Kết nối từ xa và các giao thức truy cập từ xa
Giáo trình đào tạo Quản trị mạng thiết bị mạng kết nối trực tiếp mạng Người dùng từ xa kết nối tới mạng thơng qua máy chủ dịch vụ gọi máy chủ truy cập (Access server) Khi người dùng từ xa sử dụng tài nguyên trên mạng máy tính kết nối trực tiếp mạng Dịch vụ truy nhập từ xa cung cấp khả tạo lập kết nối WAN thông qua mạng phương tiện truyền dẫn giá thành thấp mạng thoại công cộng Dịch vụ truy cập từ xa cầu nối để máy tính hay mạng máy tính thơng qua nối đến Internet theo cách coi hợp lý với chi phí không cao, phù hợp với doanh nghịêp, tổ chức qui mô vừa nhỏ Khi lựa chọn thiết kế giải pháp truy cập từ xa, cần thiết phải quan tâm đến yêu cầu sau: − Số lượng kết nối tối đa để phục vụ người dùng từ xa − Các nguồn tài nguyên mà người dùng từ xa muốn muốn truy cập − Cơng nghệ, phương thức thơng lượng kết nối Ví dụ, kết nối sử dụng modem thơng qua mạng điện thoại cơng cộng PSTN, mạng số hố tích hợp dịch vụ ISDN − Các phương thức an toàn cho truy cập từ xa, phương thức xác thực người dùng, phương thức mã hoá liệu − Các giao thức mạng sử dụng để kết nối I.2 Kết nối truy cập từ xa giao thức sử dụng truy cập từ xa 1.Kết nối truy cập từ xa Tiến trình truy cập từ xa mô tả sau: người dùng từ xa khởi tạo kết nối tới máy chủ truy cập Kết nối tạo lập việc sử dụng giao thức truy cập từ xa (ví dụ giao thức PPP- Point to Point Protocol) Máy chủ truy cập xác thực người dùng chấp nhận kết nối kết thúc người dùng người quản trị hệ thống Máy chủ truy cập đóng vai trị gateway việc trao đổi liệu người dùng từ xa mạng nội Bằng việc sử dụng kết nối này, người dùng từ xa gửi nhận liệu từ máy chủ truy cập Dữ liệu truyền khuôn dạng định nghĩa giao thức mạng (ví dụ giao thức TCP/IP) sau đóng gói Trung tâm Điện tốn Truyền số liệu KV1 189 Giáo trình đào tạo Quản trị mạng thiết bị mạng giao thức truy cập từ xa Tất dịch vụ nguồn tài nguyên mạng người dùng từ xa sử dụng thơng qua kết nối truy cập từ xa (hình 5.1) Hình 5.1 Giao thức truy cập từ xa SLIP (Serial Line Interface Protocol), PPP Microsoft RAS giao thức truy cập để tạo lập kết nối sử dụng truy cập từ xa SLIP giao thức truy cập kết nối điểm-điểm hỗ trợ sử dụng với giao thức IP, khơng cịn sử dụng Microsoft RAS giao thức riêng Microsoft hỗ trợ sử dụng với giao thức NetBIOS, NetBEUI sử dụng phiên cũ Microsoft PPP giao thức truy cập kết nối điểm-điểm với nhiều tính ưu việt, giao thức chuẩn hầu hết nhà cung cấp hỗ trợ RFC 1661 định nghĩa PPP Chức PPP đóng gói thơng tin giao thức lớp mạng thông qua liên kết điểm – điểm Cơ chế làm việc vận hành PPP sau: Để thiết lập truyền thông, đầu cuối liên kết PPP phải gửi gói LCP (Link Control Protocol) để thiết lập kiểm tra liên kết liệu Sau liên kết thiết lập với tính tùy chọn đặt thỏa thuận hai đầu liên kết, PPP gửi gói NCP (Network Control Protocol) để lựa chọn cấu hình nhiều giao thức lớp mạng Mỗi lần giao thức lớp mạng lựa chọn cấu hình, lưu lượng từ giao thức lớp mạng gửi qua liên kết Trung tâm Điện toán Truyền số liệu KV1 190 Giáo trình đào tạo Quản trị mạng thiết bị mạng Liên kết tồn gói LCP NCP đóng kết nối đến kiện bên xẩy (chẳng hạn kiện hẹn hay can thiệp người quản trị) Nói cách khác PPP đường mở đồng thời cho nhiều giao thức PPP khởi đầu phát triển môi trường mạng IP, nhiên thực chức độc lập với giao thức lớp sử dụng cho giao thức lớp mạng khác Như đề cập, PPP đóng gói thủ tục lớp mạng cấu hình để chuyển qua liên kết PPP PPP có nhiều tính khiến mềm dẻo linh hoạt, bao gồm: - Ghép nối với giao thức lớp mạng - Lập cấu hình liên kết - Kiểm tra chất lượng liên kết - Nhận thực - Nén thông tin tiếp đầu - Phát lỗi - Thỏa thuận thơng số liên kết PPP hỗ trợ tính thơng qua việc cung cấp LCP có khả mở rộng NCP để thỏa thuận thông số chức tùy chọn đầu cuối Các giao thức, tính tùy chọn, kiểu xác thực người dùng tất truyền thông khởi tạo liên kết hai điểm PPP hoạt động giao diện DTE/DCE nào, PPP hoạt động chế độ đồng khơng đồng Ngồi u cầu khác giao diện DTE/DCE, PPP khơng có hạn chế tốc độ truyền dẫn Trong hầu hết cơng nghệ mạng WAN, mơ hình lớp đưa để có điểm liên hệ với mơ hình OSI để diễn tả vận hành công nghệ cụ thể PPP không khác nhiều so với công nghệ khác PPP có mơ hình lớp để định nghĩa cấu trúc chức (hình 5.2) Trung tâm Điện tốn Truyền