Đề tài nghiên cứu về firewall ASA

Dựa vào yếu tỗ con người Kẻ tấn công có thể liên lạc với một người quản trị hệ thống, giả làm một người sử dụng để yêu cầu thay đổi mật khẩu, thay đổi quyền truy nhập của mình đối với h

Trang 1

B Cấu trúc của đề tài ch H1 1 g1 ghe 5 LTéng quan về an ninh mạng: ¿-¿- ¿- - St E2 SE E*Sk E141 S S311 E1811181115121115 1111111111111 1k 6

IR 0à» 900206: 00177071788 6 2.Các phương thức tấn công -¿-¿ cà tk 1E 1113 11111 110111311 111111101113 11111111110 g3 6

3.4 Chính sách định tuyẾn:: ¿E1 1E ST TT E1 0131111111111 1111 1111111111111 kg 14

3.5 Chính sách Remote-access/VPN - - HH HH ng vn 14 3.6 Chính sách giảm sát / ghỉ HhẬN- hi KH ng nh xà 15 3.7, Chính sách vùng DMZ, SH HH ng nọ n4 kh 15 3.8 Chính sách có thể áp dụng thông thường: - + k+x+k *Ex+k£s+k£etzxrxcxz 16

1 Tống quan về RađiUS: -.- ¿E52 < Set E3EEEEE SE 1 E11 S11 113131111115 01311 1113 g1xk, 17

vn cecessecseeesensaeeerseeaeepesseeeeenseeeeesessaeeeessanaeeseenaaaesesseaeeeeeensaeesensesaeeepe ss 17 1.1.1 Xác thực (AuthenfiCatiOn)) - - c1 1 SH nh ng nu 17 1.1.2 Ủy quyền (AufhoriZafiO)) - sex SE kề TH nàn Hành ro 17

1.1.3 Kế toán (Accounting) ‹-¿- k4 S S11 1111 1011111111111 11 11g11 1101111111 cg 18 1.2 Các điểm chính của kiến trúc A AA: -cc-c++Ekt St H112 ke 18

2 Kiến trúc RAIDIUS: 55+ + t2 2E TT 011211111111 1g 21 2.1 Sử dụng UDP hay TÍCP: G1 119 HH TH n0 59 21 2.2 Định dạng gói tin RADIUS: - 1111 HS HH ng và 23

2.2.2 Từ định danh: - c c cc c C C0 ĐH ĐK ng kg kg pkki14 24 2.2.3 ĐỘ đỒi: - - LH HH TH TH Họ Họ gà 24 2.2.4 Bộ xác thựC: - CC ni ng ng kg 0 SE g9 9 E14 25 2.3 Phân loại BÓI tIT: c1 SH ng TH HT t0 E039 25 2.3.1 Access-l€dQU€SẨ: LH HH ng ng KT ĐH n0 000 901 8 9 25

"“EW P.6 7 a -.ẢẢ 26 2.3.3 ACCGSS-lGJ€CÍ: Q Qnn nHnnH HT HH 0 40 6 E1 01939 27

VI V.Yvv>`— Đ)›::)):©›}:.Y 28 2.3.5 Accounting-R€qUSÍ: QC ng ng ko KH HH ng 59 29

"UY v0(ì0)(1) 0 can ÔỒỒỒo 30 V6 No 8.lNININiiaiiiẳiẳiẳỶỲùmJđđQQỤẠỤIỤIOIi v.v ảằằ 31 P9 và¡i)ì(00và5ì0)(0,-8-::-8.vvta 32 2.5.1 Các thuộc tÍnh: - - - c1 1111101111100 0H in ni Họ HT gà 32 2.5.2 CÁC 1á ẨT: Gà TH HT Họ Họ Ti Tà 35

GVHD: THS Nguyễn Đức Quang

SVTH:Nguyên Đắc Nguyên Long MSSV:106102078

Lê Hoàng Long MSSV:106102079

Trang 2

19 dqđŒẠ::ÖẨ Ôi .EE' 40

P0400 0 40 4.3.2 RFC 2866:: TH HH nọ KH TH tà tt re 42

Ôi 9.1701 Ắ 43 4.3.4 REC 2868: Án HH no KH TH tà 1T tt re 44 4.3.5 RFC 28692 45

1 Lịch SỬ ra ỞỜI . CC TQ HH ST ni ng nọ KT KHE E1 ngư 46

2 Các sản phẩm tường lửa của CiSCO: ¿S121 SE S13 311 11115113111 11131Exk, 47

3 Điều khiến truy cập mạng (NAC) - 5c cà Là S11 1 1111111111111 011111111 111g 47 3.1 Lọc gói (Packet FIÏt€r1ng) - SH nọ nọ kh 47 3.2 Lọc nội dung và URL (Content and URLL F1lter1ng) - - «5 «+ xv**2 50 3.2.1 Content F1Ït€T1ng - Ăc 1v HS ng nọ on n6 kh 50 3.2.2 ActiveX EFIÏ{€TITE c1 HH nọ n0 k0 16 4 kh 51

5 Kiểm tra Ứng dỤng - tk Tà TT TH TT TT cư TT KH ngưng cprkt 62

6 Khả năng chịu lỗi và dự phòng (failover and redundancy) .-‹-¿ ¿+ cscsccecssseei 62 6.1 Kiến trúc chịu lỗi ¿5+ 5+ 2+2 E1 10112112111111 01 11kg 62

6.2 Điều kiện kích hoạt khả năng chịu lỖi - (5-5 S2 Sz S31 S1513 51111151 11k, 63

6.3 Trạng thái chịu lỖi ¿- + S3 E13 SE 1E TT 1 111111111 101 H1 HH0 HH1 64

7 Chất lượng dịch vụ (QOS) ¿5c SE k SE 111 E141 111111111 1111111111 11H tH 64

7.1 Traffic Policing , «ác 1H SH nu TH 0E 00419 65

UY Go s05 = Ả 66

8 Phat hién xm nhap Ẵ007953 0001057 66 8.1 Network-based intrusion detection systems (NIDS) Ác se 67 8.1.1 Lợi thế của Network-Based IDSs - tt 1h SE S111 311 8118135111355 E1 E12 4 68 8.1.2 Han chế của Network-Based IDSs .- G- nh St 1S 33 E113 E313 3E 68 8.2 Host-based intrusion detection systems (HIDS) Ăn se 69 8.2.1 Lợi thế của HID§ 6-5622 k2 SH 1H 111111111211 0101k 70 8.2.2 Hạn chế của HIIDW - 6: St tt HE 111011121 111111 reeg 70

Trang 3

Mục lục hình vẻ

Trang 4

+ Việc nghiên cứu giúp cho khả năng tự học ,tìm hiểu và nghiên cứu độc lập ngày càng tốt hơn

+ Nghiên cứu về hệ thống firewall ASA

+ Triển khai hệ thống phất hiện, ngăn chặn các lưu lượng ra vào của hệ thống là sự

cần thiết cho các doanh nghiệp có nhu cầu về sự an toàn của hệ thống trước những hành vi xâm nhập trái phép Trước sự phát triển của internet và sự hiểu biết của ngày càng sâu của con người thì việc truy cập và phá hoại hệ thống mạng của một doanh nghiệp ,công ty nào đó củng theo đà phát triển của internet mà tăng lên rất nhiều + Việc nghiên cứu này đáp ứng cho lãnh vực bảo mật và an ninh của hệ thống + ASA(Adaptive Security Appliance) là một thiết bị tường lửa mạnh tất cả trong một và được ưa chuộng nhất hiện nay của Cisco.Chính vì vậy mục tiêu của đề tài này

là nhằm nghiên cứu và tìm hiểu cách thức hoạt động,phương pháp cấu hình và ứng

dụng của nó trong việc bảo mật hệ thống mạng.Kết quả đạt được qua việc nghiên cứu thiết bị này là hiểu được cách thức hoạt động và có khả năng triển khai thiết bị này vào

trong một số hệ thống mạng bắt kỳ

+Nghiên cứu về AAA server

+Nghiên cứu về cách tổ chức giám sát hoạt động của người dùng cuối như thời gian bắt đầu hay kết thúc của người dùng (accounting).Bảo mật là vấn đề rất quan

trọng Với mức độ điều khiến, thật dễ dang để cài đặt bảo mật và quan tri mang co thé

định nghĩa các vai trò (role) đưa ra cho user những lệnh mà họ cần để hoàn thành nhiệm vụ của họ và theo đõi những thay đổi trong mạng Với khả năng log lại các sự kiện, ta có thể có những sự điều chỉnh thích hợp với từng yêu cầu đặt ra Tất cả những thành phần này là cần thiết để duy trì tính an toàn, bảo mật cho mạng

Với thông tin thu thập được, có thê tiên đoán việc cập nhật cần thiết theo thời gian

Yêu cầu bảo mật dữ liệu, gia tăng băng thông, giám sát các vấn đề trên mạng thông AAA server

Trang 5

I Tổng quan về an ninh mạng

Chương này mô tả về các nguy cơ an ninh mạng và các chính sách an ninh

nhằm đem lại hiệu qua cho việc bảo mật dữ liệu làm giảm nguy cơ hoặc phát hiện ra

sự tấn công

II Radius

Chương này mô tả về kỹ thuật sử dụng để xác thực,ủy quyền,thanh toán nhằm

đem lại hiểu quả cao cho an ninh mạng toàn vẹn và tránh thất thoát dữ liệu

V Kết luận chung

Chương này nêu ra những kết quả của đề tài làm được những gì và những mặc

hạn chế khó khăn chưa thực hiện được của đề tài

VI Hướng phát triển của đề tài

Trang 6

1.Mục tiều an ninh mạng

Việc phát triển ngày càng tăng của mạng internet do sự thuận tiện mà nó đem lại cho con người tuy nhiên cũng kéo theo nhiều mối nguy hiểm rình rập của những

hacker mạng Đảm bảo cho người dùng được an toàn khi làm việc trên mạng là mục

tiêu hàng đầu của an ninh mạng:

> Bảo đảm mạng nội bộ không bị xâm nhập trái phép

> Cac tai liệu và thông tin quan trọng không bị rò rỉ và bị mắt

> Các dịch vụ được thực hiện nhanh chóng không bị trì trệ hoặc không được thực hiện

> Các cuộc mua bán trên mạng diễn ra đúng với yêu cầu người đùng

> Người dùng làm việc trên mạng không bị mạo danh, lừa đảo

2.Các phương thức tân công

Một virus máy tính được thiết kế để tấn công một máy tính và thường phá các máy

tính khác và các thiết bị mạng Một virus thường có thể là một tập tin đính kèm trong

e-mail, và chọn các tập tin đính kèm có thể gây ra các mã thực thi để chạy và tái tạo

virus Một virus phải được thực hiện hoặc chạy trong bộ nhớ dé chay va tim kiếm các

SVTH:Nguyễn Đắc Nguyên Long MSSV:106102078

Trang 7

Có một số hiệu ứng chung của vi rút Một số virus lành tính, và chỉ cần thông báo cho nạn nhân của họ rằng họ đã bị nhiễm bệnh Các virus ác tính tạo ra sự hủy hoại bằng cách xóa các tập tin và nếu không thì gây ra lỗi cho các máy tính bị nhiễm có chứa tài sản kỹ thuật SỐ, chang hạn như hình ảnh, tài liệu, mật khẩu, và các bản báo cáo tài chính

2.2 Worm

Worm là một chương trình phá hoại quét các điểm yếu hoặc lỗ hông bảo mật trên

các máy tính khác để khai thác các điểm yếu và nhân rộng.Worm có thé tái tạo độc lập

và rất nhanh chóng

'Worm khác với virus trong hai cách chính:

Virus cần một máy chủ để đính kèm và thực hiện, và sâu không yêu cầu một máy

chủ Virus và sâu thường gây ra các loại khác nhau của sự hủy diệt

Virus, một khi chúng đang cư trú trong bộ nhớ, thường xóa và sửa đổi các tập tin quan trọng trên máy tính bị nhiễm bệnh Tuy nhiên, Worms có xu hướng mạng trung tâm hơn so với máy tính trung tâm Worms có thê tái tạo một cách nhanh chóng bằng cách bắt đầu kết nối mạng để nhân rộng và gửi số lượng lớn dữ liệu Worms cũng có

thê chứa một hành khách mang theo, hoặc trọng tải dữ liệu, mà có thê giao mot máy tính mục tiêu cho các trạng thái của một zomble Zomble là một máy tính có bị xâm

phạm và hiện đang được kiểm soát bởi những kẻ tấn công mạng Zombies thường

được sử dụng để khởi động các cuộc tấn công mạng khác Một bộ sưu tập lớn các zombie đưới sự điều khiển của kẻ tấn công được gọi là một "botnet" Botnets có thê phát triển được khá lớn Botnet được xác định đã lớn hơn 100.000 may tinh zombie

2.3 Trojan horse

Một con ngựa Trojan, hoặc Trojan, là phần mềm nguy hại tìm cách ngụy trang

chính nó như là một ứng dụng đẳng tin cậy như là một trò chơi hoặc trình bảo vệ màn

hình Một khi người dùng tin cậy cố gắng để truy cập những gì có vẻ là một trò chơi

Trang 8

không tự sao chép.Những kẻ tấn công mạng cố gắng sử dụng các ứng dụng phổ biến, chang hạn như iTunes cia Apple, dé triển khai một Trojan Ví đụ, một cuộc tấn công

mạng sẽ gửi một e-mail với một liên kết có mục đích đề tải về một bài hát iTunes miễn

phí Trojan này sau đó sẽ bắt đầu một kết nối đến một máy chủ web bên ngoài và bắt đầu một cuộc tấn công một khi người dùng cố gắng để tải về các bài hát miễn phí rõ ràng

2.4 Từ chối dịch vụ

Một cuộc tấn công từ chối dịch vụ (DoS) là một cuộc tấn công mạng có kết quả trong việc từ chối dịch vụ băng một ứng dụng yêu cầu như là một máy chủ web Có một vài cơ chế để tạo ra một cuộc tấn công DoS Các phương pháp đơn giản nhất là tạo ra một lượng lớn những gì xuất hiện để được giao thông mạng hợp lệ Đây là loại tan công DoS mạng cô gắng để làm nghẽn các ống dẫn lưu lượng truy cập mạng dé str dụng hợp lệ không thể có được thông qua kết nối mạng Tuy nhiên, loại DoS thông thường cần phải được phân phối bởi vì nó thường đòi hỏi nhiều hơn một nguồn để tạo

ra các cuộc tấn công.Một cuộc tan công DoS§ lợi dụng thực tế là hệ thống mục tiêu như

các máy chủ phải duy trì thông tin trạng thái và có thể có kích thước bộ đệm và dự

kiến nội dung gói tin mạng cho các ứng dụng cụ thể Một cuộc tấn công DoS có thê

khai thác lỗ hông này băng cách gửi các gói có giá trị kích cỡ và dữ liệu mà không như

mong đợi của các ứng dụng nhận được.Một số loại tấn công DoS tồn tại, bao gồm các

cuộc tấn công Teardrop và Ping of Death, mà gửi các gói thủ công mạng khác nhau từ những ứng dụng dự kiến và có thể gây ra sụp đỗ các ứng dụng và máy chủ Những

cuộc tân công DoS trên một máy chủ không được bảo vệ, chang hạn như một máy chủ

thương mại điện tử, có thể gây ra các máy chủ bị lỗi và ngăn chặn người ding bé sung thêm hàng vào giỏ mua sắm của họ

2.5 Distributed Denial-of-Service

Trang 9

tan công phân phối, một cuộc tấn công DDoS cũng đưa ra những thách thức của yêu

câu bảo vệ mạng đê xác định và ngăn chặn môi kẻ tân công phân phôi

2.6 Spyware

Spyware 1a một lớp các ứng dụng phần mềm có thể tham gia vào một cuộc tấn công mạng Spyware là một ứng dụng cài đặt và vẫn còn để ấn trên máy tính hoặc máy tính xách tay mục tiêu Một khi các ứng dụng phần mềm gián điệp đã được bí mật cài đặt, phần mềm gián điệp bắt thông tin về những gì người đùng đang làm với máy tính

của họ Một số thông tin bị bắt bao gồm các trang web truy cập, e-mail gửi đi, và mật

khẩu sử dụng Những kẻ tấn công có thể sử dụng các mật khẩu và thông tin bắt được

để đi vào được mạng để khởi động một cuộc tắn công mạng

Ngoài việc được sử dụng để trực tiếp tham gia vào một cuộc tan công mạng, phần

mềm gián điệp cũng có thể được sử dụng đề thu thập thông tin có thể được bán một

cách bí mật Thông tin này, một lần mua, có thể được sử dụng bởi một kẻ tan cong khác đó là "khai thác dữ liệu" để sử dụng trong việc lập kế hoạch cho một cuộc tan

công mạng khác

2.7 Phishing

Phishing là một kiểu tắn công mạng thường bắt đầu bằng cách gửi e-mail để người dùng không nghi ngờ Các e-mail lừa đảo cô gắng để trông giống như một thư điện tử hợp pháp từ một tổ chức được biết đến và đáng tin cậy như là một trang web ngân hàng, thương mại điện tử E-mail giả này cố gắng thuyết phục người dùng rằng một việc gì đó đã xảy ra, chắng hạn như hoạt động đáng ngờ về tài khoản của họ, và người

sử dụng phải thực hiện theo các liên kết trong e-mail và đăng nhập vào trang web để xem thông tin người dùng của họ Các liên kết trong e-mail này thường là một bản sao

giả của ngân hàng hoặc trang web thương mại điện tử thực sự và các tính năng tương

tự nhìn-và-cảm nhận các trang web thực sự Các cuộc tân công lừa đảo được thiết kê

Trang 10

để lừa người dùng cung cấp thông tin có giá trị như tên người dùng và mật khẩu của

họ

2.8 Dựa vào yếu tỗ con người

Kẻ tấn công có thể liên lạc với một người quản trị hệ thống, giả làm một người sử

dụng để yêu cầu thay đổi mật khẩu, thay đổi quyền truy nhập của mình đối với hệ

thống, hoặc thậm chí thay đổi một số câu hình của hệ thống để thực hiện các phương

pháp tấn công khác.Với kiểu tấn công này không một thiết bị nào có thể ngăn chặn

một cách hữu hiệu, và chỉ có một cách giáo dục người sử dụng mạng nội bộ về những

yêu cầu bảo mật để đề cao cảnh giác với những hiện tượng đáng nghi.Nói chung yếu

tố con người là một điểm yếu trong bất kỳ một hệ thống bảo vệ nào, và chỉ có sự giáo dục cộng với tỉnh thần hợp tác từ phía người sử dụng có thể nâng cao được độ an toàn

của hệ thông bảo vệ

3 Các chính sách an ninh mạng

Hai hình thức chính sách bảo mật có liên quan đến bức tường lửa:

Các chính sách an ninh văn bản (đôi khi được gọi là các chính sách an ninh thông tin) để xác định những mục tiêu an ninh cho các tổ chức (bao gồm cả tường lửa của

họ)

Các chính sách quản lý và lọc nguồn và đích (đôi khi được gọi là chính sách tường lửa hoặc thiết lập quy tắc tường lửa) để xác định câu hình thực tế của thiết bị

