Nguyên tắc cơ bản của bảo mật này là việc cung cấp mức độ truy cập chính xác cho thực thể xác định được gọi là xác thực, ủy quyền, và tính cước (AAA), thường gọi là Triple-A.
Trước khi cho phép một thực thể thực hiện một hành động, phải đảm bảo biết thực thể đó là ai (xác thực) và nếu thực thể đó được ủy quyền để thực hiện hành động đó (ủy quyền). Ngoài ra, cần phải đảm bảo rằng các hành động xảy ra đã được ghi chép lại, vì vậy, ta cần ghi lại một cách bảo mật các sự kiện xảy ra (tính cước).
Chúng ta có thể áp dụng các khái niệm của AAA cho nhiều khía cách khác nhau của vòng đời công nghệ; tuy nhiên, ở đây sẽ tập trung vào hai khía cạnh chính của AAA liên quan đến an ninh mạng:
Xác thực (Authentication), nói một cách đơn giản, là xác nhận danh tính, còn được gọi là thông tin xác thực. Đây là một bước rất quan trọng trong quá trình thực hiện bất kỳ loại kiểm soát truy cập an toàn nào, bất kể bạn đang kiểm soát điều gì. Ví dụ: xem xét việc trả tiền cho cửa hàng tạp hóa với một thẻ tín dụng. Là chủ sở hữu thẻ tín dụng, bạn có quyền lựa chọn ký vào mặt sau của thẻ hoặc nhập mã ID của thẻ. Nếu ID và chữ ký khớp với mặt trước thẻ thì người đó được xác thực đúng là chủ của thẻ tín dụng.
Ủy quyền (Authorization): Có một nhân viên thu ngân kiểm tra danh tính của người sử dụng thẻ để đảm bảo khớp với người được hiển thị trên chính ID, đó là xác thực. Đảm bảo rằng danh tính khớp với tên được in trên thẻ tín dụng là ủy quyền.
Tính cước (Accouting): Ví dụ Jamie cố gắng sử dụng thẻ tín dụng Vivek, hiện có trong các tệp nhật ký của hệ thống điểm bán, hệ thống giám sát video của cửa hàng và các hệ thống khác. Đây là phần tính cước (accounting) của AAA. Nó là một phần quan trọng cần thiết để báo cáo, kiểm toán và hơn thế nữa.
Nó sẽ trở thành tối quan trọng đối với bạn với tư cách là một chuyên gia bảo mật để hiểu được sự khác biệt và mục đích của cả ba A trong bảo mật chính của Triple-A.
Bản thân AAA thường yêu cầu một giao thức chuyên biệt được thiết kế để thực hiện các yêu cầu xác thực và phản hồi tương ứng của chúng, bao gồm kết quả ủy quyền và nhật ký tính cước. Các giao thức chuyên biệt này được gọi là giao thức AAA và hai giao thức AAA phổ biến nhất là Dịch vụ người dùng quay số xác thực từ xa (RADIUS) và Bộ điều khiển truy cập đầu cuối (TACACS+), mà chúng ta sẽ định nghĩa chi tiết hơn trong chương này. Mỗi giao thức AAA có một ưu và nhược điểm riêng khiến nó phù hợp hơn với một số loại AAA nhất định. Không phụ thuộc vào giao thức AAA được sử dụng, có hai cách sử dụng AAA là để quản trị thiết bị và truy cập mạng.
Quản trị thiết bị là một phương pháp của AAA để kiểm soát quyền truy cập vào bảng điều khiển thiết bị mạng, phiên Telnet, phiên SSH hoặc phương pháp khác để truy cập hệ điều hành của thiết bị nơi tiến hành cấu hình cho thiết bị. Ví dụ: hãy tưởng tượng công ty của bạn có một nhóm Active Directory có tên Quản trị viên Cisco, nhóm này sẽ có quyền truy cập đầy đủ (cấp đặc quyền 15) vào các thiết bị chuyển mạch của Cisco trong mạng của công ty. Do đó, các thành viên của Quản trị viên Cisco sẽ có thể thực hiện các thay đổi đối với các mạng ảo cục bộ (Vlan), xem toàn bộ cấu hình đang chạy của thiết bị và hơn thế nữa.
