Giải pháp định danh toàn cục trong quản trị mạng

Nếu hệ thống mạngcủa bạn có trên 10000 nghìn người sử dụng thường xuyên bạn làm cách nào để có thểthực thi cấu hình đến 10000 nút mạng đó, ngoài ra đối với công tác quản trị việc kiểmsoá

TÓM TẮT NỘI DUNG

Bài toán quản trị mạng luôn là một bài toán phức tạp đặc biệt là với các cơ quan tổchức lớn trên thế giới Làm sao để kiểm soát đến từng kết nối của người dùng đến hệthống mạng luôn là vấn đề đau đau với các nhà quản trị mạng Nếu hệ thống mạngcủa bạn có trên 10000 nghìn người sử dụng thường xuyên bạn làm cách nào để có thểthực thi cấu hình đến 10000 nút mạng đó, ngoài ra đối với công tác quản trị việc kiểmsoát truy cập vào hệ thống của 10000 người dùng càng khó khăn hơn

Ngày nay, mạng máy tính đã có những thay đổi cơ bản, từ các trung tâm dữ liệu (DataCenter) riêng lẻ, đến việc kết hợp lại thành Cloud Computing, cung cấp các dịch vụ,ứng dụng tập trung, … với mục đích cắt giảm chi phí, khả năng mở rộng và đảm bảotính linh hoạt

Trước nhưng thách thức đối với bài toán quản trị mạng yêu cầu cần phải có một công

cụ đảm bảo thực thi các cấu hình quản trị và giám sát trên hệ thống một cách tự động

Để làm được việc này bắt buộc phải xây dựng một cơ chế định danh thiết bị mạngtrên hệ thống và đặc biệt là phải định danh được cổng kết nối trên thiết bị mạng Nhờ

đó mới có thể quản trị được cấu hình trên từng cổng mạng

Trong khuôn khổ của luận văn chúng tôi tìm hiểu tổng quan về định danh toàn cục

áp dụng cho bài toán quản trị mạng Từ đó xây dựng ứng dụng quản trị cho phép thựchiện cấu hình quản trị thiết bị mạng trên hệ thống mạng

