Đồ án Quản lý truy cập mạng dựa trên NAP

Server theo cách như đã phân tích ở trên. - NAP Administration Server chuyển các bản tin SoH tới SHV tương ứng. Hình 2.8: Quá trình giao tiếp từ NAP-Client tới NAP-Server Quản lý truy cập mạng dựa trên NAP Sinh viên thực hiện: Trương Vĩnh Điển Trang 29 NAP Administration Server sẽ gửi thông tin tới NAP Agent như sau: - NAP Administration Server chuyển các bản tin SoHR tới NPS service. - NPS service chuyển bản tin SSoHR tới NAP ES. - NAP ES chuyển bản tin SSoHR tới NAP EC. - NAP EC chuyển bản tin SSoHR tới NAP Agent. SHV gửi các bản tin đáp trả SHA như sau: - SHV chuyển các bản tin SoHR tới NAP Administration Server. - NAP Administration Server chuyển các bản tin SoHR được chứa trong bản tin SSoHR tới NAP Agent theo cách đã nói ở trên. - NAP Agent đọc bản tin SSoHR, rồi chuyển các bản tin SoHR tới SHA tương ứng. 2.3. Các phương thức thực thi NAP. Windows XP SP3, Windows Vista và Windows Server 2008 hỗ trợ các phương thức thực thi NAP (NAP Enforcement) như sau: - Giao tiếp mã hóa IPSec Hình 2.9: Quá trình giao tiếp từ NAP-Server tới NAP-Client Quản lý truy cập mạng dựa trên NAP Sinh viên thực hiện: Trương Vĩnh Điển Trang 30 - Kết nối được xác thực theo chuẩn IEEE 802.1X - Kết nối VPN - Dịch vụ cấp IP động DHCP Đối với phương thức thực thi cho kết nối qua Terminal Services Gateway, chỉ được hỗ trợ bởi Windows Vista và Windows Server 2008. Tùy theo yêu cầu của hệ thống, mà nhà quản trị có thể sử dụng riêng rẽ hoặc kết hợp các phương thức thực thi này để kiểm soát truy cập. Phương thức thực thi IPSec Để thực hiện phương thức này, chúng ta cần phải có các thành phần sau trong hệ thống: IPSec ES chạy trên máy HRA trong môi trường Windows Server 2008, IPSec EC chạy trên máy Vista, XP SP3 hoặc Server 2008. Máy chủ HRA sẽ lấy health certificate được mã hóa theo chuẩn X.509 cho các máy NAP Client từ máy chủ CA trong hệ thống. Một máy thỏa mãn chính sách truy cập mạng đặt ra, mới có thể nhận chứng chỉ và giao tiếp mã hóa IPSec với các máy khác trong mạng. Nếu nó không thỏa mãn chính sách, máy đó sẽ bị đưa vào vùng mạng hạn chế, không thể giao tiếp thông qua mã hóa IPSec với các máy khác. Phương thức thực thi 802.1X Để triển khai phương thức thực thi 802.1X, chúng ta cần có máy chủ Windows Server 2008 thực hiện vai trò NPS, EAPHost EC chạy trên máy Windows XP SP3, Windows Vista hoặc Windows Server 2008 và các thiết bị truy cập mạng có hỗ trợ xác thực theo chuẩn IEEE 802.1X như Switch, hoặc 802.11 wireless AP Nếu máy tính không đủ điều kiện truy cập mạng, nó sẽ bị giới hạn bởi các profile hạn chế truy cập đặt sẵn trên các thiết bị 802.1X. Profile này có thể chỉ ra một Access Control List (ACL) – danh sách điều khiển truy cập - đã được cấu hình trước trên Switch hoặc Wireless AP, từ đó hạn chế việc trao đổi thông tin giữa máy không đủ tiêu chuẩn an toàn với hệ thống mạng. Phương thức thực thi VPN Hệ thống triển khai phương pháp thực thi VPN gồm có: Máy chủ NPS, VPN EC trên máy Windows XP SP3, Vista hoặc Server 2008. Khi xác định được máy tính