Hình 4.3. Luồng thông tin trong RADIUS Mặc dù các Server xác thực RADIUS và TACACS có thể được cài đặt theo nhiều cách khác nhau, tuỳ thuộc vào lược đồ bảo mật của mạng mà chúng phục vụ, nhưng tiến trình cơ sở cho việc xác thực một người dùng về cơ bản là giống nhau. Sử dụng một Moderm, một người dùng quay số từ xa kết nối tới một Server từ xa (gọi là Server truy cập mạng NAS), với một Moderm số hoặc tương tự. Lúc một kết nối Moderm được tạo, NAS nhắc người dùng về tên đăng nhập và mật khẩu. NAS sau đó sẽ tạo ra yêu cầu xác thực từ gói dữ liệu được cung cấp, nó bao gồm cả thông tin định danh mà thiết bị NAS xác định gửi yêu cầu xác thực như: cổng đang được dùng cho kết nối Moderm và Tên đăng nhập/Mật khẩu Một vai trò rất quan trọng được thực thi bởi Server xác thực, nó là một Server trong mạng để xác nhận tính hợp lệ của ID/mật khẩu người dùng cho mạng. Nếu một thiết bị được cấu hình cho xác thực qua một Server xác thực và thiết bị nhận một gói dữ liệu từ một giao thức xác thực, thiết bị gửi qua ID và Mật khẩu của người dùng tới Server cho việc xác thực. Nếu ID/mật khẩu của người dùng là đúng, Server phản hồi lại. Thiết bị sau đó có thể liên lạc với người khởi tạo yêu cầu ban đầu. Nếu Server không tìm thấy ID/mật khẩu của người dùng thì nó từ chối thiết bị và gửi phản hồi tới thiết bị. Thiết bị sau đó từ chối phiên với nơi mà nó đã nhận yêu cầu xác thực. Server xác thực có thể là chính một Server RADIUS hoặc một Server khác dựa trên các công nghệ xác thực trung tâm khác như Kerberos, DCE, SecureID hoặc RACF. Một Server RADIUS có thể được cấu hình để chuyển tiếp yêu cầu tới một Server xác thực trung tâm và truy cập thành công hoặc từ chối thông tin và cấu hình trở lại Client. Với việc bảo vệ trước các cuộc nghe lén của hacker, NAS hoạt động như Client RADIUS hoặc TACACS, mã hoá mật khẩu trước khi nó gửi mật khẩu tới Server xác thực. Nếu Server bảo mật chính không đến được, Client bảo mật hoặc thiết bị NAS có thể định tuyến yêu cầu tới một Server thay thế kế tiếp. Lúc nhận được một yêu cầu xác thực, Server xác thực sẽ xác minh yêu cầu và sau đó giải mã gói dữ liệu để truy cập thông tin tên đăng nhập/mật khẩu của người dùng. Nếu tên đăng nhập/mật khẩu của người dùng là đúng, Server gửi một gói dữ liệu báo đã nhận xác thực. Gói dữ liệu báo nhận này có thể gồm cả thông tin lọc bổ sung như thông tin trên các yêu cầu tài nguyên mạng của người dùng và các mức cấp quyền. Server bảo mật có thể, với thể hiện dưới dạng NAS mà một người dùng cần TCP/IP và/hoặc Internet Packet Exchange (IPX) sử dụng PPP, hoặc cái mà người dùng cần SLIP để kết nối tới mạng. Nó có thể gồm cả thông tin trên tài nguyên mạng xác định mà người dùng được phép truy cập. Để phá hỏng việc nghe lén trên mạng, Server bảo mật gửi một khóa xác thực hoặc chữ ký, nhận dạng của chính nó tới Client bảo mật. Một NAS nhận thông tin này, nó cho phép cấu hình ở mức cần thiết để cho phép người dùng quyền truy các cập dịch vụ và tài nguyên mạng. Nếu tại bất kỳ điểm nào trong tất cả tiến trình đăng nhập mà các điều kiện xác thực cần thiết không thỏa mãn, Server cơ sở dữ liệu bảo mật sẽ gửi một thông điệp từ chối xác thực tới thiết bị NAS và người dùng bị từ chối truy cập mạng 4.1.2 Sử dụng RADIUS với các đường hầm tầng 2 RADIUS có thể được dùng để xác thực các đường hầm tầng 2 cũng như các kết nối PPP một phần quan trọng với các mạng riêng ảo. Có 2 mô hình đường hầm tại tầng 2, mô hình tự nguyện và bắt buộc. RADIUS có thể được dùng trong cả 2 trường hợp để xác thực người dùng và cấp quyền/từ chối một thiết lập đường hầm hay thiết lập phiên. Điều này bổ sung thêm một tầng bảo mật với kịch bản mạng riêng ảo tại tầng 2 vì cho đến khi đường hầm được thiết lập và phiên được thiết lập, không có luồng thông tin nào được phép chuyển qua đường hầm, thêm vào đó, việc xác thực và truy cập tới các đường hầm đó có thể được kiểm soát tập trung. Hình 4.4 minh họa các cách sử dụng RADIUS khác nhau đó trong một môi trường mạng riêng ảo mà trong đó các đường hầm bắt buộc được dùng liên quan tới một ISP để thiết lập một đường hầm hay bắt đầu một phiên mới qua một đường hầm đang tồn tại với tư cách là đại diện của một Client từ xa. ISP có thể dùng một server ủy quyền RADIUS để chuyển thiếp xác thực client trở lại Server xác thực trung tâm vì vậy không cần phải duy trì thông tin người dùng tại hai vị trí, ISP và Server trung tâm Hình 4.4 Sử dụng RADIUS với các đường hầm tầng 2 4.2 Chuyển dịch địa chỉ mạng(NAT) Ban đầu NAT được đề xuất như một giải pháp ngắn hạn cho vấn đề cạn kiệt địa chỉ IP. Tuy nhiên, NAT cũng là một phương tiện hiệu quả để ngăn chặn các Hacker và người dùng bên ngoài xâm nhập vào mạng. Để đảm bảo truyền thông giữa 2 nơi bất kỳ trên Internet, tất cả địa chỉ IP phải được gán một cách chính thức bởi IANA. Điều này trở nên khó khăn hơn để hoàn thành vì số lượng các dãi địa chỉ sẵn dùng bây giờ bị giới hạn. Trước đây, nhiều tổ chức sử dụng các địa chỉ IP cục bộ, không nghĩ tới yêu cầu kết nối Internet. Ý tưởng của NAT dựa trên thực tế là chỉ một số lượng nhỏ các Host trong một mạng riêng đang liên lạc với thế giới bên ngoài. Nếu mỗi Host được gán một địa chỉ IP từ quĩ địa chỉ IP chính thức chỉ lúc nó cần liên lạc, thì chỉ có một số lượng nhỏ địa chỉ chính thức được yêu cầu. NAT là một giải pháp cho các mạng có dãi địa chỉ IP riêng hoặc các địa chỉ trái phép và muốn liên các với các Host trên Internet. Trong thực tế, điều này có thể được hoàn tất bởi việc thực thi một firewall. Vì lý do, các Client liên lạc với Internet bằng việc sử dụng một Proxy hoặc SOCKS Server không để lộ địa chỉ của họ với Interner, nên địa chỉ của họ không phải dịch chuyển. Tuy nhiên, vì nhiều lý do, lúc một Proxy hay SOCKS không sẵn sàng hoặc không phù hợp với các yêu cầu đặc biệt, NAT phải được dùng để quản lý lưu lượng giữa mạng bên trong và bên ngoài để không quảng cáo địa chỉ các Host bên trong ra bên ngoài. Xét một mạng bên trong có dựa trên không gian địa chỉ IP riêng và người dùng muốn dùng một giao thức ứng dụng không có cổng kết nối ứng dụng. Chỉ có tùy chọn là thiết lập kết nối mức IP giữa các Host ở mạng bên trong và các Host trên Internet, Vì các bộ định tuyến sẽ không biết cách thức định tuyến các gói IP trở lại địa chỉ IP riêng, không có điểm nào để gửi các gói IP với địa chỉ IP riêng là địa chỉ IP nguồn qua một Router vào Internet. Như trong hình 4.5, NAT lưu giữ các địa chỉ này bằng cách lấy địa chỉ IP của gói dữ liệu ra và dịch nó thành một địa chỉ chính thức, Với các gói vào nó dịch địa chỉ chính thức thành một địa chỉ trong. Hình 4.5 Dịch chuyển địa chỉ mạng Từ vị trí của hai Host trao đổi các gói IP với nhau, một mạng an toàn và một mạng không an toàn, NAT giống như một bộ định tuyến IP chuẩn chuyển tiếp các gói IP giữa 2 giao diện mạng(Xem hình 4.6) Hình 4.6 NAT giữa mạng an toàn và mạng không an toàn 4.2.1. Sử dụng NAT với các mạng riêng ảo NAT làm việc tốt với địa chỉ IP trong phần tiêu đề. Một số giao thức ứng dụng trao đổi thông tin địa chỉ IP trong phần dữ liệu ứng dụng của một gói IP, và thông thường NAT sẽ không có khả năng lưu giữ bản dịch chuyển của địa chỉ IP trong giao thức ứng dụng. Hiện tại, hầu hết sự thực thi xử lý giao thức FTP. Nên chú ý rằng sự thực thi của NAT cho các ứng dụng đặc biệt có thông tin IP trong dữ liệu ứng dụng là phức tạp hơn nhiều so với sự thực thi NAT chuẩn. Giới hạn quan trọng khác của NAT là NAT thay đổi một số hoặc tất cả thông tin địa chỉ trong một gói IP. Lúc xác thực IPSec đầu cuối - đến - đầu cuối được dùng, địa chỉ của gói đã được thay đổi sẽ luôn thất bại khi kiểm tra tính toàn vẹn dưới giao thức xác thực tiêu đề(AH), vì bất kỳ một bít nào bị thay đổi trong gói dữ liệu sẽ làm mất hiệu lực giá trị kiểm tra toàn vẹn đa được tạo bởi nguồn. Vì vậy giao thức IPSec đề xuất một số giải pháp để giải quyết vấn đề địa chỉ được lưu giữ trước bởi NAT, không cần thiết dùng NAT lúc tất cả các Host tạo nên tổng thể một mạng riêng ảo sử dụng các địa chỉ IP toàn cục duy nhất(Public). Việc ẩn địa chỉ có thể được hoàn tất bởi chế độ đường hầm của IPSec. Nếu một Công ty sử dụng các địa chỉ riêng trong mạng Intranet, chế độ đường hầm của IPSec giữ cho chúng không xuất hiện ở dạng rõ trong mạng công cộng, nó loại trừ sự cần thiết có NAT. 4.3. Giao thức SOCKS Một cổng mạch vòng tiếp nhận TCP cũng như các kết nối UPD và không cung cấp thêm bất kỳ tiến trình xử lý hoặc lọc gói nào. Một cổng mạch vòng là một loại đặc biệt của cổng nối mức ứng dụng. Điều này là bởi các cổng nối mức ứng dụng có thể được cấu hình để chuyển qua tất cả thông tin của một người dùng đã được xác thực, được xem như là cổng mạch vòng(xem hình 4.7). Tuy nhiên trong thực hành, có sự khác nhau đáng kể giữa chúng: - Các cổng mạch vòng có thể sử dụng một số ứng dụng TCP/IP cũng như các ứng dụng UDP mà không phải sửa đổi gì trên Client cho mỗi ứng dụng. Như vậy, điều này làm cho các cổng mạch vòng trở thành một lựa chọn tốt để thoã mãn các yêu cầu của người dùng. - Các cổng mạch vòng không cung cấp xử lý hoặc lọc gói. Như vậy một cổng nối dạng này thường xem như một cổng nối trong suốt. . IP giữa 2 giao diện mạng( Xem hình 4.6) Hình 4.6 NAT giữa mạng an toàn và mạng không an toàn 4.2.1. Sử dụng NAT với các mạng riêng ảo NAT làm việc tốt với địa chỉ IP trong phần tiêu đề. Một. một mạng riêng ảo sử dụng các địa chỉ IP toàn cục duy nhất(Public). Việc ẩn địa chỉ có thể được hoàn tất bởi chế độ đường hầm của IPSec. Nếu một Công ty sử dụng các địa chỉ riêng trong mạng Intranet,. chỉ mạng Từ vị trí của hai Host trao đổi các gói IP với nhau, một mạng an toàn và một mạng không an toàn, NAT giống như một bộ định tuyến IP chuẩn chuyển tiếp các gói IP giữa 2 giao diện mạng( Xem