3 Cisco Secure acs chạy trên nền Windows



tải về 68.8 Kb.
Chuyển đổi dữ liệu18.08.2016
Kích68.8 Kb.
3.1. Tổng quan

Cisco Secure ACS giúp xác thực người dùng bằng cách điều khiển cách truy cập vào thiết bị truy cập mạng (NAS) như là access server, Cisco PIX firewall, hoặc router.
Cisco Secure ACS được xem như là một dịch vụ để điều khiển việc xác thực (authentication), cấp quyền (authorization), tính cước (accounting).
Cisco Secure ACS giúp tập trung việc điều khiển truy cập và tính cước cho các access server cũng như firewall trong việc quản lý việc truy cập vào router hay switch. Với Cisco Secure ACS, nhà cung cấp dịch vụ có thể nhanh chóng quản trị account, thay đổi mức độ yêu cầu dịch vụ cho toàn bộ các nhóm người dùng.
Cisco Secure ACS hỗ trợ các Cisco NAS như Cisco router series 2509, 2511, 3620, 3640, AS 5200, AS 5300, AS 5800, Cisco PIX firewall và các thiết bị thế hệ thứ ba có thể cấu hình với TACACS+, RADIUS.



Hình 3.1: Cisco Secure ACS server

Có hai phần liên quan đến Cisco Secure ACS:


Cisco Secure ACS chạy trên nền Windows
Cisco Secure ACS chạy trên nền UNIX
Chúng ta sẽ tìm hiểu về hai phần này trong phần sau.

3.2. Cisco Secure ACS chạy trên nền Windows

Cisco Secure ACS [3] chạy trên nền Windows là một phần mềm ứng dụng bảo mật mạng cho phép ta điều khiển cách truy cập mạng, các cuộc gọi vào, và truy cập Internet. Cisco Secure ACS chạy trên nền Windows hoạt động giống như một dịch vụ của Windows NT/2000 điều khiển việc xác thực, cấp quyền, và tính cước người dùng truy cập vào mạng.
Cisco Secure ACS chạy trên nền Windows cung cấp dịch vụ AAA cho các thiết bị truy cập mạng có chức năng như AAA client, router, NAS, PIX firewall và VPN 3000 Concentrator. Một AAA client có thể là một thiết bị bất kì cung cấp chức năng AAA client và sử dụng một trong các giao thức AAA hỗ trợ bởi Cisco Secure ACS. Cisco Secure ACS chạy trên nền Windows xem tất cả thiết bị như vậy là AAA client. Cisco Secure ACS chạy trên nền Windows sử dụng giao thức TACACS+/RADIUS để cung cấp dịch vụ AAA nhằm bảo đảm một môi trường an toàn tuyệt đối.
Cisco Secure ACS chạy trên nền Windows giúp tập trung việc điều khiển truy cập và tính cước, thêm vào đó là quản lý việc truy cập vào router và switch. Với Cisco Secure ACS chạy trên nền Windows, các nhà quản trị mạng có thể nhanh chóng quản lý tài khoản và thay đổi toàn bộ mức độ yêu cầu dịch vụ cho toàn bộ các nhóm người dùng.
Cisco Secure ACS chạy trên nền Windows là một ACS dễ sử dụng bởi tính dễ cài đặt và quản trị. Nó thường chạy trên nền Windows NT Server hoặc Windows 2000 Server. Cisco Secure ACS chạy trên nền Windows cho phép xác thực username và password lưu trong cơ sở dữ liệu của Windows NT/2000, của chính cơ sở dữ liệu trong Cisco Secure ACS, cơ sở dữ liệu từ bên ngoài,...
Các mức độ bảo mật khác nhau có thể dùng với Cisco Secure ACS chạy trên nền Windows với các yêu cầu khác nhau. Mức độ bảo mật người dùng-mạng là PAP. Mặc dù nó không trình bày dạng bảo mật cao nhất của tính chất mã hóa bí mật, PAP đem lại nhiều sự tiện lợi và đơn giản cho khách hàng. Xác thực PAP có thể xác thực với cơ sở dữ liệu trong Windows NT/2000. Xác thực CHAP cho phép một mức độ cao hơn về tính bảo mật cho các password mã hóa khi giao tiếp từ khách hàng cho đến thiết bị truy cập mạng (NAS). Microsoft CHAP (MS-CHAP) là một phiên bản của CHAP được đưa ra bởi Microsoft để làm việc gần gũi, dễ dàng hơn trong hệ điều hành Microsoft Windows.
PAP, CHAP và MS-CHAP là các giao thức xác thực được dùng để mã hóa password. Tuy nhiên, mỗi giao thức cung cấp một mức độ bảo mật khác nhau:



    • PAP: sử dụng password dạng clear-text và là giao thức ít bảo đảm tính xác thực nhất. Nếu ta sử dụng cơ sở dữ liệu trong Windows NT/2000 để xác thực người dùng, ta phải mã hóa PAP password.

    • CHAP: sử dụng kĩ thuật “thách thức-phúc đáp” (challenge-response) với việc mã hóa một chiều khi phúc đáp. CHAP cho phép Cisco Secure ACS khởi tạo với độ an toàn cao. CHAP password có thể tái dùng lại. Nếu sử dụng Windows database để xác thực, ta có thể sử dụng PAP hoặc CHAP.