không đủ điều kiện truy cập, hệ thống sẽ tiến hành chế độ lọc gói tin IP đã được cấu hình trên VPN Server. Hệ thống cũng liên Quản lý truy cập mạng dựa trên NAP Sinh viên thực hiện: Trương Vĩnh Điển Trang 31 tục kiểm tra tình trạng sức khỏe của các máy đã đủ điều kiện. Nếu các máy này có sự cố, chuyển thành không đủ tiêu chuẩn, nó cũng sẽ bị chuyển sang trạng thái hạn chế truy cập. Phương thức thực thi DHCP Để thực hiện phương thức này, hệ thống cần có: DHCP ES nằm trên máy DHCP Server chạy Windows Server 2008, DHCP EC trên máy XP SP3, Vista hoặc Server 2008. Máy tính đủ tiêu chuẩn an toàn sẽ được DHCP cấp đầy đủ thông tin về IP Address, Gateway, DNS Server …. để có thể truy cập mạng không hạn chế. Ngược lại, máy tính sẽ được cấp IP cho vùng hạn chế truy cập. Hệ thống cũng thực hiện việc giám sát sự thay đổi trạng thái an toàn của các máy Client để áp dụng các chính sách phù hợp (đưa máy vào hoặc ra khỏi vùng hạn chế truy cập). 2.3.1. Phương thức thực thi IPSec Vượt trên tất cả các giao thức được sử dụng trong các kiến trúc mạng hiện nay, IP đã chứng tỏ đã, đang và sẽ là giao thức truyền thông toàn cầu cho các máy tính trên toàn thế giới. Giao thức này đã hỗ trợ cho các mạng LAN từ cỡ trung bình cho đến các mạng cỡ lớn như Internet. Đây là một giao thức mềm dẻo, mạnh mẽ và đã đáp ứng được những yêu cầu kết nối mạng trong nhiều thập kỷ qua. Sức mạnh của IP thể hiện bởi khả nǎng định tuyến gói dễ dàng, linh hoạt. Cũng như những cơ thể sống, các mạng IP này ngày càng phát triển tới mức không ai có thể biết đâu là giới hạn. Tuy nhiên, các mạng dựa trên nền IP có những nhược điểm liên quan đến chính cấu trúc của giao thức này. Những kiến trúc ban đầu của IP không nhằm mục đích cung cấp các tính nǎng bảo mật ở mức giao thức. Chính tính mềm dẻo của IP cho phép tạo ra một số cách sử dụng giao thức này để kiểm tra lưu lượng, điều khiển truy nhập và tiến hành các biện pháp an ninh khác. Dữ liệu trên các mạng IP theo đó có thể nói là "mở" ngay cả với các hoạt động gây mất an ninh mạng. Những tác vụ truyền thông "nhạy cảm" trong các lĩnh vực an ninh, quốc phòng và cả kinh doanh đều không an toàn khi thực hiện trên các mạng IP. Khi sử dụng mạng IP, bất cứ quá trình truyền thông tin nào đều phải thông qua lớp IP. Như vậy, nếu bảo vệ được lớp mạng này nghĩa là chúng ta sẽ bảo vệ được toàn bộ mạng của mình. Ở các lớp mạng khác, các thủ tục khác nhau có thể được sử dụng cho những mục đích khác nhau, tuỳ thuộc vào cấu trúc mạng và kiểu truyền tin. IETF (Internet Engineering Task Force) đã chỉ định một nhóm thực hiện Quản lý truy cập mạng dựa trên NAP Sinh viên thực hiện: Trương Vĩnh Điển Trang 32 việc phát triển 1 phương thức để làm công việc này. Họ gọi phương thức này là bộ giao thức IPSEC. Khi sử dụng IPSec chúng ta sẽ đảm bảo an toàn cho các tác vụ truyền thông trong mạng của tất cả các ứng dụng và tất cả người dùng một cách "trong suốt" hơn nhiều so với các phương pháp đảm bảo an ninh khác. Kiến trúc giao thức IPSec: Giao thức IPSec cung cấp 3 công nghệ khoá. Những công nghệ này có thể