Xem mẫu
- Chương III
RADIUS
I. GIỚI THIỆU
7Moãi khi moät modem ñöôïc noái vaøo moät maùy tính hoaëc moät maùy chuû lieân laïc
(communications server) treân moät maïng maùy tính ñoaøn theå (corporate network) thì laäp
töùc maïng naøy trôû neân deã bò thöông toån bôûi nhöõng söï xaâm phaïm veà an toaøn baûo maät
(security). Nhöõng nhaø quaûn trò maïng (network administrators) chæ coù moät soá raát ít caùc
coâng cuï phoøng choáng caùc cuoäc taán coâng naøy. Theâm vaøo ñoù, caùc heä thoáng kyõ thuaät an
toaøn cuûa caùc quoác gia thöôøng ñoøi hoûi nhöõng phaàn cöùng ñaë c bieät vaø chæ töông thích vôùi
moät soá ít caùc saûn phaåm. Vaán ñeà naøy seõ taêng leân nhieàu laàn treân nhöõng maïng lôùn vôøi
nhieàu ñieåm truy xuaát.
Toå chöùc thöông maïi veà nhöõng kyõ thuaät truy xuaát töø xa Lucent (Lucent
Technologies Remote Access Business Unit) ñaõ phaùt trieån moät giaûi phaùp an toaøn phaân
taùn (distributed security) ñöôïc goïi laø dòch vuï xaùc nhaän quyeàn haïn cuûa ngöôøi söû duïng
truy caäp töø xa (Remote Authentication Dial-In User Service hay vieát taét laø RADIUS)
nhaèm giaûi quyeát caùc vaán ñeà lieân quan ñeán nhöõng yeâu caàu veà an toaøn cuûa vieäc tính toaùn
töø xa. Giaûi phaùp naøy seõ loaïi boû ñoøi hoûi nhöõng phaàn cöùng ñaëc bieät vaø cung caáp söï tru y
xuaát vaøo caùc heä thoáng kyõ thuaät an toaøn khaùc nhau. An toaøn phaân taùn seõ taùch bieät söï
xaùc nhaän quyeàn haïn cuûa ngöôøi söû duïng (user authentication) vaø söï phaân quyeàn
(authorization) khoûi quaù trình giao tieáp (communication process) vaø taïo ra döõ lieäu xaùc
nhaän quyeàn cuûa ngöôøi söû duïng (user authentication data) duy nhaát vaø taäp trung.
Döïa vaøo moâ hình ñaõ ñöôïc ñònh nghóa tröôùc ñoù cuûa Toå chöùc caùc nhieäm vuï veà kyõ
26
- thuaät Internet (Internet Engineering Task Force - IETF), RADIUS cung caáp moät heä
thoáng an toaøn kieåu client/server môû vaø coù theå caûi tieán (scalable). RADIUS server coù
theå deã daøng söûa ñoåi thích öùng vôùi nhöõng saûn phaåm an toaøn cuûa caùc coâng ty thöù ba
(third-party) hoaëc laø nhöõng heä thoáng an toaøn ñoäc quyeàn (proprietary). Baát cöù m oät maùy
chuû giao tieáp hoaëc moät phaàn cöùng maïng naøo ñöôïc trang bò giao thöùc RADIUS client
ñeàu coù theå giao tieáp vôùi moät RADIUS server.
II. Kiến trúc client/server của RADIUS (RADIUS Client/Server architecture)
RADIUS laø moät heä thoáng an toaøn phaân taùn coù chöùc naêng ñaûm baûo an toaøn cho vieäc
truy caäp töø xa tôùi moät maïng vaø caùc dòch vuï maïng khoûi caùc truy caäp baát hôïp phaùp.
RADIUS bao goàm hai phaàn : trình chuû xaùc nhaän quyeàn (authentication server) vaø caùc
giao thöùc khaùch (client protocols). Trình chuû ñöôïc caøi ñaët treân maùy tính trung taâm khu
vöïc cuûa khaùch haøng (customer’s site). RADIUS ñöôïc thieát keá sao cho ñôn giaûn hoaù quaù
trình xöû lyù an toaøn baèng caùch taùch rôøi kyõ thuaät xöû lyù an toaøn ( sercurity technology) vaø
kyõ thuaät giao tieáp (communications techonology).
