Triển khai hệ thống mạng an toàn với firewall ASA

Triển khai hệ thống mạng an toàn với firewall ASA

Mục lục

A.Tổng quan về đề tài 4

B Cấu trúc của đề tài 5

I.Tổng quan về an ninh mạng: 6

1.Mục tiêu an ninh mạng 6

2.Các phương thức tấn công 6

2.1 Virus 6

2.2 Worm 7

2.3 Trojan horse 7

2.4 Từ chối dịch vụ 8

2.5 Distributed Denial-of-Service 8

2.6 Spyware 9

2.7 Phishing 9

2.8 Dựa vào yếu tố con người 10

3 Các chính sách an ninh mạng 10

3.1 Các chính sách an ninh văn bản 10

3.2 Chính sách quản lý truy cập: 13

3.3 Chính sách lọc: 13

3.4 Chính sách định tuyến: 14

3.5 Chính sách Remote-access/VPN 14

3.6 Chính sách giám sát / ghi nhận: 15

3.7 Chính sách vùng DMZ 15

3.8 Chính sách có thể áp dụng thông thường: 16

II Radius 17

1 Tổng quan về Radius: 17

1.1 AAA: 17

1.1.1 Xác thực (Authentication) 17

1.1.2 Ủy quyền (Authorization) 17

1.1.3 Kế toán (Accounting) 18

1.2 Các điểm chính của kiến trúc AAA: 18

2 Kiến trúc RADIUS: 21

2.1 Sử dụng UDP hay TCP: 21

2.2 Định dạng gói tin RADIUS: 23

2.2.1 Mã: 23

2.2.2 Từ định danh: 24

2.2.3 Độ dài: 24

2.2.4 Bộ xác thực: 24

2.3 Phân loại gói tin: 25

2.3.1 Access-Request: 25

2.3.2 Access-Accept: 26

2.3.3 Access-Reject: 27

2.3.4 Access-Challenge : 28

2.3.5 Accounting-Request: 29

2.3.6 Accounting-Response: 30

2.4 Bí mật chia sẻ: 31

2.5 Các thuộc tính và giá trị: 32

2.5.1 Các thuộc tính: 32

2.5.2 Các giá trị: 35

3 Hoạt động: 36

3.1 Quá trính truy cập: 36

3.2 Quá trình kế toán: 39

4 RFCs: 39

4.1 Nguồn gốc: 39

4.2 Bảng RFCs: 40

4.3.2 RFC 2866: 42

4.3.3 RFC 2867: 43

4.3.4 RFC 2868: 44

4.3.5 RFC 2869: 45

III ASA 46

1 Lịch sử ra đời 46

2 Các sản phẩm tường lửa của Cisco: 46

3 Điều khiển truy cập mạng (NAC) 47

3.1 Lọc gói (Packet Filtering) 47

3.2 Lọc nội dung và URL (Content and URL Filtering) 50

3.2.1 Content Filtering 50

3.2.2 ActiveX Filtering 50

3.3 Chuyển đổi địa chỉ 51

3.3.1 Network Address Translation (NAT) 51

3.3.2 Port Address Translation (PAT) 51

4 Giao thức AAA và dịch vụ hỗ trợ của Cisco ASA 52

4.1 Remote Authentication Dial-In User Service (Radius) 53

4.2 Định dạng TACACS và các giá trị tiêu đề 56

4.3 Rsa SecurID (SID) 58

4.4 Win NT 59

4.5 Kerberos 59

4.6 Lightweight Directory Access Protocol (LDAP) 59

5 Kiểm tra ứng dụng 61

6 Khả năng chịu lỗi và dự phòng (failover and redundancy) 62

6.1 Kiến trúc chịu lỗi 62

6.2 Điều kiện kích hoạt khả năng chịu lỗi 63

6.3 Trạng thái chịu lỗi 63

7 Chất lượng dịch vụ (QoS) 64

7.1 Traffic Policing 64

7.2 Traffic Prioritization 66

8 Phát hiện xâm nhập (IDS) 66

8.1 Network-based intrusion detection systems (NIDS) 67

8.1.1 Lợi thế của Network-Based IDSs 67

8.1.2 Hạn chế của Network-Based IDSs 68

8.2 Host-based intrusion detection systems (HIDS) 68

8.2.1 Lợi thế của HIDS 70

8.2.2 Hạn chế của HIDS 70

IV Mô phỏng 70

1 Mục tiêu của mô phỏng 70

2 Mô hình mô phỏng 71

3 Các công cụ cần thiết để thực hiện mô phỏng 71

4 Các bước mô phỏng 71

5 Kết quả đạt được 80

V.KẾT LUẬN CHUNG 81VI.HƯỚNG PHÁT TRIỂN CỦA ĐỀ TÀI 82

LỜI CẢM ƠN

Sau gần 6 tháng nỗ lực tìm hiều và thực hiện, đồ án “Triển khai hệ thống mạng

an toàn với firewall ASA” đã được hoàn thành, ngoài sự cố gắng hết mình của bảnthân, chúng tôi còn nhận được nhiều sự động viên,khích lệ từ gia đình, thầy cô và bạnbè

Đây là một đề tài khá hay mang tính thiết thực cao Tuy đã cố gắng hết sứcsong chắc chắn đề tài này không tránh khỏi những thiết sót Rất mong nhận được sựthông cảm và chỉ bảo tận tình của các Thầy cô và các bạn

Chúng tôi xin bày tỏ lòng biết ơn chân thành nhất đến Thầy Mai Cường Thọ đãtận tâm chỉ bảo và hướng dẫn tận tình trong suốt thời gian tôi thực hiện đề tài này.Tôi cũng xin chân thành cảm ơn quý Thầy cô trong Khoa Công nghệ thông tin, trườngĐại học Nha Trang đã tận tình giảng dạy, hướng dẫn, giúp đỡ và tạo điều kiện cho tôithực hiện tốt đề tài này

Xin cảm ơn tất cả các bạn bè đã và đang giúp đỡ động viên tôi trong quá trìnhhọc tập và hoàn thành đồ án

Mặc dù đã cố gắn hết sức để hoàn thành đồ án này,nhưng chắc chắn sẽ khôngtránh khỏi những sai sót.Chúng tôi rất mong nhận được sự thông cảm và đóng góp, chỉbảo tận tình của quý thầy cô và bạn bè!

Nha Trang, ngày 26, tháng 6 năm 2013

Sinh viên thực hiện: Nguyễn Lương

Trong thời kì hội nhập, khi nhu cầu trao đổi dữ liệu qua hệ thống mạng máy tính ngày càng tăng cao, Internet càng trở nên vô cùng quan trọng, ảnh hưởng đến tất cả các lĩnh vực kinh tế xã hội, an ninh quốc phòng của quốc gia Thực tế ở Việt Nam, Internet

đã được ứng dụng và phát triển rộng rãi (phổ cập tới xấp xỉ 25% dân số), dẫn đến số tộiphạm công nghệ cao ngày càng nhiều, có không ít cuộc tấn công trên mạng gây ra hậu quả hết sức nghiêm trọng, làm tê liệt hệ thống giám sát an ninh hay phá hoại cơ sở dữ liệu quốc gia, đánh cắp thông tin mật Nhà nước… Đối với doanh nghiệp, vấn đề bảo đảm

an ninh, an toàn thông tin trên mạng là mối quan tâm hàng đầu của hầu hết công ty, tổ chức và các nhà cung cấp dịch vụ Cùng với sự bùng nổ khoa học kỹ thuật, các phương thức tấn công ngày càng tinh vi hơn khiến hệ thống an ninh mạng trở nên mất hiệu qủa Bill Archer, Chủ tịch hãng AT&T tại châu Âu, phát biểu "Chúng tôi nhận thấymật độ tấn công trong vòng 6 tháng qua đã dày hơn rất nhiều so với hai năm trước".Đặc biệt ở Việt Nam, vấn đề trên càng phải đầu tư, xem xét hơn bao giờ hết Theokhảo sát của Trung tâm ứng cứu khẩn cấp máy tính Việt Nam (VNCERT) dựa vào cáctiêu chuẩn an toàn thông tin thì 40% doanh nghiệp Việt Nam không có hệ thống tườnglửa, 70% không có quy trình xử lý sự cố an toàn thông tin và 85% không có chính sách

về an ninh mạng Hơn nữa, theo phân tích của Kaspersky, năm 2010, Việt Nam đứngthứ 5 thế giới trong số những quốc gia chịu nhiều thiệt hại nhất do tấn công trên mạng(sau Ấn Độ và Mỹ, xếp đầu bảng là Trung Quốc và Nga) Việc xây dựng hệ thống anninh mạng sao cho vừa đảm bảo an toàn, bảo mật thông tin vừa tận dụng hiệu năngmạng đang trở thành câu hỏi đau đầu đối với các tổ chức doanh nghiệp không những ởViệt Nam mà còn trên toàn thế giới Nhận thấy những nguy cơ đó, xuất phát từ niềmsay mê nghiên cứu các kỹ thuật ảo mật mạng, nhóm chúng tôi quyết định chọn đề tài

“Triển khai hệ thống mạng an toàn với Firewall ASA”, với mong muốn đem lại chodoanh nghiệp mô hình đáp ứng được các yêu cầu về bảo mật mà vẫn đảm bảo hiệu nănghoạt động mạng Qua đó, chúng tôi cũng trang bị cho mình thêm nhiều kiến thức đểchuẩn bị thử sức với thách thức mới ngoài xã hội

A.Tổng quan về đề tài

Mục tiêu của việc nghiên cứu về Firewall ASA

+ Việc nghiên cứu giúp cho khả năng tự học ,tìm hiểu và nghiên cứu độc lập ngàycàng tốt hơn