loại bỏ các mối đe doạ đối với mạng IP. - Công nghệ đảm bảo tính xác thực và toàn vẹn dữ liệu cho IP Packet: Công nghệ này giúp các bên tham gia trao đổi thông tin có thể kiểm tra xem dữ liệu có bị sửa đổi trong quá trình chuyển tiếp hay không và dữ liệu có thực sự đến từ đúng nguồn hay không bằng việc gắn vào trong mỗi gói IP một dấu hiệu có thể kiểm tra được.Dấu hiệu đó được gọi là AH (Authentication Header). AH được gắn vào giữa IP Header và IP Payload như sau: AH sử dụng một checksum dạng mật mã là HMAC (Hashed Message Authentication Code) để đảm bảo tính toàn vẹn của dữ liệu trong gói tin IP. Trong môi trường Windows Server, hệ điều hành sử dụng thuật toán SHA1 (Secure Hash Algorithm 1) hoặc MD5 (Message-Digest algorithm 5) để tính toán HMAC cho giao tiếp IPSec. Hình 2.10: Kiến trúc giao thức IPSec Quản lý truy cập mạng dựa trên NAP Sinh viên thực hiện: Trương Vĩnh Điển Trang 33 - Công nghệ đảm bảo tính bí mật dữ liệu cho IP Packet: Với công nghệ ESP (Encapsulating Security Payload) dữ liệu được mã hoá để đảm bảo không bị "nghe trộm" trong suốt quá trình truyền tin. Mỗi gói tin IP được thêm vào ESP Header và ESP Trailer. ESP Trailer có trường Auth Data được tính theo thuật toán SHA1 hoặc MD5. Thành phần trong gói tin IP được mã hóa gồm có IP Payload và một phần của ESP Trailer. Trong môi trường Windows, thuật toán mã hóa được sử dụng là DES (Data Encryption Standard), Triple-DES (3DES), và AES (Advanced Encryption Standard). - Công nghệ thoả thuận giao thức (Protocol Negotiation) và trao đổi khoá Internet (IKE - Internet Key Exchange) cho phép các bên tham gia thoả thuận các phương pháp truyền thông an toàn. Đây là một thủ tục đàm phán linh hoạt cho phép người sử dụng đồng ý phương pháp nhận thực, phương pháp mã hoá, các khoá sẽ dùng và thời gian sử dụng các khoá trước khi thay đổi khoá cũng như cho phép việc trao đổi khoá một cách an toàn và thông minh. Thực thi IPSec trong NAP: Ưu điểm khi chúng ta triển khai phương thức thực thi IPSec trong NAP: - Luôn bắt buộc Client phải thi hành. Phương thức thực thi IPSec không cho phép Client chuyển sang trạng thái thỏa mãn CSTCM bằng việc cấu hình lại NAP client. NAP client sẽ không nhận được “health certificate” hoặc thiết lập giao tiếp với các máy tính khác bằng cách thực hiện một số xảo thuật trên nó. Điều này là rất quan trọng trong trường hợp người sử dụng có quyền Administrator. - Không cần phải nâng cấp hạ tầng hệ thống. Phương thức thực thi IPSec hoạt động tại tầng Internet trong mô hình TCP/IP, nó không phụ thuộc vào các thiết bị vật lý trong mạng như hub, switch, hay router. - Hạn chế truy cập mạng một cách linh hoạt. Quản lý truy cập mạng dựa trên NAP Sinh viên thực hiện: Trương Vĩnh Điển Trang 34 Với phương thức thực thi IPSec, những máy tính thỏa mãn chính sách có thể thiết lập giao tiếp với các máy không thỏa mãn chính sách nhưng không có chiều ngược lại. Quản trị mạng có thể chỉ ra một số loại liên lạc cần phải xác thực thông qua “health certificate” và được bảo vệ bằng Ipsec; có thể tạo ra IP filter… Từ đó có