MỤC LỤC

TÓM TẮT NỘI DUNG 1

MỤC LỤC 2

PHỤ LỤC TỪ VIẾT TẮT 4

DANH MỤC HÌNH VẼ 5

DANH MỤC BẢNG BIỂU 7

LỜI CẢM ƠN 8

LỜI CAM ĐOAN 9

LỜI NÓI ĐẦU 10

CHƯƠNG 1: QUẢN TRỊ TÀI NGUYÊN HỆ THỐNG MẠNG 12

1.1 Tổng quan về Quản trị mạng 12

1.1.1 Quản trị mạng và thách thức đối với hệ thống công nghệ thông tin 12 1.1.2 Mô hình quản trị hệ thống mạng 14

1.1.3 Thực trạng và thách thức trong Quản trị mạng 16

1.2 Xây dựng phương thức quản trị mạng 17

1.2.1 Tài nguyên trong hệ thống mạng 17

1.2.2 Phương thức quản trị tài nguyên hệ thống mạng 17

1.2.3 Port Security 23

1.2.4 Giải pháp giám sát truy cập 26

1.3 Tiểu kết chương 1 29

CHƯƠNG 2: HỆ THỐNG ĐỊNH DANH TOÀN CỤC 30

2.1 Cấu trúc hệ thống định danh 30

2.1.1 Không gian miền 30

2.1.2 Giải pháp miền 32

2.1.3 Định danh người dùng trên thiết bị mạng 33

2.2 Kiểm soát hệ thống mạng dựa trên định danh toàn cục 34

2.2.1 Phân loại thiết bị trong hệ thống mạng 37

2.2.2 Kiểm soát các thiết bị trong hệ thống mạng 37

CHƯƠNG 3: ỨNG DỤNG QUẢN TRỊ MẠNG DỰA TRÊN ĐỊNH DANH TOÀN CỤC 41

3.1 Kiểm soát truy cập cổng mạng 41

3.2 Xây dựng hệ cơ sở dữ liệu cổng mạng và thiết bị mạng 43

3.2.1 Hệ cơ sở dữ liệu thiết bị chuyển mạch 43

3.2.2 Hệ cơ sở dữ liệu cổng mạng 48

3.3 Mô tả ứng dụng 49

3.4 Tích hợp với thiết bị mạng 52

KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN CỦA ĐỀ TÀI 55

TÀI LIỆU THAM KHẢO 56

PHỤ LỤC TỪ VIẾT TẮT

DANH MỤC HÌNH VẼ

Hình 1 Quản trị mạng trong hệ thống 13

Hình 2 Mô hình ba lớp 15

Hình 3: Kiểm soát truy cập 19

Hình 4 Cơ chế hoạt động 802.1x 20

Hình 5 Cơ chế hoạt động của Port security 21

Hình 6: Ví dụ về Port Security 22

Hình 7 Các thức hoạt động của port security 23

Hình 8: Mô tả cách thức check hành vi vi phạm 24

Hình 9: Cơ chế kiểm soát truy cập vào hệ thống mạng chia sẻ của doanh nghiệp 27

Hình 10 Cửa sổ thông báo PC của người dùng không an toàn và cần phải sửa chữa 28

Hình 11 Quá trình sửa chữa 29

Hình 12: Mô tả tổ chức không gian tên 32

Hình 13: Cơ chế định danh người dùng trên cổng mạng 33

Hình 14: Đề xuất giải pháp bảo mật của Juniper 35

Hình 15: Mô tả mô hình 3 lớp 36

Hình 16: Mô tả cách thức gán Mac của người dùng vào hệ thống 38

Hình 17 Chặn kết nối của người dùng truy cập trái phép 38

Hình 18 Hệ thống kiểm soát truy cập sử dụng mô hình client server 40

Hình 19: Mô hình hoạt động của NAC 42

Hình 20: Mô hình xác thực kết hơp với ứng dụng quản trị 43

Hình 21: Thông tin người dùng 50

Hình 22: Thông tin thiết bị chuyển mạch 51

Hình 23: Cấp phát tài nguyên cho người dùng 51

Hình 24: Kiểm tra cấu hình trước khi đẩy lệnh vào thiết bị chuyển mạch 52

Hình 25: Theo dõi tác vụ cấu hình cấp phát tài nguyên 52

Hình 26: Cấu hình ứng dụng đẩy lên thiết bị chuyển mạch 53

DANH MỤC BẢNG BIỂU

Bảng 1: Cấu hình Port Security Cisco 26Bảng 2: Cấu hình và kiểm tra Port Security của Cisco 35Bảng 3: Cấu hình Port Security của Juniper 36Bảng 4: Ví dụ thực tiễn về cách đặt tên thiết bị chuyển mạch tại Tổng cục thuế 48

LỜI CẢM ƠN Lời đầu tiên, tôi xin chân thành cảm ơn PGS.TS Hà Quốc Trung – giảng viên bộ

môn Truyền thông và Mạng máy tính – đã hết sức quan tâm, tận tình giúp đỡ cũngnhư chỉ bảo, định hướng và tạo mọi điều kiện thuận lợi nhất giúp tôi hoàn thành luậnvăn của mình

Tôi cũng xin cảm ơn các thầy giáo, cô giáo trong trường Đại học Bách Khoa Hà Nội,Viện Đào tạo Sau đại học, đặc biệt là các thầy cô giáo của Viện Công nghệ thông tin

và Truyền thông đã hết lòng dạy bảo, truyền đạt những kiến thức kinh nghiệm chotôi trong suốt thời gian học tập ở bậc Cao học

Cuối cùng tôi xin được gửi lời cảm ơn sâu sắc nhất tới gia đình và người thân đã hếtlòng ủng hộ, khích lệ tinh thần và luôn động viên tôi vào những lúc khó khăn nhất đểtôi có thêm động lực hoàn thành luận văn này

LỜI CAM ĐOAN

Tôi – Vũ Thanh Minh – xin cam đoan kết quả đạt được trong luận văn là sản phẩmnghiên cứu, tìm hiểu của riêng cá nhân tôi và giảng viên hướng dẫn Trong toàn bộnội dung của luận văn, những điều được trình bày hoặc là của cá nhân tôi hoặc làđược tổng hợp từ nhiều nguồn tài liệu Tất cả các tài liệu tham khảo đều có xuất xứ

rõ ràng và được trích dẫn hợp pháp

Tôi xin hoàn toàn chịu trách nhiệm và chịu mọi hình thức kỷ luật theo quy định cholời cam đoan của mình

