Tweet
So sánh và lựa chọn tùy chọn trong AAA
Bản thân AAA thường yêu cầu một giao thức chuyên biệt được thiết kế để thực hiện các yêu cầu xác thực và phản hồi tương ứng của chúng, bao gồm kết quả ủy quyền và nhật ký tính cước. Các giao thức chuyên biệt này được gọi là giao thức AAA và hai giao thức AAA phổ biến nhất là Dịch vụ người dùng quay số xác thực từ xa (RADIUS) và Bộ điều khiển truy cập bộ điều khiển truy cập đầu cuối (TACACS +), mà chúng ta sẽ định nghĩa chi tiết hơn trong chương này. Mỗi giao thức AAA có một ưu và nhược điểm riêng khiến nó phù hợp hơn với một số loại AAA nhất định.
Không phụ thuộc vào giao thức AAA được sử dụng, có hai cách sử dụng AAA mà bạn sẽ tập trung vào trong cuốn sách này (như đã giới thiệu trước đây): quản trị thiết bị và truy cập mạng.
Quản trị thiết bị
Quản trị thiết bị là một phương pháp của AAA để kiểm soát quyền truy cập vào bảng điều khiển thiết bị mạng, phiên Telnet, phiên SSH hoặc phương pháp khác để truy cập hệ điều hành của thiết bị nơi tiến hành cấu hình cho thiết bị. Ví dụ: hãy tưởng tượng công ty của bạn có một nhóm Active Directory có tên Quản trị viên Cisco, nhóm này sẽ có quyền truy cập đầy đủ (cấp đặc quyền 15) vào các thiết bị chuyển mạch của Cisco trong mạng của công ty. Do đó, các thành viên của Quản trị viên Cisco sẽ có thể thực hiện các thay đổi đối với các mạng ảo cục bộ (Vlan), xem toàn bộ cấu hình đang chạy của thiết bị và hơn thế nữa.
Có thể có một nhóm khác có tên là Nhà khai thác Cisco, những người chỉ nên được phép xem đầu ra của các lệnh hiển thị và không được phép định cấu hình bất cứ thứ gì trong thiết bị. Quản trị thiết bị AAA cung cấp khả năng này.
Tuy nhiên, quản trị thiết bị AAA có thể có được chi tiết hơn nhiều. Cả Hệ thống kiểm soát truy cập an toàn của Cisco (ACS) và Công cụ dịch vụ nhận dạng của Cisco (ISE) đều có khả năng cung cấp các bộ lệnh, là danh sách các lệnh được phép hoặc từ chối thực thi bởi một người dùng đã được chứng thực. Nói cách khác, người dùng có thể xác thực với vỏ Cisco IOS và ISE có thể cho phép hoặc từ chối việc thực thi các lệnh riêng lẻ của người dùng, nếu bạn chọn.
Quản trị thiết bị có thể rất tương tác về bản chất, với nhu cầu xác thực một lần nhưng ủy quyền nhiều lần trong một phiên quản trị duy nhất trong dòng lệnh của thiết bị. Do đó, nó rất có ích khi sử dụng giao thức máy khách / máy chủ của Bộ điều khiển truy cập bộ điều khiển truy cập (TACACS), hơn cả RADIUS.
Như mô tả tên gọi, TACACS được thiết kế để quản trị thiết bị AAA, để xác thực và ủy quyền cho người dùng máy tính lớn và các thiết bị đầu cuối Unix cũng như các thiết bị đầu cuối hoặc bảng điều khiển khác.
Cả hai giao thức TACACS và RADIUS sẽ được thảo luận sâu hơn trong chương này; tuy nhiên, vì TACACS phân ra phần ủy quyền của AAA, cho phép xác thực duy nhất và nhiều ủy quyền trong cùng một phiên, nên nó giúp cho việc quản lý thiết bị nhiều hơn RADIUS. RADIUS không cung cấp khả năng kiểm soát các lệnh nào có thể được thực thi.
Truy cập mạng
Truy cập mạng an toàn về cơ bản là tất cả về việc tìm hiểu danh tính của người dùng hoặc điểm cuối trước khi cho phép thực thể đó giao tiếp trong mạng. Các công ty đã cung cấp quyền truy cập mạng cho công nhân từ bên ngoài ranh giới vật lý của các tòa nhà của công ty với việc sử dụng modem. Mọi người có được quyền truy cập Internet bằng cách sử dụng quay số đến nhà cung cấp dịch vụ Internet (ISP) cũng thông qua modem của họ. Về cơ bản, tất cả những gì cần thiết là một modem và một đường dây điện thoại.
