MỤC LỤC
DANH MỤC HÌNH ẢNH.5
DANH MỤC THUẬT NGỮVÀ CÁC TỪVIẾT TẮT.7
LỜI NÓI ĐẦU.8
CHƯƠNG I. VAI TRÒ CỦA HỆTHỐNG MẠNG DOANH NGHIỆP.9
1.1. Tình hình phát triển Internet ởViệt Nam. .9
1.2. Hệthống mạng doanh nghiệp – Vai trò và tầm quan trọng .10
1.3. Những mối đe dọa đối với hệthống mạng doanh nghiệp. .11
1.4. Các công nghệquản lý truy cập mạng hiện nay.12
CHƯƠNG II. CÔNG NGHỆMICROSOFT – NAP.14
2.1. Giới thiệu công nghệNAP .14
2.2. Hệthống mạng triển khai NAP .17
2.2.1. Thành phần hệthống mạng triển khai NAP .17
2.2.2. Sựhoạt động giữa các thành phần trong hệthống NAP.19
2.2.3. Cấu trúc của NAP – Client và NAP – Server .22
2.3. Các phương thức thực thi NAP. .29
2.3.1. Phương thức thực thi IPSec .31
2.3.2. Phương thức thực thi 802.1X.38
2.3.3. Phương thức thực thi VPN.44
2.3.4. Phương thức thực thi DHCP .49
2.3.5. Phương thức thực thi Terminal Services Gateway .53
CHƯƠNG III. TRIỂN KHAI VÀ PHÁT TRIỂN NAP.58
3.1. Triển khai phương thức thực thi IPSec.59
3.1.1. Cài đặt và cấu hình Root CA trên máy chủDomain Controller.61
3.1.2. Cấu hình máy chủNPS.62
3.1.3. Kiểm tra sựhoạt động của NAP. .65
3.2. Triển khai phương thức thực thi 802.1X .67
3.2.1. Cấu hình 802.1X Switch.68
3.2.2. Cài đặt Enterprise Root CA trên máy chủDomain Controller.69
3.2.3. Cài đặt và cấu hình máy chủNPS .69
3.2.4. Cấu hình máy trạm sửdụng 802.1X .74
3.3. Triển khai phương thức thực thi DHCP, VPN và TS Gateway.75
3.3.1. Phương thức thực thi DHCP .75
3.3.2. Phương thức thực thi VPN.76
3.3.3. Phương thức thực thi TS Gateway.78
3.4. Phát triển chương trình. .79
3.4.1. Môi trường phát triển:.79
3.4.2. Phát triển hệthống .80
3.4.3. Thửnghiệm cặp SHA-SHV xây dựng .83
3.5. Nhận xét - Đánh giá.85
CHƯƠNG IV. KẾT LUẬN.86
4.1. Kết quả đạt được của đồán .86
4.2. Những mặt hạn chế.86
4.3. Hướng phát triển trong tương lai .86
TÀI LIỆU THAM KHẢO.88
88 trang |
Chia sẻ: netpro | Lượt xem: 2368 | Lượt tải: 2
Bạn đang xem trước 20 trang tài liệu Đồ án Quản lý truy cập mạng dựa trên NAP, để xem tài liệu hoàn chỉnh bạn click vào nút DOWNLOAD ở trên
Server theo cách như đã phân tích ở trên.
- NAP Administration Server chuyển các bản tin SoH tới SHV tương ứng.
Hình 2.8: Quá trình giao tiếp từ NAP-Client tới NAP-Server
Quản lý truy cập mạng dựa trên NAP
Sinh viên thực hiện: Trương Vĩnh Điển Trang 29
NAP Administration Server sẽ gửi thông tin tới NAP Agent như sau:
- NAP Administration Server chuyển các bản tin SoHR tới NPS service.
- NPS service chuyển bản tin SSoHR tới NAP ES.
- NAP ES chuyển bản tin SSoHR tới NAP EC.
- NAP EC chuyển bản tin SSoHR tới NAP Agent.
SHV gửi các bản tin đáp trả SHA như sau:
- SHV chuyển các bản tin SoHR tới NAP Administration Server.
- NAP Administration Server chuyển các bản tin SoHR được chứa trong bản
tin SSoHR tới NAP Agent theo cách đã nói ở trên.
- NAP Agent đọc bản tin SSoHR, rồi chuyển các bản tin SoHR tới SHA tương
ứng.