Thoâng tin taát caû quyeàn haïn cuûa user vaø khaû naêng truy xuaát caùc dòch vuï maïng
ñöôïc chöùa treân maùy chuû xaùc nhaän quyeàn (hay RADIUS). Nhöõng thoâng tin naøy ñöôïc löu
ôû nhöõng daïng phuø hôïp vôùi yeâu caàu cuûa khaùch haøng. RADIUS seõ xaùc nhaän quyeàn cuûa
caùc user ñoái vôùi taäp tin maät maõ (UNIX password file), NIS (Network Information
Service) vaø caû moät cô sôû döõ lieäu cuûa RADIUS ñöôïc quaûn lyù moät caùch rieâng bieät. Caùc
maùy chuû giao tieáp (Communications servers) laøm vieäc vôùi caùc modems nhö laø nhöõng
RADIUS clients. RADIUS client gôûi caùc yeâu caàu xaùc nhaän quyeàn cho RADIUS server
vaø thöïc thi döïa treân caùc keát quaû traû lôøi gôûi veà töø server.
III. RADIUS hoạt động như thế nào: sự xác nhận quyền của user với RADIUS.
RADIUS xaùc nhaän quyeàn caùc user thoâng qua moät chuoãi caùc giao tieáp giöõa client vaø
27
- server. Moãi khi moät user ñaõ ñöôïc xaùc nhaän quyeàn, client seõ cho pheùp user ñoù truy caäp
caùc dòch vuï maïng töông öùng. Sau ñaây laø söï moâ taû quaù trình xaùc nhaän quyeàn söû duïng
maùy chuû giao tieáp (communications server) vaø RADIUS.
User seõ goïi modem ñeå noái vaøo maùy chuû giao tieáp. Khi moái noái modem ñöôïc thöïc hieän
xong, maùy chuû giao tieáp seõ yeâu caàu user nhaäp teân vaø maät maõ vaøo töø doøng leänh nhaéc.
Maùy chuû giao tieáp (communications server) seõ taïo ra moät goùi döõ lieäu töø nhöõng thoâng
tin naøy ñöôïc goïi laø moät yeâu caàu xaùc nhaän quyeàn (authentication request). Goùi döõ lieäu
naøy chöùa thoâng tin nhaän daïng maùy chuû giao tieáp gôûi yeâu caàu xaùc nhaän naøy, coång (port)
ñöôïc söû duïng cho moái noái modem, teân user (username) vaø maät khaåu (password). Ñeå
traùnh khoûi bò nghe troäm (eavesdropping), maùy chuû giao tieáp, nhö laø moät RADIUS
client, seõ maõ hoaù (encrypting) maät khaåu tröôùc khi noù ñöôïc gôûi ñi treân ñöôøng truyeàn
ñeán RADIUS server.
Yeâu caàu xaùc nhaän quyeàn (authentication request) ñöôïc gôûi ñi tre ân maïng töø RADIUS
client ñeán RADIUS server. Söï giao tieáp naøy coù theå ñöôïc thöïc hieän treân maïng cuïc boä
(local area network - LAN) hay treân maïng dieän roäng (wide area network - WAN), cho
pheùp caùc quaûn trò vieân maïng (network managers) ñònh vò töø xa caùc RADIUS clients töø
RADIUS server. Neáu RADIUS server khoâng theå ñöôïc nhaän ra, do hoûng hoùc chaúng haïn,
thì RADIUS client seõ ñònh laïi höôùng ñi cho yeâu caàu xaùc nhaän quyeàn ñeán moät server döï
phoøng (alternate server).
Sau khi nhaän ñöôïc yeâu caàu xaùc nhaän quyeàn, maùy chuû kieåm tra quyeàn (authentication
server) seõ kieåm tra tính hôïp leä (validating) yeâu caàu vaø giaûi maõ (decrypting) goùi döõ lieäu
ñeå laáy thoâng tin veà teân ngöôøi söû duïng vaø maät khaåu. Thoâng tin naøy seõ ñöôïc gôûi ñeán cho
heä thoáng an toaøn (security system) töông öùng, nhö nhöõng taäp tin maät khaåu cuûa UNIX
(UNIX password files), Kerberos, moät heä thoáng an toaøn thöông maïi (commercial) hoaëc
28
- thaäm chí do khaùch haøng phaùt trieån (custom developed).