3.1 Cac chính sách an ninh vấn bản

Chính sách an ninh văn bản tồn tại để cung cấp một lộ trình cấp cao về những gì

cần phải được thực hiện dé đảm bảo rằng tô chức này có một chiến lược an ninh được

xác định tốt và ngoài sức tưởng tượng Đó là một quan niệm sai lầm phố biến mà một

tô chức có một chính sách an ninh Trong thực tế, chính sách bảo mật tong thể của một

tô chức thường bao gồm nhiều chính sách bảo mật cá nhân, mà được ghi vào địa chỉ mục tiêu cụ thê, thiệt bị, hoặc các sản phâm

Lé Hoang Long MSSV:106102079

Trang 11

Mục tiêu của một chính sách an ninh là xác định những gì cần phải được bảo vệ, những người có trách nhiệm bảo vệ, và trong một sỐ trường hợp như thế nào bảo vệ sẽ xảy ra Chức năng này cuối cùng thường tách ra thành một tài liệu thủ tục độc lập như

lọc nguồn, lọc đích, hoặc quản lý truy Tóm lại, các chính sách bảo mật đơn giản và chính xác nên vạch ra những yêu cầu cụ thể, quy tắc, và mục tiêu đó phải được đáp ứng, để cung cấp một phương pháp đo lường của đặc điểm an ninh được chứng thực của tổ chức

Dé giúp đảm bảo răng các chính sách bảo mật sẽ làm được điều này, suy nghĩ của

tường lửa trong điều khoản của các lớp bảo mật, với mỗi lớp có một lĩnh vực cụ thê

của hoạt động Hình 1-1 minh họa các lớp của tường lửa Như hình bên dưới cho thấy, các bức tường lửa được chia thành bốn thành phần riêng biệt

Cấu hình tường lửa y \ \ Truy cập quản trị

y Truy cap vao mang

tường lửa bảo vệ

Hinh 1-1: Các lớp bảo mật tường lửa

Tại trung tâm là các lớp toàn vẹn vật lý của tường lửa, mà chủ yếu là liên quan tới các quyên truy cập vật lý vào tường lửa, để đảm bảo quyền truy cập vật lý vào thiết bị, chang han như thông qua một kết nối cứng là cổng console

Lớp tiếp theo là cấu hình tường lửa tĩnh, mà chủ yếu là liên quan tới truy cập vào các phần mềm tường lửa được cấu hình tĩnh đang chạy (ví dụ, các hệ điều hành PIX và cầu hình khởi động) Tại lớp này, chính sách bảo mật cần tập trung vào việc xác định

Trang 12

các hạn chế sẽ được yêu cầu để hạn chế truy cập quản trị, bao gồm cả bản cập nhật phân mềm thực hiện và cấu hình tường lửa

Lớp thứ ba là cấu hình tường lửa động, trong đó bố sung các cấu hình tĩnh bang việc có liên quan tới câu hình động của tường lửa thông qua việc sử dụng các công

nghệ như giao thức định tuyến, lệnh ARP, giao điện và tình trạng thiết bị, kiêm toán, nhật ký, và các lệnh tránh Mục tiêu của chính sách an ninh tại điểm này là để xác định

các yêu cầu xung quanh những gì các loại cấu hình động sẽ được cho phép

Cuối cùng là lưu lượng mạng qua tường lửa, mà là thực sự những gì mà tường lửa tồn tại để bảo vệ tài nguyên Lớp này là có liên quan tới chức năng như ACL và thông tin dịch vụ proxy Các chính sách an ninh ở lớp này có trách nhiệm xác định các yêu cầu như chúng liên quan đến lưu lượng đi qua tường lửa

Định dạng chính sách an ninh:

Để thực hiện các mục tiêu được xác định trước đó, hầu hết các chính sách bảo mật tuân theo một định dạng hoặc bố trí cụ thể và các chia sẻ yếu tố thông thường Nói

chung, hầu hết các chính sách an ninh chia sẻ bảy phần:

e Tổng quan: Phân tổng quan cung cấp một giải thích ngắn gọn về những địa chỉ chính sách

e_ Mục đích: phần mục đích giải thích tại sao chính sách là cần thiết

e_ Phạm vi: Phần phạm vi xác định chính sách áp dụng cho những gì và xác định người chịu trách nhiệm về chính sách

e Chính sách: phần chính sách là bán thân chính sách thực tế

e Thực thi: Phần thực thi định nghĩa cách chính sách cần được thực thi và các hậu

quả của việc không theo các chính sách

e Định nghĩa: Phần định nghĩa bao gồm các định nghĩa của các từ hoặc khái niệm

được sử dụng trong chính sách

e Xem lại lịch sử: Phần xem lại lịch sử là nơi mà các thay đôi chính sách được

ghi lại và theo dõi

Mỗi tổ chức có yêu cầu an ninh riêng biệt và đo đó có chính sách bảo mật riêng độc đáo của họ Tuy nhiên, hầu hết không phải tất cả các môi trường đòi hỏi một số chính sách an ninh chung, bao gồm:

Trang 13

Ngoài ra, các chính sách quản lý truy cập cần xác định các yêu cầu đối với các giao thức quản lý như Network Time Protocol (NTP), syslog, TETP, FTP, Simple Network Management Protocol (SNMP), và bất kỳ giao thức khác có thể được sử dụng để quản

cầu cả hai lỗi vào và đi ra bộ lọc được thực hiện với các bức tường lửa Các chính sách

lọc cũng cần xác định các yêu cầu chung trong việc kết nối mạng cấp độ bảo mật và

nguồn khác nhau Ví dụ, với một DMZZ, tùy thuộc vào hướng của lưu lượng, các yêu cầu lọc khác nhau có thê cần thiết, và nó là vai trò của các chính sách lọc để xác định

những yêu cầu

Trang 14

3.4 Chính sách định tuyến:

Các chính sách định tuyến thường không phải là một tài liệu tường lửa trung tâm Tuy nhiên, với thiết kế chu vi phức tạp hơn cũng như sử dụng ngày càng tăng của các bức tường lửa trong mạng nội bộ, tường lửa có thể đễ dàng trở thành một phần của cơ

sở hạ tầng định tuyến Các chính sách định tuyến cần phải có một phần có quy định cụ thể bao gồm một tường lửa trong các cơ sở hạ tầng định tuyến và định nghĩa các phương thức trong đó các định tuyến sẽ xảy ra Chính sách này có xu hướng để giải quyết các lớp cấu hình tường tĩnh lửa và cấu hình động tường lửa Trong hầu hết trường hợp, các chính sách định tuyến nên ngăn cấm firewall một cách rõ ràng từ việc chia sẻ bảng định tuyến mạng nội bộ với bất kỳ nguồn bên ngoài Tương tự như vậy, các chính sách định tuyến cần xác định các trường hợp trong đó các giao thức định tuyến động và tuyến đường tĩnh là phù hợp Các chính sách cũng nên xác định bất kỳ

cơ chế bảo mật giao thức cụ thé can phải được cầu hình, (ví dụ, việc sử dụng thuật toán băm để đảm bảo chỉ các nút được chứng thực có thể vượt qua đữ liệu định tuyến)

3.5 Chính sach Remote-access/VPN

Trong lĩnh vực hội tụ hiện nay, sự khác biệt giữa tường lửa và bộ tập trung VPN đã ngày càng trở nên mờ nhạt Hầu hết các thị trường tường lửa lớn có thể phục vụ như là điểm kết thúc cho VPN, và do đó chính sách remote-access/VPN cần thiết xác định

các yêu cầu về mức độ mã hóa và xác thực răng một kết nỗi VPN sẽ yêu cầu Trong nhiều trường hợp, các chính sách VPN kết hợp với chính sách mã hóa của tô chức xác định phương pháp VPN tổng thể sẽ được sử dụng Chính sách này có xu hướng để giải quyết các lớp cấu hình tường lửa tĩnh và lưu lượng mạng qua tường lửa

Các chính sách remote-access/VPN cũng cần xác định các giao thức sẽ được sử dụng: IP Security (IPsec), Layer 2 Tunneling Protocol (L2TP), hoặc Point-to-Point Tunneling Protocol (PPTP) Trong hầu hết trường hợp, IPsec được sử dụng riêng biệt Giả sử IPsec, chính sách remote-access/VPN cần phải yêu cầu sử dụng của các

preshared keys, chứng thực mở rộng, với việc sử dụng giấy chứng nhận, mật khâu một

lan, va Public Key Inftastructure (PKI) cho môi trường an toàn nhất Tương tự như

vậy, các chính sách remote-access/VPN nên xác định những khách hàng sẽ được sử

Trang 15

dụng (có nghĩa là, trong xây dựng- Microsoft VPN Client, Cisco Secure VPN Client, vv)

Cuối cùng, các chính sách remote-access/VPN cần xác định các loại truy cập và

các nguồn lực sẽ được cung cấp để kết nối từ xa và các loại kết nối từ xa sẽ được cho phép

3.6 Chính sách giảm sát /ghỉ nhận:

Một trong những yếu tố quan trọng nhất đảm bảo rằng một tường lửa cung cấp

mức bảo mật được mong đợi là thực hiện một hệ thống giám sát tường lửa Chính sách

giám sát / phi nhận xác định các phương pháp và mức độ giám sát sẽ được thực hiện Tối thiểu, các chính sách giám sát / ghi nhận cần cung cấp một cơ chế để theo dõi hiệu

suất của tường lửa cũng như sự xuất hiện của tất cả các sự kiện liên quan đến an ninh

và các mục đăng nhập Chính sách này có xu hướng để giải quyết các lớp cấu hình tường lửa tĩnh

Chính sách giám sát / phi nhận cũng nên xác định cách các thông tin phải được thu thập, đuy trì, và báo cáo Trong nhiều trường hợp, thông tin này có thể được sử dụng