+ Nghiên cứu về hệ thống firewall ASA

+ Triển khai hệ thống phát hiện, ngăn chặn các lưu lượng ra vào của hệ thống là sựcần thiết cho các doanh nghiệp có nhu cầu về sự an toàn của hệ thống trước nhữnghành vi xâm nhập trái phép Trước sự phát triển của internet và sự hiểu biết của ngàycàng sâu của con người thì việc truys cập và phá hoại hệ thống mạng của một doanhnghiệp ,công ty nào đó củng theo đà phát triển của internet mà tăng lên rất nhiều + Việc nghiên cứu này đáp ứng cho lãnh vực bảo mật và an ninh của hệ thống

+ ASA(Adaptive Security Appliance) là một thiết bị tường lửa mạnh tất cả trongmột và được ưa chuộng nhất hiện nay của Cisco.Chính vì vậy mục tiêu của đề tài này

là nhằm nghiên cứu và tìm hiểu cách thức hoạt động,phương pháp cấu hình và ứngdụng của nó trong việc bảo mật hệ thống mạng.Kết quả đạt được qua việc nghiên cứuthiết bị này là hiểu được cách thức hoạt động và có khả năng triển khai thiết bị này vàotrong một số hệ thống mạng bất kỳ

+ Nghiên cứu về AAA server

+ Nghiên cứu về cách tổ chức giám sát hoạt động của người dùng cuối như thờigian bắt đầu hay kết thúc của người dùng (accounting).Bảo mật là vấn đề rất quantrọng.Với mức độ điều khiển, thật dễ dàng để cài đặt bảo mật và quản trị mạng Có thểđịnh nghĩa các vai trò (role) đưa ra cho user những lệnh mà họ cần để hoàn thànhnhiệm vụ của họ và theo dõi những thay đổi trong mạng Với khả năng log lại các sựkiện, ta có thể có những sự điều chỉnh thích hợp với từng yêu cầu đặt ra.Tất cả những thành phần này là cần thiết để duy trì tính an toàn, bảo mật cho mạng.Với thông tin thu thập được, có thể tiên đoán việc cập nhật cần thiết theo thời gian.Yêu cầu bảo mật dữ liệu, gia tăng băng thông, giám sát các vấn đề trên mạng thôngAAA server

B Cấu trúc của đề tài.

Đề tài được chia làm 6 phần

Chương này giới thiệu về tường lủa cisco asa ,các kỹ thuật được áp dụng chotường lửu

IV Mô phỏng

Chương này mô tả quá trình hiện thực cisco asa với mô hình mạng cụ thể chothấy tính thực tế và kiểm nghiệm đúng lý thuyết của đề tài này.Chỉ rõ chi tiết quá trìnhthực nghiệm

V Kết luận chung

Chương này nêu ra những kết quả của đề tài làm được những gì và những mặchạn chế khó khăn chưa thực hiện được của đề tài

VI Hướng phát triển của đề tài

I.Tổng quan về an ninh mạng:

1.Mục tiêu an ninh mạng

Việc phát triển ngày càng tăng của mạng internet do sự thuận tiện mà nó đem lạicho con người tuy nhiên cũng kéo theo nhiều mối nguy hiểm rình rập của nhữnghacker mạng Đảm bảo cho người dùng được an toàn khi làm việc trên mạng là mụctiêu hàng đầu của an ninh mạng:

 Bảo đảm mạng nội bộ không bị xâm nhập trái phép

 Các tài liệu và thông tin quan trọng không bị rò rỉ và bị mất

 Các dịch vụ được thực hiện nhanh chóng không bị trì trệ hoặc không được thựchiện

 Các cuộc mua bán trên mạng diễn ra đúng với yêu cầu người dùng

 Người dùng làm việc trên mạng không bị mạo danh, lừa đảo

Có một số hiệu ứng chung của vi rút. Một số virus lành tính, và chỉ cần thông báo cho nạn nhân của họ rằng họ đã bị nhiễm bệnh. Các virus ác tính tạo ra sự hủy hoại bằng cách xóa các tập tin và nếu không thì gây ra lỗi cho các máy tính bị nhiễm có chứa tài sản kỹ thuật số, chẳng hạn như hình ảnh, tài liệu, mật khẩu, và các bản báo cáo tài chính.

Virus cần một máy chủ để đính kèm và thực hiện, và sâu không yêu cầu một máychủ.Virus và sâu thường gây ra các loại khác nhau của sự hủy diệt.

Virus, một khi chúng đang cư trú trong bộ nhớ, thường xóa và sửa đổi các tập tinquan trọng trên máy tính bị nhiễm bệnh Tuy nhiên, Worms có xu hướng mạng trungtâm hơn so với máy tính trung tâm Worms có thể tái tạo một cách nhanh chóng bằngcách bắt đầu kết nối mạng để nhân rộng và gửi số lượng lớn dữ liệu Worms cũng cóthể chứa một hành khách mang theo, hoặc trọng tải dữ liệu, mà có thể giao một máytính mục tiêu cho các trạng thái của một zombie Zombie là một máy tính có bị xâmphạm và hiện đang được kiểm soát bởi những kẻ tấn công mạng Zombies thườngđược sử dụng để khởi động các cuộc tấn công mạng khác Một bộ sưu tập lớn cáczombie dưới sự điều khiển của kẻ tấn công được gọi là một "botnet" Botnets có thểphát triển được khá lớn Botnet được xác định đã lớn hơn 100.000 máy tính zombie.2.3 Trojan horse

Một con ngựa Trojan, hoặc Trojan, là phần mềm nguy hại tìm cách ngụy trangchính nó như là một ứng dụng đáng tin cậy như là một trò chơi hoặc trình bảo vệ mànhình Một khi người dùng tin cậy cố gắng để truy cập những gì có vẻ là một trò chơi

vô thưởng vô phạt hoặc trình bảo vệ màn hình, các Trojan có thể bắt đầu các hoạt độnggây tổn hại như xóa các tập tin hoặc định dạng lại một ổ đĩa cứng Trojan thườngkhông tự sao chép.Những kẻ tấn công mạng cố gắng sử dụng các ứng dụng phổ biến,chẳng hạn như iTunes của Apple, để triển khai một Trojan Ví dụ, một cuộc tấn côngmạng sẽ gửi một e-mail với một liên kết có mục đích để tải về một bài hát iTunes miễnphí Trojan này sau đó sẽ bắt đầu một kết nối đến một máy chủ web bên ngoài và bắtđầu một cuộc tấn công một khi người dùng cố gắng để tải về các bài hát miễn phí rõràng

2.4 Từ chối dịch vụ

Một cuộc tấn công từ chối dịch vụ (DoS) là một cuộc tấn công mạng có kết quảtrong việc từ chối dịch vụ bằng một ứng dụng yêu cầu như là một máy chủ web Cómột vài cơ chế để tạo ra một cuộc tấn công DoS Các phương pháp đơn giản nhất làtạo ra một lượng lớn những gì xuất hiện để được giao thông mạng hợp lệ Đây là loại

tấn công DoS mạng cố gắng để làm nghẽn các ống dẫn lưu lượng truy cập mạng để sửdụng hợp lệ không thể có được thông qua kết nối mạng Tuy nhiên, loại DoS thôngthường cần phải được phân phối bởi vì nó thường đòi hỏi nhiều hơn một nguồn để tạo

ra các cuộc tấn công.Một cuộc tấn công DoS lợi dụng thực tế là hệ thống mục tiêu nhưcác máy chủ phải duy trì thông tin trạng thái và có thể có kích thước bộ đệm và dựkiến nội dung gói tin mạng cho các ứng dụng cụ thể Một cuộc tấn công DoS có thểkhai thác lỗ hổng này bằng cách gửi các gói có giá trị kích cỡ và dữ liệu mà không nhưmong đợi của các ứng dụng nhận được.Một số loại tấn công DoS tồn tại, bao gồm cáccuộc tấn công Teardrop và Ping of Death, mà gửi các gói thủ công mạng khác nhau từnhững ứng dụng dự kiến và có thể gây ra sụp đổ các ứng dụng và máy chủ Nhữngcuộc tấn công DoS trên một máy chủ không được bảo vệ, chẳng hạn như một máy chủthương mại điện tử, có thể gây ra các máy chủ bị lỗi và ngăn chặn người dùng bổ sungthêm hàng vào giỏ mua sắm của họ

2.5 Distributed Denial-of-Service

DDoS tương tự như trong ý định của cuộc tấn công DoS, ngoại trừ cuộc tấn côngDdo S tạo ra nhiều nguồn tấn công Ngoài ra để tăng lượng truy cập mạng từ nhiều kẻtấn công phân phối, một cuộc tấn công DDoS cũng đưa ra những thách thức của yêucầu bảo vệ mạng để xác định và ngăn chặn mỗi kẻ tấn công phân phối

2.6 Spyware

Spyware là một lớp các ứng dụng phần mềm có thể tham gia vào một cuộc tấncông mạng Spyware là một ứng dụng cài đặt và vẫn còn để ẩn trên máy tính hoặc máytính xách tay mục tiêu Một khi các ứng dụng phần mềm gián điệp đã được bí mật càiđặt, phần mềm gián điệp bắt thông tin về những gì người dùng đang làm với máy tínhcủa họ Một số thông tin bị bắt bao gồm các trang web truy cập, e-mail gửi đi, và mậtkhẩu sử dụng Những kẻ tấn công có thể sử dụng các mật khẩu và thông tin bắt được

để đi vào được mạng để khởi động một cuộc tấn công mạng

Ngoài việc được sử dụng để trực tiếp tham gia vào một cuộc tấn công mạng, phầnmềm gián điệp cũng có thể được sử dụng để thu thập thông tin có thể được bán mộtcách bí mật Thông tin này, một lần mua, có thể được sử dụng bởi một kẻ tấn công

khác đó là "khai thác dữ liệu" để sử dụng trong việc lập kế hoạch cho một cuộc tấncông mạng khác.

2.7 Phishing

Phishing là một kiểu tấn công mạng thường bắt đầu bằng cách gửi e-mail để ngườidùng không nghi ngờ Các e-mail lừa đảo cố gắng để trông giống như một thư điện tửhợp pháp từ một tổ chức được biết đến và đáng tin cậy như là một trang web ngânhàng, thương mại điện tử E-mail giả này cố gắng thuyết phục người dùng rằng mộtviệc gì đó đã xảy ra, chẳng hạn như hoạt động đáng ngờ về tài khoản của họ, và người

sử dụng phải thực hiện theo các liên kết trong e-mail và đăng nhập vào trang web đểxem thông tin người dùng của họ Các liên kết trong e-mail này thường là một bản saogiả của ngân hàng hoặc trang web thương mại điện tử thực sự và các tính năng tương

tự nhìn-và-cảm nhận các trang web thực sự Các cuộc tấn công lừa đảo được thiết kế

để lừa người dùng cung cấp thông tin có giá trị như tên người dùng và mật khẩu củahọ

2.8 Dựa vào yếu tố con người

Kẻ tấn công có thể liên lạc với một người quản trị hệ thống, giả làm một người sửdụng để yêu cầu thay đổi mật khẩu, thay đổi quyền truy nhập của mình đối với hệthống, hoặc thậm chí thay đổi một số cấu hình của hệ thống để thực hiện các phươngpháp tấn công khác.Với kiểu tấn công này không một thiết bị nào có thể ngăn chặnmột cách hữu hiệu, và chỉ có một cách giáo dục người sử dụng mạng nội bộ về nhữngyêu cầu bảo mật để đề cao cảnh giác với những hiện tượng đáng nghi.Nói chung yếu

tố con người là một điểm yếu trong bất kỳ một hệ thống bảo vệ nào, và chỉ có sự giáodục cộng với tinh thần hợp tác từ phía người sử dụng có thể nâng cao được độ an toàncủa hệ thống bảo vệ

3 Các chính sách an ninh mạng

Hai hình thức chính sách bảo mật có liên quan đến bức tường lửa:

Các chính sách an ninh văn bản (đôi khi được gọi là các chính sách an ninh thôngtin) để xác định những mục tiêu an ninh cho các tổ chức (bao gồm cả tường lửa củahọ)

Các chính sách quản lý và lọc nguồn và đích (đôi khi được gọi là chính sách tườnglửa hoặc thiết lập quy tắc tường lửa) để xác định cấu hình thực tế của thiết bị

3.1 Các chính sách an ninh văn bản

Chính sách an ninh văn bản tồn tại để cung cấp một lộ trình cấp cao về những gìcần phải được thực hiện để đảm bảo rằng tổ chức này có một chiến lược an ninh đượcxác định tốt và ngoài sức tưởng tượng Đó là một quan niệm sai lầm phổ biến mà một

tổ chức có một chính sách an ninh Trong thực tế, chính sách bảo mật tổng thể của một

tổ chức thường bao gồm nhiều chính sách bảo mật cá nhân, mà được ghi vào địa chỉmục tiêu cụ thể, thiết bị, hoặc các sản phẩm

Mục tiêu của một chính sách an ninh là xác định những gì cần phải được bảo vệ,những người có trách nhiệm bảo vệ, và trong một số trường hợp như thế nào bảo vệ sẽxảy ra Tóm lại, các chính sách bảo mật đơn giản và chính xác nên vạch ra những yêucầu cụ thể, quy tắc, và mục tiêu đó phải được đáp ứng, để cung cấp một phương pháp

Truy cập vào mạng tường lửa bảo vệCác giao thức định tuyến

Truy cập quản trịNâng cấp phần mềmTập tin cấu hìnhTruy cập vật lý

Hình 1-1: Các lớp bảo mật tường lửa.

Tại trung tâm là các lớp toàn vẹn vật lý của tường lửa, mà chủ yếu là liên quan tớicác quyền truy cập vật lý vào tường lửa, để đảm bảo quyền truy cập vật lý vào thiết bị,chẳng hạn như thông qua một kết nối cứng là cổng console

Lớp tiếp theo là cấu hình tường lửa tĩnh, mà chủ yếu là liên quan tới truy cập vàocác phần mềm tường lửa được cấu hình tĩnh đang chạy (ví dụ, các hệ điều hành PIX vàcấu hình khởi động) Tại lớp này, chính sách bảo mật cần tập trung vào việc xác địnhcác hạn chế sẽ được yêu cầu để hạn chế truy cập quản trị, bao gồm cả bản cập nhậtphần mềm thực hiện và cấu hình tường lửa

Lớp thứ ba là cấu hình tường lửa động, trong đó bổ sung các cấu hình tĩnh bằngviệc có liên quan tới cấu hình động của tường lửa thông qua việc sử dụng các côngnghệ như giao thức định tuyến, lệnh ARP, giao diện và tình trạng thiết bị, kiểm toán,nhật ký, và các lệnh tránh Mục tiêu của chính sách an ninh tại điểm này là để xác địnhcác yêu cầu xung quanh những gì các loại cấu hình động sẽ được cho phép

Cuối cùng là lưu lượng mạng qua tường lửa, mà là thực sự những gì mà tường lửatồn tại để bảo vệ tài nguyên Lớp này là có liên quan tới chức năng như ACL và thôngtin dịch vụ proxy Các chính sách an ninh ở lớp này có trách nhiệm xác định các yêucầu như chúng liên quan đến lưu lượng đi qua tường lửa

Định dạng chính sách an ninh:

Để thực hiện các mục tiêu được xác định trước đó, hầu hết các chính sách bảo mậttuân theo một định dạng hoặc bố trí cụ thể và các chia sẻ yếu tố thông thường Nóichung, hầu hết các chính sách an ninh chia thành bảy phần:

 Tổng quan: Phần tổng quan cung cấp một giải thích ngắn gọn về những địa chỉchính sách

 Mục đích: phần mục đích giải thích tại sao chính sách là cần thiết

 Phạm vi: Phần phạm vi xác định chính sách áp dụng cho những gì và xác địnhngười chịu trách nhiệm về chính sách

 Chính sách: phần chính sách là những chính sách thực tế

 Thực thi: Phần thực thi định nghĩa cách chính sách cần được thực thi và các hậuquả của việc không theo các chính sách

 Định nghĩa: Phần định nghĩa bao gồm các định nghĩa của các từ hoặc khái niệmđược sử dụng trong chính sách.

 Xem lại lịch sử: Phần xem lại lịch sử là nơi mà các thay đổi chính sách đượcghi lại và theo dõi

Mỗi tổ chức có yêu cầu an ninh riêng biệt và do đó có chính sách bảo mật riêng độcđáo của họ Tuy nhiên, hầu hết không phải tất cả các môi trường đòi hỏi một số chínhsách an ninh chung, bao gồm:

Ngoài ra, các chính sách quản lý truy cập cần xác định các yêu cầu đối với các giaothức quản lý như Network Time Protocol (NTP), syslog, TFTP, FTP, Simple NetworkManagement Protocol (SNMP), và bất kỳ giao thức khác có thể được sử dụng để quản

lý và duy trì thiết bị

3.3 Chính sách lọc:

Thay vì định nghĩa bộ quy tắc thực tế tường lửa sẽ sử dụng, các chính sách lọc cầnphải chỉ và xác định chính xác các loại lọc phải được sử dụng và nơi lọc được áp dụng.Chính sách này có xu hướng để giải quyết cấu hình tường lửa tĩnh và chi tiết trong lớp

lưu lượng mạng qua tường lửa Ví dụ, một chính sách lọc tốt cần phải yêu cầu cả hailối vào và đi ra bộ lọc được thực hiện với các bức tường lửa Các chính sách lọc cũngcần xác định các yêu cầu chung trong việc kết nối mạng cấp độ bảo mật và nguồn khácnhau Ví dụ, với một DMZ, tùy thuộc vào hướng của lưu lượng, các yêu cầu lọc khácnhau có thể cần thiết, và nó là vai trò của các chính sách lọc để xác định những yêucầu.

3.4 Chính sách định tuyến:

Các chính sách định tuyến thường không phải là một tài liệu tường lửa trung tâm.Tuy nhiên, với thiết kế chu vi phức tạp hơn cũng như sử dụng ngày càng tăng của cácbức tường lửa trong mạng nội bộ, tường lửa có thể dễ dàng trở thành một phần của cơ

sở hạ tầng định tuyến Các chính sách định tuyến cần phải có một phần có quy định cụthể bao gồm một tường lửa trong các cơ sở hạ tầng định tuyến và định nghĩa cácphương thức trong đó các định tuyến sẽ xảy ra Chính sách này có xu hướng để giảiquyết các lớp cấu hình tường tĩnh lửa và cấu hình động tường lửa Trong hầu hếttrường hợp, các chính sách định tuyến nên ngăn cấm firewall một cách rõ ràng từ việcchia sẻ bảng định tuyến mạng nội bộ với bất kỳ nguồn bên ngoài Tương tự như vậy,các chính sách định tuyến cần xác định các trường hợp trong đó các giao thức địnhtuyến động và tuyến đường tĩnh là phù hợp Các chính sách cũng nên xác định bất kỳ

cơ chế bảo mật giao thức cụ thể cần phải được cấu hình, (ví dụ, việc sử dụng thuậttoán băm để đảm bảo chỉ các nút được chứng thực có thể vượt qua dữ liệu định tuyến).3.5 Chính sách Remote-access/VPN

Trong lĩnh vực hội tụ hiện nay, sự khác biệt giữa tường lửa và bộ tập trung VPN đãngày càng trở nên mờ nhạt Hầu hết các thị trường tường lửa lớn có thể phục vụ như làđiểm kết thúc cho VPN, và do đó chính sách remote-access/VPN cần thiết xác địnhcác yêu cầu về mức độ mã hóa và xác thực rằng một kết nối VPN sẽ yêu cầu Trongnhiều trường hợp, các chính sách VPN kết hợp với chính sách mã hóa của tổ chức xácđịnh phương pháp VPN tổng thể sẽ được sử dụng Chính sách này có xu hướng để giảiquyết các lớp cấu hình tường lửa tĩnh và lưu lượng mạng qua tường lửa

Các chính sách remote-access/VPN cũng cần xác định các giao thức sẽ được sửdụng: IP Security (IPsec), Layer 2 Tunneling Protocol (L2TP), hoặc Point-to-PointTunneling Protocol (PPTP) Trong hầu hết trường hợp, IPsec được sử dụng riêng biệt.Giả sử IPsec, chính sách remote-access/VPN cần phải yêu cầu sử dụng của cácpreshared keys, chứng thực mở rộng, với việc sử dụng giấy chứng nhận, mật khẩu mộtlần, và Public Key Infrastructure (PKI) cho môi trường an toàn nhất Tương tự nhưvậy, các chính sách remote-access/VPN nên xác định những khách hàng sẽ được sửdụng (có nghĩa là, trong xây dựng- Microsoft VPN Client, Cisco Secure VPN Client,vv).

Cuối cùng, các chính sách remote-access/VPN cần xác định các loại truy cập vàcác nguồn lực sẽ được cung cấp để kết nối từ xa và các loại kết nối từ xa sẽ được chophép

3.6 Chính sách giám sát / ghi nhận:

Một trong những yếu tố quan trọng nhất đảm bảo rằng một tường lửa cung cấpmức bảo mật được mong đợi là thực hiện một hệ thống giám sát tường lửa Chính sáchgiám sát / ghi nhận xác định các phương pháp và mức độ giám sát sẽ được thực hiện.Tối thiểu, các chính sách giám sát / ghi nhận cần cung cấp một cơ chế để theo dõi hiệusuất của tường lửa cũng như sự xuất hiện của tất cả các sự kiện liên quan đến an ninh

và các mục đăng nhập Chính sách này có xu hướng để giải quyết các lớp cấu hìnhtường lửa tĩnh

Chính sách giám sát / ghi nhận cũng nên xác định cách các thông tin phải được thuthập, duy trì, và báo cáo Trong nhiều trường hợp, thông tin này có thể được sử dụng

để xác định các yêu cầu quản lý của bên thứ ba và các ứng dụng theo dõi nhưCiscoWorks, NetIQ Security Manager, hoặc Kiwi Syslog Daemon

giao thông vì nó liên quan đến DMZ Chính sách này có xu hướng để giải quyết cáclớp cấu hình tường lửa tĩnh và lưu lượng mạng qua tường lửa.

Do sự phức tạp của môi trường DMZ điển hình, các chính sách DMZ là có khảnăng sẽ là một tài liệu lớn nhiều trang Để giúp đảm bảo rằng các chính sách DMZthiết thực và hiệu quả, điển hình là ba tiêu chuẩn cần được xác định rộng rãi cho tất cảcác thiết bị liên quan đến DMZ, kết nối, và lưu lượng giao thông:

 Trách nhiệm quyền sở hữu

 Yêu cầu cấu hình an toàn

 Yêu cầu hoạt động và kiểm soát thay đổi

3.8 Chính sách có thể áp dụng thông thường:

Ngoài các chính sách tường lửa cụ thể, có nhiều chính sách có thể áp dụng thôngthường, mặc dù không phải là tường lửa cụ thể (đã ứng dụng trên nhiều thiết bị, khôngchỉ là tường lửa) dù sao cũng nên được áp dụng đối với tường lửa Chúng bao gồmnhững điều sau đây:

Chính sách mật khẩu: chính sách mật khẩu của công ty nên được để cập đến khôngchỉ xác định truy cập quản trị tường lửa, mà còn để sử dụng trong việc tạo ra presharedsecrets, bảng băm, và các chuỗi cộng đồng

Chính sách mã hóa: chính sách mã hóa của công ty nên được đề cập đến để xácđịnh tất cả các hình thức truy cập mã hóa, bao gồm Hypertext Transfer Protocol,Secure (HTTPS), Secure Sockets Layer (SSL), Secure Shell (SSH), và truy cập IPsec /VPN

Chính sách kiểm định: chính sách kiểm định của công ty phải được đề cập để xácđịnh các yêu cầu kiểm định của tường lửa

Chính sách đánh giá rủi ro: chính sách đánh giá rủi ro của công ty cần được đề cập

để xác định phương pháp sẽ được sử dụng để xác định các rủi ro liên quan với hệthống tất cả thêm, di chuyển, và thay đổi vì nó liên quan đến tường lửa và chu vi mạngtrong toàn thể

Dưới đây là một số công việc cần thiết cho người quản trị mạng:

 Ghi nhận và xem lại nhật ký tường lửa thường xuyên

 Tạo ACL đi vào thật chi tiết, cụ thể

 Bảo vệ vùng DMZ về nhiều phía.

 Thận trọng với lưu lượng ICMP

 Giữ mọi lưu lượng quản lý firewall được bảo mật

 Xem lại các quy tắc tường lửa định kỳ

II Radius

1 Tổng quan về Radius:

AAA

AAA cho phép các nhà quản trị mạng biết được các thông tin quan trọng về tìnhhình cũng như mức độ an toàn trong mạng Nó cung cấp việc xác thực(Authentication) người dùng nhằm bảo đảm có thể nhận dạng đúng người dùng Mộtkhi đã nhận dạng người dùng, ta có thể giới hạn ủy quyền (Authorization) mà ngườidùng có thể làm Khi người dùng sử dụng mạng, ta có thể giám sát tất cả những gì mà

họ làm AAA với ba phần xác thực (Authentication), ủy quyền (Authorization) và kếtoán (Accounting) là các phần riêng biệt mà ta có thể sử dụng trong dịch vụ mạng, cầnthiết để mở rộng và bảo mật mạng

AAA có thể dùng để tập hợp thông tin từ nhiều thiết bị trên mạng Ta có thể kích hoạt các dịch vụ AAA trên router, switch, wirewall, các thiết bị VPN, server…

Các dịch vụ AAA bao gồm ba phần xác thực (Authentication), ủy quyền

(Authorization) và kế toán (Accounting) Ta sẽ tìm hiểu sự khác nhau của ba phần này

và cách thức chúng làm việc như thế nào

1.1.1 Xác thực (Authentication)

Xác thực dùng để nhận dạng (identify) người dùng Trong suốt quá trình xác thực,username và password của người dùng được kiểm tra và đối chiếu với cơ sở dữ liệulưu trong AAA server Tất nhiên tùy thuộc vào giao thức mà AAA hổ trợ mã hóa đếnđâu, ít nhất thì cũng mã hóa username và password

Xác thực sẽ xác định người dùng là ai Ví dụ: Người dùng có username là HOA và

mật khẩu là Hoa@nIT sẽ là hợp lệ và được xác thực thành công với hệ thống Sau khixác thực thành công thì người dùng đó có thể truy cập được vào mạng Tiến trình nàychỉ là một trong các thành phần để điều khiển người dùng với AAA Một khi username

và password được chấp nhận, AAA có thể dùng để định nghĩa thẩm quyền mà ngườidùng được phép làm trong hệ thống

1.1.2 Ủy quyền (Authorization)

Ủy quyền cho phép các nhà quản trị điều khiển việc cấp quyền trong một khoảngthời gian, hay trên từng thiết bị, từng nhóm, từng người dùng cụ thể hay trên từng giaothức AAA cho phép nhà quản trị tạo ra các thuộc tính mô tả các chức năng của ngườidùng được phép thao tác vào tài nguyên Do đó người dùng phải được xác thực trướckhi ủy quyền cho người đó

Ủy quyền trong AAA làm việc giống như một tập các thuộc tính mô tả những gì

mà người dùng đã được xác thực có thể có

Ví dụ: Người dùng HOA sau khi đã xác thực thành công có thể chỉ được phép truy

cập vào server HOAPHATIT_SERVER thông qua FTP Những thuộc tính này được

so sánh với thông tin chứa trong cơ sở dữ liệu của người dùng đó và kết quả được trả

về AAA để xác định khả năng cũng như giới hạn thực tế của người đó Điều này yêucầu cơ sở dữ liệu phải giao tiếp liên tục với AAA server trong suốt quá trình kết nốiđến thiết bị truy cập từ xa (RAS)

Ủy quyền liên quan đến việc sử dụng một bộ quy tắc hoặc các mẫu để quyết địnhnhững gì một người sử dụng đã chứng thực có thể làm trên hệ thống

Ví dụ: Trong trường hợp của một nhà cung cấp dịch vụ Internet, nó có thể quyết

định một địa chỉ ip tĩnh được cho là trái ngược với một địa chỉ DHCP được giao Cácnhà quản trị hệ thống định nghĩa những quy tắc này

Máy chủ AAA sẽ phân tích yêu cầu và cấp quyền truy cập bất cứ yêu cầu nào có

thể, có hoặc không phải là toàn bộ yêu cầu là hợp lệ Ví dụ: Một máy khách quay số

kết nối và yêu cầu nhiều liên kết Một máy chủ AAA chung chỉ đơn giản là sẽ từ chốitoàn bộ yêu cầu, nhưng một sự thực thi thông minh hơn sẽ xem xét yêu cầu, xác địnhrằng máy khách chỉ được phép kết nối dial-up, và cấp một kênh trong khi từ chối cácyêu cầu khác

1.1.3 Kế toán (Accounting).

Kiểm toán cho phép nhà quản trị có thể thu thập thông tin như thời gian bắt đầu,thời gian kết thúc người dùng truy cập vào hệ thống, các câu lệnh đã thực thi, thống kêlưu lượng, việc sử dụng tài nguyên và sau đó lưu trữ thông tin trong hệ thống cơ sở dữliệu quan hệ Nói cách khác kiểm toán cho phép giám sát dịch vụ và tài nguyên đượcngười dùng sử dụng Ví dụ: Thống kê cho người dùng có tên truy cập là HOA đã truycập vào HOAPHATIT_SERVER bằng giao thức FTP với số lần là 5 lần Điểm chínhtrong kiểm toán đó là cho phép người quản trị giám sát tích cực và tiên đoán được dịch

vụ và việc sử dụng tài nguyên Thông tin này có thể được dùng để tính cước kháchhàng, quản lý mạng, kiểm toán sổ sách

1.2 Các điểm chính của kiến trúc AAA:

Các kiến trúc AAA đơn giản là một cố gắng vạch ra một thiết kế như thế nào mỗiphần AAA phù hợp với nhau AAA triển khai thực hiện có thể đơn giản hay phức tạpnhư nó cần, chủ yếu là do sự nỗ lực của nhóm chuyên nghiên cứu Internet (IRTF) làmviệc theo nhóm kiến trúc AAA để thực hiện một mô hình như ứng dụng trung lập như

có thể Nói cách khác, mô hình AAA được thiết kế để làm việc trong môi trường cóyêu cầu người sử dụng khác nhau và đều thay đổi thiết kế mạng Có một số thuộc tínhquan trọng của mô hình làm nó có thể thực hiện được

Trước tiên, mô hình AAA phụ thuộc vào sự tương tác máy khách / máy chủ, trong

đó một hệ thống máy khách yêu cầu các dịch vụ hoặc tài nguyên của một hệ thốngmáy chủ

Một máy chủ AAA có thể được cấu hình để ủy quyền cho một yêu cầu hoặc vượtqua nó cùng với một máy chủ AAA, sau đó sẽ làm cho các quy định thích hợp hoặcvượt qua nó cùng một lần nữa Về bản chất, một chuỗi proxy được tạo ra, trong đó cácmáy chủ AAA có những yêu cầu của cả máy khách và các máy chủ AAA khác Khimột máy chủ proxy server khác, người khởi tạo hiển thị các đặc tính của máy khách.Như vậy, một mối quan hệ tin cậy đã được tạo ra cho mỗi bước truyền máy khách /máy chủ cho đến khi đạt yêu cầu thiết bị quy định các nguồn lực cần thiết

Proxy là một tính năng rất hữu ích của mô hình AAA và có lợi cho doanh nghiệp

và triển khai mạng lưới phân phối, trong đó một số thiết bị AAA có thể được cấu hình

để yêu cầu luôn ủy quyền cho các máy tại các địa điểm khác

Máy khách yêu cầu dịch vụ và nguồn tài nguyên từ một máy chủ AAA (và trongtrường hợp này, máy khách có thể bao gồm AAA proxy) có thể giao tiếp với nhaubằng cách sử dụng hoặc là một giao dịch hop-to-hop hoặc một giao dịch end-to-end Trong một giao dịch hop-to-hop, một máy khách gửi một yêu cầu ban đầu cho mộtthiết bị AAA Tại thời điểm này, có một mối quan hệ tin cậy giữa máy khách và máychủ AAA tuyến đầu Máy đó xác định yêu cầu cần phải được chuyển tiếp đến một máychủ khác ở một vị trí khác nhau, do đó, nó hoạt động như một proxy và địa chỉ liên lạcmột máy chủ AAA Bây giờ các mối quan hệ tin tưởng là với hai máy chủ AAA, vớicác máy tính tiền tuyến hoạt động như các máy khách và máy AAA thứ hai đóng vaitrò là máy chủ Điều quan trọng cần lưu ý rằng mối quan hệ tin tưởng không phải làvốn đã hiểu ngầm, có nghĩa là các máy khách ban đầu và các máy AAA thứ hai không

có một mối quan hệ tin tưởng Hình 2-1 cho thấy sự tin tưởng là tuần tự và độc lập vớinhau

HÌNH 2-1:MỐI QUAN HỆ TIN TƯỞNG ĐỘC LẬP TRONG MỘT GIAO DỊCH HOP-TO-HOP

Khác với mô hình hop-to-hop là phương pháp giao dịch end-to-end Sự khác biệtchính là nơi mà các mối quan hệ tin cậy nằm trong mô hình này, đó là giữa máy kháchyêu cầu và máy chủ AAA

HÌNH 2-2:MỐI QUAN HỆ TIN TƯỞNG MÁY KHÁCH/MÁY CHỦ TRONG MÔ HÌNH END

-TO-END

2 Kiến trúc RADIUS:

2.1 Sử dụng UDP hay TCP:

RADIUS đã chính thức được giao cổng UDP 1812 cho RADIUS Authentication và

1813 cho RADIUS Accounting bởi Internet Assigned Numbers Authority (IANA).Tuy nhiên, trước khi IANA phân bổ các cổng 1812 và 1813, cổng 1645 và 1646 (xácthực và kế toán tương ứng) đã được sử dụng không chính thức và trở thành các cổngmặc định do nhiều máy chủ và máy khách RADIUS triển khai trong thời gian này.Truyền thống của việc sử dụng 1645 và 1646 để tiếp tục tương thích ngược trở lại chođến ngày nay Vì lý do này nhiều máy chủ RADIUS triển khai giám sát cả hai bộ cổngUDP cho các yêu cầu RADIUS Các máy chủ RADIUS Microsoft mặc định 1812 và

Máy khách Mối quan hệ tin tưởng

Không có mối quan

hệ tin tưởng nào giữa các máy chủ Proxy

Yêu cầu Proxies Yêu cầu Proxies

Máy chủ AAA

Máy chủ AAA phê duyệt

1813 nhưng mặc định các thiết bị Cisco là cổng truyền thống1645 và 1646 Các máychủ RADIUS Juniper Networks lắng nghe trên cả hai cổng chính thức và không chínhthức 1645, 1812, 1646 và 1813 mặc định nhưng có thể được cấu hình với các cổng bấtkỳ.

UDP cho phép RADIUS sản sinh để phục vụ nhiều yêu cầu tại một thời điểm, vàmỗi phiên đầy, khả năng giao tiếp không có giới hạn giữa các thiết bị mạng và máykhách Vì vậy, UDP là phù hợp

Nhược điểm duy nhất khi sử dụng UDP là các nhà phát triển phải tự tạo và quản lýgiờ phát lại, khả năng này được xây dựng vào TCP Tuy nhiên, nhóm RADIUS cảmthấy rằng đây là một nhược điểm ít ảnh hưởng hơn so với sự tiện lợi và đơn giản củaviệc sử dụng UDP Và vì thế UDP được sử dụng

2.2 Định dạng gói tin RADIUS:

Các giao thức RADIUS sử dụng gói tin UDP để truyền đi giữa máy trạm và máychủ Giao thức giao tiếp trên cổng 1812, đó là một thay đổi từ tài liệu gốc RFCRADIUS Các phiên bản đầu tiên xác định rằng truyền thông RADIUS đã diễn ra trêncổng 1645, nhưng sau này đã phát hiện xung đột với dịch vụ "Datametrics"

RADIUS sử dụng một cấu trúc gói tin có thể đoán trước để giao tiếp, được thể hiệntrong hình 2-3

Hình 2-3: Mô tả về cấu trúc gói tinCấu trúc dự liệu được chia thành 5 khu vực riêng biệt:

Mã

(1)

 Các thuộc tính và các giá trị

2.2.1 Mã:

Trường mã dài một octet và dùng để phân biệt các loại tin nhắn RADIUS được gửitrong gói đó Các gói tin với các lĩnh vực mã không hợp lệ được ném đi mà khôngthông báo Mã số hợp lệ là:

Các từ định danh là khu vực dài 1 octet và được sử dụng để thực hiện luồng, hoặc

tự động liên kết các yêu cầu ban đầu và trả lời tiếp theo Máy chủ RADIUS nói chung

có thể ngăn chặn bản sao tin nhắn bằng cách kiểm tra các yếu tố như địa chỉ IP nguồn,cổng UDP nguồn, khoảng thời gian giữa các tin nhắn nghi ngờ, và các lĩnh vực nhậndạng

2.2.3 Độ dài:

Các khu vực có chiều dài là hai octet và được sử dụng để chỉ định độ dài gói tinRADIUS được phép Giá trị trong lĩnh vực này được tính bằng cách phân tích mã,nhận dạng, chiều dài, và các lĩnh vực thuộc tính và việc tìm kiếm tổng hợp của chúng.Các lĩnh vực được kiểm tra chiều dài khi một máy chủ RADIUS nhận được một gói tin

để đảm bảo toàn vẹn dữ liệu Giá trị hợp lệ chiều dài khoảng từ 20 đến 4096

Các đặc điểm kỹ thuật RFC đòi hỏi những hoạt động nhất định của các máy chủRADIUS có liên quan đến chiều dài dữ liệu không chính xác Nếu máy chủ RADIUS

nhận được một hộp với một tin nhắn dài hơn so với lĩnh vực chiều dài, nó sẽ bỏ qua tất

cả các dữ liệu qua các điểm cuối được chỉ định trong lĩnh vực chiều dài Ngược lại,nếu máy chủ nhận được một tin nhắn ngắn hơn so với độ dài lĩnh vực báo cáo, máychủ sẽ loại bỏ các tin nhắn

2.2.4 Bộ xác thực:

Dài 16 octet Trong lĩnh vực này, các octet quan trọng nhất được truyền trước bất

kỳ octet khác – một giá trị được sử dụng để trả lời xác thực từ máy chủ RADIUS Giátrị này cũng được sử dụng trong cơ chế để che giấu mật khẩu

Có hai loại hình Authenticators như sau: Request-Authenticator và Authenticator

Response RequestResponse Authenticator có sẵn trong gói AccessResponse Request và AccountingResponse Request

Accounting ResponseAccounting Authenticator có sẵn trong gói AccessAccounting Accept, AccessAccounting Reject,Access-challenge, Accouting-Response

2.3 Phân loại gói tin:

Có bốn loại gói tin RADIUS có liên quan đến các giai đoạn thẩm định và ủy quyềncủa các giao dịch AAA và hai gói tin liên quan tới quá trình kế toán:

RADIUS với một danh sách các dịch vụ yêu cầu.Trường id phải được đặt một giá trịduy nhất cho một gói yêu cầu.

Các tải trọng của gói tin Access-Request nên bao gồm các thuộc tính tên ngườidùng để xác định những người cố gắng truy cập vào các tài nguyên mạng Trọng tảiđược yêu cầu phải có các địa chỉ IP hoặc tên tiêu chuẩn của các thiết bị mạng mà từ đó

nó được yêu cầu dịch vụ Nó cũng có chứa một mật khẩu người dùng, mật khẩu dựatrên một CHAP, hoặc một định danh, nhưng không phải cả hai loại mật khẩu Các mậtkhẩu người dùng phải được băm bằng cách sử dụng MD5

Về cơ bản, các gói dữ liệu mới cần phải được tạo ra bất cứ khi nào thuộc tính đượcthay đổi, kể từ khi xác định các thông tin được thay đổi Các thuộc tính với những bímật được chia sẻ, cần phải được đảo ngược bởi các máy chủ proxy (để có được nhữngthông tin tải trọng ban đầu) và sau đó mã hóa một lần nữa với bí mật mà máy chủproxy chia sẻ với máy chủ từ xa

Cấu trúc gói tin Access-Request được thể hiện trong hình 2-4

Hình 2-4: Một gói tin Access-Request điển hình

2.3.2 Access-Accept:

Các gói tin Access-Accept được gửi bởi máy chủ RADIUS tới máy khách để xácnhận rằng yêu cầu của máy khách được chấp nhận Nếu tất cả các yêu cầu trong các tảitrọng Access-Request được chấp nhận, sau đó các máy chủ RADIUS phải thiết lậptrường mật mã gói tin trả lời là 2 Các máy khách khi nhận được gói chấp nhận, phùhợp nó với các gói tin trả lời bằng cách sử dụng trường nhận dạng Các gói không theotiêu chuẩn này được bỏ đi

Các thuộc tính: username

NAS ID hoặc name (Tùy biến)

MD5 user password hoặc CHAP PWD

Tất nhiên, để đảm bảo rằng các gói tin yêu cầu và chấp nhận phù hợp như đã nói,

để đảm bảo các đáp trả chấp nhận được gửi trong các gói tin trả lời yêu cầu tương ứng,trường định danh trong tiêu đề gói Access-Accept phải có một giá trị giống hệt giá trịcủa trường định danh trong gói Access-Request

Các gói tin Access-Accept có thể chứa nhiều hay ít thông tin thuộc tính như là nócần phải bao gồm Nhiều khả năng các thông tin thuộc tính trong gói này sẽ mô tả cácloại hình dịch vụ đã được xác thực và ủy quyền để máy khách có thể đặt mình lên để

sử dụng các dịch vụ Tuy nhiên, nếu không có thông tin thuộc tính được bao gồm, máykhách giả định rằng các dịch vụ nó yêu cầu là những thứ được chấp nhận

Cấu trúc gói tin Access-Accept được hiển thị trong hình 2-5

Hình 2-5: Gói tin Access-Accept điển hình

2.3.3 Access-Reject:

Máy chủ RADIUS được yêu cầu gửi một gói tin Access-Reject lại cho máy kháchnếu nó phải từ chối bất kỳ dịch vụ được yêu cầu trong các gói tin Access-Request Sự

từ chối này có thể được dựa trên chính sách hệ thống, đặc quyền chưa đầy đủ, hoặc bất

kỳ các tiêu chuẩn khác - phần lớn điều này là một chức năng của các thực hiện cánhân Gói Access-Reject có thể được gửi tại bất kỳ thời gian trong một phiên, làm chochúng lý tưởng cho việc thi hành giới hạn thời gian kết nối Tuy nhiên, không phải tất

cả thiết bị hỗ trợ nhận được gói Access-Reject trong một kết nối được thiết lập sẵn.Các tải trọng cho loại gói tin được giới hạn trong hai thuộc tính cụ thể: các thuộctính tin nhắn trả lời và thuộc tính trạng thái Proxy Trong khi các thuộc tính này có thểxuất hiện nhiều hơn một lần trong tải trọng của gói tin, ngoài trừ bất kỳ thuộc tính nhàcung cấp cụ thể, không có các thuộc tính khác được cho phép, theo các đặc điểm kỹthuật RFC, để được bao gồm trong gói tin

Các thuộc tính: Hoàn toàn không bắt buộc Các dịch vụ ủy quyền

(Tùy biến)

Bộ xác thực (Phản hồi)

= Mã + ID + độ dài + bộ xác thực yêu cầu + thuộc tính và khóa bí mật

Độ dài

(Tiêu đề và tải trọng)

Từ định danh

(Duy nhất mỗi lần truyền)

Mã

(2)

Cấu trúc gói tin Access-Reject được thể hiện trong hình 2-6.

Hình 2-6: Gói tin Access-Reject điển hình

2.3.4 Access-Challenge :

Nếu một máy chủ nhận thông tin trái ngược nhau từ người sử dụng, yêu cầu nhiềuthông tin hơn, hay đơn giản là muốn làm giảm nguy cơ chứng thực gian lận, nó có thểphát hành một gói tin Access-Challenge cho máy khách Máy khách, khi nhận đượcgói tin Access-Challenge , sau đó phải ra một gói Access-Request mới bao gồm cácthông tin thích hợp

Cần lưu ý rằng một số máy khách không hỗ trợ các quá trình thử thách / đáp ứngnhư thế này, trong trường hợp đó, máy khách xử lý các gói tin Access-Challenge như

là một gói tin Access-Reject Một số máy khách, tuy nhiên, hỗ trợ thử thách, và lúc đótin nhắn có thể được trao cho người sử dụng tại máy khách yêu cầu thêm thông tin xácthực, nó không cần thiết trong tình hình đó đặt ra một vòng các gói tin yêu cầu / đáptrả khác

Giống như các gói tin Access-Reject, chỉ có hai thuộc tính tiêu chuẩn có thể đượcbao gồm trong một gói tin Access-Challenge : thuộc tính trạng thái và tin nhắn trả lời.Bất kỳ các thuộc tính nhà cung cấp cụ thể cần thiết có thể được bao gồm là tốt Cácthuộc tính tin nhắn trả lời có thể được bao gồm trong gói nhiều lần, nhưng các thuộctính trạng thái được giới hạn trong một trường hợp duy nhất Các thuộc tính trạng tháiđược sao chép không thay đổi vào gói Access-Request được trả về cho máy chủ thửthách

Cấu trúc gói tin Access-Challenge được thể hiện trong hình 2-7

Page 28

Các thuộc tính: Không bắt buộc Giới hạn: reply-message

Proxy message (cả hai có thể xuất hiện nhiều lần)

(Tùy biến)

Bộ xác thực (Phản hồi)

= MD5(Mã + ID + độ dài + bộ xác thực yêu cầu + thuộc tính và khóa bí mật)

Độ dài

(Tiêu đề và tải trọng)

Từ định danh

(Duy nhất mỗi lần truyền)

Mã

(11)

Hình 2-7: Gói tin Access-Challenge điển hình

2.3.5 Accounting-Request:

Các gói Accounting-Request được gửi từ một máy khách (thường là một máy chủtruy cập mạng (NAS) hoặc proxy của nó) tới một máy chủ kế toán RADIUS, và truyềnđạt thông tin sử dụng để cung cấp kế toán cho một dịch vụ cung cấp cho người dùng.Các máy khách truyền một gói tin RADIUS với trường mã thiết lập là 4 (Accounting-Request)

Khi nhận được một Accounting-Request, máy chủ phải trả lời bằng góiAccounting-Response nếu nó ghi lại các gói tin kế toán thành công, và không phải trảlời bất kỳ gói nào nếu nó ghi lại các gói tin kế toán thất bại

Bất kỳ thuộc tính hợp lệ trong một gói Access-Request hoặc Access-AcceptRADIUS là hợp lệ trong một gói Accounting-Request RADIUS, ngoại trừ các thuộctính sau đây không phải có mặt trong một Accounting-Request: mật khẩu người dùng,mật khẩu CHAP, tin nhắn trả lời, trạng thái Hoặc địa chỉ IP NAS hoặc nhận dạngNAS phải được hiện diện trong một gói Accounting-Request RADIUS Nó nên chứamột thuộc tính cổng NAS hoặc loại cổng NAS hoặc cả hai trừ khi các dịch vụ khôngliên quan đến một cổng hoặc NAS không phân biệt giữa các cổng của nó

Nếu các gói tin Accounting-Request bao gồm một địa chỉ IP khung, thuộc tính đóphải chứa địa chỉ IP của người dùng Nếu Access-Accept sử dụng các giá trị đặc biệtcho địa chỉ IP khung nói với NAS để chuyển nhượng hoặc thương lượng một địa chỉ

IP cho người dùng, các địa chỉ IP khung (nếu có) trong Accounting-Request phải cócác địa chỉ IP thực tế được giao hoặc thương lượng

Các thuộc tính: Chứa danh sách các thuộc tính

Hình 2-8: Gói tin Accounting-Request điển hình

 Mã: 4 – Accounting-Request

 Định danh: Các trường nhận dạng phải được thay đổi bất cứ khi nào nội dungcủa trường thuộc tính thay đổi, và bất cứ khi nào trả lời hợp lệ đã được nhận cho mộtyêu cầu trước đó Đối với việc truyền lại nơi mà nội dung giống hệt nhau, việc phảinhận dạng không thay đổi

Lưu ý rằng nếu Acct-Delay-Time được bao gồm trong các thuộc tính của một giátrị Accounting-Request sau đó giá trị Acct-Delay-Time sẽ được cập nhật khi gói dữliệu được truyền lại, thay đổi nội dung của các trường thuộc tính và đòi hỏi một nhậndạng mới và xác thực yêu cầu

 Xác thực yêu cầu: Các xác thực yêu cầu của một Accounting-Request chứa mộtgiá trị mảng băm MD5 16 octet tính theo phương pháp mô tả trong "Xác thực yêu cầu"

Một gói Accounting-Response RADIUS không bắt buộc phải có những thuộc tínhtrong đó

Các thuộc tính: Chứa hoặc không chứa danh sách các thuộc tính

Hình 2-9: Gói tin Accounting-Response điển hình

 Thuộc tính: Các trường thuộc tính thay đổi trong chiều dài, và có một danh sáchtrống hay nhiều thuộc tính

Bí mật chia sẻ (thường chỉ gọi là "bí mật") là duy nhất với một cặp máy khách vàmáy chủ RADIUS nói riêng Ví dụ, nếu một người sử dụng đăng ký nhiều nhà cungcấp dịch vụ Internet để truy cập quay số, người dùng này đã gián tiếp tạo các yêu cầutới nhiều máy chủ RADIUS Những bí mật chia sẻ giữa thiết bị NAS máy khách tạicác ISP A, B, và C được sử dụng để giao tiếp với các máy chủ RADIUS tương ứngkhông phù hợp

Trong khi một số triển khai RADIUS quy mô lớn hơn có thể tin rằng bảo vệ anninh giao dịch bằng cách sử dụng một sự thay đổi bí mật chia sẻ tự động là một bước

đi thận trọng, có một khó khăn tiềm ẩn khá lớn: không có sự bảo đảm các máy khách

và các máy chủ có thể đồng bộ hóa với các bí mật chia sẻ mới trong thời gian thích

hợp nhất Và ngay cả khi nó đã được chắc chắn rằng các đồng bộ hóa đồng thời có thểxảy ra, nếu còn tồn tại các yêu cầu tới các máy chủ RADIUS và máy khách đang bận

xử lý (và, do đó, nó bỏ lỡ thời cơ để đồng bộ hóa các bí mật mới), sau đó những yêucầu còn tồn tại sẽ bị từ chối bởi máy chủ

2.5 Các thuộc tính và giá trị:

2.5.1 Các thuộc tính:

Hình 2-10: Mẫu truyền các cặp giá trị thuộc tính (AVP) tiêu chuẩn

 Số thuộc tính: Con số này biểu thị các loại thuộc tính trình bày trong gói Têncủa thuộc tính không được thông qua trong gói - chỉ có số Nói chung, số thuộc tính cóthể trong khoảng 1-255, với một số cụ thể phục vụ như là một "cửa ngõ" của các loạicho các nhà cung cấp để cung cấp các thuộc tính cụ thể của mình

 Chiều dài thuộc tính: Trường này mô tả chiều dài của trường thuộc tính, mà cầnphải từ 3 trở lên Trường này theo cách tương tự như các lĩnh vực chiều dài của tiêu đềgói tin RADIUS

 Giá trị: Chứa đặc điểm hoặc đặc tính của chính thuộc tính đó, trường này cầnthiết cho mỗi thuộc tính trình bày, thậm chí nếu giá trị bản thân nó là bằng không Độdài này sẽ thay đổi dựa trên bản chất vốn có của các thuộc tính của nó

Cơ cấu AVP thể hiện trong hình 2-6 bao gồm một tập liên tục các byte chứa ít nhất

ba octet, với các octet đầu tiên là loại, thứ hai là chiều dài, và octet cuối cùng là giá trịcủa các thuộc tính của chính nó

Các máy chủ RADIUS biết đầy đủ về một thuộc tính có tên gọi chính thức của nókhông cần được truyền đi trong gói Các mã số (số thuộc tính) là đủ để suy ra loạithông tin được truyền đi trong giá trị cụ thể đó

Các loại thuộc tính:

Gói RADIUSTải trọng Tiêu đề

Các thuộc tính

Giá trị

Phụ thuộc vào số thuộc tính

ĐộdàiSố

1-Có 6 loại như được nêu trong RFC:

Số nguyên (INT): là những giá trị có chứa số nguyên Một thuộc tính như IdleTimeout có thể được thiết lập giá trị số nguyên là 15

Liệt kê (ENUM): dữ liệu đó là của các loại liệt kê bao gồm một số nguyên, nhưnggiá trị này dựa trên một tập hợp cấu hình người sử dụng của dãy nhiều giá trị và nhiều

ý nghĩa Có thể gặp phải các giá trị liệt kê được gọi là giá trị số nguyên theo ngữ nghĩa,trong khi không theo ngữ nghĩa giá trị nguyên chỉ đơn giản là loại số nguyên

Địa chỉ IP (IPADDR): loại dữ liệu này là một số 32-bit được thiết kế để thông quamột địa chỉ IP chính xác Trong khi RADIUS theo mặc định sẽ xem xét một địa chỉ IPtheo giá trị, một số triển khai thực hiện có thể được cấu hình để xử lý nó với một giátrị định sẵn, chẳng hạn như một subnet mask riêng Ngoài ra, một phần mở rộng gầnđây để các giao thức RADIUS cho phép các địa chỉ IPv6 được sử dụng trong loại này.Chuỗi ký tự (STRING): Chuỗi ký tự thường được xác định là chuỗi in UTF-8 cóthể được đọc theo giá trị Dữ liệu được truyền dưới dạng một dãy ký tự có thể bị chặnhay không bị chặn, bất cứ cái nào là thích hợp

Ngày tháng (DATE): là một con số không dấu 32-bit đại diện cho giây trôi qua kể

Các giao thức RADIUS định nghĩa một AVP cụ thể như là một "cửa ngõ" AVPtrong đó các thuộc tính nhà cung cấp cụ thể, hoặc VSAs, có thể được đóng gói VSAđược thực hiện ở tải trọng giá trị của AVP tiêu chuẩn 26, được gọi là nhà cung cấp cụ

thể Hình 2-11 cho thấy AVP tiêu chuẩn và làm thế nào thông tin được thực hiện trongVSA.

Hình 2-11: Sự truyền đi của 1 VAS bên trong 1 AVP tiêu chuẩn

Loại nhà cung cấp

Trường loại nhà cung cấp, dài một octet, chức năng hành xử theo cách tương tựnhư số thuộc tính trong một AVP tiêu chuẩn Các loại nhà cung cấp là những giá trịvới phạm vi từ 1 đến 255, và tầm quan trọng và ý nghĩa của từng giá trị được biết đếnbên trong các máy chủ RADIUS

Chiều dài

Trường này là một con số một octet cho biết chiều dài của toàn bộ VSA, với chiềudài tối thiểu của toàn bộ VSA là 7 Một lần nữa, hoạt động của trường này là tương tựnhư lĩnh vực chiều dài trong một tiêu chuẩn, RFC định nghĩa AVP

Giá trị

Các trường giá trị được yêu cầu phải dài ít nhất một octet và chứa dữ liệu được cụthể cho các chính VSA đó Hầu hết các giá trị này được đọc, hiểu, và phân tích bởi

Tải trọng gói RADIUS

VAS bên trong tải trọng

máy khách và máy chủ RADIUS trên đầu thu nhận thức của các tính năng đặc biệt vàkhả năng phi tiêu chuẩn mà triển khai thực hiện cụ thể của chúng có hỗ trợ.

2.5.2 Các giá trị:

Tất cả các thuộc tính phải có giá trị, thậm chí nếu giá trị của thuộc tính này là vôgiá trị Giá trị đại diện cho các thông tin mà mỗi thuộc tính riêng biệt được thiết kế đểchuyển tải Chúng mang theo "phần cốt lõi" của thông tin Giá trị phải phù hợp với cácquy tắc loại thuộc tính Bảng 2-8 cho thấy ví dụ của từng loại thuộc tính và trường giátrị dự kiến tải trọng cho từng loại

Loại thuộc

tính

Chiều dài (Octet)

Kích thước / Phạm vi

1Mỗi thuộc tính giá trị được liệt kê trong RFC RADIUS

3 Hoạt động:

3.1 Quá trính truy cập:

Khi một máy khách được cấu hình để sử dụng RADIUS, bất kỳ người sử dụng củamáy khách đưa ra thông tin xác thực cho máy khách Điều này có thể được tùy biếnvới một đăng nhập nhanh chóng, nơi người dùng sẽ nhập tên người dùng và mật khẩucủa họ Máy khách tạo ra một "Access-Request" có chứa các thuộc tính như tên củangười dùng, mật khẩu của người dùng, các ID của máy khách và ID cổng mà ngườidùng đang truy cập Khi có mật khẩu, nó được ẩn bằng cách sử dụng một phương phápdựa trên MD5

Các Access-Request được gửi tới máy chủ RADIUS qua mạng Nếu không có phảnhồi được trả về trong một khoảng thời gian, yêu cầu được gửi lại một số lần Các máykhách cũng có thể chuyển tiếp yêu cầu tới một máy chủ thay thế hoặc các máy chủtrong trường hợp máy chủ chính bị ngừng hoạt động hoặc không thể truy cập Mộtmáy chủ thay thế có thể được sử dụng hoặc sau khi một số cố gắng truy cập tới cácmáy chủ chính bị lỗi, hoặc trong một kiểu vận hành lần lượt

Một khi các máy chủ RADIUS nhận được yêu cầu, nó xác nhận hợp lệ của máykhách gửi Một yêu cầu từ máy khách mà các máy chủ RADIUS không có một bí mậtđược chia sẻ phải được âm thầm bỏ đi Nếu máy khách là hợp lệ, máy chủ RADIUStra cứu một cơ sở dữ liệu của người dùng để tìm người sử dụng có tên phù hợp với yêucầu Mục người sử dụng trong cơ sở dữ liệu chứa một danh sách các yêu cầu đó phảiđược đáp ứng để cho phép người sử dụng truy cập Điều này luôn luôn bao gồm xác

minh mật khẩu, nhưng cũng có thể chỉ định các máy khách hoặc cổng mà người dùngđược phép truy cập.

Máy chủ RADIUS có thể làm cho yêu cầu của các máy chủ khác đáp ứng các yêucầu, trong trường hợp nó hoạt động như một máy khách

Nếu bất kỳ thuộc tính Proxy-State được đưa ra trong các Access-Request, chúngphải được sao chép chưa sửa đổi và đặt vào các gói tin trả lời Các thuộc tính khác cóthể được đặt trước, sau, hoặc thậm chí giữa các thuộc tính Proxy-State

Nếu điều kiện nào không được đáp ứng, máy chủ RADIUS gửi một phản hồi

"Access-Reject" cho biết yêu cầu người sử dụng này không hợp lệ Nếu muốn, cácmáy chủ có thể bao gồm các tin nhắn văn bản trong Access-Reject có thể được hiển thịbởi các máy khách cho người dùng Không có thuộc tính khác (trừ Proxy-State) đượcphép trong một Access-Reject

Nếu tất cả các điều kiện được đáp ứng và các máy chủ RADIUS muốn ra mộtthách thức mà người dùng phải đáp ứng, các máy chủ RADIUS gửi một phản hồi

"Access-Challenge" Nó có thể bao gồm các tin nhắn văn bản được hiển thị bởi cácmáy khách cho người sử dụng phản hồi cho thách thức này, và có thể bao gồm mộtthuộc tính trạng thái

Nếu máy khách nhận được một Access-Challenge và hỗ trợ thách thức / phản ứng

nó có thể hiển thị các tin nhắn văn bản, nếu có, cho người sử dụng, và sau đó nhắc nhởngười dùng về một phản hồi Máy khách sau đó nộp lại bản gốc Access-Request của

nó với một ID yêu cầu mới, với các thuộc tính người dùng mật khẩu thay thế bằng cácphản hồi (đã mã hóa), và bao gồm cả các thuộc tính trạng thái từ các Access-Challenge, nếu có Chỉ có 0 hoặc 1 thể hiện của thuộc tính trạng thái có mặt trong yêucầu Máy chủ có thể đáp ứng với Access-Request mới này với một Access-Accept,một Access-Reject, hoặc một Access-Challenge khác

Nếu có đủ điều kiện, danh sách các giá trị cấu hình cho người sử dụng được đặtvào một phản hồi "Access-Accept" Những giá trị này bao gồm các loại hình dịch vụ(ví dụ: SLIP, PPP, người dùng đăng nhập) và tất cả các giá trị cần thiết để cung cấpcác dịch vụ mong muốn Đối với SLIP và PPP, điều này có thể bao gồm giá trị như địachỉ IP, subnet mask, MTU, nén mong muốn, và nhận dạng lọc gói mong muốn Đối

với những người dùng chế độ ký tự, điều này có thể bao gồm giá trị như giao thức vàmáy chủ mong muốn.

Trong xác thực thách thức / phản hồi, người sử dụng được cho một số không thểđoán trước và thách thức để mã hóa nó và trả lại kết quả Người được ủy quyền đềuđược trang bị các thiết bị đặc biệt như thẻ thông minh hoặc các phần mềm tạo thuậnlợi cho tính toán của các phản hồi chính xác một cách dễ dàng Người sử dụng tráiphép, thiếu thiết bị thích hợp hoặc phần mềm và không biết khóa bí mật cần thiết đểcạnh tranh như một thiết bị hoặc phần mềm, chỉ có thể đoán phản hồi

Các gói tin Access-Challenge thường có chứa một tin nhắn trả lời bao gồm mộtthách thức để được hiển thị cho người dùng, chẳng hạn như một giá trị số không baogiờ được lặp lại

Người sử dụng sau đó đi vào các thách thức trong thiết bị của mình (hoặc phầnmềm) và tính toán một phản hồi, người dùng nhập vào máy khách rồi máy đó chuyểntiếp nó tới máy chủ RADIUS thông qua một Access-Request thứ hai Nếu phản hồitrùng khớp với phản hồi mong muốn máy chủ RADIUS trả lời với một Access-Accept,nếu không một Access-Reject sẽ được trả về máy khách

Hình 2-12: Quá trình xác thực RADIUS đơn giản

1) Người dùng cố gắng truy cập vào Cisco ASA

2) Cisco ASA yêu cầu người dùng nhập tên và mật khẩu

3) Người dùng nhập vào thông số của mình và gửi cho cisco ASA

4) Cisco ASA gửi gói Access-Request tới máy chủ RADIUS

5) Nếu thông số người dùng nhập có trong cơ sở dữ liệu tại máy chủ

RADIUS, máy chủ RADIUS sẽ gửi gói Access-Accept về cho Cisco ASA, nếuthông số người dùng nhập không có thì máy chủ RADIUS sẽ gửi gói Access-Reject vềcho cisco ASA

4 5 6

1 2 3

Người dùng

6) Cisco ASA sẽ phản hồi về cho máy khách biết được phép hay không được phéptruy cập vào 1 dịch vụ cụ thể.

3.2 Quá trình kế toán:

Khi một máy khách được cấu hình để sử dụng RADIUS kế toán, khi bắt đầu cungcấp dịch vụ nó sẽ tạo ra một gói tin bắt đầu kế toán mô tả các loại hình dịch vụ đượccung cấp và người sử dụng nó đang được chuyển tới, và sẽ gửi tới máy chủ kế toánRADIUS, trong đó sẽ gửi lại một xác nhận rằng gói tin đã được nhận Khi kết thúccung cấp dịch vụ máy khách sẽ tạo ra một gói kết thúc kế toán mô tả các loại hình dịch

vụ đã được giao và thông số tùy ý như là thời gian trôi qua, octet vào và ra, hoặc cácgói dữ liệu vào và ra Nó sẽ gửi tới máy chủ kế toán RADIUS, và sẽ gửi phản hồi mộtxác nhận rằng gói tin đã được nhận

Accounting-Request (dù cho bắt đầu hoặc kết thúc) được gửi tới máy chủ kế toánRADIUS qua mạng Nó khuyến cáo các khách hàng tiếp tục cố gắng gửi gói tinAccounting-Request cho đến khi nhận được một xác nhận, bằng cách sử dụng một sốhình thức chờ để truyền Nếu không có phản hồi được trả về trong một khoảng thờigian, yêu cầu được gửi lại một số lần Máy khách cũng có thể chuyển tiếp yêu cầu tớimột máy chủ thay thế hoặc các máy chủ trong trường hợp máy chủ chính ngừng hoạtđộng hoặc không thể truy cập Một máy chủ thay thế có thể được sử dụng hoặc sau khimột số cố gắng đến các máy chủ chính bị lỗi, hoặc trong một kiểu vận hành lần lượt.Máy chủ kế toán RADIUS có thể làm cho yêu cầu của các máy chủ khác đáp ứngcác yêu cầu, trong trường hợp nó hoạt động như một máy khách

Nếu máy chủ kế toán RADIUS không thể thành công ghi lại các gói tin kế toán, nókhông phải gửi một xác nhận Accounting-Response cho máy khách

4 RFCs:

4.1 Nguồn gốc:

RADIUS ban đầu được quy định trong một RFI bởi Merit Network vào năm 1991

để kiểm soát truy cập quay số tới NSFNET Livingston Enterprises trả lời cho RFI với

mô tả của một máy chủ RADIUS Merit Network quyết định liện hệ với Livingston

Enterprises giao hàng loạt PortMaster của các Network Access Server và máy chủRADIUS ban đầu cho Merit RADIUS sau đó (1997) được xuất bản như RFC 2058 vàRFC 2059 (phiên bản hiện tại là RFC 2865 và RFC 2866).

Bây giờ, tồn tại một số máy chủ RADIUS thương mại và mã nguồn mở Các tínhnăng có thể khác nhau, nhưng hầu hết có thể thấy sử dụng trong các tập tin văn bản,máy chủ LDAP, cơ sở dữ liệu khác nhau Tài liệu kế toán có thể được ghi vào tập tinvăn bản, cơ sở dữ liệu khác nhau, chuyển tiếp đến máy chủ bên ngoài SNMP thườngđược sử dụng để giám sát từ xa và kiểm tra xem một máy chủ RADIUS còn hoạt độnghay không Các máy chủ RADIUS proxy được sử dụng để tập trung quản lý và có thểviết lại các gói tin RADIUS (đối với lý do bảo mật, hoặc để Chuyển đổi giữa các nhàcung cấp)

Các giao thức Diameter là kế hoạch thay thế cho RADIUS Diameter sử dụngSCTP hoặc TCP trong khi RADIUS sử dụng UDP là lớp vận chuyển

2865

Remote Authentication Dial In User Service (RADIUS) 6/200

0RFC

2866

0RFC

2867

RADIUS Accounting Modifications for Tunnel ProtocolSupport

6/2000

RFC

2868

RADIUS Attributes for Tunnel Protocol Support 6/200

0RFC