Quản lý truy cập mạng dựa trên NAP

Trong hầu hết các trường hợp, đều có thể ngăn chặn được hacker xâm nhập, nếu các máy tính đảm bảo tiêu chuẩn an toàn như: Hệ thống tường lửa hoạt động hiệu quả, các phần mềm antivirus đư

Bảo vệ truy cập mạng – NAP là một công nghệ mới ra đời của Microsoft với mục đích kiểm soát quá trình kết nối vào hệ thống mạng nội bộ của các máy trạm Khả năng áp dụng của công nghệ NAP vào hệ thống mạng doanh nghiệp là rất lớn Chính vì thế, đồ án được thực hiện với mục đích tìm hiểu và triển khai công nghệ NAP để bảo vệ truy cập đối với hệ thống mạng doanh nghiệp với những nội dung chính như sau:

Chương I: Vai trò của hệ thống mạng doanh nghiệp

• Trình bày về sự phát triển Internet ở nước ta và các yêu cầu đặt ra với doanh nghiệp trong tình hình mới

• Xác định vai trò, tầm quan trọng và các mối đe dọa gây mất an toàn của hệ thống mạng doanh nghiệp Từ đó cho thấy việc cần thiết phải quản lý truy cập hệ thống mạng

• Phân tích, lựa chọn công nghệ Microsoft NAP để thực hiện quản lý truy cập

Chương II: Công nghệ Microsoft – NAP

Tập trung vào việc tìm hiểu công nghệ NAP: Cấu trúc hệ thống, cấu trúc các thành phần trên NAP-Client và NAP-Server, nguyên lý hoạt động, các chức năng mà NAP hỗ trợ cho hệ thống mạng để quản lý truy cập (IPSEC, 802.1X, VPN ) và cách thức hoạt động của các chức năng đó

Chương III: Triển khai và phát triển NAP

• Triển khai áp dụng công nghệ NAP vào hệ thống mạng doanh nghiệp: phân tích, đề xuất mô hình triển khai tổng quát

• Triển khai 5 phương pháp thực thi NAP áp dụng cho việc quản lý truy cập mạng: Phương thức thực thi NAP-IPSEC, NAP-802.1X, NAP-DHCP, NAP-VPN, NAP-

Chương IV: Kết luận

• Những kết quả đạt được và những hạn chế của đồ án

• Hướng phát triển của đồ án trong tương lai

LỜI CẢM ƠN

Để có ngày hoàn thành đồ án tốt nghiệp này, con xin chân thành cảm ơn bố

mẹ đã tạo mọi điều kiện cho con ăn học, đã động viên và nâng đỡ con trong suốt quá trình học tập

Em xin cảm ơn thầy giáo, PGS.TS Phan Huy Khánh,đã tận tình chỉ dẫn, tạo điều kiện cho em hoàn thành đồ án tốt nghiệp này

Em xin cảm ơn các thầy, cô phụ trách giảng dạy đã tận tâm dạy dỗ em trong suốt những năm học vừa qua

Cuối cùng, xin cảm ơn công ty VSIC đã tạo điều kiện và giúp đỡ tôi trong thời gian thực tập làm đồ án Cảm ơn các bạn trong lớp đã trao đổi kinh nghiệm lập trình, giúp đồ án hoàn thành được như ý

