DirectAccess vượt qua VPNs bằng cách thiết lập hai đường kết nối trực tiếp từ client computer đến mạng công ty. DirectAccess được xây dựng dựa trên nền tảng của công nghệ : Internet Protocol Security ( IPsec ) và Internet Protocol version 6 ( IPv6 ). Client thiết lập một kênh IPsec cho lưu lượng IPv6 đến DirectAccess server hoạt động như một gateway đến mạng nội bộ. Hình dưới đây cho thấy DirectAccess client kết nói đến DirectAccess server thông qua địa chỉ public IPv4 internet. Client có thể kết nối ngay cả khi họ ở đằng sau firewall.
Trang 1Bài 1 : DIRECT ACCESS
DirectAccess vượt qua VPNs bằng cách thiết lập hai đường kết nối trực tiếp từ clientcomputer đến mạng công ty DirectAccess được xây dựng dựa trên nền tảng của côngnghệ : Internet Protocol Security ( IPsec ) và Internet Protocol version 6 ( IPv6 )
Client thiết lập một kênh IPsec cho lưu lượng IPv6 đến DirectAccess server- hoạt độngnhư một gateway đến mạng nội bộ Hình dưới đây cho thấy DirectAccess client kết nóiđến DirectAccess server thông qua địa chỉ public IPv4 internet Client có thể kết nối ngay
cả khi họ ở đằng sau firewall
I.1
DirectAccess client truy cập đến mạng nội bộ bằng cách tự thiết lập hai đường
hầm sử dụng IPv6 và IPsec:
• Infrastructure tunnel (đường hầm cơ sở hạ tầng): sử dụng cả xác thực máy
tính và thông tin tài khoản máy tính
Đường hầm này cung cấp truy cập đến DNS và domain controller, cho phép cácclient computer download các GPO và yêu cầu chứng thực trên danh nghĩa ngươidung
• Intranet tunnel (đường hầm mạng nội bộ):sử dụng cả xác thực máy tính và
thông tin tài khoản người dùng
Đường hầm này sẽ chứng thực users và cung cấp kết nối đến các tài nguyêncủa mạng nội bộ
Sau khi các đường hầm đến DirectAccess server được thiết lập, các clients có thểgửi lưu lượng đến mạng nội bộ thông qua các đường hầm này Admin có thể cấuhình DirectAccess server cho phép các users từ xa sử dụng những chương trìnhnào khi họ truy cập vào mạng nội bộ
Trang 2DirectAccess clients có thể kết nối đến mạng nội bộ bằng cách sử dụng hai loại
bảo vệ IPsec là : end-to-end và end-to-edge
• End-to-end:
Với End-to-end, DirectAccess client thiết lập một IPsec session thông quaDirectAccess server đến các server khác trong mạng nội bộ, nơi mà họ được phéptruy cập phương pháp này cung cấp khả năng bảo mật cao nhất bởi vì bạn có thểcấu hình điều khiển truy cập trên DirectAccess server Tuy nhiên, mô hình này đòihỏi các apps server phải chạy hệ điều hành Window server 2k8 hay Windowserver 2k8 R2 và phải sử dụng cả IPv6 và IPsec
Hình 1: Kết nối end-to-end trong IPsec
• End-to-edge:
Với end-to-edge, DirectAccess client thiết lập một IPsec session đến IPsecgateway- ở đây nó chính là DirectAccess server- sau đó gói tin sẽ được chuyểntiếp đến các server khác trong mạng nội bộ, nhưng gói tín bên trong sẽ khôngđược bảo vệ mô hình này thì không đòi hỏi gì ở các server bên trong mạng nội bộ
Trang 3Hình 2: Kết nối end-to-edge trong IPsec
Để nâng cao tính bảo mật của hệ thống mạng, cần triển khai IPv6 và IPsec trongcông ty, nâng cấp các apps server chạy hệ điều hành window 2k8 hay window 2k8R2 để sử dụng cơ chế end-to-end Cơ chế này cho phép chứng thực và mã hóathong tin từ DirectAccess client đến mạng nội bộ
II. Quá trình thực hiện kết nối
Hình 3: Sơ đồ quá trình thực hiện kết nối trong mạng DirectAccess
DirectAccess client phải tuân theo các bước sau để kết nối đến mạng nội bộ:
Trang 4• DirectAccess client sử dụng hệ điều hành Windows 7 Enterprise or Windows 7Ultimate
