Announcement

**admin** · 10-02-2006, 10:01 AM

Các cải tiến trong phiên bản Cisco Secure ACS ver 3.1 và ver 3.2 so với trước

3.1.1.Các cải tiến trong phiên bản Cisco Secure ACS ver 3.1 và ver 3.2 so với trước

Cisco Secure ACS ver 3.1 có các cải tiến sau:

·Hỗ trợ giao thức xác thực mở rộng có bảo vệ (PEAP): Điều này cung cấp chức năng bảo mật lớn hơn, mở rộng nhiều hơn và hỗ trợ cho việc xác thực token một lần và cải tiến password.
·SSL hỗ trợ việc quản trị truy cập: SSL có thể dùng để quản lý việc truy cập một cách an toàn thông qua giao diện HTML trong Cisco Secure ACS.
·Cải tiến việc thay đổi password: Cisco Secure ACS cho phép điều khiển cách thức nhà quản trị mạng thay đổi password trong suốt phiên làm việc telnet của TACACS+ AAA client.
·Cải tiến việc đánh địa chỉ IP: Để giảm khả năng cấp phát địa chỉ IP đã dùng, Cisco Secure ACS sử dụng thuộc tính IETF RADIUS Class như là một chỉ số truyền thống cho phiên làm việc người dùng.
·Tìm kiếm thiết bị mạng: khả năng tìm kiếm mới này giúp ta nghiên cứu một thiết bị mạng cấu hình trước dựa trên tên thiết bị, địa chỉ IP, phân loại (AAA client hay là AAA server) và nhóm thiết bị mạng.
·Cải thiện việc hỗ trợ cơ sở hạ tầng khóa chung: Trong khi xác thực kiểu EAP-TLS, Cisco Secure ACS có thể thiết lập sự so sánh giữa certificate nhận được từ client đầu cuối với certificate lưu trữ trong thư mục LDAP.
·Nâng cao EAP proxy: Cisco Secure ACS hỗ trợ LEAP và EAP-TLS proxy với cơ sở dữ liệu RADIUS khác hoặc cơ sở dữ liệu từ bên ngoài thông qua RADIUS chuẩn.
·Hỗ trợ ứng dụng quản trị trung tâm: Cisco Secure ACS cung cấp framework điều khiển việc quản trị TACACS+ tích hợp cho nhiều công cụ quản trị bảo mật Cisco như là “CiscoWork VPN”, “Giải pháp quản trị bảo mật”.

Cisco Secure ACS ver 3.2 có các cải tiến sau:

·Hỗ trợ PEAP cho MS Windows client: Hỗ trợ MS PEAP phù hợp với Windows 98, NT, 2000, XP
·Hỗ trợ LDAP đa luồng: Để cải tiến hiệu suất trong môi trường tác vụ mở rộng như môi trường không dây, Cisco Secure ACS ver 3.2 có thể xử lý nhiều yêu cầu xác thực LDAP song song.
·Cải thiện EAP-TLS: Những cải thiện EAP-TLS được đưa ra bởi Cisco Secure ACS v3.2 cho phép mở rộng khả năng Cisco Secure ACS PKI.
·Cấu hình EAP hỗn hợp: Cisco Secure ACS ver 3.2 hỗ trợ các loại EAP sau:
oPEAP (EAP-GTC)
oPEAP (EAP-MSCHAPv2)
oEAP-TLS
oEAP-MD5
oCisco EAP wireless
·Thiết lập thông số EAP dễ dàng: cho phép một hoặc nhiều loại EAP có thể chọn đồng thời.
·Hỗ trợ tính cước cho Aironet: Cisco Secure ACS ver 3.2 hỗ trợ việc tính cước dựa vào người dùng từ thiết bị truy cập Cisco Aironet wireless.
·Có khả năng download “access control list” cho người dùng VPN: Cisco Secure ACS ver 3.2 mở rộng khả năng hỗ trợ ACL cho giải pháp Cisco VPN.