2.3. Các phương thức thực thi NAP.
Windows XP SP3, Windows Vista và Windows Server 2008 hỗ trợ các
phương thức thực thi NAP (NAP Enforcement) như sau:
- Giao tiếp mã hóa IPSec
Hình 2.9: Quá trình giao tiếp từ NAP-Server tới NAP-Client
Quản lý truy cập mạng dựa trên NAP
Sinh viên thực hiện: Trương Vĩnh Điển Trang 30
- Kết nối được xác thực theo chuẩn IEEE 802.1X
- Kết nối VPN
- Dịch vụ cấp IP động DHCP
Đối với phương thức thực thi cho kết nối qua Terminal Services Gateway,
chỉ được hỗ trợ bởi Windows Vista và Windows Server 2008. Tùy theo yêu cầu của
hệ thống, mà nhà quản trị có thể sử dụng riêng rẽ hoặc kết hợp các phương thức
thực thi này để kiểm soát truy cập.
Phương thức thực thi IPSec
Để thực hiện phương thức này, chúng ta cần phải có các thành phần sau
trong hệ thống: IPSec ES chạy trên máy HRA trong môi trường Windows Server
2008, IPSec EC chạy trên máy Vista, XP SP3 hoặc Server 2008. Máy chủ HRA sẽ
lấy health certificate được mã hóa theo chuẩn X.509 cho các máy NAP Client từ
máy chủ CA trong hệ thống.
Một máy thỏa mãn chính sách truy cập mạng đặt ra, mới có thể nhận chứng
chỉ và giao tiếp mã hóa IPSec với các máy khác trong mạng. Nếu nó không thỏa
mãn chính sách, máy đó sẽ bị đưa vào vùng mạng hạn chế, không thể giao tiếp
thông qua mã hóa IPSec với các máy khác.
Phương thức thực thi 802.1X
Để triển khai phương thức thực thi 802.1X, chúng ta cần có máy chủ
Windows Server 2008 thực hiện vai trò NPS, EAPHost EC chạy trên máy Windows
XP SP3, Windows Vista hoặc Windows Server 2008 và các thiết bị truy cập mạng
có hỗ trợ xác thực theo chuẩn IEEE 802.1X như Switch, hoặc 802.11 wireless AP
Nếu máy tính không đủ điều kiện truy cập mạng, nó sẽ bị giới hạn bởi các
profile hạn chế truy cập đặt sẵn trên các thiết bị 802.1X. Profile này có thể chỉ ra
một Access Control List (ACL) – danh sách điều khiển truy cập - đã được cấu hình
trước trên Switch hoặc Wireless AP, từ đó hạn chế việc trao đổi thông tin giữa máy
không đủ tiêu chuẩn an toàn với hệ thống mạng.
Phương thức thực thi VPN
Hệ thống triển khai phương pháp thực thi VPN gồm có: Máy chủ NPS, VPN
EC trên máy Windows XP SP3, Vista hoặc Server 2008.
Khi xác định được máy tính không đủ điều kiện truy cập, hệ thống sẽ tiến
hành chế độ lọc gói tin IP đã được cấu hình trên VPN Server. Hệ thống cũng liên
Quản lý truy cập mạng dựa trên NAP
Sinh viên thực hiện: Trương Vĩnh Điển Trang 31
tục kiểm tra tình trạng sức khỏe của các máy đã đủ điều kiện. Nếu các máy này có
sự cố, chuyển thành không đủ tiêu chuẩn, nó cũng sẽ bị chuyển sang trạng thái hạn
chế truy cập.
Phương thức thực thi DHCP
Để thực hiện phương thức này, hệ thống cần có: DHCP ES nằm trên máy
DHCP Server chạy Windows Server 2008, DHCP EC trên máy XP SP3, Vista hoặc
Server 2008.
Máy tính đủ tiêu chuẩn an toàn sẽ được DHCP cấp đầy đủ thông tin về IP
Address, Gateway, DNS Server …. để có thể truy cập mạng không hạn chế. Ngược
lại, máy tính sẽ được cấp IP cho vùng hạn chế truy cập. Hệ thống cũng thực hiện
việc giám sát sự thay đổi trạng thái an toàn của các máy Client để áp dụng các chính
sách phù hợp (đưa máy vào hoặc ra khỏi vùng hạn chế truy cập).
