Bảo mật VPN Tường lửa Mật mã truy cập:bao gồm mật mã riêng mật mã chung Giao thức bảo mật Internet Máy chủ AAA (Authentication Authorization Accounting)kiểm soát việc cho phép thẩm định quyền truy cập Tường lửa Tường lửa (firewall): rào chắn vững mạng riêng Internet Bạn thiết lập tường lửa để hạn chế số lượng cổng mở, loại gói tin giao thức chuyển qua Một số sản phẩm dùng cho VPN router 1700 Cisco nâng cấp để gộp tính tường lửa cách chạy hệ điều hành Internet Cisco IOS thích hợp Tốt cài tường lửa thật tốt trước thiết lập VPN Mã truy cập Mật mã truy cập: máy tính mã hóa liệu gửi tới máy tính khác có máy giải mã Có hai loại mật mã riêng mật mã chung Mật mã riêng (Symmetric-Key Encryption): Mỗi máy tính có mã bí mật để mã hóa gói tin trước gửi tới máy tính khác mạng Mã riêng yêu cầu bạn phải biết liên hệ với máy tính để cài mã lên đó, để máy tính người nhận giải mã Mật mã chung (Public-Key Encryption): kết hợp mã riêng mã công cộng Mã riêng có máy bạn nhận biết, mã chung máy bạn cấp cho máy muốn liên hệ (một cách an tồn) với Để giải mã message, máy tính phải dùng mã chung máy tính nguồn cung cấp, đồng thời cần đến mã riêng Có ứng dụng loại dùng phổ biến Pretty Good Privacy (PGP), cho phép bạn mã hóa thứ II.1.3 Giao thức bảo mật giao thức Internet (IPSec) Giao thức bảo mật giao thức Internet (IPSec) cung cấp tính an ninh cao cấp thuật tốn mã hóa tốt hơn, q trình thẩm định quyền đăng nhập tồn diện IPSec có hai chế mã hóa Tunnel Transport Tunnel mã hóa tiêu đề (header) kích thước gói tin Transport mã hóa kích thước Chỉ hệ thống hỗ trợ IPSec tận dụng giao thức Ngoài ra, tất thiết bị phải sử dụng mã khóa chung tường lửa hệ thống phải có thiết lập bảo mật giống IPSec mã hóa liệu nhiều thiết bị khác router với router… Máy chủ AAA AAA : viết tắt ba chữ Authentication (thẩm định quyền truy cập), Authorization (cho phép) Accounting (kiểm soát) Các server dùng để đảm bảo truy cập an toàn Khi yêu cầu thiết lập kết nối gửi tới từ máy khách, phải qua máy chủ AAA để kiểm tra Các thông tin hoạt động người sử dụng cần thiết để theo dõi mục đích an tồn Mơ hình AAA chung AAA cho phép nhà quản trị mạng biết thơng tin quan trọng tình mức độ an tồn mạng Nó cung cấp việc xác thực (authentication) người dùng nhằm bảo đảm nhận dạng người dùng Một nhận dạng người dùng, ta giới hạn uỷ quyền (authorization) mà người dùng làm Khi người dùng sử dụng mạng, ta giám sát tất mà họ làm AAA với ba phần xác thực (authentication), uỷ quyền (authorization) kiểm toán (accounting) phần riêng biệt mà ta sử dụng dịch vụ mạng, cần thiết để mở rộng bảo mật mạng AAA dùng để tập hợp thơng tin từ nhiều thiết bị mạng Ta kích hoạt dịch vụ AAA router, switch, firewall, thiết bị VPN, server… Các dịch vụ AAA bao gồm ba phần, xác thực (authentication), Uỷ quyền (accounting) kiểm tốn (accounting) Ta tìm hiểu khác ba phần cách thức chúng làm việc thể Xác thực (Authentication) Xác thực dùng để nhận dạng (identify) người dùng Trong suốt trình xác thực, username password người dùng kiểm tra đối chiếu với sở liệu lưu AAA Server Tất nhiên, tuỳ thuộc vào giao thức mà AAA hỗ trợ mã hố đến đâu, mã hố username password Xác thực xác định người dùng Ví dụ: Người dùng có username VIET mật Vieth@nIT hợp lệ xác thực thành công với hệ thống Sau xác thực thành cơng người dùng truy cập vào mạng Tiến trình thành phần để điều khiển người dùng với AAA Một username password chấp nhận, AAA dùng để định nghĩa thẩm quyền mà người dùng phép làm hệ thống Uỷ quyền (Authorization) Uỷ quyền cho phép nhà quản trị điều khiển việc cấp quyền khoảng thời gian, hay thiết bị, nhóm, người dùng cụ thể hay giao thức AAA cho phép nhà quản trị tạo thuộc tính mô tả chức người dùng phép thao tác vào tài nguyên Do đó, người dùng phải xác thực trước uỷ quyền cho người Uỷ quyền AAA làm việc giống tập thuộc tính mơ tả mà người dùng xác thực có Ví dụ: Người dùng VIET sau xác thực thành cơng phép truy cập vào server VIETHANIT_SERVER thông qua FTP Những thuộc tính so sánh với thông tin chứa sở liệu người dùng kết trả AAA để xác định khả giới hạn thực tế người Điều yêu cầu sở liệu phải giao tiếp liên tục với AAA server suốt trình kết nối đến thiết bị truy cập từ xa (RAS) Uỷ quyền liên quan đến việc sử dụng