3.1.2.Giới thiệu về giao diện Cisco Secure ACS web browser

Hình 3.8: Giao diện chính của Cisco Secure ACS ver 3.2

Với giao diện web browser, ta có thể cấu hình các chức năng như sau:
·User Setup: Ta có thể thêm, xóa, sửa một account của người dùng, và liệt kê tất cả người dùng trong cơ sở dữ liệu.
·Group Setup: Ta có thể tạo, sửa, đổi tên nhóm và liệt kê tất cả user trong một nhóm.
·Shared Profile Components: Phát triển và tái sử dụng tên, tập tất cả các thành phần xác thực có thể áp dụng vào một hoặc nhiều người dùng hay nhóm người dùng và tham chiếu bởi tên trong từng profile riêng biệt. Các component bao gồm giới hạn truy cập mạng (NAR), tập lệnh cấp quyền, và các ACL download được.
·Network Configuration: Cấu hình và sửa chữa tham số NAS, thêm, xóa NAS, cấu hình AAA tham số phân phối cho AAA server.
·System Configuration: Khởi tạo và kết thúc các dịch vụ Cisco Secure ACS, cấu hình logging, điều khiển việc nhân bản cơ sở dữ liệu, và điều khiển việc đồng bộ hóa hệ quản trị cơ sở dữ liệu quan hệ.
·Interface Configuration: Cấu hình các trường do người dùng định nghĩa sẽ được ghi lại vào trong file log, cấu hình các tùy chọn TACACS+/RADIUS, và điều khiển cách thức trình bày tùy chọn trong giao diện người dùng.
·Administration Control: điều khiển việc quản trị Cisco Secure ACS từ bất kì Workstation nào trên mạng.
·External User Databases: cấu hình chính sách user, cấu hình các mức phân quyền cho user, cấu hình các dạng cơ sở dữ liệu từ bên ngoài.
·Reports and Activity: lưu lại các thông tin xảy ra đối với Cisco Secure ACS như là một phần danh sách của các loại báo cáo phù hợp với ta. Ta có thể cài đặt những file này vào trong cơ sở dữ liệu hay ứng dụng bảng tính.
oTACACS+ Accounting Report: các danh sách cho biết thông tin khi một session bắt đầu và kết thúc, ghi lại thông điệp của NAS với username, cung cấp thông tin CLID và các bản ghi trong mỗi phiên.
oRADIUS Accounting Report: danh sách cho biết thông tin khi một session bắt đầu và kết thúc, ghi lại thông điệp của NAS với username, cung cấp thông tin CLID và các bản ghi trong mỗi phiên.
oFailed Attemps Report: danh sách xác thực không thành công.
oLogged in Users: danh sách tất cả người dùng truy cập gần đây.
oDisable Accounts: các account không cho phép hoạt động nữa.
oAdmin Accounting Report: bản lưu lại các trạng thái thao tác của admin.
·Online Document: tài liệu hướng dẫn sử dụng Cisco Secure ACS như cách cấu hình, thao tác, và khái niệm có liên quan đến Cisco Secure ACS.

3.2. Cisco Secure ACS chạy trên nền UNIX (Solaris)

Cisco Secure ACS [3] chạy trên nền UNIX cho phép xác thực người dùng và xác định mạng và dịch vụ nào từ bên trong mà người dùng được phép truy cập đến. Bằng cách xác thực người dùng khi so sánh thông tin người dùng đăng nhập với thông tin lưu trong cơ sở dữ liệu của người dùng hay nhóm người dùng, Cisco Secure ACS thật sự bảo mật thông tin cá nhân cũng như các mạng của nhà cung cấp dịch vụ đối với các truy cập được cấp quyền.
Cisco Secure ACS chạy trên nền UNIX kết hợp chặt chẽ nhiều người dùng, các công cụ quản trị và cấu hình dựa trên nền Java nhằm đơn giản hóa việc quản trị server và cho phép nhiều nhà quản trị hệ thống có thể đồng thời quản lý các thiết bị bảo mật từ nhiều vị trí khác nhau. Giao diện GUI hỗ trợ web browser của Microsoft và Netscape, cung cấp khả năng tương thích với mọi platform và đòi hỏi việc quản trị bảo mật thông qua kĩ thuật giao tiếp theo chuẩn SSL.
Token card từ CRYPTOCard, Secure Computing Corporation, và RSA Security đều được hỗ trợ. Token card là phương thức phù hợp, mạnh nhất để xác thực người dùng quay số vào và ngăn những user không được cấp quyền truy cập vào. Cisco Secure ACS chạy trên nền UNIX có khả năng hỗ trợ kĩ thuật cơ sở dữ liệu quan hệ từ Sybase Inc. và Oracle. Sự mở rộng và dư thừa truyền thống, cùng với những giới hạn kiến trúc không phân tán được loại ra bởi các kĩ thuật cơ sở dữ liệu quan hệ tích hợp, như là SQLAnywhere của Sybase. Việc lưu trữ và quản lý người dùng, nhóm sẽ trở nên đơn giản hơn.

