Chương IV Một số công nghệ an toàn bổ sung cho các mạng riêng
ảo
Trong các chương trước chúng ta đã thảo luận về các công nghệ an toàn có
thể được dùng để xây dựng mạng riêng ảo. Trong khi các công nghệ đó thường đủ
và hiệu quả với các tác vụ đơn lẻ, nhưng có những trường hợp mà một mình các
công nghệ đó không đáp ứng được yêu cầu cho một giải pháp VPN đầy đủ. Một
trong những trường hợp như vậy là sử dụng chứng chỉ số, xác thực và mã hóa.
Chương này sẽ mô tả ngắn gọn một số công nghệ an toàn có thể bổ sung thêm vào
một giải pháp mạng riêng ảo hoặc đồng thời tồn tại trong một môi trường mạng
riêng ảo dưới hoàn cảnh nào đó.
4.1. Xác thực với người dùng quay số truy cập từ xa
Quay số từ xa tới Intranet của công ty, cũng như tới Internet đã tạo ra Server
truy cập từ xa(RAS), một phần rất quan trọng của các dịch vụ liên mạng ngày nay.
Như chúng ta biết, càng ngày càng nhiều người dùng di động yêu cầu truy cập
không chỉ tới tài nguyên mạng trung tâm mà cả với nguồn thông tin trên Internet.
Sự phổ biến của Internet và Intranet trong các tổ chức đã thúc đẩy sự phát triển của
các dịch vụ và thiết bị truy cập từ xa. Nhu cầu kết nối một cách đơn giản tới các tài
nguyên của tổ chức từ các thiết bị máy tính di động như máy xách tay chẳng hạn
ngày càng tăng. Sự xuất hiện của truy cập từ xa cũng là một trong các nguyên nhân
của sự phát triển trong lĩnh vực bảo mật. Mô hình bảo mật xác thức – cấp quyền và
kiểm toán(AAA) đã được phát triển để nhằm vào vấn đề bảo mật truy cập từ xa.
AAA là một bộ khung được dùng để cấu hình ba chức năng an toàn cơ bản: xác
thực, cấp quyền và kiểm toán. Ngày nay, mô hình an toàn AAA được sử dụng
trong tất cả các kịch bản truy cập từ xa trong thực tế vì nó cho phép người quản trị
mạng nhận dạng và trả lời ba câu hỏi quan trọng sau:
- Ai đang truy cập mạng?
- Người dùng được phép làm những gì? Và những hoạt động nào được hạn
chế khi người dùng truy cập mạng thành công?
- Người dùng đang làm gì và lúc nào?
AAA được mô tả ngắn gọn như sau:
- Xác thực(Authentication): Xác thực là bước đầu tiên đối với bảo mật. Đây là

hoạt động xác định một người dùng(hoặc thực thể) là ai trước khi anh ta có thể truy
cập các tài nguyên trong mạng. Xác thực có thể dưới nhiều dạng, dạng truyền
thống sử dụng một tên đăng nhập và một mật khẩu cố định. Hầu hết các máy tính
làm việc theo cách này. Tuy nhiên, phần lớn mật khẩu cố định có những giới hạn
nhất định trong lĩnh vực bảo mật. Nhiều cơ chế xác thực hiện đại sử dụng mật khẩu
một lần hay một truy vấn dạng yêu cầu – đáp ứng (Ví dụ các giao thức xác thực:
PAP, CHAP, EAP…).
Thông thường, xác thực xẩy ra lúc người dùng đăng nhập lần đầu tiên vào
máy hoặc yêu cầu một dịch vụ từ nó
- Cấp quyền(Authorization): Đây là hoạt động xác định một người dùng được
phép làm những gì. Nghĩa là muốn nói đến việc kiểm soát các hoạt động mà người
dùng được phép thực hiện trong mạng và tài nguyên mà người dùng được phép
truy cập. Kết quả là, cấp quyền cung cấp các cơ chế cho việc kiểm soát truy cập từ
xa bằng các phương tiện như: cấp quyền một lần, cấp quyề cho mỗi dịch vụ, trên
từng danh sách tài khoản người dùng hoặc chính sách nhóm.
Thông thường các thuộc tính, đặc quyền và quyền truy cập được biên dịch và
lưu trữ tại một cơ sở dữ liệu trung tâm cho mục đích cấp quyền. Các thuộc tính và
các quyền này quyết định những hoạt động mà một người dùng được phép thực
hiện. Khi một người dùng cần được cấp quyền sau khi đã được xác thực thành
công, các thuộc tính và quyền này được xác minh dựa vào cơ sở dữ liệu với người
dùng và chuyển tiếp tới Server liên quan(ví dụ: Server truy cập từ xa). Thông
thường, xác thực được thực hiện trước cấp quyền, nhưng điều đó là không nhất
thiết phải yêu cầu như vậy. Nếu một tài nguyên mạng, như Server, nhận một yêu
cầu cấp quyền mà không qua xác thực, Agent cấp quyền trên thiết bị mạng phải
quyết định người dùng có thể truy cập thiết bị mạng và được phép thực hiện các
dịch vụ đã xác định trong yêu cầu cấp quyền hay không
- Kiểm toán(Auounting): Đây là hoạt động điển hình thứ 3 sau xác thực và
cấp quyền. Kiểm toán là ghi lại những hoạt động mà người dùng đã và đang thực
hiện. Kiểm toán là cơ chế ghi lại những hoạt động mà người dùng thực hiện sau
khi đã đăng nhập thành công vào mạng. Kiểm toán bao hàm việc: thu thập, ghi

danh sách, kiểm toán, ghi nhật ký và báo cáo về các định danh người dùng, các
lệnh đã được thực hiện trong một phiên, số lượng các gói được truyền tải, vv…
Lúc một hoạt động của người dùng được ghi lại, thời gian nó được thực hiện,
khoảng thời gian của toàn bộ phiên người dùng và khoảng thời gian với mỗi hoạt
động riêng lẻ cũng được ghi lại. Thông tin chi tiết về người dùng giúp người quản
trị mạng theo dõi được những hoạt động của người dùng và đưa ra những hành
động phù hợp để duy trì an toàn mạng. Mặc dù, kiểm toán được xem là bước lôgic
tiếp theo của xác thực và cấp quyền, nhưng nó có thể thực thi không theo tuần tự
đó. Trong thực tế, kiểm toán có thể được thực thi ngay cả khi hoạt động xác thực
và cấp quyền không được thực hiện.
Trong mô hình cơ sở dữ liệu bảo mật Client/Server phân tán, một số các
Client, Server trong truyền thông xác thực một định danh của người dùng quay số
qua một trung tâm cơ sở dữ liệu đơn hoặc một Server xác thực. Server xác thực lưu
trữ tất cả thông tin về người dùng, các mật khẩu và các quyền ưu tiên truy cập của
họ. Phân phối bảo mật đóng vai trò như một trung tâm về dữ liệu xác thực, nó an
toàn hơn sự phân tán thông tin người dùng trên các thiết bị khác qua một mạng.
Một Server xác thực đơn có thể hỗ trợ cả hàng trăm Server truyền thông, hàng
nghìn người dùng. Các Server trong quá trình truyền thông có thể truy cập một
Server xác thực cục bộ hoặc từ xa qua kết nối mạng diện rộng(WAN).
Một số đại lý cung cấp truy cập từ xa và IETF đã đi đầu trong việc cố gắng
bảo đảm an toàn cho truy cập từ xa, các phương tiện bảo mật được chuẩn hoá. Dịch
vụ xác thực người dùng quy số từ xa(RADIUS) và hệ thống kiểm soát truy cập các
thiết bị cuối(TACACS) như là hai dự án đã mở ra bộ khung của chuẩn Internet và
các đại lý truy cập từ xa.
Dịch vụ xác thực người dùng quay số từ xa(RADIUS)
RADIUS là một hệ thống bảo mật phân tán được phát triển bởi Livingston
Enterprises. RADIUS được thiết kế dựa trên những khuyến cáo trước đó từ nhóm
Network Access Server Working Requirements của IETF. Một nhóm IETF làm
việc với RADIUS được thành lập vào tháng 1 năm 1996 để đưa ra các chuẩn cho
giao thức RADIUS, RADIUS bây giờ là một giải pháp bảo mật đường quay số

được thừa nhận bởi IETF

Hình 4.1 Dịch vụ xác thực người dùng quay số từ xa RADIUS

Hệ thống kiểm soát truy cập thiết bị đầu cuối(TACACS)
Tương tự với RADIUS, TACACS là một giao thức chuẩn công nghiệp. Như
trong hình 4.2, lúc một Client từ xa đưa ra một yêu cầu xác thực tới NAS gần nó
nhất, yêu cầu này được chuyển tiếp tới TACACS. Sau đó TACACS chuyển tiếp ID
và mật khẩu được cung cấp tới cơ sở dữ liệu trung tâm, cơ sở dữ liệu trung tâm này
có thể là một cơ sở dữ liệu TACACS hoặc một cơ sở dữ liệu bảo mật mở rộng.
Cuối cùng, thông tin được lấy lại và chuyển tiếp tới TACACS, nó lần lượt được
chấp nhận hoặc từ chối yêu cầu kết nối trên cơ sở thông tin nó nhận được từ cơ sở
dữ liệu

Hình 4.2 Xác thực từ xa dựa trên TACACS
Hiện tại, có hai phiên bản của TACACS trên thị trường, cả hai phiên bản này
đều được phát triển bởi Cisco. Đó là:
- XTACACS (eXtended TACACS): Là một mở rộng của TACACS, nó hỗ trợ
các tính năng cao cấp.
- TACACS+: Phiên bản này của TACACS ban đầu sử dụng một Server truy
cập riêng dưới dạng Server TACACS+. Server này cung cấp các dịch vụ xác thực,
cấp quyền và kiểm toán độc lập.
NAS giữ một vai trò quan trọng trong cả xác thực dựa trên RADIUS và dựa
trên TACACS. Là một Client RADIUS hay TACACS, NAS mã hoá các thông
tin(ID/Mật khẩu của người dùng) được cung cấp bởi người dùng từ xa trước khi
chuyển tiếp nó tới Server xác thực tại mạng chủ cuối, NAS cũng có khả năng định
tuyến một yêu cầu xác thực tới Server xác thực khác nếu Server xác thực đích
không đến được.
4.1.1. Hoạt động của RADIUS
RADIUS đầu tiên được phát triển bởi Livingston Enterprises, nhưng bây giờ

thuộc quyền sở hữu của IETF và là một giao thức mở, có thể được phân phối dưới
dạng mã nguồn và bất kỳ người nào cũng đều có thể sửa đổi.
Mặc dùng RADIUS ban đầu được phát triển cho người quản trị của NAS, các
sản phẩm hỗ trợ được bổ sung thêm các ứng dụng/thiết bị khác như firewall, truy
cập trang web cá nhân, các tài khoản Email và các vấn đề bảo mật Internet liên
quan đến xác thực khác.
RADIUS gồm 2 phần: Có Client RADIUS, ví dụ: NAS hay bất kỳ phần mềm
khác như Firewall, Client gửi một yêu cầu AAA tới RADIUS Server. Mặt khác, có
RADIUS Server, nó kiểm tra yêu cầu theo dữ liệu đã được cấu hình trước.