• DirectAccess client luôn xác định vị tri địa lý của nó
o Nếu đang trong mạng nội bộ thì DirectAccess không được sử dụng
o Nếu ngoài mạng nội bộ thì sẽ thực hiện kết nối DirectAccess
• Các máy DirectAccess client trên internet kết nối đến DirectAccess server vớiIPv6 và IPsec Nếu môi trường mạng nơi đó chưa triển khai IPv6 thì cácDirectAccess client sẽ sử dụng công nghệ 6to4 hay teredo để gửi IPv4-encapsulated IPv6 traffic
• Nếu firewall hay proxy server ngăn chặn các client computer sử dụng 6to4 hayTeredo, các client tự động kết nối bằng gia thức IP-HTTPS IP-HTTPS uses
an IPv4-based Secure Sockets Layer (SSL) connection to encapsulate IPv6traffic
• Là một phần của thiết lập các phiên IPsec cho đường hầm cơ sở hạ tầng để
tiếp cận với DNS server và DC , DirectAccess client và server xác thực nhaubằng cách sử dụng computer certificates and computer account credentials
• Khi user log on vào hệ thống, DirectAccess client thiết intranet tunnel để truycập đến tài nguyên mạng nội bộ DirectAccess client và server chứng thực lẫnnhau bằng cách sử dụng một chứng chỉ máy tính và thông tin tài khoản ngươidung
• Cuối cùng, thì DirectAccess client có thể truy cập và sử dụng các tài nguyêntrong mạng nội bộ
III. Chứng thực trong DirectAccess
• DirectAccess xác nhận máy tính trước khi người dùng đăng nhập vào
Trang 5• Thông thường, máy tính xác thực chỉ cho phép truy cập Domain Controllers vàDNS servers Sau khi người dùng đăng nhập , DirectAccess xác thực người sửdụng, và người dùng có thể kết nối với bất kỳ tài nguyên mà họ có thể truy cập.
• DirectAccess hỗ trợ xác thực người dùng tiêu chuẩn bằng cách sử dụng một tênngười dùng và mật khẩu
Có thể sử dụng một thẻ thông minh ngoài để đánh máy hoặc các thông tin củangười sử dụng
3 yêu cầu chứng thực smart card có thể config:
User authentication : yêu cầu cho người sử dụng quy định, bất kể máy
tính mà họ sử dụng
Computer authentication : yêu cầu cho các máy tính quy định, bất kể
người dùng đăng nhập vào
Gateway authentication : Các cổng IPsec yêu cầu xác thực thẻ thông minh
trước khi cho phép kết nối
Lựa chọn tùy chọn này mà không có các tùy chọn trước cho phép người dùng truy cập tàinguyên Internet mà không cần thẻ thông minh của họ, nhưng đòi hỏi một thẻ thông minh trước khi người dùng máy tính có thể kết nối đến các tài nguyên nội bộ Điều này có thể được kết hợp với một trong các phương pháp thẩm định thực thi trước Khi xác thực hai yếu tố là cần thiết để xác thực end-to-end, bạn phải sử dụng Active Directory Domain Services (AD DS) trong Windows Server 2008 R2
Trang 6Bài 2 : IPv6
IPv6 sử dụng 128 bit địa chỉ, tăng gấp 4 lần số bit so với IPv4 (32bit) Nghĩa là trongkhi IPv4 chỉ có 232 ~ 4,3 tỷ địa chỉ, thì IPv6 có tới 2128~ 3,4 * 1038 địa chỉ IP Gấp 296lần so với địa chỉ IPv4 Với số địa chỉ của IPv6 nếu rãi đều trên bề mặt trái đất (diện tích
bề mặt trái đất là 511263 tỷ mét vuông) thì mỗi mét vuông có khoảng 665.570 tỷ tỷ địachỉ Địa chỉ IPv6 được biểu diễn bởi ký tự Hexa với tổng cộng 8 Octet Mỗi Octet chứa 4
ký tự Hexa tương ứng với 16 bit nhị phân Dấu hai chấm ngăn cách giữa các octet
Trang 7So sánh Header của IPv4 và IP6
Header của IPv6 có 40 octet (hay độ lớn 40 byte) trái ngược với 20 octet trongIPv4 Tuy nhiên IPv6 có một số lượng các trường ít hơn, nên giảm được thời gian
xử lý Header, tăng độ linh hoạt Trường địa chỉ lớn hơn 4 lần so với IPv4 Không
có Header checksum, trường checksum của IPv4 được bỏ đi
Các trường có trong IPv6 Header :
+ Version : Trường chứa 4 bit 0110 ứng với số 6 chỉ phiên bản của IP.