số liệu KV1 191 Giáo trình đào tạo Quản trị mạng thiết bị mạng OSI layer Upper-layer protocols (IP,IPX,AppleTalk) NCP (Network Control Protocol) LCP (Link Control Protocol) HDLC (High Level Data Link Control) Physical Layer (eia/tia-232, v24, v35,isdn) Hình 5.2 Cũng hầu hết cơng nghệ, PPP có cấu trúc khung, cấu trúc cho phép đóng gói giao thức lớp Dưới cấu trúc khung PPP (hình 5.3) Hình 5.3 Các trường khung PPP sau: Cờ: độ dài byte sử dụng để điểm bắt đầu hay kết thúc khung, trường dãy bit 01111110 Địa chỉ: độ dài byte bao gồm dãy bit 11111111, địa quảng bá chuẩn PPP không gán địa riêng Trung tâm Điện toán Truyền số liệu KV1 192 Giáo trình đào tạo Quản trị mạng thiết bị mạng Giao thức: độ dài byte, nhận dạng giao thức đóng gói Giá trị cập nhật trường RFC 1700 Dữ liệu: có độ dài thay đổi, nhiều byte liệu cho kiểu giao thức cụ thể đựoc trường giao thức Phần cuối trường liệu nhận biết cách đặt cờ tiếp sau byte FCS Giá trị ngầm định trường 1500 byte Tuy giá trị lớn sử dụng để tăng độ dài cho trường lliệu FCS: thường byte, sử dụng byte FCS để tăng khả phát lỗi LCP thỏa thuận để chấp nhận thay đổi cấu trúc khung PPP chuẩn hai đầu cuối liên kết Các khung thay đổi luôn dễ nhận biết so với khung chuẩn LCP cung cấp phương pháp để thiết lập, cấu hình, trì kết thúc kết nối điểm-điểm LCP thực chức thông qua bốn giai đoạn Đầu tiên, LCP thực thiết lập thỏa thuận cấu hình liên kết điểm điểm Trước đơn vị liệu lớp mạng chuyển, LCP phải mở kết nối thỏa thuận thơng số thiết lập Q trình hồn thành khung nhận biết cấu hình gửi nhận Tiếp theo, LCP xác định chất lượng liên kết Liên kết kiểm tra để xác định xem liệu chất lượng có đủ để khởi tạo giao thức lớp mạng không Việc truyền dẫn giao thức lớp mạng bị đình lại giai đoạn hoàn tất LCP cho phép tùy chọn sau giai đoạn thiết lập thỏa thuận cấu hình liên kết Sau LCP thực thỏa thuận cấu hình giao thức lớp mạng Các giao thức lớp mạng cấu hình riêng rẽ bới NCP thích hợp khởi tạo hay dỡ bỏ vào thời điểm Cuối cùng, LCP kết thúc liên kết xuất yêu cầu từ người dùng theo định thời gian, lỗi truyền dẫn hay yếu tố vật lý khác Ba kiểu khung LCP sử dụng để hồn thành cơng việc giai đoạn: khung thiết lập liên kết sử dụng để thiết lập cấu hình liên kết, khung kết thúc liên kết sử dụng để kết thúc liên kết, khung trì liên kết sử dụng để quản lý gỡ rối liên kết 3.Các giao thức mạng sử dụng truy cập từ xa Trung tâm Điện tốn Truyền số liệu KV1 193 Giáo trình đào tạo Quản trị mạng thiết bị mạng Khi triển khai dịch vụ truy cập từ xa, giao thức mạng thường sử dụng giao thức TCP/IP, IPX, NETBEUI TCP/IP giao thức gồm có giao thức TCP giao thức IP làm việc với để cung cấp phương tiện truyền thông mạng TCP/IP giao thức bản, làm tảng cho truyền thông liên mạng giao thức mạng sử dụng phổ biến Với khả định tuyến mở rộng, TCP/IP hỗ trợ cách linh hoạt phù hợp cho tất mạng IPX (Internet Packet Exchange) giao thức sử dụng cho mạng Novell NetWare IPX giao thức có khả định tuyến thường sử dụng với hệ thống mạng trước NetBEUI giao thức dùng cho mạng cục LAN Microsoft NetBEUI cho ta nhiều tiện ích khơng phải làm nhiều với NetBEUI Thơng qua NetBEUI ta truy cập tất tài nguyên mạng NETBEUI giao thức khả định tuyến thích hợp với mơ hình mạng nhỏ, đơn giản I.3 Modem phương thức kết nối vật lý Modem Máy tính làm việc với liệu dạng số, truyền thông mơi trường truyền dẫn với dạng tín hiệu khác (ví dụ với mạng điện thoại cơng cộng làm việc với tín hiệu tương tự) ta cần thiết bị để chuyển đổi tín hiệu số thành tín hiệu thích nghi với mơi trường truyền dẫn, thiết bị gọi Modem (Modulator/demodulator) Như Modem thiết bị chuyển đổi tín hiệu số sang dạng tín hiệu phù hợp với mơi trường truyền dẫn ngược lại Hình kết nối sử dụng modem qua mạng điện thoại điển hình (hình 5.4) Trung tâm Điện toán Truyền số liệu KV1 194 Giáo trình đào tạo Quản trị mạng thiết bị mạng Hình 5.4 Các modem sử dụng phương pháp nén liệu nhằm mục đích tăng tốc độ truyền liệu Hiệu suất nén liệu phụ thuộc vào liệu, có hai giao thức nén thường sử dụng V.42bis MNP hiệu suất nén V.42bis MNP thay đổi từ đến 400 % hay cao phụ thuộc vào liệu tự nhiên Chuẩn modem V.90 cho phép modem nhận liệu với tốc độ 56 Kbps qua mạng điện thoại công cộng (PSTN) V.90 xem mạng PSTN mạng số chúng mã hóa dịng liệu xuống