2.3.1. Phương thức thực thi IPSec
Vượt trên tất cả các giao thức được sử dụng trong các kiến trúc mạng hiện
nay, IP đã chứng tỏ đã, đang và sẽ là giao thức truyền thông toàn cầu cho các máy
tính trên toàn thế giới. Giao thức này đã hỗ trợ cho các mạng LAN từ cỡ trung bình
cho đến các mạng cỡ lớn như Internet. Đây là một giao thức mềm dẻo, mạnh mẽ và
đã đáp ứng được những yêu cầu kết nối mạng trong nhiều thập kỷ qua. Sức mạnh
của IP thể hiện bởi khả nǎng định tuyến gói dễ dàng, linh hoạt. Cũng như những cơ
thể sống, các mạng IP này ngày càng phát triển tới mức không ai có thể biết đâu là
giới hạn. Tuy nhiên, các mạng dựa trên nền IP có những nhược điểm liên quan đến
chính cấu trúc của giao thức này. Những kiến trúc ban đầu của IP không nhằm mục
đích cung cấp các tính nǎng bảo mật ở mức giao thức. Chính tính mềm dẻo của IP
cho phép tạo ra một số cách sử dụng giao thức này để kiểm tra lưu lượng, điều
khiển truy nhập và tiến hành các biện pháp an ninh khác. Dữ liệu trên các mạng IP
theo đó có thể nói là "mở" ngay cả với các hoạt động gây mất an ninh mạng. Những
tác vụ truyền thông "nhạy cảm" trong các lĩnh vực an ninh, quốc phòng và cả kinh
doanh đều không an toàn khi thực hiện trên các mạng IP.
Khi sử dụng mạng IP, bất cứ quá trình truyền thông tin nào đều phải thông
qua lớp IP. Như vậy, nếu bảo vệ được lớp mạng này nghĩa là chúng ta sẽ bảo vệ
được toàn bộ mạng của mình. Ở các lớp mạng khác, các thủ tục khác nhau có thể
được sử dụng cho những mục đích khác nhau, tuỳ thuộc vào cấu trúc mạng và kiểu
truyền tin. IETF (Internet Engineering Task Force) đã chỉ định một nhóm thực hiện
Quản lý truy cập mạng dựa trên NAP
Sinh viên thực hiện: Trương Vĩnh Điển Trang 32
việc phát triển 1 phương thức để làm công việc này. Họ gọi phương thức này là bộ
giao thức IPSEC. Khi sử dụng IPSec chúng ta sẽ đảm bảo an toàn cho các tác vụ
truyền thông trong mạng của tất cả các ứng dụng và tất cả người dùng một cách
"trong suốt" hơn nhiều so với các phương pháp đảm bảo an ninh khác.
Kiến trúc giao thức IPSec:
Giao thức IPSec cung cấp 3 công nghệ khoá. Những công nghệ này có thể
loại bỏ các mối đe doạ đối với mạng IP.
- Công nghệ đảm bảo tính xác thực và toàn vẹn dữ liệu cho IP Packet:
Công nghệ này giúp các bên tham gia trao đổi thông tin có thể kiểm tra
xem dữ liệu có bị sửa đổi trong quá trình chuyển tiếp hay không và dữ
liệu có thực sự đến từ đúng nguồn hay không bằng việc gắn vào trong
mỗi gói IP một dấu hiệu có thể kiểm tra được.Dấu hiệu đó được gọi là
AH (Authentication Header). AH được gắn vào giữa IP Header và IP
Payload như sau:
AH sử dụng một checksum dạng mật mã là HMAC (Hashed Message
Authentication Code) để đảm bảo tính toàn vẹn của dữ liệu trong gói tin
IP. Trong môi trường Windows Server, hệ điều hành sử dụng thuật toán
SHA1 (Secure Hash Algorithm 1) hoặc MD5 (Message-Digest algorithm
5) để tính toán HMAC cho giao tiếp IPSec.
Hình 2.10: Kiến trúc giao thức IPSec
Quản lý truy cập mạng dựa trên NAP
Sinh viên thực hiện: Trương Vĩnh Điển Trang 33
- Công nghệ đảm bảo tính bí mật dữ liệu cho IP Packet: Với công nghệ
ESP (Encapsulating Security Payload) dữ liệu được mã hoá để đảm bảo
không bị "nghe trộm" trong suốt quá trình truyền tin.
Mỗi gói tin IP được thêm vào ESP Header và ESP Trailer. ESP Trailer có
trường Auth Data được tính theo thuật toán SHA1 hoặc MD5. Thành
phần trong gói tin IP được mã hóa gồm có IP Payload và một phần của
ESP Trailer. Trong môi trường Windows, thuật toán mã hóa được sử
dụng là DES (Data Encryption Standard), Triple-DES (3DES), và AES
(Advanced Encryption Standard).
