Giới thiệu Cisco Secure ACS trên nền Windows
1. Tổng Quát Cisco Secure ACS
+ Cisco Secure ACS giúp xác thực người dùng bằng cách điều khiển cách truy nhập vào thiết bị truy nhập mạng (NAS) như là Access Server, Cisco PIX Firewall hoặc Router. Cisco Secure được xem như là một dịch vụ điều khiển việc xác thực (authentication), cấp quyền (authorization), tính cước (accounting).
+ Cisco Secure ACS giúp tập trung việc điều khiển truy cập và tính cước cho các access server cũng như firewall trong việc truy cập vào router hay switch. Với Cisco Secure ACS, nhà cung cấp dịch vụ có thể nhanh chóng quản trị account, thay đổi yêu cầu dịch vụ cho toàn bộ các nhóm người dùng.
+ Cisco Secure hỗ trợ các Cisco NAS như Cisco router series 2509, 2511, 3620, 3640, AS 5200, AS 5300, AS 5800, Cisco Pix firewall và các thiết bị thế hệ thứ ba có thể cấu hình với TACACS+, RADIUS.
Có hai phần liên quan đến Cisco Secure ACS:
+ Cisco Secure ACS chạy trên nền Windows.
+ Cisco Secure ACS chạy trên nền Unix.
2. Cisco Secure ACS chạy trên nền Windows
- Cisco Secure ACS chạy trên nền Windows là một phần mềm ứng dụng bảo mật mạng cho phép ta điều khiển cách truy nhập mạng, các cuộc gọi vào và truy nhập internet.
- Cisco Secure ACS chạy trên nền Windows hoạt động giống như một dịch vụ của Windows NT/2000 điều khiển việc xác thực, cấp quyền và tính cước người dùng truy cập vào mạng. Cisco Secure ACS chạy trên nền Windows cung cấp dịch vụ AAA cho các thiết bị truy cập mạng có chức năng như AAA client, router, switch, NAS, PIX firewall và VPN 3000 Concentrator. Một AAA client có thể là một thiết bị bất kì cung cấp chức năng AAA client và sử dụng một trong các giao thức AAA hỗ trợ bởi Cisco Secure ACS.
- Cisco Secure ACS chạy trên nền Windows xem tất cả thiết bị như vậy là AAA client. Cisco Secure ACS chạy trên nền Windows sử dụng giao thức TACACS+/RADIUS để cung cấp dịch vụ AAA nhằm đảm bảo một môi trường an toàn tuyệt đối. Với Cisco Secure ACS chạy trên nền Windows, các nhà quản trị mạng có thể nhanh chóng quản lý tài khoản và thay đổi toàn bộ mức độ yêu cầu dịch vụ cho toàn bộ các nhóm người dùng.
- Cisco Secure ACS chạy trên nền Windows là một ACS dễ sử dụng bởi tính dễ cài đặt và quản trị. Nó thường chạy trên nền Windows NT server hoặc Windows 2000 Server. Cisco Secure ACS chạy trên nền Windows cho phép xác thực username và password lưu trong cơ sở dữ liệu của Windows NT/2000 của chính cơ sở dữ liệu trong Cisco Secure ACS, cơ sở dữ liệu từ bên ngoài,…Các mức độ bảo mật khác nhau có thể dùng với Cisco Secure ACS chạy trên nền Windows với các yêu cầu khác nhau.
+ Mức độ bảo mật người dùng
– Mạng là PAP. Mặc dù nó không trình bày dạng bảo mật cao nhất của tính chất mã hóa bí mật, PAP đem lại nhiều sự tiện lợi và đơn giản cho khách hàng. Xác thực PAP có thể xác thực với cơ sở dữ liệu trong Windows NT/2000. Xác thực CHAP cho phép một mức độ cao hơn về tính bảo mật cho các password mã hóa khi giao tiếp từ khách hàng cho đến thiết bị truy cập mạng (NAS). Microsoft CHAP (MS-CHAP) là một phiên bản của CHAP được đưa ra bởi Microsoft để làm việc gần gũi, dễ dàng hơn trong hệ điều hành Microsoft Windows. PAP, CHAP và MSCHAP là các giao thức xác thực được dùng để mã hóa password.
Tuy nhiên, mỗi giao thức cung cấp một mức độ bảo mật khác nhau:
- PAP: Sử dụng password dạng clear-text và là các giao thức ít bảo đảm tính xác thực nhất. Nếu ta sử dụng cơ sở dữ liệu trong Windows NT/2000 để xác thực ngƣời dùng, ta phải mã hóa PAP password.
- CHAP: Sử dụng kĩ thuật “thách thức – phúc đáp” (challenge – response) với việc mã hóa một chiều khi phúc đáp. CHAP cho phép Cisco Secure ACS khởi tạo với độ an toàn cao. CHAP password có thể tái dùng lại. Nếu sử dụng Windows database để xác thực, ta có thể sử dụng PAP hoặc CHAP.
- MS-CHAP: Cisco Secure ACS chạy trên nền Windows hỗ trợ MS-CHAP để xác thực người dùng. MS-CHAP khác biệt so với CHAP ở chỗ:
+ Các gói phúc đáp của MS-Chap thì tương thích với Microsoft Windows và quản lý mạng LAN. Dạng MS-CHAP không cung cấp cách xác thực và lưu trữ một mật khẩu dạng clear-text hay được mã hóa.
+ MS-CHAP cung cấp kĩ thuật xác thực điều khiển bởi người xác thực.
+ MS-CHAP ver 2 cung cấp các mã lỗi thêm vào trong trường “Thông điệp lỗi của gói” (Failure Packet Message).
