Tweet
Sử dụng đặc tính Authentication Proxy
Authentication proxy là một trong những thành phần chủ yếu của bộ đặc tính trong Cisco IOS firewall. Trước đây, khi không có tính năng này, việc truy xuất vào tài nguyên trong hệ thống mạng được hạn chế bằng địa chỉ IP nguồn của gói. Chính sách trên được hiện thực bằng cách dùng access-list cho mỗi địa chỉ source cần kiểm tra. Theo cách hiện thực dùng access-list trên, ta thấy không có cách nào đảm bảo được chỉ có những người có thẩm quyền mới truy xuất được tài nguyên từ những thiết bị của chính họ hay những người không có quyền không thử truy xuất vào tài nguyên không được phép. Nói cách khác, nếu bạn dùng ACL, hoặc là cấm tất cả, hoặc là cho phép tất cả sử dụng một dịch vụ nào đó.
Chức năng Authentication proxy cho phép người quản trị giới hạn quyền truy xuất tài nguyên trên cơ sở từng người sử dụng và điều chỉnh chi tiết quyền hạn cho mỗi cá nhân thay vì sử dụng 1 chính sách chung cho tất cả mọi người.
Cách hoạt động của Authentication proxy
Authentication proxy không phải là một dịch vụ trong suốt đối với người sử dụng, dịch vụ này yêu cầu người sử dụng tương tác với nó. Authentication proxy được kích hoạt khi người sử dụng khởi tạo một phiên session HTTP, HTTPS, FTP hay Telnet thông qua Cisco IOS firewall. Firewall sẽ kiểm tra xem người sử dụng đã được xác thực chưa, nếu người sử dụng đã được xác thực, firewall sẽ cho phép kết nối này, nếu chưa, firewall sẽ hiển thị yêu cầu người sử dụng nhập vàp username và password và sẽ kiểm tra thông tin này với các server TACACS+ hoặc server RADIUS.
Quá trình authentication proxy đòi hỏi 3 bước khi có một nguồn khởi tạo kết nối đến đích đến ở hệ thống bên trong của firewall. Xem ví dụ ở hình bên dưới:
Bước 1. Máy nguồn khởi tạo một kết nối HTTP ra bên ngoài thông qua Cisco IOS firewall
Bước 2. Cisco IOS firewall kiểm tra máy nguồn đã được xác thực hay chưa, và sẽ hiển thị yêu cầu nhập username và password nếu chưa được xác thực trước đây.
Bước 3. Người sử dụng sẽ nhập vào username và password và Cisco IOS firewall kiểm tra thông tin này với các server AAA
Bước 4. Nếu thông tin tài khoản chính xác, firewall sẽ cho phép kết nối hoàn tất.
Hình ảnh hoạt động Authentication Proxy:
Ví dụ dưới minh họa hình ảnh của trang truy nhập của authentiation proxy. Người sử dụng phải điền vào thông tin username và password để có thể tiếp tục truy nhập vào tài nguyên:
Khi người sử dụng nhập đúng username và password:
Authentication proxy và Cisco IOS firewall:
Tính năng authentication proxy có trong các phiên bản IOS 12.0.5T. Authentication proxy tương thích với một số đặc tính bảo mật sau trong Cisco IOS :
- Context-Based Access Control (CBAC): nếu bạn cấu hình authentication proxy làm việc với CBAC, bạn có thể tạo ra các access-list động. Nếu bạn không cấu hình authentication proxy với CBAC, bạn cần tham chiếu đến các ACL tĩnh trong Cisco IOS firewall.
- NAT : cho phép đổi các địa chỉ bên trong hệ thống thành các địa chỉ public bên ngoài. Nếu sử dụng authentication proxy trên firewall đang thực hiện NAT, bạn phải dùng CBAC để bảo đảm các session đổi địa chỉ không đụng độ với nhau.
- Authentication proxy làm việc trong suốt với mã hóa IPSec
- Authentication proxy trong phần mềm VPN client có thể được dùng xác thực người sử dụng khi tạo ra kết nối VPN. Đặc điểm này cung cấp thêm một mức bảo mật cho người quản trị bằng cách xác thực trước người sử dụng trước khi các kết nối có mã hóa được tạo ra.