- Công nghệ thoả thuận giao thức (Protocol Negotiation) và trao đổi khoá
Internet (IKE - Internet Key Exchange) cho phép các bên tham gia thoả
thuận các phương pháp truyền thông an toàn. Đây là một thủ tục đàm
phán linh hoạt cho phép người sử dụng đồng ý phương pháp nhận thực,
phương pháp mã hoá, các khoá sẽ dùng và thời gian sử dụng các khoá
trước khi thay đổi khoá cũng như cho phép việc trao đổi khoá một cách
an toàn và thông minh.
Thực thi IPSec trong NAP:
Ưu điểm khi chúng ta triển khai phương thức thực thi IPSec trong NAP:
- Luôn bắt buộc Client phải thi hành.
Phương thức thực thi IPSec không cho phép Client chuyển sang trạng
thái thỏa mãn CSTCM bằng việc cấu hình lại NAP client. NAP client sẽ
không nhận được “health certificate” hoặc thiết lập giao tiếp với các máy
tính khác bằng cách thực hiện một số xảo thuật trên nó. Điều này là rất
quan trọng trong trường hợp người sử dụng có quyền Administrator.
- Không cần phải nâng cấp hạ tầng hệ thống.
Phương thức thực thi IPSec hoạt động tại tầng Internet trong mô hình
TCP/IP, nó không phụ thuộc vào các thiết bị vật lý trong mạng như hub,
switch, hay router.
- Hạn chế truy cập mạng một cách linh hoạt.
Quản lý truy cập mạng dựa trên NAP
Sinh viên thực hiện: Trương Vĩnh Điển Trang 34
Với phương thức thực thi IPSec, những máy tính thỏa mãn chính sách có
thể thiết lập giao tiếp với các máy không thỏa mãn chính sách nhưng
không có chiều ngược lại. Quản trị mạng có thể chỉ ra một số loại liên lạc
cần phải xác thực thông qua “health certificate” và được bảo vệ bằng
Ipsec; có thể tạo ra IP filter… Từ đó có thể kiểm soát quá trình truy cập
mạng theo từng máy tính hay theo từng ứng dụng cụ thể.
Phương thức thực thi IPSec chia hệ thống mạng thành 3 phần logic như sau:
- Secure Network: Đây là lớp mạng dành cho các máy tính có “health
certificates” và các máy này luôn yêu cầu xác thực khi khởi tạo kết nối
với nó. Trong môi trường Active Directory, chúng ta nên đặt các máy chủ
và máy trạm trong lớp secure network. Khi thực thi NAP sử dụng IPSec,
thì NAP health policy server và health requirement server được đặt tại lớp
secure network.
- Boundary network: Đây là lớp mạng dành cho các máy tính có “health
certificates” nhưng không yêu cầu kết nối tới nó phải xác thực. Các máy
tính đặt tại boundary network có thể được truy cập từ tất cả các máy
trong toàn hệ thống mạng. Nó có thể là máy chủ HRA và remediation
server trong mô hình triển khai NAP IPSec.
Hình 2.11: Các lớp mạng trong phương thức thực thi IPSec
Quản lý truy cập mạng dựa trên NAP
Sinh viên thực hiện: Trương Vĩnh Điển Trang 35
- Restricted network: Đây là lớp mạng dành cho những máy tính không
có “health certificates”. Các máy tính được đưa vào lớp này do không
hoàn thành việc kiểm tra tình trạng sức khỏe hệ thống, không thỏa mãn
CSTCM, hoặc các máy không được support bởi NAP…
Trên cơ sở phân chia hệ thống thành 3 lớp mạng logic như trên, khi thiết lập
kết nối giao tiếp giữa các máy tính, sẽ xảy ra một số trường hợp như sau:
-
- Kết nối giữa các máy trong lớp Secure Network và Boundary Netwwork:
Các máy tính thỏa mãn CSTCM trong lớp Secure Network hoặc lớp
Boundary Network đều được cấp “health certificate”. Khi các máy trong
cùng một lớp thiết lập kết nối với nhau, chúng sẽ sử dụng các “health
certificate” của mình để xác thực. Quá trình xác thực ngang hàng thành công,
giao tiếp giữa chúng sẽ được bảo vệ bởi IPSec.
- Kết nối giữa các máy trong Restricted Network.