Đà Nẵng,ngày 7 tháng 06 năm 2010

Người thực hiện

ễ

MỤC LỤC

DANH MỤC HÌNH ẢNH 5

DANH MỤC THUẬT NGỮ VÀ CÁC TỪ VIẾT TẮT 7

LỜI NÓI ĐẦU 8

CHƯƠNG I VAI TRÒ CỦA HỆ THỐNG MẠNG DOANH NGHIỆP 9

1.1 Tình hình phát triển Internet ở Việt Nam .9

1.2 Hệ thống mạng doanh nghiệp – Vai trò và tầm quan trọng 10

1.3 Những mối đe dọa đối với hệ thống mạng doanh nghiệp .11

1.4 Các công nghệ quản lý truy cập mạng hiện nay 12

CHƯƠNG II CÔNG NGHỆ MICROSOFT – NAP 14

2.1 Giới thiệu công nghệ NAP 14

2.2 Hệ thống mạng triển khai NAP 17

2.2.1 Thành phần hệ thống mạng triển khai NAP 17

2.2.2 Sự hoạt động giữa các thành phần trong hệ thống NAP 19

2.2.3 Cấu trúc của NAP – Client và NAP – Server 22

2.3 Các phương thức thực thi NAP .29

2.3.1 Phương thức thực thi IPSec 31

2.3.2 Phương thức thực thi 802.1X 38

2.3.3 Phương thức thực thi VPN 44

2.3.4 Phương thức thực thi DHCP 49

2.3.5 Phương thức thực thi Terminal Services Gateway 53

CHƯƠNG III TRIỂN KHAI VÀ PHÁT TRIỂN NAP 58

3.1 Triển khai phương thức thực thi IPSec 59

3.1.1 Cài đặt và cấu hình Root CA trên máy chủ Domain Controller 61

3.1.2 Cấu hình máy chủ NPS 62

3.1.3 Kiểm tra sự hoạt động của NAP .65

3.2 Triển khai phương thức thực thi 802.1X 67

3.2.1 Cấu hình 802.1X Switch 68

3.2.2 Cài đặt Enterprise Root CA trên máy chủ Domain Controller 69

3.2.3 Cài đặt và cấu hình máy chủ NPS 69

3.2.4 Cấu hình máy trạm sử dụng 802.1X 74

3.3.1 Phương thức thực thi DHCP 75

3.3.2 Phương thức thực thi VPN 76

3.3.3 Phương thức thực thi TS Gateway 78

3.4 Phát triển chương trình .79

3.4.1 Môi trường phát triển: 79

3.4.2 Phát triển hệ thống 80

3.4.3 Thử nghiệm cặp SHA-SHV xây dựng 83

3.5 Nhận xét - Đánh giá 85

CHƯƠNG IV KẾT LUẬN 86

4.1 Kết quả đạt được của đồ án 86

4.2 Những mặt hạn chế 86

4.3 Hướng phát triển trong tương lai 86

TÀI LIỆU THAM KHẢO 88

DANH MỤC HÌNH ẢNH

Hình 2.1: Chức năng của NAP 1

Hình 2.2:Cấu trúc và nguyên lý hoạt động của NAP 1

Hình 2.3: Mô hình hệ thống mạng triển khai NAP 1

Hình 2.4: Sự liên hệ giữa các thành phần hệ thống NAP 1

Hình 2.5: Cấu trúc NAP-Client 1

Hình 2.6: Cấu trúc NAP-Server 1

Hình 2.7: NAP-Client và NAP-Server trong hệ thống 1

Hình 2.8: Quá trình giao tiếp từ NAP-Client tới NAP-Server 1

Hình 2.9: Quá trình giao tiếp từ NAP-Server tới NAP-Client 1

Hình 2.10: Kiến trúc giao thức IPSec 1

Hình 2.11: Các lớp mạng trong phương thức thực thi IPSec 1

Hình 2.12: Giao tiếp giữa các lớp mạng trong phương thức thực thi IPSec 1

Hình 2.13: Nguyên lý hoạt động của phương thức thực thi IPSec 1

Hình 2.14:Các thành phần hệ thống xác thực 802.1X 1

Hình 2.15: Nguyên lý hoạt động phương thức thực thi 802.1X 1

Hình 2.16: Sử dụng ACL trong phương thức thực thi 802.1X 1

Hình 2.17: Sử dụng VLAN trong phương thức thực thi 802.1X 1

Hình 2.18: Nguyên lý VPN 1

Hình 2.19: Remote Access VPN 1

Hình 2.20: Site-to-site VPN 1

Hình 2.21: Nguyên lý hoạt động phương thức thực thi VPN 1

Hình 2.22: Nguyên lý hoạt động hệ thống DHCP 1

Hình 2.23: Nguyên lý hoạt động hệ thống DHCP Relay 1

Hình 2.24: Nguyên lý hoạt động phương thức thực thi DHCP 1

Hình 2.25: Mô hình triển khai TS Gateway 1

Hình 2.26: Nguyên lý hoạt động phương thức thực thi TS Gateway 1

Hình 3.1: Mô hình triển khai NAP cho hệ thống mạng doanh nghiệp 1

Hình 3.2: Mô hình triển khai phương thức thực thi IPSec 1

Hình 3.3: Cấu hình Root CA trong phương thức IPSec 1

Hình 3.4: Cài đặt NPS và SubOrdinate CA 1

Hình 3.5: Cấu hình Subordinate CA trên máy chủ NPS 1

Hình 3.6: Cấu hình NPS Server trong phương thức IPSec 1

Hình 3.7: Kiểm tra sự hoạt động của NAP IPSec 1

Hình 3.8: Mô hình triển khai phương thức thực thi 802.1X 1

Hình 3.9: Cài đặt NPS Server trong phương thức thực thi 802.1X 1

Hình 3.10: Cấu hình NPS Server trong phương thức thực thi 802.1X 1

Hình 3.11: Thông số cấu hình VLAN trong phương thức 802.1X 1

Hình 3.12: Sử dụng GPO cấu hình các dịch vụ 802.1X 1

Hình 3.13: Cấu hình máy trạm sử dụng 802.1X 1

Hình 3.14: Cấu hình phương thức thực thi DHCP 1

Hình 3.15: Mô hình triển khai phương thức thực thi VPN 1

Hình 3.16: Cấu hình RADIUS Server trong phương thức VPN 1

Hình 3.17: Cấu hình RADIUS Client trong phương thức VPN 1

Hình 3.18:Mô hình triển khai phương thức thực thi TS Gateway 1

Hình 3.19: Cấu hình TS Gateway server 1

DANH MỤC THUẬT NGỮ VÀ CÁC TỪ VIẾT TẮT

ACL Access Control List

ADDS Active Directory Domain Services

AH Authentication Header

CA Certificate Authority

DHCP Dynamic Host Configuration Protocol

EAP Extensible Authentication Protocol

EAPOL Extensible Authentication Protocol over LAN

ESP Encapsulating Security Payload

HRA Health Registration Authority

HTTP Hypertext Transfer Protocol

HTTPS Hypertext Transfer Protocol Secure

IPSEC Internet Protocol Security

L2TP Layer 2 Tunneling Protocol

NAC Network Admission Control

NAP Network Access Protection

NAP EC Network Access Protection Enforcement Client

NAP ES Network Access Protection Enforcement Server

NAQC Network Access Quarantine Control

NPS Network Policy Server

PEAP Protected Extensible Authentication Protocol

PPP Point-to-Point Protocol

PPTP Point-to-Point Tunneling Protocol

RADIUS Remote Authentication Dial In User Service

SHA System Health Agent

SHV System Health Validator

SoH Statement of Health

SoHR Statement of Health Respond

SSL Secure Sockets Layer

SSoH System statement of Health

SSoHR System statement of Health Respond

TLS Transport Layer Security

TS Gateway Terminal Services Gateway

UAC Unified Access Control

VLAN Virtual Local Area Network

VPN Virtual Private Network

LỜI NÓI ĐẦU

Sự phát triển như vũ bão của ngành Công nghệ thông tin và điện tử viễn thông nói chung, ngành Mạng máy tính nói riêng đã đem lại những thay đổi to lớn cho mọi lĩnh vực của đời sống con người Ngày nay, trong nền kinh tế tri thức, không có bất kỳ một hoạt động nào có thể tách rời khỏi hạ tầng mạng máy tính Chính vì vậy, việc áp dụng công nghệ đã trở thành một yêu cầu không thể thiếu cho tất cả các tổ chức, doanh nghiệp Với tầm quan trọng như thế, việc sở hữu một hệ thống mạng doanh nghiệp ổn định, hoạt động liên tục, đảm bảo an toàn … để luôn sẵn sàng cho mọi hoạt động trở nên cấp thiết hơn bao giờ hết

Tuy nhiên, chính vì quan trọng như vậy, hệ thống mạng doanh nghiệp cũng phải đối diện với rất nhiều nguy cơ mất an toàn Và mặc dù nhận thức được vấn đề này, nhưng nhiều doanh nghiệp cũng không đủ khả năng tài chính để có thể triển khai các giải pháp đảm bảo an toàn cho hệ thống mạng của họ Xuất phát từ nhu cầu thực tế đó, đồ án ra đời với hy vọng tìm kiếm một giải pháp nào đó cho vấn đề này

Nhiệm vụ của đồ án:

Với mục tiêu xây dựng được một giải pháp thiết thực và khả thi, đồ án tập trung vào việc nghiên cứu và triển khai một công nghệ mới – công nghệ Microsoft NAP - giúp các nhà quản trị kiểm soát được sự truy cập trong mạng nội bộ, từ đó đảm bảo cho hệ thống mạng hoạt động liên tục và an toàn

Bố cục của đồ án:

Đồ án chia làm 4 chương như sau:

- Chương I Vai trò của hệ thống mạng doanh nghiệp

- Chương II Công nghệ Microsoft – NAP

- Chương III Triển khai và phát triển NAP

- Chương IV Kết luận

CHƯƠNG I VAI TRÒ CỦA HỆ THỐNG MẠNG DOANH NGHIỆP

1.1 Tình hình phát triển Internet ở Việt Nam

Ngày 19/11/1997, dịch vụ Internet chính thức có mặt tại Việt Nam Lúc đó, Internet được xem là dịch vụ cao cấp dành cho một nhóm cá nhân, tập thể thật sự có nhu cầu Khi đó, Chính phủ đã ban hành Nghị định 21 CP để quản lý Internet theo

phương châm: Quản lý đến đâu, phát triển đến đó Đó là một bước thận trọng,

khi việc đánh giá khoảng cách giữa tích cực và tiêu cực của Internet còn chênh lệch nhiều Chúng ta đã chọn phương án an toàn nhất để vào cuộc Bốn năm sau, năm

2001, có thể nói Internet đã bước chân vào cuộc sống của xã hội, nhất là khu vực doanh nghiệp, nghiên cứu và đào tạo Tác dụng to lớn của Internet là tải chất xám, trí tuệ của nhân loại về Việt Nam, gắn đất nước với toàn gầu, gắn thị trường của chúng ta với quốc tế Nhận thấy cần phải phát triển mạnh hơn, Chính phủ đã quyết

định cho phép đảo ngược nội dung phương châm quản lý, đó là Phát triển đến

đâu, quản lý tới đó Đó chính là những quyết định hết sức ấn tượng, mạnh mẽ về

tư duy, tầm chiến lược, nhìn xa trông rộng của Đảng và Nhà nước ta.

Đến hôm nay, chúng ta đã có trên 24% dân số sử dụng Internet Internet của

Số liệu thống kế tình hình phát triển Internet Việt Nam (03/2009)

doanh nghiệp lớn, các bệnh viện, 98% các trường THPT, 50% các trường THCS và đang len lỏi dần xuống vùng nông thôn qua các điểm Bưu điện VH xã… Tốc độ phát triển công nghệ Internet Việt Nam sau hơn 10 năm là ngoạn mục; song chất lượng phát triển nội dung, ứng dụng của Internet Việt Nam thì vẫn chưa xứng đáng Vì thế, những thách thức là rất to lớn, các nhà cung cấp dịch vụ cần không ngừng nâng cao chất lượng dịch vụ cũng như hạ giá thành đối với người sử dụng

Có như vậy mới đảm bảo Internet Việt Nam vững bước phát triển

1.2 Hệ thống mạng doanh nghiệp – Vai trò và tầm quan trọng

Internet phát triển đã làm thay đổi mọi mặt của cuộc sống con người, từ cách thức làm việc, học tập đến giải trí, tiêu dùng … Điều đó đưa tới yêu cầu cần phải có

sự thay đổi trong phương thức hoạt động của các tổ chức, doanh nghiệp Nếu không thay đổi, các doanh nghiệp sẽ không thể giới thiệu được sản phẩm của mình tới người tiêu dùng trong thời đại Công nghệ thông tin hiện nay, và nếu như vậy, kết cục là doanh nghiệp đó sẽ không thể phát triển, thậm chí sẽ phá sản Vậy doanh nghiệp cần thay đổi như thế nào cho phù hợp ? Đó chính là sự thay đổi từ hoạt động thương mại thông thường, không hoặc ít áp dụng công nghệ thông tin sang thương mại điện tử để tận dụng những thành tựu mới nhất của Công nghệ thông tin Việc ứng dụng công nghệ thông tin, đặc biệt là công nghệ mạng máy tính ở Việt Nam khoảng 3 năm trước đây còn mang tính tự phát, chưa được định hướng bởi chính phủ và các cơ quan chuyên môn nhà nước Do đó, sự đầu tư cho hệ thống mạng ở mỗi doanh nghiệp phụ thuộc vào tầm nhìn, quan điểm của lãnh đạo doanh nghiệp Nhưng chỉ trong vòng 2 năm trở lại đây, cùng với sự bùng nổ Internet, đặc biệt là từ sau khi Việt Nam gia nhập WTO (07-11-2006), ngành thương mại điện tử nói chung và hệ thống mạng doanh nghiệp nói riêng đã phát triển với tốc độ rất nhanh, rất cao Trước thực trạng toàn cầu hóa, doanh nghiệp Việt Nam phải tích cực tìm cách tồn tại và phát triển, cạnh tranh trong và ngoài nước Trong đó, thương mại điện tử giúp nhiều cho doanh nghiệp về marketing, đặc biệt là marketing ra thị trường quốc tế, giảm chi phí (chi phí marketing, chi phí nhân lực, chi phí bán hàng, chi phí liên lạc, chi phí mặt bằng ), bán hàng qua mạng, hỗ trợ khách hàng từ xa Không chỉ vậy, thế giới ngày càng phát triển, công việc không chỉ gói gọn trong từng khu vực riêng lẻ, đã và đang có những dây chuyền sản xuất liên hoàn trên nhiều quốc gia và nhiều khu vực, mỗi doanh nghiệp tham gia và một mắt xích trong dây truyền đó, khi đó hệ thống mạng doanh nghiệp có kết nối Internet là một yêu cầu bắt buộc Với những lợi ích to lớn đem lại, khi mà thời gian, tiền bạc cũng như hiệu quả kinh doanh là quan trọng, các doanh nghiệp sẵn sàng bỏ tiền để xây dựng cho mình một hệ thống mạng hoàn chỉnh Tuy nhiên, hầu hết các doanh nghiệp lại

bỏ qua hoặc không coi trọng vấn đề an toàn an ninh cho hệ thống mạng của mình

Có rất nhiều doanh nghiệp đầu tư hệ thống mạng rất lớn, với những thiết bị chuyên dụng đắt tiền nhưng các thiết bị đó lại không được sử dụng hết chức năng … Dường

như khi xây dựng hệ thống mạng, các nhà lãnh đạo chỉ chú ý xem hệ thống đó khi hoạt động có đáp ứng được yêu cầu kinh doanh hay không mà thôi Họ chưa tính tới việc phải đảm bảo cho hệ thống đó hoạt động ổn định, liên tục, không gặp sự cố, và càng chưa tính tới việc đảm bảo an toàn cho hệ thống trước các mục đích xấu, cố ý phá hoại Vấn đề nào cũng vậy, luôn luôn có tính hai mặt Lợi ích từ việc xây dựng hệ thống mạng, kết nối với bên ngoài của với doanh nghiệp là điều rõ ràng, nhưng chính điều đó cũng khiến doanh nghiệp hàng ngày, hàng giờ phải đối đầu với rất nhiều rủi ro tiềm ẩn Các doanh nghiệp cần phải xác định rõ được những mối nguy hại này và đề ra các biện pháp phòng tránh, giảm thiểu những rủi ro cho doanh nghiệp của mình