thể kiểm soát quá trình truy cập mạng theo từng máy tính hay theo từng ứng dụng cụ thể. Phương thức thực thi IPSec chia hệ thống mạng thành 3 phần logic như sau: - Secure Network: Đây là lớp mạng dành cho các máy tính có “health certificates” và các máy này luôn yêu cầu xác thực khi khởi tạo kết nối với nó. Trong môi trường Active Directory, chúng ta nên đặt các máy chủ và máy trạm trong lớp secure network. Khi thực thi NAP sử dụng IPSec, thì NAP health policy server và health requirement server được đặt tại lớp secure network. - Boundary network: Đây là lớp mạng dành cho các máy tính có “health certificates” nhưng không yêu cầu kết nối tới nó phải xác thực. Các máy tính đặt tại boundary network có thể được truy cập từ tất cả các máy trong toàn hệ thống mạng. Nó có thể là máy chủ HRA và remediation server trong mô hình triển khai NAP IPSec. Hình 2.11: Các lớp mạng trong phương thức thực thi IPSec Quản lý truy cập mạng dựa trên NAP Sinh viên thực hiện: Trương Vĩnh Điển Trang 35 - Restricted network: Đây là lớp mạng dành cho những máy tính không có “health certificates”. Các máy tính được đưa vào lớp này do không hoàn thành việc kiểm tra tình trạng sức khỏe hệ thống, không thỏa mãn CSTCM, hoặc các máy không được support bởi NAP… Trên cơ sở phân chia hệ thống thành 3 lớp mạng logic như trên, khi thiết lập kết nối giao tiếp giữa các máy tính, sẽ xảy ra một số trường hợp như sau: - - Kết nối giữa các máy trong lớp Secure Network và Boundary Netwwork: Các máy tính thỏa mãn CSTCM trong lớp Secure Network hoặc lớp Boundary Network đều được cấp “health certificate”. Khi các máy trong cùng một lớp thiết lập kết nối với nhau, chúng sẽ sử dụng các “health certificate” của mình để xác thực. Quá trình xác thực ngang hàng thành công, giao tiếp giữa chúng sẽ được bảo vệ bởi IPSec. - Kết nối giữa các máy trong Restricted Network. Hình 2.12: Giao tiếp giữa các lớp mạng trong phương thức thực thi IPSec Quản lý truy cập mạng dựa trên NAP Sinh viên thực hiện: Trương Vĩnh Điển Trang 36 Các máy tính trong Restricted Network là các máy không được hỗ trợ bởi NAP hoặc các máy không thỏa mãn CSTCM và không có “health certificate”. Vì thế các máy này giao tiếp với nhau không được bảo vệ bởi IPSec. - Kết nối giữa Secure network và Boundary network Khi các máy giữa 2 lớp tiến hành thiết lập kết nối, chúng sẽ cố gắng thử xác thực với “health certificate”. Do các máy ở lớp Boundary Network cũng có “health certificate”, nên sự xác thực ngang hàng thành công và giao tiếp sẽ được bảo vệ bằng IPSec. - Kết nối từ Secure network tới restricted network Khi một máy thỏa mãn CSTCM trong lớp Secure Network tiến hành thiết lập giao tiếp với một máy thuộc lớp Restricted Network, nó cũng sẽ thử quá trình xác thực ngang hàng sử dụng “health certificate”. Do các máy tại Restricted Network không có “health certificate”, cho nên quá trình xác thực không thành công. Tuy nhiên giao tiếp từ Secure Network tới nó vẫn được thiết lập, nhưng không được bảo vệ bởi IPSec. - Kết nối từ Restricted Network tới Secure Network Khi