+ Traffic Class : Trường 8 bit tương ứng với Trường Type of Service (ToS) trong
IPv4 Trường này được sử dụng để biểu diễn mức ưu tiên của gói tin, ví dụ có nên đượctruyền với tốc độ nhanh hay thông thường, cho phép thiết bị có thể xử lý gói một cáchtương ứng
+ Flow Label : Trường hoàn toàn mới trong IPv6, có 20 bit chiều dài Trường
này biểu diễn luồng cho gói tin và được sử dụng trong các kỹ thuật chuyển mạch
đa lớp (multilayer switching), nhờ đó các gói tin được chuyển mạch nhanh hơntrước
+ Payload Length : Trường 16 bit Tương tự trường Toal Length trong IPv4, xác
định tổng kích thước của gói tin IPv6 (không chứa header)
Trang 8+ Next Header : Trường 8 bit Trường này sẽ xác định xem extension header có tồn
tại hay không, nếu không được sử dụng, header cơ bản chứa mọi thông tin tầng IP Nó sẽđược theo sau bởi header của tầng cao hơn, tức là header của TCP hay UDP, và trườngNext Header chỉ ra loại header nào sẽ theo sau
+ Hop Limit : Trường 8 bit Trường này tường tự Trường Time to live của IPv4 Nó
có tác dụng chỉ ra số hop tối đa mà gói tin IP được đi qua Qua mỗi hop hay router, giátrị của Trường sẽ giảm đi 1
+ Source Address : Trường này gồm 16 octet (hay 128 bit), định danh địa chỉ nguồn
của gói tin
+ Destination Address : Trường này gồm 16 octet (hay 128 bit), định danh chỉ đích
của gói tin
Các quy tắc biểu diễn :
128 bit của IPv6, được chia ra thành 8 Octet, mỗi Octet chiếm 2 byte (4 bit), gồm 4
số được viết dưới hệ cơ số Hexa, và mỗi nhóm được ngăn cách nhau bằng dấu hai chấm.IPv6 là 1 địa chỉ mới nên chúng ta không xài hết 128 bit, vì vậy sẽ có nhiều số 0 ở các bitđầu nên ta có thể viết rút gọn để lược bỏ số 0 này
Ví dụ địa chỉ : 1088:0000:0000:0000:0008:0800:200C:463A
Ta có thể viết 0 thay vì phải viết là 0000, viết 8 thay vì phải viết 0008, viết 800 thay
vì phải viết là 0800 Địa chỉ đã được rút gọn:1088:0:0:0:8:800:200C:463A
IPv6 còn có một nguyên tắc nữa là chúng ta có thể nhóm các số 0 lại thành 2 dấu haichấm “::”, địa chỉ ở trên, chúng ta có thể viết lại như sau: 1088::8:800:200C:463AQua ví dụ trên, ta sẽ rút ra được 3 nguyên tắc:
+ Trong dãy địa chỉ IPv6, nếu có số 0 đứng đầu có thể loại bỏ Ví dụ 0800 sẽ được viết thành 800, hoặc 0008 sẽ được viết thành 8.
+ Trong dãy địa chỉ IPv6, nếu có các nhóm số 0 liên tiếp, có thể đơn giản các nhóm này bằng 2 dấu :: (chỉ áp dụng khi dãy 0 liên tiếp nhau).
+ Trong IPv6, chúng ta chỉ có thể sử dụng 2 dấu hai chấm một lần với địa chỉ Không được viết ::AB65:8952::, vì nếu viết như thế sẽ gây nhầm lần khi dịch ra đầy đủ.