Tất nhiên, cho phép mọi người quay số vào mạng công ty chỉ bằng cách quay số modem Số điện thoại của modem không phải là một cách an toàn. Người dùng cần được xác thực và ủy quyền trước khi được phép kết nối. Đó là nơi ban đầu giao thức RADIUS AAA được phát huy, như một điều hiển nhiên trong tên của giao thức (Dịch vụ người dùng quay số xác thực từ xa). RADIUS được sử dụng giữa thiết bị truy cập mạng (NAD) và máy chủ xác thực. Giao thức xác thực thường là Giao thức xác thực mật khẩu (PAP), Giao thức xác thực thử thách / bắt tay (CHAP) hoặc Microsoft CHAP (MS-CHAP).
Khi công nghệ tiếp tục phát triển và quay số trực tiếp đến một công ty đã được thay thế bằng các mạng riêng ảo truy cập từ xa (RA-VPN), Wi-Fi trở nên phổ biến và Viện Kỹ sư Điện và Điện tử (IEEE) đã chuẩn hóa theo phương pháp để sử dụng Giao thức xác thực mở rộng (EAP) trên các mạng cục bộ (IEEE 802.1X), RADIUS được sử dụng làm giao thức được lựa chọn để mang lưu lượng xác thực. Trên thực tế, IEEE 802.1X không thể sử dụng TACACS. Nó phải sử dụng RADIUS.
Ghi chú: Có một giao thức AAA khác tương tự RADIUS, được gọi là DIAMETER, cũng có thể được sử dụng với 802.1X; tuy nhiên, nó chủ yếu được tìm thấy trong không gian của nhà cung cấp dịch vụ và nằm ngoài phạm vi của cuốn sách này.
Trong thế giới ngày nay, RADIUS là giao thức được sử dụng gần như độc quyền với truy cập mạng AAA và là nền tảng điều khiển chính được sử dụng giữa Cisco ISE và chính các thiết bị mạng. Nhìn lại, bạn có thể xem nền tảng điều khiển RADIUS là mạng được xác định bằng phần mềm ban đầu!
Bản thân AAA thường yêu cầu một giao thức chuyên biệt được thiết kế để thực hiện các yêu cầu xác thực và phản hồi tương ứng của chúng, bao gồm kết quả ủy quyền và nhật ký tính cước. Các giao thức chuyên biệt này được gọi là giao thức AAA và hai giao thức AAA phổ biến nhất là Dịch vụ người dùng quay số xác thực từ xa (RADIUS) và Bộ điều khiển truy cập bộ điều khiển truy cập đầu cuối (TACACS +), mà chúng ta sẽ định nghĩa chi tiết hơn trong chương này. Mỗi giao thức AAA có một ưu và nhược điểm riêng khiến nó phù hợp hơn với một số loại AAA nhất định.
Không phụ thuộc vào giao thức AAA được sử dụng, có hai cách sử dụng AAA mà bạn sẽ tập trung vào trong cuốn sách này (như đã giới thiệu trước đây): quản trị thiết bị và truy cập mạng.
Quản trị thiết bị
Quản trị thiết bị là một phương pháp của AAA để kiểm soát quyền truy cập vào bảng điều khiển thiết bị mạng, phiên Telnet, phiên SSH hoặc phương pháp khác để truy cập hệ điều hành của thiết bị nơi tiến hành cấu hình cho thiết bị. Ví dụ: hãy tưởng tượng công ty của bạn có một nhóm Active Directory có tên Quản trị viên Cisco, nhóm này sẽ có quyền truy cập đầy đủ (cấp đặc quyền 15) vào các thiết bị chuyển mạch của Cisco trong mạng của công ty. Do đó, các thành viên của Quản trị viên Cisco sẽ có thể thực hiện các thay đổi đối với các mạng ảo cục bộ (Vlan), xem toàn bộ cấu hình đang chạy của thiết bị và hơn thế nữa.
Có thể có một nhóm khác có tên là Nhà khai thác Cisco, những người chỉ nên được phép xem đầu ra của các lệnh hiển thị và không được phép định cấu hình bất cứ thứ gì trong thiết bị. Quản trị thiết bị AAA cung cấp khả năng này.
