall PIX của Cisco__________ Các dịch vụ AAA bao gồm ba phần, xác thực (authentication), ưỷ quyền (accounting) và kiểm toán (accounting). Ta sẽ tìm hiểu sự khác nhau của ba phần này
và cách thức chúng làm việc nhu thê nào.
3.1.1. Xác thực (Authenticatỉon)
Xác thực dùng đế nhận dạng (identify) người dùng. Trong suốt quá trình xác
thực, usemame và password của người dùng được kiếm tra và đối chiếu với co
sở dữ
liệu lưu trong AAA Server. Tất nhiên, tuỳ thuộc vào giao thức mà AAA hồ trợ
mã hoá
đến đâu, ít nhất thì cũng mã hoá username và password.
Xác thực sẽ xác định người dùng là ai. Vỉ dụ: Người dùng có usemame là VIET
và mật khẩu là Vieth@nIT sẽ là hợp lệ và được xác thực thành công với hệ
thống. Sau
khi xác thực thành công thì người dùng đó có thể truy cập được vào mạng. Tiến trình
này chỉ là một trong các thành phần để điều khiển người dùng với AAA. Một khi usemame và password được châp nhận, AAA có thê dùng đê định nghĩa thâm quyên
mà người dùng được phcp làm trong hệ thống.
3.1.2. Uỷ quyền (Authoriiation)
Uỷ quyền cho phép nhà quản trị điều khiển việc cấp quyền trong một khoảng
thời gian, hay trên từng thiết bị, từng nhóm, từng người dùng cụ thể hay trên
từng giao
thức. AAA cho phép nhà quản trị tạo ra các thuộc tính mô tả các chức năng của người
Tìm hiếu về AAA và cấu hình AAA cho bức firewall PIX của Cisco__________
Ví dụ: Trong trường hợp của một nhà cung cấp dịch vụ Internet, nó có thể
quyết
định liệu một địa chỉ ĨP tĩnh được cho là trái ngược với một địa chỉ DHCP được giao.
Các quản trị hệ thống định nghĩa những quy tắc này.
Máy chủ AAA sẽ phân tích yêu cầu và cấp quyền truy cập bất cứ yêu cầu nào có
thể, có hoặc không phải là toàn bộ yêu cầu là hợp lệ. Ví dụ: Một máy khách
quay số
kết nối và yêu cầu nhiều liên kết. Một máy chủ AAA chung chỉ đơn giản là sẽ từ chối
toàn bộ yêu cầu, nhưng một sự thực thi thông minh hơn sẽ xem xét yêu cầu, xác định
rằng máy khách chỉ được phép một kết nối dial-up, và cấp một kênh trong khi từ chối
các yêu cầu khác.
3.1.3. Kiếm toán (Accounting)
Kiềm toán cho phép nhà quản trị có thể thu thập thông tin như thời gian bắt đầu,
Tìm hiếu vổ AAA và cấu hình AAA cho bức íircvvall PIX của Cisco
3.1.4. Giao thức sử dụng trong dịch vụ AAA
3.1.4.1. Giới thiệu RADIUS RADIUS % --- REMOVE RADIUS NAS TACACS+ TACACS+
Có hai giao thức bảo mật dùng trong dịch vụ AAA đó là TACACS (Terminal Access Controller Access Control System) và RADIƯS (Remote Authentication Dial-
In User Service). Cả hai giao thức đều có phiên bản và thuộc tính riêng. Chẳng hạn
như phiên bản riêng của TACACS là TACACS+, tương thích hoàn toàn với TACACS.
RADIUS cùng có sự mở rộng khi cho phép khách hàng thêm thông tin xác định được
mang bởi RADIUS. TACACS và RADIUS được dùng từ một thiết bị như là server
truy cập mạng (NAS) đến AAA server.
