ỨNG DỤNG CISCO ISE TRONG MẠNG DOANH NGHIỆP - PHẦN 2 | NHU CẦU AN NINH HỆ THỐNG MẠNG -

2.2 Sơ lược về Triple-A (AAA) và các giao thức bên trong

2.2.1 Các nguyên tắc

Nguyên tắc cơ bản của bảo mật này là việc cung cấp mức độ truy cập chính xác cho thực thể xác định được gọi là xác thực, ủy quyền, và tính cước (AAA), thường gọi là Triple-A.

Trước khi cho phép một thực thể thực hiện một hành động, phải đảm bảo biết thực thể đó là ai (xác thực) và nếu thực thể đó được ủy quyền để thực hiện hành động đó (ủy quyền). Ngoài ra, cần phải đảm bảo rằng các hành động xảy ra đã được ghi chép lại, vì vậy, ta cần ghi lại một cách bảo mật các sự kiện xảy ra (tính cước).

Chúng ta có thể áp dụng các khái niệm của AAA cho nhiều khía cách khác nhau của vòng đời công nghệ; tuy nhiên, ở đây sẽ tập trung vào hai khía cạnh chính của AAA liên quan đến an ninh mạng:

Quản trị thiết bị AAA: Kiểm soát quyền truy cập vào những người mà người đó có thể đăng nhập vào bảng điều khiển thiết bị mạng, phiên Telnet, phiên Secure Shell (SSH),.... Đây là AAA cho quản trị thiết bị và mặc dù nó thường có vẻ giống với AAA truy cập mạng, nhưng có một mục đích hoàn toàn khác và đòi hỏi các cấu trúc chính sách khác nhau.

Truy cập mạng AAA: Bảo mật truy cập mạng có thể cung cấp danh tính của điểm cuối, thiết bị hoặc người dùng trước khi cho phép thực thể giao tiếp với mạng. Đây là AAA để truy cập mạng.

2.2.2 Các khái niệm về Triple-A trong thế giới thực

Xác thực (Authentication), nói một cách đơn giản, là xác nhận danh tính, còn được gọi là thông tin xác thực. Đây là một bước rất quan trọng trong quá trình thực hiện bất kỳ loại kiểm soát truy cập an toàn nào, bất kể bạn đang kiểm soát điều gì. Ví dụ: xem xét việc trả tiền cho cửa hàng tạp hóa với một thẻ tín dụng. Là chủ sở hữu thẻ tín dụng, bạn có quyền lựa chọn ký vào mặt sau của thẻ hoặc nhập mã ID của thẻ. Nếu ID và chữ ký khớp với mặt trước thẻ thì người đó được xác thực đúng là chủ của thẻ tín dụng.

Ủy quyền (Authorization): Có một nhân viên thu ngân kiểm tra danh tính của người sử dụng thẻ để đảm bảo khớp với người được hiển thị trên chính ID, đó là xác thực. Đảm bảo rằng danh tính khớp với tên được in trên thẻ tín dụng là ủy quyền.

Tính cước (Accouting): Ví dụ Jamie cố gắng sử dụng thẻ tín dụng Vivek, hiện có trong các tệp nhật ký của hệ thống điểm bán, hệ thống giám sát video của cửa hàng và các hệ thống khác. Đây là phần tính cước (accounting) của AAA. Nó là một phần quan trọng cần thiết để báo cáo, kiểm toán và hơn thế nữa.

Nó sẽ trở thành tối quan trọng đối với bạn với tư cách là một chuyên gia bảo mật để hiểu được sự khác biệt và mục đích của cả ba A trong bảo mật chính của Triple-A.

2.2.3 So sánh và chọn tùy chọn AAA

Bản thân AAA thường yêu cầu một giao thức chuyên biệt được thiết kế để thực hiện các yêu cầu xác thực và phản hồi tương ứng của chúng, bao gồm kết quả ủy quyền và nhật ký tính cước. Các giao thức chuyên biệt này được gọi là giao thức AAA và hai giao thức AAA phổ biến nhất là Dịch vụ người dùng quay số xác thực từ xa (RADIUS) và Bộ điều khiển truy cập đầu cuối (TACACS+), mà chúng ta sẽ định nghĩa chi tiết hơn trong chương này. Mỗi giao thức AAA có một ưu và nhược điểm riêng khiến nó phù hợp hơn với một số loại AAA nhất định. Không phụ thuộc vào giao thức AAA được sử dụng, có hai cách sử dụng AAA là để quản trị thiết bị và truy cập mạng.

2.2.4 Quản trị thiết bị

Quản trị thiết bị là một phương pháp của AAA để kiểm soát quyền truy cập vào bảng điều khiển thiết bị mạng, phiên Telnet, phiên SSH hoặc phương pháp khác để truy cập hệ điều hành của thiết bị nơi tiến hành cấu hình cho thiết bị. Ví dụ: hãy tưởng tượng công ty của bạn có một nhóm Active Directory có tên Quản trị viên Cisco, nhóm này sẽ có quyền truy cập đầy đủ (cấp đặc quyền 15) vào các thiết bị chuyển mạch của Cisco trong mạng của công ty. Do đó, các thành viên của Quản trị viên Cisco sẽ có thể thực hiện các thay đổi đối với các mạng ảo cục bộ (Vlan), xem toàn bộ cấu hình đang chạy của thiết bị và hơn thế nữa.