Trang 9.1 Unicast Address
+ Global Unicast Address: Địa chỉ này được các ISP cấp cho người sử dụng có
nhu cầu kết nối Internet Global Unicast Address giống như địa chỉ Public của IPv4
+ Link-local Addresses: Đây là loại địa chỉ dùng cho các host khi chúng muốn
giao tiếp với các host khác trong cùng mạng LAN Tất cả IPv6 của các interface đều cóđịa chỉ link local
Trang 1010 bits đầu là giá trị cố định 1111 1110 10 (Prefix FE80::/10)
54 bits kế tiếp có giá trị bằng 0
64 bits cuối : là địa chỉ của interface
Kết luận : Trong Link Local Address: 64 bit đầu là giá trị cố định không thay đổi tươngứng với prefix là FE80::/10
Có một lưu ý là Router không thể chuyển bất kỳ gói tin nào có địa chỉ nguồn hoặc địachỉ đích là Link Local Address
+ Site-Local Addresses được sử dụng trong hệ thống nội bộ (Intranet) tương tự
các địa chỉ Private IPv4 (10.X.X.X, 172.16.X.X, 192.168.X.X) Phạm vi sử dụng Local Addresses là trong cùng 1 Site
Site-10 bits đầu là giá trị cố định 1111 11Site-10 11 (Prefix FEC0::/Site-10)
38 bits kế tiếp toàn bộ là bit 0
16 bits kế tiếp là giá trị Subnet ID
64 bits cuối là địa chỉ của interface
Trang 11Kết luận: Trong Site-local Address: 10 bit đầu là giá trị cố định không thay đổi
tương ứng với prefix là FEC0::/10
2.2 Multicast Address
Địa chỉ IPv6 Multicast được định nghĩa với prefix là FF::/8
Từ FF00:: đến FF0F:: là địa chỉ dành riêng đƣợc quy định bởi IANA để sử dụngcho mục đích multicast
Octet thứ hai chỉ ra cờ (flag) và phạm vi (Scope) của địa chỉ multicast Flag xácđịnh thời gian sống của địa chỉ Có 2 giá trị của flag :
+ Flag = 0 : Địa chỉ multilcast vĩnh viễn.
+ Flag = 1 : Địa chỉ multilcast tạm thời.
Scope chỉ ra phạm vi hoạt động của địa chỉ Có 7 giá trị của Scope
Trang 12+ Hiện nay, địa chỉ Anycast đƣợc sử dụng rất hạn chế, rất ít tài liệu nói về cách sửdụng loại địa chỉ này Hầu nhƣ Anycast addresss chỉ đƣợc dùng để đặt cho Router,không đặt cho Host, lý do là bởi vì hiện nay địa chỉ này chỉ được sử dụng vào mục đíchcân bằng tải.
+ Địa chỉ Anycast không bao giờ được sử dụng như là địa chỉ nguồn của một góitin
Trang 13Ba công nghệ chuyển đổi đƣợc sử dụng phổ biến hiện nay là :
1 Dual-stack :
Dual-stack là hình thức thực thi TCP/IP bao gồm cả tầng IP của IPv4 và IP củaIPv6 Thiết bị hỗ trợ cả 2 giao thức IPv4 và IPv6, cho phép hệ điều hành hay ứng dụnglựa chọn một trong hai giao thức cho từng phiên liên lạc
2 Tunnelling
Công nghệ tunneling là một phương pháp sử dụng cơ sở hạ tầng sẵn có củamạng IPv4 để thực hiện các kết nối IPv6 bằng cách sử dụng các thiết bị mạng có khảnăng hoạt động dual-stack tại hai điểm đầu và cuối nhất định
Trang 14Manual tunnel - đường hầm bằng tay Đường hầm được cấu hình bằng tay tại
các thiết bị điểm đầu và điểm cuối đường hầm Phương thức này có thể được áp dụngvới các mạng có ít phân mạng hoặc cho một số lượng hạn chế các kết nối từ xa
Automatic tunnel - đường hầm tự động Trong công nghệ đường hầm tự động,
không đòi hỏi cấu hình địa chỉ IPv4 của điểm bắt đầu và kết thúc đường hầm bằng tay
Intra-Site Automatic Tunnel Addressing Protocol (ISATAP) là công nghệ
chuyển đổi qua lại giữa các IPv4 node sang IPv6 node trong mạng Intranet, các địa chỉđược chuyển đổi là địa chỉ dành riêng (private) IPv4 và IPv6 link-local
+ Teredo tunneling sử dụng cho các địa chỉ private IPv4, kỹ thuật này đóng gói
gói tin IPv6 bên trong các gói UDP của IPv4 để có thể được định tuyến hay đi qua cácthiết bị NAT trong mạng IPv4
