Thủ Thuật Hướng dẫn Giao thức tacacs+ là gì 2022
Cao Thị Xuân Dung đang tìm kiếm từ khóa Giao thức tacacs+ là gì được Cập Nhật vào lúc : 2022-08-25 15:22:03 . Với phương châm chia sẻ Kinh Nghiệm về trong nội dung bài viết một cách Chi Tiết 2022. Nếu sau khi tham khảo nội dung bài viết vẫn ko hiểu thì hoàn toàn có thể lại Comment ở cuối bài để Admin lý giải và hướng dẫn lại nha.Các giao thức để tạo nên cơ chế đƣờng ống bảo mật thông tin cho VPN là L2TP, Cisco GRE và IPSec.
34 2.4.1. L2TP
Trƣớc khi xuất hiện chuẩn L2TP (tháng 8 năm 1999), Cisco sử dụng Layer 2 Forwarding (L2F) nhƣ là giao thức chuẩn để tạo link VPN. L2TP ra đời sau với những tính năng đƣợc tích hợp từ L2F.
L2TP là dạng phối hợp của Cisco L2F và Mircosoft Point-to-Point Tunneling Protocol (PPTP). Microsoft tương hỗ chuẩn PPTP và L2TP trong những phiên bản WindowNT và 2000
L2TP đƣợc sử dụng để tạo link độc lập, đa giao thức cho mạng riêng ảo quay số (Virtual Private Dail-up Network). L2TP được cho phép ngƣời dùng hoàn toàn có thể link thông qua những chủ trương bảo mật thông tin của công ty (security policies) để tạo VPN hay VPDN nhƣ là sự việc mở rộng của mạng nội bộ công ty.
L2TP không đáp ứng mã hóa.
Hình 2-2 Mô hình L2TP
L2TP là sự việc phối hợp của PPP(giao thức Point-to-Point) với giao thức L2F(Layer 2 Forwarding) của Cisco do đó rất hiệu suất cao trong link mạng dial, ADSL, và những mạng truy cập từ xa khác. Giao thức mở rộng này sử dụng PPP để được cho phép truy cập VPN bởi những ngƣờI sử dụng từ xa.
2.4.2. GRE
Đây là đa giao thức truyền thông đóng gói IP, CLNP và tất cả cá gói tài liệu bên trong đƣờng ống IP (IP tunnel).
Với GRE Tunnel, Cisco router sẽ đóng gói cho từng vị trí một giao thức đặc trƣng chỉ định trong gói IP header, tạo một đƣờng link ảo (virtual point-to-point) tới Cisco router cần đến. Và khi gói tài liệu đến đích IP header sẽ đƣợc mở ra.
Bằng việc link nhiều mạng con với những giao thức rất khác nhau trong môi trƣờng có một giao thức chính. GRE tunneling được cho phép những giao thức khác hoàn toàn có thể thuận lợi trong việc định tuyến cho gói IP.
35
Hình 2-3 Mô hình IPSEC
IPSec là sự việc lựa chọn cho việc bảo mật thông tin trên VPN. IPSec là một khung gồm có bảo mật thông tin tài liệu (data confidentiality), tính toàn vẹn của tài liệu (integrity) và việc xác nhận tài liệu.
IPSec cung cấp dịch vụ bảo mật thông tin sử dụng KDE được cho phép thỏa thuận những giao thức và thuật toán trên nền chủ trương cục bộ (group policy) và sinh ra những khóa bảo mã hóa và xác nhận đƣợc sử dụng trong IPSec.
2.4.4. Point to Point Tunneling Protocol (PPTP)
Đƣợc sử dụng trên những máy client chạy HĐH Microsoft for NT4.0 và
Windows 95+ . Giao thức này đƣợc sử dụng để mã hóa tài liệu lƣu thông trên Mạng LAN. Giống nhƣ giao thức NETBEUI và IPX trong một pác két trình lên Internet. PPTP nhờ vào chuẩn RSA RC4 và tương hỗ bởi sự mã hóa 40-bit hoặc 128-bit.
Hình 2-4 Mô hình PPTP
Nó không đƣợc phát triển trên dạng link LAN-to-LAN và số lượng giới hạn 255 link tới 1 server chỉ có một đƣờng hầm VPN trên một link. Nó không cung
36
cấp sự mã hóa cho những việc làm lớn nhƣng nó dễ setup và triển khai và là một giải pháp truy cập từ xa chỉ hoàn toàn có thể làm đƣợc trên mạng MS. Giao thức này thì đƣợc dùng tốt trong Window 2000. Layer 2 Tunneling Protocol thuộc về IPSec.