    • MS-CHAP: Cisco Secure ACS chạy trên nền Windows hỗ trợ MS-CHAP để xác thực người dùng. MS-CHAP khác biệt so với CHAP ở chỗ:

-Các gói phúc đáp của MS-CHAP thì tương thích vói Microsoft Windows và quản lý mạng LAN. Dạng MS-CHAP không cung cấp cách xác thực và lưu trữ một mật khẩu dạng clear-text hay được mã hóa.
-MS-CHAP cung cấp kĩ thuật xác thực điều khiển bởi người xác thực.
-MS-CHAP ver 2 cung cấp các mã lỗi thêm vào trong trường “Thông điệp lỗi của gói” (Failure Packet Message)

3.2.1.Các tính chất chung



Hình 3.2: Sơ đồ kết nối giữa NAS và Cisco Secure ACS.

Cisco Secure ACS chạy trên nền Windows, như mô tả trong hình 3.2, có các đặc tính chung như sau:


Hỗ trợ đồng thời TACACS+ và RADIUS giữa Cisco Secure ACS và NAS
Hỗ trợ cơ sở dữ liệu trong Windows NT/2000 Server như:
- Quản lý hợp nhất username/password tích hợp với Windows NT hoặc Windows 2000.
- Cho phép đăng nhập vào mạng và Windows NT/2000 domain.
- Chạy độc lập với Windows NT/2000, điểu khiển tên miền, điều khiển backup tên miền, ....
Hỗ trợ việc dùng với cơ sở dữ liệu bên ngoài người dùng:
-Các server token card
-NDS
-ACS database
-Các thứ khác
Hỗ trợ các giao thức xác thực sau:
-ASCII/PAP
-CHAP
-MS-CHAP
-LEAP
-EAP-CHAP
-EAP-TLS
-ARAP
Hỗ trợ đặc tính callback của NAS để gia tăng tính bảo mật.

3.2.2.Các dịch vụ AAA
Cisco Secure ACS hỗ trợ các đặc tính AAA:
Hỗ trợ TACACS+ như:
-Access list, named access list, hoặc numbered accesslist
-Giới hạn truy cập từng giờ trong ngày hay theo các ngày trong tuần.
-Hỗ trợ ARA
-Các mức phân quyền cho phép
-Xác thực vào LDAP server
Các phiên bản RADIUS:
-IETF RADIUS
-Cặp giá trị thuộc tính (Atribute-Value) RADIUS
-Các mở rộng của RADIUS
Hỗ trợ đồng thời cơ sở dữ liệu TACACS+/RADIUS riêng lẻ

Các đặc tính khác được Cisco Secure ACS hỗ trợ như là:


Hỗ trợ VPN và VPDN phù hợp với các tunnel nguồn cũng như đầu cuối
Giới hạn người dùng có thể dựa vào địa chỉ gọi CLID (Calling Line Identification)
Có thể ngăn cấm một account trong khoảng thời gian xác định nào đó

3.2.3.Các đặc tính quản trị

Cisco Secure ACS trên nền Windows có nhiều đặc tính gần gũi với người dùng, như là:
Giao diện dựa vào trình duyệt web cho phép quản trị từ một web browser thông qua LAN hay quay số vào. Đơn giản hóa và phân phối cấu hình của ACS, thông tin người dùng, và thông tin nhóm:
-Tài liệu giúp đỡ online giúp giải quyết vấn đề và mọi thắc mắc
-Cho phép quản trị người dùng dễ dàng nhất cùng với các chính sách bảo mật
-Quản trị từ xa có thể cho phép/từ chối bằng việc quản lý username/password duy nhất.
-Các phiên làm việc quản trị từ xa có giá trị timeout.
-Có thể biết được danh sách người dùng đã login vào.
Tạo các file TACACS+ và RADIUS riêng biệt có đuôi là .CSV để dễ dàng import vào cơ sở dữ liệu và các ứng dụng dạng bảng tính.
Có trình cài đặt tiện lợi để có thể thu thập được một lượng lớn người dùng.

3.2.4.Các đặc tính của hệ thống phân tán



Hình 3.3: Cisco Secure ACS với hệ thống phân tán

Như ta thấy trong hình 3.3, Cisco Secure ACS có thể dùng trong hệ thống phân tán. Nhiều chức năng Cisco Secure ACS cho Windows Server hoặc AAA Server có thể được cấu hình để giao tiếp với một thứ khác như master, client, peer. Cisco Secure ACS cũng chấp nhận giới hạn truy cập mạng của Cisco Secure ACS chạy trên các server khác trong hệ thống phân tán.