Hà Nội, tháng 04 năm 2015Tác giả Luận văn Thạc sỹ

Vũ Thanh Minh

LỜI NÓI ĐẦU

Lý do chọn đề tài

Bài toán quản trị và vận hành thiết bị mạng ngày càng cấp bách căn cứ theo yêu cầuthực tế đó đề tài được xây dựng với mong muốn đưa ra được hệ quản trị các thiết bịmạng trên một hệ thống hợp nhất và nhằm đáp ứng yêu cầu cụ thể của bài toán kiểmsoát truy cập trong các cơ quan/tổ chức/doanh nghiệp

Hệ thống công nghệ thông tin của các cơ quan/tổ chức ngày càng mở rộng Việc kiểmsoát và vận hành hiệu quả là yêu cầu tất yếu do vậy việc quản trị tập trung các thànhphần trong hệ thống công nghệ thông tin là bắt buộc tuy nhiên do thực tế khách quancác thành phần trên hệ thống không có sự thống nhất về chủng loại, tính năng vàphương thức vận hành Do vậy đề tài được xây dựng nhằm mục đích xây dựng hệ cơ

sở dữ liệu cổng mạng và Switch và quản trị kiểm soát kết nối của các thành phần khácđến switch

Các hãng sản xuất khác nhau đưa ra các công cụ quản trị khác nhau dành cho cácthiết bị mạng Các phần mềm quản trị đó thông thường hay gặp vấn đề với việc tíchhợp với các hệ thống khác mà hãng không cung cấp Ngoài ra việc định danh chi tiếtđến các cổng kết nối mạng gần như không có Chính vì lý do đó tôi chọn đề tài địnhdanh toàn cục trong quản trị mạng với mục đích xây dựng một ứng dụng phát triểntrên cơ sở lý thuyết định danh toàn cục để tháo gỡ các vướng mắc của các công cụquản trị mạng khác đang gặp phải

Mục tiêu của luận văn

Qua phân tích, chúng tôi nhận thấy việc phát triển ứng dụng quản trị mạng dựa trên

lý thuyết về định danh toàn cục là hoàn toàn hợp lý Do vây mục tiêu của luận văn làxây dựng ứng dụng cho phép:

 Xây dựng được hệ cơ sở dữ liệu quản trị cổng mạng của Switch

 Quản trị cấu hình cổng Switch dựa trên bài toán cụ thể kiểm soát truy cập hệthống mạng

Tóm tắt nội dung

 Tìm hiểu về định danh toàn cục

 Đề xuất được phương án đinh danh toàn cục trong bài toán quản trị mạng

 Xây dựng phương pháp quản trị cho hệ thống thiết bị chuyển mạch dựa trênhai tính năng Port Security và 802.1x của thiết bị chuyển mạch hỗ trợ

 Xây dựng ứng dụng cấu hình thiết bị chuyển mạch tự động

Phương pháp nghiên cứu

Nghiên cứu về đinh danh toàn cục kết hợp với phân tích các bài toán quản trị mạnggặp phải đặc biệt là kiểm soát truy cập vào thiết bị chuyển mạch Từ đó xây dựng ứngdụng hỗ trợ quản trị hệ thống mạng nhằm giải quyết các vấn đề gặp phải

CHƯƠNG 1: QUẢN TRỊ TÀI NGUYÊN HỆ THỐNG MẠNG

1.1 Tổng quan về Quản trị mạng

1.1.1 Quản trị mạng và thách thức đối với hệ thống công nghệ thông tin

Ngày nay với một lượng lớn về thông tin, nhu cầu xử lý thông tin ngày càng cao.Mạng máy tính hiện nay trở nên quá quen thuộc đối với chúng ta, trong mọi lĩnh vựcnhư khoa học, quân sự, quốc phòng, thương mại, dịch vụ, giáo dục Hiện nay ở nhiềunơi mạng đã trở thành một nhu cầu không thể thiếu được Người ta thấy được việckết nối các máy tính thành mạng cho chúng ta những khả năng mới to lớn như:

 Sử dụng chung tài nguyên: Những tài nguyên của mạng (như thiết bị, chươngtrình, dữ liệu) khi được trở thành các tài nguyên chung thì mọi thành viên củamạng đều có thể tiếp cận được mà không quan tâm tới những tài nguyên đó ởđâu

 Tăng độ tin cậy của hệ thống: Người ta có thể dễ dàng bảo trì máy móc và lưutrữ (backup) các dữ liệu chung và khi có trục trặc trong hệ thống thì chúng cóthể được khôi phục nhanh chóng Trong trường hợp có trục trặc trên một trạmlàm việc thì người ta cũng có thể sử dụng những trạm khác thay thế

 Nâng cao chất lượng và hiệu quả khai thác thông tin: Khi thông tin có thể được

sử dụng chung thì nó mang lại cho người sử dụng khả năng tổ chức lại cáccông việc với những thay đổi về chất như:

 Ðáp ứng những nhu cầu của hệ thống ứng dụng kinh doanh hiện đại

 Cung cấp sự thống nhất giữa các dữ liệu

 Tăng cường năng lực xử lý nhờ kết hợp các bộ phận phân tán

 Tăng cường truy nhập tới các dịch vụ mạng khác nhau đang được cungcấp trên thế giới

Xu thế phát triển mạnh mẽ về công nghệ thông tin, hệ thống thông tin ngày càng lớnđiều đó làm phát sinh một số lượng lớn các công cụ quản trị hệ thống đòi hỏi ngườiquản trị tốn nhiều thời gian danh cho việc nghiên cứu sử dụng các công cụ khác nhau

để vận hành các hệ thống khác nhau

Hình 1 Quản trị mạng trong hệ thốngQuản trị mạng thực chất bao gồm các công tác:

 Vận hành hệ thống: thực thi các điều khiển hệ thống đảm bảo hệ thống hoạtđông hiệu quả liên tục

 Giám sát hệ thống: phân tích theo dõi hệ thống phát hiện các rủi do trên hệthống

Quay trở lại bài toán quản trị đối với một doanh nghiệp/tổ chức hơn 5000 người Đểđảm bảo cung cấp dịch vụ công nghệ thông tin cho 5000 người tối thiểu hệ thốngthông tin cũng cần phải có 400 thiết bị chuyển mạch (24 port) hàng trăm thiết bị máychủ và bảo mật Riêng với thiết bị chuyển mạch hiện tại các sản phẩm thương mạiđược các hãng cung cấp rất nhiều.bao gồm: Cisco, Juniper, HP, …Đặc biệt đối vớimôi trường thực tế tại Việt Nam bài toán đầu tư rất dàn trải và không rõ ràng như vậytối tối thiểu người quản trị hệ thống phải thực thi công tác vận hành và giám sát trên

400 thiết bị chuyển mạch khác nhau với các công cụ khác nhau Bài toán đặt ra đốivới công tác quản trị chính là:

 Vận hành và giám sát tập chung hệ thống

 Cơ chế cung cấp tài nguyên tự động không phụ thuộc vào chủng loại thiết bị

 Kiếm soát truy cập người dùng

Với nhu cầu đòi hỏi ngày càng cao của xã hội nên vấn đề kỹ thuật trong mạng là mốiquan tâm hàng đầu của các nhà tin học Ví dụ như làm thế nào để truy xuất thông tinmột cách nhanh chóng và tối ưu nhất, trong khi việc xử lý thông tin trên mạng quánhiều đôi khi có thể làm tắc nghẽn trên mạng và gây ra mất thông tin một cách đángtiếc Hiện nay việc làm thế nào để vận hành tốt một hệ thống mạng, an toàn với lợiích kinh tế cao đang rất được quan tâm Một vấn đề đặt ra có rất nhiều giải pháp vềcông nghệ, một giải pháp có rất nhiều yếu tố cấu thành, trong mỗi yếu tố có nhiềucách lựa chọn Như vậy để đưa ra một giải pháp hoàn chỉnh, phù hợp thì phải trải quamột quá trình chọn lọc dựa trên những ưu điểm của từng yếu tố, từng chi tiết rất nhỏ

Ðể giải quyết nhưng vấn đề trên, luận văn này trình bày: “GIẢI PHÁP ĐỊNH DANH TOÀN CỤC TRONG QUẢN TRỊ MẠNG”

