Tải bản đầy đủ
* Định dạng TACACS và các giá trị tiêu đề

* Định dạng TACACS và các giá trị tiêu đề

Tải bản đầy đủ

Nếu một máy chủ AAA chạy TACACS nhận được một gói TACACS xác
định một phiên bản nhỏ hơn khác phiên bản hiện tại, nó sẽ gửi một trạng thái lỗi
trở lại và yêu cầu các minor_version với phiên bản gần nhất được hỗ trợ.
Loại này phân biệt các loại gói tin. Chỉ có một số loại là hợp pháp. Các loại
gói hợp pháp như sau:
- TAC_PLUS_AUTHEN = 0x01 đây là loại gói nghĩa xác thực.
- TAC_PLUS_AUTHOR-0x02 đây là loại gói tin mà nghĩa uỷ quyền.
- TAC_PLUS_ACCT = 0x03 đây là loại gói tin mà nghĩa kế toán.
Seq_no: xác định số thứ tự cho các phiên làm việc. TACACS có thể khởi tạo
một hoặc nhiều phiên TACACS cho mỗi khách hàng AAA.
Flags:có 2 cờ
+TAC_PLUS_UNENCRYPTED_FLAG:xác định mã hoá của gói TACACS.
Giá trị 1 là chưa mã hoá, giá trị 0 là gói tin đã được mã hoá.
+TAC_PLUS_SINGLE_CONNECT_FLAG:Xác định ghép hoặc không
ghép các phiên tacacs trên một kết nối tcp.
Session_id Đây là một giá trị ngẫu nhiên đó chỉ định các phiên hiện tại giữa
khách hàng và máy chủ AAA chạy TACACS. Giá trị này vẫn giữ nguyên trong
suốt thời gian của phiên làm việc
Lengh: tổng chiều dài của gói TACACS, không bao gồm tiêu đề 12-byte.
Khái niệm xác thực TACACS + cũng tương tự như RADIUS. NAS sẽ gửi
một yêu cầu chứng thực với TACACS + server.Các máy chủ cuối cùng sẽ gửi bất
kỳ thông điệp sau đây trở về NAS:
ACCEPT - Người dùng đã được xác thực thành công và các dịch vụ yêu cầu
sẽ được cho phép. Nếu như cơ chế cấp quyền được yêu cầu,tiến trình cấp quyền sẽ
được thực thi.
REJECT - xác thực người dùng đã bị từ chối. Người sử dụng có thể được
nhắc để thử lại chứng thực tuỳ thuộc vào TACACS + server và NAS.
ERROR - Một số lỗi xảy ra trong quá trình xác thực. Nguyên nhân gây ra lỗi
có thể ở vấn đề kết nối hoặc vi phạm cơ chế bảo mật.
CONTINUE - Người dùng được nhắc nhở để cung cấp thông tin xác thực
hơn.
Sau khi quá trình xác thực đã hoàn tất, nếu uỷ quyền được yêu cầu TACACS
+ server với sẽ xử lý giai đoạn kế tiếp nếu xác thực thành công.
3.2.2. Dịch vụ AAA trên Cisco Pix firewall
a. Đặc điểm của AAA trên Pix filewall

51

Đặc điểm của AAA khi sử dụng với PIX Firewall gồm:
- Client cần truy nhập đến một dịch vụ nào đó. PIX firewall, lúc này đóng
vai trò là gateway giữa client và thiết bị, sẽ yêu cầu client gửi user ID và
password.
- PIX nhận được thông tin đó và chuyển nó đến AAA server. AAA server
được định nghĩa như là một thực thể logic dùng để cung cấp 3 chức năng AAA.
Server sẽ tìm xem thông tin về user này có trong database của nó hay không ? Nếu
có thì user sẽ được phép sử dụng dịch vụ đã yêu cầu. Nếu không, user bị từ chối
sử dụng dịch vụ đó.
Với việc sử dụng AAA server riêng như vậy, giúp cho PIX giảm được tải
(CPU), cấu hình và quản lý đơn giản, làm tăng khả năng mở rộng.
Việc sử dụng AAA server cho phép chỉ có các user được xác thực mới được
truy cập đến một mạng nào đó, nhà quản trị mạng có thể giới hạn việc truy cập các
dịch vụ như FTP, Telnet, HTTP, hay là các dịch vụ khác.
User có thể xác thực với PIX firewall sử dụng một trong 3 phương pháp sau:
- Telnet: dấu nhắc được phát ra bởi Pix, mỗi user có 4 lần log in. Nếu
username hoặc password sai sau lần thứ tư, Pix sẽ làm rớt kết nối.
- FTP: dấu nhắc được phát ra từ chương trình FTP. Nếu password không
đúng, kết nối sẽ bị rớt ngay lập tức. Nếu username hoặc password trong
authentication database khác với username và password của remote host mà ta cần
truy nhập vào thông qua FTP, sử dụng username và password theo mẫu sau:
 aaa_username@remote_username
 aaa_password@remote_password
PIX firewall gửi aaa_username và aaa_password đến AAA server, nếu
authentication



authorization

thành

công,

remote_username



remote_password được gửi chuyến FTP server đích.
- HTTP: browser phát ra cửa sổ username, password. Nếu nhập vào không
đúng password, user sẽ được nhắc nhập lại.
Nếu username hoặc password trong database authentication khác với
username và password ở remote host, thì nhập username và password theo mẫu
sau:
 aaa_username@remote_username
 aaa_password@remote_password