Cisco Secure ACS trên nền Windows có các đặc tính mạnh mẽ như:
Chuyển tiếp việc xác thực: Điều này cho phép Cisco Secure ACS tự động chuyển tiếp một yêu cầu xác thực từ NAS đến một Cisco Secure ACS khác. Sau khi xác thực, các mức phân quyền được ứng dụng vào NAS cho việc xác thực người dùng đó.
Fallback trên các kết nối thất bại: Ta có thể cấu hình để yêu cầu Cisco Secure ACS kiểm tra một Cisco Secure ACS từ xa khác nếu một kết nối mạng đến Cisco Secure ACS đầu tiên với Windows Server bị lỗi. Nếu một yêu cầu xác thực không thể gửi đến server đầu tiên, thì server liệt kê kế tiếp sẽ được kiểm tra theo thứ tự từ trên xuống dưới, cho đến khi Cisco Secure ACS có thể xác thực được thành công. Nếu Cisco Secure ACS không kết nối được với bất kì server nào có trong danh sách thì việc xác thực sẽ thất bại.
Tính cước tập trung và từ xa: Cisco Secure ACS có thể cấu hình để chỉ ra một Cisco Secure ACS trung tâm được dùng như một server tính cước. Cisco Secure ACS trung tâm sẽ vẫn có tất cả đặc tính mà một Cisco Secure ACS khác có, ngoài ra nó có thể đặc tính là tập trung tất cả file log từ các Cisco Secure ACS khác gửi về.

3.2.5.Hỗ trợ cơ sở dữ liệu từ bên ngoài
Ta có thể cấu hình Cisco Secure ACS để chuyển tiếp việc xác thực người dùng đến một hoặc nhiều cơ sở dữ liệu của người dùng từ bên ngoài. Việc hỗ trợ cơ sở dữ liệu người dùng từ bên ngoài có nghĩa là Cisco Secure ACS không bắt buộc ta phải tạo một entry của người dùng trong cơ sở dữ liệu người dùng CiscoSecure. Người dùng có thể xác thực bằng cách sử dụng bất kì một trong các cách sau:
Windows NT/2000 database
LDAP
NDS
ODBC
LEAP Proxy RADIUS server
RSA SecureID token server
Token server dựa vào RADIUS, gồm:
-ActivCard token server
-CRYPTOCard token server
-VASCO token server
-Generic RADIUS token server
Bất kể dùng cơ sở dữ liệu nào để xác thực người dùng, thì Cisco Secure ACS cũng sẽ xác thực các dịch vụ yêu cầu.
Cisco Secure ACS yêu cầu giao diện lập trình ứng dụng (API) để hỗ trợ xác thực. Cisco Secure ACS trên nền Windows cho phép giao tiếp với cơ sở dữ liệu từ bên ngoài bằng cách sử dụng API. Với Windows NT/2000, Generic LDAP, xác thực Novell NDS, thì việc dùng API để xác thực bên ngoài được xem là cục bộ đối với Cisco Secure ACS, và được cung cấp bởi hệ điều hành cục bộ. Trong những trường hợp như vậy, không đòi hỏi thêm bất kì một component nào khác nữa.
Trong trường hợp tài nguyên xác thực ODBC, thì ODBC driver phải được cài đặt vào Cisco Secure ACS.
Để giao tiếp với token server truyền thống, ta phải có phần mềm cung cấp bởi khách hàng OTP cùng với các component thêm vào Cisco Secure ACS. Ta cũng phải xác định “cài đặt người dùng” mà một token card được sử dụng. Với các server dùng token dựa vào RADIUS như ActivCard, CRYPTOCard, và VASCO thì giao diện RADIUS chuẩn được phục vụ như là API thứ ba.
3.1.1.Đặc tính quản trị cơ sở dữ liệu

Cisco Secure ACS có các đặc tính tiện ích như sau:

*Nhân bản cơ sở dữ liệu

*Đồng bộ hóa cơ sở dữ liệu

*Backup và restore cơ sở dữ liệu.

Hai đặc tính: “nhân bản cơ sở dữ liệu” (Database Replication) và “đồng bộ hóa hệ quản trị cơ sở dữ liệu quan hệ” (RDBMS Synchronization) được giới thiệu trong Cisco Secure ACS. Những đặc tính tiện ích đó cho phép tự động đồng bộ hóa giữa cơ sở dữ liệu của chính Cisco Secure ACS với cơ sở dữ liệu bên ngoài. Đặc tính thứ ba, “CSUtil.exe”, cho phép backup cơ sở dữ liệu và restore cơ sở dữ liệu.

Hình 3.4 cho thấy việc cài đặt có thể hỗ trợ cho việc nhân bản CSDL, đồng bộ hóa hệ quản trị CSDL quan hệ và cài đặt ODBC.



Hình 3.4: Cisco Secure ACS với ODBC Database

3.1.1.1.Nhân bản cơ sở dữ liệu

Nhân bản cơ sở dữ liệu là một đặc tính mạnh được thiết kế để đơn giản hóa việc xây dựng môi trường dịch vụ có khả năng chịu lỗi AAA dựa trên Cisco Secure ACS. Mục đích đầu tiên của vấn đề nhân bản cơ sở dữ liệu, đó là cung cấp những tiện lợi để nhân bản các phần khác nhau của việc cài đặt trên một Cisco Secure ACS master server đến một hoặc nhiều Cisco Secure ACS client, cho phép nhà quản trị tự động tạo ra một hệ thống “mirror”. Những hệ thống “mirror” này có thể được sử dụng để cung cấp sự dư thừa như fallback hoặc server thứ hai để hỗ trợ thao tác chịu lỗi nếu master hoặc hệ thống đầu tiên bị hỏng hóc.


