Announcement

**vankhai** · 22-12-2020, 09:16 AM

2.1 Nhu cầu về an toàn thông tin

Cùng với sự phát triển của doanh nghiệp là những đòi hỏi ngày càng cao của môi trường kinh doanh yêu cầu doanh nghiệp cần phải chia sẻ thông tin của mình cho nhiều đối tượng khác nhau qua Internet hay Intranet. Việc mất mát, rò rỉ thông tin có thể ảnh hưởng nghiêm trọng đến tài chính, danh tiếng của công ty và quan hệ với khách hàng.
Các phương thức tấn công thông qua mạng ngày càng tinh vi, phức tạp có thể dẫn đến mất mát thông tin, thậm có có thể làm sụp đổ hoàn toàn hệ thống thông tin của doanh nghiệp. Vì vậy an toàn và bảo mật thông tin là nhiệm vụ rất nặng nề và khó đoán trước được, nhưng tựu trung lại gồm ba hướng chính sau:

- - Bảo đảm an toàn thông tin tại máy chủ
  - Bảo đảm an toàn cho phía máy trạm
  - Bảo mật thông tin trên đường truyền

Đứng trước các yêu cầu bảo mật thông tin, ngoài việc xây dựng các phương thức bảo mật thông tin thì người ta đã đưa ra các nguyên tắc bảo vệ dữ liệu như sau:

- - Nguyên tắc hợp pháp trong lúc thu thập và xử lý dữ liệu.
  - Nguyên tắc đúng đắn.
  - Nguyên tắc phù hợp với mục đích.
  - Nguyên tắc cân xứng.
  - Nguyên tắc minh bạch.
  - Nguyên tắc được cùng quyết định cho từng cá nhân và bảo đảm quyền truy cập cho người có liên quan.
  - Nguyên tắc không phân biệt đối xử.
  - Nguyên tắc an toàn.
  - Nguyên tắc có trách nhiệm trước pháp luật.
  - Nguyên tắc giám sát độc lập và hình phạt theo pháp luật.
  - Nguyên tắc mức bảo vệ tương ứng trong vận chuyển dữ liệu xuyên biên giới.

An toàn thông tin đã thay đổi rất nhiều trong thời gian gần đây. Trước kia hầu như chỉ có nhu cầu bảo mật thông tin, nay đòi hỏi thêm nhiều yêu cầu mới như an ninh máy chủ và trên mạng.
Các phương pháp truyền thống được cung cấp bởi các cơ chế hành chính và phương tiện vật lý như nơi lưu trữ bảo vệ các tài liệu quan trọng và cung cấp giấy phép được quyền sử dụng các tài liệu mật đó.
Việc sử dụng mạng và truyền thông đòi hỏi phải có các phương tiện bảo vệ dữ liệu khi truyền. Trong đó có các phương tiện phần mềm và phần cứng, đòi hỏi có những nghiên cứu mới đáp ứng các bài toán thực tiễn đặt ra.
Ở đề tài báo cáo nghiên cứu về “Ứng dụng của CISCO ISE trong mạng doanh nghiệp” này chúng ta sẽ tập trung xem xét dựa trên nguyên tắc xác thực, quyết định phân quyền cũng như kiểm toán (AAA) cho từng cá nhân và bảo đảm quyền truy cập cho người có liên quan. Từ đó, tìm hiểu và ứng dụng Cisco ISE vào mạng doanh nghiệp.

Các bạn học viên hãy nhanh tay LIKE và bấm THEO DÕI TRƯỚC trên fanpage VnPro để cập nhật tin tức 1 cách nhanh nhất và các bài viết mới nhất nhé!!!
Fanpage: https://fb.com/vnpro
Zalo: https://zalo.me/1005309060549762169
Twitter: www.twitter.com/VnVnPro
LinkedIn: www.linkedin/in/VnPro
Telegram: t.me/trungtamvnpro

Email : vnpro@vnpro.org
---------------------------------------------------------------------------------------------------------------

Trung Tâm Tin Học VnPro
149/1D Ung Văn Khiêm P25 Q.Bình thạnh TPHCM
Tel : (08) 35124257 (5 lines)
Fax: (08) 35124314