52

PIX firewall gửi aaa_username và aaa_password đến AAA server, nếu
authentication



authorization

thành

công,

remote_username



remote_password được gửi chuyến HTTP server đích.
b. Cut-through proxy
PIX firewall có thể configuration replication cung cấp việc xác thực và thẩm
quyền cho user để sử dụng dịch vụ nào đó thông qua Pix. Đặc biệt, pix cho phép
ta thực hiện việc xác thực và thẩm quyền cho các phiên FTP, HTTP, và Telnet cho
cả 2 hướng inbound và outbound. Chức năng này còn được gọi là cut-through
proxy. Cut-through proxy cho phép ta điều khiển các dịch vụ thích hợp thông qua
firewall bằng user chứ không phải địa chỉ IP. Khác với proxy server phải phân tích
mỗi gói dữ liệu trong một phiên ở lớp application, điều này ảnh hưởng trực tiếp
đến vấn đề thời gian và tốc độ xử lý, sử dụng Cut-through proxy, PIX firewall sẽ
chỉ gửi query đầu tiên cho việc chứng thực tới một TACACS+ hoặc RADIUS
database server. Khi một user được chứng thực thành công ứng với policy đã được
thiết lập, thì pix sẽ chuyển session flow và traffic flow trực tiếp giữa 2 host trong
khi vẫn duy trì thông tin trạng thái
Ví dụ sau đây sẽ giúp ta hiểu rõ hơn hoạt động của cut-through proxy:

Hình 2.8: Hoạt động của Cut-through proxy

53

Ứng dụng điển hình của công nghệ này là một user ở mạng bên ngoài
(internet) truy cập vào HTTP server nằm trong vùng DMZ của mạng intranet như
trong hình vẽ trên. User ở mạng ngoài truy cập vào XYZ web server, PIX yêu cầu
user nhập thông tin username và password, thông tin này được pix chuyển đến
AAA server. Nếu được xác thực, user được phép đến XYZ web server. Nếu web
server này cũng đòi xác thực, thì user sẽ gửi remote username và password đến
server đó.
c. Cấu hình xác thực
Khi CSACS ( Cisco Secure Access Control Server ) được cấu hình (CSACS
là một phần mềm được cài đặt trên server cung cấp đầy đủ 3 dịch vụ AAA), một
entry tương ứng với AAA server phải được cấu hình trên pix. Các bước cấu hình
như sau:
 Tạo AAA group, chỉ ra giao thức dùng cho xác thực:
aaa-server group_tag (if_name) host server_ip key timeout
seconds
 Tạo ra AAA server và đăng ký nó đến AAA group, nhiều
AAA server có thể ở trong cùng một group:
aaa-server group_tag protocol auth_protocol
Group_tag: tên của server group
If_name: tên interface kết nối với server
Host server_ip: địa chỉ IP của TACACS+ server hoặc RADIUS server
Key: là từ khoá case-sensitive, có độ dài tối đa là 127 kí tự, từ khoá này phải
giống với từ khoá của server. Key được sử dụng giữa client và server cho việc mã
hoá dữ liệu giữa chúng. Nếu key không được chỉ ra, mã hoá sẽ không xảy ra.
Không được sử dụng khoảng trắng giữa các kí tự trong key.
Timeout seconds: chỉ ra khoảng thời gian mà pix phải chờ để thử lại lần nữa,
pix sẽ thử lại 4 lần trước khi chọn server kế tiếp cho việc xác thực. Giá trị mặc
định của timeout là 30 giây.
Auth_protocol: là chỉ ra loại server nào được sử dụng, tacacs hay là radius.
Lưu ý: Mặc định, PIX firewall giao tiếp với RADIUS server dùng port 1645
dành cho việc xác thực và port 1646 dành cho accounting. Các RADIUS đời mới
hơn có thể sử dụng port 1812 và port 1813. Nếu server sử dụng port khác 1645 và
54