Xem xét một cuộc gọi từ xa như hình 3.2. Người dùng gọi từ PC đến NAS. NAS
sẽ hởi thông tin đé xác thực người dùng. Từ PC đến NAS, giao thức sử dụng là ppp,
1 2 3 4 5 6 7 8 1 2 3 4 5 61 2 3 4 5 1 2 3 4
7 8 6 7 8 5 6 7 8
Major_version Minor_version Type Seq_no Flags Sessionid
Length
Tìm hiêu vổ AAA và cấu hình AAA cho bức íircvvall PIX của Cisco
o Với khả năng nhận gói reset (RST) trong TCP, một thiết bị có thể lập tức
báo cho đầu cuối khác biết rằng đã có hỏng hóc trong quá trình truyền.
o TCP là giao thức mở rộng vì có khả năng xây dựng cơ chế phục hồi lỗi.
Nó có thê tương thích đê phát triên cũng nhu làm tăc nghẽn mạng với việc sử dụng
sequence number đe truyền lại.
o Toàn bộ payload đuợc mã hoá với TACACS+ bằng cách sử dụng một khoá bí mật chung (shared secret key). TACACS+ đánh dấu một trường trong header
đổ xác định xem thử có mã hoá hay không.
o TACACS+ mã hoá toàn bộ gói bàng việc sử dụng khoá bí mật chung nhưng bó qua header TACACS chuân. Cùng với header là một trường xác định body
có được mã hoá hay không. Thường thì trong toàn bộ thao tác, body của một gói được
mã hoá hoàn toàn đề truyền thông an toàn.
o TACACS+ được chia làm ba phần: xác thực (authentication), cấp quyền
(authorization) và tính cước (accounting). Với cách tiếp cận theo module, ta có
thê sử
dụng các dạng khác của xác thực và vẫn sử dụng TACACS+ đề cấp quyền và tính
cước. Chẳng hạn như, việc sử dụng phương thức xác thực Kerberos cùng với
việc cấp
quyền và tính cước bằng TACACS+ là rất phô biến, o TACACS+hỗ trợ nhiều giao thức.
o Với TACACS+, ta có thể dùng hai phương pháp để điều khiển việc Tìm hiêu vổ AAA và cấu hình AAA cho bức íircvvall PIX của Cisco
Hình 3-4: Định dạng gói tin
Major_version Đây là số phiên bản chính của TACACS. giá trị xuất hiện
trong tiêu
đề như TAC_PLUS_MAJOR_VER = Oxc.
Minor_version:cung cấp số serial cho giao thức TACACS. Nó cũng cung cấp cho
khả năng tương thích của giao thức. Một giá trị mặc định, cũng như phiên bản một,
được định nghĩa cho một số lệnh. Những giá trị này xuất hiện trong tiêu đề TACACS
như TAC_PLUS_MINOR_VER_DEFAULT = 0x0 TAC PLUS MINOR VER ONE = 0x1.
Neu một máy chủ AAA chạy TACACS nhận được một gói TACACS xác định
một phiên bản nhỏ hơn khác phiên bản hiện tại, nó sẽ gửi một trạng thái lỗi trở lại và
yêu cầu các minor_version với phiên bản gần nhất được hồ trợ.
Loại này phân biệt các loại gói tin. Chỉ có một số loại là hợp pháp. Các loại gói
họp pháp như sau:
- TAC PLUS AUTHEN = 0x01 đây là loại gói nghĩa xác thực.
Tìm hiếu về AAA và cấu hình AAA cho bức firewall PIX của Cisco__________ Lengh: tổng chiều dài của gói TACACS, không bao gồm tiêu đề 12-byte. Khái niệm xác thực TACACS + cũng tương tự như RADIƯS. NAS sê gửi
một yêư
cầu chứng thực với TACACS + server.Các máy chủ cuối cùng sẽ gửi bất kỳ thông
điệp sau đây trở về NAS:
ACCEPT - Người dùng đã được xác thực thành công và các dịch vụ yêu cầu sẽ
được cho phép. Neu như cơ chế cấp quyền được yêu cầu,tiến trình cấp quyền sẽ được
thực thi.