Có thể có một nhóm khác có tên là “Người dùng Cisco”, những người chỉ được phép xem thông tin đầu cuối là các dòng lệnh hiển thị và không được phép cấu hình bất cứ thứ gì trong thiết bị. Quản trị thiết bị AAA cung cấp khả năng này.

Tuy nhiên, quản trị thiết bị AAA có thể chi tiết hơn. Cả Hệ thống kiểm soát truy cập an toàn của Cisco (ACS) và Công cụ dịch vụ nhận dạng của Cisco (ISE) đều có khả năng cung cấp các bộ lệnh, là danh sách các lệnh được cho phép hoặc từ chối thực thi bởi một người dùng đã được chứng thực. Nói cách khác, người dùng có thể xác thực với shell Cisco IOS và ISE có thể cho phép hoặc từ chối việc thực thi các lệnh riêng lẻ của người dùng.

Hình 2 – 1 minh họa quản trị thiết bị

Quản trị thiết bị có thể rất tương tác về bản chất, với nhu cầu xác thực một lần nhưng ủy quyền nhiều lần trong một phiên quản trị duy nhất trong dòng lệnh của thiết bị.

Do đó, rất có ích khi sử dụng giao thức máy khách/máy chủ của Bộ điều khiển truy cập (TACACS), hơn cả RADIUS.

Như mô tả tên gọi, TACACS được thiết kế để quản trị thiết bị AAA, để xác thực và ủy quyền cho người dùng máy tính lớn và các thiết bị đầu cuối Unix cũng như các thiết bị đầu cuối hoặc bảng điều khiển khác.

Cả hai giao thức TACACS và RADIUS sẽ được thảo luận sâu hơn trong chương này; tuy nhiên, vì TACACS phân ra phần ủy quyền của AAA, cho phép xác thực duy nhất và nhiều ủy quyền trong cùng một phiên, nên nó giúp cho việc quản lý thiết bị nhiều hơn RADIUS. RADIUS không cung cấp khả năng kiểm soát các lệnh nào có thể được thực thi.

2.2.5 Truy cập mạng

Truy cập mạng an toàn về cơ bản là tất cả về việc tìm hiểu danh tính của người dùng hoặc điểm cuối trước khi cho phép thực thể đó giao tiếp trong mạng. Truy cập mạng AAA thực sự đã cản trở mạnh mẽ đối với modem và mạng quay số với dịch vụ điện thoại cũ (POTS). Các công ty đã cung cấp quyền truy cập mạng cho công nhân từ bên ngoài ranh giới vật lý của các tòa nhà của công ty với việc sử dụng modem. Mọi người có được quyền truy cập Internet bằng cách sử dụng quay số đến nhà cung cấp dịch vụ Internet (ISP) cũng thông qua modem của họ. Về cơ bản, tất cả những gì cần thiết là một modem và một đường dây điện thoại.

Tất nhiên, cho phép mọi người quay số vào mạng công ty chỉ bằng cách quay số điện thoại của modem không phải là một cách an toàn. Người dùng cần được xác thực và ủy quyền trước khi được phép kết nối. Đó là nơi ban đầu giao thức RADIUS AAA được phát huy, như một điều hiển nhiên trong tên của giao thức (Dịch vụ người dùng quay số xác thực từ xa). RADIUS được sử dụng giữa thiết bị truy cập mạng (NAD) và máy chủ xác thực. Giao thức xác thực thường là Giao thức xác thực mật khẩu (PAP), Giao thức xác thực thử thách/bắt tay (CHAP) hoặc Microsoft CHAP (MS-CHAP).

Hình 2 – 2 Minh họa quay số truy cập từ xa (RADIUS)

Khi công nghệ tiếp tục phát triển và RADIUS của một công ty đã được thay thế bằng các mạng riêng ảo truy cập từ xa (RA-VPN), Wi-Fi trở nên phổ biến và (IEEE) đã chuẩn hóa theo phương pháp để sử dụng Giao thức xác thực mở rộng (EAP) trên các mạng cục bộ (IEEE 802.1X), RADIUS được sử dụng làm giao thức được lựa chọn để mang lưu lượng xác thực. Trên thực tế, IEEE 802.1X không thể sử dụng TACACS. Nó phải sử dụng RADIUS.

Ghi chú: Có một giao thức AAA khác tương tự RADIUS, được gọi là DIAMETER, cũng có thể được sử dụng với 802.1X; tuy nhiên, nó chủ yếu được tìm thấy trong không gian của nhà cung cấp dịch vụ.