1.3 Những mối đe dọa đối với hệ thống mạng doanh nghiệp

Theo tổng kết của Trung tâm An ninh mạng BKIS, trong năm 2008 đã có 33.137 dòng virus máy tính mới xuất hiện tại Việt Nam, trong đó 33.101 dòng có xuất xứ từ nước ngoài và 36 dòng có xuất xứ từ trong nước Các virus này đã lây nhiễm trên 59.450.000 lượt máy tính Đây quả thật là một vấn đề làm đau đầu các nhà quản trị mạng Làm sao để hệ thống của mình miễn dịch được virus ? làm sao

để hạn chế tối đa thiệt hại nếu hệ thống của mình nhiễm virus ? … Chúng ta có thể đặt câu hỏi: Nếu hệ thống máy tính của các tổ chức, doanh nghiệp … đều được bảo

vệ nghiêm ngặt, thì tại sao virus lại có thể lây nhiễm một cách nhanh chóng và gây tổn thất lớn đến như vậy ? Để giải đáp câu hỏi này, chúng ta hãy cùng phân tích sự hoạt động của một hệ thống mạng doanh nghiệp phổ biến như sau:

Hệ thống mạng này được chia thành 2 khu vực khác nhau: Khu vực Server,

và khu vực Client Tại khu vực Client, có triển khai Wireless LAN dành cho khách hàng … Để phòng tránh Virus, các nhà quản trị mạng có thể cài đặt phần mềm Antivirus trên các máy Client Nhưng các nhà quản trị không thể lúc nào cũng kiểm soát được sự hoạt động của phần mềm đó trên tất cả các máy tính Và đặc biệt, các nhà quản trị mạng không thể kiểm soát được các máy tính của khách hàng sử dụng Wireless Có khả năng, chính các máy này đã nhiễm virus, và khi tham gia vào hệ thống của mình, sẽ làm lây lan virus … Nếu như có một số máy, phần mềm AntiVirus không hoạt động hoặc chưa được cập nhật, thì máy đó sẽ bị nhiễm virus

Cứ như vậy, sẽ có trường hợp, cả hệ thống bị nhiễm virus Như vậy, các nhà quản trị mạng phải tìm ra một giải pháp nào đó, để quản lý được quá trình truy cập của các máy client vào mạng, từ đó loại trừ tình huống này xảy ra ?

Không chỉ có vấn để về virus, tất cả người sử dụng Internet hiện nay, mà đặc biệt là các doanh nghiệp còn phải đối mặt với các hacker chuyên nghiệp Các hacker này luôn muốn tấn công thu thập thông tin, phá hoại hệ thống mạng doanh nghiệp…

Và cũng không loại trừ trường hợp, là chính các đối thủ cạnh tranh đã tấn công hệ

Việt Nam gần đây, gây tổn thất lớn về tiền bạc và uy tín công ty Ngoài ra còn rất nhiều trường hợp khác, thậm chí hệ thống của mình bị tấn công, bị thu thập các thông tin nhạy cảm nhưng các nhà quản trị mạng vẫn không hề hay biết

Thực tế, rất nhiều cách thức tấn công hệ thống mạng hiện nay đều dựa vào các lỗ hổng của hệ điều hành và các phần mềm cài đặt Kẻ tấn công theo các lỗ hổng đó, đi sâu vào hệ thống, rồi bắt đầu phát tán mã độc, thực hiện việc tấn công từ ngay bên trong hệ thống mạng nội bộ Trong hầu hết các trường hợp, đều có thể ngăn chặn được hacker xâm nhập, nếu các máy tính đảm bảo tiêu chuẩn an toàn như: Hệ thống tường lửa hoạt động hiệu quả, các phần mềm antivirus được cập nhật liên tục, các bản vá lỗ hổng được cập nhật kịp thời … Và cũng có thể nói, công việc của các nhà quản trị hệ thống mạng hiện nay mất rất nhiều thời gian trong việc đảm bảo các máy tính truy cập vào mạng phải có được bản cập nhật hệ điều hành mới nhất, hoặc bản cập nhật cho phần mềm chống virus mới nhất, hoặc tường lửa của máy trạm phải không được disable

Nhận thức được điều đó, các nhà quản trị mạng luôn muốn đảm bảo cho hệ thống mạng của tổ chức, doanh nghiệp mình được cập nhật, đảm bảo các tiêu chuẩn

an toàn, hạn chế tối đa việc bị tấn công … Và giải pháp rất quan trọng để thực hiện điều đó, chính là việc kiểm soát truy cập mạng của tất cả các máy tính liên quan tới

hệ thống của mình

1.4 Các công nghệ quản lý truy cập mạng hiện nay

Trong hệ thống mạng doanh nghiệp, các nhà quản trị mạng tùy theo khả năng

và yêu cầu thực tế mà có thể sử dụng một số các phương pháp quản lý truy cập như: NAC (Network Admission Control), NAQC (Network Access Quarantine Control), UAC (Unified Access Control), NAP (Network Access Protection) … Các phương pháp trên đều có mục đích kiểm soát sự truy cập của các máy trạm vào hệ thống mạng nội bộ Tuy nhiên, đối với mỗi giải pháp, lại có các ưu điểm và nhược điểm khác nhau

Công nghệ NAC do Cisco Systems phát triển, bao gồm một loạt các phần mềm và thiết bị phần cứng đi kèm để giúp hệ thống hoạt động Chính vì thế, tuy hiệu năng hoạt động cao, ổn định nhưng không phải tất cả các doanh nghiệp đều đủ khả năng tài chính để triển khai hệ thống NAC

Công nghệ UAC – kiểm soát truy cập hợp nhất – do Juniper Networks phát triển Công nghệ này giải quyết vấn đề về cân bằng truy nhập và kiểm soát bảo mật bằng cách liên kết nhận dạng người dùng, toàn bộ điểm cuối và thông tin về vị trí với việc kiểm soát truy nhập, với quản lý chính sách tác động trong thời gian thực thông qua mạng Tuy nhiên, UAC chủ yếu hỗ trợ đối với việc truy cập mạng thông

qua các thiết bị 802.1X Vì thế, phạm vi áp dụng của UAC bị bó hẹp, không đáp ứng đủ hết nhu cầu quản lý các loại truy cập mạng khác nhau

NAQC là một phương pháp quản lý truy cập mạng được hỗ trợ trong bản Windows Server 2003 Phương pháp này hoạt động đối với các truy cập mạng từ

xa, và chỉ có thể hỗ trợ các phiên bản Windows cũ như Windows 98, Windows

2000, Windows ME, Windows XP … Với phạm vi hoạt động hẹp, NAQC không thích hợp để triển khai trong một hệ thống mạng doanh nghiệp lớn, với nhiều loại truy cập khác nhau

Công nghệ NAP ra đời, kế thừa phương pháp tiền thân của nó là NAQC với nhiều tính năng mới NAP đáp ứng được việc kiểm soát tất cả các loại truy cập mạng phổ biến, từ truy cập mạng không dây, có dây hay truy cập từ xa NAP được phát triển bởi Microsoft, vì thế đối với hệ thống mạng doanh nghiệp, nó có tính ứng dụng lâu dài Các phiên bản Windows mới phát hành đều được tích hợp sẵn các thành phần NAP, cho nên các nhà quản trị không cần phải lo lắng đến việc nâng cấp

hạ tầng mạng Bên cạnh đó, triển khai công nghệ này, các doanh nghiệp không phải đắn đo quá nhiều về tài chính như khi triển khai các công nghệ kiểm soát truy cập mạng khác

CHƯƠNG II CÔNG NGHỆ MICROSOFT – NAP

2.1 Giới thiệu công nghệ NAP

Công nghệ Bảo vệ truy cập mạng – NAP (Network Access Protection) ra đời, cung cấp giải pháp hỗ trợ việc kiểm soát tự động các máy tính truy cập vào hệ thống mạng nội bộ Việc ứng dụng NAP để triển khai các chính sách truy cập mạng

sẽ giúp giảm thiểu những rủi ro và tăng cường bảo mật hệ thống mạng Công nghệ NAP cũng giúp cho các tổ chức, doanh nghiệp giảm chi phí, giảm công sức cho các nhà quản trị mạng bởi việc quản lý tập trung các chính sách truy cập mạng, tối ưu hóa cách cập nhật phần mềm, hạn chế tối thiểu việc lây nhiễm virus, phần mềm gián điệp spyware …