một máy tính từ lớp Restricted Network cố gắng thiết lập kết nối tới lớp Secure Network, máy tính ở lớp Secure Network sẽ tự động hủy yêu cầu do yêu cầu chuyển tới nó không được mã hóa. - Kết nối từ Boundary Network tới Restricted Network Khi máy tính tại Boundary Network thiết lập kết nối tới các máy thuộc Restricted Network, nó sẽ cố gắng thử xác thực bằng cách dung “Health Certificate”. Tất nhiên do các máy ở lớp Restricted không có chứng chỉ, nên sự xác thực sẽ không thành công. Khi đó, các máy tại lớp Boundry sẽ thiết lập kết nối mà không được bảo vệ bởi IPSec. - Kết nối từ Restricted Network tới Boundary Network Máy tính thuộc lớp Restricted sẽ thiết lập kết nối không được bảo vệ bởi IPSec tới các máy thuộc Boundry Network. Các máy tính thuộc lớp này cho phép kết nối tới nó không cần phải được bảo vệ, nó sẽ đáp trả lại yêu cầu kết nối của máy ở lớp Restricted. Và kênh giao tiếp sẽ được thiết lập, kênh này không được bảo vệ bởi IPSec. Nguyên lý hoạt động: Quản lý truy cập mạng dựa trên NAP Sinh viên thực hiện: Trương Vĩnh Điển Trang 37 1. IPsec NAP EC trên NAP client sử dụng giao thức HTTP hoặc HTTPS để gửi yêu cầu lấy “health certificate” và bản tin sức khỏe hệ thống SSoH tới máy chủ HRA. 2. Máy chủ HRA chuyển tiếp bản tin SSoH tới máy chủ NAP health policy server thông qua thông điệp RADIUS Access-Request. 3. NPS service ở trong máy chủ NAP health policy nhận được thông điệp RADIUS Access-Request, đọc bản tin SSoH trong đó, và chuyển SSoH tới NAP Administration Server. 4. NAP Administration Server nhận bản tin SSoH, phân tích và gửi từng bản tin SoH tới đúng SHV tương ứng. 5. SHV phân tích nội dung của bản tin SoH nhận được, và gửi trả lại NAP Administration Server bản tin SoHR. 6. NAP Administration Server chuyển tiếp các bản tin SoHR tới NPS service. 7. NPS service dựa vào các bản tin SoHR nhận được, đóng gói thông tin Hình 2.13: Nguyên lý hoạt động của phương thức thực thi IPSec Quản lý truy cập mạng dựa trên NAP Sinh viên thực hiện: Trương Vĩnh Điển Trang 38 thành bản tin SSoHR. 8. NPS service tạo ra bản tin RADIUS Access-Accept có chứa thông điệp SSoHR, và gửi bản tin này tới máy chủ HRA. 9. Máy chủ HRA lấy ra bản tin SsoHR, đưa trả tới IPsec NAP EC trong NAP client. 10. IPsec NAP EC chuyển bản tin SSoHR tới NAP Agent. 11. NAP Agent tách thành các bản tin SoHR đưa tới đúng SHA tương ứng. 12. Nếu NAP client thỏa mãn CSTCM, máy chủ HRA sẽ lấy “health certificate” từ máy chủ CA và gửi nó tới NAP Client. Trong trường hợp NAP Client hiện thời chưa thỏa mãn CSTCM, nó sẽ thực hiện quá trình remediation như sau: 1. SHA dựa vào bản tin SoHR nhận được sẽ thực hiện việc cập nhật cần thiết để đưa NAP Client thỏa mãn CSTCM. 2. SHA sẽ chuyển bản tin trạng thái sức khỏe hệ thống đã được cập nhật tới NAP Agent. 3. NAP Agent tập hợp các bản tin SoH nhận được, tạo ra bản tin SSoH và gửi nó tới IPsec NAP EC. 4. Quá trình gửi và nhận thực hiện như trên, tới khi NAP Client thỏa mãn CSTCM. 2.3.2. Phương thức thực thi 802.1X IEEE 802.1x là một chuẩn do tổ chức IEEE đặt ra, với mục đích cung cấp một cách thức xác thực an toàn mang tính tiêu chuẩn cho hệ thống mạng, bao gồm cả LAN và Wireless LAN. Nội dung của chuẩn IEEE 802.1X có thể hiểu đơn giản là “điều khiển truy cập mạng dựa trên port”. Nó cho phép quyết định cho hay không truy cập mạng được thực hiện tại port. Trừ khi port đã được xác thực, nếu không nó chỉ có thể được sử dụng để chuyển lưu lượng được kết hợp với quá trình xác thực. Xác thực có thể dựa trên người dùng và được quản lý tại máy chủ xác thực tập trung. Ngoài ra, 802.1x cung cấp các tuỳ chọn để phân phối khoá. Với khả năng quản lý tập trung, quản lý người dùng thay vì thiết bị, bảo vệ mạng và phân phối khóa, các thiết bị truy cập mạng hỗ trợ 802.1X là một sự lựa chọn hợp lý đối với các nhà quản trị mạng hiện nay. Quản lý truy cập mạng dựa trên NAP Sinh viên thực hiện: Trương Vĩnh Điển Trang 39 Những thành phần trong mô hình xác thực theo chuẩn 802.1X: - Thiết bị yêu cầu (Supplicant): Đây là một thiết bị đầu cuối yêu cầu truy cập đến mạng được bảo vệ bằng 802.1X . Laptop, PDA,… là một số các thiết bị yêu cầu thông dụng. - Thiết bị xác thực (Authenticator): Đây là những điểm truy cập mạng có hỗ trợ 802.1X. Các thiết bị này có thể là LAN Switch hay Wireless Access Point. - Máy chủ xác thực (Authentication Server): Đây là một server thực hiện chức năng xác thực người dùng, cho phép hay ngăn chặn việc truy cập mạng dựa trên Username/Password hoặc Certificate …. Thông thường đây là máy chủ RADIUS. Chuẩn 802.1X sử dụng EAP (Extensible Authentication Protocol) hay chính xác hơn là EAP Encapsulation Over a wire or wireless LAN (EAPOL) để mang các thông tin xác thực giữa Supplicant và Authenticator. Như tên đã ngụ ý “khả năng mở rộng”, EAP có thể mang nhiều giao thức xác thực khác như EAP-MD5, EAP- TLS, PEAP, LEAP … Bất kể phương pháp EAP nào, tất cả các phiên xác thực 802.1X đều theo cùng cấu trúc chung. Hình 2.14:Các thành phần hệ thống xác thực 802.1X Quản lý truy cập mạng dựa trên NAP Sinh viên thực hiện: Trương Vĩnh Điển Trang 40 Supplicant gửi một gói EAPOL-Start để chỉ rằng nó mong muốn được xác thực. Authenticator sau đó gởi một EAP-Request/Identity để xác định người dùng nào muốn truy cập. Authenticator có thể gởi thông điệp này ngay khi phát hiện Supplicant mà không cần nhận EAPOL-Start. Supplicant tự giới thiệu nó bằng một trả lời EAP-Response/Identity. Authenticator đặt trả lời vào RADIUS Access- Request gửi đến máy chủ xác thực. Nếu xác thực thành công, máy chủ xác thực phát thông điệp RADIUS Access-Accept đến Authenticator, và Authenticator gửi EAP-Success đến Supplicant. Nếu xác thực hỏng, máy chủ xác thực phát thông điệp RADIUS Acees-Reject đến Authenticator, sau đó thành phần này sẽ gửi một EAP- Failure đến Supplicant. Authenticator chia port thành 2 loại là controlled và uncontrolled port. Cả 2 loại controlled và uncontrolled port là cổng logic (virtual ports), chúng sử dụng chung kết nối vật lý vào mạng LAN. Mỗi cổng vật lý có 2 cổng logic là controlled và uncontrolled port. Trước khi chứng thực, chỉ có uncontrolled port là "mở" và chỉ có traffic được phép đi qua là EAPOL. Sau khi Supplicant đã được chứng thực thành công, controlled port được “mở”, và được cho phép truy cập vào tài nguyên mạng nội bộ. Trong phương thức thực thi NAP 802.1X, ngoài các thành phần cơ bản như trên, còn có NAP health policy server, 802.1X EC trên NAP client. Máy chủ NAP health policy sẽ quyết định xem tình trạng sức khỏe hệ thống của NAP client ra sao và yêu cầu 802.1X access point cho phép hay hạn chết truy cập. Trong môi trường Windows Vista và Windows Server 2008, 802.1X EC là EAP Quarantine enforcement client. Còn trong môi trường Windows XP SP 3, có 2 loại EAP enforcement client. Đó là EAP Quarantine enforcement client cho kết nối có mạng dây thông thường và Wireless EAPOL Quarantine enforcement client cho kết nối không dây. Sau qua trình xác thực 802.1X và phân tích tình tráng sức khỏe hệ thống, NAP client sẽ rơi vào 1 trong 3 trường hợp như sau: - Không được xác thực - Xác thực nhưng hạn chế truy cập mạng – nếu NAP Client không thỏa mãn CSTCM - Xác thực cho phép truy cập mạng – nếu NAP Client thỏa mãn CSTCM. Nguyên lý hoạt động của phương thức thực thi 802.1X: 1. 802.1X client (NAP Client) và 802.1X access point tiến hành quá trình xác thực 802.1X bằng giao thức EAP over LAN (EAPOL). Quản lý truy cập mạng dựa trên NAP Sinh viên thực hiện: Trương Vĩnh Điển Trang 41 2. 802.1X access point gửi bản tin EAP-Request/Identity tới thành phần EAP client của đối tượng yêu cầu xác thực. 3. EAP client đáp trả với bản tin EAP-Response/Identity chứa thông tin về user/computer name. 4. 802.1X access point gửi bản tin EAP-Response/Identity nhận được tới máy chủ NAP health policy thông qua thông điệp RADIUS Access- Request. Chúng ta có thể hiểu sẽ có một kênh liên lạc được thiết lập giữa NAP health policy server và 802.1X client với thiết bị trung gian ở giữa là 802.1X Access Point. 5. NAP health policy server gửi bản tin EAP-Request/Start Protected EAP (PEAP) tới thành phần EAP client ở trên 802.1X client. 6. EAP client và NAP health policy server trao đổi các bản tin Transport Layer Security (TLS) để thỏa thuận thiết lập phiên liên lạc bảo vệ bởi TLS. 7. NAP health policy server yêu cầu 802.1X client xác thực bằng cách sử dụng phương pháp PEAP như PEAP-Microsoft Challenge Handshake Authentication Protocol version 2 (MS-CHAP v2). 8. Sau quá trình xác thực, NAP health policy server gửi yêu cầu lấy SSoH tới EAP client qua bản tin PEAP-Type-Length-Value (TLV). 9. EAP client chuyển yêu cầu lấy SSoH tới EAP Quarantine EC, để thu thập tình trạng sức khỏe hệ thống. 10. EAP Quarantine EC chuyển bản tin SSoH thu được tới EAP client, rồi EAP Client chuyển tới NAP health policy server thông qua bản tin PEAP-TLV. 11. Thành phần NPS service ở NAP health policy server chuyển bản tin SSoH nhận được tới thành phần NAP Administration Server. 12. NAP Administration Server chuyển từng bản tin SoH tới đúng các SHV tương ứng. 13. SHV phân tích nội dung và đưa lại bản tin SoHR tới NAP Administration Server. 