Nếu tại bất kỳ điểm nào trong tất cả tiến trình đăng nhập mà các điều kiện xác thực cần thiết không thỏa mãn, Server cơ sở dữ liệu bảo mật sẽ gửi một thông điệp từ chối xác thực tới thiế
Trang 1cập dịch vụ và tài nguyên mạng Nếu tại bất kỳ điểm nào trong tất cả tiến trình đăng nhập mà các điều kiện xác thực cần thiết không thỏa mãn, Server cơ sở
dữ liệu bảo mật sẽ gửi một thông điệp từ chối xác thực tới thiết bị NAS và người dùng bị từ chối truy cập mạng
4.1.2 Sử dụng RADIUS với các đường hầm tầng 2
RADIUS có thể được dùng để xác thực các đường hầm tầng 2 cũng như các kết nối PPP một phần quan trọng với các mạng riêng ảo Có 2 mô hình đường hầm tại tầng 2, mô hình tự nguyện và bắt buộc RADIUS có thể được dùng trong cả 2 trường hợp để xác thực người dùng và cấp quyền/từ chối một thiết lập đường hầm hay thiết lập phiên Điều này bổ sung thêm một tầng bảo mật với kịch bản mạng riêng ảo tại tầng 2 vì cho đến khi đường hầm được thiết lập và phiên được thiết lập, không có luồng thông tin nào được phép chuyển qua đường hầm, thêm vào đó, việc xác thực và truy cập tới các đường hầm đó có thể được kiểm soát tập trung Hình 4.4 minh họa các cách sử dụng RADIUS khác nhau đó trong một môi trường mạng riêng ảo mà trong đó các đường hầm bắt buộc được dùng liên quan tới một ISP để thiết lập một đường hầm hay bắt đầu một phiên mới qua một đường hầm đang tồn tại với tư cách là đại diện của một Client từ xa ISP có thể dùng một server ủy quyền RADIUS để chuyển thiếp xác thực client trở lại Server xác thực trung tâm vì vậy không cần phải duy trì thông tin người dùng tại hai vị trí, ISP và Server trung tâm
Hình 4.4 Sử dụng RADIUS với các đường hầm tầng 2
4.2 Chuyển dịch địa chỉ mạng(NAT)
Trang 2Ban đầu NAT được đề xuất như một giải pháp ngắn hạn cho vấn đề cạn kiệt địa chỉ IP Tuy nhiên, NAT cũng là một phương tiện hiệu quả để ngăn chặn các Hacker và người dùng bên ngoài xâm nhập vào mạng Để đảm bảo truyền thông giữa 2 nơi bất kỳ trên Internet, tất cả địa chỉ IP phải được gán một cách chính thức bởi IANA Điều này trở nên khó khăn hơn để hoàn thành vì số lượng các dãi địa chỉ sẵn dùng bây giờ bị giới hạn Trước đây, nhiều tổ chức sử dụng các địa chỉ IP cục bộ, không nghĩ tới yêu cầu kết nối Internet Ý tưởng của NAT dựa trên thực tế
là chỉ một số lượng nhỏ các Host trong một mạng riêng đang liên lạc với thế giới bên ngoài Nếu mỗi Host được gán một địa chỉ IP từ quĩ địa chỉ IP chính thức chỉ lúc nó cần liên lạc, thì chỉ có một số lượng nhỏ địa chỉ chính thức được yêu cầu NAT là một giải pháp cho các mạng có dãi địa chỉ IP riêng hoặc các địa chỉ trái phép và muốn liên các với các Host trên Internet Trong thực tế, điều này có thể được hoàn tất bởi việc thực thi một firewall Vì lý do, các Client liên lạc với Internet bằng việc sử dụng một Proxy hoặc SOCKS Server không để lộ địa chỉ của
họ với Interner, nên địa chỉ của họ không phải dịch chuyển Tuy nhiên, vì nhiều lý
do, lúc một Proxy hay SOCKS không sẵn sàng hoặc không phù hợp với các yêu cầu đặc biệt, NAT phải được dùng để quản lý lưu lượng giữa mạng bên trong và bên ngoài để không quảng cáo địa chỉ các Host bên trong ra bên ngoài
Xét một mạng bên trong có dựa trên không gian địa chỉ IP riêng và người dùng muốn dùng một giao thức ứng dụng không có cổng kết nối ứng dụng Chỉ có tùy chọn là thiết lập kết nối mức IP giữa các Host ở mạng bên trong và các Host trên Internet, Vì các bộ định tuyến sẽ không biết cách thức định tuyến các gói IP trở lại địa chỉ IP riêng, không có điểm nào để gửi các gói IP với địa chỉ IP riêng là địa chỉ IP nguồn qua một Router vào Internet Như trong hình 4.5, NAT lưu giữ các địa chỉ này bằng cách lấy địa chỉ IP của gói dữ liệu ra và dịch nó thành một địa chỉ chính thức, Với các gói vào nó dịch địa chỉ chính thức thành một địa chỉ trong
Trang 3Hình 4.5 Dịch chuyển địa chỉ mạng
Từ vị trí của hai Host trao đổi các gói IP với nhau, một mạng an toàn và một mạng không an toàn, NAT giống như một bộ định tuyến IP chuẩn chuyển tiếp các gói IP giữa 2 giao diện mạng(Xem hình 4.6)
Hình 4.6 NAT giữa mạng an toàn và mạng không an toàn
4.2.1 Sử dụng NAT với các mạng riêng ảo