Nhân bản cơ sở dữ liệu khác với backup cơ sở dữ liệu hay backup hệ thống. Nhân bản cơ sở dữ liệu không hoàn toàn là sự thay thế cho vấn đề backup cơ sở dữ liệu. Do vậy, ta nên có một chiến lược backup cơ sở dữ liệu tin cậy để bảo đảm tính toàn vẹn dữ liệu.

3.1.1.2.Đồng bộ hóa hệ quản trị cơ sở dữ liệu quan hệ

Đồng bộ hóa hệ quản trị cơ sở dữ liệu quan hệ (RDBMS Synchronization) là một đặc tính kết hợp, được thiết kế để đơn giản hóa việc tích hợp Cisco Secure ACS với ứng dụng RDBMS thứ ba. Sự đồng bộ hóa RDBMS sẽ tự động đồng bộ hóa dữ liệu từ các nguồn như SQL, Oracle, Sybase bằng cách cung cấp các chức năng như sau:


Đặc tính của dữ liệu nguồn ODBC dùng để sử dụng cho việc đồng bộ hóa dữ liệu được chia sẻ bởi Cisco Secure ACS và ứng dụng RDBMS khác và để cung cấp cách thức điều khiển việc cập nhật từ Cisco Secure ACS đến các ứng dụng bên ngoài.
Cách thức điều khiển thời gian cho tiến trình cài đặt hay đồng bộ hóa, bao gồm cả việc tạo ra các bộ lập lịch.
Cách thức điều khiển xem thử hệ thống nào sẽ được đồng bộ hóa.

Đặc tính đồng bộ hóa hệ quản trị cơ sở dữ liệu quan hệ có hai thành phần chính:

CSDBSync: CSDBSync là một dịch vụ tin cậy của Windows NT/2000 dùng để thiết lập các dịch vụ quản lý của một user hay một nhóm cho Cisco Secure ACS.

Bảng lưu trữ dữ liệu ODBC: bảng này xác định định dạng của một record. Mỗi record nắm giữ thông tin của một user hay một nhóm tương ứng với dữ liệu được lưu trữ cho mỗi user bên trong cơ sở dữ liệu của Cisco Secure ACS. Thêm vào đó, mỗi record chứa đựng các trường khác, bao gồm “mã hành động” (action code) cho record đó. Bất kì ứng dụng nào cũng đều có thể ghi vào bảng này, và CSDBSync đọc từ nó và thực hiện hành động tùy thuộc vào từng record mà nó tìm thấy trong bảng (ví dụ, thêm user, xóa user, ...) mà “mã hành động” quy định.



3.1.1.3.Định nghĩa cài đặt ODBC

Cisco Secure ACS hỗ trợ việc cài đặt dữ liệu từ cơ sở dữ liệu tương thích với ODBC như MS Access, SQL hay Oracle. Việc cài đặt hoàn tất với một bảng đơn để cài đặt thông tin user/nhóm vào trong một hay nhiều ACS server.


Dịch vụ CSAccupdate xử lý các bảng và cập nhật việc cài đặt ACS cục bộ/từ xa theo như cấu hình của nó.

3.1.2.Kiến trúc Windows

Cisco Secure ACS cung cấp dịch vụ AAA cho nhiều NAS hoặc nhiều router bên ngoài. Nó gồm bảy module dịch vụ như hình 3.5. Mỗi module có thể khởi tạo hoặc kết thúc riêng biệt từ bên trong MS Control Panel hoặc từ một nhóm bên trong browser của Cisco Secure ACS.




Hình 3.5: Kiến trúc Windows

Cisco Secure ACS cài đặt các dịch vụ sau cho Windows trên server:




*Administration service (CSAdmin): Cisco Secure ACS được trang bị một web server từ bên trong chính nó. Sau khi Cisco Secure ACS được cài đặt, ta phải cấu hình giao diện HTML/Java, để yêu cầu CSAdmin luôn luôn cho phép.

*Dịch vụ xác thực và cấp thẩm quyền (CSAuth): trách nhiệm đầu tiên của Cisco Secure ACS là xác thực và cấp quyền cho một số yêu cầu từ các thiết bị để cho phép hoặc từ chối quyền truy cập vào một user xác định. CSAuth là một dịch vụ có trách nhiệm xác định cách truy cập nào nên dùng để xác định các mức phân quyền cho từng user. CSAuth là trình quản lý cơ sở dữ liệu.

*Dịch vụ TACACS (CSTacacs) và dịch vụ RADIUS (CSRadius): những dịch vụ này giao tiếp giữa module CSAuth và thiết bị truy cập đòi hỏi các yêu cầu xác thực và cấp quyền. CSTacacs thường dùng để giao tiếp với các thiết bị TACACS+ và CSRadius thường dùng để giao tiếp với các thiết bị RADIUS. Cả hai dịch vụ đều có thể chạy đồng thời. Chỉ khi một giao thức bảo mật được sử dụng, thì chỉ một dịch vụ tương ứng sẽ chạy mà thôi.