1.1.2 Mô hình quản trị hệ thống mạng

Ngày nay đa phần các hệ thống mạng được xây dựng theo mô hình “ba lớp”:

Mô hình này gồm có ba lớp: Access, Distribution, và Core Mỗi lớp có các thuộc tínhriêng để cung cấp cả chức năng vật lý lẫn luận lý ở mỗi điểm thích hợp trong mạngCampus Việc hiểu rõ mỗi lớp và chức năng cũng như hạn chế của nó là điều quantrọng để ứng dụng các lớp đúng cách quá trính thiết kế

Hình 2 Mô hình ba lớp

 Lớp truy cập (Access) Lớp truy cập xuất hiện ở người dùng đầu cuối được kếtnối vào mạng Các thiết bị trong lớp này thường được gọi là các switch truycập, và có các đặc điểm sau:

 Chi phí trên mỗi port của switch thấp

 Mật độ port cao

 Mở rộng các uplink đến các lớp cao hơn

 Chức năng truy cập của người dùng như là thành viên VLAN, lọc lưulượng và giao thức, và QoS

 Chức năng kiểm soát truy cập của người dùng

 Tính co dãn thông qua nhiều uplink

 Lớp phân phối (Distribution) Lớp phân phối cung cấp kết nối bên trong giữalớp truy cập và lớp nhân của mạng Campus Thiết bị lớp này được gọi là cácswitch phân phát, và có các đặc điểm như sau:

 Thông lượng lớp ba cao đối với việc xử lý gói

 Chức năng bảo mật và kết nối dựa trên chính sách qua danh sách truycập hoặc lọc gói.

 Tính năng QoS

 Tính co dãn và các liên kết tốc độ cao đến lớp Core và lớp Access

 Lớp nhân (Core) Lớp nhân của mạng Campus cung cấp các kết nối của tất cảcác thiết bị lớp phân phối Lớp nhân thường xuất hiện ở phần xương sống(backbone) của mạng, và phải có khả năng chuyển mạch lưu lượng một cáchhiệu quả Các thiết bị lớp nhân thường được gọi là các backbone switch, và cónhững thuộc tính sau:

 Thông lượng ở lớp 2 hoặc lớp 3 rất cao

 Bài toán về tiết kiệm chi phí và nguồn lực luôn được đặt lên hàng đầu

 Các hệ thống quản trị mạng tập chung của các hãng công nghệ chỉ hỗ trợ cácthiết bị của chính hãng đó Một hạn chế lớn của các hệ thống quản trị thiếu

một cơ chế tự động cấp phát tài nguyên hệ thống cho người sử dụng, không có

cơ sở dữ liệu quản trị người dùng

Ví dụ: Cisco có hệ thống Cisco Primer Infrastructure, Juniper có hệ thống Juniper NSM

1.2 Xây dựng phương thức quản trị mạng

Bài toán quản trị mạng trên môi trường mạng diện rông yêu cầu phải xác định đượccác thành phần hai nói cách khác là tài nguyên của hệ thống mạng được quản lý Đốivới bài toán thực tế của luận văn đó chính là quản trị hệ thống thiết bị chuyển mạch(Swich) mà đối tượng cụ thể chính là cổng Switch, bên cạnh đó là phương thức quảntrị đối với đối tượng là “Tài nguyên hệ thống” Vậy để làm rõ yêu cầu thực tế này,trong khuôn khổ của luận văn xin được phép phân tích rõ thêm về tài nguyên cổngmạng của hệ thống

Bài toán quản trị đối với cổng Switch:

 Quản lý cấp phát tài nguyên: cấp phát cho người sử dụng

 Quản lý chính sách tài nguyên: cấp phát chính sách truy cập cho người sử dụng

 Kiểm soát truy cập của người sử dụng

1.2.1 Tài nguyên trong hệ thống mạng

Tài nguyên trong hệ thống mạng chính là các cổng kết nối, tương tự như tài nguyênRam, CPU của máy tính Để các phần mềm hoạt đông được hệ điều hành cần cungcấp tài nguyên hệ thống cho việc vận hành các phần mềm Tương tự như vậy tàinguyên port mạng được dùng cung cấp cho người dùng

1.2.2 Phương thức quản trị tài nguyên hệ thống mạng

Phương thức quản trị mạng chính là giải quyết bài toán quản trị cổng mạng đối với

hệ thống thiết bị chuyển mạch

 Quản lý cấp phát tài nguyên:

Yêu cầu thứ nhất đối với các công cụ quản lý hệ thống Swich hiện nay chính là không

có cơ chế quản lý cấp phát tài nguyên cho người dùng Để giải quyết bài toán nàyphương thức đề xuất là sử dụng cơ chế định danh người dùng trên hệ thống mạng.Đối với yêu cầu này nên sử dụng địa chỉ Mac để định danh máy tính của người dùngtrên hệ thống Switch Như vậy mỗi máy tính sẽ có duy nhất một Mac được gán với

một hay nhiều cổng switch, điều này tương ứng với việc người dùng được cấp chomột hay nhiều cổng kết nối đến Switch.

Yêu cầu thứ hai là tài nguyên cổng mạng được phân bổ trên nhiều thiết bị Switchkhác nhau nên cần thiết phải đưa ra cơ chế quản trị tập trung với các Switch

 Quản lý chính sách tài nguyên:

Để quản lý chính sách cho từng nhóm người dùng cụ thể công cụ quản trị cần xâydựng các mẫu chính sách khác nhau cho từng nhóm Đối với quản trị trên hệ thốngSwitch có thể sử dụng các chính sách:

 Quản trị thông qua xác thực người dùng(802.1x)

 Phân lớp người dùng Ví dụ như chia người dùng vào các nhóm mạngkhác nhau trên hệ thống

 Chính sách về port security

 Kiểm soát truy cập của người sử dụng

Để thực hiện được việc kiểm soát truy cập của người dùng vào hệ thống bắt buộc phảithực hiện định danh người dùng trên hệ thống đó Có hai cơ chế kiểm soát được sửdụng chủ yếu trên các hệ thống:

 Xác thực người dùng sử dụng username và password (802.1x)

Đối với cơ chế này Switch sẽ đóng vai trò trung gian giữa người dùng và máy chủxác thực thông qua giao tiếp EAP Do vậy để hỗ trợ được cơ chế này người quản trị

hệ thống mạng cần thực hiện cấu hình 802.1x trên cổng mạng trực tiếp kết nối đếnngười dùng

Giải pháp sử dụng 802.1x hỗ trợ nhiều công cụ trong việc kiểm soát truy cập củangười dùng vào hệ thống

Hình 3: Kiểm soát truy cập

- Kiểm soát tuân thủ cài đặt phần mềm: cung cấp danh sách các phần mềm bắtbuộc phải cài đặt trển hê thống

- Kiểm soát cập nhật bản vá: cung cấp khả năng yêu cầu cập nhật bản vá của hệđiều hành, phần mềm diệt virust

- Kiểm soát danh tính người dùng: yêu cầu bắt buộc để truy cập được vào hệthống là người dùng phải có thông tin tài khoản trên hệ thống, máy tính củanguwoif dùng phải nằm trong hệ thống

- Hỗ trợ phân loại máy tính người dùng kết nối đến hệ thống theo phiên bản hệđiều hành: Window, Linux, Mac, android, IOS…

1 Do vậy một trong các yêu cầu bắt buộc đó là phân hệ quản trị mạng phải thựchiện cấu hình tích hợp giữa cổng mạng với giải pháp kiểm soát truy cập.(thamchiếu tài liệu 5 Cisco Nac)

Hình 4 Cơ chế hoạt động 802.1x

 Định danh người dùng bằng cách sử dụng port security định danh ngườidùng trên hệ thống Switch dựa vào địa chỉ Mac

Hình 5 Cơ chế hoạt động của Port securityCổng an ninh để bảo vệ switch từ các nguy hiểm tấn công Địa chỉ MAC bằng cáchhạn chế số lượng tối đa của địa chỉ MAC có thể được học trên cổng Cổng PortSecurity với tính năng được kích hoạt sẽ tìm hiểu các địa chỉ MAC tự động / tĩnh.Khi số lượng địa chỉ MAC học đạt tối đa, cổng sẽ ngừng học tập Vì vậy, các thiết bịvới địa chỉ MAC không thể học được không thể truy cập vào mạng thông qua cổngnày.

