Tweet
CHƯƠNG 4: AAA & Identity Management
Framework AAA
Authentication: Bạn là AI?
Authorization: Bạn được làm GÌ?
Accounting: Bạn đã làm GÌ?
Authentication Deep Dive
Authentication Factors:
| Factor | Type | Ví dụ |
|--------|------|-------|
| Something you know | Knowledge | Password, PIN, security question |
| Something you have | Possession | Hardware token (RSA SecurID), smart card, TOTP app |
| Something you are | Inherence | Fingerprint, face recognition, retina |
| Somewhere you are | Location | IP geolocation, GPS |
MFA (Multi-Factor Authentication): Kết hợp 2+ factors từ KHÁC NHAU loại.
Password + SMS OTP = 2FA nhưng weak (SMS có thể bị SIM swapping).
Password + Hardware token (YubiKey) = Strong 2FA.
Authentication Protocols:
RADIUS (Remote Authentication Dial-In User Service):
- Port: 1812 (Authentication), 1813 (Accounting). Port cũ: 1645/1646.
- Transport: UDP.
- Mã hóa: Chỉ password** được mã hóa. Phần còn lại plaintext.
- Combines Authentication + Authorization trong cùng response.
- Use case: Network Access (WiFi 802.1X, VPN, dial-up).
TACACS+ (Terminal Access Controller Access-Control System Plus):
- Cisco proprietary (mặc dù có RFC).
- Port: 49.
- Transport: TCP (reliable).
- Mã hóa: Toàn bộ packet body được mã hóa.
- Tách biệt hoàn toàn A-A-A** — có thể dùng RADIUS cho Auth, TACACS+ cho Authorization.
- Use case: Device administration (router, switch management). Granular command authorization.
>
Exam tip quan trọng:
> - RADIUS: UDP, mã hóa password, kết hợp AuthN + AuthZ. → Network Access
> - TACACS+: TCP, mã hóa full packet, tách A-A-A. → Device Management
LDAP/Active Directory:
- LDAP: Port 389 (plain), 636 (LDAPS).
- AD: Microsoft's LDAP implementation với Kerberos authentication.
- Dùng cho enterprise user directory.
SAML 2.0: XML-based. Dùng cho web SSO (Single Sign-On). Identity Provider (IdP) + Service Provider (SP).
OAuth 2.0: Authorization framework (không phải authentication!). Cho phép apps access resources mà không cần credentials. Grant types: Authorization Code, Client Credentials, Device Flow.
OpenID Connect (OIDC): Authentication layer on top of OAuth 2.0. Adds ID Token (JWT).
---
Access Control Models
DAC (Discretionary Access Control):
Chủ sở hữu resource quyết định quyền. Flexible nhưng khó quản lý tập trung.
Windows file permissions là ví dụ điển hình.
MAC (Mandatory Access Control):
Security labels (Top Secret, Secret, Classified, Unclassified).
System quyết định access dựa trên label của user và resource.
Dùng trong government/military. Linux SELinux là implementation.
RBAC (Role-Based Access Control):
Permissions gán cho roles, users gán vào roles.
Dễ quản lý ở scale. "Principle of Least Privilege."
Ví dụ: Admin role, ReadOnly role, Auditor role.
ABAC (Attribute-Based Access Control):
Access decisions dựa trên attributes (department, location, device type, time of day).
Flexible hơn RBAC nhưng complex hơn.
IF user.department == "Finance" AND device.type == "managed" AND time == "business_hours"
THEN allow access to financial_reports
Zero Trust Architecture
Nguyên tắc cốt lõi: "Never trust, always verify."
Traditional: Trust everything inside the perimeter.
Zero Trust: Trust NOTHING by default. Verify every request, every time.
Pillars of Zero Trust:
1. Verify explicitly: Authenticate và authorize dựa trên tất cả data points (identity, location, device health, service/workload, data classification, anomalies).
2. Least privilege access: Limit user access với JIT (Just-In-Time) và JEA (Just-Enough-Access).
3. Assume breach: Minimize blast radius. Encrypt everything. Segment network.
Cisco Zero Trust Components:
- Cisco Duo: MFA + device trust assessment.
