Đồ Án Tốt Nghiệp Quản Lý Truy Cập Mạng Dựa Trên NAP

Trong hầu hết các trường hợp, đều có thểngăn chặn được hacker xâm nhập, nếu các máy tính đảm bảo tiêu chuẩn an toànnhư: Hệ thống tường lửa hoạt động hiệu quả, các phần mềm antivirus được

Trang 1

TÓM TẮT NỘI DUNG ĐỒ ÁN TỐT NGHIỆP

Bảo vệ truy cập mạng – NAP là một công nghệ mới ra đời của Microsoft với mụcđích kiểm soát quá trình kết nối vào hệ thống mạng nội bộ của các máy trạm Khả năng ápdụng của công nghệ NAP vào hệ thống mạng doanh nghiệp là rất lớn Chính vì thế, đồ ánđược thực hiện với mục đích tìm hiểu và triển khai công nghệ NAP để bảo vệ truy cập đốivới hệ thống mạng doanh nghiệp với những nội dung chính như sau:

Chươ ng I: Vai trò của hệ thống mạng doanh nghiệp

• Trình bày về sự phát triển Internet ở nước ta và các yêu cầu đặt ra với doanh nghiệptrong tình hình mới

• Xác định vai trò, tầm quan trọng và các mối đe dọa gây mất an toàn của hệ thốngmạng doanh nghiệp Từ đó cho thấy việc cần thiết phải quản lý truy cập hệ thốngmạng

• Phân tích, lựa chọn công nghệ Microsoft NAP để thực hiện quản lý truy cập

Chươ ng II: Công nghệ Microsoft – NAP

Tập trung vào việc tìm hiểu công nghệ NAP: Cấu trúc hệ thống, cấu trúc các thànhphần trên NAP-Client và NAP-Server, nguyên lý hoạt động, các chức năng mà NAP hỗ trợcho hệ thống mạng để quản lý truy cập (IPSEC, 802.1X, VPN ) và cách thức hoạt độngcủa các chức năng đó

Chươ ng III: Triển khai và phát triển NAP

• Triển khai áp dụng công nghệ NAP vào hệ thống mạng doanh nghiệp: phân tích, đềxuất mô hình triển khai tổng quát

• Triển khai 5 phương pháp thực thi NAP áp dụng cho việc quản lý truy cập mạng:Phương thức thực thi NAP-IPSEC, NAP-802.1X, NAP-DHCP, NAP-VPN, NAP-

Chươ ng IV: Kết luận

• Những kết quả đạt được và những hạn chế của đồ án

• Hướng phát triển của đồ án trong tương lai

Quản lý truy cập mạng dựa trên NAP

LỜI CẢM ƠN

Để có ngày hoàn thành đồ án tốt nghiệp này, con xin chân thành cảm ơn bố

mẹ đã tạo mọi điều kiện cho con ăn học, đã động viên và nâng đỡ con trong suốtquá trình học tập

Em xin cảm ơn thầy giáo, PGS.TS Phan Huy Khánh,đã tận tình chỉ dẫn, tạođiều kiện cho em hoàn thành đồ án tốt nghiệp này

Trang 2

Em xin cảm ơn các thầy, cô phụ trách giảng dạy đã tận tâm dạy dỗ em trong suốt những năm học vừa qua

Cuối cùng, xin cảm ơn công ty VSIC đã tạo điều kiện và giúp đỡ tôi trong thời gian thực tập làm đồ án Cảm ơn các bạn trong lớp đã trao đổi kinh nghiệm lập trình, giúp đồ án hoàn thành được như ý