Hình 2.12: Giao tiếp giữa các lớp mạng trong phương thức thực thi IPSec
Quản lý truy cập mạng dựa trên NAP
Sinh viên thực hiện: Trương Vĩnh Điển Trang 36
Các máy tính trong Restricted Network là các máy không được hỗ trợ bởi
NAP hoặc các máy không thỏa mãn CSTCM và không có “health
certificate”. Vì thế các máy này giao tiếp với nhau không được bảo vệ bởi
IPSec.
- Kết nối giữa Secure network và Boundary network
Khi các máy giữa 2 lớp tiến hành thiết lập kết nối, chúng sẽ cố gắng thử
xác thực với “health certificate”. Do các máy ở lớp Boundary Network
cũng có “health certificate”, nên sự xác thực ngang hàng thành công và
giao tiếp sẽ được bảo vệ bằng IPSec.
- Kết nối từ Secure network tới restricted network
Khi một máy thỏa mãn CSTCM trong lớp Secure Network tiến hành thiết
lập giao tiếp với một máy thuộc lớp Restricted Network, nó cũng sẽ thử
quá trình xác thực ngang hàng sử dụng “health certificate”. Do các máy
tại Restricted Network không có “health certificate”, cho nên quá trình
xác thực không thành công. Tuy nhiên giao tiếp từ Secure Network tới nó
vẫn được thiết lập, nhưng không được bảo vệ bởi IPSec.
- Kết nối từ Restricted Network tới Secure Network
Khi một máy tính từ lớp Restricted Network cố gắng thiết lập kết nối tới
lớp Secure Network, máy tính ở lớp Secure Network sẽ tự động hủy yêu
cầu do yêu cầu chuyển tới nó không được mã hóa.
- Kết nối từ Boundary Network tới Restricted Network
Khi máy tính tại Boundary Network thiết lập kết nối tới các máy thuộc
Restricted Network, nó sẽ cố gắng thử xác thực bằng cách dung “Health
Certificate”. Tất nhiên do các máy ở lớp Restricted không có chứng chỉ,
nên sự xác thực sẽ không thành công. Khi đó, các máy tại lớp Boundry sẽ
thiết lập kết nối mà không được bảo vệ bởi IPSec.
- Kết nối từ Restricted Network tới Boundary Network
Máy tính thuộc lớp Restricted sẽ thiết lập kết nối không được bảo vệ bởi
IPSec tới các máy thuộc Boundry Network. Các máy tính thuộc lớp này
cho phép kết nối tới nó không cần phải được bảo vệ, nó sẽ đáp trả lại yêu
cầu kết nối của máy ở lớp Restricted. Và kênh giao tiếp sẽ được thiết lập,
kênh này không được bảo vệ bởi IPSec.
Nguyên lý hoạt động:
Quản lý truy cập mạng dựa trên NAP
Sinh viên thực hiện: Trương Vĩnh Điển Trang 37
1. IPsec NAP EC trên NAP client sử dụng giao thức HTTP hoặc HTTPS để
gửi yêu cầu lấy “health certificate” và bản tin sức khỏe hệ thống SSoH tới
máy chủ HRA.
2. Máy chủ HRA chuyển tiếp bản tin SSoH tới máy chủ NAP health policy
server thông qua thông điệp RADIUS Access-Request.
3. NPS service ở trong máy chủ NAP health policy nhận được thông điệp
RADIUS Access-Request, đọc bản tin SSoH trong đó, và chuyển SSoH
tới NAP Administration Server.
4. NAP Administration Server nhận bản tin SSoH, phân tích và gửi từng
bản tin SoH tới đúng SHV tương ứng.
5. SHV phân tích nội dung của bản tin SoH nhận được, và gửi trả lại NAP
Administration Server bản tin SoHR.
6. NAP Administration Server chuyển tiếp các bản tin SoHR tới NPS
service.
7. NPS service dựa vào các bản tin SoHR nhận được, đóng gói thông tin
Hình 2.13: Nguyên lý hoạt động của phương thức thực thi IPSec
Quản lý truy cập mạng dựa trên NAP
Sinh viên thực hiện: Trương Vĩnh Điển Trang 38
thành bản tin SSoHR.
8. NPS service tạo ra bản tin RADIUS Access-Accept có chứa thông điệp
SSoHR, và gửi bản tin này tới máy chủ HRA.
9. Máy chủ HRA lấy ra bản tin SsoHR, đưa trả tới IPsec NAP EC trong
NAP client.