quy tắc mẫu để định người sử dụng chứng thực làm hệ thống Ví dụ: Trong trường hợp nhà cung cấp dịch vụ Internet, định liệu địa IP tĩnh cho trái ngược với địa DHCP giao Các quản trị hệ thống định nghĩa quy tắc Máy chủ AAA phân tích yêu cầu cấp quyền truy cập yêu cầu có thể, có khơng phải tồn yêu cầu hợp lệ Ví dụ: Một máy khách quay số kết nối yêu cầu nhiều liên kết Một máy chủ AAA chung đơn giản từ chối toàn yêu cầu, thực thi thông minh xem xét yêu cầu, xác định máy khách phép kết nối dial-up, cấp kênh từ chối yêu cầu khác Kiểm toán (Accounting) Kiểm toán cho phép nhà quản trị thu thập thơng tin thời gian bắt đầu, thời gian kết thúc người dùng truy cập vào hệ thống, câu lệnh thực thi, thống kê lưu lượng, việc sử dụng tài nguyên sau lưu trữ thơng tin hệ thống sở liệu quan hệ Nói cách khác, kiểm toán cho phép giám sát dịch vụ tài nguyên người dùng sử dụng Ví dụ: thống kê cho thấy người dùng có tên truy cập VIET truy cập vào VIETHANIT_SERVER giao thức FTP với số lần lần Điểm kiểm tốn cho phép người quản trị giám sát tích cực tiên đoán dịch vụ việc sử dụng tài ngun Thơng tin dùng để tính cước khách hàng, quản lý mạng, kiểm tốn sổ sách Giao thức sử dụng dịch vụ AAA Giới thiệu Hình 3-2 Các giao thức cho dịch vụ AAA Có hai giao thức bảo mật dùng dịch vụ AAA TACACS (Terminal Access Controller Access Control System) RADIUS (Remote Authentication Dial-In User Service) Cả hai giao thức có phiên thuộc tính riêng Chẳng hạn phiên riêng TACACS TACACS+, tương thích hồn tồn với TACACS RADIUS có mở rộng cho phép khách hàng thêm thông tin xác định mang RADIUS TACACS RADIUS dùng từ thiết bị server truy cập mạng (NAS) đến AAA server Xem xét gọi từ xa hình 3.2 Người dùng gọi từ PC đến NAS NAS hỏi thông tin để xác thực người dùng Từ PC đến NAS, giao thức sử dụng PPP, giao thức CHAP hay PAP dùng để truyền thông tin xác thực NAS truyền thơng tin đến AAA Server để xác thực Nó mang giao thức TACACS RADIUS Tổng quan TACACS TACACS giao thức chuẩn hoá sử dụng giao thức hướng kết nối (connection-oriented) TCP port 49 TACACS có ưu điểm sau: Với khả nhận gói reset (RST) TCP, thiết bị báo cho đầu cuối khác biết có hỏng hóc q trình truyền TCP giao thức mở rộng có khả xây dựng chế phục hồi lỗi Nó tương thích để phát triển làm tắc nghẽn mạng với việc sử dụng sequence number để truyền lại Toàn payload mã hoá với TACACS+ cách sử dụng khố bí mật chung (shared secret key) TACACS+ đánh dấu trường header để xác định xem thử có mã hố hay khơng TACACS+ mã hố tồn gói việc sử dụng khố bí mật chung bỏ qua header TACACS chuẩn Cùng với header trường xác định body có mã hố hay khơng Thường tồn thao tác, body gói mã hố hồn tồn để truyền thơng an toàn TACACS+ chia làm ba phần: xác thực (authentication), cấp quyền (authorization) tính cước (accounting) Với cách tiếp cận theo module, ta sử dụng dạng khác xác thực sử dụng TACACS+ để cấp quyền tính cước Chẳng hạn như, việc sử dụng phương thức xác thực Kerberos với việc cấp quyền tính cước TACACS+ phổ biến TACACS+ hỗ trợ nhiều giao thức Với TACACS+, ta dùng hai phương pháp để điều khiển việc cấp quyền thực thi dòng lệnh user hay nhóm nhiều user: Phương pháp thứ tạo mức phân quyền (privilege) với số câu lệnh giới hạn user xác thực router TACACS server Bài báo cáo thực việc tìm hiểu mạng riêng ảo –Virtual Private Network Thơng qua việc tìm hiểu cho thấy rằng: Cơng nghệ VPN cung cấp cách để mã hóa phần đầu kết nối Internet người dùng, lúc giúp che giấu địa IP vị trí người dùng Kết giúp tăng cường riêng tư bảo mật, cộng thêm khả mở khóa nội dụng hạn chế theo vị trí địa lý Mặc dù khơng phải lúc nên dùng VPN đâu, đơi cần thiết ... quyền thực thi dòng lệnh user hay nhóm nhiều user: Phương pháp thứ tạo mức phân quyền (privilege) với số câu lệnh giới hạn user xác thực router TACACS server Bài báo cáo thực việc tìm hiểu mạng riêng... vụ mạng, cần thiết để mở rộng bảo mật mạng AAA dùng để tập hợp thơng tin từ nhiều thiết bị mạng Ta kích hoạt dịch vụ AAA router, switch, firewall, thiết bị VPN, server… Các dịch vụ AAA bao gồm... quyền khoảng thời gian, hay thiết bị, nhóm, người dùng cụ thể hay giao thức AAA cho phép nhà quản trị tạo thuộc tính mơ tả chức người dùng phép thao tác vào tài nguyên Do đó, người dùng phải xác