Đà Nẵng,ngày 7 tháng 06 năm 2010

Người thực hiện

ễ

Trang 2

MỤC LỤC DANH MỤC HÌNH ẢNH 5

DANH MỤC THUẬT NGỮ VÀ CÁC TỪ VIẾT TẮT 7

LỜI NÓI ĐẦU 8

CHƯƠNG I VAI TRÒ CỦA HỆ THỐNG MẠNG DOANH NGHIỆP 9

1.1 Tình hình phát triển Internet ở Việt Nam 9

1.2 Hệ thống mạng doanh nghiệp – Vai trò và tầm quan trọng 10

Trang 3

1.3 Những mối đe dọa đối với hệ thống mạng doanh nghiệp 11

1.4 Các công nghệ quản lý truy cập mạng hiện nay 12

CHƯƠNG II CÔNG NGHỆ MICROSOFT – NAP 14

2.1 Giới thiệu công nghệ NAP 14

2.2 Hệ thống mạng triển khai NAP 17

2.2.1 Thành phần hệ thống mạng triển khai NAP 17

2.2.2 Sự hoạt động giữa các thành phần trong hệ thống NAP 19

2.2.3 Cấu trúc của NAP – Client và NAP – Server 22

2.3 Các phương thức thực thi NAP 29

2.3.1 Phương thức thực thi IPSec 31

2.3.2 Phương thức thực thi 802.1X 38

2.3.3 Phương thức thực thi VPN 44

2.3.4 Phương thức thực thi DHCP 49

2.3.5 Phương thức thực thi Terminal Services Gateway 53

CHƯƠNG III TRIỂN KHAI VÀ PHÁT TRIỂN NAP 58

3.1 Triển khai phương thức thực thi IPSec 59

3.1.1 Cài đặt và cấu hình Root CA trên máy chủ Domain Controller 61

3.1.2 Cấu hình máy chủ NPS 62

3.1.3 Kiểm tra sự hoạt động của NAP 65

3.2 Triển khai phương thức thực thi 802.1X 67

3.2.1 Cấu hình 802.1X Switch 68

3.2.2 Cài đặt Enterprise Root CA trên máy chủ Domain Controller 69

3.2.3 Cài đặt và cấu hình máy chủ NPS 69

3.2.4 Cấu hình máy trạm sử dụng 802.1X 74

3.3 Triển khai phương thức thực thi DHCP, VPN và TS Gateway 75

Sinh viên thực hiện: Trang 3 Quản lý truy cập mạng dựa trên NAP

3.3.1 Phương thức thực thi DHCP 75

3.3.2 Phương thức thực thi VPN 76

3.3.3 Phương thức thực thi TS Gateway 78

3.4 Phát triển chương trình 79

3.4.1 Môi trường phát triển: 79

3.4.2 Phát triển hệ thống 80

3.4.3 Thử nghiệm cặp SHA-SHV xây dựng 83

3.5 Nhận xét - Đánh giá 85

CHƯƠNG IV KẾT LUẬN 86

4.1 Kết quả đạt được của đồ án 86

4.2 Những mặt hạn chế 86

4.3 Hướng phát triển trong tương lai 86

Trang 4

TÀI LIỆU THAM KHẢO 88

Sinh viên thực hiện: Trang 4 Quản lý truy cập mạng dựa trên NAP

DANH MỤC HÌNH ẢNH Hình 2.1: Chức năng của NAP 1

Hình 2.2:Cấu trúc và nguyên lý hoạt động của NAP 1

Hình 2.3: Mô hình hệ thống mạng triển khai NAP 1

Hình 2.4: Sự liên hệ giữa các thành phần hệ thống NAP 1

Hình 2.5: Cấu trúc NAP-Client 1

Hình 2.6: Cấu trúc NAP-Server 1

Hình 2.7: NAP-Client và NAP-Server trong hệ thống 1

Hình 2.8: Quá trình giao tiếp từ NAP-Client tới NAP-Server 1

Trang 5

Hình 2.9: Quá trình giao tiếp từ NAP-Server tới NAP-Client 1

Hình 2.10: Kiến trúc giao thức IPSec 1

Hình 2.11: Các lớp mạng trong phương thức thực thi IPSec 1

Hình 2.12: Giao tiếp giữa các lớp mạng trong phương thức thực thi IPSec 1

Hình 2.13: Nguyên lý hoạt động của phương thức thực thi IPSec 1

Hình 2.14:Các thành phần hệ thống xác thực 802.1X 1

Hình 2.15: Nguyên lý hoạt động phương thức thực thi 802.1X 1

Hình 2.16: Sử dụng ACL trong phương thức thực thi 802.1X 1

Hình 2.17: Sử dụng VLAN trong phương thức thực thi 802.1X 1

Hình 2.18: Nguyên lý VPN 1

Hình 2.19: Remote Access VPN 1

Hình 2.20: Site-to-site VPN 1

Hình 2.21: Nguyên lý hoạt động phương thức thực thi VPN 1

Hình 2.22: Nguyên lý hoạt động hệ thống DHCP 1

Trang 5 Quản lý truy cập mạng dựa trên NAP

Hình 2.23: Nguyên lý hoạt động hệ thống DHCP Relay 1

Hình 2.24: Nguyên lý hoạt động phương thức thực thi DHCP 1

Hình 2.25: Mô hình triển khai TS Gateway 1

Hình 2.26: Nguyên lý hoạt động phương thức thực thi TS Gateway 1

Hình 3.1: Mô hình triển khai NAP cho hệ thống mạng doanh nghiệp 1

Hình 3.2: Mô hình triển khai phương thức thực thi IPSec 1

Hình 3.3: Cấu hình Root CA trong phương thức IPSec 1

Hình 3.4: Cài đặt NPS và SubOrdinate CA 1

Hình 3.5: Cấu hình Subordinate CA trên máy chủ NPS 1

Hình 3.6: Cấu hình NPS Server trong phương thức IPSec 1

Hình 3.7: Kiểm tra sự hoạt động của NAP IPSec 1

Hình 3.8: Mô hình triển khai phương thức thực thi 802.1X 1

Trang 6

Hình 3.9: Cài đặt NPS Server trong phương thức thực thi 802.1X 1

Hình 3.10: Cấu hình NPS Server trong phương thức thực thi 802.1X 1

Hình 3.11: Thông số cấu hình VLAN trong phương thức 802.1X 1

Hình 3.12: Sử dụng GPO cấu hình các dịch vụ 802.1X 1

Hình 3.13: Cấu hình máy trạm sử dụng 802.1X 1

Hình 3.14: Cấu hình phương thức thực thi DHCP 1

Hình 3.15: Mô hình triển khai phương thức thực thi VPN 1

Hình 3.16: Cấu hình RADIUS Server trong phương thức VPN 1

Hình 3.17: Cấu hình RADIUS Client trong phương thức VPN 1

Hình 3.18:Mô hình triển khai phương thức thực thi TS Gateway 1

Hình 3.19: Cấu hình TS Gateway server 1

Trang 6 Quản lý truy cập mạng dựa trên NAP

DANH MỤC THUẬT NGỮ VÀ CÁC TỪ VIẾT TẮT

ACL Access Control List

ADDS Active Directory Domain Services

AH Authentication Header

CA Certificate Authority

DHCP Dynamic Host Configuration Protocol

EAP Extensible Authentication Protocol

EAPOL Extensible Authentication Protocol over LAN

ESP Encapsulating Security Payload

HRA Health Registration Authority

HTTP Hypertext Transfer Protocol

HTTPS Hypertext Transfer Protocol Secure

IPSEC Internet Protocol Security

L2TP Layer 2 Tunneling Protocol

NAC Network Admission Control

NAP Network Access Protection

NAP EC Network Access Protection Enforcement Client

NAP ES Network Access Protection Enforcement Server

NAQC Network Access Quarantine Control

NPS Network Policy Server

Trang 7

PEAP Protected Extensible Authentication Protocol

PPP Point-to-Point Protocol

PPTP Point-to-Point Tunneling Protocol

RADIUS Remote Authentication Dial In User Service

SHA System Health Agent

SHV System Health Validator

SoH Statement of Health

SoHR Statement of Health Respond

SSL Secure Sockets Layer

SSoH System statement of Health

SSoHR System statement of Health Respond

TLS Transport Layer Security

TS Gateway Terminal Services Gateway

UAC Unified Access Control

VLAN Virtual Local Area Network

VPN Virtual Private Network

Trang 7

LỜI NÓI ĐẦU

Sự phát triển như vũ bão của ngành Công nghệ thông tin và điện tử viễn

thông nói chung, ngành Mạng máy tính nói riêng đã đem lại những thay đổi to lớncho mọi lĩnh vực của đời sống con người Ngày nay, trong nền kinh tế tri thức,

không có bất kỳ một hoạt động nào có thể tách rời khỏi hạ tầng mạng máy tính

Chính vì vậy, việc áp dụng công nghệ đã trở thành một yêu cầu không thể thiếu chotất cả các tổ chức, doanh nghiệp Với tầm quan trọng như thế, việc sở hữu một hệthống mạng doanh nghiệp ổn định, hoạt động liên tục, đảm bảo an toàn … để luônsẵn sàng cho mọi hoạt động trở nên cấp thiết hơn bao giờ hết

Tuy nhiên, chính vì quan trọng như vậy, hệ thống mạng doanh nghiệp cũngphải đối diện với rất nhiều nguy cơ mất an toàn Và mặc dù nhận thức được vấn đềnày, nhưng nhiều doanh nghiệp cũng không đủ khả năng tài chính để có thể triểnkhai các giải pháp đảm bảo an toàn cho hệ thống mạng của họ Xuất phát từ nhu cầuthực tế đó, đồ án ra đời với hy vọng tìm kiếm một giải pháp nào đó cho vấn đề này

Nhiệm vụ của đồ án:

Với mục tiêu xây dựng được một giải pháp thiết thực và khả thi, đồ án tậptrung vào việc nghiên cứu và triển khai một công nghệ mới – công nghệ MicrosoftNAP - giúp các nhà quản trị kiểm soát được sự truy cập trong mạng nội bộ, từ đóđảm bảo cho hệ thống mạng hoạt động liên tục và an toàn

Bố cục của đồ án:

Trang 8

Đồ án chia làm 4 chương như sau:

- Chương I Vai trò của hệ thống mạng doanh nghiệp

- Chương II Công nghệ Microsoft – NAP

- Chương III Triển khai và phát triển NAP

- Chương IV Kết luận

Trang 8

CHƯƠNG I VAI TRÒ CỦA HỆ THỐNG MẠNG DOANH NGHIỆP

1.1 Tình hình phát triển Internet ở Việt Nam.

Ngày 19/11/1997, dịch vụ Internet chính thức có mặt tại Việt Nam Lúc đó,Internet được xem là dịch vụ cao cấp dành cho một nhóm cá nhân, tập thể thật sự cónhu cầu Khi đó, Chính phủ đã ban hành Nghị định 21 CP để quản lý Internet theophương châm: Quản lý đến đâu, phát triển đến đó Đó là một bước thận trọng,

khi việc đánh giá khoảng cách giữa tích cực và tiêu cực của Internet còn chênh lệchnhiều Chúng ta đã chọn phương án an toàn nhất để vào cuộc Bốn năm sau, năm

2001, có thể nói Internet đã bước chân vào cuộc sống của xã hội, nhất là khu vựcdoanh nghiệp, nghiên cứu và đào tạo Tác dụng to lớn của Internet là tải chất xám,trí tuệ của nhân loại về Việt Nam, gắn đất nước với toàn gầu, gắn thị trường củachúng ta với quốc tế Nhận thấy cần phải phát triển mạnh hơn, Chính phủ đã quyếtđịnh cho phép đảo ngược nội dung phương châm quản lý, đó là Phát triển đến

đâu, quản lý tới đó Đó chính là những quyết định hết sức ấn tượng, mạnh mẽ về

tư duy, tầm chiến lược, nhìn xa trông rộng của Đảng và Nhà nước ta

Trang 9

Số liệu thống kế tình hình phát triển Internet Việt Nam (03/2009)

Đến hôm nay, chúng ta đã có trên 24% dân số sử dụng Internet Internet củachúng ta không chỉ dừng ở Viện nghiên cứu, trường ĐH, mà đã vào 100% các

Trang 9

doanh nghiệp lớn, các bệnh viện, 98% các trường THPT, 50% các trường THCS vàđang len lỏi dần xuống vùng nông thôn qua các điểm Bưu điện VH xã… Tốc độ

phát triển công nghệ Internet Việt Nam sau hơn 10 năm là ngoạn mục; song chấtlượng phát triển nội dung, ứng dụng của Internet Việt Nam thì vẫn chưa xứngđáng Vì thế, những thách thức là rất to lớn, các nhà cung cấp dịch vụ cần khôngngừng nâng cao chất lượng dịch vụ cũng như hạ giá thành đối với người sử dụng

Có như vậy mới đảm bảo Internet Việt Nam vững bước phát triển

1.2 Hệ thống mạng doanh nghiệp – Vai trò và tầm quan trọng

Internet phát triển đã làm thay đổi mọi mặt của cuộc sống con người, từ cáchthức làm việc, học tập đến giải trí, tiêu dùng … Điều đó đưa tới yêu cầu cần phải có

sự thay đổi trong phương thức hoạt động của các tổ chức, doanh nghiệp Nếu khôngthay đổi, các doanh nghiệp sẽ không thể giới thiệu được sản phẩm của mình tới

người tiêu dùng trong thời đại Công nghệ thông tin hiện nay, và nếu như vậy, kếtcục là doanh nghiệp đó sẽ không thể phát triển, thậm chí sẽ phá sản Vậy doanh

nghiệp cần thay đổi như thế nào cho phù hợp ? Đó chính là sự thay đổi từ hoạt độngthương mại thông thường, không hoặc ít áp dụng công nghệ thông tin sang thươngmại điện tử để tận dụng những thành tựu mới nhất của Công nghệ thông tin Việcứng dụng công nghệ thông tin, đặc biệt là công nghệ mạng máy tính ở Việt Namkhoảng 3 năm trước đây còn mang tính tự phát, chưa được định hướng bởi chínhphủ và các cơ quan chuyên môn nhà nước Do đó, sự đầu tư cho hệ thống mạng ởmỗi doanh nghiệp phụ thuộc vào tầm nhìn, quan điểm của lãnh đạo doanh nghiệp.Nhưng chỉ trong vòng 2 năm trở lại đây, cùng với sự bùng nổ Internet, đặc biệt là từsau khi Việt Nam gia nhập WTO (07-11-2006), ngành thương mại điện tử nóichung và hệ thống mạng doanh nghiệp nói riêng đã phát triển với tốc độ rất nhanh,rất cao Trước thực trạng toàn cầu hóa, doanh nghiệp Việt Nam phải tích cực tìmcách tồn tại và phát triển, cạnh tranh trong và ngoài nước Trong đó, thương mạiđiện tử giúp nhiều cho doanh nghiệp về marketing, đặc biệt là marketing ra thị

Trang 10

trường quốc tế, giảm chi phí (chi phí marketing, chi phí nhân lực, chi phí bán hàng,chi phí liên lạc, chi phí mặt bằng ), bán hàng qua mạng, hỗ trợ khách hàng từ xa Không chỉ vậy, thế giới ngày càng phát triển, công việc không chỉ gói gọn trongtừng khu vực riêng lẻ, đã và đang có những dây chuyền sản xuất liên hoàn trên

nhiều quốc gia và nhiều khu vực, mỗi doanh nghiệp tham gia và một mắt xích trongdây truyền đó, khi đó hệ thống mạng doanh nghiệp có kết nối Internet là một yêucầu bắt buộc Với những lợi ích to lớn đem lại, khi mà thời gian, tiền bạc cũng nhưhiệu quả kinh doanh là quan trọng, các doanh nghiệp sẵn sàng bỏ tiền để xây dựngcho mình một hệ thống mạng hoàn chỉnh Tuy nhiên, hầu hết các doanh nghiệp lại

bỏ qua hoặc không coi trọng vấn đề an toàn an ninh cho hệ thống mạng của mình

Có rất nhiều doanh nghiệp đầu tư hệ thống mạng rất lớn, với những thiết bị chuyêndụng đắt tiền nhưng các thiết bị đó lại không được sử dụng hết chức năng … Dường