theo kỹ thuật số thay điều chế để gửi chuẩn điều chế trước Trong theo hướng ngược lại từ khách hàng đến nhà cung cấp dịch vụ dòng liệu lên điều chế theo nguyên tắc thông thường tốc độ tối ta đạt 33.6 Kbps, giao thức hướng lên dựa chuẩn V.34 Sự khác tín hiệu số ban đầu với tín hiệu số phục hồi đầu nhận gọi tạp âm lượng tử hóa (nhiễu lượng tử), tạp âm hạn chế tốc độ truyền liệu Giữa modem đầu cuối có cấu trúc hạ tầng cho việc kết nối mạng thoại công cộng Các chuẩn modem trước giả sử hai đầu kết nối giống có kết nối tương tự vào mạng điện thoại công cộng, công nghệ V.90 lợi dụng ưu điểm tổ chức mạng mà đầu kết nối hệ thống truy cập từ xa mạng thoại công cộng dạng số hồn tồn cịn đầu kết nối vào mạng PSTN theo dạng tương tự nhờ tận dụng ưu điểm liên kết số tốc độ cao, có q trình biến đổi A/D gây tạp âm với kết nối số khơng có lượng tử hóa nhiễu lượng tử cấu trúc mạng Trung tâm Điện toán Truyền số liệu KV1 195 Giáo trình đào tạo Quản trị mạng thiết bị mạng Định luật shanon nói đường dây điện thoại tương tự hạn chế tốc độ truyền liệu khoảng 35 kbps mà không xem xét đến thực tế đầu truyền thông số hóa nên giảm nhỏ lượng tạp âm gây chậm trễ việc truyền liệu Nhiễu lượng tử giới hạn chuẩn truyền thông V.34 tốc độ 33.6 kbps, nhiễu lượng tử có ảnh hưởng chuyển đổi tương tự - số mà khơng có ảnh hưởng chuyển đổi số-tương tự chìa khóa cho cơng nghệ V.90 đồng thời giải thích tốc độ download đạt 56 kbps upload tốc độ đạt 33.6 kbps Dữ liệu chuyển từ modem số V.90 qua mạng PSTN dòng số với tốc độ 64 Kbps V.90 hỗ trợ tốc độ đến 56 Kbps, lí sau: Thứ nhiễu lượng tử bỏ qua nhiễu mức thấp chuyển đổi số - tương tự khơng tuyến tính, ảnh hưởng vòng loop nội hạt Lý thứ hai tổ chức quốc tế có qui định chặt chẽ mức lượng tín hiệu nhằm hạn chế nhiễu xuyên âm dây dẫn đặt gần kề nhau, qui định tương ứng với mức lượng tối đa đường dây điện thoại tương ứng 56 kbps Để xây dựng hệ thống truy cập từ xa qua mạng thoại công cộng đạt tốc độ 56 kbps hai đầu kết nối cần hội đủ ba điều kiện sau: thứ nhất, đầu kết nối (thường đầu trung tâm mạng) phải kết nối số tới mạng PSTN Thứ hai, chuẩn modem V.90 hỗ trợ hai đầu cuối nối kết Thứ ba, có chuyển đổi số-tương tự mạng thoại hai đầu kết nối Khi vận hành modem V.90 thăm dò đường thoại để định xem làm việc theo tiêu chuẩn nào, phát chuyển đổi sốtương tự đơn giản làm việc chuẩn V.34 cố gắng kết nối chuẩn modem đầu xa không hỗ trợ chuẩn V.90 2.Các phương thức kết nối vật lý bản: Một phương thức phổ biến dùng nhiều kết nối qua mạng điện thoại cơng cộng (PSTN) Máy tính nối qua modem lắp đặt bên (Internal modem) qua cổng truyền số liệu nối tiếp COM port Tốc độ truyền tối đa có phương thức lên đến 56 Kbps cho chiều lấy liệu xuống 33,6Kbps cho chiều truyền liệu hướng lên với chuẩn điều chế tín hiệu phổ biến V90, K56Flex, X2 Ta Trung tâm Điện toán Truyền số liệu KV1 196 Giáo trình đào tạo Quản trị mạng thiết bị mạng sử dụng modem có yêu cầu hạ tầng sở thấp với chuẩn điều chế V.24, V.32Bis, V.32 Phương thức thứ hai sử dụng mạng truyền số liệu số đa dịch vụ ISDN Phương thức đòi hỏi chi phí cao ngày phổ biến rộng rãi Ta có nhiều lợi ích từ việc sử dụng mạng ISDN mà số tốc độ Ta sử dụng lựa chọn ISDN 2B+D BRI (2x64Kbps liệu + 16Kbps dùng cho điều khiển) 23B+D PRI (23x64Kbps + 64Kbps) thông qua thiết bị TA (Terminal Adapter) hay card ISDN Một phương thức khác sử dụng qua mạng truyền số liệu X.25, tốc độ không cao an toàn bảo mật cao Yêu cầu cho người sử dụng trường hợp phải có sử dụng card truyền số liệu X.25 thiết bị gọi PAD (Packet Asssembled Disassembled) Ta sử dụng kết nối trực tiếp qua cáp modem, phương thức cho ta kết nối tốc độ cao phải thông qua modem truyền số liệu có giá thành cao II An tồn truy cập từ xa II.1 Các phương thức xác thực kết nối 1.Qúa trình nhận thực Tiến trình nhận thực với giao thức xác thực thực người dùng từ xa có yêu cầu xác thực tới máy chủ truy cập, thỏa thuận người dùng từ xa máy chủ truy cập để xác định phương thức xác thực sử dụng Nếu khơng có phương thức nhận thực sử dụng, tiến trình PPP khởi tạo kết nối hai điểm Phương thức xác thực sử dụng với hình thức kiểm tra sở liệu địa phương (lưu trữ thông tin username password máy chủ truy cập) xem thông tin username password gửi đến có trùng với sở liệu hay không Hoặc gửi yêu cầu xác thực tới server khác để xác thực thường sử dụng RADIUS server (sẽ trình bày phần sau) Trung tâm Điện toán Truyền số liệu KV1 197 Giáo trình đào tạo Quản trị mạng thiết bị mạng Sau kiểm tra thông tin gửi trả lại từ sở liệu địa phương từ RADIUS server Nếu hợp lệ, tiến trình PPP khởi tạo kết nối, không yêu cầu kết nối người dùng bị từ chối (hình 5.5) Hình 5.5 2.Giao thức xác thực PAP PAP phương thức xác thực kết nối khơng an tồn, sử dụng chương trình phân tích gói tin đường kết nối ta nhìn thấy thơng tin username password dạng đọc Điều có nghĩa thơng tin gửi từ người dùng từ xa tới máy chủ truy cập không mã hóa mà gửi dạng đọc lý PAP khơng an tồn Hình mơ tả q trình xác thực PAP, sau thỏa thuận giao thức xác thực PAP liên kết PPP đầu cuối, nguời dùng từ xa gửi thông tin (username:nntrong, password:ras123) tới máy chủ truy cập từ xa, sau kiểm tra thông tin sở liệu mình, máy chủ truy cập từ định xem liệu yêu cầu kết nối có thực hay khơng (hình 5.6) Trung tâm Điện toán Truyền số liệu KV1 198 Giáo trình đào tạo Quản trị mạng thiết bị mạng cầu, qui tắc xử lý theo thứ tự sau: qui tắc giao thức, qui tắc nội dung, lọc gói IP, qui tắc định tuyến cấu hình chuỗi proxy Hình đưa trình xử lý yêu cầu (hình 6.10) Hình 6.10 Trước tiên, proxy server kiểm tra qui tắc giao thức, proxy server chấp nhận yêu cầu qui tắc giao thức chấp nhận cách cụ thể yêu cầu không qui tắc giao thức từ chối yêu cầu Sau đó, proxy server kiểm tra qui tắc nội dung Proxy server chấp nhận yêu cầu qui tắc nội dung chấp nhận u cầu khơng có qui tắc nội dung từ chối Tiếp đến proxy server kiểm tra xem liệu có lọc gói IP thiết lập để loại bỏ yêu cầu không để định xem liệu yêu cầu có bị từ chối Cuối cùng, proxy server kiểm tra qui tắc định tuyến để định xem yêu cầu phục vụ Giả sử cài đặt proxy server máy tính với hai giao tiếp kết nối, kết nối với Internet kết nối vào mạng dùng riêng Ta cho Trung tâm Điện toán Truyền số liệu KV1 236 Giáo trình đào tạo Quản trị mạng thiết bị mạng dẫn phép tất client truy cập vào tất site Trong trường hợp này, sách truy nhập qui tắc sau: qui tắc giao thức cho phép tất client sử dụng giao thức tất thời điểm Một qui tắc nội dung cho phép tất người truy cập tới nội dung tất site tất thời điểm Lưu ý qui tắc cho phép client truy cập Internet không cho client bên truy cập vào mạng bạn Xử lý yêu cầu đến Proxy server thiết lập để Server bên truy cập an tồn đến từ client ngồi Ta sử dụng proxy server để thiết lập sách quảng bá an tồn cho Server mạng Chính sách quảng bá (bao gồm lọc gói IP, qui tắc quảng bá Web, qui tắc quảng bá Server, với qui tắc định tuyến) định Server quảng bá Khi proxy server xử lý u cầu xuất phát từ client bên ngồi, kiểm tra lọc gói IP, qui tắc quảng bá qui tắc định tuyến để định xem liệu yêu cầu có thực hay không Server thực u cầu Trung tâm Điện tốn Truyền số liệu KV1 237 Giáo trình đào tạo Quản trị mạng thiết bị mạng Hình 6.11 Giả sử cài đặt proxy server với hai giao tiếp kết nối, kết nối tới Internet kết nối vào mạng dùng riêng Nếu lọc gói hoạt động sau đó, lọc gói IP từ chối u cầu yêu cầu bị từ chối Nếu qui tắc quảng bá web từ chối yêu cầu yêu cầu bị loại bỏ Nếu qui tắc định tuyến thiết lập yêu cầu định tuyến tới Server upstream site chủ kế phiên Server xác định xử lý yêu cầu Nếu qui tắc định tuyến yêu cầu định tuyến tới Server cụ thể web Server trả đối tượng II.3 Proxy client phương thức nhận thực Chính sách truy nhập qui tắc quảng bá Proxy server thiết lập phép từ chối nhóm máy tính hay nhóm người dùng truy nhập tới server Nếu qui tắc áp dụng riêng với người dùng, Proxy server kiểm tra đặc tính yêu cầu để định người dùng nhận thực Ta thiết lập thơng số cho yêu cầu thông tin đến để người dùng phải proxy server nhận thực trước xử lý qui tắc Việc đảm bảo yêu cầu phép người dùng đưa yêu cầu xác thực Bạn thiết lập phương pháp nhận thực sử dụng thiết lập phương pháp nhận thực cho yêu cầu yêu cầu đến khác Về Proxy server thường hỗ trợ phương pháp nhận thực sau đây: phương thức nhận thực bản., nhận thực Digest, nhận thực tích hợp Microsoft windows, chứng thực client chứng thực server Đảm bảo chương trình proxy client phải hỗ trợ phương pháp nhận thực mà proxy server đưa Trình duyệt IE trở lên hỗ trợ hầu hết phương pháp nhận thực, vài trình duyệt khác hỗ trợ phương pháp nhận thực Đảm bảo trình duyệt client hỗ trợ số phương pháp nhận thực mà Proxy server hỗ trợ Phương pháp nhận thực Trung tâm Điện tốn Truyền số liệu KV1 238 Giáo trình đào tạo Quản trị mạng thiết bị mạng Phương pháp nhận thực gửi nhận thông tin người dùng ký tự text dễ dàng đọc Thơng thường thơng tin user name password mã hố phương pháp khơng có mã hố sử dụng Tiến trình nhận thực mơ tả sau, proxy client nhắc người dùng đưa vào username password sau thơng tin client gửi cho proxy server Cuối username password kiểm tra tài khoản proxy server Phương pháp nhận thực Digest Phương pháp có tính chất tương tự phương pháp nhận thực khác việc chuyển thông tin nhận thực Các thông tin nhận thực qua tiến trình xử lý chiều thường biết với tên "hashing" Kết tiến trình gọi hash hay message digest giải mã chúng Thông tin gốc phục hồi từ hash Các thông tin bổ sung vào password trước hash nên khơng bắt password sử dụng chúng để giả danh người dùng thực Các giá trị thêm vào để giúp nhận dạng người dùng Một tem thời gian thêm vào để ngăn cản người dùng sử dụng password sau bị huỷ Đây ưu điểm rõ ràng so với phương pháp nhận thực người dùng bất hợp pháp chặn bắt password Phương pháp nhận thực tích hợp Phương pháp sử dụng tích hợp sản phẩm Microsoft Đây phương pháp chuẩn việc nhận thực username password không gửi qua mạng Phương pháp sử dụng giao thức nhận thực V5 Kerberos giao thức nhận thực challenge/response Chứng thực client chứng thực server Ta sử dụng đặc tính SSL để nhận thực Chứng thực sử dụng theo hai cách client yêu cầu đối tượng từ server: server nhận thực cách gửi chứng thực server cho client Server u cầu client nhận thực (Trong trường hợp client phải đưa chứng thực client phù hợp tới server) SSL nhận thực cách kiểm tra nội dung chứng thực số mã hố proxy client đệ trình lên trình đăng nhập (Các người dùng Trung tâm Điện tốn Truyền số liệu KV1 239 Giáo trình đào tạo Quản trị mạng thiết bị mạng có chứng thực số từ tổ chức ngồi có độ tin tưởng cao) Các chứng thực server bao gồm thông tin nhận biết server Các chứng thực client thường gồm thông tin nhận biết người dùng tổ chức đưa chứng thực Chứng thực client: Nếu chứng thực client lựa chọn phương thức xác thực proxy server yêu cầu client gửi chứng thực đến trước yêu cầu đối tượng Proxy server nhận yêu cầu gửi chứng thực cho client Client nhận chứng thực kiểm tra xem có thực thuộc proxy server Client gửi yêu cầu cho proxy server, nhiên proxy server yêu cầu chứng thực từ client mà đưa trước Proxy server kiểm tra xem chứng thực có thực thuộcc client phép truy cập không Chứng thực server: Khi client yêu cầu đối tượng SSL từ server, client yêu cầu server phải nhận thực Nếu proxy server kết thúc kết nối SSL sau proxy server phải nhận thực cho client Ta phải thiết lập định chứng thực phía server để sử dụng nhận thực server cho client Nhận thực pass-though Nhận thực pass-though đến khả proxy server chuyển thông tin nhận thực client cho server đích Proxy server hỗ trợ nhận thực cho u cầu đến Hình vẽ sau mơ tả trường hợp nhận thực pass-though Hình 6.12 Client gửi yêu cầu lấy đối tượng web server cho proxy server Proxy server chuyển yêu cầu cho web server, việc nhận thực qua bước sau: Trung tâm Điện toán Truyền số liệu KV1 240 Giáo trình đào tạo Quản trị mạng thiết bị mạng Webserver nhận yêu cầu lấy đối tượng đáp lại client cần phải nhận thực Web server kiểu nhận thực hỗ trợ Proxy server chuyển yêu cầu nhận thực cho client Client tiếp nhận yêu cầu trả thông tin nhận thực cho proxy server Proxy server chuyển lại thơng tin cho web server Từ lúc client liên lạc trực tiếp với web server SSL Tunneling Với đường hầm SSL, client thiết lập đường hầm qua proxy server trực tiếp tới server yeu cầu với đối tượng yêu cầu HTTPS Bất client yêu cầu đối tượng HTTPS qua proxy server sử dụng đường hầm SSL Đường hầm SSL làm việc ngầm định yêu cầu tới cổng 443 563 Hình 6.13 Tiến trình tạo đường hầm SSL mô tả sau: Khi client yêu cầu đối tượng HTTPS từ web server Internet, proxy server gửi yêu cầu kết nối https://URL_name Yêu cầu gửi tới cổng 8080 máy proxy server CONNECT URL_name:443 HTTP/1.1 Proxy server kết nối tới Web server cổng 443 Trung tâm Điện tốn Truyền số liệu KV1 241 Giáo trình đào tạo Quản trị mạng thiết bị mạng Khi kết nối TCP thiết lập, proxy server trả lại kết nối thiết lập HTTP/1.0 200 Từ đây, client thông tin trực tiếp với Web server bên SSL bridging SSL bridging đề cập đến khả proxy server việc mã hóa giải mã yêu cầu client chuyển yêu cầu tới server đích Ví dụ, trường hợp quảng bá (hoặc reverse proxy), proxy server phục vụ yêu cầu SSL client cách chấm dứt kết nối SSL với client mở lại kết nối với web server SSL bridging sử dụng proxy server kết thúc khởi tạo kết nối SSL Khi client yêu cầu đối tượng HTTP Proxy server mã hóa yêu cầu chuyển tiếp cho web server Web server trả đối tượng mã hóa cho proxy server Sau proxy server giải mã đối tượng gửi lại cho client Nói cách khác yêu cầu HTTP chuyển tiếp yêu cầu SSL Khi client yêu cầu đối tượng SSL Proxy server giải mã yêu cầu, sau mã hóa lại lần chuyển tiếp tới Web server Web server trả đối tượng mã hóa cho proxy server Proxy server giải mã đối tượng sau gửi cho client Nói cách khác yêu cầu SSL chuyển tiếp yêu cầu SSL Khi client yêu cầu đối tượng SSL Proxy server giải mã yêu cầu chuyển tiếp cho web server Web server trả đối tượng HTTP cho proxy server Proxy server mã hóa đối tượng chuyển cho client Nói cách khác yêu cầu SSL chuyển tiếp yêu cầu HTTP SSL bridging thiết lập cho yêu cầu đến Tuy nhiên với yêu cầu client phải hỗ trợ truyền thông bảo mật với proxy server II.4 NAT proxy server Khái niệm NAT (Network Addresss Tranlation) NAT giao thức cho ta khả đồ hóa một vùng địa IP sử dụng mạng dùng riêng mạng ngược lại NAT thường Trung tâm Điện toán Truyền số liệu KV1 242 Giáo trình đào tạo Quản trị mạng thiết bị mạng thiết lập định tuyến ranh giới mạng dùng riêng mạng (ví dụ mạng cơng cộng Internet) NAT chuyển đổi địa IP mạng dùng riêng thành địa IP đăng ký hợp lệ trước chuyển gói từ mạng dùng riêng tới Internet tới mạng khác Trong phần tìm hiểu vận hành NAT NAT thiết lập để cung cấp chức chuyển đổi địa mạng dùng riêng việc phục vụ cho việc kết nối truy cập mạng Để làm việc này, NAT dùng tiến trình bước theo hình vẽ Hình 6.14 Người dùng máy 10.1.1.25 muốn mở kết nối ngồi tới server 203.162.0.12 Khi gói liệu tới NAT router, NAT router thực việc kiểm tra bảng NAT Nếu chuyển đổi địa có bảng, NAT router thực bước thứ Nếu khơng có chuyển đổi tìm thấy, NAT router xác định địa 10.1.1.25 phải chuyển đổi NAT router xác định địa cấu hình chuyển đổi địa 10.1.1.25 tới địa hợp lệ mạng (Internet) từ dãy địa động định nghĩa từ trước ví dụ 203.162.94.163 NAT router thay địa 10.1.1.25 địa 203.162.94.163 sau gói chuyển tiếp tới đích Trung tâm Điện tốn Truyền số liệu KV1 243 Giáo trình đào tạo Quản trị mạng thiết bị mạng Server 203.162.0.12 Internet nhận gói phúc đáp trở lại NAT router với địa 203.162.94.163 Khi NAT router nhận gói phúc đáp từ Server với địa đích đến 203.162.94.163, thực việc tìm kiếm bảng NAT Bảng NAT địa mạng 10.1.1.25 (tương ứng ánh xạ tới địa 203.162.94.163 mạng ngồi) nhận gói tin NAT router thực việc chuyển đổi địa đích gói tin 10.1.1.25 chuyển gói tin tới đích (10.1.1.25) Máy 10.1.1.25 nhận gói tiếp tục thực với gói với bước Trong trường hợp muốn sử dụng địa mạng cho nhiều địa mạng NAT router trì thơng tin thủ tục mức cao bảng NAT số hiệu cổng TCP UDP để chuyển đổi địa mạng ngồi trở lại xác tới địa mạng Như NAT cho phép client mạng dùng riêng với việc sử dụng địa IP dùng riêng truy cập vào mạng bên mạng Internet.Cung cấp kết nối Internet mạng không cung cấp đủ địa Internet có đăng ký Thích hợp cho việc chuyển đổi địa hai mạng Intranet ghép nối Chuyển đổi địa IP nội ISP cũ phân bố thành địa phân bố ISP mà không cần thiết lập thủ công giao diện mạng cục NAT sử dụng cách cố định động Chuyển đổi cố định xảy ta thiết lập thủ công bảng địa địa IP Một địa cụ thể bên mạng sử dụng địa IP (được thiết lập thủ công người quản trị mạng) để truy cập mạng Các thiết lập động cho phép người quản trị thiết lập nhiều nhóm địa IP dùng chung đăng ký Những địa nhóm sử dụng client mạng dùng riêng để truy cập mạng Việc cho phép nhiều client mạng sử dụng địa IP NAT có số nhược điểm làm tăng độ trễ gói tin mạng NAT phải xử lý gói để định xem liệu header thay đổi Khơng phải ứng dụng chạy với NAT NAT hỗ trợ nhiều giao thức truyền thông nhiều giao thức không hỗ trợ Các giao thức NAT hỗ trợ như:TCP,UDP, HTTP, Trung tâm Điện toán Truyền số liệu KV1 244 Giáo trình đào tạo Quản trị mạng thiết bị mạng TFTP, FTP…Các thông tin không hỗ trợ như: IP multicast, BOOTP, DNS zone transfer, SNMP… Proxy NAT Như phân tích dịch vụ NAT dịch vụ Proxy giải pháp để kết nối mạng dùng riêng Internet, nhiên dịch vụ lại có ưu điểm nhược điểm riêng Dịch vụ proxy cho khả thi hành tốc độ cao nhờ tính cache, nhiên sử dụng cache đưa đối tượng q hạn cần phải có sách cache hợp lý đề đảm bảo tính thời đối tượng Chính sử dụng cache nên giảm tải kết nối truy cập Internet NAT tính cache Dịch vụ proxy phải triển khai ứng dụng, NAT tiến trình suốt Hầu hết ứng dụng làm việc với NAT NAT dễ cài đặt vận hành, dường làm nhiều với NAT sau cài đặt Tại client, NAT khơng phải thiết đặt nhiều ngồi việc cấu hình tham số default gateway tới Server NAT Trong sử dụng dịch vụ proxy, cần phải có chương trình proxy client để làm việc với proxy server Dịch vụ proxy cho phép thiết đặt sách tới người dùng, với NAT việc sử dụng tính có hạn chế nhiều, nói sử dụng dịch vụ proxy cách truy cập an toàn để kết nối mạng dùng riêng ngồi Internet III Các tính phần mềm Microsoft ISA server 2000 III.1 Các phiên ISA server bao gồm hai phiên thiết kế để phù hợp với nhu cầu người sử dụng ISA server Standard ISA server Enterprise Trung tâm Điện tốn Truyền số liệu KV1 245 Giáo trình đào tạo Quản trị mạng thiết bị mạng - ISA server Standard cung cấp khả an toàn firewall khả web cache cho môi trường kinh doanh, nhóm làm việc hay văn phịng nhỏ ISA server Standard cung cấp việc bảo mật chặt chẽ, truy cập web nhanh, quản lý trực quan, giá hợplý khả thi hành cao - ISA server Enterprise thiết kế đẻ đáp ứng nhu cầu hiệu suất, quản trị cân môi trường Internet tốc độ cao với quản lý server tập trung, sách truy cập đa mức khả chống lỗi cao ISA server Enterprisecung cấp bảo mật, truy cập Internet nhanh cho môi trường có địi hỏi khắt khe III.2 Lợi ích ISA server phần mềm máy chủ thuộc dòng NET Enterprise Server Các sản phẩm thuộc dòng NET Enterprise Server server ứng dụng toàn diện Microsoft việc xây dựng, triển khai, quản lý, tích hợp, giải pháp dựa web dịch vụ ISA server mang lại số lợi ích cho tổ chức cần kết nối Internet nhanh, bảo mật, dễ quản lý Truy cập Web nhanh với cache hiệu suất cao - Người dùng truy cập web nhanh đối tượng chỗ cache so với việc phải kết nối vào Internet lúc tiềm tàng nguy tắc nghẽn - Giảm giá thành băng thông nhờ giảm lưu lượng từ Internet - Phân tán nội dung Web server ứng dụng thương mại điện tử cách hiệu quả, đáp ứng nhu cầu khách hàng toàn cầu (khả phân phối nội dung web có phiên ISA server Enterprise) Kết nối Internet an toàn nhờ Firewall nhiều lớp - Bảo vệ mạng trước truy nhập bất hợp pháp cách giám sát lưu lượng mạng nhiều lớp - Bảo vệ máy chủ web, email ứng dụng khác khỏi cơng từ bên ngồi việc sử dụng web server quảng bá để xử lý cách an toàn yêu cầu đến Trung tâm Điện tốn Truyền số liệu KV1 246 Giáo trình đào tạo Quản trị mạng thiết bị mạng - Lọc lưu lượng mạng đến để đảm bảo an toàn - Cung cấp truy cập an toan cho người dùng hợp lệ từ Internet tới mạng nội nhờ sử dụng mạng riêng ảo (VPN) Quản lý thống với quản trị tích hợp - Điều khiển truy cập tập trung để đảm bảo tính an tồn phát huy hiệu lực sách vận hành - Tăng hiệu suất nhờ việc giới hạn truy cập sử dụng Internet số ứng dụng đích đến - Cấp phát băng thông để phù hợp với ưu tiên - Cung cấp công cụ giám sát báo cáo để kết nối Internet sử dụng - Tự động hóa nhiệm vụ việc sử dụng script Khả mở rộng - Chú trọng tới an toàn thi hành nhờ sử dụng ISA server Softwware Development Kit (SDK) với phát triển thành phần bổ sung - Chức quản lý an toàn mở rộng cho nhà sản xuất thứ ba - Tự động tác vụ quản trị với đối tượng Script COM (Component Object Model) III.3 Các chế độ cài đặt ISA server cài đặt ba chế độ khác nhau: Cache, Firewall Integrated Chế độ cache: Trong chế độ ta nâng cao hiệu suất truy cập tiết kiệm băng thông cách lưu trữ đối tượng web thường truy xuất từ người dùng Ta định tuyến yêu cầu người dùng tới cache server khác lưu giữ đối tượng Chế độ firewall: Trong chế độ cho phép ta đảm bảo an toàn lưu lượng mạng nhờ thiết lập qui tắc điều khiển thông tin mạng Internet Ta quảng bá server để chia sẻ liệu mạng với đối tác khách hàng Trung tâm Điện toán Truyền số liệu KV1 247 Giáo trình đào tạo Quản trị mạng thiết bị mạng Chế độ tích hợp: Trong chế độ ta tích hợp dịch vụ cache firewall server III.4 Các tính chế độ cài đặt Các tính khác tùy thuộc vào chế độ mà ta cài đặt, bảng sau liệt kê tính có chế độ firewall cache, chế độ tích hợp có tất tính Tính Mơ tả Chính sách truy cập Định nghĩa giao thức nội dung Internet mà người dùng sử dụng truy cập Có Chỉ có HTTP FTP Cache Lưu trữ định kỳ đối tượng web vào RAM đĩa cứng ISA server Khơng Có VPN Mở rộng mạng riêng nhờ sử dụng đường liên kết qua mạng chia sẻ hay mạng công cộng Internet Có Khơng Lọc gói Điều khiển dịng gói IP đến Có Khơng Lọc ứng dụng Thực thi tác vụ hệ thống giao thức định, nhận thực để cung cấp lớp bảo vệ bổ sung cho dịch vụ firewall Có Khơng Quảng bá Web Quảng bá web mạng để người dùng mạng truy cập Khơng Có Quảng bá Server Cho phép Server ứng dụng có Có Khơng Trung tâm Điện tốn Truyền số liệu KV1 Chế độ Chế độ firewall cache 248 Giáo trình đào tạo Quản trị mạng thiết bị mạng thể phục vụ client bên Giám sát thời gian Cho phép giám sát tập trung hoạt thực động ISA server bao gồm cảnh báo, giám sát phiên làm việc dịch vụ Có Có Cảnh báo Báo cho ta biết kiện đặc biệt xuất thực thi hoạt động phù hợp Có Có Báo cáo Tổng hợp phân tích hoạt động nhiều máy ISA server Có Có IV Bài tập thực hành Yêu cầu Phòng học lý thuyết: Số lượng máy tính theo số lượng học viên lớp học đảm bảo học viên có máy tính, cấu hình máy tối thiểu sau (PIII 800 MHZ, 256 MB RAM, HDD 1GB,FDD, CDROM 52 x) Máy tính cài đặt Windows 2000 advance server Các máy tính nối mạng chạy giao thức TCP/IP Thiết bị thực hành: Đĩa cài phần mềm Windows 2000 Advance Server, đĩa cài phần mềm ISA Server 2000 Mỗi máy tính có 01 Modem V.90 01 đường điện thoại 01 account truy cập internet Bài 1: Các bước cài đặt phần mềm ISA server 2000 Bước 1: Các bước cài đặt Đăng nhập vào hệ thống với quyền Administrator Trung tâm Điện toán Truyền số liệu KV1 249 Giáo trình đào tạo Quản trị mạng thiết bị mạng Đưa đĩa cài đặt Microsoft Internet Security and Acceleration Server 2000 Enterprise Edition vào ổ CD-ROM Cửa sổ Microsoft ISA Server Setup mở Nếu cửa sổ không tự động xuất hiện, sử dụngWindows Explorer để chạy x:\ISAAutorun.exe (với x tên ổ đĩa CD-ROM) Trong cửa sổ Microsoft ISA Server Setup, kích Install ISA Server Trong hộp thoại Microsoft ISA Server (Enterprise Edition) Setup kích Continue Vào CD Key sau kích OK hai lần Trong hộp thoại Microsoft ISA Server Setup kích I Agree Trong hộp thoại Microsoft ISA Server (Enterprise Edition) Setup kích Custom Installation Trong hộp thoại Microsoft ISA Server (Enterprise Edition) – Custom Installation kích Add-in services sau kích Change Option Trong hộp thoại Microsoft ISA Server (Enterprise Edition) – Add-in services kiểm tra lựa chọn Install H.323 Gatekeeper Service chọn, chọn Message Screener sau kích OK Trong hộp thoại Microsoft ISA Server (Enterprise Edition) – CustomInstallation kích Administration tools sau kích Change Option Trong hộp thoại Microsoft ISA Server (Enterprise Edition) – Administration tools, kiểm tra lựa chọn ISA Management chọn, chọn H.323 Gatekeeper Administration Tools sau kíchOK Trong hộp thoại Microsoft ISA Server (Enterprise Edition) – Custom Installation kích Continue Hộp thoại Microsoft Internet Security and Acceleration Server Setup xuất hiện, lưu ý bạn máy tính khơng thể tham gia vào array Bạn cấu hình máy tính stand-alone server Kích Yes để cấu hình máy tính stand-alone server Trong hộp thoại Microsoft ISA Server Setup đọc mô tả mode cài đặt đảm bảo mode Integrated lựa chọn sau kích Continue Trung tâm Điện tốn Truyền số liệu KV1 250 ... log) phiên truy cập từ xa Theo dõi kết nối truy cập từ xa: khả theo dõi kết nối truy cập từ xa Máy chủ truy cập cho ta xử lý vấn đề phức tạp cố mạng Các thông tin theo dõi kết nối từ xa thường... vụ truy cập từ xa III.1 Kết nối gọi vào kết nối gọi Cấu hình máy chủ truy cập để tạo lập kết nối gọi vào cho phép người dùng từ xa truy cập vào mạng Các thông số thường cấu hình tạo lập kết nối. .. mạng thiết bị mạng giao thức truy cập từ xa Tất dịch vụ nguồn tài nguyên mạng người dùng từ xa sử dụng thơng qua kết nối truy cập từ xa (hình 5.1) Hình 5.1 Giao thức truy cập từ xa SLIP (Serial