Sử dụng NAP, các nhà quản trị mạng có thể:

- Cấu hình xác định các chính sách truy cập mạng cho các máy tính muốn kết nối tới hệ thống của mình Các chính sách này càng chặt chẽ thì càng giảm thiểu khả năng mất an toàn hệ thống

- Kiểm soát chi tiết đến từng người dùng, từng máy tính, kiểm tra được xem máy tính đó có đảm bảo an toàn hay không Dựa vào đó ra quyết định cho phép hay hạn chế sự truy cập của máy tính đó vào hệ thống

- Tự động cập nhật, đảm bảo an toàn cho tất cả các máy tính trong hệ thống, cũng như các máy tính muốn kết nối đến hệ thống của mình

Các chức năng của NAP:

Biểu đồ sau đây miêu tả những cách NAP được áp dụng trong các phương pháp truy cập hệ thống mạng:

NAP được ứng dụng để bảo vệ truy cập hệ thống mạng theo 5 phương pháp khác nhau Mỗi một cách ứng dụng NAP được gọi là một phương thức thực thi (Enforcement Method) Công nghệ NAP hỗ trợ 5 phương thức thực thi như sau:

Hình 2.1: Chức năng của NAP

- Phương thức thực thi DHCP: Đây là cách triển khai NAP kết hợp với hệ

thống DHCP để bảo vệ truy cập mạng Chỉ có các máy tính đủ điều kiện, thì mới được DHCP Server cấp các thông số TCP/IP cần thiết để truy cập mạng

- Phương thức thực thi VPN: Đây là cách triển khai NAP để bảo vệ truy cập

mạng thông qua thực hiện kết nối VPN Các máy tính khi kết nối VPN vào

hệ thống, nếu thỏa mãn các chính sách đặt ra, sẽ được phép truy cập mạng

- Phương thức thực thi 802.1X: Đây là cách triển khai NAP kết hợp với các

thiết bị có hỗ trợ xác thực theo chuẩn 802.1X như Switch, Wireless Access Point… Những máy tính đủ điều kiện, mới có thể truy cập vào hệ thống mạng thông qua các thiết bị này

- Phương thức thực thi IPSEC: Đây là cách triển khai NAP kết hợp với các

chính sách IPSEC đã thiết lập trong hệ thống mạng nội bộ Các máy thỏa mãn điều kiện, sẽ có thể thực hiện kết nối với các máy tính khác và các kết nối đó sẽ được mã hóa bảo vệ bởi IPSEC

- Phương thức thực thi TS Gateway: Đây là cách triển khai NAP để bảo vệ

truy cập hệ thống mạng thông qua thực hiện kết nối Terminal Services Gateway Chỉ có các máy thỏa mãn tiêu chuẩn mới có thể thông qua kết nối

TS Gateway để truy cập vào hệ thống

Nguyên lý hoạt động của NAP:

Khi một máy client muốn truy cập vào hệ thống mạng, trước tiên các thành phần NAP trong nó sẽ thu nhận các thông tin về trạng thái sức khỏe hệ thống Các thông tin này được thu thập bởi các Agent về sức khỏe hệ thống (System Health Agent – SHA) Thành phần NAP Client sẽ tổng hợp lại thông tin, đưa tới cho Client

Hình 2.2:Cấu trúc và nguyên lý hoạt động của NAP

NAP đang được thực thi bởi phương thức nào (DHCP, VPN, 802.1X….) rồi chuyển qua đúng thiết bị truy cập mạng, tới server

Thành phần NAP ES (NAP Enforcement Server) nhận được thông tin, chuyển tới cho thành phần Server phân tích, rồi gửi tới cho các trung tâm chứng thực sức khỏe hệ thống (System Health Validator – SHV) Sau khi thông tin sức khỏe hệ thống được kiểm tra, SHV sẽ gửi lại các bản tin trả lời Các bản tin này sẽ được chuyển tới các thiết bị truy cập mạng và tới Client để cho biết nó có được truy cập mạng hay không

NAP thường được ứng dụng trong các tình huống sau:

- Kiểm tra tình trạng sức khỏe hệ thống của các máy desktop trong mạng

Các máy desktop trong nội bộ hệ thống cũng có thể là một nguy cơ mất an toàn nếu người quản trị không kiểm soát được tình trạng sức khỏe của nó Các máy desktop này rất dễ nhiễm virus và các phần mềm độc hại khác từ website, email, trao đổi dữ liệu qua USB hay thậm chí là việc chia sẻ thư mục giữa các máy tính với nhau … Sử dụng NAP, người quản trị có thể kiểm tra tình trạng sức khỏe của các máy desktop một cách tự động Chỉ khi nào tình trạng đó thỏa mãn chính sách đã đặt ra, máy tính đó mới được phép truy cập vào hệ thống Người quản trị sau đó cũng có thể xem lại báo cáo, từ

đó biết máy tính nào không đủ tiêu chuẩn an toàn, và từ đó có cách xử lý thích hợp

- Kiểm tra tình trạng sức khỏe hệ thống của các máy laptop khách

Trong nhiều trường hợp, các máy laptop của khách hàng truy cập vào hệ thống, máy tính đó không đảm bảo an toàn, thậm chí mang theo virus, spyware Khi đó, nếu người quản trị sử dụng NAP, có thể chỉ cho phép các máy khách truy cập Internet hoặc hạn chế họ truy cập vào mạng nội bộ của mình

- Kiểm tra tình trạng sức khỏe hệ thống của các máy ngoài mạng nội bộ Đó

có thể là các máy tính từ hệ thống mạng khác muốn kết nối tới, có thể là máy tính tại nhà của một số người trong công ty cần phải kết nối với hệ thống … Các máy đó liên lạc với hệ thống mạng nội bộ thông qua kết nối VPN Vì thế, để đảm bảo an toàn hệ thống, nếu các máy này không đủ tiêu chuẩn truy cập mạng, cần phải có giải pháp phù hợp, vừa đảm bảo điều kiện yêu cầu làm việc, vừa đảm bảo an toàn cho hệ thống

Các kịch bản sử dụng NAP như trên đã rất phổ biến trong các tổ chức, doanh nghiệp … ở tất cả mọi nơi trên thế giới, bao gồm cả Việt Nam Vì thế việc đảm bảo

an toàn truy cập mạng được các nhà quản trị rất chú ý, và coi đó là một trong những biện pháp phòng thủ hữu hiệu trước nhiều cách tấn công mạng khó lường hiện nay

Tuy nhiên NAP không phải là không có những hạn chế NAP không được thiết kế để bảo vệ hệ thống mạng khỏi những yếu tố mất an toàn do con người chủ

ý Một máy tính có đầy đủ các phần mềm yêu cầu, được cập nhật các bản vá lỗi … máy tính đó tất nhiên sẽ hoàn toàn có quyền truy cập trong hệ thống mạng nội bộ của mình Nếu người sử dụng máy tính đó cố tình đưa vào mạng những chương trình nguy hiểm, trong trường hợp này NAP không thể ngăn chặn được Vì vậy, ngoài việc sử dụng NAP để kiểm tra độ an toàn khi truy cập mạng, người quản trị cần phải kết hợp với nhiều cách thức khác nữa để có thể đảm bảo an toàn cho hệ thống mạng của mình

2.2 Hệ thống mạng triển khai NAP

2.2.1 Thành phần hệ thống mạng triển khai NAP

• NAP clients: Các máy tính kích hoạt NAP và được kiểm tra tình trạng

an toàn Mặc định, các máy tính cài đặt HĐH Windows Server 2008, Windows Vista, Windows XP SP3 sẽ được hỗ trợ NAP

• Điểm thực thi NAP (NAP enforcement points): Các máy tính hoặc

thiết bị truy cập mạng sử dụng NAP để yêu cầu kiểm tra tình trạng an

Hình 2.3: Mô hình hệ thống mạng triển khai NAP

toàn của NAP Client, từ đó đưa ra quyết đinh cho phép hay hạn chế truy cập Một số NAP enforcement points:

o Trung tâm cấp phát chứng chỉ sức khỏe hệ thống (Health Registration Authority - HRA): Đây là một máy tính chạy

dịch vụ IIS (Internet Information Services) trong môi trường Windows Server 2008 để lấy “health certificates” từ CA cho các máy trạm

o VPN server: Máy tính chạy dịch vụ Routing and Remote

Access trong môi trường Windows Server 2008 cho phép VPN

từ mạng ngoài vào mạng nội bộ

o DHCP server: Máy tính chạy dịch vụ DHCP trong môi

trường Windows Server 2008 cung cấp IPv4 cho các máy client

o Thiết bị truy cập mạng: Switch, wireless access points có hỗ

trợ xác thực theo chuẩn IEEE 802.1X

• Máy chủ chính sách sức khỏe hệ thống NAP (NAP health policy

servers): Máy tính cài đặt HĐH Windows Server 2008 và chạy dịch vụ

NPS Máy chủ này chính là nơi lưu trữ các chính sách sức khỏe được đặt

ra

• Máy chủ yêu cầu trình trạng sức khỏe hệ thống (Health requirement

servers): Máy tính cung cấp yêu cầu về sức khỏe hệ thống của các máy

trạm cho NAP health policy servers

• Máy chủ quản trị miền (Domain Controller): Hệ thống mạng triển

khai NAP phải là một miền, có máy chủ Domain Controller chạy dịch vụ

ADDS (Active Directory Domain Service)