NAT làm việc tốt với địa chỉ IP trong phần tiêu đề Một số giao thức ứng dụng trao đổi thông tin địa chỉ IP trong phần dữ liệu ứng dụng của một gói IP, và thông thường NAT sẽ không có khả năng lưu giữ bản dịch chuyển của địa chỉ IP trong giao thức ứng dụng Hiện tại, hầu hết sự thực thi xử lý giao thức FTP Nên chú ý rằng sự thực thi của NAT cho các ứng dụng đặc biệt có thông tin IP trong dữ liệu ứng dụng là phức tạp hơn nhiều so với sự thực thi NAT chuẩn
Giới hạn quan trọng khác của NAT là NAT thay đổi một số hoặc tất cả thông tin địa chỉ trong một gói IP Lúc xác thực IPSec đầu cuối - đến - đầu cuối được dùng, địa chỉ của gói đã được thay đổi sẽ luôn thất bại khi kiểm tra tính toàn vẹn dưới giao thức xác thực tiêu đề(AH), vì bất kỳ một bít nào bị thay đổi trong gói dữ
Trang 4liệu sẽ làm mất hiệu lực giá trị kiểm tra toàn vẹn đa được tạo bởi nguồn Vì vậy giao thức IPSec đề xuất một số giải pháp để giải quyết vấn đề địa chỉ được lưu giữ trước bởi NAT, không cần thiết dùng NAT lúc tất cả các Host tạo nên tổng thể một mạng riêng ảo sử dụng các địa chỉ IP toàn cục duy nhất(Public) Việc ẩn địa chỉ có thể được hoàn tất bởi chế độ đường hầm của IPSec Nếu một Công ty sử dụng các địa chỉ riêng trong mạng Intranet, chế độ đường hầm của IPSec giữ cho chúng không xuất hiện ở dạng rõ trong mạng công cộng, nó loại trừ sự cần thiết có NAT
4.3 Giao thức SOCKS
Một cổng mạch vòng tiếp nhận TCP cũng như các kết nối UPD và không cung cấp thêm bất kỳ tiến trình xử lý hoặc lọc gói nào Một cổng mạch vòng là một loại đặc biệt của cổng nối mức ứng dụng Điều này là bởi các cổng nối mức ứng dụng có thể được cấu hình để chuyển qua tất cả thông tin của một người dùng đã được xác thực, được xem như là cổng mạch vòng(xem hình 4.7) Tuy nhiên trong thực hành, có sự khác nhau đáng kể giữa chúng:
- Các cổng mạch vòng có thể sử dụng một số ứng dụng TCP/IP cũng như các ứng dụng UDP mà không phải sửa đổi gì trên Client cho mỗi ứng dụng Như vậy, điều này làm cho các cổng mạch vòng trở thành một lựa chọn tốt để thoã mãn các yêu cầu của người dùng
- Các cổng mạch vòng không cung cấp xử lý hoặc lọc gói Như vậy một cổng nối dạng này thường xem như một cổng nối trong suốt
- Các cổng nối mức ứng dụng thiếu hỗ trợ UDP
- Các cổng mạch vòng thường được dùng cho các kết nối hướng ngoại, trong khi các cổng nối mức ứng dụng thường được dùng cho cả kết nối hướng ngoại và hướng ngoại Thông thường, trong trường hợp sử dụng kết hợp cả 2 loại, cổng mạch vòng thường được dùng cho các kết nối hướng ngoại còn cổng nối mức ứng dụng được dùng cho các kết nối hướng nội để thoả mãn yêu cầu bảo mật và yêu cầu của người dùng
Trang 5Một ví dụ dễ hiểu về cổng mạch vòng là SOCKS Vì dữ liệu đi qua SOCKS không được giám sát hoặc lọc, một vấn đề bảo mật có thể nảy sinh Để tối thiểu hoá các vấn đề bảo mật, các tài nguyên và dịch vụ tin cậy nên được dùng cho mạng ngoài (mạng không an toàn)
Hình 4.7 Cổng mạch vòng
SOCKS là một chuẩn cho các cổng mạch vòng Nó không yêu cầu overhead của nhiều hơn một Server uỷ quyền thông thường trong đó một người dùng phải chủ ý kết nối trước hết là tới firewall trước khi có yêu cầu thứ 2 là kết nối tới đích Người dùng khởi động một ứng dụng phía Client với địa chỉ IP của Server đích Thay vì trực tiếp khởi động một phiên với Server đích, Client khởi tạo một phiên với Server SOCKS trên Firewall
Server SOCKS sau đó xác minh địa chỉ nguồn và ID người dùng được cho phép để thiết lập kết nối tới mạng không an toàn, và sau đó tạo ra phiên thứ 2 SOCKS cần có một phiên bản mã nguồn Client mới và một tập riêng biệt các chính sách cấu hình trên Firewall Tuy nhiên, máy server không cần thay đổi, thật vậy, nó không cần biết rằng phiên đang được tiếp bởi Server SOCKS Cả Client và Server SOCKS đều cần
có mã SOCKS Server SOCKS hoạt động như một router mức ứng dụng giữa Client và Server ứng dụng thực SOCKSv4 chỉ với các phiên TCP hướng ngoại Nó rất đơn giản cho mạng riêng của người dùng, nhưng không được phân phối mật khẩu an toàn vì vậy nó không được dùng cho các phiên giữa người dùng mạng công cộng và các ứng dụng mạng riêng SOCKSv5 với một số phương