Có thể có một nhóm khác có tên là “Người dùng Cisco”, những người chỉ được phép xem thông tin đầu cuối là các dòng lệnh hiển thị và không được phép cấu hình bất cứ thứ gì trong thiết bị. Quản trị thiết bị AAA cung cấp khả năng này.
Hình 2 – 1 minh họa quản trị thiết bị
Quản trị thiết bị có thể rất tương tác về bản chất, với nhu cầu xác thực một lần nhưng ủy quyền nhiều lần trong một phiên quản trị duy nhất trong dòng lệnh của thiết bị.
Do đó, rất có ích khi sử dụng giao thức máy khách/máy chủ của Bộ điều khiển truy cập (TACACS), hơn cả RADIUS.
Như mô tả tên gọi, TACACS được thiết kế để quản trị thiết bị AAA, để xác thực và ủy quyền cho người dùng máy tính lớn và các thiết bị đầu cuối Unix cũng như các thiết bị đầu cuối hoặc bảng điều khiển khác.
Cả hai giao thức TACACS và RADIUS sẽ được thảo luận sâu hơn trong chương này; tuy nhiên, vì TACACS phân ra phần ủy quyền của AAA, cho phép xác thực duy nhất và nhiều ủy quyền trong cùng một phiên, nên nó giúp cho việc quản lý thiết bị nhiều hơn RADIUS. RADIUS không cung cấp khả năng kiểm soát các lệnh nào có thể được thực thi.
Truy cập mạng an toàn về cơ bản là tất cả về việc tìm hiểu danh tính của người dùng hoặc điểm cuối trước khi cho phép thực thể đó giao tiếp trong mạng. Truy cập mạng AAA thực sự đã cản trở mạnh mẽ đối với modem và mạng quay số với dịch vụ điện thoại cũ (POTS). Các công ty đã cung cấp quyền truy cập mạng cho công nhân từ bên ngoài ranh giới vật lý của các tòa nhà của công ty với việc sử dụng modem. Mọi người có được quyền truy cập Internet bằng cách sử dụng quay số đến nhà cung cấp dịch vụ Internet (ISP) cũng thông qua modem của họ. Về cơ bản, tất cả những gì cần thiết là một modem và một đường dây điện thoại.
Tất nhiên, cho phép mọi người quay số vào mạng công ty chỉ bằng cách quay số điện thoại của modem không phải là một cách an toàn. Người dùng cần được xác thực và ủy quyền trước khi được phép kết nối. Đó là nơi ban đầu giao thức RADIUS AAA được phát huy, như một điều hiển nhiên trong tên của giao thức (Dịch vụ người dùng quay số xác thực từ xa). RADIUS được sử dụng giữa thiết bị truy cập mạng (NAD) và máy chủ xác thực. Giao thức xác thực thường là Giao thức xác thực mật khẩu (PAP), Giao thức xác thực thử thách/bắt tay (CHAP) hoặc Microsoft CHAP (MS-CHAP).
Hình 2 – 2 Minh họa quay số truy cập từ xa (RADIUS)
Khi công nghệ tiếp tục phát triển và RADIUS của một công ty đã được thay thế bằng các mạng riêng ảo truy cập từ xa (RA-VPN), Wi-Fi trở nên phổ biến và (IEEE) đã chuẩn hóa theo phương pháp để sử dụng Giao thức xác thực mở rộng (EAP) trên các mạng cục bộ (IEEE 802.1X), RADIUS được sử dụng làm giao thức được lựa chọn để mang lưu lượng xác thực. Trên thực tế, IEEE 802.1X không thể sử dụng TACACS. Nó phải sử dụng RADIUS.
Ghi chú: Có một giao thức AAA khác tương tự RADIUS, được gọi là DIAMETER, cũng có thể được sử dụng với 802.1X; tuy nhiên, nó chủ yếu được tìm thấy trong không gian của nhà cung cấp dịch vụ.
Trong thế giới ngày nay, RADIUS là giao thức được sử dụng gần như độc quyền với truy cập mạng AAA và là nền tảng điều khiển chính được sử dụng giữa Cisco ISE và chính các thiết bị mạng.