• Vùng mạng hạn chế: Đây là vùng mạng được cấu hình để hạn chế truy

cập, gồm có:

o Máy chủ Remediation: Máy tính chứa các nguồn tài nguyên

cần thiết để NAP clients có thể cập nhật, vá các lỗ hổng về sức khỏe hệ thống, từ đó chuyển sang trạng thái tương thích với các chính sách truy cập mạng

o Các máy tính không thỏa mãn chính sách truy cập mạng: Đây

có thể là các máy không đủ tiêu chuẩn về sức khỏe hệ thống, hoặc các máy không được cài đặt NAP …

2.2.2 Sự hoạt động giữa các thành phần trong hệ thống NAP

• Sự liên hệ giữa NAP client và HRA

NAP client sử dụng giao thức HTTP hoặc HTTPS để gửi tình trạng sức khỏe hệ thống tới HRA và yêu cầu lấy chứng chỉ sức khỏe - health certificate HRA cũng sẽ sử dụng giao thức HTTP hoặc HTTPS gửi health certificate tới NAP client hoặc lệnh remediation đưa NAP Client vào vùng mạng hạn chế (nếu tình trạng hệ thống của NAP Client không thỏa mãn chính sách)

• Sự liên hệ giữa NAP client và thiết bị truy cập mạng 802.1X

Trong mô hình triển khai này, NAP client chính là 802.1X client Nó sử dụng giao thức PEAP (Protected Extensible Authentication Protocol) gửi thông điệp xác thực tới thiết bị truy cập mạng 802.1X (Switch, Wireless Access Point) và tình trạng sức khỏe hệ thống tới máy chủ chính sách sức khỏe hệ thống NAP - NAP health policy server Máy chủ này sẽ thông qua thiết bị 802.1X gửi lại lệnh hạn chế hoặc cho phép truy cập mạng

• Sự liên hệ giữa NAP client và VPN server

NAP client với vai trò là VPN client sử dụng giao thức PPP Point Protocol) thiết lập kết nối VPN và gửi thông điệp qua giao thức PEAP để cung cấp trạng thái sức khỏe hệ thống tới máy chủ chính sách sức khỏe hệ thống – NAP health policy server Sau đó, máy chủ này cũng gửi lại thông điệp theo giao thức PEAP để quyết định hạn chế hoặc cho phép truy cập mạng Các thông điệp này sẽ được định tuyến qua VPN server

(Point-to-• Sự liên hệ giữa NAP client và DHCP server

NAP client gửi thông điệp DHCP xin cấp địa chỉ IPv4 và thông báo tình trạng sức khỏe hệ thống của mình DHCP server cũng sẽ gửi lại thông điệp DHCP cấp Ipv4 cấu hình hạn chế truy cập hoặc IPv4 cấu hình cho phép truy cập

• Sự liên hệ giữa NAP client và remediation server

Nếu NAP client bị đưa vào vùng hạn chế truy cập, nó sẽ liên hệ với remediation server để cập nhật hoặc vá các lỗ hổng, dựa trên lệnh nhận được từ máy chủ chính sách sức khỏe hệ thống

• Sự liên hệ giữa HRA và NAP health policy server

HRA gửi thông điệp theo giao thức RADIUS (Remote Authentication Dial-In User Service) tới máy chủ chính sách sức khỏe hệ thống Trong bản tin này có chứa thông tin về trạng thái sức khỏe hệ thống của NAP Client

Máy chủ NAP health policy gửi lại bản tin RADIUS xác định:

o Cho NAP client quyền truy cập không hạn chế trong hệ thống nếu nó thỏa mãn chính sách Dựa vào đó, HRA yêu cầu chứng chỉ sức khỏe hệ thống - health certificate từ CA và gửi tới NAP client

o Hạn chế sự truy cập của NAP client cho đến khi thỏa mãn chính sách HRA sẽ không lấy health certificate cấp cho NAP client

HRA trong môi trường Windows Server 2008 không được xây dựng là RADIUS client, cho nên nó sử dụng dịch vụ NPS service làm RADIUS proxy để chuyển thông điệp RADIUS cho NAP health policy server

• Sự liên hệ giữa thiết bị truy cập mạng 802.1X và máy chủ chính sách sức khỏe hệ thống - NAP health policy server

Thiết bị 802.1X gửi thông điệp RADIUS để chuyển các bản tin PEAP được gửi bởi NAP Client

NAP health policy server gửi lại bản tin RADIUS messages:

o Cho phép 802.1X client (NAP Client) truy cập không hạn chế nếu thỏa mãn chính sách

o Yêu cầu đưa 802.1X client vào vùng mạng hạn chế truy cập nếu không thỏa mãn chính sách

• Sự liên hệ giữa VPN server và máy chủ chính sách sức khỏe hệ thống - NAP health policy server

VPN server gửi thông điệp RADIUS mang nội dung của bản tin PEAP được gửi bởi NAP client

NAP health policy server gửi lại thông điệp RADIUS:

o Nếu thỏa mãn chính sách, cho phép VPN Client truy cập không hạn chế

o Đưa VPN Client vào vùng mạng hạn chế truy cập

Tương tự như HRA, VPN server sử dụng dịch vụ NPS làm RADIUS proxy để chuyển các thông điệp cho NAP health policy server

• Sự liên hệ giữa DHCP server và NAP health policy server

DHCP server gửi thông điệp RADIUS tới NAP health policy server NAP health policy server sẽ gửi lại thông điệp RADIUS tới DHCP server quyết định xem DHCP Client có được phép truy cập mạng hay không DHCP server cũng sử dụng dịch vụ NPS làm RADIUS proxy để chuyển các thông điệp RADIUS cho NAP health policy server

• Sự liên hệ giữa NAP health policy server và health requirement server Khi thực hiện việc kiểm tra thông tin sức khỏe hệ thống cho NAP client, NAP health policy server sẽ phải liên hệ với health requirement server để lấy thông tin, từ đó biết chính xác thế nào là thỏa mãn chính sách truy cập mạng

Hình 2.4: Sự liên hệ giữa các thành phần hệ thống NAP

2.2.3 Cấu trúc của NAP – Client và NAP – Server

a NAP – Client

Cấu trúc của NAP client như sau:

• Thành phần NAP enforcement client (EC)

Thành phần này có nhiệm vụ đưa yêu cầu kiểm tra trạng thái sức khỏe hệ thống tới NAP Agent, chuyển thông tin thu nhận được tới NAP Enforcement point, và chuyển thông báo cho phép hay hạn chế truy cập tới các thành phần khác trong NAP Client

NAP Client có nhiều NAP EC được tạo ra cho các loại truy cập mạng khác nhau, tương ứng với từng loại Enforcement point Trong Windows Server

2008, Windows Vista và Windows XP SP3, có các loại NAP EC như sau:

o IPsec NAP EC dùng trong giao tiếp được mã hóa IPsec

o EAPHost NAP EC dùng trong kết nối xác thực theo chuẩn 802.1X

o VPN NAP EC cho kết nối VPN

o DHCP NAP EC cho dịch vụ DHCP - IPv4

o TS Gateway NAP EC dùng với kết nối thông qua Terminal Server Gateway

Hình 2.5: Cấu trúc NAP-Client

• Thành phần system health agent (SHA)

Thành phần này có nhiệm vụ thu thập các thông tin về tình trạng sức khỏe hệ thống Ví dụ có SHA thu thập tình trạng cập nhật của chương trình diệt virus,

có SHA thu thập về trạng thái hoạt động của tường lửa

SHA có thể được kết nối với remediation server Ví dụ: SHA thu thập thông tin cập nhật chương trình diệt Virus kết nối tới server chứa file cập nhật để kiểm tra thông tin và cập nhật chương trình

Tuy nhiên, không phải tất cả các SHA đều phải kết nối tới remediation server SHA kiểm tra trạng thái hoạt động của tường lửa chỉ cần hoạt động trên chính client đó mà không cần thiết phải lấy thông tin từ nơi khác

Xác định được trạng thái sức khỏe hệ thống, SHA tạo ra bản tin statement of health (SoH) rồi đưa tới NAP Agent SoH có thể chứa một hoặc nhiều thông tin về sức khỏe hệ thống Ví dụ, SHA kiểm tra chương trình diệt Virus có thể tạo ra SoH gồm có: Trạng thái hiện tại của chương trình, phiên bản đang sử dụng, thời gian và file cập nhật mới nhất Các thông tin trong bản tin SoH giúp cho NAP health policy server kiểm tra xem NAP Client có thỏa mãn chính sách truy cập mạng hay không Mỗi khi SHA cập nhật tình trạng sức khỏe hệ thống, nó lại tạo một bản tin SoH mới gửi tới NAP Agent

Để chỉ rõ toàn bộ tình trạng sức khỏe hệ thống của NAP Client, NAP Agent

sử dụng bản tin SSoH (System Statement of Health) Bản tin này gồm có các thông tin như phiên bản NAP Client đang sử dụng, tập các thông tin SoH của các SHA trong hệ thống …

Mỗi một SHA phải tương ứng với 1 System Health Validator - SHV SHV là một thành phần thuộc cấu trúc của NAP trong phần Server Bản tin SoH mà SHA gửi đi, sẽ được SHV xử lý và gửi lại bản tin SoHR (SoH Response) Bản tin SoHR có thể yêu cầu SHA lấy lại chính xác hơn thông tin sức khỏe

hệ thống, hoặc chỉ cho SHA biết kết nối tới Remediation Server cập nhật thông tin …

