Tweet
Khi triển khai dự án thực tế, anh em đã từng trải qua cảnh toát mồ hôi hột khi một nhân sự IT cũ nghỉ việc, và phòng mạng phải hì hục đi đổi mật khẩu enable hoặc line vty trên hàng chục, thậm chí hàng trăm con switch/router.
Hay đau đầu hơn là sáng ra hệ thống lăn đùng ra chết, nhưng không ai biết đêm qua "ai đó" đã lỡ tay gõ lệnh write erase vì cả team đều dùng chung một tài khoản admin.
Nếu hệ thống của bạn vẫn đang sử dụng phương pháp quản trị truyền thống này, mạng lưới đang bị đặt vào một rủi ro cực lớn. Hôm nay, hãy cùng mổ xẻ một kiến thức cốt lõi trong track ENCOR/SCOR và cũng là "cứu cánh" thực tế cho dân hạ tầng: Kiến trúc AAA cùng hai giao thức kinh điển RADIUS & TACACS+.
1. Nỗi đau của phương pháp quản trị truyền thống
Thông thường, việc tạo username/password cục bộ (Local) hoặc gán pass trực tiếp vào line Console/VTY rất dễ triển khai, nhưng lại đi kèm vô số điểm yếu chí mạng:
AAA giải quyết bài toán trên bằng cách đẩy mọi tiến trình kiểm soát về một Server trung tâm.
Để switch/router nói chuyện được với AAA Server, chúng ta dùng giao thức. Trong môi trường quản trị mạng thực tế, sự khác biệt giữa hai giao thức này quyết định trực tiếp đến thiết kế bảo mật của bạn:
Giao thức TACACS+ (Chân ái cho Quản trị thiết bị):
Giao thức RADIUS (Chân ái cho Người dùng cuối/WiFi):
Trong cấu hình IOS, anh em thường dùng câu lệnh kinh điển này để cấu hình dự phòng:
Switch(config)# aaa authentication login default group radius local
Nhiều anh em nhầm tưởng rằng: "Nếu gõ sai mật khẩu trên server RADIUS, thiết bị sẽ tự động cho thử tiếp tài khoản Local".
Sự thật là:
Chữ local ở cuối chỉ là phương án dự phòng (fallback) KHI VÀ CHỈ KHI thiết bị mất kết nối hoàn toàn đến RADIUS Server (ví dụ đứt cáp, server sập). Nếu RADIUS Server vẫn sống và trả lời là "Mật khẩu sai", quá trình đăng nhập sẽ bị từ chối (Access Denied) ngay lập tức chứ không hề trượt xuống hỏi Local Database.
Mẹo nhỏ bảo mật: Khi tạo tài khoản Local dự phòng trên thiết bị, hãy từ bỏ thói quen dùng lệnh password. Luôn sử dụng secret (ví dụ: username admin secret pass123) để mã hóa mật khẩu trong file cấu hình nhé!
Việc nắm vững AAA không chỉ giúp bạn ăn trọn điểm phần Security trong bài thi ENCOR mà còn là kỹ năng bắt buộc khi tham gia triển khai bảo mật cho các Enterprise lớn. Bạn cứ dựng Lab lên, bắt gói tin bằng Wireshark giữa quá trình router gọi về TACACS+ Server là sẽ hiểu rõ ngay tận gốc rễ vấn đề!
Hay đau đầu hơn là sáng ra hệ thống lăn đùng ra chết, nhưng không ai biết đêm qua "ai đó" đã lỡ tay gõ lệnh write erase vì cả team đều dùng chung một tài khoản admin.
Nếu hệ thống của bạn vẫn đang sử dụng phương pháp quản trị truyền thống này, mạng lưới đang bị đặt vào một rủi ro cực lớn. Hôm nay, hãy cùng mổ xẻ một kiến thức cốt lõi trong track ENCOR/SCOR và cũng là "cứu cánh" thực tế cho dân hạ tầng: Kiến trúc AAA cùng hai giao thức kinh điển RADIUS & TACACS+.
1. Nỗi đau của phương pháp quản trị truyền thống
Thông thường, việc tạo username/password cục bộ (Local) hoặc gán pass trực tiếp vào line Console/VTY rất dễ triển khai, nhưng lại đi kèm vô số điểm yếu chí mạng:
- Không có tính "chính chủ": Mọi người dùng chung pass, không thể truy vết (Accounting) ai là người thực sự đang thao tác.
