- Bồ sung các bộ lọc định tuyến để lọc các gói ICMP bị phân đoạn.
43 CÁC KỸ THUẬT BẢO MẬT TRONG VPN 4.3.1 Authentication Authorization Accouting (AAA)
4.3.1 Authentication Authorization Accouting (AAA)
AAA là một kiến trúc framework được dùng để cấu hình ba chức năng bảo mật cơ
bản: authentication Ở sự chứng thực, authorization Ở sự cấp quyền, accouting Ở sự kê khai. AAA là một mô hình bảo mật được dùng trong tất cả các tình huống remote
access trên thực tế.
- Authentication: cung cấp các cơ chế khác nhau cho việc xác định đúng nhân dạng của người dùng đang truy xuất đến các tài nguyên bên trong mạng. Việc Cung cấp user IP và password là một phương pháp chứng thực truyền thống. Hầu hết các phương pháp chứng thực phổ biến hiện nay đều dựa trên cơ chế ra lệnh Ở trả lời, các cơ chế này gồm có PAP, CHAP, EAP, SPAP và IPsec.
- Authorization: là cơ chế điều khiển các hoạt động mà user được phép thực hiện bên trong mạng và các tài nguyên được phép truy xuất đến. Các cơ chế cấp quyền cho điều khiển truy. xuất từ xa có thể là sự cấp quyền một lần, sự cấp quyên cho mỗi dịch vụ, mỗi danh sách tài khoản người dùng hay là một nhóm chắnh sách. Thông thường một sự thiết lập các quyền truy xuất, đặc quyền và các thuộc tắnh được tuân theo và lưu trữ trong một trung tâm cơ sở dữ liệu. Các quyền và thuộc tắnh xác định các hành động mà user được phép thực hiện. - _ Accouting: là cơ chế ghi lại mỗi hành động mà user đã thực hiện sau khi logon
vào mạng. Khi một hành động của user được ghi lại có nghĩa là các thông tin chỉ tiết liên quan đến user cũng sẽ được ghi lại như thời gian thực hiện, các lệnh được dùng trong suốt phiên đó, số gói được giao dịch, ... những thông tin này giúp cho các nhà quản trị mạng truy bắt các user không đúng tiêu chuẩn và có hành động thắch hợp để duy trì an ninh mạng.
Mô hình AAA có thể được thực hiện tại thiết bị mạng trung tâm như Remote Access Server hay RADIUS server. AAA cũng có thể được thực hiện tại các tài nguyên mạng riêng lẻ dựa trên sô thiết bị mạng và tắnh phức tạp của việc quản lý mạng.
4.3.2 Remofe Access Dial-In user Service (RADIUS)
Được phát. triển bởi Livingston Enterprises và được hỗ trợ bởi IEFT, RADIUS là một chuẩn phổ biến dùng cho chứng thực từ xa (remote authentication), được sử dụng bởi các server chứng thực từ xa, các sản phẩm của VPN và các firewall.
Khi thiết lập mạng sử dụng RADIUS, các thông tin user được lưu trữ trong một cơ sở đữ liệu trung tâm. Tắt cả các remote access server xa đều chia sẻ chung cơ sở dữ liệu này. Khi một remofte access server nhận được một yêu cầu đăng nhập từ một remote user, RADIUS sẽ cho phép giao tiếp giữa cơ sở dữ liệu và remofe access server, nghĩa là RADIUS sẽ chỉ rõ định dạng và luồng các gói tin giữa cơ sở dữ liệu và server truy xuất. Cơ sở dữ liệu này cung câp thông tin được yêu câu. Remote access server sẽ
Ở.--ỞỞỞỞỞỞ
GVHD: Ths. Trương Ngọc Bảo
_m.ẳmờờờmờ>>>rnsasasraaaaaaơaơakasarnaaasazễza-ơợỀơờớợớợớợợợ-Wợửẵửẵẳửnwzớn
dùng thông tin đó để chứng thực các yêu cầu đến (incoming requesf) và cấp quyền cho user được phép truy xuất đến các dịch vụ hoặc tài nguyên được yêu cầu.
RADIUS bao gồm hai thành phần: RADIUS client và RADIUS server. RADIUS server nhận một AAA request từ RADIUS client, dựa trên yêu cầu nhận được RADIUS sẽ xác định giá trị của yêu cầu (request) chỉ khi nào nó lưu trữ thông tin có liên quan đến yêu cầu. Nếu thông tin được yêu câu được lưu trữ trong cơ sở dữ liệu trung tâm hoặc RADIUS khác hoặc là TACACS server thì yêu cầu đó sẽ được chuyển tới thiết bị mà lưu trữ thông tin được yêu cầu.
ISP's Remote (Private) Remote User Intranet Network
(RadiusClen) ppp ỳ]ỞỞ Connectivity Internet NAS AeeeCfssues G (User ID, Password) Ở AccesỌcquest
T (User ID, Password)
(3)Authentication (4) Verification
from Log File Reques Acceptcd/Rejected
equesf Accepted/Rejected
Hình 4.8: RADIUS traffic.
4.3.3 Terminal Access Controller Access Control Systm (TACACS)
Được phát triển bởi Cisco System, TACACS khá giống với RADIUS, cũng được chấp nhận như một tiêu chuẩn công nghệ của giao thức chuyên biệt.
Remote (Pnvate) Network
Other TACACS Authentication . Server SG Authentication và Request Ủser
ISPồs Access Request -
Configuration Intranet_ (Send Configuration)