để xác định các yêu cầu quan lý của bên thứ ba và các ứng đụng theo dõi như

CiscoWorks, NetIQ Security Manager, hoic Kiwi Syslog Daemon

3.7 Chinh sach ving DMZ:

Các chính sách DMZ là một văn bản diện rộng để xác định tất cả các yếu tố của

không chỉ chính DMZ mà còn các thiết bị trong DMZ Mục tiêu của chính sách DMZ

là xác định các tiêu chuẩn và yêu cầu của tất cả các thiết bị và kết nối và lưu lượng

giao thông vì nó liên quan đến DMZ Chính sách này có xu hướng để giải quyết các lớp cầu hình tường lửa tĩnh và lưu lượng mạng qua tường lửa

Do sự phức tạp của môi trường DMZ điển hình, các chính sách DMZ là có khả năng sẽ là một tài liệu lớn nhiều trang Để giúp dam bao rang các chính sach DMZ

thiết thực và hiệu quả, điển hình là ba tiêu chuẩn cần được xác định rộng rãi cho tắt cả

các thiết bị liên quan đến DMZ, kết nỗi, và lưu lượng giao thông:

e_ Trách nhiệm quyền sở hữu

e_ Yêu cầu cấu hình an toàn

Trang 16

e Yéu cau hoạt động và kiêm soát thay đôi

3.8 Chính sách có thể áp dụng thông thường:

Ngoài các chính sách tường lửa cụ thể, có nhiều chính sách có thê áp dụng thông thường, mặc dù không phải là tường lửa cụ thể (đã ứng dụng trên nhiều thiết bị, không chỉ là tường lửa) dù sao cũng nên được áp dụng đối với tường lửa Chúng bao gồm những điều sau đây:

Chính sách mật khâu: chính sách mật khâu của công ty nên được để cập đến không chỉ xác định truy cập quán trị tường lửa, mà còn để sử đụng trong việc tạo ra preshared

secrets, bang bam, và các chuỗi cộng đồng

Chính sách mã hóa: chính sách mã hóa của công ty nên được đề cập đến để xác định tất cả các hình thức truy cập mã hóa, bao gồm Hypertext Transfer Protocol, Secure (HTTPS), Secure Sockets Layer (SSL), Secure Shell (SSH), va truy cap IPsec / VPN

Chính sách kiểm định: chính sách kiểm định của công ty phải được đề cập để xác định các yêu cầu kiểm định của tường lửa

Chính sách đánh giá rủi ro: chính sách đánh giá rủi ro của công ty cần được đề cập

để xác định phương pháp sẽ được sử dụng để xác định các rủi ro liên quan với hệ thống tất cả thêm, di chuyền, và thay đổi vì nó liên quan đến tường lửa và chu vi mạng trong toàn thê

Dưới đây là một số công việc cần thiết cho người quản trị mạng:

e Ghi nhận và xem lại nhật ký tường lửa thường xuyên

e Tao ACL di vao thật chỉ tiết, cụ thẻ

e_ Báo vệ vùng DMZ về nhiều phía

e Thận trọng với lưu lượng ICMP

e _ Giữ mọi lưu lượng quản lý firewall được bảo mật

e Xem lại các quy tắc tường lửa định kỳ

Trang 17

II Radius

1 Tong quan vé Radius:

1.1 AAA:

1.1.1 X4c thue (Authentication)

Xác thực là qua trình xác minh danh tính của một người (hoặc của máy tinh) Hình

thức phổ biến nhất của xác thực, bằng cách sử dụng một sự kết hợp của ID đăng nhập

và mật khẩu, trong đó kiến thức của mật khẩu là một biểu tượng mà người dùng có xắc

thực Phân phối các mật khẩu, tuy nhiên, phá hủy các phương pháp xác thực, trong đó nhắc nhở người sáng tạo của các trang web thương mại điện tử và kinh doanh giao

dịch Internet khác để yêu cầu một bộ xác thực mạnh mẽ hơn, đáng tin cậy hơn Giấy

chứng nhận kỹ thuật số là một trong những giải pháp ở đây, và trong năm đến mười năm tiếp theo để nó có thể là sử đụng giấy chứng nhận kỹ thuật số như là một phần của cơ sở hạ tầng khoá công khai (PKI) sẽ trở thành bộ xác thực được ưa thích trên

Internet

Các khía cạnh quan trọng của chứng thực là nó cho phép hai đối tượng duy nhất để hình thành một mối quan hệ tin cậy - cá hai đều giả định là người dùng hợp lệ Sự tin tưởng giữa các hệ thống cho phép cho các chức năng quan trọng như các máy chủ

proxy, trong đó một hệ thống chấp nhận một yêu cầu thay mặt cho một hệ thống khác

và cho phép AAA thực thi nối các mạng không đồng nhất hỗ trợ các loại máy khách

và dịch vụ khác nhau Mối quan hệ tin tưởng có thể trở nên khá phức tạp

1.1.2 Ủy quyên (Authorization)

Ủy quyền liên quan đến việc sử đụng một bộ quy tắc hoặc các mẫu để quyết định

những gì một người sử dụng đã chứng thực có thể làm trên hệ thống Ví dụ, trong trường hợp của một nhà cung cấp dịch vụ Internet, nó có thể quyết định liệu một địa chỉ IP tĩnh được cho là trái ngược với một địa chỉ DHCP được giao Các quản trị hệ

thống định nghĩa những quy tắc này

Cái gọi là "triển khai thông minh" của các máy chủ AAA có logic rằng sẽ phân tích yêu cầu và cấp quyên truy cập bất cứ điều gì có thể, có hoặc không phải là toàn bộ yêu

Trang 18

cầu là hợp lệ Ví dụ, một máy khách quay số kết nối và yêu cầu nhiều liên kết Một

máy chủ AAA chung chỉ đơn giản là sẽ từ chối toàn bộ yêu cầu, nhưng một sự thực thi

thông minh hơn sẽ xem xét yêu cầu, xác định rằng máy khách chỉ được phép một kết nôi đial-up, và câp một kênh trong khi từ chôi các yêu câu khác

1.1.3 Kế toán (Accounting)

Làm tròn các khuôn khổ AAA là kế toán, mà các tài nguyên giới hạn và văn bản người dùng tận dụng trong quá trình truy cập Điều này có thê bao gồm số lượng thời gian hệ thông hoặc số lượng dữ liệu người đùng đã gửi và/hoặc nhận được trong phiên

Kế toán được thực hiện bởi ghi nhận thống kê của phiên và thông tin sử dụng và được

sử dụng để kiểm soát ủy quyền, thanh toán, phân tích xu hướng, sử dụng tài nguyên,

và năng lực lập kế hoạch hoạt động

Dữ liệu kế toán đã sử dụng nhiều Một quản trị viên có thể phân tích các yêu cầu thành công để xác định năng lực và đự báo phụ tải hệ thống trong tương lai Một chủ

doanh nghiệp có thê theo dõi thời gian dành cho các dịch vụ nhất định và hóa đơn cho

phù hợp Một phân tích bảo mật có thể xem xét các yêu cầu từ chối, xem nếu một mẫu

xuất hiện, và có thể tránh một hacker hoặc người tải miễn phí Các dữ liệu kế toán là các tiện ích tuyệt vời cho một quản trị viên máy chủ AAA

1.2 Các điểm chính của kiến trúc AAA:

Các kiến trúc AAA đơn giản là một có gắng vạch ra một thiết kế như thế nào mỗi phần AAA phù hợp với nhau AAA triển khai thực hiện có thể đơn giản hay phức tạp như nó cân, chủ yếu là đo sự nỗ lực của nhóm chuyên nghiên cứu Internet (IRTF) làm

việc theo nhóm kiến trúc AAA để thực hiện một mô hình như ứng dụng trung lập như

có thể Nói cách khác, mô hình AAA được thiết kế để làm việc trong môi trường có

yêu cầu người sử dụng khác nhau và đều thay đổi thiết kế mạng Có một số thuộc tính

quan trọng của mô hình làm nó có thê thực hiện được

Trước tiên, mô hình AAA phụ thuộc vào sự tương tác máy khách / máy chủ, trong

đó một hệ thống máy khách yêu cầu các dịch vụ hoặc tài nguyên của một hệ thống

máy chủ Trong triển khai thực hiện đơn giản, những vai trò này thường kẹt - máy chủ

Trang 19

không bao giờ hoạt động như các máy khách và ngược lại Môi trường máy khách / máy chủ cho phép một thiết kế cân bằng tải tốt, trong đó tính sẵn sàng cao và thời gian phản hồi rất quan trọng Máy chủ có thể được phân phối và phân cấp giữa các mạng Tương phản này với mô hình mạng đối diện, một mạng ngang hàng (P2P) Với các mạng P2P, tất cả các hệ thống hiến thi đặc tính của cả hai hệ thống máy khách và máy

chủ, có thể giới thiệu những điểm như độ trễ và chưa sẵn sàng xử lý

Một khả năng proxy là một biến thể nhỏ về điều này Một máy chủ AAA có thể được cấu hình để ủy quyền cho một yêu cầu hoặc vượt qua nó cùng với một máy chủ

AAA, sau đó sẽ làm cho các quy định thích hợp hoặc vượt qua nó cùng một lần nữa

Về bản chất, một chuỗi proxy được tạo ra, trong đó các máy chủ AAA có những yêu cầu của cá máy khách và các máy chủ AAA khác Khi một máy chủ proxy server

khác, người khởi tạo hiển thị các đặc tính của máy khách Như vậy, một mối quan hệ

tin cậy đã được tạo ra cho mỗi bước truyền máy khách / máy chủ cho đến khi đạt yêu cầu thiết bị quy định các nguồn lực cần thiết

Proxy là một tính năng rất hữu ích của mô hình AAA và có lợi cho doanh nghiệp

và triển khai mạng lưới phân phối, trong đó một số thiết bị AAA có thé duoc câu hình