REJECT - xác thực người dùng đã bị từ chối. Người sử dụng có thể được
nhắc đế
thử lại chứng thực tuỳ thuộc vào TACACS + server và NAS.
ERROR - Một số lỗi xảy ra trong quá trình xác thực. Nguyên nhân gây ra lỗi
có thê
ớ vấn đề kết nối hoặc vi phạm cơ chế bảo mật.
CONTINUE - Người dùng được nhắc nhở để cung cấp thông tin xác thực hơn.
Sau khi quá trình xác thực đã hoàn tất, nếu uỷ quyền được yêu cầu TACACS +
server với sẽ xử lý giai đoạn kế tiếp nếu xác thực thành công.
3.1.4.3. Tổng quan về RADIUS
RADIUS là một giao thức xác thực sử dụng rộng rãi được định nghĩa trong RFC
2865. "Remote Authentication Dial-In User Service (RADIUS)." RADIUS hoạt động
Tìm hiếu về AAA và cấu hình AAA cho bức firewall PIX của Cisco__________ 1812. Giao thức RADIUS được xem là một dịch vụ kết nổi. Các vấn đề liên quan
đến
máy chủ sẵn sàng, phát lại, và hết giờ được xử lý trên thiết bị chứ không phải là giao
thức truyền tải. Chức năng này khác với TACACS + độ tin cậy trong giao thức phụ
thuộc vào giao thức TCP.
Hoạt động RADIUS
Sau đây là quá trình hoạt động RADIƯS quản lý đăng nhập:
s Bước 1. Một thông tin đăng nhập người dùng tạo ra một truy vấn (Access-
Code Identiíĩer Length Rcquest Authenticator
Attributes
Mỗi gói tin RADIUS gồm các thông tin sau đây: + Code: 1 octet, định nghĩa loại packet
+ Identiíier: 1 octet, Kiêm tra yêu cầu, trả lời và phát hiện trùng lặp yêu cầu từ
RADIƯS server.
+ Length: 2 octet, xác định độ dài của toàn bộ gói.
+ Request Authenticator: 16 octet, Các octet quan trọng nhất được truyền đi đầu
tiên, nó xác nhận trả lời từ máy chủ RADIUS. Hai loại authenticators như sau: -Request-Authenticator có sẵn trong gói Access-Request và Accounting- Request
Tìm hiếu về AAA và cấu hình AAA cho bức firewall PIX của Cisco__________ Task Force (IETF) hoặc các thuộc tính nhà cung cấp cụ thể. (Các thuộc tính
RADIUS
chứng thực được định nghĩa trong RFC 2865.)
Cisco ASA hoạt động như là một NAS và máy chủ RADIUS là một Cisco Secure
Access Control Server (ACS).
V Người dùng cố gắng để kết nổi với Cisco PĨX Firewall (để quản trị,vpn ...).
V Các Cisco PIX Firewall nhắc nhở người dùng, yêu cầu tên người dùng và mật
khâu của mình.
V Người sử dụng gửi thông tin của mình cho Cisco PIX Firewall.
V Các Cisco PIX Firewall gửi yêu cầu xác thực (Access-Request) đến máy chủ
RADIUS.
V Các máy chủ RADIUS gửi một message Access-Accept nếu người dùng
là xác
thực thành công hoặc một Access-Rẹịect nếu người dùng không xác thực thành
công.
V Cisco PIX Firewall đáp ứng cho người sử dụng và cho phép truy cập vào các
dịch vụ cụ thể.
Lưu ý: Các máy chủ RADIUS cũng có thể gửi các thuộc tính nhà cung cấp
cụ thể
cho Cisco ASA tuỳ thuộc vào việc thực hiện và các dịch vụ sử dụng. Những
thuộc tính
r
□1
Tìm hiêu vổ AAA và cấu hình AAA cho bức íircvvall PIX của Cisco
Việc sử dụng AAA server cho phép chỉ có các User được xác thực mới được truy
cập đến một mạng nào đó, nhà quản trị mạng có thể giới hạn việc truy cập các
dịch vụ
như FTP, Telnet, HTTP, hay là các dịch vụ khác.