10. IPsec NAP EC chuyển bản tin SSoHR tới NAP Agent.
11. NAP Agent tách thành các bản tin SoHR đưa tới đúng SHA tương ứng.
12. Nếu NAP client thỏa mãn CSTCM, máy chủ HRA sẽ lấy “health
certificate” từ máy chủ CA và gửi nó tới NAP Client.
Trong trường hợp NAP Client hiện thời chưa thỏa mãn CSTCM, nó sẽ thực
hiện quá trình remediation như sau:
1. SHA dựa vào bản tin SoHR nhận được sẽ thực hiện việc cập nhật cần
thiết để đưa NAP Client thỏa mãn CSTCM.
2. SHA sẽ chuyển bản tin trạng thái sức khỏe hệ thống đã được cập nhật tới
NAP Agent.
3. NAP Agent tập hợp các bản tin SoH nhận được, tạo ra bản tin SSoH và
gửi nó tới IPsec NAP EC.
4. Quá trình gửi và nhận thực hiện như trên, tới khi NAP Client thỏa mãn
CSTCM.
2.3.2. Phương thức thực thi 802.1X
IEEE 802.1x là một chuẩn do tổ chức IEEE đặt ra, với mục đích cung cấp
một cách thức xác thực an toàn mang tính tiêu chuẩn cho hệ thống mạng, bao gồm
cả LAN và Wireless LAN. Nội dung của chuẩn IEEE 802.1X có thể hiểu đơn giản
là “điều khiển truy cập mạng dựa trên port”. Nó cho phép quyết định cho hay không
truy cập mạng được thực hiện tại port. Trừ khi port đã được xác thực, nếu không nó
chỉ có thể được sử dụng để chuyển lưu lượng được kết hợp với quá trình xác thực.
Xác thực có thể dựa trên người dùng và được quản lý tại máy chủ xác thực tập
trung. Ngoài ra, 802.1x cung cấp các tuỳ chọn để phân phối khoá. Với khả năng
quản lý tập trung, quản lý người dùng thay vì thiết bị, bảo vệ mạng và phân phối
khóa, các thiết bị truy cập mạng hỗ trợ 802.1X là một sự lựa chọn hợp lý đối với
các nhà quản trị mạng hiện nay.
Quản lý truy cập mạng dựa trên NAP
Sinh viên thực hiện: Trương Vĩnh Điển Trang 39
Những thành phần trong mô hình xác thực theo chuẩn 802.1X:
- Thiết bị yêu cầu (Supplicant): Đây là một thiết bị đầu cuối yêu cầu truy
cập đến mạng được bảo vệ bằng 802.1X . Laptop, PDA,… là một số các
thiết bị yêu cầu thông dụng.
- Thiết bị xác thực (Authenticator): Đây là những điểm truy cập mạng có
hỗ trợ 802.1X. Các thiết bị này có thể là LAN Switch hay Wireless
Access Point.
- Máy chủ xác thực (Authentication Server): Đây là một server thực hiện
chức năng xác thực người dùng, cho phép hay ngăn chặn việc truy cập
mạng dựa trên Username/Password hoặc Certificate …. Thông thường
đây là máy chủ RADIUS.
Chuẩn 802.1X sử dụng EAP (Extensible Authentication Protocol) hay chính
xác hơn là EAP Encapsulation Over a wire or wireless LAN (EAPOL) để mang các
thông tin xác thực giữa Supplicant và Authenticator. Như tên đã ngụ ý “khả năng
mở rộng”, EAP có thể mang nhiều giao thức xác thực khác như EAP-MD5, EAP-
TLS, PEAP, LEAP … Bất kể phương pháp EAP nào, tất cả các phiên xác thực
802.1X đều theo cùng cấu trúc chung.
Hình 2.14:Các thành phần hệ thống xác thực 802.1X
Quản lý truy cập mạng dựa trên NAP
Sinh viên thực hiện: Trương Vĩnh Điển Trang 40
Supplicant gửi một gói EAPOL-Start để chỉ rằng nó mong muốn được xác
thực. Authenticator sau đó gởi một EAP-Request/Identity để xác định người dùng
nào muốn truy cập. Authenticator có thể gởi thông điệp này ngay khi phát hiện
Supplicant mà không cần nhận EAPOL-Start. Supplicant tự giới thiệu nó bằng một
trả lời EAP-Response/Identity. Authenticator đặt trả lời vào RADIUS Access-
Request gửi đến máy chủ xác thực. Nếu xác thực thành công, máy chủ xác thực
phát thông điệp RADIUS Access-Accept đến Authenticator, và Authenticator gửi
EAP-Success đến Supplicant. Nếu xác thực hỏng, máy chủ xác thực phát thông điệp
RADIUS Acees-Reject đến Authenticator, sau đó thành phần này sẽ gửi một EAP-
Failure đến Supplicant.