- Tính năng Authentication proxy trong Cisco IOS Firewall Intrusion Detection System (IDS) làm việc trong suốt đối với Cisco IOS firewall IDS.
Cấu hình Authentication proxy trên Cisco IOS firewall
Authentication proxy cho phép người sử dụng kết nối thông qua firewall đến tài nguyên nào đó chỉ khi server AAA đã kiểm tra thành công. Sau khi việc xác thực hoàn tất, Cisco IOS firewall nhận thông tin về cấp quyền từ server AAA ở định dạng ACL động. Luôn nên đảm bảo traffic chạy đúng qua Cisco IOS firewall trước khi hiện thực Authentication proxy. Có nhiều cách khác nhau để cấu hình authentication proxy và mỗi cách sẽ khác nhau một chút phụ thuộc vào dịch vụ được sử dụng trên Cisco IOS firewall và hướng của traffic khi đi qua Firewall.
Một số cấu hình Authentication Proxy được Cisco đưa ra:
- Authentication proxy hướng inbound ( không dùng chung với CBAC hay NAT)
- Authentication proxy hướng outbound (không dùng chung với CBAC hay NAT)
- Authentication proxy hướng inbound (dùng chung với CBAC, nhưng không với NAT)
- Authentication proxy hướng outbound (dùng chung với CBAC, nhưng không với NAT)
- Authentication proxy hướng inbound (dùng chung với CBAC và NAT)
- Authentication proxy hướng outbound (dùng chung với CBAC và NAT)
- Authentication proxy hướng inbound với IPsec và VPN client (không dùng chung với CBAC hay NAT)
- Authentication proxy hướng outbound với IPsec và VPN client (không dùng chung với CBAC hay NAT)
- Authentication proxy hướng inbound với IPsec và VPN client (dùng chung với CBAC và NAT)
- Authentication proxy hướng outbound với IPsec và VPN client (dùng chung với CBAC và NAT)
Authentication proxy là một trong những thành phần chủ yếu của bộ đặc tính trong Cisco IOS firewall. Trước đây, khi không có tính năng này, việc truy xuất vào tài nguyên trong hệ thống mạng được hạn chế bằng địa chỉ IP nguồn của gói. Chính sách trên được hiện thực bằng cách dùng access-list cho mỗi địa chỉ source cần kiểm tra. Theo cách hiện thực dùng access-list trên, ta thấy không có cách nào đảm bảo được chỉ có những người có thẩm quyền mới truy xuất được tài nguyên từ những thiết bị của chính họ hay những người không có quyền không thử truy xuất vào tài nguyên không được phép. Nói cách khác, nếu bạn dùng ACL, hoặc là cấm tất cả, hoặc là cho phép tất cả sử dụng một dịch vụ nào đó.
Chức năng Authentication proxy cho phép người quản trị giới hạn quyền truy xuất tài nguyên trên cơ sở từng người sử dụng và điều chỉnh chi tiết quyền hạn cho mỗi cá nhân thay vì sử dụng 1 chính sách chung cho tất cả mọi người.
Cách hoạt động của Authentication proxy
Authentication proxy không phải là một dịch vụ trong suốt đối với người sử dụng, dịch vụ này yêu cầu người sử dụng tương tác với nó. Authentication proxy được kích hoạt khi người sử dụng khởi tạo một phiên session HTTP, HTTPS, FTP hay Telnet thông qua Cisco IOS firewall. Firewall sẽ kiểm tra xem người sử dụng đã được xác thực chưa, nếu người sử dụng đã được xác thực, firewall sẽ cho phép kết nối này, nếu chưa, firewall sẽ hiển thị yêu cầu người sử dụng nhập vàp username và password và sẽ kiểm tra thông tin này với các server TACACS+ hoặc server RADIUS.
Quá trình authentication proxy đòi hỏi 3 bước khi có một nguồn khởi tạo kết nối đến đích đến ở hệ thống bên trong của firewall. Xem ví dụ ở hình bên dưới:
Bước 1. Máy nguồn khởi tạo một kết nối HTTP ra bên ngoài thông qua Cisco IOS firewall
Bước 2. Cisco IOS firewall kiểm tra máy nguồn đã được xác thực hay chưa, và sẽ hiển thị yêu cầu nhập username và password nếu chưa được xác thực trước đây.
Bước 3. Người sử dụng sẽ nhập vào username và password và Cisco IOS firewall kiểm tra thông tin này với các server AAA
Bước 4. Nếu thông tin tài khoản chính xác, firewall sẽ cho phép kết nối hoàn tất.
Hình ảnh hoạt động Authentication Proxy:
Ví dụ dưới minh họa hình ảnh của trang truy nhập của authentiation proxy. Người sử dụng phải điền vào thông tin username và password để có thể tiếp tục truy nhập vào tài nguyên:
Khi người sử dụng nhập đúng username và password:
Authentication proxy và Cisco IOS firewall:
Tính năng authentication proxy có trong các phiên bản IOS 12.0.5T. Authentication proxy tương thích với một số đặc tính bảo mật sau trong Cisco IOS :
- Context-Based Access Control (CBAC): nếu bạn cấu hình authentication proxy làm việc với CBAC, bạn có thể tạo ra các access-list động. Nếu bạn không cấu hình authentication proxy với CBAC, bạn cần tham chiếu đến các ACL tĩnh trong Cisco IOS firewall.
- NAT : cho phép đổi các địa chỉ bên trong hệ thống thành các địa chỉ public bên ngoài. Nếu sử dụng authentication proxy trên firewall đang thực hiện NAT, bạn phải dùng CBAC để bảo đảm các session đổi địa chỉ không đụng độ với nhau.
- Authentication proxy làm việc trong suốt với mã hóa IPSec
- Authentication proxy trong phần mềm VPN client có thể được dùng xác thực người sử dụng khi tạo ra kết nối VPN. Đặc điểm này cung cấp thêm một mức bảo mật cho người quản trị bằng cách xác thực trước người sử dụng trước khi các kết nối có mã hóa được tạo ra.
- Tính năng Authentication proxy trong Cisco IOS Firewall Intrusion Detection System (IDS) làm việc trong suốt đối với Cisco IOS firewall IDS.
Cấu hình Authentication proxy trên Cisco IOS firewall
Authentication proxy cho phép người sử dụng kết nối thông qua firewall đến tài nguyên nào đó chỉ khi server AAA đã kiểm tra thành công. Sau khi việc xác thực hoàn tất, Cisco IOS firewall nhận thông tin về cấp quyền từ server AAA ở định dạng ACL động. Luôn nên đảm bảo traffic chạy đúng qua Cisco IOS firewall trước khi hiện thực Authentication proxy. Có nhiều cách khác nhau để cấu hình authentication proxy và mỗi cách sẽ khác nhau một chút phụ thuộc vào dịch vụ được sử dụng trên Cisco IOS firewall và hướng của traffic khi đi qua Firewall.
Một số cấu hình Authentication Proxy được Cisco đưa ra:
- Authentication proxy hướng inbound ( không dùng chung với CBAC hay NAT)
- Authentication proxy hướng outbound (không dùng chung với CBAC hay NAT)
- Authentication proxy hướng inbound (dùng chung với CBAC, nhưng không với NAT)
- Authentication proxy hướng outbound (dùng chung với CBAC, nhưng không với NAT)
- Authentication proxy hướng inbound (dùng chung với CBAC và NAT)
- Authentication proxy hướng outbound (dùng chung với CBAC và NAT)
- Authentication proxy hướng inbound với IPsec và VPN client (không dùng chung với CBAC hay NAT)
- Authentication proxy hướng outbound với IPsec và VPN client (không dùng chung với CBAC hay NAT)
- Authentication proxy hướng inbound với IPsec và VPN client (dùng chung với CBAC và NAT)
- Authentication proxy hướng outbound với IPsec và VPN client (dùng chung với CBAC và NAT)
Comment