+ 6to4 tunneling : Công nghệ hiện nay được sử dụng khá rộng rãi IANA giành
riêng dãi địa chỉ 2002::/16 để sử dụng cho 6to4 tunneling
+ Configured tunnel - đường hầm được cấu hình Configured tunnel là công
nghệ đường hầm trong đó các điểm kết thúc đường hầm được thực hiện bằng một thiết bịgọi là Tunnel Broker Đường hầm cấu hình có độ tin cậy, tính ổn định tốt hơn đườnghầm tự động, do vậy được khuyến nghị sử dụng cho những mạng lớn, quản trị tốt Đặcbiệt cho các ISP để cấp địa chỉ IPv6 và kết nối các khách hàng chỉ có đường kết nối IPv4tới mạng Internet IPv6
Tunnel Broker là những máy chủ dịch vụ làm nhiệm vụ quản lý thông tin đăng ký,cho phép sử dụng dịch vụ, quản lý việc tạo đường hầm, thay đổi thông tin đường hầmcũng như xóa đường hầm
3 NAT-PT
Network Address Translation-Protocol Translation (NAT-PT) là một giải phápđóng vai trò quan trọng giúp cho nguời dùng chuyển đổi từ mạng IPv4 sẵn có lên IPv6,Thiết bị cung cấp dịch vụ NAT-PT sẽ biên dịch lại header và địa chỉ cho phép mạng IPv6giao tiếp với mạng IPv4
Trang 15Bài 3 : NAC
FIREWALL không ngăn chặn được các cuộc tấn công từ bên trong, luồng thông tin nội bộ không qua FIREWALL Hay nói cách khác, FIREWALL không ngăn chặn được các cuộc tấn công mà không qua nó
FIREWALL không phản ứng kịp thời với các kiểu tấn công mới và không ngăn chặn được virus/malware lưu thông qua mạng.
NAC hạn chế được những cuộc tấn công từ bên trong.
NAC ngăn chặn được virus/malware và các mối đe doạ mới.
NAC hoạt động bằng cách xử lý trên tất cả các thiết bị cuối Nghĩa là chúng chỉ được truycập vào hệ thống sau khi:
• Thiết bị đã được NAC chứng thực sự tồn tại của user (IDENTITY-BASED)
• Kiểm tra độ an toàn cần thiết của thiết bị mà người dùng đang sử dụng CONNECT) Đảm bảo rằng người dùng đáp ứng các chính sách đã định nghĩaxem tài nguyên nào người dùng được phép sử dụng và các điều kiện cần thoả đểđược sử dụng các tài nguyên đó Sau đó thực hiện việc đánh giá và cấp quyền truycập cho thiết bị
(PRE-• POST-CONNECT sẽ theo định kỳ kiểm tra lại xem thiết bị có còn đáp ứng đượccác yêu cầu trước đó hay không, có hành động nào bất thường, trái phép haykhông? Sau đưa ra quyết định cho thiết bị tiếp tục truy cập vào mạng hay không?
Trang 16cầu khả năng của switch, client, và các thực thể chứng thực local (RADIUSserver).
PHƯƠNG PHÁP MAC BASE AUTHENTICATION (VIA RADIUS)
MAC base authentication sử dụng giống như các thành phần cơ bản của 802.1X Sự khác biệt ở đây là nó bỏ đi dữ liệu chứng nhận hay đăng kí Các switch sử dụng MAC address của các end system để kiểm tra tất cả các end system thông qua RADIUS server
PHƯƠNG PHÁP WEB BASE AUTHENTICATION
Phương pháp này chuyển các supplicant tới một website nơi mà user phải đăng nhập Vớiphương pháp này guest và các end system không thực hiện các yêu cầu cho việc truy cập mạng có thể cũng đăng kí vào hệ thống mạng Guest truy cập vào hệ thống mạng yêu cầumột đăng kí rất cơ bản
Trang 17Một giải pháp NAC được thiết kế tốt có thể đặt nhiều nơi khác nhau Lưu lượng có thể phân loại dựa trên mô hình OSI từ layer 2 đến layer 4, cho phép firewall thi hành các chính sách cho từng lưu lượng trên hệ thống mạng.
KIỂM ĐỊNH THIẾT BỊ (ASSESSMENT)
AGENT-LESS:
• Network Based – Một thiết bị scan kiểm tra thiết bị cuối từ xa thông qua mạng
• Applet Based – một đoạn mã Java (một chương trình nhỏ truyền qua mạng) được
sử dụng để thực thi việc kiểm định trên thiết bị cuối (dựa trên trình duyệt web)
AGENT-BASED:
