Hình 4.3. Luồng thông tin trong RADIUS
Mặc dù các Server xác thực RADIUS và TACACS có thể được cài đặt theo
nhiều cách khác nhau, tuỳ thuộc vào lược đồ bảo mật của mạng mà chúng phục vụ,
nhưng tiến trình cơ sở cho việc xác thực một người dùng về cơ bản là giống nhau.
Sử dụng một Moderm, một người dùng quay số từ xa kết nối tới một Server từ xa
(gọi là Server truy cập mạng NAS), với một Moderm số hoặc tương tự. Lúc một
kết nối Moderm được tạo, NAS nhắc người dùng về tên đăng nhập và mật khẩu.
NAS sau đó sẽ tạo ra yêu cầu xác thực từ gói dữ liệu được cung cấp, nó bao gồm
cả thông tin định danh mà thiết bị NAS xác định gửi yêu cầu xác thực như: cổng
đang được dùng cho kết nối Moderm và Tên đăng nhập/Mật khẩu
Một vai trò rất quan trọng được thực thi bởi Server xác thực, nó là một Server
trong mạng để xác nhận tính hợp lệ của ID/mật khẩu người dùng cho mạng. Nếu
một thiết bị được cấu hình cho xác thực qua một Server xác thực và thiết bị nhận
một gói dữ liệu từ một giao thức xác thực, thiết bị gửi qua ID và Mật khẩu của
người dùng tới Server cho việc xác thực. Nếu ID/mật khẩu của người dùng là
đúng, Server phản hồi lại. Thiết bị sau đó có thể liên lạc với người khởi tạo yêu cầu
ban đầu. Nếu Server không tìm thấy ID/mật khẩu của người dùng thì nó từ chối
thiết bị và gửi phản hồi tới thiết bị. Thiết bị sau đó từ chối phiên với nơi mà nó đã
nhận yêu cầu xác thực.
Server xác thực có thể là chính một Server RADIUS hoặc một Server khác
dựa trên các công nghệ xác thực trung tâm khác như Kerberos, DCE, SecureID
hoặc RACF. Một Server RADIUS có thể được cấu hình để chuyển tiếp yêu cầu tới
một Server xác thực trung tâm và truy cập thành công hoặc từ chối thông tin và cấu
hình trở lại Client.
Với việc bảo vệ trước các cuộc nghe lén của hacker, NAS hoạt động như
Client RADIUS hoặc TACACS, mã hoá mật khẩu trước khi nó gửi mật khẩu tới
Server xác thực. Nếu Server bảo mật chính không đến được, Client bảo mật hoặc
thiết bị NAS có thể định tuyến yêu cầu tới một Server thay thế kế tiếp. Lúc nhận
được một yêu cầu xác thực, Server xác thực sẽ xác minh yêu cầu và sau đó giải mã
gói dữ liệu để truy cập thông tin tên đăng nhập/mật khẩu của người dùng. Nếu tên

