Chương IV Một số công nghệ an toàn bổ sung cho các mạng riêng ảo Trong các chương trước chúng ta đã thảo luận về các công nghệ an toàn có thể được dùng để xây dựng mạng riêng ảo. Trong khi các công nghệ đó thường đủ và hiệu quả với các tác vụ đơn lẻ, nhưng có những trường hợp mà một mình các công nghệ đó không đáp ứng được yêu cầu cho một giải pháp VPN đầy đủ. Một trong những trường hợp như vậy là sử dụng chứng chỉ số, xác thực và mã hóa. Chương này sẽ mô tả ngắn gọn một số công nghệ an toàn có thể bổ sung thêm vào một giải pháp mạng riêng ảo hoặc đồng thời tồn tại trong một môi trường mạng riêng ảo dưới hoàn cảnh nào đó. 4.1. Xác thực với người dùng quay số truy cập từ xa Quay số từ xa tới Intranet của công ty, cũng như tới Internet đã tạo ra Server truy cập từ xa(RAS), một phần rất quan trọng của các dịch vụ liên mạng ngày nay. Như chúng ta biết, càng ngày càng nhiều người dùng di động yêu cầu truy cập không chỉ tới tài nguyên mạng trung tâm mà cả với nguồn thông tin trên Internet. Sự phổ biến của Internet và Intranet trong các tổ chức đã thúc đẩy sự phát triển của các dịch vụ và thiết bị truy cập từ xa. Nhu cầu kết nối một cách đơn giản tới các tài nguyên của tổ chức từ các thiết bị máy tính di động như máy xách tay chẳng hạn ngày càng tăng. Sự xuất hiện của truy cập từ xa cũng là một trong các nguyên nhân của sự phát triển trong lĩnh vực bảo mật. Mô hình bảo mật xác thức – cấp quyền và kiểm toán(AAA) đã được phát triển để nhằm vào vấn đề bảo mật truy cập từ xa. AAA là một bộ khung được dùng để cấu hình ba chức năng an toàn cơ bản: xác thực, cấp quyền và kiểm toán. Ngày nay, mô hình an toàn AAA được sử dụng trong tất cả các kịch bản truy cập từ xa trong thực tế vì nó cho phép người quản trị mạng nhận dạng và trả lời ba câu hỏi quan trọng sau: - Ai đang truy cập mạng? - Người dùng được phép làm những gì? Và những hoạt động nào được hạn chế khi người dùng truy cập mạng thành công? - Người dùng đang làm gì và lúc nào? AAA được mô tả ngắn gọn như sau: - Xác thực(Authentication): Xác thực là bước đầu tiên đối với bảo mật. Đây là hoạt động xác định một người dùng(hoặc thực thể) là ai trước khi anh ta có thể truy cập các tài nguyên trong mạng. Xác thực có thể dưới nhiều dạng, dạng truyền thống sử dụng một tên đăng nhập và một mật khẩu cố định. Hầu hết các máy tính làm việc theo cách này. Tuy nhiên, phần lớn mật khẩu cố định có những giới hạn nhất định trong lĩnh vực bảo mật. Nhiều cơ chế xác thực hiện đại sử dụng mật khẩu một lần hay một truy vấn dạng yêu cầu – đáp ứng (Ví dụ các giao thức xác thực: PAP, CHAP, EAP…). Thông thường, xác thực xẩy ra lúc người dùng đăng nhập lần đầu tiên vào máy hoặc yêu cầu một dịch vụ từ nó - Cấp quyền(Authorization): Đây là hoạt động xác định một người dùng được phép làm những gì. Nghĩa là muốn nói đến việc kiểm soát các hoạt động mà người dùng được phép thực hiện trong mạng và tài nguyên mà người dùng được phép truy cập. Kết quả là, cấp quyền cung cấp các cơ chế cho việc kiểm soát truy cập từ xa bằng các phương tiện như: cấp quyền một lần, cấp quyề cho mỗi dịch vụ, trên từng danh sách tài