Home page: http://www.vnpro.vn
Support Forum: http://www.vnpro.org

- Chuyên đào tạo quản trị mạng và hạ tầng Internet
- Phát hành sách chuyên môn
- Tư vấn và tuyển dụng nhân sự IT
- Tư vấn thiết kế và hỗ trợ kỹ thuật hệ thống mạng

Network channel: http://www.dancisco.com
Blog: http://www.vnpro.org/blog

**natimortal** · 22-12-2020, 03:24 PM

Ứng dụng Cisco ISE trong mạng doanh nghiệp Phần 2 | Giới thiều về AAA

2.1 Sơ lược về Triple-A (AAA) và các giao thức bên trong
2.2.1 Các nguyên tắc
Nguyên tắc cơ bản của bảo mật này là việc cung cấp mức độ truy cập chính xác cho thực thể xác định được gọi là xác thực, ủy quyền, và tính cước (AAA), thường gọi là Triple-A.

Trước khi cho phép một thực thể thực hiện một hành động, phải đảm bảo biết thực thể đó là ai (xác thực) và nếu thực thể đó được ủy quyền để thực hiện hành động đó (ủy quyền). Ngoài ra, cần phải đảm bảo rằng các hành động xảy ra đã được ghi chép lại, vì vậy, ta cần ghi lại một cách bảo mật các sự kiện xảy ra (tính cước).

Chúng ta có thể áp dụng các khái niệm của AAA cho nhiều khía cách khác nhau của vòng đời công nghệ; tuy nhiên, ở đây sẽ tập trung vào hai khía cạnh chính của AAA liên quan đến an ninh mạng:

Quản trị thiết bị AAA: Kiểm soát quyền truy cập vào những người mà người đó có thể đăng nhập vào bảng điều khiển thiết bị mạng, phiên Telnet, phiên Secure Shell (SSH),.... Đây là AAA cho quản trị thiết bị và mặc dù nó thường có vẻ giống với AAA truy cập mạng, nhưng có một mục đích hoàn toàn khác và đòi hỏi các cấu trúc chính sách khác nhau.
Truy cập mạng AAA: Bảo mật truy cập mạng có thể cung cấp danh tính của điểm cuối, thiết bị hoặc người dùng trước khi cho phép thực thể giao tiếp với mạng. Đây là AAA để truy cập mạng.

2.2.2 Các khái niệm về Triple-A trong thế giới thực
Xác thực (Authentication), nói một cách đơn giản, là xác nhận danh tính, còn được gọi là thông tin xác thực. Đây là một bước rất quan trọng trong quá trình thực hiện bất kỳ loại kiểm soát truy cập an toàn nào, bất kể bạn đang kiểm soát điều gì. Ví dụ: xem xét việc trả tiền cho cửa hàng tạp hóa với một thẻ tín dụng. Là chủ sở hữu thẻ tín dụng, bạn có quyền lựa chọn ký vào mặt sau của thẻ hoặc nhập mã ID của thẻ. Nếu ID và chữ ký khớp với mặt trước thẻ thì người đó được xác thực đúng là chủ của thẻ tín dụng.

Ủy quyền (Authorization): Có một nhân viên thu ngân kiểm tra danh tính của người sử dụng thẻ để đảm bảo khớp với người được hiển thị trên chính ID, đó là xác thực. Đảm bảo rằng danh tính khớp với tên được in trên thẻ tín dụng là ủy quyền.

Tính cước (Accouting): Ví dụ Jamie cố gắng sử dụng thẻ tín dụng Vivek, hiện có trong các tệp nhật ký của hệ thống điểm bán, hệ thống giám sát video của cửa hàng và các hệ thống khác. Đây là phần tính cước (accounting) của AAA. Nó là một phần quan trọng cần thiết để báo cáo, kiểm toán và hơn thế nữa.