Authenticator chia port thành 2 loại là controlled và uncontrolled port. Cả 2
loại controlled và uncontrolled port là cổng logic (virtual ports), chúng sử dụng
chung kết nối vật lý vào mạng LAN. Mỗi cổng vật lý có 2 cổng logic là controlled
và uncontrolled port. Trước khi chứng thực, chỉ có uncontrolled port là "mở" và chỉ
có traffic được phép đi qua là EAPOL. Sau khi Supplicant đã được chứng thực
thành công, controlled port được “mở”, và được cho phép truy cập vào tài nguyên
mạng nội bộ.
Trong phương thức thực thi NAP 802.1X, ngoài các thành phần cơ bản như
trên, còn có NAP health policy server, 802.1X EC trên NAP client. Máy chủ NAP
health policy sẽ quyết định xem tình trạng sức khỏe hệ thống của NAP client ra sao
và yêu cầu 802.1X access point cho phép hay hạn chết truy cập. Trong môi trường
Windows Vista và Windows Server 2008, 802.1X EC là EAP Quarantine
enforcement client. Còn trong môi trường Windows XP SP 3, có 2 loại EAP
enforcement client. Đó là EAP Quarantine enforcement client cho kết nối có
mạng dây thông thường và Wireless EAPOL Quarantine enforcement client cho
kết nối không dây. Sau qua trình xác thực 802.1X và phân tích tình tráng sức khỏe
hệ thống, NAP client sẽ rơi vào 1 trong 3 trường hợp như sau:
- Không được xác thực
- Xác thực nhưng hạn chế truy cập mạng – nếu NAP Client không thỏa
mãn CSTCM
- Xác thực cho phép truy cập mạng – nếu NAP Client thỏa mãn CSTCM.
Nguyên lý hoạt động của phương thức thực thi 802.1X:
1. 802.1X client (NAP Client) và 802.1X access point tiến hành quá trình
xác thực 802.1X bằng giao thức EAP over LAN (EAPOL).
Quản lý truy cập mạng dựa trên NAP
Sinh viên thực hiện: Trương Vĩnh Điển Trang 41
2. 802.1X access point gửi bản tin EAP-Request/Identity tới thành phần
EAP client của đối tượng yêu cầu xác thực.
3. EAP client đáp trả với bản tin EAP-Response/Identity chứa thông tin về
user/computer name.
4. 802.1X access point gửi bản tin EAP-Response/Identity nhận được tới
máy chủ NAP health policy thông qua thông điệp RADIUS Access-
Request. Chúng ta có thể hiểu sẽ có một kênh liên lạc được thiết lập giữa
NAP health policy server và 802.1X client với thiết bị trung gian ở giữa
là 802.1X Access Point.
5. NAP health policy server gửi bản tin EAP-Request/Start Protected EAP
(PEAP) tới thành phần EAP client ở trên 802.1X client.
6. EAP client và NAP health policy server trao đổi các bản tin Transport
Layer Security (TLS) để thỏa thuận thiết lập phiên liên lạc bảo vệ bởi
TLS.
7. NAP health policy server yêu cầu 802.1X client xác thực bằng cách sử
dụng phương pháp PEAP như PEAP-Microsoft Challenge Handshake
Authentication Protocol version 2 (MS-CHAP v2).
8. Sau quá trình xác thực, NAP health policy server gửi yêu cầu lấy SSoH
tới EAP client qua bản tin PEAP-Type-Length-Value (TLV).
9. EAP client chuyển yêu cầu lấy SSoH tới EAP Quarantine EC, để thu thập
tình trạng sức khỏe hệ thống.
10. EAP Quarantine EC chuyển bản tin SSoH thu được tới EAP client, rồi
EAP Client chuyển tới NAP health policy server thông qua bản tin
PEAP-TLV.
11. Thành phần NPS service ở NAP health policy server chuyển bản tin
SSoH nhận được tới thành phần NAP Administration Server.
12. NAP Administration Server chuyển từng bản tin SoH tới đúng các SHV
tương ứng.