- Cisco ISE: Policy engine cho network access.
- Cisco Umbrella: DNS security + CASB.
- Cisco Secure Endpoint: Endpoint posture.
CHƯƠNG 5: Network Visibility & Segmentation
Network Segmentation
Mục tiêu: Limit lateral movement sau khi attacker đã vào network.
VLANs (Virtual LANs):
- Layer 2 segmentation.
- Traffic giữa VLANs phải qua router/L3 switch hoặc firewall.
- Trunk ports (802.1Q): carry multiple VLANs.
- VLAN Hopping: Attack bypass VLAN segmentation (via double tagging, switch spoofing). Fix: Disable DTP, native VLAN ≠ data VLAN.
DMZ (Demilitarized Zone):
Internet → [Firewall] → DMZ (Web servers, Mail, DNS) → [Firewall] → Internal Network
Servers cần truy cập từ internet đặt trong DMZ, không phải internal network.
Micro-segmentation:
Segmentation ở workload level (VM, container). Dùng trong cloud và SDN.
Mỗi workload có policy riêng, không chỉ mạng/VLAN.
Cisco TrustSec / SGT (Scalable Group Tags):
Gán tags (SGT) cho users và devices dựa trên identity.
Enforce policy dựa trên SGT, không phải IP address.
SGT follow user/device dù họ di chuyển trong mạng.
Network Telemetry & Visibility
NetFlow:
Layer 3/4 flow metadata (không phải full packet capture).
Fields: Src/Dst IP, Src/Dst Port, Protocol, Bytes, Packets, Timestamp.
Versions: v5 (fixed), v9 (flexible), IPFIX (v10, IETF standard).
Cisco Secure Network Analytics (Stealthwatch):
- Collect và analyze NetFlow từ toàn mạng.
- Behavioral analytics: Tạo baseline, phát hiện deviations.
- Detects: DDoS, data exfiltration, insider threats, C2 communication, scanning.
- Encrypted Traffic Analytics (ETA): Phát hiện malware trong encrypted (HTTPS) traffic mà không decrypt — dùng Machine Learning trên flow metadata và TLS handshake info.
Cisco Cognitive Threat Analytics:
Web traffic analysis. Detect malware C2 channels ẩn trong normal-looking HTTP/HTTPS.
MITRE ATT&CK:
Matrix tactics và techniques của adversaries.
Dùng cho: threat hunting, detection coverage assessment, red team/blue team exercises.
Tactics (Goals): Initial Access → Execution → Persistence → Privilege Escalation → Defense Evasion → Credential Access → Discovery → Lateral Movement → Collection → Exfiltration → Impact.
Threat Hunting:
Proactive search for hidden threats — không chờ alerts.
Methodology:
1. Form hypothesis ("Nếu có lateral movement, tôi sẽ thấy gì?")
2. Investigate bằng tools (NetFlow, EDR telemetry, logs).
3. Uncover → Remediate / Update detections.
Cisco pxGrid
Platform chia sẻ security context giữa các products.
Ví dụ: ISE phát hiện infected host → chia sẻ thông tin qua pxGrid → Firewall tự động quarantine host đó.
Hệ sinh thái: ISE
pxGrid FMC/Stealthwatch/Splunk/QRadar/...
Key Terms Chương 4-5
- RADIUS, TACACS+, LDAP, SAML, OAuth, OIDC
- DAC, MAC, RBAC, ABAC
- Zero Trust, Least Privilege, JIT Access
- VLAN, DMZ, Micro-segmentation, SGT, TrustSec
- NetFlow, IPFIX, Stealthwatch/Secure Network Analytics
- ETA (Encrypted Traffic Analytics)
- pxGrid, MITRE ATT&CK
- Threat Hunting
Phần 4: Infrastructure Security + Cisco Secure Firewall (NGFW) — phần nhiều Cisco-specific nhất!
#AAA #ZeroTrust #RADIUS #TACACS #NetworkSegmentation #Stealthwatch
Framework AAA
Authentication: Bạn là AI?
Authorization: Bạn được làm GÌ?
Accounting: Bạn đã làm GÌ?
Authentication Deep Dive
Authentication Factors:
| Factor | Type | Ví dụ |
|--------|------|-------|
| Something you know | Knowledge | Password, PIN, security question |
| Something you have | Possession | Hardware token (RSA SecurID), smart card, TOTP app |
| Something you are | Inherence | Fingerprint, face recognition, retina |
| Somewhere you are | Location | IP geolocation, GPS |
MFA (Multi-Factor Authentication): Kết hợp 2+ factors từ KHÁC NHAU loại.
Password + SMS OTP = 2FA nhưng weak (SMS có thể bị SIM swapping).
Password + Hardware token (YubiKey) = Strong 2FA.
Authentication Protocols:
RADIUS (Remote Authentication Dial-In User Service):
- Port: 1812 (Authentication), 1813 (Accounting). Port cũ: 1645/1646.
- Transport: UDP.
- Mã hóa: Chỉ password** được mã hóa. Phần còn lại plaintext.
- Combines Authentication + Authorization trong cùng response.
- Use case: Network Access (WiFi 802.1X, VPN, dial-up).
TACACS+ (Terminal Access Controller Access-Control System Plus):
- Cisco proprietary (mặc dù có RFC).
- Port: 49.
- Transport: TCP (reliable).
- Mã hóa: Toàn bộ packet body được mã hóa.
- Tách biệt hoàn toàn A-A-A** — có thể dùng RADIUS cho Auth, TACACS+ cho Authorization.
- Use case: Device administration (router, switch management). Granular command authorization.
>
Exam tip quan trọng:> - RADIUS: UDP, mã hóa password, kết hợp AuthN + AuthZ. → Network Access
> - TACACS+: TCP, mã hóa full packet, tách A-A-A. → Device Management
LDAP/Active Directory:
- LDAP: Port 389 (plain), 636 (LDAPS).
- AD: Microsoft's LDAP implementation với Kerberos authentication.
- Dùng cho enterprise user directory.
SAML 2.0: XML-based. Dùng cho web SSO (Single Sign-On). Identity Provider (IdP) + Service Provider (SP).
OAuth 2.0: Authorization framework (không phải authentication!). Cho phép apps access resources mà không cần credentials. Grant types: Authorization Code, Client Credentials, Device Flow.
OpenID Connect (OIDC): Authentication layer on top of OAuth 2.0. Adds ID Token (JWT).
---
Access Control Models
DAC (Discretionary Access Control):
Chủ sở hữu resource quyết định quyền. Flexible nhưng khó quản lý tập trung.
Windows file permissions là ví dụ điển hình.
MAC (Mandatory Access Control):
Security labels (Top Secret, Secret, Classified, Unclassified).
System quyết định access dựa trên label của user và resource.
Dùng trong government/military. Linux SELinux là implementation.
RBAC (Role-Based Access Control):
Permissions gán cho roles, users gán vào roles.
Dễ quản lý ở scale. "Principle of Least Privilege."
Ví dụ: Admin role, ReadOnly role, Auditor role.
ABAC (Attribute-Based Access Control):
Access decisions dựa trên attributes (department, location, device type, time of day).
Flexible hơn RBAC nhưng complex hơn.
IF user.department == "Finance" AND device.type == "managed" AND time == "business_hours"
THEN allow access to financial_reports
Zero Trust Architecture
Nguyên tắc cốt lõi: "Never trust, always verify."
Traditional: Trust everything inside the perimeter.
Zero Trust: Trust NOTHING by default. Verify every request, every time.
Pillars of Zero Trust:
1. Verify explicitly: Authenticate và authorize dựa trên tất cả data points (identity, location, device health, service/workload, data classification, anomalies).
2. Least privilege access: Limit user access với JIT (Just-In-Time) và JEA (Just-Enough-Access).
3. Assume breach: Minimize blast radius. Encrypt everything. Segment network.
Cisco Zero Trust Components:
- Cisco Duo: MFA + device trust assessment.
- Cisco ISE: Policy engine cho network access.
- Cisco Umbrella: DNS security + CASB.
- Cisco Secure Endpoint: Endpoint posture.
CHƯƠNG 5: Network Visibility & Segmentation
Network Segmentation
Mục tiêu: Limit lateral movement sau khi attacker đã vào network.
VLANs (Virtual LANs):
- Layer 2 segmentation.
- Traffic giữa VLANs phải qua router/L3 switch hoặc firewall.
- Trunk ports (802.1Q): carry multiple VLANs.
- VLAN Hopping: Attack bypass VLAN segmentation (via double tagging, switch spoofing). Fix: Disable DTP, native VLAN ≠ data VLAN.
DMZ (Demilitarized Zone):
Internet → [Firewall] → DMZ (Web servers, Mail, DNS) → [Firewall] → Internal Network
Servers cần truy cập từ internet đặt trong DMZ, không phải internal network.
Micro-segmentation:
Segmentation ở workload level (VM, container). Dùng trong cloud và SDN.
Mỗi workload có policy riêng, không chỉ mạng/VLAN.
Cisco TrustSec / SGT (Scalable Group Tags):
Gán tags (SGT) cho users và devices dựa trên identity.
Enforce policy dựa trên SGT, không phải IP address.
SGT follow user/device dù họ di chuyển trong mạng.
Network Telemetry & Visibility
NetFlow:
Layer 3/4 flow metadata (không phải full packet capture).
Fields: Src/Dst IP, Src/Dst Port, Protocol, Bytes, Packets, Timestamp.
Versions: v5 (fixed), v9 (flexible), IPFIX (v10, IETF standard).
Cisco Secure Network Analytics (Stealthwatch):
- Collect và analyze NetFlow từ toàn mạng.
- Behavioral analytics: Tạo baseline, phát hiện deviations.
- Detects: DDoS, data exfiltration, insider threats, C2 communication, scanning.
- Encrypted Traffic Analytics (ETA): Phát hiện malware trong encrypted (HTTPS) traffic mà không decrypt — dùng Machine Learning trên flow metadata và TLS handshake info.
Cisco Cognitive Threat Analytics:
Web traffic analysis. Detect malware C2 channels ẩn trong normal-looking HTTP/HTTPS.
MITRE ATT&CK:
Matrix tactics và techniques của adversaries.
Dùng cho: threat hunting, detection coverage assessment, red team/blue team exercises.
Tactics (Goals): Initial Access → Execution → Persistence → Privilege Escalation → Defense Evasion → Credential Access → Discovery → Lateral Movement → Collection → Exfiltration → Impact.
Threat Hunting:
Proactive search for hidden threats — không chờ alerts.
Methodology:
1. Form hypothesis ("Nếu có lateral movement, tôi sẽ thấy gì?")
2. Investigate bằng tools (NetFlow, EDR telemetry, logs).
3. Uncover → Remediate / Update detections.
Cisco pxGrid
Platform chia sẻ security context giữa các products.
Ví dụ: ISE phát hiện infected host → chia sẻ thông tin qua pxGrid → Firewall tự động quarantine host đó.
Hệ sinh thái: ISE
pxGrid FMC/Stealthwatch/Splunk/QRadar/... Key Terms Chương 4-5- RADIUS, TACACS+, LDAP, SAML, OAuth, OIDC
- DAC, MAC, RBAC, ABAC
- Zero Trust, Least Privilege, JIT Access
- VLAN, DMZ, Micro-segmentation, SGT, TrustSec
- NetFlow, IPFIX, Stealthwatch/Secure Network Analytics
- ETA (Encrypted Traffic Analytics)
- pxGrid, MITRE ATT&CK
- Threat Hunting
Phần 4: Infrastructure Security + Cisco Secure Firewall (NGFW) — phần nhiều Cisco-specific nhất!
#AAA #ZeroTrust #RADIUS #TACACS #NetworkSegmentation #Stealthwatch