14. NAP Administration Server chuyển các bản tin SoHR nhận được tới NPS service. Quản lý truy cập mạng dựa trên NAP Sinh viên thực hiện: Trương Vĩnh Điển Trang 42 15. NPS service tạo ra bản tin SSoHR và gửi tới EAP client thông qua thông điệp PEAP-TLV. 16. EAP client chuyển bản tin SSoHR nhận được tới EAP Quarantine EC, rồi chuyển nó tới NAP Agent. 17. NAP Agent tách ra các bản tin SoHR rồi đưa tới đúng các SHA tương ứng. 18. Sau quá trình xác thực thành công và có thông tin về tình trạng sức khỏe hệ thống, NPS service sẽ gửi bản tin RADIUS Access-Accept tới 802.1X access point. Và trong bản tin RADIUS có chứa thông số cho phép hay giới hạn 802.1X client truy cập mạng. 19. Nếu 802.1X client không thỏa mãn CSTCM, nó sẽ bị hạn chế truy cập và được yêu cầu cập nhật sức khỏe hệ thống. Sau khi cập nhật, nó sẽ thực hiện lại quá trình như trên để được chuyển sang trạng thái không hạn chế truy cập. Hình 2.15: Nguyên lý hoạt động phương thức thực thi 802.1X Quản lý truy cập mạng dựa trên NAP Sinh viên thực hiện: Trương Vĩnh Điển Trang 43 Để thực hiện việc hạn chế hay cho phép truy cập mạng, phương thức thực thi 802.1X sử dụng 2 phương pháp là ACL (Access Control List) và VLAN (virtual local area network). - Sử dụng ACL Khi sử dụng ACL để hạn chế truy cập mạng, máy chủ NAP health policy sẽ yêu cầu 802.1X access point áp đặt ACL đã được cấu hình sẵn cho NAP client không thỏa mãn CSTCM. ACL sẽ quy định những traffic nào được phép cho đi qua, ví dụ như cho NAP Client đi tới remediation server để cập nhật sức khỏe hệ thống. Khi sử dụng ACL, chúng ta có thể phân tách riêng từng máy không thỏa mãn CSTCM với nhau. Các máy đó sẽ không thể kết nối với nhau, và vì thế sẽ ngăn chặn được nguy cơ mất an toàn ngay giữa các máy này. - Sử dụng VLAN Hình 2.16: Sử dụng ACL trong phương thức thực thi 802.1X Hình 2.17: Sử dụng VLAN trong phương thức thực thi 802.1X Quản lý truy cập mạng dựa trên NAP Sinh viên thực hiện: Trương Vĩnh Điển Trang 44 Khi sử dụng cách hạn chế truy cập thông qua VLAN, máy chủ NAP health policy sẽ yêu cầu 802.1X access point đưa các máy không thỏa mãn CSTCM vào VLAN đã định trước. VLAN này được xác định bằng VLAN ID. Ngoài các máy không thỏa mãn CSTCM được đưa vào, VLAN này có cả các máy chủ remediation để NAP client có thể cập nhật được sức khỏe hệ thống của mình. Tuy nhiên, khi sử dụng VLAN để hạn chế truy cập mạng, không như khi dùng ACL, các máy NAP Client ở trong VLAN có thể giao tiếp không hạn chế với nhau, do đó có khả năng xảy ra việc lây nhiễm các phần mềm có hại lẫn nhau giữa chúng. 2.3.3. Phương thức thực thi VPN Nhu cầu truy cập từ xa vào mạng nội bộ để trao đổi dữ liệu hay sử dụng ứng dụng ngày càng phổ biến. Đây là nhu cầu thiết thực, tuy nhiên do vấn đề bảo mật và an toàn thông tin nên các công ty ngại "mở" hệ thống mạng nội bộ của mình để cho phép nhân viên truy cập từ xa. Một giải pháp đang được sử dụng hiệu quả trong trường hợp này, đó chính là VPN. VPN (virtual private network) là công nghệ xây dựng hệ thống mạng riêng ảo nhằm đáp ứng nhu cầu chia sẻ thông tin, truy cập từ xa và tiết kiệm chi p