1646, ta cần phải định nghĩa lại giá trị port tương ứng trên Pix bằng câu lệnh aaaserver radius-authport và aaa-server radius-acctport trước khi cấu hình RADIUS
server.
Với PIX firewall, nhà quản trị có thể định nghĩa từng group riêng cho các
loại traffic khác nhau, ví dụ như một TÁCACS + server cho inbound traffic, một
TACACS+ server khác cho outbound traffic. Ta có thể có đến 16 tag group và
mỗi group có thể có đến 16 AAA server, tổng cộng có đến 256 server.
Cấu hình mặc định ở pix có hai giao thức AAA server là:
- aaa-server tacacs+ protocol tacacs+
- aaa-server radius protocol radius
Sau khi đã chỉ ra aaa-server, ta cần phải cấu hình xác thực, sử dụng câu lệnh
aaa authentication để bật hay tắt việc xác thực user. Có các loại xác thực sau:
 Xác thực khi user truy cập vào PIX:
Câu lệnh:
aaa authentication [serial | enable | telnet | ssh | http] console

Xác thực việc access vào pix console có nhiều loại khác nhau tuỳ thuộc vào
option được chọn. Enable option cho phép 3 lần thử trước khi từ chối việc access .
Serial và telnet cho phép user thử nhiều lần cho đến khi log in vào được thiết bị.
Telnet cho phép ta chỉ ra host nào có thể access vào pix. Đối với các OS
version 5.0 trở về trước, telnet đến pix chỉ được thực hiện từ internal interface đi
ra mạng ngoài, không cho phép outside interface. Nhưng các version OS sau này
đều hỗ trợ tính năng này. Tuy nhiên, PIX firewall bắt buộc rằng tất cả telnet traffic
đến outside interface phải được bảo vệ bởi IPSEC. Do đó, để khởi động một telnet
session đến outside interface, cấu hình IPSEC ở outside interface bao gồm cả IP
traffic do pix tạo ra. Chỉ có traffic trở về telnet client được gửi qua IPSEC tunnel,
không phải là tất cả traffic được phát ra bởi outside interface.
 Xác thực cho traffic đi qua pix
Câu lệnh:
aaa authentication {include | exclude}
{inside | outside | }

include: tạo ra một quy tắc mới cho dịch vụ cụ thể nào đó.

55

exclude: chỉ ra host nào đó được bỏ qua các quy tắc mà ta đã định nghĩa
trước đó
authen_service: dịch vụ mà user muốn access vào. Tham số này có thể là ftp,
telnet, http, hay là cả 3 dịch vụ trên (any).
inbound: xác thực các kết nối inbound. Inbound có nghĩa là kết nối đó được
khởi tạo từ interface outside đến interface inside.
outbound: xác thực các kết nối outbound. Outbound có nghĩa là kết nối được
khởi tạo từ inside interface đến outside interface.
if_name: tên của interface mà ở đó user cần xác thực. Sử dụng if_name, cộng
với local_ip và foreign_ip để biết được kết nối được khởi tạo từ đâu đến đâu.
local_ip: địa chỉ IP của host hoặc mạng được xác thực. Địa chỉ này có thể
được set đến 0, có nghĩa là tất cả các host được xác thực. Local_ip luôn luôn nằm
ở interface có mức bảo mật cao nhất.
local_mask: network mask của local_ip. Sử dụng 0 nếu địa chỉ IP là 0. Sử
dụng 255.255.255.255 nếu IP là dành cho một host.
foreign_ip: là địa chỉ IP của các host mà local_ip có khả năng truy cập đến.
Sử dụng 0 cho tất cả các host.
foreign_mask: giống local_mask
group_tag: là tag group trong lệnh aaa-server
PIX firewall chỉ cho phép chỉ một giao thức authentication cho một mạng.
Ví dụ, nếu một mạng kết nối inbound thông qua PIX firewall sử dụng TACACS +,
thì cùng mạng đó không thể kết nối inbound thông qua PIX sử dụng RADIUS.
Tuy nhiên, nếu một mạng kết nối inbound thông qua pix sử dụng TACACS+, một
mạng khác có thể kết nối inbound qua PIX sử dụng RADIUS.
 Xác thực cho các dịch vụ khác
PIX firewall xác thực user thông qua Telnet, FTP, HTTP. Nhưng nó cũng có
thể xác thực các loại dịch vụ khác. Ví dụ, PIX có thể được cấu hình để xác thực
user khi user cần sử dụng dịch vụ Microsoft file server ở port 139. Khi user được
yêu cầu xác thử để access vào các dịch vụ khác ngoài Telnet, FTP, HTTP, họ cần
thực hiện một trong các bước sau:
o Option 1: xác thực đầu tiên bằng việc truy cập vào Telnet, FTP, hay
HTTP server trước khi truy cập các dịch vụ khác.
o Option 2: xác thực đến PIX virtual telnet trước khi truy cập vào các dịch
vụ khác.

56