Neáu teân ngöôøi duøng vaø maät khaåu laø ñuùng thì server seõ gôûi moät phaûn hoài nhaän bieát xaùc
nhaän quyeàn (authentication acknowledgment) chöùa thoâng tin veà heä thoáng maïng vaø caùc
yeâu caàu dòch vuï cuûa ngöôøi duøng. Ví duï nhö, RADIUS server seõ baùo cho maùy chuû giao
tieáp bieát raèng ngöôøi duøng caàn TCP/IP vaø/hoaëc NetWare söû duïng PPP (Point to Point
Protocol) hoaëc SLIP (Serial Line Internet Protocol) ñeå noái vôùi maïng. Phaûn hoài nhaän
bieát (acknowledgment) thaäm chí coù theå chöùa thoâng tin saøng loïc (filtering infomation)
giôùi haïn söï truy caäp cuûa ngöôøi duøng tôùi nhöõng taøi nguyeân (resources) cuï theå treân maïng .
Neáu taïi baát cöù luùc naøo trong quaù trình ñaêng kyù vaøo maïng (log-in process) caùc ñieàu kieän
khoâng ñöôïc thoûa, thì RADIUS server seõ gôûi moät thoâng baùo töø choái xaùc nhaän quyeàn
(authentication reject) ñeán maùy chuû giao tieáp vaø user bò töø choái truy caäp vaøo maïng.
Ñeå ñaûm baûo caùc yeâu caàu seõ khoâng döôïc traû lôøi ñoái vôùi nhöõng ngöôøi khoâng ñöôïc pheùp
(unauthorized hackers), RADIUS server seõ gôûi khoùa xaùc nhaän quyeàn (authentication
key) hoaëc chöõ kyù (signature) ñeå töï xaùc minh vôùi RADIUS client. Moãi laàn thoâng tin naøy
ñöôïc nhaän bôûi maùy chuû giao tieáp, noù seõ cho pheùp caáu hình caàn thieát ñeå phaân phaùt
nhöõng dòch vuï maïng hôïp leä cho ngöôøi duøng.
IV. Những lợi ích của an toàn phân tán (Benefits of Distributed Security)
Giaûi phaùp phaân boá cho an toaøn maïng (network security) ñöa ñeán nhieàu lôïi ích.
An toaøn hôn (Greater security)
Kieán truùc chuû/khaùch cuûa RADIUS cho pheùp taát caû thoâng tin an toaøn ñöôïc naèm trong moät cô sôû
döõ lieäu taäp trung ñôn leû thay vì ñöôïc phaân phaùt ôû caùc thieát bò khaùc nhau treân maïng. Gia ûi phaùp
naøy seõ taêng ñoä an toaøn. Moät heä thoáng UNIX ñôn leû seõ deã daøng hôn nhieàu khi chaïy RADIUS
so vôùi nhieàu maùy chuû giao tieáp raûi raùc khaép toaøn maïng.
29
- Dễ nâng cấp (Scalable architecture)
RADIUS taïo ra moät cô sôû döõ lieäu ñôn leû, ñöôïc ñònh vò taäp trung cuûa caùc user vaø caùc dòch vuï
cho pheùp. Ñaây laø moät tính chaát ñaëc bieät quan troïng ñoái vôùi nhöõng maïng coù ngaân haøng mo dem
lôùn vaø coù nhieàu hôn moät maùy chuû giao tieáp. Vôùi RADIUS, thoâng tin cuûa user ñöôïc lö u ôû moät
nôi duy nhaát laø RADIUS server cho pheùp quaûn lyù söï xaùc nhaän quyeàn cuûa user vaø söï trup caä p
caùc dòch vuï töø moät vò trí duy nhaát. Bôûi vì baát cöù moät thieát bò naøo coù trang bò RADIUS ñe àu coù
theå laø RADIUS client, cho neân moät user töø xa seõ coù theå truy caäp vaøo cuøng dòch vuï töø baát cöù
maùy chuû giao tieáp naøo keát noái vôùi RADIUS server.
Giao thức mở (Open protocols)
RADIUS môû hoaøn toaøn, ñöôïc phaân phoái ôû daïng maõ nguoàn vaø coù theå deã daøng chænh söûa ñe å laøm
vieäc ñöôïc vôùi caùc heä thoáng vaø giao thöùc ñaõ toàn taïi. Ñaëc tính naøy tieát kieäm raát nhieàu thôøi gian
baèng caùch cho pheùp user thay ñoåi RADIUS server so cho phuø hôïp vôùi maïng cuûa hoï hôn laø
phaûi söûa ñoåi laïi maïng sao cho phuø hôïp maùy chuû giao tieáp. RADIUS coù theå ñöôïc thay ñoåi ñeå
söû duïng ñöôïc vôùi baát cöù moät heä thoáng an toaøn naøo coù treân thò tröôøng vaø laøm vieäc ñöô ïc vôùi baát
cöù thieát bò giao tieáp naøo coù trang bò giao thöùc RADIUS client. RADIUS serv er coù nhöõng phaàn
coù theå thay ñoåi (modifiable stubs) maø khaùch haøng coù theå chænh söûa phuø hôïp ñeå coù theå ch aïy
ñöôïc vôùi baát kyø kyõ thuaät an toaøn (security technology) naøo.