Trong thế giới ngày nay, RADIUS là giao thức được sử dụng gần như độc quyền với truy cập mạng AAA và là nền tảng điều khiển chính được sử dụng giữa Cisco ISE và chính các thiết bị mạng.

2.2.6 TACACS+

Như đã giới thiệu trước đây TACACS là một bộ giao thức được tạo và nhằm mục đích kiểm soát truy cập vào các thiết bị đầu cuối máy tính lớn và Unix. Cisco đã tạo ra một giao thức mới gọi là TACACS+, được phát hành như một tiêu chuẩn mở vào đầu những năm 1990. TACACS+ có thể được lấy tên từ TACACS, nhưng nó là một giao thức hoàn toàn riêng biệt và không tương thích ngược được thiết kế cho AAA. Mặc dù TACACS+ chủ yếu được sử dụng cho quản trị thiết bị AAA, nhưng có thể sử dụng nó cho một số loại truy cập mạng AAA.

TACACS+ trở thành giao thức được hỗ trợ với Cisco ISE trong phiên bản

2.0. Trước ISE 2.0, Máy chủ kiểm soát truy cập an toàn của Cisco (ACS) là sản phẩm máy chủ AAA chính của Cisco dành cho các doanh nghiệp cần sử dụng TACACS+ cho quản trị thiết bị AAA. Tuy nhiên, bắt đầu với ISE 2.0, ISE đã thay thế ACS làm máy chủ AAA hàng đầu của doanh nghiệp Cisco cho cả RADIUS và TACACS+.

TACACS+ sử dụng cổng Giao thức điều khiển truyền (TCP) cổng số 49 để giao tiếp giữa máy khách TACACS+ và máy chủ TACACS+. Một ví dụ là một thiết bị chuyển mạch của Cisco xác thực và cho phép truy cập quản trị vào bộ chuyển đổi IOS CLI. Bộ chuyển mạch là máy khách TACACS+ và Cisco ISE là máy chủ TACACS+, như được minh họa trong Hình 2 – 3.

Hình 2 – 3 Giao tiếp máy khách – máy chủ TACACS+

Một trong những điểm khác biệt chính của TACACS+ là khả năng phân tách xác thực, ủy quyền và tính cước dưới dạng các chức năng riêng biệt và độc lập. Đây là lý do tại sao TACACS+ thường được sử dụng để quản trị thiết bị, mặc dù RADIUS vẫn chắc chắn có khả năng cung cấp quản trị thiết bị AAA.

Quản trị thiết bị có thể rất tương tác về bản chất, với nhu cầu xác thực một lần nhưng ủy quyền nhiều lần trong một phiên quản trị duy nhất trong dòng lệnh của thiết bị. Một bộ định tuyến hoặc bộ chuyển mạch có thể cần phải ủy quyền cho hoạt động của người dùng trên mỗi lệnh căn bản. TACACS+ được thiết kế để đáp ứng nhu cầu ủy quyền đó. Đúng như tên gọi, TACACS+ được thiết kế để quản trị thiết bị AAA để xác thực và ủy quyền cho người dùng vào các máy tính lớn và Unix và các thiết bị đầu cuối hoặc bảng điều khiển khác.

Giao tiếp TACACS+ giữa máy khách TACACS+ và máy chủ TACACS+ sử dụng các loại thông báo khác nhau tùy thuộc vào chức năng. Nói cách khác, các thông điệp khác nhau có thể được sử dụng để xác thực hơn là được sử dụng để ủy quyền và tính cước. Một điểm rất thú vị khác cần biết là giao tiếp TACACS+ sẽ mã hóa toàn bộ gói.

2.2.7 Thông điệp xác thực TACACS+

Khi sử dụng TACACS+ để xác thực, chỉ có ba loại gói được trao đổi giữa máy khách (thiết bị mạng) và máy chủ:

-START: Gói này được sử dụng để bắt đầu yêu cầu xác thực giữa máy khách AAA và máy chủ AAA.

- RESPONSE: Thông điệp được gửi từ máy chủ AAA đến máy khách AAA.

-CONTINUE: Thông điệp từ máy khách AAA được sử dụng để đáp ứng yêu cầu của máy chủ AAA về tên người dùng và mật khẩu.

Các đoạn dưới đây mô tả quá trình dòng xác thực và các thông điệp được sử

dụng:

Khi một yêu cầu xác thực được gửi từ máy khách đến máy chủ, nó sẽ bắt

đầu bằng thông báo START từ thiết bị mạng (máy khách AAA) đến máy chủ AAA. Thông báo START cho máy chủ biết rằng sẽ có yêu cầu xác thực đang đến. Tất cả các thông điệp từ máy chủ đến thiết bị mạng sẽ được REPLY (trả lời) trong khi xác thực. Máy chủ gửi một tin nhắn REPLY yêu cầu khách hàng lấy lại tên người dùng. Tên người dùng được gửi đến máy chủ trong một tin nhắn CONINUE.

Sau khi máy chủ nhận được tên người dùng, nó sẽ gửi một tin nhắn REPLY cho khách hàng yêu cầu mật khẩu, được gửi lại cho máy chủ trong một tin nhắn CONTINUE. Máy chủ sẽ gửi một tin nhắn REPLY cuối cùng với trạng thái đạt hoặc không đạt yêu cầu xác thực.

Các giá trị có thể được trả về từ máy chủ AAA cho máy khách AAA trong thông báo REPLY cuối cùng như sau:

-ACCEPT: Xác thực người dùng đã thành công và quy trình ủy quyền có thể bắt đầu nếu máy khách AAA được định cấu hình cho ủy quyền.

-REJECT: Xác thực người dùng đã thất bại. Đăng nhập sẽ bị từ chối hoặc người dùng cuối sẽ được nhắc thử lại, tùy thuộc vào cấu hình của máy khách AAA.

-ERROR: Đã xảy ra lỗi tại một số điểm trong quá trình xác thực. Máy khách AAA thường sẽ cố gắng xác thực lại người dùng hoặc thử một phương thức xác thực người dùng khác.

-CONTINUE: Người dùng được nhắc để biết thêm thông tin. Điều này không được nhầm lẫn với thông báo TIẾP TỤC được gửi từ máy khách AAA đến máy chủ AAA. Giá trị này được gửi từ máy chủ AAA trong thông báo REPLY, cho biết cần thêm thông tin.

Hình 2 – 4 minh họa các thông báo xác thực giữa máy khách và máy chủ

2.2.8 Thông điệp TACACS+ xác thực và tính cước

Khi sử dụng TACACS+ để ủy quyền, chỉ có hai thông báo được sử dụng giữa máy khách AAA và máy chủ AAA:

- YÊU CẦU: Thông báo này được gửi từ máy khách AAA đến máy chủ AAA để yêu cầu ủy quyền. Việc ủy quyền có thể liên quan đến quyền truy cập vào trình CLI hoặc có thể ủy quyền cho một lệnh cụ thể. Các chức năng được yêu cầu được gọi là một dịch vụ.

- HỒI ĐÁP (RESPONSE): Thông báo này được gửi từ máy chủ AAA trở lại máy khách AAA với kết quả yêu cầu ủy quyền, bao gồm các chi tiết cụ thể, chẳng hạn như cấp đặc quyền được gán cho người dùng cuối. Thông báo hồi đáp (RESPONSE) có thể chứa một trong năm câu trả lời:

- FAIL: Cho biết người dùng nên bị từ chối truy cập vào dịch vụ được yêu cầu.

- PASS_ADD: Cho biết ủy quyền thành công và thông tin có trong thông báo RESPONSE nên được sử dụng cùng với thông tin được yêu cầu. Nếu không có đối số bổ sung nào được trả về bởi máy chủ AAA trong thông báo RESPONSE, thì yêu cầu chỉ đơn giản là được ủy quyền.

- PASS_REPL: Cho biết ủy quyền thành công nhưng máy chủ đã chọn bỏ qua YÊU CẦU và sẽ thay thế nó bằng thông tin được gửi lại trong RESPONSE.

- FOLLOW: Cho biết rằng máy chủ AAA muốn máy khách AAA gửi yêu cầu ủy quyền đến một máy chủ khác. Thông tin máy chủ mới sẽ được liệt kê trong gói RESPONSE. Máy khách AAA có thể sử dụng máy chủ mới đó hoặc coi phản hồi là FAIL.

- ERROR: Cho biết sự cố xảy ra trên máy chủ AAA và cần khắc phục sự cố thêm.

Một chức năng chính của AAA không thể bỏ qua là tính cước. Điều quan trọng đối với an ninh là có một bản ghi lại đầy đủ về những gì đã xảy ra. Ngoài yêu cầu ủy quyền được gửi đến máy chủ AAA, cần bản ghi lại tính cước về các hoạt động của người dùng.

Giống như tin nhắn ủy quyền, chỉ có hai loại tin nhắn được sử dụng trong tính cước:

- REQUEST: Thông báo này được gửi từ máy khách AAA đến máy chủ AAA để cho biết thông báo về hoạt động. Một trong ba giá trị có thể được bao gồm trong YÊU CẦU:

- START: Chỉ ra rằng một dịch vụ đã bắt đầu.

- STOP: Chỉ ra rằng dịch vụ đã kết thúc.

- CONTINUE: Cho biết một dịch vụ đã bắt đầu và đang được tiến hành nhưng có thông tin cập nhật để cung cấp liên quan đến dịch vụ; đôi khi cũng được gọi là bản ghi Watchdog hoặc bản ghi CẬP NHẬT.

- RESPONSE: Thông báo này được gửi từ máy chủ AAA trở lại máy khách AAA với kết quả YÊU CẦU tính cước và có thể chứa một trong ba câu trả lời:

- SUCCESS: Cho biết rằng máy chủ nhận được bản ghi từ máy khách.

- ERROR: Chỉ ra lỗi trên máy chủ và bản ghi không được lưu trữ.

- FOLLOW: Cho biết rằng máy chủ muốn máy khách gửi bản ghi đến một máy chủ AAA khác và bao gồm thông tin máy chủ đó trong RESPONSE.

Hình 2 – 5 minh họa người dùng cuối được ủy quyền truy cập CLI exec của IOS. Hình này là sự tiếp nối trực tiếp của chuỗi xác thực được hiển thị trong Hình 2 – 4. Trong hình minh họa này, người dùng cuối được ủy quyền để thực thi IOS và được phép chạy lệnh show run.

Hình 2 – 5 Sự lưu thông trong giao tiếp của giao thức TACACS+ ủy quyền và tính

cước

2.2.9 RADIUS

RADIUS là một giao thức AAA tiêu chuẩn IETF. Giống như với TACACS+, nó tuân theo mô hình máy khách/máy chủ nơi máy khách khởi tạo các yêu cầu đến máy chủ. RADIUS là giao thức AAA được lựa chọn để truy cập mạng AAA. Nếu bạn kết nối với mạng không dây an toàn thường xuyên, thì rất có thể RADIUS được sử dụng giữa thiết bị không dây và máy chủ AAA. Bởi vì RADIUS là giao thức truyền tải cho EAP, cùng với nhiều giao thức xác thực khác.

Ban đầu, RADIUS được sử dụng để mở rộng xác thực từ Giao thức điểm- điểm (PPP) lớp 2 được sử dụng giữa người dùng cuối và máy chủ truy cập mạng (NAS) và mang lưu lượng xác thực đó từ NAS đến máy chủ AAA thực hiện xác thực. Điều này cho phép giao thức xác thực lớp 2 được mở rộng qua ranh giới lớp 3 đến máy chủ xác thực tập trung.

Như được mô tả trước đây trong chương này, RADIUS đã phát triển vượt xa các trường hợp sử dụng mạng quay số mà nó ban đầu được tạo ra. Ngày nay, RADIUS vẫn được sử dụng theo cùng một cách, mang lưu lượng xác thực từ thiết bị mạng đến máy chủ xác thực. Với IEEE 802.1X, RADIUS được sử dụng để mở rộng EAP lớp 2 từ người dùng cuối đến máy chủ xác thực, như được minh họa trong Hình 2 – 6.

Hình 2 – 6 RADIUS thực hiện giao tiếp EAP lớp 2

Có nhiều sự khác biệt giữa RADIUS và TACACS +. Một sự khác biệt như vậy là xác thực và ủy quyền không được tách riêng trong RADIUS. Khi yêu cầu xác thực được gửi đến máy chủ AAA, máy khách AAA sẽ có kết quả ủy quyền được gửi lại trong phản hồi.

Chỉ có một vài loại thông báo có xác thực và ủy quyền RADIUS:

 Access-Request: Thông báo này được gửi từ máy khách AAA đến máy chủ AAA để yêu cầu xác thực và ủy quyền. Yêu cầu có thể là truy cập mạng hoặc truy cập phần cứng thiết bị; RADIUS không phân biệt giữa 2 loại. Có chức năng như là một loại dịch vụ. Ví dụ: loại dịch vụ có thể được Đóng khung cho xác thực IEEE 802.1X. Bảng 1-1 liệt kê một số loại dịch vụ RADIUS phổ biến.

Bảng 2 – 1 Các loại dịch vụ RADIUS

Access-Accept: Đã gửi từ máy chủ AAA đến máy khách AAA báo hiệu xác thực đã qua. Kết quả ủy quyền sẽ được bao gồm dưới dạng cặp AV. Các cặp AV có thể bao gồm các mục như Vlan được chỉ định, danh sách kiểm soát truy cập có thể tải xuống (dACL), thẻ nhóm bảo mật (SGT) và nhiều hơn nữa.

 Access-Reject: Đã gửi từ máy chủ AAA đến máy khách AAA báo hiệu lỗi xác thực. Việc xác thực thất bại cũng có nghĩa là không có ủy quyền nào được cấp.

 Access-Challenge: Thông báo tùy chọn này có thể được gửi từ máy chủ AAA đến máy khách AAA khi cần thêm thông tin, chẳng hạn như mật khẩu thứ hai để xác thực hai yếu tố.

Hình 2 – 7 minh họa một luồng RADIUS mẫu

Hình 2 – 7, cho thấy xác thực và ủy quyền được kết hợp với RADIUS. Thông báo Chấp nhận (Access-Accept) truy cập bao gồm các cặp AV xác định những gì người dùng được ủy quyền để làm.

Một chức năng chính của AAA không thể bỏ qua là accounting (kiểm toán hay tính cước). Điều quan trọng đối với an ninh là có một bản ghi lại một cách đầy đủ về những gì đã xảy ra. Ngoài yêu cầu ủy quyền được gửi đến máy chủ AAA, cần có các bản ghi lại accounting về các hoạt động của người dùng.

Chỉ có hai loại thông điệp được sử dụng trong tính cước (accounting):

 Accounting-Request: Thông báo này được gửi bởi máy khách AAA đến máy chủ AAA. Nó có thể bao gồm thời gian, gói, thông tin Giao thức cấu hình máy chủ động (DHCP), thông tin Giao thức discovery của Cisco (CDP), v.v. thông báo có thể là thông báo BẮT ĐẦU cho biết dịch vụ đã bắt đầu hoặc thông báo STOP cho biết dịch vụ đã kết thúc.

 Accounting-Response: Thông báo này hoạt động giống như một xác nhận đã nhận, vì vậy máy khách AAA biết thông điệp accounting đã được máy chủ AAA nhận được.

Hình 2 – 8 minh họa một luồng accounting RADIUS mẫu. Hình này là sự tiếp nối trực tiếp của Hình 2 – 7 nơi xảy ra xác thực và ủy quyền.

Hình 2 – 8 minh họa một luồng Accounting

Không giống như TACACS +, RADIUS sử dụng UDP làm giao thức truyền. Các cổng tiêu chuẩn được RADIUS sử dụng là UDP/1812 để xác thực và UDP/1813 cho accounting. Cisco đã hỗ trợ RADIUS trước khi tiêu chuẩn được phê chuẩn và các cổng được sử dụng là UDP/1645 (xác thực) và UDP/1646 (accounting). Hầu hết các thiết bị của Cisco sẽ hỗ trợ sử dụng một trong hai bộ cổng để đảm bảo khả năng tương thích ngược.

2.2.10 Sự khác nhau giữa RADIUS và TACACS+

Bảng 2 – 2 So sánh RADIUS và TACAS+

CHƯƠNG 3: KIỂM SOÁT TRUY CẬP MẠNG CƠ BẢN

3.1 Tìm hiểu về Cisco ISE

Cisco ISE là một máy chủ RADIUS ở phần lõi, nhưng ngoài ra nó còn là:

 Máy chủ chính sách hàng đầu của Cisco, được thiết kế cho doanh nghiệp.

 Giải pháp cung cấp quyền truy cập của khách cho người truy cập.

 Cung cấp khả năng hiển thị vào các điểm cuối kết nối với mạng doanh nghiệp của bạn.

 Trao đổi thông tin để chia sẻ dữ liệu bảo mật giữa nhiều hệ thống.

 Cấp ủy quyền doanh nghiệp (CA).

 Nguồn nhận dạng trung tâm cho toàn bộ hệ sinh thái bảo mật của Cisco.

Từ đó có thể thấy, ISE là thành phần trung tâm và quan trọng của kiến trúc bảo mật của Cisco, phục vụ nhiều vai trò cho nhiều dịch vụ.

3.2 Kiến trúc ISE cho truy cập mạng AAA

Với nhiều vai trò mà Cisco ISE có thể đóng trong môi trường doanh nghiệp, nó đòi hỏi một kiến trúc phân tán để xử lý các trách nhiệm đó ở quy mô và các vai trò còn được gọi là personas.

3.2.1 Personas

Các nút ISE được cấu hình để chạy một hoặc nhiều trong ba loại personas. Một nút có thể được cấu hình chỉ với một persona, với nhiều personas và thậm chí với tất cả các personas trong trường hợp triển khai độc lập hoặc hai nút:

 Quản trị viên chính sách: Người quản trị chính sách có trách nhiệm đồng bộ hóa cơ sở dữ liệu trên tất cả các nút trong quá trình triển khai ISE, thường được gọi là “khối lập phương ISE”. Nhân viên quản trị chính sách cũng chịu trách nhiệm cung cấp giao diện người dùng quản trị cho việc triển khai. Chỉ có thể có một hoặc hai nút với nhân viên quản trị chính sách: nút quản trị chính sách chính và phụ (PAN – Policy Admin Node) để dự phòng. PAN cũng đóng vai trò là nơi làm gốc để ủy quyền.

 Giám sát: Persona giám sát đóng vai trò là máy chủ đăng nhập tập trung cho khối ISE. Nút ISE với tính năng persona này được kích hoạt được gọi là nút Giám sát và khắc phục sự cố (MnT – Monitoring and Troubleshooting). Chỉ có thể có một hoặc hai nút MnT trong khối ISE: MnT chính và phụ để dự phòng.

 Các dịch vụ về chính sách: Persona phục vụ rất nhiều chức năng và thường được gọi là “the workhorse”. Một nút chạy các dịch vụ chính sách là máy chủ RADIUS cho khối ISE, xử lý các yêu cầu xác thực, thực hiện tra cứu danh tính và đánh giá chính sách và đưa ra kết quả ủy quyền. Một nút chạy persona dịch vụ chính sách được gọi là Nút dịch vụ chính sách (PSN – Policy Services Node).

PSN cũng chịu trách nhiệm lưu trữ các cổng web khác nhau để truy cập và hỗ trợ cho máy khách, cũng như CA ban hành cho việc xây dựng chính sách cấp quyền. Một PSN cũng là ISE persona xử lý cấu hình của các điểm cuối và nó cũng có thể đóng vai trò là đầu nối cho dịch vụ Threat-Centric NAC (TC-NAC), máy khách và máy chủ Giao thức eXchange (SXP), cũng như một nền tảng bộ điều khiển lưới trao đổi (pxGrid)

Có thể có tới 50 PSN trên mỗi khối ISE cho khả năng mở rộng và phân phối các chức năng và tải PSN.

3.2.2 Kiến trúc truy cập mạng AAA và ISE Personas

Kiến trúc cơ bản để truy cập mạng AAA không thực sự thay đổi, bất kể quy mô. Khi có một điểm cuối đang cố gắng kết nối với mạng thông qua thiết bị mạng lớp truy cập, được gọi là thiết bị truy cập mạng (NAD – Network Access Device), gửi yêu cầu xác thực đến nút dịch vụ chính sách ISE (PSN) qua RADIUS.

Hình 3 – 1 minh họa việc triển khai độc lập, trong đó một nút ISE duy nhất đang chạy quản trị viên, giám sát và dịch vụ chính sách personas, do đó, NAD gửi tất cả các yêu cầu truy cập đến một nút ISE. Nút đơn đó chịu trách nhiệm cho tất cả các chức năng quản trị, đăng nhập, định hình, cấp ủy quyền, lưu trữ tất cả các cổng web và xác thực. Các dịch vụ tùy chọn khác như pxGrid, quản trị thiết bị và Nreat- Centric NAC cũng có thể được chạy trên một nút, nhưng không thể trên quy mô nhiều.

Hình 3 – 1 Triển khai độc lập ISE

Không chỉ bị giới hạn về quy mô khi triển khai một nút, việc triển khai cũng không cung cấp bất kỳ tính sẵn sàng cao nào. Nếu nút ISE không thể truy cập được, thì dịch vụ xác thực sẽ không khả dụng. Vì lý do đó, việc triển khai độc lập không phổ biến lắm. Phần lớn triển khai nhỏ thường sẽ triển khai với mô hình hai nút để thêm dự phòng.

Như được minh họa trong Hình 3 – 2, cả hai nút vẫn đang chạy tất cả các dịch vụ và là sự phản chiếu chính xác của nhau. Theo cách này, nếu một nút bị hỏng, nút còn lại vẫn có thể thực hiện xác thực để người dùng cuối cố gắng truy cập mạng sẽ không bị ảnh hưởng.

Hình 3 – 2 Triển khai hai nút

Việc triển khai độc lập và triển khai hai nút duy trì cùng một tỷ lệ chính xác, lên tới 20.000 phiên hoạt động đồng thời với ISE 2.4 khi chúng ta tận dụng thiết bị vật lý lớn hơn hoặc máy ảo tương đương.

Khi triển khai phát triển vượt ra ngoài hai nút dịch vụ chính sách persona, ta có thể chọn các PSN chuyên dụng. Có thể có không quá năm PSN trong một khối ISE nơi quản trị viên và giám sát personas vẫn đang chạy đồng thời trên một nút. Mô hình triển khai này duy trì số lượng phiên đồng thời tối đa là 20.000, nhưng nó cho phép phân phối các chức năng dịch vụ chính sách để dự phòng, thời gian khứ hồi (đưa PSN gần hơn với NAD) và dành PSN cho các chức năng như TC-NAC, pxGrid hoặc SXP. Hình 2 – 3 cho thấy một triển khai ISE trong đó quản trị viên và giám sát personas vẫn đang chạy cùng nhau trên cùng một nút, với hai trong số các nút đó để dự phòng; hơn nữa, nó có năm nút dịch vụ chính sách chuyên dụng, một trong số đó đã được chỉ định để chạy các hàm pxGrid và TC-NAC.

Hình 3 – 3 Triển khai phân tán bảy nút

Để tăng quy mô vượt quá 20.000 phiên hoạt động đồng thời hoặc vượt quá năm PSN, quản trị viên và giám sát personas phải được chạy trên các nút chuyên dụng. Khi tất cả các personas được chia thành các nút chuyên dụng, thang đo sẽ đạt

500.000 phiên đồng thời hoạt động trong ISE 2.4, với tối đa 50 nút dịch vụ chính sách cộng với tối đa 4 PSN pxGrid chuyên dụng.

Hình 3 – 4 mô tả một triển khai phân phối đầy đủ.

Lưu ý: Kể từ phiên bản ISE 2.4, chỉ có một nút có thể chạy chức năng TC-NAC, bất kể kích thước triển khai.

3.2.3 Định cấu hình ISE cho triển khai đơn/độc lập và đa nút

Tất cả quyền kiểm soát phân công cá nhân, thêm hoặc xóa các nút khỏi triển khai và cho phép hoặc vô hiệu hóa dịch vụ được xử lý trong giao diện người dùng trong trang Deployment.

a) Node đơn

Trạng thái mặc định cho bất kỳ nút ISE nào sau khi ISE được cài đặt là độc lập. Điều đó có nghĩa là nút sẽ tự động chạy quản trị viên, giám sát và dịch vụ chính sách. Tất cả quyền kiểm soát việc gán persona, thêm hoặc xóa các nút khỏi triển khai và cho phép hoặc vô hiệu hóa dịch vụ được xử lý trong GUI trong trang Deployment. Để xem cấu hình nút ISE khi ở chế độ độc lập:

Bước 1. Điều hướng đến Administration > System > Deployment.

Như trong Hình 3 – 5, một cảnh báo bật lên xuất hiện, thông báo cho bạn rằng nút hiện đang ở chế độ độc lập và trước khi bạn có thể thêm bất kỳ nút nào khác vào khối ISE, trước tiên bạn phải quảng bá nút này thành nút chính.

Hình 3 – 5 Thông báo cảnh báo độc lập (Standalone)

Bước 2. Nhấn OK để đóng cảnh báo. Bây giờ bạn có thể thấy một bản tóm tắt về việc triển khai, như trong Hình 3 – 6.

Hình 3 – 6 Trang Deployment cho node ISE Standalone

Vai trò của nút được liệt kê là độc lập; quản trị, giám sát và dịch vụ chính sách personas được liệt kê cho nút và các dịch vụ phiên và trình mô tả được bật theo mặc định.

Các dịch vụ đề cập đến các chức năng của PSN. Dịch vụ phiên là tên của máy chủ RADIUS và công cụ chính sách kiểm soát truy cập được yêu cầu cho điều khiển truy cập mạng và dịch vụ trình mô tả được sử dụng để thử và xác định các loại điểm cuối đang kết nối với mạng.

b) Node kép

Một vài điều kiện tiên quyết phải được đáp ứng trước khi thêm một nút khác vào triển khai ISE này (còn được gọi là khối ISE):

 Kết nối mạng phải tồn tại giữa các nút ISE.

 Chuyển tiếp và đảo ngược các mục DNS phải tồn tại cho mỗi nút ISE.

 Các nút phải kết nối lẫn nhau về quyền quản trị.

 Nút có GUI đang sử dụng phải được thăng cấp thành nút chính. Để chuyển đổi một nút standalone làm nút chính:

Bước 1. Chọn Quản trị > Hệ thống > Triển khai.

Bước 2. Nhấp vào tên của nút ISE độc lập (trong trường hợp này là atw- ise243).

Bước 3. Nhấn vào nút Make Primary, như trong Hình 3 – 7.

Hình 3 – 7 Tạo một nút Standalone làm nút chính

Bước 4. Nhấn Save.

Ta vừa tạo nút ISE thành PAN chính cho khối ISE chỉ bao gồm một nút. Đằng sau đó, điều này đã cho phép các chức năng đồng bộ hóa chính sách cơ sở dữ liệu mà PAN chịu trách nhiệm.

Trong vài phút, nút đó sẽ sẵn sàng để thêm các nút khác vào việc triển khai. Từ thời điểm này trở đi, nếu tất cả các điều kiện tiên quyết cho sự tin cậy về kết nối và chứng chỉ được đáp ứng, bạn chỉ cần phải tương tác với giao diện người dùng của nút [chính] này để triển khai.

Để thêm nút phụ vào khối ISE:

Bước 1. Điều hướng đến Quản trị > Hệ thống > Triển khai. Bước 2. Nhấn Đăng ký.

Bước 3. Nhập tên nút thứ hai (FQDN). Các mục tra cứu chuyển tiếp và đảo ngược trong DNS là những điều kiện tiên quyết bắt buộc.

Bước 4. Nhập tên người dùng và mật khẩu quản trị.

Bước 5. Nhấn Next. Hình 3 – 8 hiển thị màn hình đăng ký nút.

Hình 3 – 8 Màn hình đăng ký nút

Như được hiển thị trong Hình 3 – 9, bây giờ ta có thể chọn các vai trò cho nút phụ đang thêm vào triển khai. Vì mục tiêu là tạo ra một triển khai hai nút, chúng ta sẽ đảm bảo nút phụ được cấu hình cho quản trị, giám sát và dịch vụ chính sách.

Hình 3 – 9 Chọn Personas và Dịch vụ cho Nút phụ

Bước 1. Chọn tab Quản trị (Administration).

Bước 2. Chọn tab Giám sát và đảm bảo rằng SECONDARY được chọn.

Bước 3. Chọn tab Dịch vụ chính sách, cùng với Bật dịch vụ phiên và bật dịch vụ cấu hình.

Bước 4. Nhấn Gửi.

Tại lúc này, cơ sở dữ liệu từ nút chính đang được sao chép sang nút thứ cấp, ghi đè lên các cơ sở dữ liệu hiện có và khởi động lại toàn bộ máy chủ ứng dụng sau khi sao chép hoàn tất.