37
Chƣơng 3 - TỔNG QUAN VỀ AAA VÀ CẤU HÌNH AAA TRÊN
CISCO ASA FIREWALL
3.1. Định nghĩa AAA
Hình 3-1 Mô hình AAA chung
AAA được cho phép nhà quản trị mạng biết đƣợc những thông tin quan trọng về tình hình cũng nhƣ mức độ bảo vệ an toàn và đáng tin cậy trong mạng. Nó đáp ứng việc xác thực
(authentication) ngƣời dùng nhằm mục đích bảo vệ hoàn toàn có thể nhận dạng đúng ngƣời dùng. Một khi đã nhận dạng ngƣời dùng, ta hoàn toàn có thể số lượng giới hạn uỷ quyền (authorization) mà ngƣời dùng hoàn toàn có thể làm. Khi ngƣời dùng sử dụng mạng, ta cũng hoàn toàn có thể giám sát tất cả những gì mà người ta làm. AAA với ba phần xác thực (authentication), uỷ quyền (authorization) và truy thuế kiểm toán (accounting) là những phần riêng biệt mà ta hoàn toàn có thể sử dụng trong dịch vụ mạng, thiết yếu để mở rộng và bảo mật thông tin mạng.
AAA hoàn toàn có thể dùng để tập hợp thông tin từ nhiều thiết bị trên mạng. Ta hoàn toàn có thể kích hoạt những dịch vụ AAA trên router, switch, firewall, những thiết bị VPN, server…
Các dịch vụ AAA gồm có ba phần, xác thực (authentication), Uỷ quyền (Authorization) và truy thuế kiểm toán (accounting). Ta sẽ tìm hiểu sự rất khác nhau của ba phần này và phương pháp chúng thao tác nhƣ thể nào.
38 3.1.1. Xác thực (Authentication)
Xác thực dùng để nhận dạng (identify) ngƣời dùng. Trong suốt quá trình xác thực, username và password của ngƣời dùng đƣợc kiểm tra và đối chiếu với cơ sở tài liệu lƣu trong AAA Server. Tất nhiên, tuỳ thuộc vào giao thức mà AAA tương hỗ mã hoá đến đâu, ít nhất thì cũng mã hoá username và password.
Xác thực sẽ xác định ngƣời dùng là ai. Ví dụ: Ngƣời dùng có username là LINH và mật khẩu là [email protected] sẽ là hợp lệ và đƣợc xác thực thành công với khối mạng lưới hệ thống. Sau khi xác thực thành công thì ngƣời dùng đó hoàn toàn có thể truy cập đƣợc vào mạng. Tiến trình này chỉ là một trong những thành phần để điều khiển ngƣời dùng với AAA. Một khi username và password đƣợc đồng ý, AAA hoàn toàn có thể dùng để định nghĩa thẩm quyền mà ngƣời dùng đƣợc phép làm trong khối mạng lưới hệ thống.
3.1.2. Uỷ quyền (Authorization)
Uỷ quyền được cho phép nhà quản trị điều khiển việc cấp quyền trong một khoảng chừng thời gian, hay trên từng thiết bị, từng nhóm, từng ngƣời dùng rõ ràng hay trên từng giao thức. AAA được cho phép nhà quản trị tạo ra những thuộc tính mô tả những hiệu suất cao của ngƣời dùng đƣợc phép thao tác vào tài nguyên. Do đó, ngƣời dùng phải đƣợc xác thực trƣớc khi uỷ quyền cho ngƣời đó.
Uỷ quyền trong AAA thao tác giống nhƣ một tập những thuộc tính mô tả những gì mà ngƣời dùng đã đƣợc xác thực hoàn toàn có thể có.
Ví dụ: Ngƣời dùng LINH sau khi đã xác thực thành công hoàn toàn có thể chỉ đƣợc
phép truy cập vào server LINHNQ_SERVER thông qua FTP. Những thuộc tính này đƣợc so sánh với thông tin chứa trong cơ sở tài liệu của ngƣời dùng đó và kết quả đƣợc trả về AAA để xác định kĩ năng cũng nhƣ số lượng giới hạn thực tế của ngƣời đó. Điều này yêu cầu cơ sở tài liệu phải tiếp xúc liên tục với AAA server trong suốt quá trình link đến thiết bị truy cập từ xa (RAS).
Uỷ quyền liên quan đến việc sử dụng một bộ quy tắc hoặc bộ sưu tập để quyết định những gì một ngƣời sử dụng đã xác nhận hoàn toàn có thể làm trên khối mạng lưới hệ thống.