Trang 10

như khi xây dựng hệ thống mạng, các nhà lãnh đạo chỉ chú ý xem hệ thống đó khihoạt động có đáp ứng được yêu cầu kinh doanh hay không mà thôi Họ chưa tính tớiviệc phải đảm bảo cho hệ thống đó hoạt động ổn định, liên tục, không gặp sự cố, vàcàng chưa tính tới việc đảm bảo an toàn cho hệ thống trước các mục đích xấu, cố ýphá hoại Vấn đề nào cũng vậy, luôn luôn có tính hai mặt Lợi ích từ việc xâydựng hệ thống mạng, kết nối với bên ngoài của với doanh nghiệp là điều rõ ràng,nhưng chính điều đó cũng khiến doanh nghiệp hàng ngày, hàng giờ phải đối đầu vớirất nhiều rủi ro tiềm ẩn Các doanh nghiệp cần phải xác định rõ được những mốinguy hại này và đề ra các biện pháp phòng tránh, giảm thiểu những rủi ro cho doanhnghiệp của mình

1.3 Những mối đe dọa đối với hệ thống mạng doanh nghiệp.

Theo tổng kết của Trung tâm An ninh mạng BKIS, trong năm 2008 đã có33.137 dòng virus máy tính mới xuất hiện tại Việt Nam, trong đó 33.101 dòng cóxuất xứ từ nước ngoài và 36 dòng có xuất xứ từ trong nước Các virus này đã lâynhiễm trên 59.450.000 lượt máy tính Đây quả thật là một vấn đề làm đau đầu cácnhà quản trị mạng Làm sao để hệ thống của mình miễn dịch được virus ? làm sao

để hạn chế tối đa thiệt hại nếu hệ thống của mình nhiễm virus ? … Chúng ta có thểđặt câu hỏi: Nếu hệ thống máy tính của các tổ chức, doanh nghiệp … đều được bảo

vệ nghiêm ngặt, thì tại sao virus lại có thể lây nhiễm một cách nhanh chóng và gâytổn thất lớn đến như vậy ? Để giải đáp câu hỏi này, chúng ta hãy cùng phân tích sựhoạt động của một hệ thống mạng doanh nghiệp phổ biến như sau:

Hệ thống mạng này được chia thành 2 khu vực khác nhau: Khu vực Server,

và khu vực Client Tại khu vực Client, có triển khai Wireless LAN dành cho kháchhàng … Để phòng tránh Virus, các nhà quản trị mạng có thể cài đặt phần mềm

Antivirus trên các máy Client Nhưng các nhà quản trị không thể lúc nào cũng kiểmsoát được sự hoạt động của phần mềm đó trên tất cả các máy tính Và đặc biệt, cácnhà quản trị mạng không thể kiểm soát được các máy tính của khách hàng sử dụngWireless Có khả năng, chính các máy này đã nhiễm virus, và khi tham gia vào hệthống của mình, sẽ làm lây lan virus … Nếu như có một số máy, phần mềm

Trang 11

AntiVirus không hoạt động hoặc chưa được cập nhật, thì máy đó sẽ bị nhiễm virus.

Cứ như vậy, sẽ có trường hợp, cả hệ thống bị nhiễm virus Như vậy, các nhà quảntrị mạng phải tìm ra một giải pháp nào đó, để quản lý được quá trình truy cập củacác máy client vào mạng, từ đó loại trừ tình huống này xảy ra ?

Không chỉ có vấn để về virus, tất cả người sử dụng Internet hiện nay, mà đặcbiệt là các doanh nghiệp còn phải đối mặt với các hacker chuyên nghiệp Các hackernày luôn muốn tấn công thu thập thông tin, phá hoại hệ thống mạng doanh nghiệp…

Và cũng không loại trừ trường hợp, là chính các đối thủ cạnh tranh đã tấn công hệthống của mình Điển hình là vụ tấn công hệ thống máy chủ DNS của công ty P.A

Trang 11

Việt Nam gần đây, gây tổn thất lớn về tiền bạc và uy tín công ty Ngoài ra còn rấtnhiều trường hợp khác, thậm chí hệ thống của mình bị tấn công, bị thu thập các

thông tin nhạy cảm nhưng các nhà quản trị mạng vẫn không hề hay biết

Thực tế, rất nhiều cách thức tấn công hệ thống mạng hiện nay đều dựa vàocác lỗ hổng của hệ điều hành và các phần mềm cài đặt Kẻ tấn công theo các lỗ

hổng đó, đi sâu vào hệ thống, rồi bắt đầu phát tán mã độc, thực hiện việc tấn công từngay bên trong hệ thống mạng nội bộ Trong hầu hết các trường hợp, đều có thểngăn chặn được hacker xâm nhập, nếu các máy tính đảm bảo tiêu chuẩn an toànnhư: Hệ thống tường lửa hoạt động hiệu quả, các phần mềm antivirus được cập nhậtliên tục, các bản vá lỗ hổng được cập nhật kịp thời … Và cũng có thể nói, công việccủa các nhà quản trị hệ thống mạng hiện nay mất rất nhiều thời gian trong việc đảmbảo các máy tính truy cập vào mạng phải có được bản cập nhật hệ điều hành mớinhất, hoặc bản cập nhật cho phần mềm chống virus mới nhất, hoặc tường lửa củamáy trạm phải không được disable

Nhận thức được điều đó, các nhà quản trị mạng luôn muốn đảm bảo cho hệthống mạng của tổ chức, doanh nghiệp mình được cập nhật, đảm bảo các tiêu chuẩn

an toàn, hạn chế tối đa việc bị tấn công … Và giải pháp rất quan trọng để thực hiệnđiều đó, chính là việc kiểm soát truy cập mạng của tất cả các máy tính liên quan tới

hệ thống của mình

1.4 Các công nghệ quản lý truy cập mạng hiện nay.

Trong hệ thống mạng doanh nghiệp, các nhà quản trị mạng tùy theo khả năng

và yêu cầu thực tế mà có thể sử dụng một số các phương pháp quản lý truy cập như:NAC (Network Admission Control), NAQC (Network Access Quarantine Control),UAC (Unified Access Control), NAP (Network Access Protection) … Các phươngpháp trên đều có mục đích kiểm soát sự truy cập của các máy trạm vào hệ thốngmạng nội bộ Tuy nhiên, đối với mỗi giải pháp, lại có các ưu điểm và nhược điểmkhác nhau

Công nghệ NAC do Cisco Systems phát triển, bao gồm một loạt các phầnmềm và thiết bị phần cứng đi kèm để giúp hệ thống hoạt động Chính vì thế, tuyhiệu năng hoạt động cao, ổn định nhưng không phải tất cả các doanh nghiệp đều đủ

Trang 12

khả năng tài chính để triển khai hệ thống NAC.

Công nghệ UAC – kiểm soát truy cập hợp nhất – do Juniper Networks pháttriển Công nghệ này giải quyết vấn đề về cân bằng truy nhập và kiểm soát bảo mậtbằng cách liên kết nhận dạng người dùng, toàn bộ điểm cuối và thông tin về vị trívới việc kiểm soát truy nhập, với quản lý chính sách tác động trong thời gian thựcthông qua mạng Tuy nhiên, UAC chủ yếu hỗ trợ đối với việc truy cập mạng thông

Trang 12

qua các thiết bị 802.1X Vì thế, phạm vi áp dụng của UAC bị bó hẹp, không đápứng đủ hết nhu cầu quản lý các loại truy cập mạng khác nhau

NAQC là một phương pháp quản lý truy cập mạng được hỗ trợ trong bảnWindows Server 2003 Phương pháp này hoạt động đối với các truy cập mạng từ

xa, và chỉ có thể hỗ trợ các phiên bản Windows cũ như Windows 98, Windows

2000, Windows ME, Windows XP … Với phạm vi hoạt động hẹp, NAQC khôngthích hợp để triển khai trong một hệ thống mạng doanh nghiệp lớn, với nhiều loạitruy cập khác nhau

Công nghệ NAP ra đời, kế thừa phương pháp tiền thân của nó là NAQC vớinhiều tính năng mới NAP đáp ứng được việc kiểm soát tất cả các loại truy cập

mạng phổ biến, từ truy cập mạng không dây, có dây hay truy cập từ xa NAP đượcphát triển bởi Microsoft, vì thế đối với hệ thống mạng doanh nghiệp, nó có tính ứngdụng lâu dài Các phiên bản Windows mới phát hành đều được tích hợp sẵn cácthành phần NAP, cho nên các nhà quản trị không cần phải lo lắng đến việc nâng cấp

hạ tầng mạng Bên cạnh đó, triển khai công nghệ này, các doanh nghiệp không phảiđắn đo quá nhiều về tài chính như khi triển khai các công nghệ kiểm soát truy cậpmạng khác

Trang 13

CHƯƠNG II CÔNG NGHỆ MICROSOFT – NAP

2.1 Giới thiệu công nghệ NAP

Công nghệ Bảo vệ truy cập mạng – NAP (Network Access Protection) rađời, cung cấp giải pháp hỗ trợ việc kiểm soát tự động các máy tính truy cập vào hệthống mạng nội bộ Việc ứng dụng NAP để triển khai các chính sách truy cập mạng

sẽ giúp giảm thiểu những rủi ro và tăng cường bảo mật hệ thống mạng Công nghệNAP cũng giúp cho các tổ chức, doanh nghiệp giảm chi phí, giảm công sức cho cácnhà quản trị mạng bởi việc quản lý tập trung các chính sách truy cập mạng, tối ưuhóa cách cập nhật phần mềm, hạn chế tối thiểu việc lây nhiễm virus, phần mềm giánđiệp spyware …

S

ử dụ ng NAP, các nhà qu ả n tr ị mạng có thể:

- Cấu hình xác định các chính sách truy cập mạng cho các máy tính muốn kếtnối tới hệ thống của mình Các chính sách này càng chặt chẽ thì càng giảmthiểu khả năng mất an toàn hệ thống

- Kiểm soát chi tiết đến từng người dùng, từng máy tính, kiểm tra được xemmáy tính đó có đảm bảo an toàn hay không Dựa vào đó ra quyết định chophép hay hạn chế sự truy cập của máy tính đó vào hệ thống

- Tự động cập nhật, đảm bảo an toàn cho tất cả các máy tính trong hệ thống,cũng như các máy tính muốn kết nối đến hệ thống của mình

Trang 14

NAP được ứng dụng để bảo vệ truy cập hệ thống mạng theo 5 phương phápkhác nhau Mỗi một cách ứng dụng NAP được gọi là một phương thức thực thi

(Enforcement Method) Công nghệ NAP hỗ trợ 5 phương thức thực thi như sau:

Trang 14

- Phương thức thực thi DHCP: Đây là cách triển khai NAP kết hợp với hệ

thống DHCP để bảo vệ truy cập mạng Chỉ có các máy tính đủ điều kiện, thìmới được DHCP Server cấp các thông số TCP/IP cần thiết để truy cập mạng

- Phương thức thực thi VPN: Đây là cách triển khai NAP để bảo vệ truy cập

mạng thông qua thực hiện kết nối VPN Các máy tính khi kết nối VPN vào

hệ thống, nếu thỏa mãn các chính sách đặt ra, sẽ được phép truy cập mạng

- Phương thức thực thi 802.1X: Đây là cách triển khai NAP kết hợp với các

thiết bị có hỗ trợ xác thực theo chuẩn 802.1X như Switch, Wireless AccessPoint… Những máy tính đủ điều kiện, mới có thể truy cập vào hệ thống

mạng thông qua các thiết bị này

- Phương thức thực thi IPSEC: Đây là cách triển khai NAP kết hợp với các

chính sách IPSEC đã thiết lập trong hệ thống mạng nội bộ Các máy thỏamãn điều kiện, sẽ có thể thực hiện kết nối với các máy tính khác và các kếtnối đó sẽ được mã hóa bảo vệ bởi IPSEC

- Phương thức thực thi TS Gateway: Đây là cách triển khai NAP để bảo vệ

truy cập hệ thống mạng thông qua thực hiện kết nối Terminal ServicesGateway Chỉ có các máy thỏa mãn tiêu chuẩn mới có thể thông qua kết nối

TS Gateway để truy cập vào hệ thống

Nguyên lý hoạ t độ ng c ủ a NAP:

Hình 2.2:Cấu trúc và nguyên lý hoạt động của NAP

Khi một máy client muốn truy cập vào hệ thống mạng, trước tiên các thànhphần NAP trong nó sẽ thu nhận các thông tin về trạng thái sức khỏe hệ thống Cácthông tin này được thu thập bởi các Agent về sức khỏe hệ thống (System HealthAgent – SHA) Thành phần NAP Client sẽ tổng hợp lại thông tin, đưa tới cho Client

Trang 15

thực thi NAP (NAP Enforcement Client) Thành phần này có vai trò nhận diện xem

Trang 15

NAP đang được thực thi bởi phương thức nào (DHCP, VPN, 802.1X….) rồi chuyểnqua đúng thiết bị truy cập mạng, tới server

Thành phần NAP ES (NAP Enforcement Server) nhận được thông tin,chuyển tới cho thành phần Server phân tích, rồi gửi tới cho các trung tâm chứngthực sức khỏe hệ thống (System Health Validator – SHV) Sau khi thông tin sứckhỏe hệ thống được kiểm tra, SHV sẽ gửi lại các bản tin trả lời Các bản tin này sẽđược chuyển tới các thiết bị truy cập mạng và tới Client để cho biết nó có được truycập mạng hay không

NAP thườ ng được ứ ng d ụ ng trong các tình hu ố ng sau:

- Kiểm tra tình trạng sức khỏe hệ thống của các máy desktop trong mạng.

Các máy desktop trong nội bộ hệ thống cũng có thể là một nguy cơ mất antoàn nếu người quản trị không kiểm soát được tình trạng sức khỏe của nó.Các máy desktop này rất dễ nhiễm virus và các phần mềm độc hại khác từwebsite, email, trao đổi dữ liệu qua USB hay thậm chí là việc chia sẻ thưmục giữa các máy tính với nhau … Sử dụng NAP, người quản trị có thểkiểm tra tình trạng sức khỏe của các máy desktop một cách tự động Chỉ khinào tình trạng đó thỏa mãn chính sách đã đặt ra, máy tính đó mới được phéptruy cập vào hệ thống Người quản trị sau đó cũng có thể xem lại báo cáo, từ

đó biết máy tính nào không đủ tiêu chuẩn an toàn, và từ đó có cách xử lýthích hợp

- Kiểm tra tình trạng sức khỏe hệ thống của các máy laptop khách.

Trong nhiều trường hợp, các máy laptop của khách hàng truy cập vào hệthống, máy tính đó không đảm bảo an toàn, thậm chí mang theo virus,spyware Khi đó, nếu người quản trị sử dụng NAP, có thể chỉ cho phép cácmáy khách truy cập Internet hoặc hạn chế họ truy cập vào mạng nội bộ củamình

- Kiểm tra tình trạng sức khỏe hệ thống của các máy ngoài mạng nội bộ Đó

có thể là các máy tính từ hệ thống mạng khác muốn kết nối tới, có thể là máytính tại nhà của một số người trong công ty cần phải kết nối với hệ thống …Các máy đó liên lạc với hệ thống mạng nội bộ thông qua kết nối VPN Vìthế, để đảm bảo an toàn hệ thống, nếu các máy này không đủ tiêu chuẩn truycập mạng, cần phải có giải pháp phù hợp, vừa đảm bảo điều kiện yêu cầulàm việc, vừa đảm bảo an toàn cho hệ thống

Các kịch bản sử dụng NAP như trên đã rất phổ biến trong các tổ chức, doanhnghiệp … ở tất cả mọi nơi trên thế giới, bao gồm cả Việt Nam Vì thế việc đảm bảo

an toàn truy cập mạng được các nhà quản trị rất chú ý, và coi đó là một trong nhữngbiện pháp phòng thủ hữu hiệu trước nhiều cách tấn công mạng khó lường hiện nay

Trang 16

Tuy nhiên NAP không phải là không có những hạn chế NAP không đượcthiết kế để bảo vệ hệ thống mạng khỏi những yếu tố mất an toàn do con người chủ

ý Một máy tính có đầy đủ các phần mềm yêu cầu, được cập nhật các bản vá lỗi …máy tính đó tất nhiên sẽ hoàn toàn có quyền truy cập trong hệ thống mạng nội bộcủa mình Nếu người sử dụng máy tính đó cố tình đưa vào mạng những chương

trình nguy hiểm, trong trường hợp này NAP không thể ngăn chặn được Vì vậy,ngoài việc sử dụng NAP để kiểm tra độ an toàn khi truy cập mạng, người quản trịcần phải kết hợp với nhiều cách thức khác nữa để có thể đảm bảo an toàn cho hệthống mạng của mình

2.2 Hệ thống mạng triển khai NAP

Hình 2.3: Mô hình hệ thống mạng triển khai NAP 2.2.1 Thành ph ần hệ th ố ng m ạ ng tri ể n khai NAP

• NAP clients: Các máy tính kích hoạt NAP và được kiểm tra tình trạng

an toàn Mặc định, các máy tính cài đặt HĐH Windows Server 2008,Windows Vista, Windows XP SP3 sẽ được hỗ trợ NAP

• Điểm thực thi NAP (NAP enforcement points): Các máy tính hoặc

thiết bị truy cập mạng sử dụng NAP để yêu cầu kiểm tra tình trạng an

Trang 17

toàn của NAP Client, từ đó đưa ra quyết đinh cho phép hay hạn chế truycập Một số NAP enforcement points:

o Trung tâm cấp phát chứng chỉ sức khỏe hệ thống (Health Registration Authority - HRA): Đây là một máy tính chạy

dịch vụ IIS (Internet Information Services) trong môi trườngWindows Server 2008 để lấy “health certificates” từ CA chocác máy trạm

o VPN server: Máy tính chạy dịch vụ Routing and RemoteAccess trong môi trường Windows Server 2008 cho phép VPN

từ mạng ngoài vào mạng nội bộ

o DHCP server: Máy tính chạy dịch vụ DHCP trong môitrường Windows Server 2008 cung cấp IPv4 cho các máyclient

o Thiết bị truy cập mạng: Switch, wireless access points có hỗ

trợ xác thực theo chuẩn IEEE 802.1X

• Máy chủ chính sách sức khỏe hệ thống NAP (NAP health policy servers): Máy tính cài đặt HĐH Windows Server 2008 và chạy dịch vụNPS Máy chủ này chính là nơi lưu trữ các chính sách sức khỏe được đặtra

• Máy chủ yêu cầu trình trạng sức khỏe hệ thống (Health requirement servers): Máy tính cung cấp yêu cầu về sức khỏe hệ thống của các máytrạm cho NAP health policy servers

• Máy chủ quản trị miền (Domain Controller): Hệ thống mạng triển

khai NAP phải là một miền, có máy chủ Domain Controller chạy dịch vụADDS (Active Directory Domain Service)

• Vùng mạng hạn chế: Đây là vùng mạng được cấu hình để hạn chế truy

cập, gồm có:

o Máy chủ Remediation: Máy tính chứa các nguồn tài nguyên

cần thiết để NAP clients có thể cập nhật, vá các lỗ hổng về sứckhỏe hệ thống, từ đó chuyển sang trạng thái tương thích vớicác chính sách truy cập mạng

o Các máy tính không thỏa mãn chính sách truy cập mạng: Đây

có thể là các máy không đủ tiêu chuẩn về sức khỏe hệ thống,hoặc các máy không được cài đặt NAP …

Trang 18

2.2.2 S ự ho ạ t độ ng giữa các thành ph ầ n trong h ệ th ố ng NAP

Trang 18

• Sự liên hệ giữa NAP client và HRA.

NAP client sử dụng giao thức HTTP hoặc HTTPS để gửi tình trạng sứckhỏe hệ thống tới HRA và yêu cầu lấy chứng chỉ sức khỏe - healthcertificate HRA cũng sẽ sử dụng giao thức HTTP hoặc HTTPS gửihealth certificate tới NAP client hoặc lệnh remediation đưa NAP Clientvào vùng mạng hạn chế (nếu tình trạng hệ thống của NAP Client khôngthỏa mãn chính sách)

• Sự liên hệ giữa NAP client và thiết bị truy cập mạng 802.1X

Trong mô hình triển khai này, NAP client chính là 802.1X client Nó sửdụng giao thức PEAP (Protected Extensible Authentication Protocol) gửithông điệp xác thực tới thiết bị truy cập mạng 802.1X (Switch, WirelessAccess Point) và tình trạng sức khỏe hệ thống tới máy chủ chính sách sứckhỏe hệ thống NAP - NAP health policy server Máy chủ này sẽ thôngqua thiết bị 802.1X gửi lại lệnh hạn chế hoặc cho phép truy cập mạng

• Sự liên hệ giữa NAP client và VPN server

NAP client với vai trò là VPN client sử dụng giao thức PPP Point Protocol) thiết lập kết nối VPN và gửi thông điệp qua giao thứcPEAP để cung cấp trạng thái sức khỏe hệ thống tới máy chủ chính sáchsức khỏe hệ thống – NAP health policy server Sau đó, máy chủ này cũnggửi lại thông điệp theo giao thức PEAP để quyết định hạn chế hoặc chophép truy cập mạng Các thông điệp này sẽ được định tuyến qua VPNserver

(Point-to-• Sự liên hệ giữa NAP client và DHCP server

NAP client gửi thông điệp DHCP xin cấp địa chỉ IPv4 và thông báo tìnhtrạng sức khỏe hệ thống của mình DHCP server cũng sẽ gửi lại thôngđiệp DHCP cấp Ipv4 cấu hình hạn chế truy cập hoặc IPv4 cấu hình chophép truy cập

• Sự liên hệ giữa NAP client và remediation server

Nếu NAP client bị đưa vào vùng hạn chế truy cập, nó sẽ liên hệ vớiremediation server để cập nhật hoặc vá các lỗ hổng, dựa trên lệnh nhậnđược từ máy chủ chính sách sức khỏe hệ thống

• Sự liên hệ giữa HRA và NAP health policy server

Trang 19

HRA gửi thông điệp theo giao thức RADIUS (Remote AuthenticationDial-In User Service) tới máy chủ chính sách sức khỏe hệ thống Trongbản tin này có chứa thông tin về trạng thái sức khỏe hệ thống của NAPClient

Trang 19

Máy chủ NAP health policy gửi lại bản tin RADIUS xác định:

o Cho NAP client quyền truy cập không hạn chế trong hệ thốngnếu nó thỏa mãn chính sách Dựa vào đó, HRA yêu cầu chứngchỉ sức khỏe hệ thống - health certificate từ CA và gửi tới NAPclient

o Hạn chế sự truy cập của NAP client cho đến khi thỏa mãnchính sách HRA sẽ không lấy health certificate cấp cho NAPclient

HRA trong môi trường Windows Server 2008 không được xây dựng làRADIUS client, cho nên nó sử dụng dịch vụ NPS service làm RADIUSproxy để chuyển thông điệp RADIUS cho NAP health policy server

• Sự liên hệ giữa thiết bị truy cập mạng 802.1X và máy chủ chính sách sứckhỏe hệ thống - NAP health policy server

Thiết bị 802.1X gửi thông điệp RADIUS để chuyển các bản tin PEAPđược gửi bởi NAP Client

NAP health policy server gửi lại bản tin RADIUS messages:

o Cho phép 802.1X client (NAP Client) truy cập không hạn chếnếu thỏa mãn chính sách

o Yêu cầu đưa 802.1X client vào vùng mạng hạn chế truy cậpnếu không thỏa mãn chính sách

• Sự liên hệ giữa VPN server và máy chủ chính sách sức khỏe hệ thống NAP health policy server

-VPN server gửi thông điệp RADIUS mang nội dung của bản tin PEAPđược gửi bởi NAP client

NAP health policy server gửi lại thông điệp RADIUS:

o Nếu thỏa mãn chính sách, cho phép VPN Client truy cậpkhông hạn chế

o Đưa VPN Client vào vùng mạng hạn chế truy cập

Trang 20

Tương tự như HRA, VPN server sử dụng dịch vụ NPS làm RADIUSproxy để chuyển các thông điệp cho NAP health policy server

Trang 20

Hình 2.4: Sự liên hệ giữa các thành phần hệ thống NAP

• Sự liên hệ giữa DHCP server và NAP health policy server

DHCP server gửi thông điệp RADIUS tới NAP health policy server

NAP health policy server sẽ gửi lại thông điệp RADIUS tới DHCP serverquyết định xem DHCP Client có được phép truy cập mạng hay không.DHCP server cũng sử dụng dịch vụ NPS làm RADIUS proxy để chuyểncác thông điệp RADIUS cho NAP health policy server

• Sự liên hệ giữa NAP health policy server và health requirement serverKhi thực hiện việc kiểm tra thông tin sức khỏe hệ thống cho NAP client,NAP health policy server sẽ phải liên hệ với health requirement server đểlấy thông tin, từ đó biết chính xác thế nào là thỏa mãn chính sách truy cậpmạng

Trang 21

2.2.3 Cấ u trúc c ủ a NAP – Client và NAP – Server

a NAP – Client

Cấu trúc của NAP client như sau:

• Thành phần NAP enforcement client (EC)

Thành phần này có nhiệm vụ đưa yêu cầu kiểm tra trạng thái sức khỏe hệthống tới NAP Agent, chuyển thông tin thu nhận được tới NAP Enforcementpoint, và chuyển thông báo cho phép hay hạn chế truy cập tới các thành phần

Trang 21

khác trong NAP Client.

NAP Client có nhiều NAP EC được tạo ra cho các loại truy cập mạng khácnhau, tương ứng với từng loại Enforcement point Trong Windows Server

2008, Windows Vista và Windows XP SP3, có các loại NAP EC như sau:

o IPsec NAP EC dùng trong giao tiếp được mã hóa IPsec

o EAPHost NAP EC dùng trong kết nối xác thực theo chuẩn802.1X

o VPN NAP EC cho kết nối VPN

o DHCP NAP EC cho dịch vụ DHCP - IPv4

o TS Gateway NAP EC dùng với kết nối thông qua TerminalServer Gateway

Hình 2.5: Cấu trúc NAP-Client

Trang 22

• Thành phần system health agent (SHA)

Thành phần này có nhiệm vụ thu thập các thông tin về tình trạng sức khỏe hệthống Ví dụ có SHA thu thập tình trạng cập nhật của chương trình diệt virus,

có SHA thu thập về trạng thái hoạt động của tường lửa

SHA có thể được kết nối với remediation server Ví dụ: SHA thu thập thôngtin cập nhật chương trình diệt Virus kết nối tới server chứa file cập nhật đểkiểm tra thông tin và cập nhật chương trình

Tuy nhiên, không phải tất cả các SHA đều phải kết nối tới remediationserver SHA kiểm tra trạng thái hoạt động của tường lửa chỉ cần hoạt độngtrên chính client đó mà không cần thiết phải lấy thông tin từ nơi khác

Trang 22

Xác định được trạng thái sức khỏe hệ thống, SHA tạo ra bản tin statement ofhealth (SoH) rồi đưa tới NAP Agent SoH có thể chứa một hoặc nhiều thôngtin về sức khỏe hệ thống Ví dụ, SHA kiểm tra chương trình diệt Virus có thểtạo ra SoH gồm có: Trạng thái hiện tại của chương trình, phiên bản đang sửdụng, thời gian và file cập nhật mới nhất Các thông tin trong bản tin SoHgiúp cho NAP health policy server kiểm tra xem NAP Client có thỏa mãnchính sách truy cập mạng hay không Mỗi khi SHA cập nhật tình trạng sứckhỏe hệ thống, nó lại tạo một bản tin SoH mới gửi tới NAP Agent.

Để chỉ rõ toàn bộ tình trạng sức khỏe hệ thống của NAP Client, NAP Agent

sử dụng bản tin SSoH (System Statement of Health) Bản tin này gồm có cácthông tin như phiên bản NAP Client đang sử dụng, tập các thông tin SoH củacác SHA trong hệ thống …

Mỗi một SHA phải tương ứng với 1 System Health Validator - SHV SHV làmột thành phần thuộc cấu trúc của NAP trong phần Server Bản tin SoH màSHA gửi đi, sẽ được SHV xử lý và gửi lại bản tin SoHR (SoH Response).Bản tin SoHR có thể yêu cầu SHA lấy lại chính xác hơn thông tin sức khỏe

hệ thống, hoặc chỉ cho SHA biết kết nối tới Remediation Server cập nhậtthông tin …

• NAP Agent

Thành phần này có nhiệm vụ lưu trữ các thông tin hiện tại về tình trạng sứckhỏe hệ thống của NAP client và giúp cho việc giao tiếp giữa NAP EC vàcác SHA dễ dàng hơn

NAP Agent thực hiện các công việc sau:

Trang 23

o Lắng nghe các bản tin SoH từ SHA và lưu trữ chúng vào bộđệm Các bản tin SoH trong cache được cập nhật khi SHA gửibản tin SoH mới thông báo

o Tạo ra bản tin SSoH, và gửi bản tin SSoH tới NAP EC

o Chuyển các thông báo tới SHA khi có sự thay đổi trạng tháitruy cập mạng

o Nhận bản tin SSoHR, dựa vào đó tạo ra các bản tin SoHRchuyển tới đúng các SHA tương ứng

• SHA application programming interface (API)

Cung cấp các hàm để đăng ký SHA với NAP Agent, các hàm xác định trạngthái sức khỏe hệ thống, các hàm trả lời về các thông tin mà NAP Agent yêu

Trang 24

NAP enforcement point trên nền tảng Windows gồm có các thành phần NAP

ES (Enforcement Server) Mỗi thành phần NAP ES được thiết kế cho từng loại truycập mạng khác nhau, và tương ứng với từng NAP EC trong cấu trúc phía NAP

Client

NAP ES thu nhận các thông tin từ NAP EC và gửi tới NAP health policy

server thông qua thông điệp RADIUS Access-Request

Một số loại NAP ES được Microsoft thiết kế như sau:

o IPsec NAP ES dành cho giao tiếp được mã hóa IPsec

o DHCP NAP ES dành cho dịch vụ DHCP

o TS Gateway NAP ES cho kết nối thông qua Terminal Server GatewayRiêng đối với kết nối VPN và kết nối được xác thực theo chuẩn 802.1X,không có thành phần NAP ES riêng biệt chạy trong VPN Server, 802.1XSwitch hoặc Wireless AP

NAP health policy server bao gồm các thành phần sau:

• NPS service

NPS service là dịch vụ được cung cấp sẵn trong Windows Server 2008

Trang 25

Nhận được thông điệp RADIUS Access-Request từ NAP ES, dịch vụ nàyxuất các thông tin theo form bản tin SoH, đưa nó tới NAP AdministrationServer

Dựa vào các bản tin SoHR nhận được từ SHV và các chính sách truy cậpmạng đã được cấu hình, NPS service tạo ra bản tin System Statement ofHealth Response (SSoHR), chỉ ra cho NAP client biết mình thỏa mãn haykhông thỏa mãn chính sách Bản tin SSoHR này bao gồm tập các bản tinSoHR mà SHV đã gửi tới

• NAP Administration Server

Thành phần này có nhiệm vụ trung gian chuyển tiếp thông tin, giúp giaotiếp giữa NPS service và các SHV dễ dàng hơn NAP AdministrationServer là thành phần mặc định trong nền tảng NAP được Microsoft cungcấp

NAP Administration Server component thực hiện các công việc sau:

o Nhận bản tin SSoH từ NAP ES và gửi tới NPS service

Trang 25

o Phân phối các bản tin SoH chứa trong SSoH tới đúng SHV tương ứng.

o Thu nhận các bản tin SoHR từ SHV và chuyển tới NPS service

• System Health Validator (SHV)

Mỗi SHV được thiết kế cho một hoặc một vài loại sức khỏe hệ thống Ví

dụ như SHV thiết kế cho tình trạng cập nhật chương trình Antivirus Vàmỗi SHV phải tương ứng với một SHA trong cấu trúc NAP Client

Một SHV có thể phải liên hệ với một hoặc nhiều health requirementserver Ví dụ, SHV cho chương trình Antivirus ở trên, cần phải liên hệvới server chứa file cập nhật virus mới nhất

Tuy nhiên, có những SHV không cần thiết phải kết nối tới healthrequirement server Ví dụ một SHV điều khiển việc kiểm tra tình trạnghoạt động của tường lửa trên NAP Client Mặc định, trong bản WindowsServer 2008, Micosoft cung cấp sẵn một SHV Đó là Windows SecurityHealth Validator

SHV nhận bản tin SoH do NAP Administration Server chuyển tới, sosánh với yêu cầu của chính sách đã đặt ra Sau đó gửi lại cho NAPAdministration Server bản tin SoHR Bản tin SoHR này có thể chứathông tin hướng dẫn cho SHA tương ứng ở NAP client cập nhật sức khỏe

Trang 26

hệ thống, đưa NAP Client thành phù hợp với chính sách truy cập mạng

Ví dụ, nếu bản tin SoH gửi từ một Antivirus SHA miêu tả phiên bản cậpnhật hiện tại của NAP Client, thì SHV tương ứng phải kiểm tra phiên bản

đó có phải là mới nhất hay không bằng cách kết nối tới healthrequirement server Sau đó Antivirus SHV tạo bản tin SoHR yêu cầuantivirus SHA cập nhật phiên bản mới nhất từ địa chỉ Server được chỉ ratrong bản tin

• SHV API

Thành phần này cung cấp các hàm cho phép các SHV có thể đăng ký hoạtđộng với NAP Administration Server, cho phép SHV nhận các bản tinSoH chuyển tới và gửi bản tin SoHR đến NAP Administration Server

Sự liên hệ giữa các thành phần giữa NAP – Client và NAP – Server đượcmiêu tả qua hình sau:

Trang 26

Hình 2.7: NAP-Client và NAP-Server trong hệ thống

Giữa các thành phần ở 2 phía (client và Server), phải có sự tương ứng phùhợp nhau như sau:

Ví dụ, antivirus SHA ở NAP client phải liên hệ đúng với remediation serverchứa các file và thông tin cập nhật mới nhất về chương trình Antivirus

• SHV và health requirement servers

Ví dụ, antivirus SHV tại NAP health policy server phải liên hệ đúng với

health requirement server về chương trình antivirus

c S ự liên h ệ giữa NAP – Client và NAP – Server

Trang 27

Hình 2.8: Quá trình giao tiếp từ NAP-Client tới NAP-Server NAP Agent liên lạc với NAP Administration Server như sau:

- NAP Agent chuyển bản tin SSoH tới NAP EC

- NAP EC chuyển bản tin SSoH tới NAP ES

- NAP ES chuyển bản tin SSoH tới NPS service

- NPS service chuyển bản tin SSoH tới NAP Administration Server

SHA giao tiếp với SHV thông qua việc thực hiện các tiến trình sau:

- SHA chuyển bản tin SoH tới NAP Agent

- NAP Agent thực hiện việc chuyển các bản tin SoH được chứa trong bản tinSSoH tới NAP Administration Server theo cách như đã phân tích ở trên

- NAP Administration Server chuyển các bản tin SoH tới SHV tương ứng

Trang 28

NAP Administration Server sẽ gửi thông tin tới NAP Agent như sau:

- NAP Administration Server chuyển các bản tin SoHR tới NPS service

- NPS service chuyển bản tin SSoHR tới NAP ES

- NAP ES chuyển bản tin SSoHR tới NAP EC

- NAP EC chuyển bản tin SSoHR tới NAP Agent

SHV gửi các bản tin đáp trả SHA như sau:

- SHV chuyển các bản tin SoHR tới NAP Administration Server

- NAP Administration Server chuyển các bản tin SoHR được chứa trong bảntin SSoHR tới NAP Agent theo cách đã nói ở trên

- NAP Agent đọc bản tin SSoHR, rồi chuyển các bản tin SoHR tới SHA tươngứng

Trang 28

Hình 2.9: Quá trình giao tiếp từ NAP-Server tới NAP-Client

2.3 Các phương thức thực thi NAP.

Windows XP SP3, Windows Vista và Windows Server 2008 hỗ trợ cácphương thức thực thi NAP (NAP Enforcement) như sau:

- Giao tiếp mã hóa IPSec

Trang 29

- Kết nối được xác thực theo chuẩn IEEE 802.1X

Phươ ng th ứ c th ực thi IPSec

Để thực hiện phương thức này, chúng ta cần phải có các thành phần sau

trong hệ thống: IPSec ES chạy trên máy HRA trong môi trường Windows Server

2008, IPSec EC chạy trên máy Vista, XP SP3 hoặc Server 2008 Máy chủ HRA sẽlấy health certificate được mã hóa theo chuẩn X.509 cho các máy NAP Client từmáy chủ CA trong hệ thống

Một máy thỏa mãn chính sách truy cập mạng đặt ra, mới có thể nhận chứngchỉ và giao tiếp mã hóa IPSec với các máy khác trong mạng Nếu nó không thỏamãn chính sách, máy đó sẽ bị đưa vào vùng mạng hạn chế, không thể giao tiếp

thông qua mã hóa IPSec với các máy khác

Trang 29

có hỗ trợ xác thực theo chuẩn IEEE 802.1X như Switch, hoặc 802.11 wireless AP

Nếu máy tính không đủ điều kiện truy cập mạng, nó sẽ bị giới hạn bởi cácprofile hạn chế truy cập đặt sẵn trên các thiết bị 802.1X Profile này có thể chỉ ramột Access Control List (ACL) – danh sách điều khiển truy cập - đã được cấu hìnhtrước trên Switch hoặc Wireless AP, từ đó hạn chế việc trao đổi thông tin giữa máykhông đủ tiêu chuẩn an toàn với hệ thống mạng

Phươ ng th ứ c th ự c thi VPN

Hệ thống triển khai phương pháp thực thi VPN gồm có: Máy chủ NPS, VPN

EC trên máy Windows XP SP3, Vista hoặc Server 2008

Khi xác định được máy tính không đủ điều kiện truy cập, hệ thống sẽ tiếnhành chế độ lọc gói tin IP đã được cấu hình trên VPN Server Hệ thống cũng liên

Trang 30

tục kiểm tra tình trạng sức khỏe của các máy đã đủ điều kiện Nếu các máy này có

sự cố, chuyển thành không đủ tiêu chuẩn, nó cũng sẽ bị chuyển sang trạng thái hạnchế truy cập

Phươ ng th ứ c th ự c thi DHCP

Để thực hiện phương thức này, hệ thống cần có: DHCP ES nằm trên máyDHCP Server chạy Windows Server 2008, DHCP EC trên máy XP SP3, Vista hoặcServer 2008

Máy tính đủ tiêu chuẩn an toàn sẽ được DHCP cấp đầy đủ thông tin về IPAddress, Gateway, DNS Server … để có thể truy cập mạng không hạn chế Ngượclại, máy tính sẽ được cấp IP cho vùng hạn chế truy cập Hệ thống cũng thực hiệnviệc giám sát sự thay đổi trạng thái an toàn của các máy Client để áp dụng các chínhsách phù hợp (đưa máy vào hoặc ra khỏi vùng hạn chế truy cập)

2.3.1 Ph ươ ng th ứ c th ực thi IPSec

Vượt trên tất cả các giao thức được sử dụng trong các kiến trúc mạng hiệnnay, IP đã chứng tỏ đã, đang và sẽ là giao thức truyền thông toàn cầu cho các máytính trên toàn thế giới Giao thức này đã hỗ trợ cho các mạng LAN từ cỡ trung bìnhcho đến các mạng cỡ lớn như Internet Đây là một giao thức mềm dẻo, mạnh mẽ và

đã đáp ứng được những yêu cầu kết nối mạng trong nhiều thập kỷ qua Sức mạnhcủa IP thể hiện bởi khả nǎng định tuyến gói dễ dàng, linh hoạt Cũng như những cơthể sống, các mạng IP này ngày càng phát triển tới mức không ai có thể biết đâu làgiới hạn Tuy nhiên, các mạng dựa trên nền IP có những nhược điểm liên quan đếnchính cấu trúc của giao thức này Những kiến trúc ban đầu của IP không nhằm mụcđích cung cấp các tính nǎng bảo mật ở mức giao thức Chính tính mềm dẻo của IP

Trang 30

cho phép tạo ra một số cách sử dụng giao thức này để kiểm tra lưu lượng, điều

khiển truy nhập và tiến hành các biện pháp an ninh khác Dữ liệu trên các mạng IPtheo đó có thể nói là "mở" ngay cả với các hoạt động gây mất an ninh mạng Nhữngtác vụ truyền thông "nhạy cảm" trong các lĩnh vực an ninh, quốc phòng và cả kinhdoanh đều không an toàn khi thực hiện trên các mạng IP

Khi sử dụng mạng IP, bất cứ quá trình truyền thông tin nào đều phải thôngqua lớp IP Như vậy, nếu bảo vệ được lớp mạng này nghĩa là chúng ta sẽ bảo vệđược toàn bộ mạng của mình Ở các lớp mạng khác, các thủ tục khác nhau có thểđược sử dụng cho những mục đích khác nhau, tuỳ thuộc vào cấu trúc mạng và kiểutruyền tin IETF (Internet Engineering Task Force) đã chỉ định một nhóm thực hiện

Trang 31

việc phát triển 1 phương thức để làm công việc này Họ gọi phương thức này là bộgiao thức IPSEC Khi sử dụng IPSec chúng ta sẽ đảm bảo an toàn cho các tác vụtruyền thông trong mạng của tất cả các ứng dụng và tất cả người dùng một cách

"trong suốt" hơn nhiều so với các phương pháp đảm bảo an ninh khác

Kiến trúc giao thức IPSec:

Hình 2.10: Kiến trúc giao thức IPSec

Giao thức IPSec cung cấp 3 công nghệ khoá Những công nghệ này có thểloại bỏ các mối đe doạ đối với mạng IP

- Công nghệ đảm bảo tính xác thực và toàn vẹn dữ liệu cho IP Packet:

Công nghệ này giúp các bên tham gia trao đổi thông tin có thể kiểm traxem dữ liệu có bị sửa đổi trong quá trình chuyển tiếp hay không và dữliệu có thực sự đến từ đúng nguồn hay không bằng việc gắn vào trongmỗi gói IP một dấu hiệu có thể kiểm tra được.Dấu hiệu đó được gọi là

AH (Authentication Header) AH được gắn vào giữa IP Header và IPPayload như sau:

Trang 31

AH sử dụng một checksum dạng mật mã là HMAC (Hashed MessageAuthentication Code) để đảm bảo tính toàn vẹn của dữ liệu trong gói tin

IP Trong môi trường Windows Server, hệ điều hành sử dụng thuật toánSHA1 (Secure Hash Algorithm 1) hoặc MD5 (Message-Digest algorithm5) để tính toán HMAC cho giao tiếp IPSec

Trang 32

- Công nghệ đảm bảo tính bí mật dữ liệu cho IP Packet: Với công nghệESP (Encapsulating Security Payload) dữ liệu được mã hoá để đảm bảokhông bị "nghe trộm" trong suốt quá trình truyền tin

Mỗi gói tin IP được thêm vào ESP Header và ESP Trailer ESP Trailer cótrường Auth Data được tính theo thuật toán SHA1 hoặc MD5 Thànhphần trong gói tin IP được mã hóa gồm có IP Payload và một phần củaESP Trailer Trong môi trường Windows, thuật toán mã hóa được sửdụng là DES (Data Encryption Standard), Triple-DES (3DES), và AES(Advanced Encryption Standard)

- Công nghệ thoả thuận giao thức (Protocol Negotiation) và trao đổi khoáInternet (IKE - Internet Key Exchange) cho phép các bên tham gia thoảthuận các phương pháp truyền thông an toàn Đây là một thủ tục đàmphán linh hoạt cho phép người sử dụng đồng ý phương pháp nhận thực,phương pháp mã hoá, các khoá sẽ dùng và thời gian sử dụng các khoátrước khi thay đổi khoá cũng như cho phép việc trao đổi khoá một cách

an toàn và thông minh

Thực thi IPSec trong NAP:

Ưu điểm khi chúng ta triển khai phương thức thực thi IPSec trong NAP:

- Luôn bắt buộc Client phải thi hành

Phương thức thực thi IPSec không cho phép Client chuyển sang trạngthái thỏa mãn CSTCM bằng việc cấu hình lại NAP client NAP client sẽkhông nhận được “health certificate” hoặc thiết lập giao tiếp với các máytính khác bằng cách thực hiện một số xảo thuật trên nó Điều này là rấtquan trọng trong trường hợp người sử dụng có quyền Administrator

Trang 32

- Không cần phải nâng cấp hạ tầng hệ thống.

Phương thức thực thi IPSec hoạt động tại tầng Internet trong mô hìnhTCP/IP, nó không phụ thuộc vào các thiết bị vật lý trong mạng như hub,switch, hay router

- Hạn chế truy cập mạng một cách linh hoạt

Trang 33

Với phương thức thực thi IPSec, những máy tính thỏa mãn chính sách cóthể thiết lập giao tiếp với các máy không thỏa mãn chính sách nhưngkhông có chiều ngược lại Quản trị mạng có thể chỉ ra một số loại liên lạccần phải xác thực thông qua “health certificate” và được bảo vệ bằngIpsec; có thể tạo ra IP filter… Từ đó có thể kiểm soát quá trình truy cậpmạng theo từng máy tính hay theo từng ứng dụng cụ thể

Phương thức thực thi IPSec chia hệ thống mạng thành 3 phần logic như sau:

Hình 2.11: Các lớp mạng trong phương thức thực thi IPSec

- Secure Network: Đây là lớp mạng dành cho các máy tính có “health

certificates” và các máy này luôn yêu cầu xác thực khi khởi tạo kết nốivới nó Trong môi trường Active Directory, chúng ta nên đặt các máy chủ

và máy trạm trong lớp secure network Khi thực thi NAP sử dụng IPSec,thì NAP health policy server và health requirement server được đặt tại lớpsecure network

- Boundary network: Đây là lớp mạng dành cho các máy tính có “health

certificates” nhưng không yêu cầu kết nối tới nó phải xác thực Các máytính đặt tại boundary network có thể được truy cập từ tất cả các máy

Trang 33

trong toàn hệ thống mạng Nó có thể là máy chủ HRA và remediation

server trong mô hình triển khai NAP IPSec

Trang 34

- Restricted network: Đây là lớp mạng dành cho những máy tính không

có “health certificates” Các máy tính được đưa vào lớp này do không

hoàn thành việc kiểm tra tình trạng sức khỏe hệ thống, không thỏa mãn

CSTCM, hoặc các máy không được support bởi NAP…

Trên cơ sở phân chia hệ thống thành 3 lớp mạng logic như trên, khi thiết lậpkết nối giao tiếp giữa các máy tính, sẽ xảy ra một số trường hợp như sau:

Hình 2.12: Giao tiếp giữa các lớp mạng trong phương thức thực thi IPSec

- Kết nối giữa các máy trong lớp Secure Network và Boundary Netwwork:Các máy tính thỏa mãn CSTCM trong lớp Secure Network hoặc lớpBoundary Network đều được cấp “health certificate” Khi các máy trongcùng một lớp thiết lập kết nối với nhau, chúng sẽ sử dụng các “healthcertificate” của mình để xác thực Quá trình xác thực ngang hàng thành công,giao tiếp giữa chúng sẽ được bảo vệ bởi IPSec

- Kết nối giữa các máy trong Restricted Network

Trang 34

-Trang 35

Các máy tính trong Restricted Network là các máy không được hỗ trợ bởiNAP hoặc các máy không thỏa mãn CSTCM và không có “healthcertificate” Vì thế các máy này giao tiếp với nhau không được bảo vệ bởiIPSec

- Kết nối giữa Secure network và Boundary network

Khi các máy giữa 2 lớp tiến hành thiết lập kết nối, chúng sẽ cố gắng thửxác thực với “health certificate” Do các máy ở lớp Boundary Networkcũng có “health certificate”, nên sự xác thực ngang hàng thành công vàgiao tiếp sẽ được bảo vệ bằng IPSec

- Kết nối từ Secure network tới restricted network

Khi một máy thỏa mãn CSTCM trong lớp Secure Network tiến hành thiếtlập giao tiếp với một máy thuộc lớp Restricted Network, nó cũng sẽ thửquá trình xác thực ngang hàng sử dụng “health certificate” Do các máytại Restricted Network không có “health certificate”, cho nên quá trìnhxác thực không thành công Tuy nhiên giao tiếp từ Secure Network tới nóvẫn được thiết lập, nhưng không được bảo vệ bởi IPSec

- Kết nối từ Restricted Network tới Secure Network

Khi một máy tính từ lớp Restricted Network cố gắng thiết lập kết nối tớilớp Secure Network, máy tính ở lớp Secure Network sẽ tự động hủy yêucầu do yêu cầu chuyển tới nó không được mã hóa

- Kết nối từ Boundary Network tới Restricted Network

Khi máy tính tại Boundary Network thiết lập kết nối tới các máy thuộcRestricted Network, nó sẽ cố gắng thử xác thực bằng cách dung “HealthCertificate” Tất nhiên do các máy ở lớp Restricted không có chứng chỉ,nên sự xác thực sẽ không thành công Khi đó, các máy tại lớp Boundry sẽthiết lập kết nối mà không được bảo vệ bởi IPSec

- Kết nối từ Restricted Network tới Boundary Network

Máy tính thuộc lớp Restricted sẽ thiết lập kết nối không được bảo vệ bởiIPSec tới các máy thuộc Boundry Network Các máy tính thuộc lớp nàycho phép kết nối tới nó không cần phải được bảo vệ, nó sẽ đáp trả lại yêucầu kết nối của máy ở lớp Restricted Và kênh giao tiếp sẽ được thiết lập,kênh này không được bảo vệ bởi IPSec

Nguyên lý hoạt động:

Trang 36

Trang 35

Máy chủ HRA chuyển tiếp bản tin SSoH tới máy chủ NAP health policyserver thông qua thông điệp RADIUS Access-Request

NPS service ở trong máy chủ NAP health policy nhận được thông điệp

RADIUS Access-Request, đọc bản tin SSoH trong đó, và chuyển SSoHtới NAP Administration Server

NAP Administration Server nhận bản tin SSoH, phân tích và gửi từng

bản tin SoH tới đúng SHV tương ứng

Hình 2.13: Nguyên lý hoạt động của phương thức thực thi IPSec

SHV phân tích nội dung của bản tin SoH nhận được, và gửi trả lại NAP

Administration Server bản tin SoHR

NAP Administration Server chuyển tiếp các bản tin SoHR tới NPSservice

NPS service dựa vào các bản tin SoHR nhận được, đóng gói thông tin

Trang 37

Trang 36

NPS service tạo ra bản tin RADIUS Access-Accept có chứa thông điệp

SSoHR, và gửi bản tin này tới máy chủ HRA

Máy chủ HRA lấy ra bản tin SsoHR, đưa trả tới IPsec NAP EC trong

NAP client

IPsec NAP EC chuyển bản tin SSoHR tới NAP Agent

NAP Agent tách thành các bản tin SoHR đưa tới đúng SHA tương ứng

Nếu NAP client thỏa mãn CSTCM, máy chủ HRA sẽ lấy “health

certificate” từ máy chủ CA và gửi nó tới NAP Client

Trong trường hợp NAP Client hiện thời chưa thỏa mãn CSTCM, nó sẽ thựchiện quá trình remediation như sau:

1.

2.

3.

4.

SHA dựa vào bản tin SoHR nhận được sẽ thực hiện việc cập nhật cần

thiết để đưa NAP Client thỏa mãn CSTCM

SHA sẽ chuyển bản tin trạng thái sức khỏe hệ thống đã được cập nhật tớiNAP Agent

NAP Agent tập hợp các bản tin SoH nhận được, tạo ra bản tin SSoH vàgửi nó tới IPsec NAP EC

Quá trình gửi và nhận thực hiện như trên, tới khi NAP Client thỏa mãn

CSTCM

2.3.2 Ph ươ ng th ứ c th ực thi 802.1X

IEEE 802.1x là một chuẩn do tổ chức IEEE đặt ra, với mục đích cung cấpmột cách thức xác thực an toàn mang tính tiêu chuẩn cho hệ thống mạng, bao gồm

cả LAN và Wireless LAN Nội dung của chuẩn IEEE 802.1X có thể hiểu đơn giản

là “điều khiển truy cập mạng dựa trên port” Nó cho phép quyết định cho hay khôngtruy cập mạng được thực hiện tại port Trừ khi port đã được xác thực, nếu không nóchỉ có thể được sử dụng để chuyển lưu lượng được kết hợp với quá trình xác thực.Xác thực có thể dựa trên người dùng và được quản lý tại máy chủ xác thực tập

trung Ngoài ra, 802.1x cung cấp các tuỳ chọn để phân phối khoá Với khả năng

quản lý tập trung, quản lý người dùng thay vì thiết bị, bảo vệ mạng và phân phối

khóa, các thiết bị truy cập mạng hỗ trợ 802.1X là một sự lựa chọn hợp lý đối với

các nhà quản trị mạng hiện nay

Trang 38

Trang 37

Những thành phần trong mô hình xác thực theo chuẩn 802.1X:

- Thiết bị yêu cầu (Supplicant): Đây là một thiết bị đầu cuối yêu cầu truycập đến mạng được bảo vệ bằng 802.1X Laptop, PDA,… là một số cácthiết bị yêu cầu thông dụng

- Thiết bị xác thực (Authenticator): Đây là những điểm truy cập mạng có

hỗ trợ 802.1X Các thiết bị này có thể là LAN Switch hay WirelessAccess Point

- Máy chủ xác thực (Authentication Server): Đây là một server thực hiệnchức năng xác thực người dùng, cho phép hay ngăn chặn việc truy cậpmạng dựa trên Username/Password hoặc Certificate … Thông thườngđây là máy chủ RADIUS

Chuẩn 802.1X sử dụng EAP (Extensible Authentication Protocol) hay chínhxác hơn là EAP Encapsulation Over a wire or wireless LAN (EAPOL) để mang cácthông tin xác thực giữa Supplicant và Authenticator Như tên đã ngụ ý “khả năng

mở rộng”, EAP có thể mang nhiều giao thức xác thực khác như MD5, TLS, PEAP, LEAP … Bất kể phương pháp EAP nào, tất cả các phiên xác thực

EAP-802.1X đều theo cùng cấu trúc chung

Hình 2.14:Các thành phần hệ thống xác thực 802.1X

Trang 39

Supplicant gửi một gói EAPOL-Start để chỉ rằng nó mong muốn được xácthực Authenticator sau đó gởi một EAP-Request/Identity để xác định người dùngnào muốn truy cập Authenticator có thể gởi thông điệp này ngay khi phát hiện

Supplicant mà không cần nhận EAPOL-Start Supplicant tự giới thiệu nó bằng mộttrả lời EAP-Response/Identity Authenticator đặt trả lời vào RADIUS Access-

Trang 38

Request gửi đến máy chủ xác thực Nếu xác thực thành công, máy chủ xác thựcphát thông điệp RADIUS Access-Accept đến Authenticator, và Authenticator gửiEAP-Success đến Supplicant Nếu xác thực hỏng, máy chủ xác thực phát thông điệpRADIUS Acees-Reject đến Authenticator, sau đó thành phần này sẽ gửi một EAP-Failure đến Supplicant.

Authenticator chia port thành 2 loại là controlled và uncontrolled port Cả 2loại controlled và uncontrolled port là cổng logic (virtual ports), chúng sử dụngchung kết nối vật lý vào mạng LAN Mỗi cổng vật lý có 2 cổng logic là controlled

và uncontrolled port Trước khi chứng thực, chỉ có uncontrolled port là "mở" và chỉ

có traffic được phép đi qua là EAPOL Sau khi Supplicant đã được chứng thực

thành công, controlled port được “mở”, và được cho phép truy cập vào tài nguyênmạng nội bộ

Trong phương thức thực thi NAP 802.1X, ngoài các thành phần cơ bản nhưtrên, còn có NAP health policy server, 802.1X EC trên NAP client Máy chủ NAPhealth policy sẽ quyết định xem tình trạng sức khỏe hệ thống của NAP client ra sao

và yêu cầu 802.1X access point cho phép hay hạn chết truy cập Trong môi trườngWindows Vista và Windows Server 2008, 802.1X EC là EAP Quarantineenforcement client Còn trong môi trường Windows XP SP 3, có 2 loại EAPenforcement client Đó là EAP Quarantine enforcement client cho kết nối cómạng dây thông thường và Wireless EAPOL Quarantine enforcement client chokết nối không dây Sau qua trình xác thực 802.1X và phân tích tình tráng sức khỏe

hệ thống, NAP client sẽ rơi vào 1 trong 3 trường hợp như sau:

2 802.1X access point gửi bản tin EAP-Request/Identity tới thành phầnEAP client của đối tượng yêu cầu xác thực

3 EAP client đáp trả với bản tin EAP-Response/Identity chứa thông tin vềuser/computer name

4 802.1X access point gửi bản tin EAP-Response/Identity nhận được tớimáy chủ NAP health policy thông qua thông điệp RADIUS Access-

Trang 39

Request Chúng ta có thể hiểu sẽ có một kênh liên lạc được thiết lập giữaNAP health policy server và 802.1X client với thiết bị trung gian ở giữa

7 NAP health policy server yêu cầu 802.1X client xác thực bằng cách sửdụng phương pháp PEAP như PEAP-Microsoft Challenge HandshakeAuthentication Protocol version 2 (MS-CHAP v2)

8 Sau quá trình xác thực, NAP health policy server gửi yêu cầu lấy SSoHtới EAP client qua bản tin PEAP-Type-Length-Value (TLV)

9 EAP client chuyển yêu cầu lấy SSoH tới EAP Quarantine EC, để thu thậptình trạng sức khỏe hệ thống

10 EAP Quarantine EC chuyển bản tin SSoH thu được tới EAP client, rồiEAP Client chuyển tới NAP health policy server thông qua bản tinPEAP-TLV

11 Thành phần NPS service ở NAP health policy server chuyển bản tinSSoH nhận được tới thành phần NAP Administration Server

12 NAP Administration Server chuyển từng bản tin SoH tới đúng các SHVtương ứng

13 SHV phân tích nội dung và đưa lại bản tin SoHR tới NAP AdministrationServer

14 NAP Administration Server chuyển các bản tin SoHR nhận được tới NPSservice

Trang 41

15 NPS service tạo ra bản tin SSoHR và gửi tới EAP client thông qua thôngđiệp PEAP-TLV

16 EAP client chuyển bản tin SSoHR nhận được tới EAP Quarantine EC, rồichuyển nó tới NAP Agent

17 NAP Agent tách ra các bản tin SoHR rồi đưa tới đúng các SHA tươngứng

18 Sau quá trình xác thực thành công và có thông tin về tình trạng sức khỏe

hệ thống, NPS service sẽ gửi bản tin RADIUS Access-Accept tới 802.1Xaccess point Và trong bản tin RADIUS có chứa thông số cho phép hay

Trang 40

giới hạn 802.1X client truy cập mạng.

19 Nếu 802.1X client không thỏa mãn CSTCM, nó sẽ bị hạn chế truy cập vàđược yêu cầu cập nhật sức khỏe hệ thống Sau khi cập nhật, nó sẽ thựchiện lại quá trình như trên để được chuyển sang trạng thái không hạn chếtruy cập

Trang 42

Hình 2.15: Nguyên lý hoạt động phương thức thực thi 802.1X

Để thực hiện việc hạn chế hay cho phép truy cập mạng, phương thức thực thi802.1X sử dụng 2 phương pháp là ACL (Access Control List) và VLAN (virtuallocal area network)

- Sử dụng ACL

Định dạng
Số trang	85
Dung lượng	4,99 MB