Ở đây chúng tôi sẽ cung cấp cho bạn một trường hợp để cho bạn biết làm thế nào đểcấu hình các ứng dụng bảo mật cổng

Hình 6: Ví dụ về Port Security

1.2.3 Port Security

Hình 7 Các thức hoạt động của port securityThiết bị chuyển mạch cung cấp khả năng cấu hình giới hạn các địa chỉ MAC của cácmáy tính kết nối vào hệ thống Switch (tham chiếu tài liệu Cisco Port Security) Có badạng thức bảo mật:

 Static secure MAC address: đây là dạng thức cấu hình cho phép gán tĩnh địachỉ MAC vào port Tính năng này hoàn toàn phù hợp với việc sử dụng cungcấp kết nối có bảo mật cho người dùng cuối

 Dynamic secure MAC address: tính năng này cho phép Switch thực hiện cơchế tự học địa chỉ MAC trên hệ thống Được sử dụng cho trường hợp không

có đủ thông tin kết nối của thiết bị đầu cuối

 Sticky secure MAC address: tính năng cho phép lưu thông tin MAC trên thôngtin cấu hình Swich một cách tự động Trường hợp này được sử dụng chotrường hợp cổng mạng kết nối chắc chắn có duy nhất một thiết bị đầu cuối kếtnối vào

Hành vi vi phạm

Hình 8: Mô tả cách thức check hành vi vi phạmHành vi vi phạm của người dùng được mô tả qua tình huống sau:

Máy tính cắm vào cổng số 4 của thiết bị chuyển mạch có địa chỉ MAC khác với địachỉ MAC cấu hình cho phép trên thiết bị chuyển mạch do đó thiết bị chuyển mạch sẽđưa cổng mạng số 4 về trạng thái chờ, khi đó máy tính sẽ không kết nối vào được hệthống

Switchport Security Aging:

Một tùy chọn khác có sẵn khi cấu hình bảo mật cổng mạng đó là xây dựng cơ chế chophép gỡ bỏ địa chỉ MAC sau một khoảng giới hạn thới gian

Có hai phương pháp khác nhau của việc thực hiện gỡ bỏ địa chỉ MAC, bao gồm:

 Absolute: Khi sử dụng phương pháp này, sau một khoảng thời gian “agingtime” thì địa chỉ MAC học được sẽ bị xóa bỏ.(tham chiếu tài liệu Cisco PortSecurity)

 Inactivity: Khi sử dụng phương pháp này, sau một khoảng thời gian agingtime, nếu như không có traffic với source MAC là MAC đã học đi vào port thìMAC đó mới bị xóa đi.(tham chiếu tài liệu Cisco Port Security)

Ví dụ nếu như aging type là absolute (switchport port-security aging type absolute)

và aging time là 1 phút (switchport port-security aging time 1) thì cứ sau 1 phút là

địa chỉ MAC đã học được trên port security sẽ bị xóa đi, bất kể có traffic đến hay

không Nếu aging type là inactivity (switchport port-security aging type inactivity)

và aging time là 1 phút thì trong vòng 1 phút, nếu như không có traffic nào với sourceMAC là địa chỉ MAC đã học đi vào port thì MAC đó sẽ bị xóa đi Chừng nào còntraffic thì MAC còn tồn tại(tham chiếu tài liệu Cisco Port Security)

Cấu hình Switchport Security

Trước khi cấu hình chế độ yêu cầu quản trị viên cần lưu ý:

Cơ chế cấu hình bảo mật cổng mạng chỉ có thể được cấu hình trên được ở hai chế độcổng mạng: “mode access” và “mode trunk”

Cơ chế cấu hình bảo mật cổng mạng không hỗ trợ cấu hình ở “mode SPAN”

Cơ chế cấu hình bảo mật cổng mạng không hỗ trợ trạng thái cổng cấu hình dạngEtherchannel

Khi cấu hình bảo mật cổng mạng với một cổng thuộc “VLAN thoại” phải chú ý đếngiới hạn số địa chỉ MAC trên cổng mạng

Dưới đây là bảng cấu hình chi tiết của port security:

1 router#configure terminal Truy cập vào mode cấu

4 router(config-if)#switchport

port-security

Bật port-security

port-security mac-address mac-address [vlan

{vlan-id | {access | voice}]

Cấu hình gán tĩnh địachỉ Mac

gỡ bỏ địa chỉ MACBảng 1: Cấu hình Port Security Cisco

1.2.4 Giải pháp giám sát truy cập

Với một thế giới của những tên trộm dữ liệu, những mối de dọa về sâu và virus trênmạng ngày nay, sự cần thiết phải tuân theo những chính sách riêng biệt nào đó, việckết hợp chặt chẽ kỹ thuật điều khiển truy cập mạng (Network Access Control - NAC)vào cơ sở hạ tầng mạng không phải là một tùy chọn mà đúng hơn là một tiêu chuẩnbắt buộc .(tham chiếu tài liệu 5 Cisco Nac)

NAC là một chính sách có hiệu lực, nó gần như được thắt chặt với các quá trình làmviệc của cơ quan, tổ chức

Để trả lời câu hỏi làm thế nào để chọn đúng phương pháp NAC cho hệ thống mạng,

có hai điều kiện tiên quyết phải được thỏa mãn

 Thứ nhất, kiểm tra tính sẵn sàng của hệ thống trước khi tích hợp với NAC

 Thứ hai, xây dựng chính sách quy định rõ các yêu cầu tuân thủ của thiết bịđược kết nối vào hệ thống mạng

Tìm hiểu NAC

Hệ thống NAC cho phép:

 Xác thực người dùng

NAC cho phép hệ thống xác thực và cấp phép quyền truy cập hệ thống chính xác tớitừng người dùng khi đăng nhập vào hệ thống Mỗi người dùng sẽ được gán vào cácnhóm và có quyền truy xuất dữ liệu theo chính sách mà người quản trị chỉ định chonhóm người dùng đó Cisco NAC hỗ trợ hai phương thức xác thực người dùng baogồm khả năng xác thực người dùng thông qua cơ sở dữ liệu NAC và khả năng xácthực người dùng với hệ thống Active Directory của doanh nghiệp .(tham chiếu tàiliệu 5 Cisco Nac)

 Phân tích đánh giá

Trước khi được phép đăng nhập để truy xuất dữ liệu tài nguyên của các máy chủ trongvùng mạng tin cậy của doanh nghiệp, các máy tính của người dùng tại vùng mạngkhông tin cậy sẽ được hệ thống NAC phân tích về tình trạng bảo mật hiện nay từ đóđưa ra các đánh giá về độ an toàn của thiết bị khi truy cập vào hệ thống Chỉ có nhữngmáy tính được NAC đánh giá là an toàn mới có thể truy cập vào hệ thống mạng dữliệu chia sẻ của doanh nghiệp .(tham chiếu tài liệu 5 Cisco Nac)

Hình 9: Cơ chế kiểm soát truy cập vào hệ thống mạng chia sẻ của doanh nghiệp

 Cách ly các thiết bị không đạt yêu cầu

Sau quá trình phân tích và đánh giá NAC sẽ cô lập những máy tính bị phát hiện là cócác lỗ hổng bảo mật có thể gây nguy hiểm cho hệ thống như chạy các dịch vụ, mởcác cổng có thể để hacker lợi dụng để tấn công, thiếu các bản vá lỗi hệ điều hành củaMicrosoft, thiếu các chương trình diệt Virus hoặc các chương trình diệt Virus đókhông được cập nhập phiên bản mới nhất Việc cô lập này là hoàn toàn tự động vàkhông cho phép các máy tính này có thể truy cập vào hệ thống mạng của doanh nghiệpcho đến khi nào các máy tính hoàn tất quá trình sửa chữa.

 Cập nhật và sửa chữa

Các máy tính sau khi bị đưa vào vùng cô lập do không đảm bảo về các chính sáchbảo mật của doanh nghiệp sẽ được NAC tự động cập nhật và sữa chữa những lỗ hổngbảo mật đó Việc cập nhật và sửa chữa này là hoàn toàn tự động

Hình 10 Cửa sổ thông báo PC của người dùng không an toàn và cần phải sửa chữa.Như hình ảnh minh hoạ ở trên những PC không đáp ứng đầy đủ những yêu cầu bảomật của doanh nghiệp sẽ được NAC tự động đưa vào quá trình cập nhật và sửa chưathông qua việc cửa sổ hiện thị thông báo Người dùng đơn giản là bấm vào nútContinue để nhận những hướng dẫn cho việc sửa chữa