Nội dung của bài giảng trình bày tổng quan về kiến trúc AAA, các nhân tố xác thực, phân loại xác thực, xác thực người dùng, các loại mật khẩu, các kiểu cung cấp ứng dụng cung cấp AAA, khuôn dạng gói tin, nguyên lý hoạt động và cấu trúc của gói tin.
Trang 1Trình bày:Ths Lương Trần Hy Hiếnhttp://hienlth.info/hutech/baomatthongtin
Trang 21. Tổng quan về kiến trúc AAA
2
Trang 3 AAA cho phép nhà quản trị mạng biết được các thông tin quan trọng về tình hình cũng như mức
độ an toàn trong mạng
Ta có thể bật các dịch vụ AAA trên router,
switch, firewall, các thiết bị VPN, server, …
Các dịch vụ AAA được chia thành ba phần, xác thực (authentication), cấp quyền (authorzation), tính cước (accounting)
3
Trang 4 Dùng để nhận dạng người dùng.
Kiểm tra username và password của người
dùng so với với CSDL lưu trong AAA Server
Một khi username và password được chấp
nhận, AAA có thể dùng để định nghĩa thẩm
quyền mà người dùng được phép làm trong hệ thống
4
Trang 5 Những cái mà người dùng sở hữu bẩm sinh
VD: vết lăn tay , mẫu hình võng mạc mắt , chuỗi DNA , mẫu hình về giọng nói sự xác minh chữ ký, tín hiệu
sinh điện đặc hữu do cơ thể sống tạo sinh (unique
bio-electric signals), hoặc những biệt danh sinh trắc
(biometric identifier)
Những cái gì người dùng có
VD: chứng minh thư (ID card), chứng chỉ an ninh
(security token), chứng chỉ phần mềm (software
token) hoặc điện thoại di động (cell phone)
Những gì người dùng biết
VD: mật khẩu , hoặc số định danh cá nhân (personal
identification number - PIN))
Trang 6 Xác thực
Xác thực người dùng
Xác thực tiến trình
Xác thực tình huống
Trang 7 Cơ chế xác thực chia làm 3 loại:
What you know: mật khẩu, tên đăng nhập…
What you process: thẻ bài, năng lực…
Something about you: hình ảnh, dấu vân tay…
Xác thực bằng mật khẩu:
Cơ chế xác thực user phổ biến, an toàn và hiệu quả
Mật khẩu phải đảm bảo:
▪ Kết hợp các ký tự, ký số…
▪ Đủ dài (vd, từ 8 ký tự trở lên)
▪ Không sử dụng các ký hiệu, tên phổ biến
▪ Không được giống nhau
▪ Thay đổi thường xuyên
▪ Không lưu sẵn trên máy
Trang 8 Mật khẩu theo nhóm:
Nhóm user sử dụng chung tài khoản, ứng dụng…
Mật khẩu sử dụng nhiều lần:
Mỗi user có 1 mật khẩu đăng nhập hệ thống
Mật khẩu được sử dụng thường xuyên, ít thay đổi
Tiện lợi cho user, dễ bị đánh cắp
Mật khẩu sử dụng 1 lần:
Dành cho các user đăng nhập hệ thống 1 lần
Mỗi lần đăng nhập, user sẽ được cấp lại mật khẩu
Sau khi logout, password sẽ bị hủy
Trang 9 Thẻ bài (token):
User hợp pháp được cấp thẻ sử dụng
Chứng thực luận lý: thẻ bài + mã số thẻ
Chứng thực vật lý: thẻ bài + mã thẻ + máy đọc thẻ
Thẻ từ mã vạch (magnetic stripe credit card):
Bổ sung thông tin user, gia tăng độ an toàn của thẻ bài
Độ an toàn chưa cao (thẻ có thể bị mất, đánh cắp…)
Thẻ thông minh (smart card, chip card):
Thẻ từ mã vạch sử dụng chip điện tử, vi xử lý
Độ an toàn cao, tiện dụng (user có thể sử dụng ở nhiều nơi)
Nhận dạng thông minh:
Xác thực đặc trưng user (vân tay, mống mắt) bằng máy quét
Độ chính xác cao, tuy nhiên tập đặc trưng user vẫn có thể bị đánh cắp
Trang 10 Cho phép nhà quản trị điều khiển việc cấp
quyền trong một khoảng thời gian, hay trên từng thiết bị, từng nhóm, từng người dùng cụ thể hay trên từng giao thức
Cho phép nhà quản trị tạo ra các thuộc tính mô
tả các chức năng của người dùng được phép
làm cần phải được xác thực trước khi cấp
quyền cho người đó
10
Trang 11 Cho phép nhà quản trị có thể thu thập thông tin như thời gian bắt đầu, thời gian kết thúc người dùng truy cập vào
hệ thống, các câu lệnh đã thực thi, thống kê lưu lượng, việc sử dụng tài nguyên và sau đó lưu trữ thông tin
trong hệ thống cơ sở dữ liệu quan hệ
Cho phép giám sát dịch vụ và tài nguyên được người
dùng sử dụng.
Ví dụ: thống kê cho thấy người dùng có tên truy cập là
SON đã truy cập vào SERVER bằng giao thức FTP với
số lần là 5 lần.
Thông tin này có thể được dùng để tính cước khách
hàng, quản lý mạng, kiểm toán sổ sách
11
Trang 12 TACACS (Terminal Access Controller Access
Control System)
RADIUS (Remote Authentication Dial-In User
Service)
12
Trang 13 TACACS là giao thức được chuẩn hóa sử dụng giao thức hướng kết nối (connection-oriented) là TCP trên port 49.
TACACS+ (Terminal Access controller
Access-Control System Plus) là một giao thức độc
quyền của Cisco, được thiết kế dùng trong kiến trúc AAA cho việc chứng thực, ủy quyền và kế
toán trong môi trường mạng
13
Trang 14 TACACS+ ID định nghĩa 12 bytes header xuất hiện trong tất
cả các gói tin của TACACS+ Cấu trúc của giao thức
TACACS+: gồm cấu trúc phần header và Data.
Cấu trúc header
Data: chứa thông tin liên lạc giữa Tacacs+ client (Network
Access Server) và Tacacs+ Server (AAA server).
14
Trang 16 Radius (Remote Access Dial In User Service) là một giao thức mạng cung cấp việc quản lý xác
thực tập trung, ủy quyền, và kế toán ( AAA ) để cho các máy tính kết nối vào mạng và sử
dụng dịch vụ mạng
RADIUS được phát triển bởi Livingston
Enterprises, Inc vào năm 1991
16
Trang 18RADIUS Server
RADIUS Client (NAS – Network Access Server)
Dial-In User
LAN / WAN
Dial-In
Trang 1919
Trang 21 Quá trình xác thực RADIUS
21
Trang 22 Quá trình chứng thực trong accounting
22