- KE: Khoá trao đổi dữ liệu cho trao đổi khoá DifferHelman
Chương IV Một số công nghệ an toàn bổ sung cho các mạng riêng ảo
4.1.1. Hoạt động của RADIUS
RADIUS đầu tiên được phát triển bởi Livingston Enterprises, nhưng bây giờ thuộc quyền sở hữu của IETF và là một giao thức mở, có thể được phân phối dưới dạng mã nguồn và bất kỳ người nào cũng đều có thể sửa đổi.
Mặc dùng RADIUS ban đầu được phát triển cho người quản trị của NAS, các sản phẩm hỗ trợ được bổ sung thêm các ứng dụng/thiết bị khác như firewall, truy
cập trang web cá nhân, các tài khoản Email và các vấn đề bảo mật Internet liên quan đến xác thực khác.
RADIUS gồm 2 phần: Có Client RADIUS, ví dụ: NAS hay bất kỳ phần mềm khác như Firewall, Client gửi một yêu cầu AAA tới RADIUS Server. Mặt khác, có RADIUS Server, nó kiểm tra yêu cầu theo dữ liệu đã được cấu hình trước.
Hình 4.3. Luồng thông tin trong RADIUS
Mặc dù các Server xác thực RADIUS và TACACS có thể được cài đặt theo nhiều cách khác nhau, tuỳ thuộc vào lược đồ bảo mật của mạng mà chúng phục vụ, nhưng tiến trình cơ sở cho việc xác thực một người dùng về cơ bản là giống nhau. Sử dụng một Moderm, một người dùng quay số từ xa kết nối tới một Server từ xa (gọi là Server truy cập mạng NAS), với một Moderm số hoặc tương tự. Lúc một kết nối Moderm được tạo, NAS nhắc người dùng về tên đăng nhập và mật khẩu. NAS sau đó sẽ tạo ra yêu cầu xác thực từ gói dữ liệu được cung cấp, nó bao gồm cả thông tin định danh mà thiết bị NAS xác định gửi yêu cầu xác thực như: cổng đang được dùng cho kết nối Moderm và Tên đăng nhập/Mật khẩu
Một vai trò rất quan trọng được thực thi bởi Server xác thực, nó là một Server trong mạng để xác nhận tính hợp lệ của ID/mật khẩu người dùng cho mạng. Nếu một thiết bị được cấu hình cho xác thực qua một Server xác thực và thiết bị nhận một gói dữ liệu từ một giao thức xác thực, thiết bị gửi qua ID và Mật khẩu của người dùng tới Server cho việc xác thực. Nếu ID/mật khẩu của người dùng là đúng, Server phản hồi lại. Thiết bị sau đó có thể liên lạc với người khởi tạo yêu cầu ban đầu. Nếu Server không tìm thấy ID/mật khẩu của người dùng thì nó từ chối
thiết bị và gửi phản hồi tới thiết bị. Thiết bị sau đó từ chối phiên với nơi mà nó đã nhận yêu cầu xác thực.
Server xác thực có thể là chính một Server RADIUS hoặc một Server khác dựa trên các công nghệ xác thực trung tâm khác như Kerberos, DCE, SecureID hoặc RACF. Một Server RADIUS có thể được cấu hình để chuyển tiếp yêu cầu tới một Server xác thực trung tâm và truy cập thành công hoặc từ chối thông tin và cấu hình trở lại Client.
Với việc bảo vệ trước các cuộc nghe lén của hacker, NAS hoạt động như Client RADIUS hoặc TACACS, mã hoá mật khẩu trước khi nó gửi mật khẩu tới Server xác thực. Nếu Server bảo mật chính không đến được, Client bảo mật hoặc thiết bị NAS có thể định tuyến yêu cầu tới một Server thay thế kế tiếp. Lúc nhận được một yêu cầu xác thực, Server xác thực sẽ xác minh yêu cầu và sau đó giải mã gói dữ liệu để truy cập thông tin tên đăng nhập/mật khẩu của người dùng. Nếu tên đăng nhập/mật khẩu của người dùng là đúng, Server gửi một gói dữ liệu báo đã nhận xác thực. Gói dữ liệu báo nhận này có thể gồm cả thông tin lọc bổ sung như thông tin trên các yêu cầu tài nguyên mạng của người dùng và các mức cấp quyền. Server bảo mật có thể, với thể hiện dưới dạng NAS mà một người dùng cần TCP/IP và/hoặc Internet Packet Exchange (IPX) sử dụng PPP, hoặc cái mà người dùng cần SLIP để kết nối tới mạng. Nó có thể gồm cả thông tin trên tài nguyên mạng xác định mà người dùng được phép truy cập.
Để phá hỏng việc nghe lén trên mạng, Server bảo mật gửi một khóa xác thực hoặc chữ ký, nhận dạng của chính nó tới Client bảo mật. Một NAS nhận thông tin này, nó cho phép cấu hình ở mức cần thiết để cho phép người dùng quyền truy các cập dịch vụ và tài nguyên mạng. Nếu tại bất kỳ điểm nào trong tất cả tiến trình đăng nhập mà các điều kiện xác thực cần thiết không thỏa mãn, Server cơ sở dữ liệu bảo mật sẽ gửi một thông điệp từ chối xác thực tới thiết bị NAS và người dùng bị từ chối truy cập mạng