*Dịch vụ log (CSLog):
CSLog là một dịch vụ dùng để nắm giữ thông tin về các sự kiện đã xảy ra (log thông tin). CSLog tập hợp dữ liệu từ các gói TACACS+/RADIUS và CSAuth rồi ghi dữ liệu vào file CSV. File CSV được tạo ra hằng ngày hoặc hàng giờ tùy theo ta chọn thời gian log hệ thống.

*Dịch vụ CSDBSync:
Dịch vụ này thiết lập một user tự động hoặc dịch vụ quản lý account của một nhóm trong Cisco Secure ACS. CSDBSync là một dịch vụ dùng để đồng bộ hóa cơ sở dữ liệu trong Cisco Secure ACS với các hệ quản trị cơ sở dữ liệu khác bên ngoài thông qua ODBC.

*Dịch vụ CSMon: CSMon là một chức năng giúp cho Cisco Secure ACS tự giám sát và sửa lỗi các dịch vụ của chính bản thân nó. CSMon làm việc với đồng thời cả TACACS+ lẫn RADIUS và tự động xác định được giao thức nào sẽ được sử dụng. CSMon tối ưu hóa thời gian chết trong môi trường truy cập mạng từ xa bằng bốn cách sau:


Giám sát (Monitoring): Nó giám sát tất cả trạng thái của Cisco Secure ACS và host server mà nó đang chạy. CSMon giám sát trạng thái hệ thống của host chung, các đặc tính ứng dụng xác định và cả tập hợp tài nguyên hệ thống của chính Cisco Secure ACS.


Thu nhận (Recording): thu nhận lại và báo cáo tất cả những trường hợp ngoại lệ cho CSMon Log hoặc Window Event Log.
Cảnh báo (Notification): cảnh báo với nhà quản trị về các vấn đề tiềm tàng của những sự kiện xảy ra đối với Cisco Secure ACS và ghi lại các trạng thái đó. CSMon có thể được cấu hình để gửi thông điệp liên quan đến các sự kiện ngoại lệ, các phúc đáp, và các hành động trả lời phúc đáp ra bên ngoài.
Phúc đáp (Response): CSMon tự động sửa chữa lỗi một cách chính xác và thông minh. CSMon có thể trả lời cho các sự kiện cảnh báo và các sự kiện có lỗi bằng cách đưa ra hành động đã xác định trước cũng như hành động được định nghĩa bởi người dùng.
3.1.1.Cách thức sử dụng cơ sở dữ liệu ACS

Bằng cách sử dụng giao thức TACACS+/RADIUS, thì NAS sẽ chuyển tiếp các yêu cầu, các cuộc gọi từ user đến Cisco Secure ACS để xác thực và cấp quyền cho user đó. Cisco Secure ACS sẽ kiểm tra username và password của mỗi user rồi trả lời là user đó có được phép truy cập vào hay bị từ chối truy cập vào mạng bên trong hay không? Nếu user được xác thực thành công, Cisco Secure ACS sẽ gửi một tập thuộc tính cấp quyền đến NAS, và sau đó chức năng tính cước (như ghi lại thời gian bắt đầu, thời gian kết thúc một session, ...) sẽ bắt đầu thực hiện.

Hình 3.6 trình bày các dịch vụ và giao tiếp cơ sở dữ liệu xảy ra khi một user được chọn trong cơ sở dữ liệu của Cisco Secure ACS:

1.Dịch vụ TACACS+/RADIUS sẽ chuyển tiếp yêu cầu đến dịch vụ xác thực và cấp quyền đến Cisco Secure ACS.
2.Yêu cầu xác thực sẽ kiểm tra, đối chiếu với cơ sở dữ liệu trong Cisco Secure ACS. Sau đó user đó sẽ được cấp quyền và thông tin tính cước sẽ được lưu lại trong dịch vụ Cisco Secure ACS Login.
3.Cơ sở dữ liệu người dùng trong Windows NT/2000 không xác thực người dùng để cho phép cuộc gọi. Người dùng phải login vào Windows NT/2000 một khi gọi tiến trình AAA hoàn tất.




Hình 3.6: Cách thức sử dụng cơ sở dữ liệu ACS

Cisco Secure ACS sử dụng một cơ sở dữ liệu được tạo ra bởi người dùng dưới dạng file lưu các mảng băm theo kiểu “flat”. Kiểu file này không thể tìm kiếm từ trên xuống giống như file text thông thường là được đánh chỉ số giống như một cơ sở dữ liệu. File lưu bảng băm theo kiểu “flat” xây dựng một chỉ số và cấu trúc hình cây sao cho việc tìm kiếm tỉ lệ với hàm mũ, cho phép cơ sở dữ liệu trong Cisco Secure ACS nhanh chóng xác thực được người dùng.


Việc sử dụng cơ sở dữ liệu người dùng của Cisco Secure ACS đòi hỏi phải nhập thông tin một cách thủ công như username/pasword. Tuy nhiên, sau khi username tồn tại trong Cisco Secure ACS, nhà quản trị có thể dễ dàng trong việc sử dụng cơ sở dữ liệu người dùng trong Cisco Secure ACS. Cơ sở dữ liệu người dùng trong Cisco Secure ACS hỗ trợ việc xác thực PAP, CHAP và MS-CHAP.