Máy chủ AAA sẽ phân tích yêu cầu và cấp quyền truy cập bất kể yêu cầu nào hoàn toàn có thể, có hoặc không phải là toàn bộ yêu cầu là hợp lệ. Ví dụ: Một máy khách quay số link và yêu cầu nhiều link. Một sever AAA chung chỉ đơn giản là sẽ từ chối toàn bộ yêu cầu, nhƣng một sự thực thi thông minh hơn sẽ xem xét yêu cầu, xác định rằng máy khách chỉ đƣợc phép một link dial-up, và cấp một kênh trong khi từ chối những yêu cầu khác.
39 3.1.3. Kiểm toán (Accounting)
Kiểm toán được cho phép nhà quản trị hoàn toàn có thể thu thập thông tin nhƣ thời gian khởi đầu, thời gian kết thúc ngƣời dùng truy cập vào khối mạng lưới hệ thống, những câu lệnh đã thực thi, thống kê lƣu lƣợng, việc sử dụng tài nguyên và sau đó lƣu trữ thông tin trong khối mạng lưới hệ thống cơ sở tài liệu quan hệ. Nói cách khác, truy thuế kiểm toán được cho phép giám sát dịch vụ và tài nguyên đƣợc ngƣời dùng sử dụng. Ví dụ: thống kê đã cho tất cả chúng ta biết ngƣời dùng mang tên truy cập là LINH đã truy cập vào LINHNQ_SERVER bằng giao thức FTP với số lần là 5 lần. Điểm chính trong truy thuế kiểm toán đó là được cho phép ngƣời quản trị giám sát tích cực và tiên đoán đƣợc dịch vụ và việc sử dụng tài nguyên. tin tức này hoàn toàn có thể đƣợc dùng để tính cƣớc người tiêu dùng, quản lý mạng, truy thuế kiểm toán sổ sách.
3.2. Giao thức sử dụng trong dịch vụ AAA
3.2.1.1. Giới thiệu
Hình 3-2 Các giao thức cho dịch vụ AAA
Có hai giao thức bảo mật thông tin dùng trong dịch vụ AAA đó là TACACS (Terminal Access Controller Access Control System) và RADIUS (Remote Authentication Dial-In User Service). Cả hai giao thức đều có phiên bản và thuộc tính riêng. Chẳng hạn nhƣ phiên bản riêng của TACACS là TACACS+, tƣơng thích hoàn toàn với TACACS. RADIUS cũng luôn có thể có sự mở rộng khi được cho phép người tiêu dùng thêm thông tin xác định đƣợc mang bởi RADIUS. TACACS và RADIUS đƣợc dùng từ một thiết bị nhƣ là server truy cập mạng (NAS) đến AAA server.
40
Xem xét một cuộc gọi từ xa nhƣ hình 3.2. Ngƣời dùng gọi từ PC đến NAS. NAS sẽ hỏi thông tin để xác thực ngƣời dùng. Từ PC đến NAS, giao thức sử dụng là PPP, và một giao thức nhƣ là CHAP hay PAP đƣợc dùng để truyền thông tin xác thực. NAS sẽ truyền thông tin đến AAA Server để xác thực. Nó đƣợc mang bởi giao thức TACACS hoặc RADIUS.
3.2.1.2. Tổng quan về TACACS
TACACS là giao thức đƣợc chuẩn hoá sử dụng giao thức hƣớng link (connection-oriented) là TCP trên port 49.
TACACS có những ƣu điểm sau:
o Với kĩ năng nhận gói reset (RST) trong TCP, một thiết bị hoàn toàn có thể lập tức báo cho đầu cuối khác biết rằng đã có hỏng hóc trong quá trình truyền.
o TCP là giao thức mở rộng vì hoàn toàn có thể xây dựng cơ chế phục hồi lỗi. Nó hoàn toàn có thể tƣơng thích để phát triển cũng nhƣ làm tắc nghẽn mạng với việc sử dụng sequence number để truyền lại.
o Toàn bộ payload đƣợc mã hoá với TACACS+ bằng phương pháp sử dụng một khoá bí mật chung (shared secret key). TACACS+ đánh dấu một trƣờng trong header để xác định xem thử có mã hoá hay là không.
o TACACS+ mã hoá toàn bộ gói bằng việc sử dụng khoá bí mật chung nhƣng bỏ qua header TACACS chuẩn. Cùng với header là một trƣờng xác định body toàn thân có đƣợc mã hoá hay là không. Thƣờng thì trong toàn bộ thao tác, body toàn thân của một gói đƣợc mã hoá hoàn toàn để truyền thông bảo vệ an toàn và đáng tin cậy.