User có thê xác thực với PIX fírewall sử dụng một trong 3 phương pháp sau: Telnet: dấu nhắc được phát ra bởi Pix, mỗi User có 4 lần log in. Neu usemame
hoặc password sai sau lần thứ tư, Pix sẽ làm rớt kết nối. Neu xác thực và thấm quyền
thành công, User
FTP: dấu nhắc được phát ra tù’ chương trình FTP. Neu password không
đúng, kết nối sẽ bị rớt ngay lập tức. Neu usemame hoặc password trong authentication
database khác với usemame và password của remote host mà ta cần truy nhập vào
thông qua FTP, sử dụng usemame và password theo mẫu sau: • aaa_username@remote_username
• aaa_password@remote_password
PIX firewall gửi aaa_usemame và aaa_password đến AAA server, nếu authentication và authorization thành công, remote_usemame và remote_password
được gửi chuyến FTP server đích.
- HTTP: browser phát ra cửa sổ usemame, password. Neu nhập vào không đúng
password, User sẽ được nhắc nhập lại.
Neu usemame hoặc password trong database authentication khác với
usemame và
Tìm hiếu về AAA và cấu hình AAA cho bức firewall PIX của Cisco__________ phiên ở lớp application, điều này ảnh hưởng trực tiếp đến vấn đề thời gian và tốc độ
xử
lý, sử dụng Cut-through proxy, PIX fírewall sê chỉ gửi query đầu tiên cho việc chứng
thực tới một TACACS+ hoặc RADIUS database server. Khi một User được chứng
0
The User makes
a request
to access the
Internet
(2) The User is prompted by the
CSACS (3)FirewaPtx ll querie s CSAC S for the If CSACS authentica tes, the User ís “cut- through" the PIX Firewall, and the local username
Hình 3-3 Hoạt động của Cut-through proxy ứng dụng điển hình của công nghệ này là một User ở mạng bên ngoài (internet)
truy cập vào HTTP server nằm trong vùng DMZ của mạng intranet như trong hình vê
trên. User ở mạng ngoài truy cập vào XYZ web server, PIX yêu cầu User nhập thông
3.2.3. Cấu hình xác thực
Khi CSACS ( Cisco Secure Access Control Server ) được cấu hình (CSACS
là một
phần mềm được cài đặt trên server cung cấp đầy đủ 3 dịch vụ AAA), một entry tương
ứng với AAA server phải được cấu hình trên pix. Các bước cấu hình như sau: Tìm hiếu về AAA và cấu hình AAA cho bức firewall PIX của Cisco__________
V Tạo ra AAA server và đăng ký nó đến AAA group, nhiều AAA server có
thể ở
trong cùng một group:
aaa-server group_tag protocol auth_protocoỉ
Group_tag: tên của server group
If_name: tên interface kết nối với server
Host server_ip: địa chỉ IP của TACACS+ server hoặc RADIƯS server
Key: là từ khoá case-sensitive, có độ dài tối đa là 127 kí tự, tù’ khoá này phải
giống
với từ khoá của server. Key được sử dụng giừa Client và server cho việc mã hoá dừ
liệu giữa chúng. Neu key không được chỉ ra, mã hoá sẽ không xảy ra. Không
được sử
dụng khoảng trắng giữa các kí tự trong key.
Timeout seconds: chỉ ra khoảng thời gian mà pix phải chờ đế thử lại lần nữa,
pix
sẽ thử lại 4 lần trước khi chọn server kế tiếp cho việc xác thực. Giá trị mặc định của
timeout là 30 giây.
Auth_protocol: là chỉ ra loại server nào được sử dụng, tacacs hay là radius.