- Mù tịt về log câu lệnh: Trừ khi bạn rành về việc cào (scrape) bản tin syslog hoặc tự viết script EEM phức tạp, còn không thì đừng mong biết được user đã gõ những lệnh gì.
- Phân quyền kém linh hoạt: Rất khó để giới hạn kiểu "Ông A chỉ được gõ lệnh show, cấm gõ lệnh configure terminal".
- Quản lý phân tán: Cấu hình thủ công trên từng thiết bị, tốn thời gian và cực kỳ dễ sai sót khi quy mô mạng phình to.
AAA giải quyết bài toán trên bằng cách đẩy mọi tiến trình kiểm soát về một Server trung tâm.
- Authentication (Bạn là ai?): Thiết bị mạng không tự kiểm tra pass nữa mà sẽ hỏi Server.
- Authorization (Bạn được làm gì?): Server sẽ quy định bạn được quyền vào Mode nào, được gõ những câu lệnh nào.
- Accounting (Bạn đã làm gì?): Mọi thời gian đăng nhập, mọi câu lệnh bạn gõ đều được Server ghi nhận lại chi tiết để đối soát.
Để switch/router nói chuyện được với AAA Server, chúng ta dùng giao thức. Trong môi trường quản trị mạng thực tế, sự khác biệt giữa hai giao thức này quyết định trực tiếp đến thiết kế bảo mật của bạn:
Giao thức TACACS+ (Chân ái cho Quản trị thiết bị):
- Đặc tính: Vốn là chuẩn độc quyền của Cisco (hiện đã có các bản chuẩn hóa). Nó sử dụng TCP port 49, đảm bảo việc truyền tải gói tin cực kỳ đáng tin cậy.
- Bảo mật: Mã hóa toàn bộ payload của gói tin, hacker bắt được gói tin cũng không đọc được nội dung cấu hình.
- Cơ chế hoạt động: Ưu điểm ăn tiền nhất là nó tách biệt hoàn toàn 3 tiến trình Xác thực, Cấp quyền và Kiểm toán.
- Ghi log: Hỗ trợ ghi log toàn bộ câu lệnh (Full command logging) của quản trị viên.
Giao thức RADIUS (Chân ái cho Người dùng cuối/WiFi):
- Đặc tính: Là tiêu chuẩn mở (Open standard), sử dụng UDP (Port 1812/1645 cho Xác thực và 1813/1646 cho Kiểm toán). Rất phổ biến cho xác thực mạng không dây, 802.1x.
- Bảo mật: Chỉ mã hóa mỗi đoạn mật khẩu (password), các thông tin khác bay trên mạng dưới dạng cleartext.
- Cơ chế hoạt động: Nó gộp chung quá trình Xác thực và Cấp quyền vào làm một bản tin duy nhất.
- Ghi log: Không hỗ trợ ghi log câu lệnh thiết bị.
Trong cấu hình IOS, anh em thường dùng câu lệnh kinh điển này để cấu hình dự phòng:
Switch(config)# aaa authentication login default group radius local
Nhiều anh em nhầm tưởng rằng: "Nếu gõ sai mật khẩu trên server RADIUS, thiết bị sẽ tự động cho thử tiếp tài khoản Local".
Sự thật là:
Chữ local ở cuối chỉ là phương án dự phòng (fallback) KHI VÀ CHỈ KHI thiết bị mất kết nối hoàn toàn đến RADIUS Server (ví dụ đứt cáp, server sập). Nếu RADIUS Server vẫn sống và trả lời là "Mật khẩu sai", quá trình đăng nhập sẽ bị từ chối (Access Denied) ngay lập tức chứ không hề trượt xuống hỏi Local Database.
Mẹo nhỏ bảo mật: Khi tạo tài khoản Local dự phòng trên thiết bị, hãy từ bỏ thói quen dùng lệnh password. Luôn sử dụng secret (ví dụ: username admin secret pass123) để mã hóa mật khẩu trong file cấu hình nhé!
Việc nắm vững AAA không chỉ giúp bạn ăn trọn điểm phần Security trong bài thi ENCOR mà còn là kỹ năng bắt buộc khi tham gia triển khai bảo mật cho các Enterprise lớn. Bạn cứ dựng Lab lên, bắt gói tin bằng Wireshark giữa quá trình router gọi về TACACS+ Server là sẽ hiểu rõ ngay tận gốc rễ vấn đề!