o TACACS+ đƣợc phân thành ba phần: xác thực (authentication), cấp quyền (authorization) và tính cƣớc (accounting). Với cách tiếp cận theo module, ta hoàn toàn có thể sử dụng những dạng khác của xác thực và vẫn sử dụng TACACS+ để cấp quyền và tính cƣớc. Chẳng hạn nhƣ, việc sử dụng phƣơng thức xác thực Kerberos cùng với việc cấp quyền và tính cƣớc bằng TACACS+ là rất phổ biến.
o TACACS+ tương hỗ nhiều giao thức.
o Với TACACS+, ta hoàn toàn có thể dùng hai phƣơng pháp để điều khiển việc cấp quyền thực thi những dòng lệnh của một user hay một nhóm nhiều user:
41
o Phƣơng pháp thứ nhất là tạo một mức phân quyền (privilege) với một số trong những câu lệnh số lượng giới hạn và user đã xác thực bởi router và TACACS server rồi thì sẽ đƣợc cấp cho mức đặc quyền xác định nói trên.
o Phƣơng pháp thứ hai đó là tạo một list những dòng lệnh xác định trên TACACS+ server để được cho phép một user hay một nhóm sử dụng.
o TACACS thƣờng đƣợc dùng trong môi trƣờng enterprise. Nó có nhiều ƣu điểm và thao tác tốt đáp ứng yêu cầu quản lý mạng hằng ngày.
Định dạng TACACS và những giá trị tiêu đề
Các ID TACACS định nghĩa một tiêu đề 12-byte xuất hiện trong tất cả những gói TACACS. tiêu đề này luôn luôn đƣợc gửi ở định dạng văn bản rõ ràng.
1 2 3 4 5 6 7 8 1 2 3 4 5 6 7 8 1 2 3 4 5 6 7 8 1 2 3 4 5 6 7 8 Major_ver sion Minor_ver sion
Type Seq_no Flags
Session_id Length
Hình 3-3Định dạng gói tin
Major_version Đây là số phiên bản chính của TACACS. giá trị xuất hiện trong tiêu đề nhƣ TAC_PLUS_MAJOR_VER = 0xc.
Minor_version: đáp ứng số serial cho giao thức TACACS. Nó cũng đáp ứng cho kĩ năng tƣơng thích của giao thức. Một giá trị mặc định, cũng nhƣ phiên bản một, đƣợc định nghĩa cho một số trong những lệnh. Những giá trị này xuất hiện trong tiêu đề TACACS nhƣ TAC_PLUS_MINOR_VER_DEFAULT = 0x0
TAC_PLUS_MINOR_VER_ONE = 0x1.
Nếu một sever AAA chạy TACACS nhận đƣợc một gói TACACS xác định một phiên bản nhỏ hơn khác phiên bản hiện tại, nó sẽ gửi một trạng thái lỗi trở lại và yêu cầu những minor_version với phiên bản sớm nhất đƣợc tương hỗ.
Loại này phân biệt nhiều chủng loại gói tin. Chỉ có một số trong những loại là hợp pháp. Các loại gói hợp pháp nhƣ sau:
42
- TAC_PLUS_AUTHEN = 0x01 đây là loại gói nghĩa xác thực. - TAC_PLUS_AUTHOR-0x02 đây là loại gói tin mà nghĩa uỷ quyền. - TAC_PLUS_ACCT = 0x03 đây là loại gói tin mà nghĩa kế toán.
Seq_no: xác định số thứ tự cho những phiên thao tác. TACACS hoàn toàn có thể khởi tạo một hoặc nhiều phiên TACACS cho từng người tiêu dùng AAA.
Flags: có 2 cờ
+TAC_PLUS_UNENCRYPTED_FLAG:xác định mã hoá của gói TACACS. Giá trị 1 là chƣa mã hoá, giá trị 0 là gói tin đã đƣợc mã hoá.
+TAC_PLUS_SINGLE_CONNECT_FLAG:Xác định ghép hoặc không ghép những phiên tacacs trên một link tcp.