Nó sẽ trở thành tối quan trọng đối với bạn với tư cách là một chuyên gia bảo mật để hiểu được sự khác biệt và mục đích của cả ba A trong bảo mật chính của Triple-A.
2.2.3 So sánh và chọn tùy chọn AAA
Bản thân AAA thường yêu cầu một giao thức chuyên biệt được thiết kế để thực hiện các yêu cầu xác thực và phản hồi tương ứng của chúng, bao gồm kết quả ủy quyền và nhật ký tính cước. Các giao thức chuyên biệt này được gọi là giao thức AAA và hai giao thức AAA phổ biến nhất là Dịch vụ người dùng quay số xác thực từ xa (RADIUS) và Bộ điều khiển truy cập đầu cuối (TACACS+), mà chúng ta sẽ định nghĩa chi tiết hơn trong chương này. Mỗi giao thức AAA có một ưu và nhược điểm riêng khiến nó phù hợp hơn với một số loại AAA nhất định. Không phụ thuộc vào giao thức AAA được sử dụng, có hai cách sử dụng AAA là để quản trị thiết bị và truy cập mạng.
2.2.4 Quản trị thiết bị
Quản trị thiết bị là một phương pháp của AAA để kiểm soát quyền truy cập vào bảng điều khiển thiết bị mạng, phiên Telnet, phiên SSH hoặc phương pháp khác để truy cập hệ điều hành của thiết bị nơi tiến hành cấu hình cho thiết bị. Ví dụ: hãy tưởng tượng công ty của bạn có một nhóm Active Directory có tên Quản trị viên Cisco, nhóm này sẽ có quyền truy cập đầy đủ (cấp đặc quyền 15) vào các thiết bị chuyển mạch của Cisco trong mạng của công ty. Do đó, các thành viên của Quản trị viên Cisco sẽ có thể thực hiện các thay đổi đối với các mạng ảo cục bộ (Vlan), xem toàn bộ cấu hình đang chạy của thiết bị và hơn thế nữa.

Có thể có một nhóm khác có tên là “Người dùng Cisco”, những người chỉ được phép xem thông tin đầu cuối là các dòng lệnh hiển thị và không được phép cấu hình bất cứ thứ gì trong thiết bị. Quản trị thiết bị AAA cung cấp khả năng này.

Tuy nhiên, quản trị thiết bị AAA có thể chi tiết hơn. Cả Hệ thống kiểm soát truy cập an toàn của Cisco (ACS) và Công cụ dịch vụ nhận dạng của Cisco (ISE) đều có khả năng cung cấp các bộ lệnh, là danh sách các lệnh được cho phép hoặc từ chối thực thi bởi một người dùng đã được chứng thực. Nói cách khác, người dùng có thể xác thực với shell Cisco IOS và ISE có thể cho phép hoặc từ chối việc thực thi các lệnh riêng lẻ của người dùng.

Hình 2 – 1 minh họa quản trị thiết bị

Quản trị thiết bị có thể rất tương tác về bản chất, với nhu cầu xác thực một lần nhưng ủy quyền nhiều lần trong một phiên quản trị duy nhất trong dòng lệnh của thiết bị.
Do đó, rất có ích khi sử dụng giao thức máy khách/máy chủ của Bộ điều khiển truy cập (TACACS), hơn cả RADIUS.

Như mô tả tên gọi, TACACS được thiết kế để quản trị thiết bị AAA, để xác thực và ủy quyền cho người dùng máy tính lớn và các thiết bị đầu cuối Unix cũng như các thiết bị đầu cuối hoặc bảng điều khiển khác.

Cả hai giao thức TACACS và RADIUS sẽ được thảo luận sâu hơn trong chương này; tuy nhiên, vì TACACS phân ra phần ủy quyền của AAA, cho phép xác thực duy nhất và nhiều ủy quyền trong cùng một phiên, nên nó giúp cho việc quản lý thiết bị nhiều hơn RADIUS. RADIUS không cung cấp khả năng kiểm soát các lệnh nào có thể được thực thi.
2.2.5 Truy cập mạng
Truy cập mạng an toàn về cơ bản là tất cả về việc tìm hiểu danh tính của người dùng hoặc điểm cuối trước khi cho phép thực thể đó giao tiếp trong mạng. Truy cập mạng AAA thực sự đã cản trở mạnh mẽ đối với modem và mạng quay số với dịch vụ điện thoại cũ (POTS). Các công ty đã cung cấp quyền truy cập mạng cho công nhân từ bên ngoài ranh giới vật lý của các tòa nhà của công ty với việc sử dụng modem. Mọi người có được quyền truy cập Internet bằng cách sử dụng quay số đến nhà cung cấp dịch vụ Internet (ISP) cũng thông qua modem của họ. Về cơ bản, tất cả những gì cần thiết là một modem và một đường dây điện thoại.

Tất nhiên, cho phép mọi người quay số vào mạng công ty chỉ bằng cách quay số điện thoại của modem không phải là một cách an toàn. Người dùng cần được xác thực và ủy quyền trước khi được phép kết nối. Đó là nơi ban đầu giao thức RADIUS AAA được phát huy, như một điều hiển nhiên trong tên của giao thức (Dịch vụ người dùng quay số xác thực từ xa). RADIUS được sử dụng giữa thiết bị truy cập mạng (NAD) và máy chủ xác thực. Giao thức xác thực thường là Giao thức xác thực mật khẩu (PAP), Giao thức xác thực thử thách/bắt tay (CHAP) hoặc Microsoft CHAP (MS-CHAP).

Hình 2 – 2 Minh họa quay số truy cập từ xa (RADIUS)

Khi công nghệ tiếp tục phát triển và RADIUS của một công ty đã được thay thế bằng các mạng riêng ảo truy cập từ xa (RA-VPN), Wi-Fi trở nên phổ biến và (IEEE) đã chuẩn hóa theo phương pháp để sử dụng Giao thức xác thực mở rộng (EAP) trên các mạng cục bộ (IEEE 802.1X), RADIUS được sử dụng làm giao thức được lựa chọn để mang lưu lượng xác thực. Trên thực tế, IEEE 802.1X không thể sử dụng TACACS. Nó phải sử dụng RADIUS.

Ghi chú: Có một giao thức AAA khác tương tự RADIUS, được gọi là DIAMETER, cũng có thể được sử dụng với 802.1X; tuy nhiên, nó chủ yếu được tìm thấy trong không gian của nhà cung cấp dịch vụ.
Trong thế giới ngày nay, RADIUS là giao thức được sử dụng gần như độc quyền với truy cập mạng AAA và là nền tảng điều khiển chính được sử dụng giữa Cisco ISE và chính các thiết bị mạng.

---------------------------------
Các bạn học viên hãy nhanh tay LIKE và bấm THEO DÕI TRƯỚC trên fanpage VnPro để cập nhật tin tức 1 cách nhanh nhất và các bài viết mới nhất nhé!!!
Fanpage: https://fb.com/vnpro
Zalo: https://zalo.me/1005309060549762169
Twitter: www.twitter.com/VnVnPro
LinkedIn: www.linkedin/in/VnPro
Telegram: t.me/trungtamvnpro

**vankhai** · 23-12-2020, 05:40 PM

2.2.1 TACACS+

Như đã giới thiệu trước đây TACACS là một bộ giao thức được tạo và nhằm mục đích kiểm soát truy cập vào các thiết bị đầu cuối máy tính lớn và Unix. Cisco đã tạo ra một giao thức mới gọi là TACACS+, được phát hành như một tiêu chuẩn mở vào đầu những năm 1990. TACACS+ có thể được lấy tên từ TACACS, nhưng nó là một giao thức hoàn toàn riêng biệt và không tương thích ngược được thiết kế cho AAA. Mặc dù TACACS+ chủ yếu được sử dụng cho quản trị thiết bị AAA, nhưng có thể sử dụng nó cho một số loại truy cập mạng AAA.
TACACS+ trở thành giao thức được hỗ trợ với Cisco ISE trong phiên bản
2.0. Trước ISE 2.0, Máy chủ kiểm soát truy cập an toàn của Cisco (ACS) là sản phẩm máy chủ AAA chính của Cisco dành cho các doanh nghiệp cần sử dụng TACACS+ cho quản trị thiết bị AAA. Tuy nhiên, bắt đầu với ISE 2.0, ISE đã thay thế ACS làm máy chủ AAA hàng đầu của doanh nghiệp Cisco cho cả RADIUS và TACACS+.
TACACS+ sử dụng cổng Giao thức điều khiển truyền (TCP) cổng số 49 để giao tiếp giữa máy khách TACACS+ và máy chủ TACACS+. Một ví dụ là một thiết bị chuyển mạch của Cisco xác thực và cho phép truy cập quản trị vào bộ chuyển đổi IOS CLI. Bộ chuyển mạch là máy khách TACACS+ và Cisco ISE là máy chủ TACACS+, như được minh họa trong Hình 2 – 3.

Hình 2 – 3 Giao tiếp máy khách – máy chủ TACACS+

Một trong những điểm khác biệt chính của TACACS+ là khả năng phân tách xác thực, ủy quyền và tính cước dưới dạng các chức năng riêng biệt và độc lập. Đây là lý do tại sao TACACS+ thường được sử dụng để quản trị thiết bị, mặc dù RADIUS vẫn chắc chắn có khả năng cung cấp quản trị thiết bị AAA.
Quản trị thiết bị có thể rất tương tác về bản chất, với nhu cầu xác thực một lần nhưng ủy quyền nhiều lần trong một phiên quản trị duy nhất trong dòng lệnh của thiết bị. Một bộ định tuyến hoặc bộ chuyển mạch có thể cần phải ủy quyền cho hoạt động của người dùng trên mỗi lệnh căn bản. TACACS+ được thiết kế để đáp

ứng nhu cầu ủy quyền đó. Đúng như tên gọi, TACACS+ được thiết kế để quản trị thiết bị AAA để xác thực và ủy quyền cho người dùng vào các máy tính lớn và Unix và các thiết bị đầu cuối hoặc bảng điều khiển khác.
Giao tiếp TACACS+ giữa máy khách TACACS+ và máy chủ TACACS+ sử dụng các loại thông báo khác nhau tùy thuộc vào chức năng. Nói cách khác, các thông điệp khác nhau có thể được sử dụng để xác thực hơn là được sử dụng để ủy quyền và tính cước. Một điểm rất thú vị khác cần biết là giao tiếp TACACS+ sẽ mã hóa toàn bộ gói.

Thông điệp xác thực TACACS+

Khi sử dụng TACACS+ để xác thực, chỉ có ba loại gói được trao đổi giữa máy khách (thiết bị mạng) và máy chủ:

START: Gói này được sử dụng để bắt đầu yêu cầu xác thực giữa máy khách AAA và máy chủ AAA.
- RESPONSE: Thông điệp được gửi từ máy chủ AAA đến máy khách AAA.
- CONTINUE: Thông điệp từ máy khách AAA được sử dụng để đáp ứng yêu cầu của máy chủ AAA về tên người dùng và mật khẩu.

Các đoạn dưới đây mô tả quá trình dòng xác thực và các thông điệp được sử
dụng:
Khi một yêu cầu xác thực được gửi từ máy khách đến máy chủ, nó sẽ bắt
đầu bằng thông báo START từ thiết bị mạng (máy khách AAA) đến máy chủ AAA. Thông báo START cho máy chủ biết rằng sẽ có yêu cầu xác thực đang đến. Tất cả các thông điệp từ máy chủ đến thiết bị mạng sẽ được REPLY (trả lời) trong khi xác thực. Máy chủ gửi một tin nhắn REPLY yêu cầu khách hàng lấy lại tên người dùng. Tên người dùng được gửi đến máy chủ trong một tin nhắn CONINUE.
Sau khi máy chủ nhận được tên người dùng, nó sẽ gửi một tin nhắn REPLY cho khách hàng yêu cầu mật khẩu, được gửi lại cho máy chủ trong một tin nhắn CONTINUE. Máy chủ sẽ gửi một tin nhắn REPLY cuối cùng với trạng thái đạt hoặc không đạt yêu cầu xác thực.
Các giá trị có thể được trả về từ máy chủ AAA cho máy khách AAA trong thông báo REPLY cuối cùng như sau:

ACCEPT: Xác thực người dùng đã thành công và quy trình ủy quyền có thể bắt đầu nếu máy khách AAA được định cấu hình cho ủy quyền.
- REJECT: Xác thực người dùng đã thất bại. Đăng nhập sẽ bị từ chối hoặc người dùng cuối sẽ được nhắc thử lại, tùy thuộc vào cấu hình của máy khách AAA.
- ERROR: Đã xảy ra lỗi tại một số điểm trong quá trình xác thực. Máy khách AAA thường sẽ cố gắng xác thực lại người dùng hoặc thử một phương thức xác thực người dùng khác.

CONTINUE: Người dùng được nhắc để biết thêm thông tin. Điều này không được nhầm lẫn với thông báo TIẾP TỤC được gửi từ máy khách AAA đến máy chủ AAA. Giá trị này được gửi từ máy chủ AAA trong thông báo REPLY, cho biết cần thêm thông tin.

Hình 2 – 4 minh họa các thông báo xác thực giữa máy khách và máy chủ

Thông điệp TACACS+ xác thực và tính cước

Khi sử dụng TACACS+ để ủy quyền, chỉ có hai thông báo được sử dụng giữa máy khách AAA và máy chủ AAA:

YÊU CẦU: Thông báo này được gửi từ máy khách AAA đến máy chủ AAA để yêu cầu ủy quyền. Việc ủy quyền có thể liên quan đến quyền truy cập vào trình CLI hoặc có thể ủy quyền cho một lệnh cụ thể. Các chức năng được yêu cầu được gọi là một dịch vụ.
- HỒI ĐÁP (RESPONSE): Thông báo này được gửi từ máy chủ AAA trở lại máy khách AAA với kết quả yêu cầu ủy quyền, bao gồm các chi tiết cụ thể, chẳng hạn như cấp đặc quyền được gán cho người dùng cuối. Thông báo hồi đáp (RESPONSE) có thể chứa một trong năm câu trả lời:
  - FAIL: Cho biết người dùng nên bị từ chối truy cập vào dịch vụ được yêu cầu.
  - PASS_ADD: Cho biết ủy quyền thành công và thông tin có trong thông báo RESPONSE nên được sử dụng cùng với thông tin được yêu cầu. Nếu không có đối số bổ sung nào được trả về bởi máy chủ AAA trong thông báo RESPONSE, thì yêu cầu chỉ đơn giản là được ủy quyền.

PASS_REPL: Cho biết ủy quyền thành công nhưng máy chủ đã chọn bỏ qua YÊU CẦU và sẽ thay thế nó bằng thông tin được gửi lại trong RESPONSE.
- FOLLOW: Cho biết rằng máy chủ AAA muốn máy khách AAA gửi yêu cầu ủy quyền đến một máy chủ khác. Thông tin máy chủ mới sẽ được liệt kê trong gói RESPONSE. Máy khách AAA có thể sử dụng máy chủ mới đó hoặc coi phản hồi là FAIL.
- ERROR: Cho biết sự cố xảy ra trên máy chủ AAA và cần khắc phục sự cố thêm.

Một chức năng chính của AAA không thể bỏ qua là tính cước. Điều quan trọng đối với an ninh là có một bản ghi lại đầy đủ về những gì đã xảy ra. Ngoài yêu cầu ủy quyền được gửi đến máy chủ AAA, cần bản ghi lại tính cước về các hoạt động của người dùng.
Giống như tin nhắn ủy quyền, chỉ có hai loại tin nhắn được sử dụng trong tính cước:

REQUEST: Thông báo này được gửi từ máy khách AAA đến máy chủ AAA để cho biết thông báo về hoạt động. Một trong ba giá trị có thể được bao gồm trong YÊU CẦU:
- START: Chỉ ra rằng một dịch vụ đã bắt đầu.
- STOP: Chỉ ra rằng dịch vụ đã kết thúc.
- CONTINUE: Cho biết một dịch vụ đã bắt đầu và đang được tiến hành nhưng có thông tin cập nhật để cung cấp liên quan đến dịch vụ; đôi khi cũng được gọi là bản ghi Watchdog hoặc bản ghi CẬP NHẬT.
- RESPONSE: Thông báo này được gửi từ máy chủ AAA trở lại máy khách AAA với kết quả YÊU CẦU tính cước và có thể chứa một trong ba câu trả lời:
  - SUCCESS: Cho biết rằng máy chủ nhận được bản ghi từ máy khách.
  - ERROR: Chỉ ra lỗi trên máy chủ và bản ghi không được lưu trữ.
  - FOLLOW: Cho biết rằng máy chủ muốn máy khách gửi bản ghi đến một máy chủ AAA khác và bao gồm thông tin máy chủ đó trong RESPONSE.

Hình 2 – 5 minh họa người dùng cuối được ủy quyền truy cập CLI exec của IOS. Hình này là sự tiếp nối trực tiếp của chuỗi xác thực được hiển thị trong Hình 2 – 4. Trong hình minh họa này, người dùng cuối được ủy quyền để thực thi IOS và được phép chạy lệnh show run.

Hình 2 – 5 Sự lưu thông trong giao tiếp của giao thức TACACS+ ủy quyền và tính cước

---------------------------------
Các bạn học viên hãy nhanh tay LIKE và bấm THEO DÕI TRƯỚC trên fanpage VnPro để cập nhật tin tức 1 cách nhanh nhất và các bài viết mới nhất nhé!!!
Fanpage: https://fb.com/vnpro
Zalo: https://zalo.me/1005309060549762169
Twitter: www.twitter.com/VnVnPro
LinkedIn: www.linkedin/in/VnPro
Telegram: t.me/trungtamvnpro

**admin** · 25-12-2020, 08:56 AM

Ứng dụng Cisco ISE trong mạng doanh nghiệp Phần 4 | Giới thiều về RADIUS

RADIUS là một giao thức AAA tiêu chuẩn IETF. Giống như với TACACS+, nó tuân theo mô hình máy khách/máy chủ nơi máy khách khởi tạo các yêu cầu đến máy chủ. RADIUS là giao thức AAA được lựa chọn để truy cập mạng AAA. Nếu bạn kết nối với mạng không dây an toàn thường xuyên, thì rất có thể RADIUS được sử dụng giữa thiết bị không dây và máy chủ AAA. Bởi vì RADIUS là giao thức truyền tải cho EAP, cùng với nhiều giao thức xác thực khác.
Ban đầu, RADIUS được sử dụng để mở rộng xác thực từ Giao thức điểm- điểm (PPP) lớp 2 được sử dụng giữa người dùng cuối và máy chủ truy cập mạng (NAS) và mang lưu lượng xác thực đó từ NAS đến máy chủ AAA thực hiện xác thực. Điều này cho phép giao thức xác thực lớp 2 được mở rộng qua ranh giới lớp 3 đến máy chủ xác thực tập trung.
Như được mô tả trước đây trong chương này, RADIUS đã phát triển vượt xa các trường hợp sử dụng mạng quay số mà nó ban đầu được tạo ra. Ngày nay, RADIUS vẫn được sử dụng theo cùng một cách, mang lưu lượng xác thực từ thiết bị mạng đến máy chủ xác thực. Với IEEE 802.1X, RADIUS được sử dụng để mở rộng EAP lớp 2 từ người dùng cuối đến máy chủ xác thực, như được minh họa trong Hình 2 – 6.

Hình 2 – 6 RADIUS thực hiện giao tiếp EAP lớp 2

Có nhiều sự khác biệt giữa RADIUS và TACACS +. Một sự khác biệt như vậy là xác thực và ủy quyền không được tách riêng trong RADIUS. Khi yêu cầu xác thực được gửi đến máy chủ AAA, máy khách AAA sẽ có kết quả ủy quyền được gửi lại trong phản hồi.
Chỉ có một vài loại thông báo có xác thực và ủy quyền RADIUS:

Access-Request: Thông báo này được gửi từ máy khách AAA đến máy chủ AAA để yêu cầu xác thực và ủy quyền. Yêu cầu có thể là truy cập mạng hoặc truy cập phần cứng thiết bị; RADIUS không phân biệt giữa 2 loại. Có chức năng như là một loại dịch vụ. Ví dụ: loại dịch vụ có thể được Đóng khung cho xác thực IEEE 802.1X. Bảng 1-1 liệt kê một số loại dịch vụ RADIUS phổ biến.
Bảng 2 – 1 Các loại dịch vụ RADIUS

Access-Accept: Đã gửi từ máy chủ AAA đến máy khách AAA báo hiệu xác thực đã qua. Kết quả ủy quyền sẽ được bao gồm dưới dạng cặp AV. Các cặp AV có thể bao gồm các mục như Vlan được chỉ định, danh sách kiểm soát truy cập có thể tải xuống (dACL), thẻ nhóm bảo mật (SGT) và nhiều hơn nữa.

Access-Reject: Đã gửi từ máy chủ AAA đến máy khách AAA báo hiệu lỗi xác thực. Việc xác thực thất bại cũng có nghĩa là không có ủy quyền nào được cấp.
Access-Challenge: Thông báo tùy chọn này có thể được gửi từ máy chủ AAA đến máy khách AAA khi cần thêm thông tin, chẳng hạn như mật khẩu thứ hai để xác thực hai yếu tố.
Hình 2 – 7 minh họa một luồng RADIUS mẫu

Hình 2 – 7, cho thấy xác thực và ủy quyền được kết hợp với RADIUS. Thông báo Chấp nhận (Access-Accept) truy cập bao gồm các cặp AV xác định những gì người dùng được ủy quyền để làm.
Một chức năng chính của AAA không thể bỏ qua là accounting (kiểm toán hay tính cước). Điều quan trọng đối với an ninh là có một bản ghi lại một cách đầy đủ về những gì đã xảy ra. Ngoài yêu cầu ủy quyền được gửi đến máy chủ AAA, cần có các bản ghi lại accounting về các hoạt động của người dùng.
Chỉ có hai loại thông điệp được sử dụng trong tính cước (accounting):

Accounting-Request: Thông báo này được gửi bởi máy khách AAA đến máy chủ AAA. Nó có thể bao gồm thời gian, gói, thông tin Giao thức cấu hình máy chủ động (DHCP), thông tin Giao thức discovery của Cisco (CDP), v.v. thông báo có thể là thông báo BẮT ĐẦU cho biết dịch vụ đã bắt đầu hoặc thông báo STOP cho biết dịch vụ đã kết thúc.
Accounting-Response: Thông báo này hoạt động giống như một xác nhận đã nhận, vì vậy máy khách AAA biết thông điệp accounting đã được máy chủ AAA nhận được.

Hình 2 – 8 minh họa một luồng accounting RADIUS mẫu. Hình này là sự tiếp nối trực tiếp của Hình 2 – 7 nơi xảy ra xác thực và ủy quyền.

Hình 2 – 8 minh họa một luồng Accounting
Không giống như TACACS +, RADIUS sử dụng UDP làm giao thức truyền. Các cổng tiêu chuẩn được RADIUS sử dụng là UDP/1812 để xác thực và UDP/1813 cho accounting. Cisco đã hỗ trợ RADIUS trước khi tiêu chuẩn được phê chuẩn và các cổng được sử dụng là UDP/1645 (xác thực) và UDP/1646 (accounting). Hầu hết các thiết bị của Cisco sẽ hỗ trợ sử dụng một trong hai bộ cổng để đảm bảo khả năng tương thích ngược.

Sự khác nhau giữa RADIUS và TACACS+

Bảng 2 – 2 So sánh RADIUS và TACAS+

---------------------------------
Các bạn học viên hãy nhanh tay LIKE và bấm THEO DÕI TRƯỚC trên fanpage VnPro để cập nhật tin tức 1 cách nhanh nhất và các bài viết mới nhất nhé!!!
Fanpage: VnPro
Zalo: https://zalo.me/1005309060549762169
Twitter: www.twitter.com/VnVnPro
LinkedIn: www.linkedin/in/VnPro
Telegram: t.me/trungtamvnpro

Announcement

An ninh trong hệ thống mạng trong thời đại số

An ninh trong hệ thống mạng trong thời đại số

Comment

Comment

Comment

Comment