3.1.2.Cách thức sử dụng cơ sở dữ liệu người dùng trong Windows

Hình 3.7 cho thấy tiến trình xảy ra khi Cisco Secure ACS sử dụng cơ sở dữ liệu người dùng của Windows NT/2000 để chạy dịch vụ AAA. Các bước chính là:

1.Dịch vụ TACACS+/RADIUS chuyển tiếp yêu cầu đến dịch vụ xác thực và cấp quyền trong Cisco Secure ACS.


2.Username/password được gửi đến cơ sở dữ liệu người dùng cho Windows NT/2000 để xác thực.
3.Nếu được đồng ý, Windows NT/2000 sẽ cấp một quyền cho phép truy cập vào như một user cục bộ.
4.Một phúc đáp sẽ được trả về cho Cisco Secure ACS và việc cấp thẩm quyền sẽ được gán.
5.Việc xác thực và các thẩm quyền kết hợp với nó được gán trong Cisco Secure ACS về người dùng đó sẽ được gủi về NAS. Thông tin tài khoản đó sẽ được lưu giữ lại.




Hình 3.7: Cách thức sử dụng cơ sở dữ liệu trong Windows NT/2000

Một tiện ích thêm vào để sử dụng cơ sở dữ liệu người dùng của Windows NT/2000 đó là username/password được dùng để xác thực giống như việc login vào mạng, chẳng hạn như ta phải nhập username/password.



3.1.3.Hỗ trợ Token Card

Cisco Secure ACS hỗ trợ một số token server thứ ba như là RSA SecureID, Secure Computing SafeWord, Symantec (AXENT) Defender và bất kì hexa X.909 token card nào chẳng hạn như CRYPTOCard. Hình 3.8 cho thấy một số token server mà Cisco Secure ACS đóng vai trò như là một client của token server.



Hình 3.8: Hỗ trợ Token Card

Với những cái khác, nó sử dụng giao tiếp RADIUS của token server để yêu cầu xác thực. Giống như với cơ sở dữ liệu của Windows NT/2000, sau khi username được đặt trong cơ sở dữ liệu người dùng, CSAuth có thể kiểm tra server đã lựa chọn để xác thực username và token-card password. Token server đưa ra phúc đáp, để chấp nhận hay từ chối một phê chuẩn. Nếu một phúc đáp được chấp nhận, CSAuth sẽ biết cách thức xác thực cần cho người dùng.

Cisco Secure ACS có thể hỗ trợ token server bằng việc sử dụng RADIUS server đã được xây dựng vào trong token server. Cisco Secure ACS gửi các yêu cầu xác thực RADIUS chuẩn đến các cổng xác thực RADIUS trên token server. Token server được hỗ trợ RADIUS server như là ActivCard, CRYPTOCard, VASCO, RSA Security, và Secure Computing.
3.1.1.Các cải tiến trong phiên bản Cisco Secure ACS ver 3.1 và ver 3.2 so với trước

Cisco Secure ACS ver 3.1 có các cải tiến sau:

Hỗ trợ giao thức xác thực mở rộng có bảo vệ (PEAP): Điều này cung cấp chức năng bảo mật lớn hơn, mở rộng nhiều hơn và hỗ trợ cho việc xác thực token một lần và cải tiến password.


SSL hỗ trợ việc quản trị truy cập: SSL có thể dùng để quản lý việc truy cập một cách an toàn thông qua giao diện HTML trong Cisco Secure ACS.
Cải tiến việc thay đổi password: Cisco Secure ACS cho phép điều khiển cách thức nhà quản trị mạng thay đổi password trong suốt phiên làm việc telnet của TACACS+ AAA client.
Cải tiến việc đánh địa chỉ IP: Để giảm khả năng cấp phát địa chỉ IP đã dùng, Cisco Secure ACS sử dụng thuộc tính IETF RADIUS Class như là một chỉ số truyền thống cho phiên làm việc người dùng.
Tìm kiếm thiết bị mạng: khả năng tìm kiếm mới này giúp ta nghiên cứu một thiết bị mạng cấu hình trước dựa trên tên thiết bị, địa chỉ IP, phân loại (AAA client hay là AAA server) và nhóm thiết bị mạng.
Cải thiện việc hỗ trợ cơ sở hạ tầng khóa chung: Trong khi xác thực kiểu EAP-TLS, Cisco Secure ACS có thể thiết lập sự so sánh giữa certificate nhận được từ client đầu cuối với certificate lưu trữ trong thư mục LDAP.
Nâng cao EAP proxy: Cisco Secure ACS hỗ trợ LEAP và EAP-TLS proxy với cơ sở dữ liệu RADIUS khác hoặc cơ sở dữ liệu từ bên ngoài thông qua RADIUS chuẩn.
Hỗ trợ ứng dụng quản trị trung tâm: Cisco Secure ACS cung cấp framework điều khiển việc quản trị TACACS+ tích hợp cho nhiều công cụ quản trị bảo mật Cisco như là “CiscoWork VPN”, “Giải pháp quản trị bảo mật”.

