GIAO THỨC CHỨNG THỰC VÀ PHÂN QUYỀN TRUY CẬP MẠNG (AAA)
Ngày nay, việc sử dụng giao thức chứng thực và phân quyền (AAA) trong vấn đề bảo mật và điều khiển truy cập dữ liệu trong mạng có dây (cable) và mạng không dây (wifi) rất cần thiết.
Các nhà quản trị mạng phải điều khiển việc truy cập cũng như giám sát thông tin mà người dùng đầu cuối đang thao tác vào hệ thống mạng. Những việc làm đó có thể đưa đến sự mất mát dữ liệu của công ty. Với ý tưởng đó, AAA là cách thức tốt nhất để giám sát những gì mà người dùng đầu cuối có thể làm trên mạng. Ta có thể xác thực, định danh (authentication) người dùng, phân quyền (authorization) cho người dùng, cũng như tập hợp được những thông tin như thời gian bắt đầu hay kết thúc của người dùng (accounting), tài nguyên người dùng đã truy cập. Như ta thấy, bảo mật là vấn đề rất quan trọng.
Với mức độ điều khiển, thật dễ dàng để cài đặt bảo mật và quản trị mạng. Ta có thể định nghĩa các vai trò (role) đưa ra cho user những lệnh mà họ cần để hoàn thành nhiệm vụ của họ và theo dõi những thay đổi trong mạng. Với khả năng hệ thống ghi log lại các sự kiện, ta có thể có những sự điều chỉnh thích hợp với từng yêu cầu đặt ra.
Tất cả những thành phần này là cần thiết để duy trì tính an toàn, bảo mật cho mạng. Với thông tin thu thập được, ta có thể dự đoán việc cập nhật cần thiết theo thời gian. Ví dụ : 1 user bình thường sẽ truy cập vào tài nguyên hệ thống trong giờ làm việc (từ 8h sáng đến 5h chiều), hôm nay thấy truy cập bất thường từ 1h sáng đến 3h sáng.
Yêu cầu bảo mật dữ liệu, giám sát các vấn đề trên mạng… tất cả đều có thể tìm thấy trên dịch vụ AAA.
Tổng quan AAA:
AAA cho phép nhà quản trị mạng biết được các thông tin quan trọng về tình hình cũng như mức độ an toàn trong mạng. Nó cung cấp việc xác thực(authentication) người dùng nhằm bảo đảm có thể nhận dạng đúng người dùng, đúng họ và tên nhân viên, đúng phòng ban. Một khi đã nhận dạng người dùng, ta có thể giới hạn phân quyền(authorization) mà người dùng có thể tương tác vào hệ thống. Khi người dùng sử dụng mạng, ta cũng có thể giám sát tất cả những gì mà họ làm. AAA với ba thành phần xác thực (authentication), phân quyền(authorization), tính cước(accounting) là các phần riêng biệt mà ta có thể sử dụng trong dịch vụ mạng, cần thiết để mở rộng và bảo mật mạng.
AAA có thể dùng để tập hợp thông tin từ nhiều thiết bị trên mạng. Ta có thể bật các dịch vụ AAA trên router, switch, firewall, các thiết bị VPN, server…
Theo kiến trúc thiết kế bảo mật, chúng ta thường đặt các câu hỏi như sau:
Who are you?
I am user student and my password validateme proves it.
What can you do? What can you access?
User student can access host serverXYZ using Telnet.
What did you do? How long did you do it?
How often did you do it?
User student accessed host serverXYZ using Telnet for 15 minutes.
Định nghĩa AAA:
Các dịch vụ AAA được chia thành ba phần: xác thực (authentication), phân quyền (accounting), tính cước (accounting). Ta sẽ tìm hiểu sự khác nhau của ba phần này và cách thức chúng làm việc như thể nào.
Xác thực người dùng (Authentication user):
Xác thực dùng để định danh, nhận dạng (identify user) người dùng. Trong suốt quá trình xác thực, username và password của người dùng được kiểm tra và đối chiếu với cơ sở dữ liệu lưu trong AAA Server hoặc external database. Tất nhiên, tùy thuộc vào giao thức mà AAA hỗ trợ mã hóa đến đâu, ít nhất thì cũng mã hóa username và password. Xác thực sẽ xác định người dùng là ai.
Ví dụ: Người dùng có username và mật khẩu trong hệ thống, sẽ là hợp lệ và được xác thực thành công với hệ thống. Sau khi xác thực thành công thì người dùng đó có thể truy cập được vào mạng. Tiến trình này chỉ là một trong các thành phần để điều khiển người dùng với AAA. Một khi username và password được chấp nhận, AAA có thể dùng để định nghĩa phân quyền mà người dùng được phép làm trong hệ thống.
Phân quyền người dùng (Authorization user):
Authorization cho phép nhà quản trị điều khiển việc cấp quyền trong một khoảng thời gian, hay trên từng thiết bị, từng nhóm, từng người dùng cụ thể hay trên từng giao thức. AAA cho phép nhà quản trị tạo ra các thuộc tính mô tả các chức năng của người dùng được phép làm. Do đó, người dùng phải được xác thực trước khi cấp quyền cho người đó.
AAA Authorization làm việc giống như một tập các thuộc tính mô tả những gì mà người dùng đã được xác thực có thể có. Ví dụ: 1 người dùng là nhân viên thuộc phòng nhân sự, truy cập vào hệ thống, sẽ được phân quyền theo chúc năng của phòng nhân sự, người dùng là khách của công ty, sẽ được phân quyền tối thiểu để truy cập internet, không truy cập vào tài nguyên hệ thống được. Những thuộc tính này được so sánh với thông tin chứa trong cơ sở dữ liệu của người dùng đó và kết quả được AAA trả về để xác định khả năng cũng như giới hạn thực tế của người đó. Điều này yêu cầu cơ sở dữ liệu phải giao tiếp liên tục với AAA server trong suốt quá trình kết nối đến thiết bị truy cập từ xa.
Tính cước người dùng (Accounting user):
Accounting cho phép nhà quản trị có thể thu thập thông tin như thời gian bắt đầu, thời gian kết thúc người dùng truy cập vào hệ thống, các câu lệnh đã thực thi, thống kê lưu lượng, việc sử dụng tài nguyên và sau đó lưu trữ thông tin trong hệ thống cơ sở dữ liệu quan hệ. Nói cách khác, accounting cho phép giám sát dịch vụ và tài nguyên được người dùng sử dụng.
Ví dụ: thống kê cho thấy người dùng đã truy cập vào web server với số lượng bao nhiêu lần, thời gian truy cập vào server là bao lâu. Điểm chính trong Accounting đó là cho phép người quản trị giám sát tích cực và dự đoán được dịch vụ và việc sử dụng tài nguyên. Thông tin này có thể được dùng để thời gian truy cập của khách hàng, quản lý mạng, kiểm toán trong các chính sách bảo mật của công ty.