Tuy nhiên, quản trị thiết bị AAA có thể có được chi tiết hơn nhiều. Cả Hệ thống kiểm soát truy cập an toàn của Cisco (ACS) và Công cụ dịch vụ nhận dạng của Cisco (ISE) đều có khả năng cung cấp các bộ lệnh, là danh sách các lệnh được phép hoặc từ chối thực thi bởi một người dùng đã được chứng thực. Nói cách khác, người dùng có thể xác thực với vỏ Cisco IOS và ISE có thể cho phép hoặc từ chối việc thực thi các lệnh riêng lẻ của người dùng, nếu bạn chọn.
Quản trị thiết bị có thể rất tương tác về bản chất, với nhu cầu xác thực một lần nhưng ủy quyền nhiều lần trong một phiên quản trị duy nhất trong dòng lệnh của thiết bị. Do đó, nó rất có ích khi sử dụng giao thức máy khách / máy chủ của Bộ điều khiển truy cập bộ điều khiển truy cập (TACACS), hơn cả RADIUS.
Như mô tả tên gọi, TACACS được thiết kế để quản trị thiết bị AAA, để xác thực và ủy quyền cho người dùng máy tính lớn và các thiết bị đầu cuối Unix cũng như các thiết bị đầu cuối hoặc bảng điều khiển khác.
Cả hai giao thức TACACS và RADIUS sẽ được thảo luận sâu hơn trong chương này; tuy nhiên, vì TACACS phân ra phần ủy quyền của AAA, cho phép xác thực duy nhất và nhiều ủy quyền trong cùng một phiên, nên nó giúp cho việc quản lý thiết bị nhiều hơn RADIUS. RADIUS không cung cấp khả năng kiểm soát các lệnh nào có thể được thực thi.
Truy cập mạng
Truy cập mạng an toàn về cơ bản là tất cả về việc tìm hiểu danh tính của người dùng hoặc điểm cuối trước khi cho phép thực thể đó giao tiếp trong mạng. Các công ty đã cung cấp quyền truy cập mạng cho công nhân từ bên ngoài ranh giới vật lý của các tòa nhà của công ty với việc sử dụng modem. Mọi người có được quyền truy cập Internet bằng cách sử dụng quay số đến nhà cung cấp dịch vụ Internet (ISP) cũng thông qua modem của họ. Về cơ bản, tất cả những gì cần thiết là một modem và một đường dây điện thoại.
Tất nhiên, cho phép mọi người quay số vào mạng công ty chỉ bằng cách quay số modem Số điện thoại của modem không phải là một cách an toàn. Người dùng cần được xác thực và ủy quyền trước khi được phép kết nối. Đó là nơi ban đầu giao thức RADIUS AAA được phát huy, như một điều hiển nhiên trong tên của giao thức (Dịch vụ người dùng quay số xác thực từ xa). RADIUS được sử dụng giữa thiết bị truy cập mạng (NAD) và máy chủ xác thực. Giao thức xác thực thường là Giao thức xác thực mật khẩu (PAP), Giao thức xác thực thử thách / bắt tay (CHAP) hoặc Microsoft CHAP (MS-CHAP).
Khi công nghệ tiếp tục phát triển và quay số trực tiếp đến một công ty đã được thay thế bằng các mạng riêng ảo truy cập từ xa (RA-VPN), Wi-Fi trở nên phổ biến và Viện Kỹ sư Điện và Điện tử (IEEE) đã chuẩn hóa theo phương pháp để sử dụng Giao thức xác thực mở rộng (EAP) trên các mạng cục bộ (IEEE 802.1X), RADIUS được sử dụng làm giao thức được lựa chọn để mang lưu lượng xác thực. Trên thực tế, IEEE 802.1X không thể sử dụng TACACS. Nó phải sử dụng RADIUS.
Ghi chú: Có một giao thức AAA khác tương tự RADIUS, được gọi là DIAMETER, cũng có thể được sử dụng với 802.1X; tuy nhiên, nó chủ yếu được tìm thấy trong không gian của nhà cung cấp dịch vụ và nằm ngoài phạm vi của cuốn sách này.
Trong thế giới ngày nay, RADIUS là giao thức được sử dụng gần như độc quyền với truy cập mạng AAA và là nền tảng điều khiển chính được sử dụng giữa Cisco ISE và chính các thiết bị mạng. Nhìn lại, bạn có thể xem nền tảng điều khiển RADIUS là mạng được xác định bằng phần mềm ban đầu!