để yêu cầu luôn ủy quyền cho các máy tại các địa điểm khác Một ví đụ về ủy quyền tốt nhất là với một thỏa thuận người bán lại ISP Thường thì một công ty mạng lớn sẽ đầu tư đáng kể cơ sở hạ tầng mạng và các điểm diễn ra sự hiện diện ở nhiều địa điểm Trang bị mạng lưới phân phối, công ty sau đó bán lại cho các ISP nhỏ hơn có nhu cầu

mở rộng phạm vi bảo hiểm của họ và tận dụng lợi thế của một mạng lưới tốt hơn đại

lý bán lẻ có để cung cấp một số hình thức kiểm soát truy cập trên các nguồn tài nguyên hữu hình ở mỗi vị trí, nhưng các ISP nhỏ hơn không muốn chia sẻ thông tin cá nhân về người dùng của mình với các đại lý bán lẻ Trong trường hợp này, một máy AAA

proxy được đặt tại mỗi điểm của đại lý bán lẻ của sự hiện diện, và những máy sau đó giao tiếp với các thiết bị NAS thích hợp tại các ISP nhỏ hơn

Máy khách yêu cầu dịch vụ và nguồn tài nguyên từ một máy chi AAA (va trong trường hợp này, máy khách có thê bao gồm AAA proxy) có thể giao tiếp với nhau

bằng cách sử dụng hoặc là một giao dịch hop-to-hop hoặc một giao dịch end-to-end

Trang 20

Sự phân biệt là nơi mà các mối quan hệ tin cậy nằm trong chuỗi giao dịch Xem xét các trường hợp sau đây để có được một hình ảnh tốt hơn

Trong một giao dịch hop-to-hop, một máy khách gửi một yêu cầu ban đầu cho một thiết bị AAA Tại thời điểm này, có một mối quan hệ tin cậy giữa máy khách và máy chủ AAA tuyến đầu Máy đó xác định yêu câu cần phải được chuyền tiếp đến một máy

chủ khác ở một vị trí khác nhau, do đó, nó hoạt động như một proxy và địa chỉ liên lạc

một máy chủ AAA Bây giờ các mối quan hệ tin tưởng là với hai máy chủ AAA, với các máy tính tiền tuyến hoạt động như các máy khách và máy AAA thứ hai đóng vai trò là máy chủ Điều quan trọng cần lưu ý rằng mối quan hệ tin tưởng không phải là vốn đã hiểu ngầm, có nghĩa là các máy khách ban đầu và các máy AAA thứ hai không

có một mối quan hệ tin tưởng Hình 2-1 cho thấy sự tin tưởng là tuần tự và độc lập với

nhau

Mỗi quan hệ tin tưởng Mỗi quan hệ tin tưởng

Môi May chi AAA phê duyệt Máy chủ AAA Máy chủ AAA cuối

gian va may chu AAA cuôi

HINH 2-1:MOI QUAN HE TIN TUGNG DOC LAP TRONG MOT GIAO DICH HOP-TO-

HOP

Khác với mô hình hop-to-hop là phương pháp giao dịch end-to-end Sự khác biệt

chính là, một lần nữa, nơi mà các mối quan hệ tin cậy nam trong mô hình này, đó là

giữa máy khách yêu cầu và máy chủ AAA mà cuối cùng cho phép các yêu cầu Trong

Trang 21

một mô hình end-to-end, chuỗi proxy vẫn còn rất nhiều chức năng như là mô hình không có nghĩa là các giao dịch end-to-end: đó là mối quan hệ tin tưởng Bởi vì nó là thiết kế không đáng kế để truyền thông tin nhạy cảm trong các yêu cầu proxy, một số

có ý nghĩa khác của chứng thực một yêu cầu và xác nhận tính toàn vẹn dữ liệu là cần thiết khi nhảy yêu cầu ban đầu thông qua các bước nhảy trong chuỗi proxy Thông thường nhất, giấy chứng nhận kỹ thuật số và PKI xác nhận khác được sử đụng trong các tình huống nay RFC 2903 va 2905 mô tả các yêu cầu của việc thực hiện an ninh

end-to-end, duoc thé hién trong hinh 2-2

Yéu cau Proxies

Máy chủ AAA phê duyệt May chi AAA Máy chủ AAA cuối

trunø øian

¡ Không có môi quan tam |

’ hé tin tudng nao gitta “>>

RADIUS đã chính thức được giao công UDP 1812 cho RADIUS Authentication và

1813 cho RADIUS Accounting boi Internet Assigned Numbers Authority (IANA)

Tuy nhiên, trước khi IANA phân bổ các cổng 1812 và 1813, cổng 1645 và 1646 (xác

thực và kế toán tương ứng) đã được sử dụng không chính thức và trở thành các công mặc định do nhiều máy chủ và máy khách RADIUS triển khai trong thời gian này

Trang 22

Truyền thống của việc sử dụng 1645 và 1646 để tiếp tục tương thích ngược trở lại cho đến ngày nay Vì lý do này nhiều máy chủ RADIUS triển khai giám sát cả hai bộ cổng

UDP cho các yêu cầu RADIUS Các máy chủ RADIUS Microsoft mặc định 1812 và

1813 nhưng mặc định các thiết bị Cisco là công truyền thống1645 và 1646 Các máy chủ RADIUS Juniper Networks lắng nghe trên cả hai cổng chính thức và không chính

thức 1645, 1812, 1646 và 1813 mặc định nhưng có thể được cấu hình với các công bất

kỳ

Đối với yêu cầu hoạt động hoàn toàn, UDP được chọn chủ yếu bởi RADIUS có

một vài đặc tính cố hữu là đặc trưng của UDP: RADIUS yêu cầu không truy vấn tới một máy chủ xác thực chính được chuyển hướng đến một máy chủ thứ cấp, và để làm điều này, một bản sao của yêu cầu ban đầu phải tồn tại trên tầng giao vận trong mô

hình OSI Điều này, có hiệu lực, nhiệm vụ sử dụng các bộ định giờ phát lại

Các giao thức đặt cược vào sự kiên nhẫn của người dùng chờ đợi một phản ứng

Nó giả định một số mặt trung bình giữa nhanh như chớp và chậm như mật đường Các

REC RADIUS mô tả là tốt nhất: "Tại một mức độ cao, RADIUS không đòi hỏi một”

đáp trả" phát hiện dữ liệu bị mất Người sử dụng sẵn sàng chờ đợi vài giây cho việc chứng thực hoàn thành Phát lại TCP thường (dựa trên trung bình thời gian đi vòng) không được yêu cầu, cũng không phải là các chi phí xác nhận của TCP Ở mức độ cao khác, người dùng không sẵn sàng chờ đợi vài phút để xác thực Do đó việc cung cấp đáng tin cậy của dữ liệu TCP hai phút sau đó không hữu ích Việc sử dụng nhanh hơn của máy chủ thay thế cho phép người dùng truy cập trước khi bỏ cuộc."

Kế từ khi RADIUS là không quốc tịch, UDP có vẻ tự nhiên, như UDP cũng là

không quốc tịch Với TCP, máy và máy chủ phải có mã đặc biệt hoặc cách giải quyết

hành chính để giảm thiểu những ảnh hưởng của tốn thất điện năng, khởi động lại, lưu

lượng mạng lớn, và ngừng hoạt động của hệ thống UDP ngăn ngừa được vẫn đề hóc búa này vì nó cho phép một phiên mở và vẫn mở trong suốt toàn bộ giao dịch

Dé cho phép hệ thống nặng nề sử dụng và giao thông trên mặt sau, mà đôi khi có

thê trì hoãn các truy van va tim kiếm hơn 30 giây hoặc nhiều hơn, nó đã được xác định

rằng RADIUS là đa luồng UDP cho phép RADIUS sản sinh để phục vụ nhiều yêu cầu

Trang 23

tại một thời điểm, và mỗi phiên đầy, khả năng giao tiếp không có giới hạn giữa các

thiết bị mạng và máy khách Vì vậy, UDP là phù hợp

Nhược điểm duy nhất khi sử dụng UDP là các nhà phát triển phải tự tạo và quản lý giờ phát lại, khả năng này được xây dựng vào TCP Tuy nhiên, nhóm RADIUS cảm thấy rằng đây là một nhược điểm ít ảnh hưởng hơn so với sự tiện lợi và đơn giản của

việc sử dụng UDP Và vì thế UDP được sử dụng

2.2 Dinh dang goi tin RADIUS:

Các giao thức RADIUS sử dụng gói tin UDP để vượt qua được truyền đi giữa máy trạm và máy chủ Giao thức giao tiếp trên công 1812, đó là một thay đổi từ tài liệu gốc RFC RADIUS Các phiên bản đầu tiên xác định rằng truyền thông RADIUS đã diễn ra

trên công 1645, nhưng sau này đã phát hiện xung đột với dịch vụ "Datametrics"

RADIUS sử dụng một cấu trúc gói tin có thê đoán trước để giao tiếp, được thê hiện

Trang 24

12 - Tinh trang may chu

13 - Tinh trang may khach

255 - Danh riéng

2.2.2 Từ định danh:

Các từ định danh là khu vực dài 1 octet va duoc str dung để thực hiện luồng, hoặc

tự động liên kết các yêu cầu ban đầu và trả lời tiếp theo Máy chủ RADIUS nói chung

có thể ngăn chặn bản sao tin nhắn bằng cách kiểm tra các yếu tố như địa chi IP nguồn, công UDP nguồn, khoảng thời gian giữa các tin nhắn nghỉ ngờ, và các lĩnh vực nhận dạng

2.2.3 Độ dài:

Các khu vực có chiều đài là hai octet và được sử dụng để chỉ định độ dài gói tin

RADIUS được phép Giá trị trong lĩnh vực này được tính bằng cách phân tích mã,

nhận dạng, chiều dài, thâm định, và các lĩnh vực thuộc tính và việc tìm kiếm tổng hợp của chúng Các lĩnh vực được kiểm tra chiều đài khi một máy chủ RADIUS nhận được một gói tin để đảm bảo toàn vẹn đữ liệu Giá trị hợp lệ chiều dài khoảng từ 20 đến

4096

Các đặc điểm kỹ thuật RFC đòi hỏi những hoạt động nhất định của các máy chủ RADIUS có liên quan đến chiều dài dữ liệu không chính xác Nếu máy chủ RADIUS nhận được một hộp với một tin nhắn dài hơn so với lĩnh vực chiều dài, nó sẽ bỏ qua tat

cả các dữ liệu qua các điểm cuối được chỉ định trong lĩnh vực chiều dài Ngược lại, nếu máy chủ nhận được một tin nhắn ngắn hơn so với độ dài lĩnh vực báo cáo, máy chủ sẽ loại bỏ các tin nhắn

Trang 25

Có hai loại hình cụ thể của các giá trị xác thực: các giá trị yêu cầu và đáp ứng Yêu

cầu các bộ xác thực được sử dụng với các gói yêu cầu xác thực và Accounting- Request Trong cac gia tri yéu cầu, lĩnh vực nay dai 16 octet va dugc tao ra trên cơ sở

hoàn toàn ngẫu nhiên để ngăn chặn bất kỳ cuộc tấn công Trong khi RADIUS không

làm một điều khoản để bảo vệ thông tin liên lạc đối với nghe lén và bắt gói tin, các giá

trị ngẫu nhiên kết hợp với một mật khâu mạnh làm cho tắn công và rình mò khó khăn

Việc xác thực đáp trả được sử dụng trong gói Access-Accept, Access-Reject, và

Access-Challenge Gia tri được tính bang cách sử dụng mã băm MD5 một chiều được tạo ra từ các giá tr của mã này, nhận dạng, chiều dài, và yêu cầu chứng thực các vùng của tiêu đê gói tin, tiệp theo là trọng tải gói dữ liệu và bí mật được chia sẻ

2.3 Phân loại gói tin:

Có bốn loại gói tin RADIUS có liên quan đến các giai đoạn thâm định và ủy quyền của các giao dịch AAA và hai gói tin liên quan tới quá trình kế toán:

Trang 26

RADIUS voi mét danh sách các dịch vụ yêu cầu Các yếu tố quan trọng trong việc truyền này là trường mật mã trong tiêu đề gói: nó phải được đặt là 1, giá trị duy nhất của các gói yêu cầu Các REC cho thấy các gói tra lời phải được gửi đến tất cả các gói

yêu cầu hợp lệ, trả lời là xác thực hay từ chối

Các tải trọng của gói tin Access-Request nên bao gồm các thuộc tính tên người dùng để xác định những người cố gắng truy cập vào các tài nguyên mạng Trọng tải

được yêu cầu phải có các địa chỉ IP hoặc tên tiêu chuẩn của các thiết bị mạng mà từ đó

nó được yêu cầu dịch vụ Nó cũng có chứa một mật khẩu người dùng, mật khâu dựa trên một CHAP, hoặc một định danh, nhưng không phải cả hai loại mật khâu Các mật

khẩu người dùng phải được băm bang cach sit dung MDS

Về cơ bản, các gói đữ liệu mới cần phải được tạo ra bất cứ khi nào thuộc tính được thay đối, kế từ khi xác định các thông tin được thay đổi Các thuộc tính với những bí

mật được chia sẻ, cần phải được đảo ngược bởi các máy chủ proxy (để có được những thông tin tải trọng ban đầu) và sau đó mã hóa một lần nữa với bí mật mà máy chủ proxy chia sẻ với máy chủ từ xa

Cấu trúc gói tin Access-Request được thê hiện trong hình 2-4

Mã | Từ định danh Độ dài Bộ xác thực (Yêu cầu)

NAS ID hoặc name (Tùy biên) MDS user password hoặc CHAP PWD

trường mật mã gói tin trả lời là 2 Các máy khách khi nhận được gói chấp nhận, phù

hợp nó với các gói tin trả lời băng cách sử dụng trường nhận dạng Các gói không theo tiêu chuẩn này được bỏ đi

Trang 27

Tắt nhiên, để đảm bảo rằng các gói tin yêu cầu và chấp nhận phi hop như đã nói,

để đảm bảo các đáp trả chấp nhận được gửi trong các gói tin trả lời yêu cầu tương ứng, trường định đanh trong tiêu đề gói Access-Accept phải có một giá trị giỗng hệt giá trị của trường định đanh trong gói Access-Request

Các gói tin Access-Accept có thể chứa nhiều hay ít thông tin thuộc tính như là nó cần phải bao gồm Nhiều khả năng các thông tin thuộc tính trong gói này sẽ mô tả các

loại hình dịch vụ đã được xác thực và ủy quyền để máy khách có thê đặt mình lên để

sử dụng các dịch vụ Tuy nhiên, nếu không có thông tin thuộc tính được bao gồm, may

khách giả định rằng các dịch vụ nó yêu cầu là những thứ được chấp nhận

Cấu trúc gói tin Access-Accept được hiển thị trong hình 2-5

Mã | Từđịnh danh | Độ dài Bộ xác thực (Phản hồi)

(2) (Duy nhật mỗi (Tiêu để và tải trọng) | = Mã + ID + độ dài + bộ xác thực yêu

lần truyền) cầu + thuộc tính và khóa bí mật

Các thuộc tính: Hoàn toàn không bắt buộc

Các dịch vụ ủy quyên (Tùy biến)

từ chối này có thê được dựa trên chính sách hệ thống, đặc quyền chưa đây đủ, hoặc bất

kỳ các tiêu chuẩn khác - phần lớn điều này là một chức năng của các thực hiện cá nhân Gói Access-Reject có thể được gửi tại bất kỳ thời gian trong một phiên, làm cho

chúng lý tưởng cho việc thi hành giới hạn thời gian kết nối Tuy nhiên, không phải tất

cả thiết bị hỗ trợ nhận được gói Access-Reject trong một kết nối được thiết lập sẵn

Các tải trọng cho loại gói tin được giới hạn trong hai thuộc tính cụ thể: các thuộc

tính tin nhắn trả lời và thuộc tính trạng thái Proxy Trong khi các thuộc tính này có thê xuất hiện nhiều hơn một lần trong tải trọng của gói tin, ngoài trừ bất kỳ thuộc tính nhà

Trang 28

cung cấp cụ thê, không có các thuộc tính khác được cho phép, theo các đặc điểm kỹ

thuật RFC, dé được bao gồm trong gói tin

Cấu trúc gói tin Access-Reject được thể hiện trong hình 2-6

Ma | Từ định danh Độ dài Bộ xác thực (Phản hôi)

(3) (Duy nhất mỗi (Tiêu để và tải trọng) | = MD5(Mã +ID + độ dài + bộ xác thực

lần truyền) yêu cầu + thuộc tính và khóa bí mật)

Các thuộc tính: Không bắt buộc Giới han: reply-message

Proxy message (ca hai có thé xuat hién nhiéu 1an)

Cần lưu ý rằng một số máy khách không hỗ trợ các quá trình thử thách / đáp ứng như thế này, trong trường hợp đó, máy khách xử lý các gói tin Access-Challenge như

là một gói tin Access-Reject Một số máy khách, tuy nhiên, hỗ trợ thử thách, và lúc đó

tin nhắn có thê được trao cho người sử dụng tại máy khách yêu cầu thêm thông tin xác thực, nó không cần thiết trong tình hình đó đặt ra một vòng các gói tin yêu cầu / đáp trả khác

Giống như các gói tín Access-Reject, chỉ có hai thuộc tính tiêu chuẩn có thể được

bao gồm trong một gói tin Access-Challenge : thuộc tính trạng thái và tin nhắn trả lời Bất kỳ các thuộc tính nhà cung cấp cụ thể cần thiết có thê được bao gồm là tốt Các thuộc tính tin nhắn trả lời có thể được bao gồm trong gói nhiều lần, nhưng các thuộc tính trạng thái được giới hạn trong một trường hợp duy nhất Các thuộc tính trạng thái được sao chép không thay đổi vào gói Access-Request được trả về cho máy chủ thử thách

Trang 29

Cấu trúc gói tin Access-Challenge được thể hiện trong hình 2-7

Ma | Từ định danh Độ dài Bộ xác thực (Phản hôi)

Khi nhận được một Accounting-Request, may chi phai tra loi bằng gói Accounting-Response nếu nó ghi lại các gói tin kế toán thành công, và không phải trả

lời bất kỳ gói nào nếu nó ghi lại các gói tin kế toán thất bại

Bat kỳ thuộc tính hợp lệ trong một gói Access-Request hoặc Access-Accept RADIUS là hợp lệ trong một gói Accounfting-Request RADIUS, ngoại trừ các thuộc tính sau đây không phải có mặt trong một Accounting-Request: mật khâu người đùng,

mật khẩu CHAP, tin nhắn trả lời, trạng thái Hoặc địa chỉ IP NAS hoặc nhận dạng

NAS phải được hiện diện trong một gói Accounting-Request RADIUS Nó nên chứa

một thuộc tính công NAS hoặc loại công NAS hoặc cả hai trừ khi các dịch vụ không

liên quan đến một công hoặc NAS không phân biệt giữa các công của nó

Nếu các gói tin Accounting-Request bao gồm một địa chỉ IP khung, thuộc tính đó phải chứa địa chỉ IP của người đùng Nếu Access-Accept sử dụng các giá trị đặc biệt

cho địa chỉ IP khung nói với NAS dé chuyén nhượng hoặc thương lượng một địa chi

IP cho người dùng, các địa chỉ IP khung (nếu có) trong Accounting-Request phải có

các địa chỉ IP thực tế được giao hoặc thương lượng

Trang 30

Mã | Từ định danh Độ dài Bộ xác thực (Yêu cầu)

e Dinh danh: Các trường nhận dạng phải được thay đổi bất cứ khi nào nội dung

của trường thuộc tính thay đổi, và bất cứ khi nào trả lời hợp lệ đã được nhận cho một

yêu cầu trước đó Đối với việc truyền lại nơi mà nội dung giống hệt nhau, việc phải nhận dạng không thay đổi

Lưu y rang nếu Acct-Delay-Time được bao gồm trong các thuộc tính của một giá tri Accounting-Request sau do gia tri Acct-Delay-Time sẽ được cập nhật khi gói dữ

liệu được truyền lại, thay đỗi nội dung của các trường thuộc tính và đòi hỏi một nhận

dạng mới và xác thực yêu cầu

e Xác thực yêu cầu: Các xác thực yêu cầu của một Accounting-Request chứa một giá tri mang băm MD5 16 octet tính theo phương pháp mô tả trong "Xác thực yêu câu"

tin không hợp lệ được âm thầm bỏ đi

Trang 31

Một gói Accounting-Response RADIUS không bắt buộc phải có những thuộc tính trong đó

Mã | Từ định danh Độ dài Bộ xác thực (Phản hồi)

e Định danh: Các trường nhận dạng là một bản sao của trường nhận dạng của gói

Accounting-Request đã dẫn đến gói Accounting-Response này

e Xác thực phản hồi: Các xác thực phản hồi của một gói Accounting-Response chứa một giá trị mảng băm MDS 16 octet tính theo phương pháp mô tả trong "Xác thực phản hồi" ở trên

e Thuộc tính: Các trường thuộc tinh thay đối trong chiều dài, và có một danh sách

trống hay nhiều thuộc tính

2.4 Bi mat chia sẻ:

Để tăng cường an ninh và tăng tính toàn vẹn giao dịch, giao thức RADIUS sử dụng

khái niệm bí mật chia sẻ Bí mật chia sẻ là những giá trị tạo ra một cách ngẫu nhiên mà

cả hai máy khách và máy chủ đều biết (vì thế mà gọi "chia sẻ") Những bí mật chia sẻ được sử dụng trong tất cả các hoạt động có yêu câu dữ liệu ấn và giá trị che giấu Giới

hạn kỹ thuật duy nhất là những bí mật chia sẻ phải có chiều đài lớn hơn 0, nhưng RFC khuyến cáo rằng các bí mật ít nhất là 16 octet Một bí mật có độ dài đó là hầu như

không thể bẻ với phương pháp vét cạn

Bí mật chia sẻ (thường chỉ gọi là "bí mật") là duy nhất với một cặp máy khách và máy chủ RADIUS nói riêng Ví dụ, nếu một người sử dụng đăng ký nhiều nhà cung cấp dịch vụ Internet để truy cập quay số, người đùng này đã gián tiếp tạo các yêu cầu tới nhiều máy chủ RADIUS Những bí mật chia sẻ giữa thiết bị NAS máy khách tại

Trang 32

cac ISP A, B, và C được sử đụng để giao tiếp với các máy chủ RADIUS tương ứng không phù hợp

Trong khi một số triển khai RADIUS quy mô lớn hơn có thể tin rằng bảo vệ an

ninh giao địch bằng cách sử dụng một sự thay đổi bí mật chia sẻ tự động là một bước

đi thận trọng, có một khó khăn tiềm ân khá lớn: không có sự bảo đảm các máy khách

và các máy chủ có thể đồng bộ hóa với các bí mật chia sẻ mới trong thời gian thích hợp nhất Và ngay cả khi nó đã được chắc chắn rằng các đồng bộ hóa đồng thời có thê xảy ra, nếu còn tồn tại các yêu cầu tới các máy chủ RADIUS và máy khách đang bận

xử lý (và, do đó, nó bỏ lỡ thời cơ để đồng bộ hóa các bí mật mới), sau đó những yêu

câu còn tôn tại sẽ bỊ từ chôi bởi máy chủ

e Số thuộc tính: Con số này biểu thị các loại thuộc tính trình bày trong gói Tên

của thuộc tính không được thông qua trong gói - chỉ có số Nói chung, số thuộc tính có

mt

thé trong khoang 1-255, voi mét số cụ thể phục vụ như là một "cửa ngõ" của các loại

cho các nhà cung cấp để cung cấp các thuộc tính cụ thể của mình

e_ Chiều dài thuộc tính: Trường này mô tả chiều dài của trường thuộc tính, mà cần phải từ 3 trở lên Trường này theo cách tương tự như các lĩnh vực chiều đài của tiêu đề gói tin RADIUS

e_ Giá trị Chứa đặc điểm hoặc đặc tính của chính thuộc tính đó, trường này cần thiết cho mỗi thuộc tính trình bày, thậm chí nếu giá trị bản thân nó là bằng không Độ

dài này sẽ thay đổi dựa trên bản chất vốn có của các thuộc tính của nó

Trang 33

Cơ câu AVP thể hiện trong hình 2-6 bao gồm một tập liên tục các byte chứa ít nhất

ba octet, với các octet đầu tiên là loại, thứ hai là chiều đài, và octet cuối cùng là giá trị của các thuộc tính của chính nó

Các máy chủ RADIUS biết đầy đủ về một thuộc tính có tên gọi chính thức của nó không cần được truyền đi trong gói Các mã số (số thuộc tính) là đủ để suy ra loại thông tin được truyền đi trong giá trị cụ thé đó

Các loại thuộc tính:

Có 6 loại như được nêu trong RFC:

Số nguyên (INT): là những giá trị có chứa số nguyên Một thuộc tính như Idle Timeout có thể được thiết lập giá trị số nguyên là 15

Liệt kê (ENUM): đữ liệu đó là của các loại liệt kê bao gồm một số nguyên, nhưng giá trị này dựa trên một tập hợp cấu hình người sử dụng của đãy nhiều giá trị và nhiều

ý nghĩa Có thể gặp phải các giá trị liệt kê được gọi là giá trị số nguyên theo ngữ nghĩa, trong khi không theo ngữ nghĩa giá trị nguyên chỉ đơn giản là loại số nguyên

Địa chỉ IP (IPADDR): loại đữ liệu này là một số 32-bit được thiết kế để thông qua một địa chỉ IP chính xác Trong khi RADIUS theo mặc định sẽ xem xét một địa chỉ IP theo giá trị, một số triển khai thực hiện có thể được câu hình để xử lý nó với một giá

trị dinh san, chang han như một subnet mask riêng Ngoài ra, một phần mở rộng gần đây để các giao thức RADIUS cho phép các địa chỉ IPv6 được sử đụng trong loại này Chuỗi ký tự (STRING): Chuỗi ký tự thường được xác định là chuỗi in UTFE-§ có

thể được đọc theo giá trị Dữ liệu được truyền dưới dạng một dãy ký tự có thể bị chặn hay không bị chặn, bất cứ cái nào là thích hợp

Ngày tháng (DATE): là một con số không dấu 32-bit đại diện cho giây trôi qua kể

tr ngay 1 thang 1 nam 1970

Nhị phân (BINARY): Thường riêng biệt với một sự thực thị, các giá tri nhị phân

("0" hoặc "1") được đọc theo gia tri

Các thuộc tính nhà cung cấp cụ thể:

Như với hầu hết các giao thức RADIUS, có nhiều sự linh hoạt đối với các loại thuộc tính nhà cung cấp cu thé xay ra trong nhiều thực hiện khác nhau Phần lớn thuộc tính này tạo ra là để trực tiếp hỗ trợ các tính năng đặc biệt, các đặc trưng không chuẩn

Trang 34

hoặc gia tăng giá trị mà một số thiết bị máy khách RADIUS đặc biệt có khả năng cung

cấp Tất nhiên, có lẽ bởi vì trong thực tế là một tiêu chuẩn, một số nhà cung cấp - đặc

biệt là Robotics/3Com Hoa Kỳ - không theo đặc tả RFC

Các giao thức RADIUS định nghĩa một AVP cu thê như là một "cửa ngõ" AVP trong đó các thuộc tính nhà cung cấp cụ thể, hoặc VSAs, có thể được đóng gói VSA được thực hiện ở tải trọng giá trị của AVP tiêu chuẩn 26, được goi là nhà cung cấp cụ

thể Hình 2-11 cho thấy AVP tiêu chuẩn và làm thế nào thông tin được thực hiện trong VSA

Loại nhà cung cấp

Trường loại nhà cung cấp, đài một octet, chức năng hành xử theo cách tương tự

như số thuộc tính trong một AVP tiêu chuẩn Các loại nhà cung cấp là những giá trị với phạm vi từ 1 đến 255, và tầm quan trọng và ý nghĩa của từng giá trị được biết đến bên trong các máy chủ RADIUS

Chiều dài

Trang 35

Trường này là một con số một octet cho biết chiều dài của toàn bộ VSA, với chiều dài tối thiểu của toàn bộ VSA là 7 Một lần nữa, hoạt động của trường này là tương tự như lĩnh vực chiều dài trong một tiêu chuẩn, REC định nghĩa AVP

Giá trị

Các trường giá trị được yêu cầu phải dài ít nhất một octet và chứa dữ liệu được cụ thể cho các chính VSA đó Hầu hết các giá trị này được đọc, hiểu, và phân tích bởi

máy khách và máy chủ RADIUS trên đầu thu nhận thức của các tính năng đặc biệt và

khả năng phi tiêu chuân mà triên khai thực hiện cụ thê của chúng có hồ trợ

2.5.2 Cac gia tri:

Tất cả các thuộc tính phải có giá trị, thậm chí nếu giá trị của thuộc tính này là vô giá trị Giá trị đại điện cho các thông tin mà mỗi thuộc tính riêng biệt được thiết kế để

chuyền tải Chúng mang theo "phân cốt lõi" của thông tin Giá trị phải phù hợp với các quy tắc loại thuộc tính Bảng 2-8 cho thấy ví dụ của từng loại thuộc tính và trường giá

trị dự kiến tải trọng cho từng loại

Trang 36

của họ Máy khách tạo ra một "Access-Request" có chứa các thuộc tính như tên của

người dùng, mật khâu của người dùng, các ID của máy khách và ID công mà người dùng đang truy cập Khi có mật khâu, nó được ân bằng cách sử dụng một phương pháp

dựa trên MDS

Các Access-Request được gửi tới máy chủ RADIUS qua mạng Nếu không có phản hồi được trả về trong một khoảng thời gian, yêu cầu được gửi lại một số lần Các máy khách cũng có thể chuyên tiếp yêu cầu tới một máy chủ thay thế hoặc các máy chủ trong trường hợp máy chủ chính bị ngừng hoạt động hoặc không thể truy cập Một máy chủ thay thế có thể được sử dụng hoặc sau khi một số cố gắng truy cập tới các

máy chủ chính bị lỗi, hoặc trong một kiểu vận hành lần lượt

Trang 37

Một khi các máy chủ RADIUS nhận được yêu cầu, nó xác nhận hợp lệ của máy

khách gửi Một yêu cầu từ máy khách mà các máy chủ RADIUS không có một bí mật

được chia sẻ phải được âm thầm bỏ đi Nếu máy khách là hợp lệ, máy chủ RADIUS

tra cứu một cơ sở dữ liệu của người đùng để tìm người sử dụng có tên phù hợp với yêu cầu Mục người sử dụng trong cơ sở đữ liệu chứa một danh sách các yêu cầu đó phải được đáp ứng để cho phép người sử đụng truy cập Điều này luôn luôn bao gồm xác minh mật khâu, nhưng cũng có thê chỉ định các máy khách hoặc công mà người dùng được phép truy cập

Máy chủ RADIUS có thể làm cho yêu cầu của các máy chủ khác đáp ứng các yêu cầu, trong trường hợp nó hoạt động như một máy khách

Nếu bất kỳ thuộc tính Proxy-State được đưa ratrong các Access-Request, chúng phải được sao chép chưa sửa đổi và đặt vào các gói tin tra lời Các thuộc tính khác có

thê được đặt trước, sau, hoặc thậm chí giữa các thuộc tính Proxy-State

Nếu điều kiện nào không được đáp ứng, máy chủ RADIUS gửi một phản hồi

"Access-Reject" cho biết yêu cầu người sử dụng này không hợp lệ Nếu muốn, các máy chủ có thê bao gồm các tin nhắn văn bản trong Access-Reject có thể được hiển thị bởi các máy khách cho người dùng Không có thuộc tính khác (trừ Proxy-State) được phép trong một Access-ReJect

Nếu tất cả các điều kiện được đáp ứng và các máy chủ RADIUS muốn ra một thách thức mà người đùng phải đáp ứng, các máy chủ RADIUS gửi một phản hồi

"Access-Challenge" Nó có thé bao gồm các tin nhắn văn bản được hiển thị bởi các

máy khách cho người sử dụng phản hồi cho thách thức này, và có thể bao gồm một thuộc tính trạng thái

Nếu máy khách nhận được một Access-Challenge và hỗ trợ thách thức / phản ứng

nó có thê hiển thị các tin nhắn văn bản, nếu có, cho người sử dụng, và sau đó nhắc nhở

người dùng về một phản hồi Máy khách sau đó nộp lại bản gốc Access-Request của

nó với một ID yêu câu mới, với các thuộc tính người đùng mật khẩu thay thế bằng các phản hồi (đã mã hóa), và bao gồm cả các thuộc tính trạng thái từ các Access-

Challenge, nếu có Chỉ có 0 hoặc 1 thể hiện của thuộc tính trạng thái có mặt trong yêu

Trang 38

cầu Máy chủ có thể đáp ứng với Access-Request mới này với một Access-Accept,

một Access-ReJect, hoặc một Access-Challenge khác

Nếu có đủ điều kiện, danh sách các gia tri cấu hình cho người sử dụng được đặt

vào một phản hồi "Access-Accept" Những giá trị này bao gồm các loại hình dịch vụ (ví dụ: SLIP, PPP, người dùng đăng nhập) và tất cả các giá trị cần thiết để cung cấp

các dịch vụ mong muốn Đối với SLIP và PPP, điều này có thé bao gồm giá trị như địa chỉ IP, subnet mask, MTU, nén mong muốn, và nhận dạng lọc gói mong muốn Đối

với những người dùng chế độ ký tự, điều này có thể bao gồm giá trị như giao thức và máy chủ mong muốn

Trong xác thực thách thức / phản hồi, người sử đụng được cho một số không thể đoán trước và thách thức để mã hóa nó và trả lại kết quả Người được ủy quyền đều

được trang bị các thiết bị đặc biệt như thẻ thông minh hoặc các phần mềm tạo thuận

lợi cho tính toán của các phản hồi chính xác một cách dễ dàng Người sử dụng trái

phép, thiếu thiết bị thích hợp hoặc phần mềm và không biết khóa bí mật cần thiết để cạnh tranh như một thiết bị hoặc phần mềm, chỉ có thể đoán phản hồi

Các gói tin Access-Challenge thường có chứa một tin nhắn trả lời bao gồm một thách thức để được hiển thị cho người dùng, chẳng hạn như một giá trị số không bao

giờ được lặp lại

Người sử dụng sau đó đi vào các thách thức trong thiết bị của mình (hoặc phần mềm) và tính toán một phản hồi, người đùng nhập vào máy khách rồi máy đó chuyển tiếp nó tới máy chủ RADIUS thông qua một Access-Request thứ hai Nếu phản hồi trùng khớp với phản hồi mong muốn máy chủ RADIUS trả lời với một Access-Accept, nêu không một Access-Reject sẽ được trả vê máy khách

Hình 2-12: Quá trình xác thực RADIUS đơn giản

1) Người đùng cố gắng truy cập vao Cisco ASA

Trang 39

2) Cisco ASA yêu cầu người đùng nhập tên và mật khẩu

3) Người dùng nhập vào thông số của mình và gửi cho cisco ASA

4) Cisco ASA gửi gói Access-Request tới máy chủ RADIUS

5) Nếu thông số người dùng nhập có trong cơ sở dữ liệu tại máy chủ

RADIUS, may chi RADIUS sẽ gửi gói Access-Accept về cho Cisco ASA, nếu thông số người dùng nhập không có thì máy chủ RADIUS sẽ gửi gói Access-Reject về cho cisco ASA

6) Cisco ASA sẽ phản hồi về cho máy khách biết được phép hay không được phép

truy cập vào 1 dịch vụ cụ thê

3.2 Quá trình kế toán:

Khi một máy khách được cấu hình để sử dụng RADIUS kế toán, khi bắt đầu cung cấp dịch vụ nó sẽ tạo ra một gói tin bắt đầu kế toán mô tả các loại hình dịch vụ được

cung cấp và người sử dụng nó đang được chuyến tới, và sẽ gửi tới máy chủ kế toán

RADIUS, trong đó sẽ gửi lại một xác nhận rằng gói tin đã được nhận Khi kết thúc cung cấp địch vụ máy khách sẽ tạo ra một gói kết thúc kế toán mô tả các loại hình dịch

vụ đã được giao và thông số tùy ý như là thời gian trôi qua, octet vào và ra, hoặc các

gói đữ liệu vào và ra Nó sẽ gửi tới máy chủ kế toán RADIUS, và sẽ gửi phản hồi một xác nhận răng gói tin đã được nhận

Accounting-Request (dù cho bắt đầu hoặc kết thúc) được gửi tới máy chủ kế toán RADIUS qua mạng Nó khuyến cáo các khách hàng tiếp tục cố gắng gửi gói tin

Accounting-Request cho đến khi nhận được một xác nhận, bằng cách sử dụng một số

hình thức chờ để truyền Nếu không có phản hồi được trả về trong một khoảng thời gian, yêu cầu được gửi lại một số lần Máy khách cũng có thể chuyến tiếp yêu cầu tới một máy chủ thay thế hoặc các máy chủ trong trường hợp máy chủ chính ngừng hoạt động hoặc không thể truy cập Một máy chủ thay thế có thê được sử dụng hoặc sau khi

một số cố gang đến các máy chủ chính bị lỗi, hoặc trong một kiểu vận hành lần lượt

Máy chủ kế toán RADIUS có thê làm cho yêu cầu của các máy chủ khác đáp ứng các yêu cầu, trong trường hợp nó hoạt động như một máy khách

Trang 40

Nếu máy chủ kế toán RADIUS không thê thành công ghi lại các gói tin kế toán, nó không phải gửi một xác nhận Accounting-Response cho máy khách

4 RFCs:

4.1 Nguon goc:

RADIUS ban đầu được quy định trong một RFI bởi Merit Network vào năm 1991

để kiểm soát truy cập quay số tới NSFNET Livingston Enterprises tra loi cho RFI véi

mô tả của một máy chủ RADIUS Merit Network quyết định liện hệ với Livingston Enterprises giao hàng loạt PortMaster của các Network Access Server và máy chủ RADIUS ban dau cho Merit RADIUS sau đó (1997) được xuất bản như RFC 2058 và RFC 2059 (phiên bản hién tai l4 RFC 2865 va RFC 2866)

Bây giờ, tồn tại một số máy chủ RADIUS thương mại và mã nguồn mở Các tính năng có thê khác nhau, nhưng hầu hết có thể thấy sử dụng trong các tập tin văn bản,

máy chủ LDAP, cơ sở dữ liệu khác nhau Tài liệu kế toán có thể được phi vào tập tin

văn bản, cơ sở đữ liệu khác nhau, chuyền tiếp đến máy chủ bên ngoài SNMP thường được sử dụng để giám sát từ xa và kiểm tra xem một máy chủ RADIUS còn hoạt động hay không Các máy chủ RADIUS proxy được sử dụng để tập trung quản lý và có thể

viết lại các gói tin RADIUS (đối với lý do bảo mật, hoặc để Chuyên đổi giữa các nhà

Định dạng
Số trang	83
Dung lượng	27,03 MB