Cisco Secure ACS ver 3.2 có các cải tiến sau:

Hỗ trợ PEAP cho MS Windows client: Hỗ trợ MS PEAP phù hợp với Windows 98, NT, 2000, XP


Hỗ trợ LDAP đa luồng: Để cải tiến hiệu suất trong môi trường tác vụ mở rộng như môi trường không dây, Cisco Secure ACS ver 3.2 có thể xử lý nhiều yêu cầu xác thực LDAP song song.
Cải thiện EAP-TLS: Những cải thiện EAP-TLS được đưa ra bởi Cisco Secure ACS v3.2 cho phép mở rộng khả năng Cisco Secure ACS PKI.
Cấu hình EAP hỗn hợp: Cisco Secure ACS ver 3.2 hỗ trợ các loại EAP sau:
oPEAP (EAP-GTC)
oPEAP (EAP-MSCHAPv2)
oEAP-TLS
oEAP-MD5
oCisco EAP wireless
Thiết lập thông số EAP dễ dàng: cho phép một hoặc nhiều loại EAP có thể chọn đồng thời.
Hỗ trợ tính cước cho Aironet: Cisco Secure ACS ver 3.2 hỗ trợ việc tính cước dựa vào người dùng từ thiết bị truy cập Cisco Aironet wireless.
Có khả năng download “access control list” cho người dùng VPN: Cisco Secure ACS ver 3.2 mở rộng khả năng hỗ trợ ACL cho giải pháp Cisco VPN.

3.1.2.Giới thiệu về giao diện Cisco Secure ACS web browser


Hình 3.8: Giao diện chính của Cisco Secure ACS ver 3.2

Với giao diện web browser, ta có thể cấu hình các chức năng như sau:


User Setup: Ta có thể thêm, xóa, sửa một account của người dùng, và liệt kê tất cả người dùng trong cơ sở dữ liệu.
Group Setup: Ta có thể tạo, sửa, đổi tên nhóm và liệt kê tất cả user trong một nhóm.
Shared Profile Components: Phát triển và tái sử dụng tên, tập tất cả các thành phần xác thực có thể áp dụng vào một hoặc nhiều người dùng hay nhóm người dùng và tham chiếu bởi tên trong từng profile riêng biệt. Các component bao gồm giới hạn truy cập mạng (NAR), tập lệnh cấp quyền, và các ACL download được.
Network Configuration: Cấu hình và sửa chữa tham số NAS, thêm, xóa NAS, cấu hình AAA tham số phân phối cho AAA server.
System Configuration: Khởi tạo và kết thúc các dịch vụ Cisco Secure ACS, cấu hình logging, điều khiển việc nhân bản cơ sở dữ liệu, và điều khiển việc đồng bộ hóa hệ quản trị cơ sở dữ liệu quan hệ.
Interface Configuration: Cấu hình các trường do người dùng định nghĩa sẽ được ghi lại vào trong file log, cấu hình các tùy chọn TACACS+/RADIUS, và điều khiển cách thức trình bày tùy chọn trong giao diện người dùng.
Administration Control: điều khiển việc quản trị Cisco Secure ACS từ bất kì Workstation nào trên mạng.
External User Databases: cấu hình chính sách user, cấu hình các mức phân quyền cho user, cấu hình các dạng cơ sở dữ liệu từ bên ngoài.
Reports and Activity: lưu lại các thông tin xảy ra đối với Cisco Secure ACS như là một phần danh sách của các loại báo cáo phù hợp với ta. Ta có thể cài đặt những file này vào trong cơ sở dữ liệu hay ứng dụng bảng tính.
oTACACS+ Accounting Report: các danh sách cho biết thông tin khi một session bắt đầu và kết thúc, ghi lại thông điệp của NAS với username, cung cấp thông tin CLID và các bản ghi trong mỗi phiên.
oRADIUS Accounting Report: danh sách cho biết thông tin khi một session bắt đầu và kết thúc, ghi lại thông điệp của NAS với username, cung cấp thông tin CLID và các bản ghi trong mỗi phiên.
oFailed Attemps Report: danh sách xác thực không thành công.
oLogged in Users: danh sách tất cả người dùng truy cập gần đây.
oDisable Accounts: các account không cho phép hoạt động nữa.
oAdmin Accounting Report: bản lưu lại các trạng thái thao tác của admin.
Online Document: tài liệu hướng dẫn sử dụng Cisco Secure ACS như cách cấu hình, thao tác, và khái niệm có liên quan đến Cisco Secure ACS.

3.2. Cisco Secure ACS chạy trên nền UNIX (Solaris)

Cisco Secure ACS [3] chạy trên nền UNIX cho phép xác thực người dùng và xác định mạng và dịch vụ nào từ bên trong mà người dùng được phép truy cập đến. Bằng cách xác thực người dùng khi so sánh thông tin người dùng đăng nhập với thông tin lưu trong cơ sở dữ liệu của người dùng hay nhóm người dùng, Cisco Secure ACS thật sự bảo mật thông tin cá nhân cũng như các mạng của nhà cung cấp dịch vụ đối với các truy cập được cấp quyền.
Cisco Secure ACS chạy trên nền UNIX kết hợp chặt chẽ nhiều người dùng, các công cụ quản trị và cấu hình dựa trên nền Java nhằm đơn giản hóa việc quản trị server và cho phép nhiều nhà quản trị hệ thống có thể đồng thời quản lý các thiết bị bảo mật từ nhiều vị trí khác nhau. Giao diện GUI hỗ trợ web browser của Microsoft và Netscape, cung cấp khả năng tương thích với mọi platform và đòi hỏi việc quản trị bảo mật thông qua kĩ thuật giao tiếp theo chuẩn SSL.
Token card từ CRYPTOCard, Secure Computing Corporation, và RSA Security đều được hỗ trợ. Token card là phương thức phù hợp, mạnh nhất để xác thực người dùng quay số vào và ngăn những user không được cấp quyền truy cập vào. Cisco Secure ACS chạy trên nền UNIX có khả năng hỗ trợ kĩ thuật cơ sở dữ liệu quan hệ từ Sybase Inc. và Oracle. Sự mở rộng và dư thừa truyền thống, cùng với những giới hạn kiến trúc không phân tán được loại ra bởi các kĩ thuật cơ sở dữ liệu quan hệ tích hợp, như là SQLAnywhere của Sybase. Việc lưu trữ và quản lý người dùng, nhóm sẽ trở nên đơn giản hơn.

Các đặc tính tổng quát:

Bảo mật là một khía cạnh quan trọng trong việc phát triển mạng LAN/WAN. Nhà quản trị muốn đưa ra cách đăng nhập dễ dàng vào thông tin mạng, nhưng cũng muốn ngăn ngừa việc truy cập bởi những người dùng không được xác thực. Cisco Secure ACS được thiết kế nhằm bảo đảm vấn đề bảo mật mạng và giám sát hành động của một người dùng khi họ kết nối thành công vào mạng. Cisco Secure ACS sử dụng giao thức TACACS+ để cung cấp vấn đề bảo mật và giám sát mạng.


TACACS+ sử dụng AAA để cung cấp chức năng bảo mật truy cập mạng và cho phép ta điều khiển cách thức truy cập vào mạng từ vị trí trung tâm. Mỗi phần của AAA cho phép các chức năng sau:
“Authentication” xác định xem thử user có được phép truy cập vào hay không?
“Authorization” xác định các mức của thiết bị mạng mà user có thể thao tác lên nó.
“Accounting” cho phép giám sát các hoạt động mạng của mỗi user.
AAA bên trong một kiến trúc client hay server cho phép ta lưu trữ tất cả thông tin bảo mật, tập trung hóa cơ sở dữ liệu thay vì phải phân phối xung quanh mạng trong các thiết bị khác nhau.

Cisco Secure ACS chạy trên nền UNIX cho phép thay đổi cơ sở dữ liệu sao cho vấn đề bảo mật quản trị trên mạng không làm ảnh hưởng đến mỗi NAS trong mạng.


Sử dụng Cisco Secure ACS cho phép ta mở rộng mạng, cung cấp nhiều dịch vụ mà không cần bắt nhà quản trị mạng phải làm việc quá sức, nhưng vẫn đảm bảo được vấn đề an toàn. Khi nhiều user mới được thêm vào, nhà quản trị hệ thống có thể tạo một sự thay đổi nhỏ ở một số chỗ nhưng vẫn bảo đảm tính bảo mật mạng.
Cisco Secure ACS có thể dùng với cả hai giao thức TACACS+ và RADIUS. Một số đặc tính là chung cho cả hai giao thức, trong khi có một số đặc tính khác là riêng biệt giữa chúng.
Cisco Secure ACS chạy trên nền UNIX có một số đặc tính sau khi sử dụng với giao thức TACACS+ hoặc RADIUS là:
Hỗ trợ việc sử dụng token card server phổ biến ví dụ như CRYPTOCard, Secure Computing, RSA Security.
Cơ sở dữ liệu quan hệ hỗ trợ cho Oracle, Sybase, ...
Giao thức mã hóa giúp password bảo mật hoàn toàn.
Hỗ trợ trên thiết bị SPARC Solaris phiên bản 2.51 trở về sau.
Hỗ trợ chức năng phân nhóm.
Hỗ trợ việc tính cước.
Hỗ trợ việc xác thực S/Key
Có khả năng xác định số lượng session lớn nhất trên mỗi user.
Có khả năng disable một tài khoản sau n lần thử truy cập vào.
Có giao diện web giúp dễ dàng quản trị vấn đề bảo mật mạng.

Cisco Secure ACS chạy trên nền UNIX phiên bản 2.3 thêm chức năng “Quản trị hệ thống phân tán”(DSM), cho phép nhà quản trị hệ thống có thể:


Giới hạn số phiên làm việc hiện tại phù hợp với một user xác định, một nhóm hoặc một VPDN.
Thiết lập các phiên giới hạn cho từng user riêng biệt hoặc một nhóm các user riêng biệt.




Cơ sở dữ liệu được bảo vệ bởi bản quyền ©hocday.com 2019
được sử dụng cho việc quản lý

    Quê hương