1. Tổng Quát Cisco Secure ACS
+ Cisco Secure ACS giúp xác thực người dùng bằng cách điều khiển cách truy nhập vào thiết bị truy nhập mạng (NAS) như là Access Server, Cisco PIX Firewall hoặc Router. Cisco Secure được xem như là một dịch vụ điều khiển việc xác thực (authentication), cấp quyền (authorization), tính cước (accounting).
+ Cisco Secure ACS giúp tập trung việc điều khiển truy cập và tính cước cho các access server cũng như firewall trong việc truy cập vào router hay switch. Với Cisco Secure ACS, nhà cung cấp dịch vụ có thể nhanh chóng quản trị account, thay đổi yêu cầu dịch vụ cho toàn bộ các nhóm người dùng.
+ Cisco Secure hỗ trợ các Cisco NAS như Cisco router series 2509, 2511, 3620, 3640, AS 5200, AS 5300, AS 5800, Cisco Pix firewall và các thiết bị thế hệ thứ ba có thể cấu hình với TACACS+, RADIUS.
Các máy chủ ACS của Cisco
Có hai phần liên quan đến Cisco Secure ACS:
+ Cisco Secure ACS chạy trên nền Windows.
+ Cisco Secure ACS chạy trên nền Unix.
2. Cisco Secure ACS chạy trên nền Windows
- Cisco Secure ACS chạy trên nền Windows là một phần mềm ứng dụng bảo mật mạng cho phép ta điều khiển cách truy nhập mạng, các cuộc gọi vào và truy nhập internet.
- Cisco Secure ACS chạy trên nền Windows hoạt động giống như một dịch vụ của Windows NT/2000 điều khiển việc xác thực, cấp quyền và tính cước người dùng truy cập vào mạng. Cisco Secure ACS chạy trên nền Windows cung cấp dịch vụ AAA cho các thiết bị truy cập mạng có chức năng như AAA client, router, switch, NAS, PIX firewall và VPN 3000 Concentrator. Một AAA client có thể là một thiết bị bất kì cung cấp chức năng AAA client và sử dụng một trong các giao thức AAA hỗ trợ bởi Cisco Secure ACS.
- Cisco Secure ACS chạy trên nền Windows xem tất cả thiết bị như vậy là AAA client. Cisco Secure ACS chạy trên nền Windows sử dụng giao thức TACACS+/RADIUS để cung cấp dịch vụ AAA nhằm đảm bảo một môi trường an toàn tuyệt đối. Với Cisco Secure ACS chạy trên nền Windows, các nhà quản trị mạng có thể nhanh chóng quản lý tài khoản và thay đổi toàn bộ mức độ yêu cầu dịch vụ cho toàn bộ các nhóm người dùng.
- Cisco Secure ACS chạy trên nền Windows là một ACS dễ sử dụng bởi tính dễ cài đặt và quản trị. Nó thường chạy trên nền Windows NT server hoặc Windows 2000 Server. Cisco Secure ACS chạy trên nền Windows cho phép xác thực username và password lưu trong cơ sở dữ liệu của Windows NT/2000 của chính cơ sở dữ liệu trong Cisco Secure ACS, cơ sở dữ liệu từ bên ngoài,…Các mức độ bảo mật khác nhau có thể dùng với Cisco Secure ACS chạy trên nền Windows với các yêu cầu khác nhau.
+ Mức độ bảo mật người dùng
– Mạng là PAP. Mặc dù nó không trình bày dạng bảo mật cao nhất của tính chất mã hóa bí mật, PAP đem lại nhiều sự tiện lợi và đơn giản cho khách hàng. Xác thực PAP có thể xác thực với cơ sở dữ liệu trong Windows NT/2000. Xác thực CHAP cho phép một mức độ cao hơn về tính bảo mật cho các password mã hóa khi giao tiếp từ khách hàng cho đến thiết bị truy cập mạng (NAS). Microsoft CHAP (MS-CHAP) là một phiên bản của CHAP được đưa ra bởi Microsoft để làm việc gần gũi, dễ dàng hơn trong hệ điều hành Microsoft Windows. PAP, CHAP và MSCHAP là các giao thức xác thực được dùng để mã hóa password.
Tuy nhiên, mỗi giao thức cung cấp một mức độ bảo mật khác nhau:
- PAP: Sử dụng password dạng clear-text và là các giao thức ít bảo đảm tính xác thực nhất. Nếu ta sử dụng cơ sở dữ liệu trong Windows NT/2000 để xác thực ngƣời dùng, ta phải mã hóa PAP password.
- CHAP: Sử dụng kĩ thuật “thách thức – phúc đáp” (challenge – response) với việc mã hóa một chiều khi phúc đáp. CHAP cho phép Cisco Secure ACS khởi tạo với độ an toàn cao. CHAP password có thể tái dùng lại. Nếu sử dụng Windows database để xác thực, ta có thể sử dụng PAP hoặc CHAP.
- MS-CHAP: Cisco Secure ACS chạy trên nền Windows hỗ trợ MS-CHAP để xác thực người dùng. MS-CHAP khác biệt so với CHAP ở chỗ:
+ Các gói phúc đáp của MS-Chap thì tương thích với Microsoft Windows và quản lý mạng LAN. Dạng MS-CHAP không cung cấp cách xác thực và lưu trữ một mật khẩu dạng clear-text hay được mã hóa.
+ MS-CHAP cung cấp kĩ thuật xác thực điều khiển bởi người xác thực.
+ MS-CHAP ver 2 cung cấp các mã lỗi thêm vào trong trường “Thông điệp lỗi của gói” (Failure Packet Message).
Lê Hoàng Lam - VnPro