khoản người dùng hoặc chính sách nhóm. Thông thường các thuộc tính, đặc quyền và quyền truy cập được biên dịch và lưu trữ tại một cơ sở dữ liệu trung tâm cho mục đích cấp quyền. Các thuộc tính và các quyền này quyết định những hoạt động mà một người dùng được phép thực hiện. Khi một người dùng cần được cấp quyền sau khi đã được xác thực thành công, các thuộc tính và quyền này được xác minh dựa vào cơ sở dữ liệu với người dùng và chuyển tiếp tới Server liên quan(ví dụ: Server truy cập từ xa). Thông thường, xác thực được thực hiện trước cấp quyền, nhưng điều đó là không nhất thiết phải yêu cầu như vậy. Nếu một tài nguyên mạng, như Server, nhận một yêu cầu cấp quyền mà không qua xác thực, Agent cấp quyền trên thiết bị mạng phải quyết định người dùng có thể truy cập thiết bị mạng và được phép thực hiện các dịch vụ đã xác định trong yêu cầu cấp quyền hay không - Kiểm toán(Auounting): Đây là hoạt động điển hình thứ 3 sau xác thực và cấp quyền. Kiểm toán là ghi lại những hoạt động mà người dùng đã và đang thực hiện. Kiểm toán là cơ chế ghi lại những hoạt động mà người dùng thực hiện sau khi đã đăng nhập thành công vào mạng. Kiểm toán bao hàm việc: thu thập, ghi danh sách, kiểm toán, ghi nhật ký và báo cáo về các định danh người dùng, các lệnh đã được thực hiện trong một phiên, số lượng các gói được truyền tải, vv… Lúc một hoạt động của người dùng được ghi lại, thời gian nó được thực hiện, khoảng thời gian của toàn bộ phiên người dùng và khoảng thời gian với mỗi hoạt động riêng lẻ cũng được ghi lại. Thông tin chi tiết về người dùng giúp người quản trị mạng theo dõi được những hoạt động của người dùng và đưa ra những hành động phù hợp để duy trì an toàn mạng. Mặc dù, kiểm toán được xem là bước lôgic tiếp theo của xác thực và cấp quyền, nhưng nó có thể thực thi không theo tuần tự đó. Trong thực tế, kiểm toán có thể được thực thi ngay cả khi hoạt động xác thực và cấp quyền không được thực hiện. Trong mô hình cơ sở dữ liệu bảo mật Client/Server phân tán, một số các Client, Server trong truyền thông xác thực một định danh của người dùng quay số qua một trung tâm cơ sở dữ liệu đơn hoặc một Server xác thực. Server xác thực lưu trữ tất cả thông tin về người dùng, các mật khẩu và các quyền ưu tiên truy cập của họ. Phân phối bảo mật đóng vai trò như một trung tâm về dữ liệu xác thực, nó an toàn hơn sự phân tán thông tin người dùng trên các thiết bị khác qua một mạng. Một Server xác thực đơn có thể hỗ trợ cả hàng trăm Server truyền thông, hàng nghìn người dùng. Các Server trong quá trình truyền thông có thể truy cập một Server xác thực cục bộ hoặc từ xa qua kết nối mạng diện rộng(WAN). Một số đại lý cung cấp truy cập từ xa và IETF đã đi đầu trong việc cố gắng bảo đảm an toàn cho truy cập từ xa, các phương tiện bảo mật được chuẩn hoá. Dịch vụ xác thực người dùng quy số từ xa(RADIUS) và hệ thống kiểm soát truy cập các thiết bị cuối(TACACS) như là hai dự án đã mở ra bộ khung của chuẩn Internet và các đại lý truy cập từ xa. Dịch vụ xác thực người dùng quay số từ xa(RADIUS) RADIUS là một hệ thống bảo mật phân tán được phát triển bởi Livingston