Session_id Đây là một giá trị ngẫu nhiên đó chỉ định những phiên hiện tại giữa người tiêu dùng và sever AAA chạy TACACS. Giá trị này vẫn không thay đổi trong suốt thời gian của phiên thao tác
Lengh: tổng chiều dài của gói TACACS, không gồm có tiêu đề 12-byte. Khái niệm xác thực TACACS + cũng tƣơng tự nhƣ RADIUS. NAS sẽ gửi một yêu cầu xác nhận với TACACS + server. Các sever ở đầu cuối sẽ gửi bất kỳ thông điệp sau đây trở về NAS:
ACCEPT - Ngƣời dùng đã đƣợc xác thực thành công và những dịch vụ yêu cầu sẽ đƣợc được cho phép. Nếu nhƣ cơ chế cấp quyền đƣợc yêu cầu, tiến trình cấp quyền sẽ đƣợc thực thi.
REJECT - xác thực ngƣời dùng đã bị từ chối. Ngƣời sử dụng hoàn toàn có thể đƣợc nhắc để thử lại xác nhận tuỳ thuộc vào TACACS + server và NAS.
ERROR - Một số lỗi xảy ra trong quá trình xác thực. Nguyên nhân gây ra lỗi hoàn toàn có thể ở vấn đề link hoặc vi phạm cơ chế bảo mật thông tin.
CONTINUE - Ngƣời dùng đƣợc nhắc nhở để đáp ứng thông tin xác thực hơn.
Sau khi quá trình xác thực đã hoàn tất, nếu uỷ quyền đƣợc yêu cầu TACACS + server với sẽ xử lý quá trình sau đó nếu xác thực thành công.
3.2.1.3. Tổng quan về RADIUS
RADIUS là một giao thức xác thực sử dụng rộng rãi đƣợc định nghĩa trong RFC 2865. "Remote Authentication Dial-In User Service (RADIUS)." RADIUS
43
hoạt động và sinh hoạt giải trí trong một quy mô người tiêu dùng / sever. Một người tiêu dùng RADIUS thƣờng đƣợc gọi là một sever truy cập mạng (network access server:NAS).một máy NAS có trách nhiệm truyền thông tin ngƣời dùng tới sever RADIUS. Cisco ASA Firewall hoạt động và sinh hoạt giải trí nhƣ là một NAS và xác thực ngƣời dùng nhờ vào phản ứng của sever RADIUS. Cisco ASA Firewall tương hỗ một vài sever RADIUS sau:
CiscoSecure ACS
Cisco Access Registrar.
Livingston.
Merit.
Funk Steel Belted.
Microsoft Internet Authentication Server.
RADIUS hoạt động và sinh hoạt giải trí theo giao thức UDP. RADIUS sử dụng những cổng 1645 và 1812 để xác thực và 1646 và 1813 cho truy thuế kiểm toán. Các cổng 1812 và 1813 đƣợc tạo ra trong việc triển khai RADIUS mới hơn. Việc sử dụng những cổng RADIUS 1645 trong lúc triển khai đã gây ra xung đột với những dịch vụ "datametrics". Do đó, cổng chính thức là 1812. Giao thức RADIUS đƣợc xem là một dịch vụ link. Các vấn đề liên quan đến sever sẵn sàng, phát lại, và hết giờ đƣợc xử lý trên thiết bị chứ không phải là giao thức truyền tải. Chức năng này khác với TACACS + độ tin cậy trong giao thức phụ thuộc vào giao thức TCP.
Hoạt động RADIUS
Sau đây là quá trình hoạt động và sinh hoạt giải trí RADIUS quản lý đăng nhập:
Bƣớc 1. Một thông tin đăng nhập ngƣời dùng tạo ra một truy vấn (Access- Request) từ AAA người tiêu dùng đến sever RADIUS.
Bƣớc 2. Một phản ứng được cho phép hoặc vô hiệu(Access-Accept hoặc Access- Reject) đƣợc trả về từ sever.
Các gói tin Access-Request chứa tên ngƣời dùng, mật khẩu mã hoá, địa chỉ IP của người tiêu dùng AAA, và cổng định dạng gói tin RADIUS:
Code Identifier Length Request Authenticator
44
Hình 3-4 Gói tin RADIUS
Mỗi gói tin RADIUS gồm những thông tin sau đây: + Code: 1 octet, định nghĩa loại packet
+ Identifier: 1 octet, Kiểm tra yêu cầu, trả lời và phát hiện trùng lặp yêu cầu từ RADIUS server.
+ Length: 2 octet, xác định độ dài của toàn bộ gói.
+ Request Authenticator: 16 octet, Các octet quan trọng nhất đƣợc truyền đi đầu tiên, nó xác nhận trả lời từ sever RADIUS. Hai loại authenticators nhƣ sau:
-Request-Authenticator có sẵn trong gói Access-Request và Accounting-
Tải thêm tài liệu liên quan đến nội dung bài viết Giao thức tacacs+ là gì