Sự nâng cao trong tương lai (future enhancement)
Khaùch haøng coù theå lôïi duïng caùc kyõ thuaät an toaøn môùi maø khoâng caàn phaûi ñôïi Lucent cung caáp
theâm kyõ thuaät naøy vaøo maùy chuû giao tieáp. Kyõ thuaät an toaøn môùi chæ caàn ñöôïc tröïc tieáp theâm
vaøo RADIUS server bôûi khaùch haøng hoaëc ngoaøi taøi nguyeân cuõng ñöôïc. RADIUS cuõng söû duïng
moät kieán truùc môû roäng ôû choå khi maø kieåu vaø ñoä phöùc taïp cuûa dòch vuï maø maùy chuû giao tieáp
phaûi cung caáp taêng leân, thì RADIUS coù theå ñöôïc môû roäng deã daøng ñeå cung caáp caùc dòch vu ï
naøy.
30
- I. Ai đang sử dụng RADIUS (Current users of RADIUS)
Baát kyø coâng ty naøo coù moät phoøng quaûn lyù heä thoáng thoâng tin taäp trung (centralized MIS
department) quaûn lyù moät maïng maùy tính coäng ñoàng "ñoâng daân cö" ñeàu lieân quan ñeán
vaán ñeà an toaøn. Nhieàu khaùch haøng naøy ñaõ caøi ñaët RADIUS hoaëc ñang döï ñònh. Hoï ñaõ
chænh söûa RADIUS sao cho laøm vieäc ñöôïc vôùi maïng hieän taïi. Ví duï, moät haõng saûn xuaát
maùy tính ñaõ chænh söûa RADIUS server sao cho laøm vieäc ñöôïc vôùi maïch an toaøn
(security card) cuûa Enigma. Trong maïng naøy RADIUS server quaûn lyù söï giao tieáp vôùi
kyõ thuaät an toaøn cuûa Enigma ñeå xaùc nhaän tính hôïp leä cuûa user vaø cho pheùp truy caäp
vaøo maïng. Theo caùch naøy, hoï coù theå caøi ñaët maùy chuû giao tieáp maø vaãn baûo toaøn ñöôïc
söï ñaàu tö cuûa hoï vaøo kyõ thuaät an toaøn cuûa Enigma.
RADIUS cuõng ñöôïc duøng cho caùc maïng cuûa tröôøng ñaïi hoïc maø coù cung caáp keát noái
kieåu goïi IP (Dial-In IP Connectivity) cho caùc sinh vieân hoaëc caùc khoa. Ñeå cung caáp an
toaøn phaân taùn (distributed security), RADIUS server phaûi ñöôïc chænh söûa sao cho laøm
vieäc ñöôïc vôùi heä thoáng an toaøn Kerberos ñeå xaùc nhaän teân ngöôøi duøng vaø maät khaåu.
Nhieàu ISP (Internet Service Provider) cuõng söû duïng RADIUS ñeå cung caáp cheá ñoä baûo
veä an toaøn cho caùc khaùch haøng truy caäp vaøo maïng cuûa hoï töø nhieàu POP ( Point Of
Presence ) - ñieåm truy caäp - khaùc nhau. Caùc heä thoáng an toaøn cuûa UNIX ñöôïc ñaëc
tröng söû duïng cho caùc moâi tröôøng nhö vaäy.
Ngoaøi ra caùc coâng ty phuïc vuï coâng coäng (utility company) ñaõ söûa RADIUS theo cuøng
moät kieåu, ñoù laø löu tröõ teân vaø maät khaåu ôû treân hôn 1000 baûng maät khaåu cuûa UNIX
(Unix password table).
II. RADIUS là một chuẩn (RADIUS as a standard)
Nhoùm nghieân cöùu veà RADIUS cuûa IETF (Internet Engineering Task Force) ñaõ coâng boá vaøo
31
- thaùng gieâng 1996 xaùc nhaän giao thöùc RADIUS laø moät chuaån veà giaûi phaùp an toaøn goïi töø xa
cuûa IETF (RFC #2058).
32
nguon tai.lieu . vn