Enterprises. RADIUS được thiết kế dựa trên những khuyến cáo trước đó từ nhóm Network Access Server Working Requirements của IETF. Một nhóm IETF làm việc với RADIUS được thành lập vào tháng 1 năm 1996 để đưa ra các chuẩn cho giao thức RADIUS, RADIUS bây giờ là một giải pháp bảo mật đường quay số được thừa nhận bởi IETF Hình 4.1 Dịch vụ xác thực người dùng quay số từ xa RADIUS Hệ thống kiểm soát truy cập thiết bị đầu cuối(TACACS) Tương tự với RADIUS, TACACS là một giao thức chuẩn công nghiệp. Như trong hình 4.2, lúc một Client từ xa đưa ra một yêu cầu xác thực tới NAS gần nó nhất, yêu cầu này được chuyển tiếp tới TACACS. Sau đó TACACS chuyển tiếp ID và mật khẩu được cung cấp tới cơ sở dữ liệu trung tâm, cơ sở dữ liệu trung tâm này có thể là một cơ sở dữ liệu TACACS hoặc một cơ sở dữ liệu bảo mật mở rộng. Cuối cùng, thông tin được lấy lại và chuyển tiếp tới TACACS, nó lần lượt được chấp nhận hoặc từ chối yêu cầu kết nối trên cơ sở thông tin nó nhận được từ cơ sở dữ liệu Hình 4.2 Xác thực từ xa dựa trên TACACS Hiện tại, có hai phiên bản của TACACS trên thị trường, cả hai phiên bản này đều được phát triển bởi Cisco. Đó là: - XTACACS (eXtended TACACS): Là một mở rộng của TACACS, nó hỗ trợ các tính năng cao cấp. - TACACS+: Phiên bản này của TACACS ban đầu sử dụng một Server truy cập riêng dưới dạng Server TACACS+. Server này cung cấp các dịch vụ xác thực, cấp quyền và kiểm toán độc lập. NAS giữ một vai trò quan trọng trong cả xác thực dựa trên RADIUS và dựa trên TACACS. Là một Client RADIUS hay TACACS, NAS mã hoá các thông tin(ID/Mật khẩu của người dùng) được cung cấp bởi người dùng từ xa trước khi chuyển tiếp nó tới Server xác thực tại mạng chủ cuối, NAS cũng có khả năng định tuyến một yêu cầu xác thực tới Server xác thực khác nếu Server xác thực đích không đến được. 4.1.1. Hoạt động của RADIUS RADIUS đầu tiên được phát triển bởi Livingston Enterprises, nhưng bây giờ thuộc quyền sở hữu của IETF và là một giao thức mở, có thể được phân phối dưới dạng mã nguồn và bất kỳ người nào cũng đều có thể sửa đổi. Mặc dùng RADIUS ban đầu được phát triển cho người quản trị của NAS, các sản phẩm hỗ trợ được bổ sung thêm các ứng dụng/thiết bị khác như firewall, truy cập trang web cá nhân, các tài khoản Email và các vấn đề bảo mật Internet liên quan đến xác thực khác. RADIUS gồm 2 phần: Có Client RADIUS, ví dụ: NAS hay bất kỳ phần mềm khác như Firewall, Client gửi một yêu cầu AAA tới RADIUS Server. Mặt khác, có RADIUS Server, nó kiểm tra yêu cầu theo dữ liệu đã được cấu hình trước. . số công nghệ an toàn bổ sung cho các mạng riêng ảo Trong các chương trước chúng ta đã thảo luận về các công nghệ an toàn có thể được dùng để xây dựng mạng riêng ảo. Trong khi các công nghệ. này sẽ mô tả ngắn gọn một số công nghệ an toàn có thể bổ sung thêm vào một giải pháp mạng riêng ảo hoặc đồng thời tồn tại trong một môi trường mạng riêng ảo dưới hoàn cảnh nào đó. 4.1. Xác. mạng nhận dạng và trả lời ba câu hỏi quan trọng sau: - Ai đang truy cập mạng? - Người dùng được phép làm những gì? Và những hoạt động nào được hạn chế khi người dùng truy cập mạng thành công?