• NAP Agent

Thành phần này có nhiệm vụ lưu trữ các thông tin hiện tại về tình trạng sức khỏe hệ thống của NAP client và giúp cho việc giao tiếp giữa NAP EC và các SHA dễ dàng hơn

NAP Agent thực hiện các công việc sau:

o Lắng nghe các bản tin SoH từ SHA và lưu trữ chúng vào bộ đệm Các bản tin SoH trong cache được cập nhật khi SHA gửi bản tin SoH mới thông báo

o Tạo ra bản tin SSoH, và gửi bản tin SSoH tới NAP EC

o Chuyển các thông báo tới SHA khi có sự thay đổi trạng thái truy cập mạng

o Nhận bản tin SSoHR, dựa vào đó tạo ra các bản tin SoHR chuyển tới đúng các SHA tương ứng

• SHA application programming interface (API)

Cung cấp các hàm để đăng ký SHA với NAP Agent, các hàm xác định trạng thái sức khỏe hệ thống, các hàm trả lời về các thông tin mà NAP Agent yêu cầu

NAP enforcement point trên nền tảng Windows gồm có các thành phần NAP

ES (Enforcement Server) Mỗi thành phần NAP ES được thiết kế cho từng loại truy cập mạng khác nhau, và tương ứng với từng NAP EC trong cấu trúc phía NAP Client

NAP ES thu nhận các thông tin từ NAP EC và gửi tới NAP health policy server thông qua thông điệp RADIUS Access-Request

Một số loại NAP ES được Microsoft thiết kế như sau:

o IPsec NAP ES dành cho giao tiếp được mã hóa IPsec

o DHCP NAP ES dành cho dịch vụ DHCP

o TS Gateway NAP ES cho kết nối thông qua Terminal Server Gateway Riêng đối với kết nối VPN và kết nối được xác thực theo chuẩn 802.1X, không có thành phần NAP ES riêng biệt chạy trong VPN Server, 802.1X Switch hoặc Wireless AP

NAP health policy server bao gồm các thành phần sau:

• NPS service

NPS service là dịch vụ được cung cấp sẵn trong Windows Server 2008

Hình 2.6: Cấu trúc NAP-Server

Nhận được thông điệp RADIUS Access-Request từ NAP ES, dịch vụ này xuất các thông tin theo form bản tin SoH, đưa nó tới NAP Administration Server

Dựa vào các bản tin SoHR nhận được từ SHV và các chính sách truy cập mạng đã được cấu hình, NPS service tạo ra bản tin System Statement of Health Response (SSoHR), chỉ ra cho NAP client biết mình thỏa mãn hay không thỏa mãn chính sách Bản tin SSoHR này bao gồm tập các bản tin SoHR mà SHV đã gửi tới

• NAP Administration Server

Thành phần này có nhiệm vụ trung gian chuyển tiếp thông tin, giúp giao tiếp giữa NPS service và các SHV dễ dàng hơn NAP Administration Server là thành phần mặc định trong nền tảng NAP được Microsoft cung cấp

NAP Administration Server component thực hiện các công việc sau:

o Nhận bản tin SSoH từ NAP ES và gửi tới NPS service

o Phân phối các bản tin SoH chứa trong SSoH tới đúng SHV tương ứng

o Thu nhận các bản tin SoHR từ SHV và chuyển tới NPS service

• System Health Validator (SHV)

Mỗi SHV được thiết kế cho một hoặc một vài loại sức khỏe hệ thống Ví

dụ như SHV thiết kế cho tình trạng cập nhật chương trình Antivirus Và mỗi SHV phải tương ứng với một SHA trong cấu trúc NAP Client

Một SHV có thể phải liên hệ với một hoặc nhiều health requirement server Ví dụ, SHV cho chương trình Antivirus ở trên, cần phải liên hệ với server chứa file cập nhật virus mới nhất

Tuy nhiên, có những SHV không cần thiết phải kết nối tới health requirement server Ví dụ một SHV điều khiển việc kiểm tra tình trạng hoạt động của tường lửa trên NAP Client Mặc định, trong bản Windows Server 2008, Micosoft cung cấp sẵn một SHV Đó là Windows Security Health Validator

SHV nhận bản tin SoH do NAP Administration Server chuyển tới, so sánh với yêu cầu của chính sách đã đặt ra Sau đó gửi lại cho NAP Administration Server bản tin SoHR Bản tin SoHR này có thể chứa thông tin hướng dẫn cho SHA tương ứng ở NAP client cập nhật sức khỏe

hệ thống, đưa NAP Client thành phù hợp với chính sách truy cập mạng

Ví dụ, nếu bản tin SoH gửi từ một Antivirus SHA miêu tả phiên bản cập nhật hiện tại của NAP Client, thì SHV tương ứng phải kiểm tra phiên bản

đó có phải là mới nhất hay không bằng cách kết nối tới health requirement server Sau đó Antivirus SHV tạo bản tin SoHR yêu cầu antivirus SHA cập nhật phiên bản mới nhất từ địa chỉ Server được chỉ ra trong bản tin

• SHV API

Thành phần này cung cấp các hàm cho phép các SHV có thể đăng ký hoạt động với NAP Administration Server, cho phép SHV nhận các bản tin SoH chuyển tới và gửi bản tin SoHR đến NAP Administration Server

Sự liên hệ giữa các thành phần giữa NAP – Client và NAP – Server được miêu tả qua hình sau:

Giữa các thành phần ở 2 phía (client và Server), phải có sự tương ứng phù hợp nhau như sau:

• NAP EC và NAP ES

Ví dụ như DHCP NAP EC ở NAP Client cần phải phù hợp với DHCP NAP

ES ở DHCP server

• SHA và remediation servers

Hình 2.7: NAP-Client và NAP-Server trong hệ thống

Ví dụ, antivirus SHA ở NAP client phải liên hệ đúng với remediation server chứa các file và thông tin cập nhật mới nhất về chương trình Antivirus

• SHV và health requirement servers

Ví dụ, antivirus SHV tại NAP health policy server phải liên hệ đúng với health requirement server về chương trình antivirus

c Sự liên hệ giữa NAP – Client và NAP – Server

NAP Agent liên lạc với NAP Administration Server như sau:

- NAP Agent chuyển bản tin SSoH tới NAP EC

- NAP EC chuyển bản tin SSoH tới NAP ES

- NAP ES chuyển bản tin SSoH tới NPS service

- NPS service chuyển bản tin SSoH tới NAP Administration Server

SHA giao tiếp với SHV thông qua việc thực hiện các tiến trình sau:

- SHA chuyển bản tin SoH tới NAP Agent

- NAP Agent thực hiện việc chuyển các bản tin SoH được chứa trong bản tin SSoH tới NAP Administration Server theo cách như đã phân tích ở trên

- NAP Administration Server chuyển các bản tin SoH tới SHV tương ứng

Hình 2.8: Quá trình giao tiếp từ NAP-Client tới NAP-Server

NAP Administration Server sẽ gửi thông tin tới NAP Agent như sau:

- NAP Administration Server chuyển các bản tin SoHR tới NPS service

- NPS service chuyển bản tin SSoHR tới NAP ES

- NAP ES chuyển bản tin SSoHR tới NAP EC

- NAP EC chuyển bản tin SSoHR tới NAP Agent

SHV gửi các bản tin đáp trả SHA như sau:

- SHV chuyển các bản tin SoHR tới NAP Administration Server

- NAP Administration Server chuyển các bản tin SoHR được chứa trong bản tin SSoHR tới NAP Agent theo cách đã nói ở trên

- NAP Agent đọc bản tin SSoHR, rồi chuyển các bản tin SoHR tới SHA tương ứng

2.3 Các phương thức thực thi NAP

Windows XP SP3, Windows Vista và Windows Server 2008 hỗ trợ các phương thức thực thi NAP (NAP Enforcement) như sau:

Hình 2.9: Quá trình giao tiếp từ NAP-Server tới NAP-Client

- Kết nối được xác thực theo chuẩn IEEE 802.1X

Phương thức thực thi IPSec

Để thực hiện phương thức này, chúng ta cần phải có các thành phần sau trong hệ thống: IPSec ES chạy trên máy HRA trong môi trường Windows Server

2008, IPSec EC chạy trên máy Vista, XP SP3 hoặc Server 2008 Máy chủ HRA sẽ lấy health certificate được mã hóa theo chuẩn X.509 cho các máy NAP Client từ máy chủ CA trong hệ thống

Một máy thỏa mãn chính sách truy cập mạng đặt ra, mới có thể nhận chứng chỉ và giao tiếp mã hóa IPSec với các máy khác trong mạng Nếu nó không thỏa mãn chính sách, máy đó sẽ bị đưa vào vùng mạng hạn chế, không thể giao tiếp thông qua mã hóa IPSec với các máy khác

Phương thức thực thi 802.1X

Để triển khai phương thức thực thi 802.1X, chúng ta cần có máy chủ Windows Server 2008 thực hiện vai trò NPS, EAPHost EC chạy trên máy Windows

XP SP3, Windows Vista hoặc Windows Server 2008 và các thiết bị truy cập mạng

có hỗ trợ xác thực theo chuẩn IEEE 802.1X như Switch, hoặc 802.11 wireless AP

Nếu máy tính không đủ điều kiện truy cập mạng, nó sẽ bị giới hạn bởi các profile hạn chế truy cập đặt sẵn trên các thiết bị 802.1X Profile này có thể chỉ ra một Access Control List (ACL) – danh sách điều khiển truy cập - đã được cấu hình trước trên Switch hoặc Wireless AP, từ đó hạn chế việc trao đổi thông tin giữa máy không đủ tiêu chuẩn an toàn với hệ thống mạng