13. SHV phân tích nội dung và đưa lại bản tin SoHR tới NAP Administration
Server.
14. NAP Administration Server chuyển các bản tin SoHR nhận được tới NPS
service.
Quản lý truy cập mạng dựa trên NAP
Sinh viên thực hiện: Trương Vĩnh Điển Trang 42
15. NPS service tạo ra bản tin SSoHR và gửi tới EAP client thông qua thông
điệp PEAP-TLV.
16. EAP client chuyển bản tin SSoHR nhận được tới EAP Quarantine EC, rồi
chuyển nó tới NAP Agent.
17. NAP Agent tách ra các bản tin SoHR rồi đưa tới đúng các SHA tương
ứng.
18. Sau quá trình xác thực thành công và có thông tin về tình trạng sức khỏe
hệ thống, NPS service sẽ gửi bản tin RADIUS Access-Accept tới 802.1X
access point. Và trong bản tin RADIUS có chứa thông số cho phép hay
giới hạn 802.1X client truy cập mạng.
19. Nếu 802.1X client không thỏa mãn CSTCM, nó sẽ bị hạn chế truy cập và
được yêu cầu cập nhật sức khỏe hệ thống. Sau khi cập nhật, nó sẽ thực
hiện lại quá trình như trên để được chuyển sang trạng thái không hạn chế
truy cập.
Hình 2.15: Nguyên lý hoạt động phương thức thực thi 802.1X
Quản lý truy cập mạng dựa trên NAP
Sinh viên thực hiện: Trương Vĩnh Điển Trang 43
Để thực hiện việc hạn chế hay cho phép truy cập mạng, phương thức thực thi
802.1X sử dụng 2 phương pháp là ACL (Access Control List) và VLAN (virtual
local area network).
- Sử dụng ACL
Khi sử dụng ACL để hạn chế truy cập mạng, máy chủ NAP health policy
sẽ yêu cầu 802.1X access point áp đặt ACL đã được cấu hình sẵn cho
NAP client không thỏa mãn CSTCM. ACL sẽ quy định những traffic nào
được phép cho đi qua, ví dụ như cho NAP Client đi tới remediation
server để cập nhật sức khỏe hệ thống.
Khi sử dụng ACL, chúng ta có thể phân tách riêng từng máy không thỏa
mãn CSTCM với nhau. Các máy đó sẽ không thể kết nối với nhau, và vì
thế sẽ ngăn chặn được nguy cơ mất an toàn ngay giữa các máy này.
- Sử dụng VLAN
Hình 2.16: Sử dụng ACL trong phương thức thực thi 802.1X
Hình 2.17: Sử dụng VLAN trong phương thức thực thi 802.1X
Quản lý truy cập mạng dựa trên NAP
Sinh viên thực hiện: Trương Vĩnh Điển Trang 44
Khi sử dụng cách hạn chế truy cập thông qua VLAN, máy chủ NAP
health policy sẽ yêu cầu 802.1X access point đưa các máy không thỏa
mãn CSTCM vào VLAN đã định trước. VLAN này được xác định bằng
VLAN ID. Ngoài các máy không thỏa mãn CSTCM được đưa vào,
VLAN này có cả các máy chủ remediation để NAP client có thể cập nhật
được sức khỏe hệ thống của mình.
Tuy nhiên, khi sử dụng VLAN để hạn chế truy cập mạng, không như khi
dùng ACL, các máy NAP Client ở trong VLAN có thể giao tiếp không
hạn chế với nhau, do đó có khả năng xảy ra việc lây nhiễm các phần mềm
có hại lẫn nhau giữa chúng.
2.3.3. Phương thức thực thi VPN
Nhu cầu truy cập từ xa vào mạng nội bộ để trao đổi dữ liệu hay sử dụng ứng
dụng ngày càng phổ biến. Đây là nhu cầu thiết thực, tuy nhiên do vấn đề bảo mật và
an toàn thông tin nên các công ty ngại "mở" hệ thống mạng nội bộ của mình để cho
phép nhân viên truy cập từ xa. Một giải pháp đang được sử dụng hiệu quả trong
trường hợp này, đó chính là VPN. VPN (virtual private network) là công nghệ xây
dựng hệ thống mạng riêng ảo nhằm đáp ứng nhu cầu chia sẻ thông tin, truy cập từ
xa và tiết kiệm chi p
Các file đính kèm theo tài liệu này:
- Quản lý truy cập mạng dựa trên NAP.pdf