Phần này cung cấp giải thích chi tiết về cấu hình và xử lý sự cố xác thực, ủy quyền và kế toán các dịch vụ an ninh mạng mà Cisco ASA hỗ trợ. Các dịch vụ sau được bao gồm trong kiến trúc của nó:
• Xác thực: quá trình xác thực người dùng dựa trên danh tính của họ và các thông tin được xác định trước chẳng hạn như mật khẩu, chứng thư số.
• Ủy quyền: các phương pháp mà một thiết bị mạng thiết lập các thuộc tính quy định người dùng được ủy quyền gì để thực hiện nhiệm vụ trên hệ thống. Các kết quả được trả về cho các thiết bị mạng để xác định mức cho phép và hạn chế của người dùng. Cơ sở dữ liệu này được đặt cục bộ trên Cisco ASA hoặc có thể được lưu trữ trên RADIUS hoặc TCACS + server.
• Kế toán: quá trình thu thập thông tin và gửi thông tin người dùng đến máy chủ AAA được sử dụng để theo dõi thời gian đăng nhập (khi người dùng đăng nhập và đăng xuất) và các dịch vụ mà người dùng truy nhập. Thông tin này có thể được sử dụng cho mục đích thanh toán, kiểm toán, báo cáo. Cisco ASA có thể được cấu hình để duy trì một cơ sở dữ liệu người dùng hoặc dùng một máy chủ bên ngoài để xác thực. Sau đây là các xác thực AAA dưới các giao thức và server được hỗ trợ như kho cơ sở dữ liệu bên ngoài.
• RADIUS
• TACACS+
• RSA SecurID (SID)
• Windows NT
• Kerberos
• Lightweight Directory Access Protocol (LDAP)
Bảng sau đây thể hiện các phương thức khác nhau và chức năng mà mỗi giao thức cung cấp:
Bảng Ma trận hỗ trợ
2.2.1. RADIUS
RADIUS là một giao thức chuẩn xác thực được thực hiện rộng rãi và được định nghĩa trong RFC 2865, “remote authentication dial-in user service – dịch vụ người dùng quay số xác thực từ xa”. RADIUS hoạt động trong mô hình client/server. Một RADIUS client thường được gọi là một máy chủ truy cập mạng (NAS). Một NAS có nhiệm vụ chuyển thông tin người dùng đến RADIUS
server. Cisco ASA hoạt động như một NAS và xác thực người dùng dựa trên response của server RADIUS. Cisco ASA hỗ trợ một vài máy chủ RADIUS sau:
• CiscoSecure ACS
• Cisco Access Registrar
• Livingston
• Merit
• Funk Steel Belted
• Microsoft Internet Authentication Server Quá trình xác thức RADIUS cơ bản:
Hình 2. Xác thực RADIUS cơ bản
1. Một người dùng cố gắng kết nối với ASA.
2. ASA nhắc nhở người dùng, yêu cầu tên đăng nhập và mật khẩu. 3. Người dùng gửi đáp trả.
4. ASA gửi yêu cầu xác thực đến server RADIUS.
5. RADIUS gửi một tin nhắn chấp nhận truy nhập (nếu người dùng được xác thực thành công) hoặc một từ chối truy nhập (nếu người dùng xcas thực không thành công).
6. ASA đáp trả người dùng và cho phép truy nhập đến dịch vụ cụ thể. ASA xác thực chính bản thân nó với RADIUS bằng cách dùng bí mật chia sẻ cấu hình trước (preconfigured shared secret). Vì lý do an toàn nên bí mật chia sẻ này không bảo giờ được gửi qua mạng.
2.2.2. TACACS+
TACACS+ là một giao thức an toàn AAA. Nó dùng cổng 49 cho liên lạc và cho phép chuyên gia dùng UDP hoặc TCP mã hóa.
Xác thực TACACS+ cũng tương tự như RADIUS. NAS sẽ gửi yêu cầu chứng thực tới server TACACS+. Các máy chủ cuối cùng sẽ gửi bất kì thông điệp sau trở về NAS:
• Accept: người dùng đã được xác thực thành công và các dịch vụ yêu cầu sẽ được cho phép. Nếu như cơ chế cấp quyền được yêu cầu, tiến trình cấp quyền sẽ được thực thi.
• Reject: xác thực người dùng đã bị từ chối, người dùng có thể được nhắc nhở thử lại xác thực tùy vào server TACACS+ và NAS.
• Error: một số lỗi xảy ra trong quá trình xác thực. Nguyên nhân gây ra lỗi có thể ở kết nối hoặc vi phạm cơ chế bảo mật.
• Continue: người dùng được nhắc nhở để cung cấp thông tin xác thực . Sau khi quá trình xác thực đã hoàn tất, nếu ủy quyền được yêu cầu server TACACS+ sẽ xử lý giai đoạn kế tiếp nếu xác thực thành công.
2.2.3. SID
RSA securID là một giải pháp bảo mật được cung cấp bởi công ty bảo mật RSA. RSA ACE/server là thành phần quản trị của giải pháp SID. Nó cung cấp mật khẩu trong thời gian nhất định. Cisco ASA hỗ trợ xác thực SID mà chỉ dành cho xác thực người dùng VPN. Cisco ASA và SID sử dụng UDP cổng 5500 cho quá trình truyền thông. Giải pháp SID cung cấp mật khẩu cho người dùng mỗi 60 giây theo cơ chế vòng tròn. Các mật khẩu được tạo ra khi người dùng nhập vào số pin và được đồng bộ hóa với máy chủ để cung cấp cơ chế xác thực. Cơ chế xác thực như sau:
Hình 2. Xác thực SID
1. Người dùng kết nối đến thiết bị bảo mật ASA. 2. Cisco ASA bắt đầu xác thực.
3. Người dùng gửi username và password. 4. ASA chuyển tiếp yêu cầu lên SID.
5. Nếu mã pin mới được chấp nhận thì máy chủ SID xác thực người dùng và yêu cầu một mã pin mới để sử dụng cho phiên xác thực tiếp theo. 6. ASA yêu cầu người dùng cấp một mã pin mới.
7. Người dùng gửi mã pin mới.
2.2.4. Window NT
Cisco ASA hỗ trợ windows NT xác thực các kết nối truy cập từ xa VPN. Nó giao tiếp với máy chủ windows NT sử dụng TCP cổng 139. Tương tự như SID, bạn có thể dùng một server RADIUS/TACACS+, như là CiscoSecure ACS, để ủy nhiệm xác thực đến windows NT cho các dịch vụ khác được hỗ trợ bởi Cisco ASA.
2.2.5. Kerberos
Là một giao thức được xây dựng để nâng cao an toàn khi xác thực trong môi trường mạng phân tán. Cisco ASA có thể xác thực người dùng VPN thông qua các thư mục window bên ngoài và sử dụng kerberos để xác thực. Có thể sử dụng hệ điều hành unix hoặc linux để chạy máy chủ xác thực kerberos. ASA giao tiếp với thư mục máy chủ kerberos sử dụng UDP cổng 88.
2.2.6. Lightweight Directory Access Protocol(LDAP)
Cisco ASA hỗ trợ giao thức LDAP ủy quyền kết nối truy cập từ xa VPN. Giao thức xác thực LDAP được định nghĩa rõ trong RFC 3377 và RFC 3771. Cisco ASA giao tiếp với máy chủ LDAP thông qua TCP cổng 389. LDAP chỉ cung cấp các dịch vụ ủy quyền.