Lưu ý: Mặc định, PIX fĩrewall giao tiếp với RADIUS server dùng port 1645 dành
cho việc xác thực và port 1646 dành cho accounting. Các RADIƯS đời mới hơn
có thề
sử dụng port 1812 và port 1813. Neu server sử dụng port khác 1645 và 1646, ta cần
phải định nghĩa lại giá trị port tương ứng trên Pix bằng câu lệnh aaa-server radius-
Tìm hiếu về AAA và cấu hình AAA cho bức firewall PIX của Cisco__________ Xác thực việc access vào pix console có nhiều loại khác nhau tuỳ thuộc vào option
được chọn. Enable option cho phép 3 lần thử trước khi từ chối việc access .
Serial và
telnet cho phép User thử nhiều lần cho đến khi log in vào được thiết bị.
Telnet cho phép ta chỉ ra host nào có thê access vào pix. Đối với các os version
5.0 trở về trước, telnet đến pix chỉ được thực hiện từ intemal interface đi ra mạng
ngoài, không cho phép outside interface. Nhưng các version os sau này đều hồ trợ
tính năng này. Tuy nhiên, PIX fírewall bắt buộc rằng tất cả telnet traffíc đến outside
interface phải được bảo vệ bởi IPSEC. Do đó, đổ khởi động một telnet session đến
outside interíace, cấu hình IPSEC ở outside interface bao gồm cả IP traffic do
pix tạo
ra. Chỉ có traffic trở về telnet Client được gửi qua IPSEC tunnel, không phải là
tất cả
traffic được phát ra bởi outside interface.
3.23.2. Xác thực cho trajjĩc đi qua pỉx
Câu lệnh:
aaa authentỉcatỉon {include I exclude} <authen_servỉce>
{inside I
outside I <interface>} <ỉocal_ỉp> <local_mask>
<foreign_ip>
<foreign _mask> <gỉX)up_tag>
incỉude: tạo ra một quy tắc mới cho dịch vụ cụ thể nào đó. exclude: chỉ ra host nào đó được bỏ qua các quy tắc mà ta đã định nghĩa trước
Tìm hiêu vổ AAA và cấu hình AAA cho bức íircvvall PIX của Cisco
foreign_ip: là địa chỉ IP của các host mà local ip có khả năng truy cập đến.
Sử
dụng 0 cho tất cả các host.
/oreign mask: giống local_mask
grouptag’. là tag group trong lệnh aaa-server
PIX fírewall chỉ cho phép chỉ một giao thức authentication cho một mạng. Ví dụ,
nếu một mạng kết nối inbound thông qua PIX firewall sử dụng TACACS +, thì cùng
mạng đó không thế kết nối inbound thông qua PIX sử dụng RADIUS. Tuy
nhiên, nếu
một mạng kết nối inbound thông qua pix sử dụng TACACS+, một mạng khác có thể
kết nối inbound qua PIX sử dụng RADIƯS.
3.23.3. Xác thực cho các dịch vụ khác
PIX fírewall xác thực User thông qua Telnet, FTP, HTTP. Nhưng nó cũng có thê
xác thực các loại dịch vụ khác. Ví dụ, PIX có thê được câu hình đê xác thực
User khi
user cần sử dụng dịch vụ Microsoữ file server ở port 139. Khi User được yêu
cầu xác
thử đe access vào các dịch vụ khác ngoài Telnet, FTP, HTTP, họ cần thực hiện một
trong các bước sau:
o Option 1: xác thực đầu tiên bằng việc truy cập vào Telnet, FTP, hay HTTP
server trước khi truy cập các dịch vụ khác, o Option 2: xác thực đến PIX Virtual telnet trước khi truy cập vào các
Tìm hiêu vổ AAA và cấu hình AAA cho bức íircvvall PIX của Cisco
Sử dụng Virtual telnet không chỉ cho việc log in mà còn dành cho việc
log out .
Sau khi xác thực thành công thông qua Virtual telnet, User sẽ không phải