Các đặc tính tổng quát:

Bảo mật là một khía cạnh quan trọng trong việc phát triển mạng LAN/WAN. Nhà quản trị muốn đưa ra cách đăng nhập dễ dàng vào thông tin mạng, nhưng cũng muốn ngăn ngừa việc truy cập bởi những người dùng không được xác thực. Cisco Secure ACS được thiết kế nhằm bảo đảm vấn đề bảo mật mạng và giám sát hành động của một người dùng khi họ kết nối thành công vào mạng. Cisco Secure ACS sử dụng giao thức TACACS+ để cung cấp vấn đề bảo mật và giám sát mạng.
TACACS+ sử dụng AAA để cung cấp chức năng bảo mật truy cập mạng và cho phép ta điều khiển cách thức truy cập vào mạng từ vị trí trung tâm. Mỗi phần của AAA cho phép các chức năng sau:
·“Authentication” xác định xem thử user có được phép truy cập vào hay không?
·“Authorization” xác định các mức của thiết bị mạng mà user có thể thao tác lên nó.
·“Accounting” cho phép giám sát các hoạt động mạng của mỗi user.
·AAA bên trong một kiến trúc client hay server cho phép ta lưu trữ tất cả thông tin bảo mật, tập trung hóa cơ sở dữ liệu thay vì phải phân phối xung quanh mạng trong các thiết bị khác nhau.

Cisco Secure ACS chạy trên nền UNIX cho phép thay đổi cơ sở dữ liệu sao cho vấn đề bảo mật quản trị trên mạng không làm ảnh hưởng đến mỗi NAS trong mạng.
Sử dụng Cisco Secure ACS cho phép ta mở rộng mạng, cung cấp nhiều dịch vụ mà không cần bắt nhà quản trị mạng phải làm việc quá sức, nhưng vẫn đảm bảo được vấn đề an toàn. Khi nhiều user mới được thêm vào, nhà quản trị hệ thống có thể tạo một sự thay đổi nhỏ ở một số chỗ nhưng vẫn bảo đảm tính bảo mật mạng.
Cisco Secure ACS có thể dùng với cả hai giao thức TACACS+ và RADIUS. Một số đặc tính là chung cho cả hai giao thức, trong khi có một số đặc tính khác là riêng biệt giữa chúng.
Cisco Secure ACS chạy trên nền UNIX có một số đặc tính sau khi sử dụng với giao thức TACACS+ hoặc RADIUS là:
·Hỗ trợ việc sử dụng token card server phổ biến ví dụ như CRYPTOCard, Secure Computing, RSA Security.
·Cơ sở dữ liệu quan hệ hỗ trợ cho Oracle, Sybase, ...
·Giao thức mã hóa giúp password bảo mật hoàn toàn.
·Hỗ trợ trên thiết bị SPARC Solaris phiên bản 2.51 trở về sau.
·Hỗ trợ chức năng phân nhóm.
·Hỗ trợ việc tính cước.
·Hỗ trợ việc xác thực S/Key
·Có khả năng xác định số lượng session lớn nhất trên mỗi user.
·Có khả năng disable một tài khoản sau n lần thử truy cập vào.
·Có giao diện web giúp dễ dàng quản trị vấn đề bảo mật mạng.

Cisco Secure ACS chạy trên nền UNIX phiên bản 2.3 thêm chức năng “Quản trị hệ thống phân tán”(DSM), cho phép nhà quản trị hệ thống có thể:
·Giới hạn số phiên làm việc hiện tại phù hợp với một user xác định, một nhóm hoặc một VPDN.
·Thiết lập các phiên giới hạn cho từng user riêng biệt hoặc một nhóm các user riêng biệt.

**mystery83** · 27-10-2008, 10:57 AM

vay minh chi can tao user trong ACS va co the su dung user nay cap cho client xac thuc vao AAA server phai ko anh ?.Hinh anh cua anh post len sao e ko thay dc ?.Minh co can len domain ko anh.anh chi su dung database trong ACS thoi ?

Announcement

Sử dụng cơ sở dữ liệu ACS và các cải tiến trong phiên bản Cisco Secure ACS ver 3.1

Sử dụng cơ sở dữ liệu ACS và các cải tiến trong phiên bản Cisco Secure ACS ver 3.1

Comment

Comment