Phương thức thực thi VPN

Hệ thống triển khai phương pháp thực thi VPN gồm có: Máy chủ NPS, VPN

EC trên máy Windows XP SP3, Vista hoặc Server 2008

Khi xác định được máy tính không đủ điều kiện truy cập, hệ thống sẽ tiến hành chế độ lọc gói tin IP đã được cấu hình trên VPN Server Hệ thống cũng liên

tục kiểm tra tình trạng sức khỏe của các máy đã đủ điều kiện Nếu các máy này có

sự cố, chuyển thành không đủ tiêu chuẩn, nó cũng sẽ bị chuyển sang trạng thái hạn chế truy cập

Phương thức thực thi DHCP

Để thực hiện phương thức này, hệ thống cần có: DHCP ES nằm trên máy DHCP Server chạy Windows Server 2008, DHCP EC trên máy XP SP3, Vista hoặc Server 2008

Máy tính đủ tiêu chuẩn an toàn sẽ được DHCP cấp đầy đủ thông tin về IP Address, Gateway, DNS Server … để có thể truy cập mạng không hạn chế Ngược lại, máy tính sẽ được cấp IP cho vùng hạn chế truy cập Hệ thống cũng thực hiện việc giám sát sự thay đổi trạng thái an toàn của các máy Client để áp dụng các chính sách phù hợp (đưa máy vào hoặc ra khỏi vùng hạn chế truy cập)

2.3.1 Phương thức thực thi IPSec

Vượt trên tất cả các giao thức được sử dụng trong các kiến trúc mạng hiện nay, IP đã chứng tỏ đã, đang và sẽ là giao thức truyền thông toàn cầu cho các máy tính trên toàn thế giới Giao thức này đã hỗ trợ cho các mạng LAN từ cỡ trung bình cho đến các mạng cỡ lớn như Internet Đây là một giao thức mềm dẻo, mạnh mẽ và

đã đáp ứng được những yêu cầu kết nối mạng trong nhiều thập kỷ qua Sức mạnh của IP thể hiện bởi khả nǎng định tuyến gói dễ dàng, linh hoạt Cũng như những cơ thể sống, các mạng IP này ngày càng phát triển tới mức không ai có thể biết đâu là giới hạn Tuy nhiên, các mạng dựa trên nền IP có những nhược điểm liên quan đến chính cấu trúc của giao thức này Những kiến trúc ban đầu của IP không nhằm mục đích cung cấp các tính nǎng bảo mật ở mức giao thức Chính tính mềm dẻo của IP cho phép tạo ra một số cách sử dụng giao thức này để kiểm tra lưu lượng, điều khiển truy nhập và tiến hành các biện pháp an ninh khác Dữ liệu trên các mạng IP theo đó có thể nói là "mở" ngay cả với các hoạt động gây mất an ninh mạng Những tác vụ truyền thông "nhạy cảm" trong các lĩnh vực an ninh, quốc phòng và cả kinh doanh đều không an toàn khi thực hiện trên các mạng IP

Khi sử dụng mạng IP, bất cứ quá trình truyền thông tin nào đều phải thông qua lớp IP Như vậy, nếu bảo vệ được lớp mạng này nghĩa là chúng ta sẽ bảo vệ được toàn bộ mạng của mình Ở các lớp mạng khác, các thủ tục khác nhau có thể được sử dụng cho những mục đích khác nhau, tuỳ thuộc vào cấu trúc mạng và kiểu

việc phát triển 1 phương thức để làm công việc này Họ gọi phương thức này là bộ giao thức IPSEC Khi sử dụng IPSec chúng ta sẽ đảm bảo an toàn cho các tác vụ truyền thông trong mạng của tất cả các ứng dụng và tất cả người dùng một cách

"trong suốt" hơn nhiều so với các phương pháp đảm bảo an ninh khác

Kiến trúc giao thức IPSec:

Giao thức IPSec cung cấp 3 công nghệ khoá Những công nghệ này có thể loại bỏ các mối đe doạ đối với mạng IP

- Công nghệ đảm bảo tính xác thực và toàn vẹn dữ liệu cho IP Packet: Công nghệ này giúp các bên tham gia trao đổi thông tin có thể kiểm tra xem dữ liệu có bị sửa đổi trong quá trình chuyển tiếp hay không và dữ liệu có thực sự đến từ đúng nguồn hay không bằng việc gắn vào trong mỗi gói IP một dấu hiệu có thể kiểm tra được.Dấu hiệu đó được gọi là

AH (Authentication Header) AH được gắn vào giữa IP Header và IP Payload như sau:

AH sử dụng một checksum dạng mật mã là HMAC (Hashed Message Authentication Code) để đảm bảo tính toàn vẹn của dữ liệu trong gói tin

IP Trong môi trường Windows Server, hệ điều hành sử dụng thuật toán SHA1 (Secure Hash Algorithm 1) hoặc MD5 (Message-Digest algorithm 5) để tính toán HMAC cho giao tiếp IPSec

Hình 2.10: Kiến trúc giao thức IPSec

- Công nghệ đảm bảo tính bí mật dữ liệu cho IP Packet: Với công nghệ ESP (Encapsulating Security Payload) dữ liệu được mã hoá để đảm bảo không bị "nghe trộm" trong suốt quá trình truyền tin

Mỗi gói tin IP được thêm vào ESP Header và ESP Trailer ESP Trailer có trường Auth Data được tính theo thuật toán SHA1 hoặc MD5 Thành phần trong gói tin IP được mã hóa gồm có IP Payload và một phần của ESP Trailer Trong môi trường Windows, thuật toán mã hóa được sử dụng là DES (Data Encryption Standard), Triple-DES (3DES), và AES (Advanced Encryption Standard)

- Công nghệ thoả thuận giao thức (Protocol Negotiation) và trao đổi khoá Internet (IKE - Internet Key Exchange) cho phép các bên tham gia thoả thuận các phương pháp truyền thông an toàn Đây là một thủ tục đàm phán linh hoạt cho phép người sử dụng đồng ý phương pháp nhận thực, phương pháp mã hoá, các khoá sẽ dùng và thời gian sử dụng các khoá trước khi thay đổi khoá cũng như cho phép việc trao đổi khoá một cách

an toàn và thông minh

Thực thi IPSec trong NAP:

Ưu điểm khi chúng ta triển khai phương thức thực thi IPSec trong NAP:

- Luôn bắt buộc Client phải thi hành

Phương thức thực thi IPSec không cho phép Client chuyển sang trạng thái thỏa mãn CSTCM bằng việc cấu hình lại NAP client NAP client sẽ không nhận được “health certificate” hoặc thiết lập giao tiếp với các máy tính khác bằng cách thực hiện một số xảo thuật trên nó Điều này là rất quan trọng trong trường hợp người sử dụng có quyền Administrator

- Không cần phải nâng cấp hạ tầng hệ thống

Phương thức thực thi IPSec hoạt động tại tầng Internet trong mô hình TCP/IP, nó không phụ thuộc vào các thiết bị vật lý trong mạng như hub, switch, hay router

- Hạn chế truy cập mạng một cách linh hoạt

Với phương thức thực thi IPSec, những máy tính thỏa mãn chính sách có thể thiết lập giao tiếp với các máy không thỏa mãn chính sách nhưng không có chiều ngược lại Quản trị mạng có thể chỉ ra một số loại liên lạc cần phải xác thực thông qua “health certificate” và được bảo vệ bằng Ipsec; có thể tạo ra IP filter… Từ đó có thể kiểm soát quá trình truy cập mạng theo từng máy tính hay theo từng ứng dụng cụ thể

Phương thức thực thi IPSec chia hệ thống mạng thành 3 phần logic như sau:

- Secure Network: Đây là lớp mạng dành cho các máy tính có “health

certificates” và các máy này luôn yêu cầu xác thực khi khởi tạo kết nối với nó Trong môi trường Active Directory, chúng ta nên đặt các máy chủ

và máy trạm trong lớp secure network Khi thực thi NAP sử dụng IPSec, thì NAP health policy server và health requirement server được đặt tại lớp secure network

- Boundary network: Đây là lớp mạng dành cho các máy tính có “health

certificates” nhưng không yêu cầu kết nối tới nó phải xác thực Các máy tính đặt tại boundary network có thể được truy cập từ tất cả các máy trong toàn hệ thống mạng Nó có thể là máy chủ HRA và remediation server trong mô hình triển khai NAP IPSec

Hình 2.11: Các lớp mạng trong phương thức thực thi IPSec

- Restricted network: Đây là lớp mạng dành cho những máy tính không

có “health certificates” Các máy tính được đưa vào lớp này do không hoàn thành việc kiểm tra tình trạng sức khỏe hệ thống, không thỏa mãn CSTCM, hoặc các máy không được support bởi NAP…

Trên cơ sở phân chia hệ thống thành 3 lớp mạng logic như trên, khi thiết lập kết nối giao tiếp giữa các máy tính, sẽ xảy ra một số trường hợp như sau:

-

- Kết nối giữa các máy trong lớp Secure Network và Boundary Netwwork: Các máy tính thỏa mãn CSTCM trong lớp Secure Network hoặc lớp Boundary Network đều được cấp “health certificate” Khi các máy trong cùng một lớp thiết lập kết nối với nhau, chúng sẽ sử dụng các “health certificate” của mình để xác thực Quá trình xác thực ngang hàng thành công, giao tiếp giữa chúng sẽ được bảo vệ bởi IPSec

