CẤU HÌNH AAA TRÊN PIX FIREWALL

Tham khảo bài viết cấu hình aaa trên pix firewall, công nghệ thông tin phục vụ nhu cầu học tập, nghiên cứu và làm việc hiệu quả
Nội dung trích xuất từ tài liệu:
CẤU HÌNH AAA TRÊN PIX FIREWALL Bài Viết Về PIX FIREWALL Tác giả: Nguyễn Thị Băng Tâm Chương 4 : CẤU HÌNH AAA TRÊN PIX FIREWALL1. Tổng quan về AAA Việc nhận thực quyết định việc nhận dạng một user và kiểm tra thông tin về user đó. Việc nhận thực truyền thống sử dụng tên và một password c ố định . Khi truy nh ập vào một thiết bị hay mạng với user ID thì sẽ biết được user đó là ai . Khi user đã được xác thực , authentication server sẽ cho phép user đó một quyền cụ thể (authorization) dựa trên thông tin về user ID và password đó . Authorization cho biết user có thể làm gì . Khi user đã vào được và đang sử dụng một dịch vụ , host hay một mạng nào đó , sẽ có m ột bản ghi lại những việc mà user đã làm . Accounting có nhiệm vụ thực hiện điều này . Accounting cũng có thể được sử dụng cho việc thanh toán hóa đơn , pháp lí hay một kế hoạch . Authentication , Authorization và Accounting (AAA) được PIX firewall sử dụng kiểm tra xem user là ai , user có thể làm gì và user đã làm gì . Bản thân PIX firewall có thể điều khiển việc truy nhập dựa trên port và địa chỉ IP , nhưng phương pháp này không cung cấp một cơ chế để xác định được bản thân mỗi user và điều khiển luồng traffic c ủa user đó . Authentication có thể thực hiện được mà không cần có authorization , nhưng Authorization sẽ không bao giờ thực hiện được nếu không có Authentication . Đặc điểm của AAA khi sử dụng với PIX firewall bao gồm : - Client cần truy nhập đến một dịch vụ nào đó . PIX firewall , lúc này đóng vai trò là gateway giữa client và thiết bị , sẽ yêu cầu client gửi user ID và password . - PIX nhận được thông tin đó và chuyển nó đến AAA server .AAA server được định nghĩa như là m ột thực thể logic dùng để cung cấp 3 chức năng AAA . Server sẽ tìm xem thông tin về user này có trong database của nó hay không ? Nếu có thì user sẽ được phép sử dụng dịch vụ đã yêu cầu . Nếu không , user bị từ ch ối sử dụng dịch vụ đó . Với việc sử dụng AAA server riêng như vậy , giúp cho PIX giảm được tải (CPU) , cấu hình và quản lí đơn gi ản , làm tăng khả năng mở rộng . Việc sử dụng AAA server cho phép chỉ có các user đ ược xác thực mới được truy cập đến một mạng nào đó , ví d ụ như các user có user ID và password hợp lệ m ới được truy cập internet , hoặc là giới hạn quyền của user sau khi xác thực thành công sử dụng một dịch vụ nào đó . Bằng việc cấu hình trên PIX và AAA server , nhà quản trị mạng có thể giới hạn việc truy cập các dịch vụ như FTP , Telnet , HTTP , hay là các dịch vụ khác . User có thể xác thực với PIX firewall sử dụng m ột trong 3 phương pháp sau : - Telnet : dấu nhắc được phát ra bởi Pix , m ỗi user có 4 lần log in . Nếu username hoặc password sai sau l ần thứ tư , Pix sẽ làm rớt kết nối . Nếu xác thực và th ẩm quyền thành công , user - FTP : dấu nhắc được phát ra từ chương trình FTP . Nếu password không đúng , kết nối sẽ bị rớt ngay lập tức . Nếu username hoặc password trong authentication database khác với username và password c ủa remote host mà ta cần truy nhập vào thông qua FTP , sử dụng username và password theo mẫu sau : • aaa_username@remote_username • aaa_password@remote_password PIX firewall gửi aaa_username và aaa_password đến AAA server , nếu authentication và authorization thành công , remote_username và remote_password được gửi chuyến FTP server đích . - HTTP : browser phát ra cửa sổ username , password . Nếu nhập vào không đúng password , user sẽ được nhắc nhập lại . Nếu username hoặc password trong database authentication khác với username và password ở remote host , thì nhập username và password theo mẫu sau : • aaa_username@remote_username • aaa_password@remote_password PIX firewall gửi aaa_username và aaa_password đến AAA server , nếu authentication và authorization thành công , remote_username và remote_password được gửi chuyến HTTP server đích .2. Cut-through proxyPIX firewall có thể configuration replication `ung c ấp việcxác thực và thẩm quyền cho user để sử dụng dịch vụ nàođó thông qua Pix . Đặc biệt , pix cho phép ta th ực hi ện vi ệcxác thực và thẩm quyền cho các phiên FTP , HTTP , vàTelnet cho cả 2 hướng inbound và outbound . Chức năngnày còn đựơc gọi là cut-through proxy . Cut-through proxycho phép ta điều khiển các dịch vụ thích hợp thông quafirewall bằng user chứ không phải địa chỉ IP . Khác vớiproxy server phải phân tích mỗi gói dữ liệu trong một phiênở lớp application , điều này ảnh hưởng trực tiếp đến vấnđề thời gian và tốc độ xử lý , sử dụng Cut-through proxy ,PIX firewall sẽ chỉ gửi query đầu tiên cho việc chứng thựctới một TACACS+ hoặc RADIUS database server . Khi mộtuser được chứng thực thành công ứng với policy đã đượcthiết lập , thì pix sẽ chuyển session flow và traffic flow trựctiếp giữa 2 host trong khi vẫn duy trì thông tin trạng tháiVí dụ sau đây sẽ giúp ta hiểu rõ hơn hoạt động của cut-through proxy :Ứng dụng điển hình của công nghệ này là một user ởmạng bên ngoài (internet) truy cập vào HTTP server nằmtrong vùng DMZ của mạng intranet như trong hình v ẽ trên .User ở mạng ngoài truy cập vào XYZ web server , PIX yêucầu user nhập thông tin username và password , thông tinnày được pix chuyển đến AAA server . Nếu được xác th ực, user được phép đến XYZ web server . Nếu web server nàycũng đòi xác thực , thì user sẽ gửi remote username vàpassword đến server đó .3. Cấu hình xác thựcKhi CSACS ( Cisco Secure Access Control Server ) đ ượccấu hình (CSACS là một phần mềm được cài đặt trênserver cung cấp đầy đủ 3 dịch vụ AAA) , ...