đăng nhập/mật khẩu của người dùng là đúng, Server gửi một gói dữ liệu báo đã
nhận xác thực. Gói dữ liệu báo nhận này có thể gồm cả thông tin lọc bổ sung như
thông tin trên các yêu cầu tài nguyên mạng của người dùng và các mức cấp quyền.
Server bảo mật có thể, với thể hiện dưới dạng NAS mà một người dùng cần
TCP/IP và/hoặc Internet Packet Exchange (IPX) sử dụng PPP, hoặc cái mà người
dùng cần SLIP để kết nối tới mạng. Nó có thể gồm cả thông tin trên tài nguyên
mạng xác định mà người dùng được phép truy cập.
Để phá hỏng việc nghe lén trên mạng, Server bảo mật gửi một khóa xác thực
hoặc chữ ký, nhận dạng của chính nó tới Client bảo mật. Một NAS nhận thông tin
này, nó cho phép cấu hình ở mức cần thiết để cho phép người dùng quyền truy các
cập dịch vụ và tài nguyên mạng. Nếu tại bất kỳ điểm nào trong tất cả tiến trình
đăng nhập mà các điều kiện xác thực cần thiết không thỏa mãn, Server cơ sở dữ
liệu bảo mật sẽ gửi một thông điệp từ chối xác thực tới thiết bị NAS và người dùng
bị từ chối truy cập mạng
4.1.2 Sử dụng RADIUS với các đường hầm tầng 2
RADIUS có thể được dùng để xác thực các đường hầm tầng 2 cũng như các
kết nối PPP một phần quan trọng với các mạng riêng ảo. Có 2 mô hình đường hầm
tại tầng 2, mô hình tự nguyện và bắt buộc. RADIUS có thể được dùng trong cả 2
trường hợp để xác thực người dùng và cấp quyền/từ chối một thiết lập đường hầm
hay thiết lập phiên. Điều này bổ sung thêm một tầng bảo mật với kịch bản mạng
riêng ảo tại tầng 2 vì cho đến khi đường hầm được thiết lập và phiên được thiết lập,
không có luồng thông tin nào được phép chuyển qua đường hầm, thêm vào đó,
việc xác thực và truy cập tới các đường hầm đó có thể được kiểm soát tập trung.
Hình 4.4 minh họa các cách sử dụng RADIUS khác nhau đó trong một môi trường
mạng riêng ảo mà trong đó các đường hầm bắt buộc được dùng liên quan tới một
ISP để thiết lập một đường hầm hay bắt đầu một phiên mới qua một đường hầm
đang tồn tại với tư cách là đại diện của một Client từ xa. ISP có thể dùng một
server ủy quyền RADIUS để chuyển thiếp xác thực client trở lại Server xác thực
trung tâm vì vậy không cần phải duy trì thông tin người dùng tại hai vị trí, ISP và
Server trung tâm


Hình 4.4 Sử dụng RADIUS với các đường hầm tầng 2

4.2 Chuyển dịch địa chỉ mạng(NAT)
Ban đầu NAT được đề xuất như một giải pháp ngắn hạn cho vấn đề cạn kiệt
địa chỉ IP. Tuy nhiên, NAT cũng là một phương tiện hiệu quả để ngăn chặn các
Hacker và người dùng bên ngoài xâm nhập vào mạng. Để đảm bảo truyền thông
giữa 2 nơi bất kỳ trên Internet, tất cả địa chỉ IP phải được gán một cách chính thức
bởi IANA. Điều này trở nên khó khăn hơn để hoàn thành vì số lượng các dãi địa
chỉ sẵn dùng bây giờ bị giới hạn. Trước đây, nhiều tổ chức sử dụng các địa chỉ IP
cục bộ, không nghĩ tới yêu cầu kết nối Internet. Ý tưởng của NAT dựa trên thực tế
là chỉ một số lượng nhỏ các Host trong một mạng riêng đang liên lạc với thế giới
bên ngoài. Nếu mỗi Host được gán một địa chỉ IP từ quĩ địa chỉ IP chính thức chỉ
lúc nó cần liên lạc, thì chỉ có một số lượng nhỏ địa chỉ chính thức được yêu cầu.
NAT là một giải pháp cho các mạng có dãi địa chỉ IP riêng hoặc các địa chỉ trái
phép và muốn liên các với các Host trên Internet. Trong thực tế, điều này có thể
được hoàn tất bởi việc thực thi một firewall. Vì lý do, các Client liên lạc với
Internet bằng việc sử dụng một Proxy hoặc SOCKS Server không để lộ địa chỉ của
họ với Interner, nên địa chỉ của họ không phải dịch chuyển. Tuy nhiên, vì nhiều lý
do, lúc một Proxy hay SOCKS không sẵn sàng hoặc không phù hợp với các yêu
cầu đặc biệt, NAT phải được dùng để quản lý lưu lượng giữa mạng bên trong và
bên ngoài để không quảng cáo địa chỉ các Host bên trong ra bên ngoài.
Xét một mạng bên trong có dựa trên không gian địa chỉ IP riêng và người
dùng muốn dùng một giao thức ứng dụng không có cổng kết nối ứng dụng. Chỉ có
tùy chọn là thiết lập kết nối mức IP giữa các Host ở mạng bên trong và các Host
trên Internet, Vì các bộ định tuyến sẽ không biết cách thức định tuyến các gói IP
trở lại địa chỉ IP riêng, không có điểm nào để gửi các gói IP với địa chỉ IP riêng là
địa chỉ IP nguồn qua một Router vào Internet. Như trong hình 4.5, NAT lưu giữ
các địa chỉ này bằng cách lấy địa chỉ IP của gói dữ liệu ra và dịch nó thành một địa
chỉ chính thức, Với các gói vào nó dịch địa chỉ chính thức thành một địa chỉ trong.