- Kết nối giữa các máy trong Restricted Network

Hình 2.12: Giao tiếp giữa các lớp mạng trong phương thức thực thi IPSec

Các máy tính trong Restricted Network là các máy không được hỗ trợ bởi NAP hoặc các máy không thỏa mãn CSTCM và không có “health certificate” Vì thế các máy này giao tiếp với nhau không được bảo vệ bởi IPSec

- Kết nối giữa Secure network và Boundary network

Khi các máy giữa 2 lớp tiến hành thiết lập kết nối, chúng sẽ cố gắng thử xác thực với “health certificate” Do các máy ở lớp Boundary Network cũng có “health certificate”, nên sự xác thực ngang hàng thành công và giao tiếp sẽ được bảo vệ bằng IPSec

- Kết nối từ Secure network tới restricted network

Khi một máy thỏa mãn CSTCM trong lớp Secure Network tiến hành thiết lập giao tiếp với một máy thuộc lớp Restricted Network, nó cũng sẽ thử quá trình xác thực ngang hàng sử dụng “health certificate” Do các máy tại Restricted Network không có “health certificate”, cho nên quá trình xác thực không thành công Tuy nhiên giao tiếp từ Secure Network tới nó vẫn được thiết lập, nhưng không được bảo vệ bởi IPSec

- Kết nối từ Restricted Network tới Secure Network

Khi một máy tính từ lớp Restricted Network cố gắng thiết lập kết nối tới lớp Secure Network, máy tính ở lớp Secure Network sẽ tự động hủy yêu cầu do yêu cầu chuyển tới nó không được mã hóa

- Kết nối từ Boundary Network tới Restricted Network

Khi máy tính tại Boundary Network thiết lập kết nối tới các máy thuộc Restricted Network, nó sẽ cố gắng thử xác thực bằng cách dung “Health Certificate” Tất nhiên do các máy ở lớp Restricted không có chứng chỉ, nên sự xác thực sẽ không thành công Khi đó, các máy tại lớp Boundry sẽ thiết lập kết nối mà không được bảo vệ bởi IPSec

- Kết nối từ Restricted Network tới Boundary Network

Máy tính thuộc lớp Restricted sẽ thiết lập kết nối không được bảo vệ bởi IPSec tới các máy thuộc Boundry Network Các máy tính thuộc lớp này cho phép kết nối tới nó không cần phải được bảo vệ, nó sẽ đáp trả lại yêu cầu kết nối của máy ở lớp Restricted Và kênh giao tiếp sẽ được thiết lập, kênh này không được bảo vệ bởi IPSec

Nguyên lý hoạt động:

1. IPsec NAP EC trên NAP client sử dụng giao thức HTTP hoặc HTTPS để gửi yêu cầu lấy “health certificate” và bản tin sức khỏe hệ thống SSoH tới máy chủ HRA

2. Máy chủ HRA chuyển tiếp bản tin SSoH tới máy chủ NAP health policy server thông qua thông điệp RADIUS Access-Request

3. NPS service ở trong máy chủ NAP health policy nhận được thông điệp RADIUS Access-Request, đọc bản tin SSoH trong đó, và chuyển SSoH tới NAP Administration Server

4. NAP Administration Server nhận bản tin SSoH, phân tích và gửi từng bản tin SoH tới đúng SHV tương ứng

5. SHV phân tích nội dung của bản tin SoH nhận được, và gửi trả lại NAP Administration Server bản tin SoHR

6. NAP Administration Server chuyển tiếp các bản tin SoHR tới NPS service

Hình 2.13: Nguyên lý hoạt động của phương thức thực thi IPSec

10. IPsec NAP EC chuyển bản tin SSoHR tới NAP Agent

11. NAP Agent tách thành các bản tin SoHR đưa tới đúng SHA tương ứng

12. Nếu NAP client thỏa mãn CSTCM, máy chủ HRA sẽ lấy “health certificate” từ máy chủ CA và gửi nó tới NAP Client

Trong trường hợp NAP Client hiện thời chưa thỏa mãn CSTCM, nó sẽ thực hiện quá trình remediation như sau:

1. SHA dựa vào bản tin SoHR nhận được sẽ thực hiện việc cập nhật cần thiết để đưa NAP Client thỏa mãn CSTCM

2. SHA sẽ chuyển bản tin trạng thái sức khỏe hệ thống đã được cập nhật tới NAP Agent

3. NAP Agent tập hợp các bản tin SoH nhận được, tạo ra bản tin SSoH và gửi nó tới IPsec NAP EC

4. Quá trình gửi và nhận thực hiện như trên, tới khi NAP Client thỏa mãn CSTCM

2.3.2 Phương thức thực thi 802.1X

IEEE 802.1x là một chuẩn do tổ chức IEEE đặt ra, với mục đích cung cấp một cách thức xác thực an toàn mang tính tiêu chuẩn cho hệ thống mạng, bao gồm

cả LAN và Wireless LAN Nội dung của chuẩn IEEE 802.1X có thể hiểu đơn giản

là “điều khiển truy cập mạng dựa trên port” Nó cho phép quyết định cho hay không truy cập mạng được thực hiện tại port Trừ khi port đã được xác thực, nếu không nó chỉ có thể được sử dụng để chuyển lưu lượng được kết hợp với quá trình xác thực Xác thực có thể dựa trên người dùng và được quản lý tại máy chủ xác thực tập trung Ngoài ra, 802.1x cung cấp các tuỳ chọn để phân phối khoá Với khả năng quản lý tập trung, quản lý người dùng thay vì thiết bị, bảo vệ mạng và phân phối khóa, các thiết bị truy cập mạng hỗ trợ 802.1X là một sự lựa chọn hợp lý đối với các nhà quản trị mạng hiện nay

Những thành phần trong mô hình xác thực theo chuẩn 802.1X:

- Thiết bị yêu cầu (Supplicant): Đây là một thiết bị đầu cuối yêu cầu truy cập đến mạng được bảo vệ bằng 802.1X Laptop, PDA,… là một số các

thiết bị yêu cầu thông dụng

- Thiết bị xác thực (Authenticator): Đây là những điểm truy cập mạng có

hỗ trợ 802.1X Các thiết bị này có thể là LAN Switch hay Wireless

Access Point

- Máy chủ xác thực (Authentication Server): Đây là một server thực hiện chức năng xác thực người dùng, cho phép hay ngăn chặn việc truy cập mạng dựa trên Username/Password hoặc Certificate … Thông thường

đây là máy chủ RADIUS

Chuẩn 802.1X sử dụng EAP (Extensible Authentication Protocol) hay chính xác hơn là EAP Encapsulation Over a wire or wireless LAN (EAPOL) để mang các thông tin xác thực giữa Supplicant và Authenticator Như tên đã ngụ ý “khả năng

mở rộng”, EAP có thể mang nhiều giao thức xác thực khác như MD5, TLS, PEAP, LEAP … Bất kể phương pháp EAP nào, tất cả các phiên xác thực 802.1X đều theo cùng cấu trúc chung.

EAP-Supplicant gửi một gói EAPOL-Start để chỉ rằng nó mong muốn được xác thực Authenticator sau đó gởi một EAP-Request/Identity để xác định người dùng nào muốn truy cập Authenticator có thể gởi thông điệp này ngay khi phát hiện Supplicant mà không cần nhận EAPOL-Start Supplicant tự giới thiệu nó bằng một trả lời EAP-Response/Identity Authenticator đặt trả lời vào RADIUS Access-Request gửi đến máy chủ xác thực Nếu xác thực thành công, máy chủ xác thực phát thông điệp RADIUS Access-Accept đến Authenticator, và Authenticator gửi EAP-Success đến Supplicant Nếu xác thực hỏng, máy chủ xác thực phát thông điệp RADIUS Acees-Reject đến Authenticator, sau đó thành phần này sẽ gửi một EAP-

Failure đến Supplicant

Authenticator chia port thành 2 loại là controlled và uncontrolled port Cả 2 loại controlled và uncontrolled port là cổng logic (virtual ports), chúng sử dụng chung kết nối vật lý vào mạng LAN Mỗi cổng vật lý có 2 cổng logic là controlled

và uncontrolled port Trước khi chứng thực, chỉ có uncontrolled port là "mở" và chỉ

có traffic được phép đi qua là EAPOL Sau khi Supplicant đã được chứng thực thành công, controlled port được “mở”, và được cho phép truy cập vào tài nguyên mạng nội bộ

Trong phương thức thực thi NAP 802.1X, ngoài các thành phần cơ bản như

trên, còn có NAP health policy server, 802.1X EC trên NAP client Máy chủ NAP

health policy sẽ quyết định xem tình trạng sức khỏe hệ thống của NAP client ra sao

và yêu cầu 802.1X access point cho phép hay hạn chết truy cập Trong môi trường Windows Vista và Windows Server 2008, 802.1X EC là EAP Quarantine enforcement client Còn trong môi trường Windows XP SP 3, có 2 loại EAP

enforcement client Đó là EAP Quarantine enforcement client cho kết nối có mạng dây thông thường và Wireless EAPOL Quarantine enforcement client cho

kết nối không dây Sau qua trình xác thực 802.1X và phân tích tình tráng sức khỏe

hệ thống, NAP client sẽ rơi vào 1 trong 3 trường hợp như sau: