3.1. Tổng quan
Cisco Secure ACS giúp xác thực người dùng bằng cách điều khiển cách truy cập vào thiết bị truy cập mạng (NAS) như là access server, Cisco PIX firewall, hoặc router.
Cisco Secure ACS được xem như là một dịch vụ để điều khiển việc xác thực (authentication), cấp quyền (authorization), tính cước (accounting).
Cisco Secure ACS giúp tập trung việc điều khiển truy cập và tính cước cho các access server cũng như firewall trong việc quản lý việc truy cập vào router hay switch. Với Cisco Secure ACS, nhà cung cấp dịch vụ có thể nhanh chóng quản trị account, thay đổi mức độ yêu cầu dịch vụ cho toàn bộ các nhóm người dùng.
Cisco Secure ACS hỗ trợ các Cisco NAS như Cisco router series 2509, 2511, 3620, 3640, AS 5200, AS 5300, AS 5800, Cisco PIX firewall và các thiết bị thế hệ thứ ba có thể cấu hình với TACACS+, RADIUS.
Có hai phần liên quan đến Cisco Secure ACS:
·Cisco Secure ACS chạy trên nền Windows
·Cisco Secure ACS chạy trên nền UNIX
Chúng ta sẽ tìm hiểu về hai phần này trong phần sau.
3.2. Cisco Secure ACS chạy trên nền Windows
Cisco Secure ACS [3] chạy trên nền Windows là một phần mềm ứng dụng bảo mật mạng cho phép ta điều khiển cách truy cập mạng, các cuộc gọi vào, và truy cập Internet. Cisco Secure ACS chạy trên nền Windows hoạt động giống như một dịch vụ của Windows NT/2000 điều khiển việc xác thực, cấp quyền, và tính cước người dùng truy cập vào mạng.
Cisco Secure ACS chạy trên nền Windows cung cấp dịch vụ AAA cho các thiết bị truy cập mạng có chức năng như AAA client, router, NAS, PIX firewall và VPN 3000 Concentrator. Một AAA client có thể là một thiết bị bất kì cung cấp chức năng AAA client và sử dụng một trong các giao thức AAA hỗ trợ bởi Cisco Secure ACS. Cisco Secure ACS chạy trên nền Windows xem tất cả thiết bị như vậy là AAA client. Cisco Secure ACS chạy trên nền Windows sử dụng giao thức TACACS+/RADIUS để cung cấp dịch vụ AAA nhằm bảo đảm một môi trường an toàn tuyệt đối.
Cisco Secure ACS chạy trên nền Windows giúp tập trung việc điều khiển truy cập và tính cước, thêm vào đó là quản lý việc truy cập vào router và switch. Với Cisco Secure ACS chạy trên nền Windows, các nhà quản trị mạng có thể nhanh chóng quản lý tài khoản và thay đổi toàn bộ mức độ yêu cầu dịch vụ cho toàn bộ các nhóm người dùng.
Cisco Secure ACS chạy trên nền Windows là một ACS dễ sử dụng bởi tính dễ cài đặt và quản trị. Nó thường chạy trên nền Windows NT Server hoặc Windows 2000 Server. Cisco Secure ACS chạy trên nền Windows cho phép xác thực username và password lưu trong cơ sở dữ liệu của Windows NT/2000, của chính cơ sở dữ liệu trong Cisco Secure ACS, cơ sở dữ liệu từ bên ngoài,...
Các mức độ bảo mật khác nhau có thể dùng với Cisco Secure ACS chạy trên nền Windows với các yêu cầu khác nhau. Mức độ bảo mật người dùng-mạng là PAP. Mặc dù nó không trình bày dạng bảo mật cao nhất của tính chất mã hóa bí mật, PAP đem lại nhiều sự tiện lợi và đơn giản cho khách hàng. Xác thực PAP có thể xác thực với cơ sở dữ liệu trong Windows NT/2000. Xác thực CHAP cho phép một mức độ cao hơn về tính bảo mật cho các password mã hóa khi giao tiếp từ khách hàng cho đến thiết bị truy cập mạng (NAS). Microsoft CHAP (MS-CHAP) là một phiên bản của CHAP được đưa ra bởi Microsoft để làm việc gần gũi, dễ dàng hơn trong hệ điều hành Microsoft Windows.
PAP, CHAP và MS-CHAP là các giao thức xác thực được dùng để mã hóa password. Tuy nhiên, mỗi giao thức cung cấp một mức độ bảo mật khác nhau:
-MS-CHAP cung cấp kĩ thuật xác thực điều khiển bởi người xác thực.
-MS-CHAP ver 2 cung cấp các mã lỗi thêm vào trong trường “Thông điệp lỗi của gói” (Failure Packet Message)
3.2.1.Các tính chất chung
Cisco Secure ACS chạy trên nền Windows, như mô tả trong hình 3.2, có các đặc tính chung như sau:
·Hỗ trợ đồng thời TACACS+ và RADIUS giữa Cisco Secure ACS và NAS
·Hỗ trợ cơ sở dữ liệu trong Windows NT/2000 Server như:
- Quản lý hợp nhất username/password tích hợp với Windows NT hoặc Windows 2000.
- Cho phép đăng nhập vào mạng và Windows NT/2000 domain.
- Chạy độc lập với Windows NT/2000, điểu khiển tên miền, điều khiển backup tên miền, ....
·Hỗ trợ việc dùng với cơ sở dữ liệu bên ngoài người dùng:
-Các server token card
-NDS
-ACS database
-Các thứ khác
·Hỗ trợ các giao thức xác thực sau:
-ASCII/PAP
-CHAP
-MS-CHAP
-LEAP
-EAP-CHAP
-EAP-TLS
-ARAP
·Hỗ trợ đặc tính callback của NAS để gia tăng tính bảo mật.
3.2.2.Các dịch vụ AAA
Cisco Secure ACS hỗ trợ các đặc tính AAA:
·Hỗ trợ TACACS+ như:
-Access list, named access list, hoặc numbered accesslist
-Giới hạn truy cập từng giờ trong ngày hay theo các ngày trong tuần.
-Hỗ trợ ARA
-Các mức phân quyền cho phép
-Xác thực vào LDAP server
·Các phiên bản RADIUS:
-IETF RADIUS
-Cặp giá trị thuộc tính (Atribute-Value) RADIUS
-Các mở rộng của RADIUS
·Hỗ trợ đồng thời cơ sở dữ liệu TACACS+/RADIUS riêng lẻ
Các đặc tính khác được Cisco Secure ACS hỗ trợ như là:
·Hỗ trợ VPN và VPDN phù hợp với các tunnel nguồn cũng như đầu cuối
·Giới hạn người dùng có thể dựa vào địa chỉ gọi CLID (Calling Line Identification)
·Có thể ngăn cấm một account trong khoảng thời gian xác định nào đó
3.2.3.Các đặc tính quản trị
Cisco Secure ACS trên nền Windows có nhiều đặc tính gần gũi với người dùng, như là:
·Giao diện dựa vào trình duyệt web cho phép quản trị từ một web browser thông qua LAN hay quay số vào. Đơn giản hóa và phân phối cấu hình của ACS, thông tin người dùng, và thông tin nhóm:
-Tài liệu giúp đỡ online giúp giải quyết vấn đề và mọi thắc mắc
-Cho phép quản trị người dùng dễ dàng nhất cùng với các chính sách bảo mật
-Quản trị từ xa có thể cho phép/từ chối bằng việc quản lý username/password duy nhất.
-Các phiên làm việc quản trị từ xa có giá trị timeout.
-Có thể biết được danh sách người dùng đã login vào.
·Tạo các file TACACS+ và RADIUS riêng biệt có đuôi là .CSV để dễ dàng import vào cơ sở dữ liệu và các ứng dụng dạng bảng tính.
·Có trình cài đặt tiện lợi để có thể thu thập được một lượng lớn người dùng.
3.2.4.Các đặc tính của hệ thống phân tán
Như ta thấy trong hình 3.3, Cisco Secure ACS có thể dùng trong hệ thống phân tán. Nhiều chức năng Cisco Secure ACS cho Windows Server hoặc AAA Server có thể được cấu hình để giao tiếp với một thứ khác như master, client, peer. Cisco Secure ACS cũng chấp nhận giới hạn truy cập mạng của Cisco Secure ACS chạy trên các server khác trong hệ thống phân tán.
Cisco Secure ACS trên nền Windows có các đặc tính mạnh mẽ như:
·Chuyển tiếp việc xác thực: Điều này cho phép Cisco Secure ACS tự động chuyển tiếp một yêu cầu xác thực từ NAS đến một Cisco Secure ACS khác. Sau khi xác thực, các mức phân quyền được ứng dụng vào NAS cho việc xác thực người dùng đó.
·Fallback trên các kết nối thất bại: Ta có thể cấu hình để yêu cầu Cisco Secure ACS kiểm tra một Cisco Secure ACS từ xa khác nếu một kết nối mạng đến Cisco Secure ACS đầu tiên với Windows Server bị lỗi. Nếu một yêu cầu xác thực không thể gửi đến server đầu tiên, thì server liệt kê kế tiếp sẽ được kiểm tra theo thứ tự từ trên xuống dưới, cho đến khi Cisco Secure ACS có thể xác thực được thành công. Nếu Cisco Secure ACS không kết nối được với bất kì server nào có trong danh sách thì việc xác thực sẽ thất bại.
·Tính cước tập trung và từ xa: Cisco Secure ACS có thể cấu hình để chỉ ra một Cisco Secure ACS trung tâm được dùng như một server tính cước. Cisco Secure ACS trung tâm sẽ vẫn có tất cả đặc tính mà một Cisco Secure ACS khác có, ngoài ra nó có thể đặc tính là tập trung tất cả file log từ các Cisco Secure ACS khác gửi về.
3.2.5.Hỗ trợ cơ sở dữ liệu từ bên ngoài
Ta có thể cấu hình Cisco Secure ACS để chuyển tiếp việc xác thực người dùng đến một hoặc nhiều cơ sở dữ liệu của người dùng từ bên ngoài. Việc hỗ trợ cơ sở dữ liệu người dùng từ bên ngoài có nghĩa là Cisco Secure ACS không bắt buộc ta phải tạo một entry của người dùng trong cơ sở dữ liệu người dùng CiscoSecure. Người dùng có thể xác thực bằng cách sử dụng bất kì một trong các cách sau:
·Windows NT/2000 database
·LDAP
·NDS
·ODBC
·LEAP Proxy RADIUS server
·RSA SecureID token server
·Token server dựa vào RADIUS, gồm:
-ActivCard token server
-CRYPTOCard token server
-VASCO token server
-Generic RADIUS token server
Bất kể dùng cơ sở dữ liệu nào để xác thực người dùng, thì Cisco Secure ACS cũng sẽ xác thực các dịch vụ yêu cầu.
Cisco Secure ACS yêu cầu giao diện lập trình ứng dụng (API) để hỗ trợ xác thực. Cisco Secure ACS trên nền Windows cho phép giao tiếp với cơ sở dữ liệu từ bên ngoài bằng cách sử dụng API. Với Windows NT/2000, Generic LDAP, xác thực Novell NDS, thì việc dùng API để xác thực bên ngoài được xem là cục bộ đối với Cisco Secure ACS, và được cung cấp bởi hệ điều hành cục bộ. Trong những trường hợp như vậy, không đòi hỏi thêm bất kì một component nào khác nữa.
Trong trường hợp tài nguyên xác thực ODBC, thì ODBC driver phải được cài đặt vào Cisco Secure ACS.
Để giao tiếp với token server truyền thống, ta phải có phần mềm cung cấp bởi khách hàng OTP cùng với các component thêm vào Cisco Secure ACS. Ta cũng phải xác định “cài đặt người dùng” mà một token card được sử dụng. Với các server dùng token dựa vào RADIUS như ActivCard, CRYPTOCard, và VASCO thì giao diện RADIUS chuẩn được phục vụ như là API thứ ba.
Cisco Secure ACS giúp xác thực người dùng bằng cách điều khiển cách truy cập vào thiết bị truy cập mạng (NAS) như là access server, Cisco PIX firewall, hoặc router.
Cisco Secure ACS được xem như là một dịch vụ để điều khiển việc xác thực (authentication), cấp quyền (authorization), tính cước (accounting).
Cisco Secure ACS giúp tập trung việc điều khiển truy cập và tính cước cho các access server cũng như firewall trong việc quản lý việc truy cập vào router hay switch. Với Cisco Secure ACS, nhà cung cấp dịch vụ có thể nhanh chóng quản trị account, thay đổi mức độ yêu cầu dịch vụ cho toàn bộ các nhóm người dùng.
Cisco Secure ACS hỗ trợ các Cisco NAS như Cisco router series 2509, 2511, 3620, 3640, AS 5200, AS 5300, AS 5800, Cisco PIX firewall và các thiết bị thế hệ thứ ba có thể cấu hình với TACACS+, RADIUS.
Hình 3.1: Cisco Secure ACS server
Có hai phần liên quan đến Cisco Secure ACS:
·Cisco Secure ACS chạy trên nền Windows
·Cisco Secure ACS chạy trên nền UNIX
Chúng ta sẽ tìm hiểu về hai phần này trong phần sau.
3.2. Cisco Secure ACS chạy trên nền Windows
Cisco Secure ACS [3] chạy trên nền Windows là một phần mềm ứng dụng bảo mật mạng cho phép ta điều khiển cách truy cập mạng, các cuộc gọi vào, và truy cập Internet. Cisco Secure ACS chạy trên nền Windows hoạt động giống như một dịch vụ của Windows NT/2000 điều khiển việc xác thực, cấp quyền, và tính cước người dùng truy cập vào mạng.
Cisco Secure ACS chạy trên nền Windows cung cấp dịch vụ AAA cho các thiết bị truy cập mạng có chức năng như AAA client, router, NAS, PIX firewall và VPN 3000 Concentrator. Một AAA client có thể là một thiết bị bất kì cung cấp chức năng AAA client và sử dụng một trong các giao thức AAA hỗ trợ bởi Cisco Secure ACS. Cisco Secure ACS chạy trên nền Windows xem tất cả thiết bị như vậy là AAA client. Cisco Secure ACS chạy trên nền Windows sử dụng giao thức TACACS+/RADIUS để cung cấp dịch vụ AAA nhằm bảo đảm một môi trường an toàn tuyệt đối.
Cisco Secure ACS chạy trên nền Windows giúp tập trung việc điều khiển truy cập và tính cước, thêm vào đó là quản lý việc truy cập vào router và switch. Với Cisco Secure ACS chạy trên nền Windows, các nhà quản trị mạng có thể nhanh chóng quản lý tài khoản và thay đổi toàn bộ mức độ yêu cầu dịch vụ cho toàn bộ các nhóm người dùng.
Cisco Secure ACS chạy trên nền Windows là một ACS dễ sử dụng bởi tính dễ cài đặt và quản trị. Nó thường chạy trên nền Windows NT Server hoặc Windows 2000 Server. Cisco Secure ACS chạy trên nền Windows cho phép xác thực username và password lưu trong cơ sở dữ liệu của Windows NT/2000, của chính cơ sở dữ liệu trong Cisco Secure ACS, cơ sở dữ liệu từ bên ngoài,...
Các mức độ bảo mật khác nhau có thể dùng với Cisco Secure ACS chạy trên nền Windows với các yêu cầu khác nhau. Mức độ bảo mật người dùng-mạng là PAP. Mặc dù nó không trình bày dạng bảo mật cao nhất của tính chất mã hóa bí mật, PAP đem lại nhiều sự tiện lợi và đơn giản cho khách hàng. Xác thực PAP có thể xác thực với cơ sở dữ liệu trong Windows NT/2000. Xác thực CHAP cho phép một mức độ cao hơn về tính bảo mật cho các password mã hóa khi giao tiếp từ khách hàng cho đến thiết bị truy cập mạng (NAS). Microsoft CHAP (MS-CHAP) là một phiên bản của CHAP được đưa ra bởi Microsoft để làm việc gần gũi, dễ dàng hơn trong hệ điều hành Microsoft Windows.
PAP, CHAP và MS-CHAP là các giao thức xác thực được dùng để mã hóa password. Tuy nhiên, mỗi giao thức cung cấp một mức độ bảo mật khác nhau:
- PAP: sử dụng password dạng clear-text và là giao thức ít bảo đảm tính xác thực nhất. Nếu ta sử dụng cơ sở dữ liệu trong Windows NT/2000 để xác thực người dùng, ta phải mã hóa PAP password.
- CHAP: sử dụng kĩ thuật “thách thức-phúc đáp” (challenge-response) với việc mã hóa một chiều khi phúc đáp. CHAP cho phép Cisco Secure ACS khởi tạo với độ an toàn cao. CHAP password có thể tái dùng lại. Nếu sử dụng Windows database để xác thực, ta có thể sử dụng PAP hoặc CHAP.
- MS-CHAP: Cisco Secure ACS chạy trên nền Windows hỗ trợ MS-CHAP để xác thực người dùng. MS-CHAP khác biệt so với CHAP ở chỗ:
-MS-CHAP cung cấp kĩ thuật xác thực điều khiển bởi người xác thực.
-MS-CHAP ver 2 cung cấp các mã lỗi thêm vào trong trường “Thông điệp lỗi của gói” (Failure Packet Message)
3.2.1.Các tính chất chung
Hình 3.2: Sơ đồ kết nối giữa NAS và Cisco Secure ACS.
Cisco Secure ACS chạy trên nền Windows, như mô tả trong hình 3.2, có các đặc tính chung như sau:
·Hỗ trợ đồng thời TACACS+ và RADIUS giữa Cisco Secure ACS và NAS
·Hỗ trợ cơ sở dữ liệu trong Windows NT/2000 Server như:
- Quản lý hợp nhất username/password tích hợp với Windows NT hoặc Windows 2000.
- Cho phép đăng nhập vào mạng và Windows NT/2000 domain.
- Chạy độc lập với Windows NT/2000, điểu khiển tên miền, điều khiển backup tên miền, ....
·Hỗ trợ việc dùng với cơ sở dữ liệu bên ngoài người dùng:
-Các server token card
-NDS
-ACS database
-Các thứ khác
·Hỗ trợ các giao thức xác thực sau:
-ASCII/PAP
-CHAP
-MS-CHAP
-LEAP
-EAP-CHAP
-EAP-TLS
-ARAP
·Hỗ trợ đặc tính callback của NAS để gia tăng tính bảo mật.
3.2.2.Các dịch vụ AAA
Cisco Secure ACS hỗ trợ các đặc tính AAA:
·Hỗ trợ TACACS+ như:
-Access list, named access list, hoặc numbered accesslist
-Giới hạn truy cập từng giờ trong ngày hay theo các ngày trong tuần.
-Hỗ trợ ARA
-Các mức phân quyền cho phép
-Xác thực vào LDAP server
·Các phiên bản RADIUS:
-IETF RADIUS
-Cặp giá trị thuộc tính (Atribute-Value) RADIUS
-Các mở rộng của RADIUS
·Hỗ trợ đồng thời cơ sở dữ liệu TACACS+/RADIUS riêng lẻ
Các đặc tính khác được Cisco Secure ACS hỗ trợ như là:
·Hỗ trợ VPN và VPDN phù hợp với các tunnel nguồn cũng như đầu cuối
·Giới hạn người dùng có thể dựa vào địa chỉ gọi CLID (Calling Line Identification)
·Có thể ngăn cấm một account trong khoảng thời gian xác định nào đó
3.2.3.Các đặc tính quản trị
Cisco Secure ACS trên nền Windows có nhiều đặc tính gần gũi với người dùng, như là:
·Giao diện dựa vào trình duyệt web cho phép quản trị từ một web browser thông qua LAN hay quay số vào. Đơn giản hóa và phân phối cấu hình của ACS, thông tin người dùng, và thông tin nhóm:
-Tài liệu giúp đỡ online giúp giải quyết vấn đề và mọi thắc mắc
-Cho phép quản trị người dùng dễ dàng nhất cùng với các chính sách bảo mật
-Quản trị từ xa có thể cho phép/từ chối bằng việc quản lý username/password duy nhất.
-Các phiên làm việc quản trị từ xa có giá trị timeout.
-Có thể biết được danh sách người dùng đã login vào.
·Tạo các file TACACS+ và RADIUS riêng biệt có đuôi là .CSV để dễ dàng import vào cơ sở dữ liệu và các ứng dụng dạng bảng tính.
·Có trình cài đặt tiện lợi để có thể thu thập được một lượng lớn người dùng.
3.2.4.Các đặc tính của hệ thống phân tán
Hình 3.3: Cisco Secure ACS với hệ thống phân tán
Như ta thấy trong hình 3.3, Cisco Secure ACS có thể dùng trong hệ thống phân tán. Nhiều chức năng Cisco Secure ACS cho Windows Server hoặc AAA Server có thể được cấu hình để giao tiếp với một thứ khác như master, client, peer. Cisco Secure ACS cũng chấp nhận giới hạn truy cập mạng của Cisco Secure ACS chạy trên các server khác trong hệ thống phân tán.
Cisco Secure ACS trên nền Windows có các đặc tính mạnh mẽ như:
·Chuyển tiếp việc xác thực: Điều này cho phép Cisco Secure ACS tự động chuyển tiếp một yêu cầu xác thực từ NAS đến một Cisco Secure ACS khác. Sau khi xác thực, các mức phân quyền được ứng dụng vào NAS cho việc xác thực người dùng đó.
·Fallback trên các kết nối thất bại: Ta có thể cấu hình để yêu cầu Cisco Secure ACS kiểm tra một Cisco Secure ACS từ xa khác nếu một kết nối mạng đến Cisco Secure ACS đầu tiên với Windows Server bị lỗi. Nếu một yêu cầu xác thực không thể gửi đến server đầu tiên, thì server liệt kê kế tiếp sẽ được kiểm tra theo thứ tự từ trên xuống dưới, cho đến khi Cisco Secure ACS có thể xác thực được thành công. Nếu Cisco Secure ACS không kết nối được với bất kì server nào có trong danh sách thì việc xác thực sẽ thất bại.
·Tính cước tập trung và từ xa: Cisco Secure ACS có thể cấu hình để chỉ ra một Cisco Secure ACS trung tâm được dùng như một server tính cước. Cisco Secure ACS trung tâm sẽ vẫn có tất cả đặc tính mà một Cisco Secure ACS khác có, ngoài ra nó có thể đặc tính là tập trung tất cả file log từ các Cisco Secure ACS khác gửi về.
3.2.5.Hỗ trợ cơ sở dữ liệu từ bên ngoài
Ta có thể cấu hình Cisco Secure ACS để chuyển tiếp việc xác thực người dùng đến một hoặc nhiều cơ sở dữ liệu của người dùng từ bên ngoài. Việc hỗ trợ cơ sở dữ liệu người dùng từ bên ngoài có nghĩa là Cisco Secure ACS không bắt buộc ta phải tạo một entry của người dùng trong cơ sở dữ liệu người dùng CiscoSecure. Người dùng có thể xác thực bằng cách sử dụng bất kì một trong các cách sau:
·Windows NT/2000 database
·LDAP
·NDS
·ODBC
·LEAP Proxy RADIUS server
·RSA SecureID token server
·Token server dựa vào RADIUS, gồm:
-ActivCard token server
-CRYPTOCard token server
-VASCO token server
-Generic RADIUS token server
Bất kể dùng cơ sở dữ liệu nào để xác thực người dùng, thì Cisco Secure ACS cũng sẽ xác thực các dịch vụ yêu cầu.
Cisco Secure ACS yêu cầu giao diện lập trình ứng dụng (API) để hỗ trợ xác thực. Cisco Secure ACS trên nền Windows cho phép giao tiếp với cơ sở dữ liệu từ bên ngoài bằng cách sử dụng API. Với Windows NT/2000, Generic LDAP, xác thực Novell NDS, thì việc dùng API để xác thực bên ngoài được xem là cục bộ đối với Cisco Secure ACS, và được cung cấp bởi hệ điều hành cục bộ. Trong những trường hợp như vậy, không đòi hỏi thêm bất kì một component nào khác nữa.
Trong trường hợp tài nguyên xác thực ODBC, thì ODBC driver phải được cài đặt vào Cisco Secure ACS.
Để giao tiếp với token server truyền thống, ta phải có phần mềm cung cấp bởi khách hàng OTP cùng với các component thêm vào Cisco Secure ACS. Ta cũng phải xác định “cài đặt người dùng” mà một token card được sử dụng. Với các server dùng token dựa vào RADIUS như ActivCard, CRYPTOCard, và VASCO thì giao diện RADIUS chuẩn được phục vụ như là API thứ ba.
Comment