Hình 4.5 Dịch chuyển địa chỉ mạng
Từ vị trí của hai Host trao đổi các gói IP với nhau, một mạng an toàn và một
mạng không an toàn, NAT giống như một bộ định tuyến IP chuẩn chuyển tiếp các
gói IP giữa 2 giao diện mạng(Xem hình 4.6)

Hình 4.6 NAT giữa mạng an toàn và mạng không an toàn
4.2.1. Sử dụng NAT với các mạng riêng ảo
NAT làm việc tốt với địa chỉ IP trong phần tiêu đề. Một số giao thức ứng
dụng trao đổi thông tin địa chỉ IP trong phần dữ liệu ứng dụng của một gói IP, và
thông thường NAT sẽ không có khả năng lưu giữ bản dịch chuyển của địa chỉ IP
trong giao thức ứng dụng. Hiện tại, hầu hết sự thực thi xử lý giao thức FTP. Nên
chú ý rằng sự thực thi của NAT cho các ứng dụng đặc biệt có thông tin IP trong dữ
liệu ứng dụng là phức tạp hơn nhiều so với sự thực thi NAT chuẩn.
Giới hạn quan trọng khác của NAT là NAT thay đổi một số hoặc tất cả thông
tin địa chỉ trong một gói IP. Lúc xác thực IPSec đầu cuối - đến - đầu cuối được
dùng, địa chỉ của gói đã được thay đổi sẽ luôn thất bại khi kiểm tra tính toàn vẹn
dưới giao thức xác thực tiêu đề(AH), vì bất kỳ một bít nào bị thay đổi trong gói dữ
liệu sẽ làm mất hiệu lực giá trị kiểm tra toàn vẹn đa được tạo bởi nguồn. Vì vậy
giao thức IPSec đề xuất một số giải pháp để giải quyết vấn đề địa chỉ được lưu giữ
trước bởi NAT, không cần thiết dùng NAT lúc tất cả các Host tạo nên tổng thể
một mạng riêng ảo sử dụng các địa chỉ IP toàn cục duy nhất(Public). Việc ẩn địa
chỉ có thể được hoàn tất bởi chế độ đường hầm của IPSec. Nếu một Công ty sử
dụng các địa chỉ riêng trong mạng Intranet, chế độ đường hầm của IPSec giữ cho
chúng không xuất hiện ở dạng rõ trong mạng công cộng, nó loại trừ sự cần thiết có
NAT.
4.3. Giao thức SOCKS
Một cổng mạch vòng tiếp nhận TCP cũng như các kết nối UPD và không
cung cấp thêm bất kỳ tiến trình xử lý hoặc lọc gói nào. Một cổng mạch vòng là một
loại đặc biệt của cổng nối mức ứng dụng. Điều này là bởi các cổng nối mức ứng

dụng có thể được cấu hình để chuyển qua tất cả thông tin của một người dùng đã
được xác thực, được xem như là cổng mạch vòng(xem hình 4.7). Tuy nhiên trong
thực hành, có sự khác nhau đáng kể giữa chúng:
- Các cổng mạch vòng có thể sử dụng một số ứng dụng TCP/IP cũng như các
ứng dụng UDP mà không phải sửa đổi gì trên Client cho mỗi ứng dụng. Như vậy,
điều này làm cho các cổng mạch vòng trở thành một lựa chọn tốt để thoã mãn các
yêu cầu của người dùng.
- Các cổng mạch vòng không cung cấp xử lý hoặc lọc gói. Như vậy một cổng
nối dạng này thường xem như một cổng nối trong suốt.