TÌM HIỂU VỀ NETWORK ACCESS CONTROL VÀ ỨNG DỤNG FREENAC Với sự phát triển không ngừng của những tên trộm dữ liệu, những mối de dọa về sâu và virus trên mạng ngày nay, sự cần thiết phải tuân theo những chính sách riêng biệt nào đó, việc kết hợp chặt chẽ kỹ thuật kiểm soát truy cập mạng (Network Access Control NAC) vào cơ sở hạ tầng mạng không phải là một tùy chọn mà đúng hơn là một quy luật tất yếu.
ĐẠI HỌC QUỐC GIA THÀNH PHỐ HỒ CHÍ MINH TRƯỜNG ĐẠI HỌC BÁCH KHOA KHOA ĐIỆN – ĐIỆN TỬ BỘ MÔN VIỄN THÔNG LUẬN VĂN TỐT NGHIỆP TÌM HIỂU VỀ NETWORK ACCESS CONTROL VÀ ỨNG DỤNG FREENAC GVHD: TS. LƯU THANH TRÀ SVTH: NGUYỄN XUÂN THẮNG MSSV: 40702267 Tp HCM, Tháng 6/2012 1 BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐH BÁCH KHOA CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM Thành phố Hồ Chí Minh Độc Lập – Tự Do – Hạnh Phúc Số:______/BKĐT Khoa: Điện – Điện tử Bộ Môn: Viễn Thông NHIỆM VỤ LUẬN VĂN TỐT NGHIỆP Họ và tên: NGUYỄN XUÂN THẮNG MSSV: 40702267 Ngành: VIỄN THÔNG LỚP: DD07DV3 1. Đầu đề luận văn: “Tìm hiểu về Network Access Control và ứng dụng FreeNAC” 2. Nhiệm vụ ( Yêu cầu về nội dung và số liệu ban đầu): 3. Ngày giao nhiệm vụ luận văn: 4. Ngày hoàn thành nhiệm vụ: 5. Họ và tên người hướng dẫn: Phần hướng dẫn Nội dung và yêu cầu LVTN đã được thông qua Bộ Môn. Ngày tháng năm 2012 CHỦ NHIỆM BỘ MÔN NGƯỜI HƯỚNG DẪN CHÍNH (Ký và ghi rõ họ tên) (Ký và ghi rõ họ tên) PHẦN DÀNH CHO KHOA, BỘ MÔN: Người duyệt (chấm sơ bộ): Đơn vị: Ngày bảo vệ: Điểm tổng kết: Nơi lưu trữ luận văn: TRƯỜNG ĐH BÁCH KHOA CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM KHOA ĐIỆN – ĐIỆN TỬ Độc Lập – Tự Do – Hạnh Phúc o0o Ngày tháng năm 201… PHIẾU CHẤM BẢO VỆ LVTN (Dành cho người hướng dẫn) Họ và tên: NGUYỄN XUÂN THẮNG MSSV: 40702267 Ngành: VIỄN THÔNG LỚP: DD07DV3 1. Đề tài: “Tìm hiểu về Network Access Control và ứng dụng FreeNAC” 2. Họ tên người hướng dẫn: TS. LƯU THANH TRÀ 3. Tổng quát về bản thuyết minh: Số trang Số chương Số bảng số liệu Số hình vẽ Số tài liệu tham khảo Phần mềm tính toán 4. Tổng quát về các bản vẽ: - Số bản vẽ: bản A1 bản A2 khổ khác - Số bản vẽ tay - Số bản vẽ trên máy tính 5. Những ưu điểm chính của LVTN: 6. Những thiếu sót chính của LVTN: 7. Đề nghị: Được bảo vệ , Bổ sung thêm để bảo vệ , Không được bảo vệ . 8. 3 câu hỏi sinh viên trả lời trước Hội Đồng: a) b) c) 9. Đánh giá chung (bằng chữ: giỏi, khá, TB): Điểm ……………………. Ký tên (ghi rõ họ tên) TRƯỜNG ĐH BÁCH KHOA CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM KHOA ĐIỆN – ĐIỆN TỬ Độc Lập – Tự Do – Hạnh Phúc o0o Ngày tháng năm 201… PHIẾU CHẤM BẢO VỆ LVTN (Dành cho người phản biện) Họ và tên: NGUYỄN XUÂN THẮNG MSSV: 40702267 Ngành: VIỄN THÔNG LỚP: DD07DV3 10. Đề tài: “Tìm hiểu về Network Access Control và ứng dụng FreeNAC” 11. Họ tên người phản biện: 12. Tổng quát về bản thuyết minh: Số trang Số chương Số bảng số liệu Số hình vẽ Số tài liệu tham khảo Phần mềm tính toán 13. Tổng quát về các bản vẽ: - Số bản vẽ: bản A1 bản A2 khổ khác - Số bản vẽ tay - Số bản vẽ trên máy tính 14. Những ưu điểm chính của LVTN: 15. Những thiếu sót chính của LVTN: 16. Đề nghị: Được bảo vệ , Bổ sung thêm để bảo vệ , Không được bảo vệ . 17. 3 câu hỏi sinh viên trả lời trước Hội Đồng: a) b) c) 18. Đánh giá chung (bằng chữ: giỏi, khá, TB): Điểm ……………………. Ký tên (ghi rõ họ tên) LỜI CẢM ƠN Lời đầu tiên, em xin gửi đến Thầy, TS. Lưu Thanh Trà lời cảm ơn chân thành và sâu sắc nhất. Nhờ có sự hướng dẫn và giúp đỡ tận tình của Thầy trong suốt thời gian qua, em đã có thể thực hiện và hoàn thành Đồ Án Môn Học 1 và 2, Thực Tập Tốt Nghiệp và Luận Văn Tốt Nghiệp. Những lời nhận xét, góp ý và hướng dẫn tận tình của Thầy đã giúp em có một định hướng đúng đắn trong suốt quá trình thực hiện Đề tài, giúp em nhìn ra được những ưu khuyết điểm của Đề tài và từng bước hoàn thiện hơn. Đồng thời, em xin trân trọng cảm ơn các Thầy Cô của Trường Đại Học Bách Khoa nói chung và của khoa Điện - Điện Tử nói riêng đã dạy dỗ em suốt quãng thời gian ngồi trên ghế giảng đường Đại học. Những lời giảng của Thầy Cô đã trang bị cho em nhiều kiến thức và giúp em tích lũy thêm kinh nghiệm. Bên cạnh đó, con cũng chân thành cảm ơn sự động viên và sự hỗ trợ của gia đình và cha mẹ trong suốt thời gian học tập. Đặc biệt, con xin gửi lời cảm ơn trân trọng nhất đến cha mẹ, người đã sinh ra và nuôi dưỡng con nên người. Sự quan tâm, lo lắng và hy sinh lớn lao của cha mẹ luôn là động lực cho con cố gắng phấn đấu trên con đường học tập của mình. Một lần nữa, con xin gửi đến cha mẹ lòng biết ơn sâu sắc nhất. Cuối cùng, tôi xin cảm ơn sự hỗ trợ và giúp đỡ của bạn bè trong thời gian học tập tại Trường Đại Học Bách Khoa và trong quá trình hoàn trình hoàn thành Luận Văn Tốt Nghiệp này. Hồ Chí Minh, ngày 13 tháng 6 năm 2012 NGUYỄN XUÂN THẮNG 5 TÓM TẮT LUẬN VĂN Với sự phát triển không ngừng của những tên trộm dữ liệu, những mối de dọa về sâu và virus trên mạng ngày nay, sự cần thiết phải tuân theo những chính sách riêng biệt nào đó, việc kết hợp chặt chẽ kỹ thuật kiểm soát truy cập mạng (Network Access Control - NAC) vào cơ sở hạ tầng mạng không phải là một tùy chọn mà đúng hơn là một quy luật tất yếu. Trong khuôn khổ luận văn, em xin tập trung vào việc tìm hiểu Network Access Control (Kiểm soát truy cập mạng) và ứng dụng FreeNAC. Các hãng lớn như Cisco, Juniper, ForeScout… đều có cung cấp các sản phẩm và giải pháp Network Access Control cho riêng mình. Nhưng đối với Việt Nam thì các sản phẩm này vẫn rất đắt tiền. Vì thế một ứng dụng mã nguồn mở như FreeNAC là thực sự đáng xem xét. Sinh viên thực hiện NGUYỄN XUÂN THẮNG 6 MỤC LỤC Đề mục Trang Trang bìa i Nhiệm vụ luận văn Lời cảm ơn ii Tóm tắt luận văn iii Mục lục iv Danh sách hình vẽ vii Danh mục từ viết tắt ix Nội dung luận văn DANH SÁCH HÌNH VẼ PHẦN I CHƯƠNG 2 Hình 2.1: Mô hình Inline 6 Hình 2.2: Mô hình Out-of-band 7 Hình 2.3: Client/host-based 9 Hình 2.4: NAC Layer 2 10 Hình 2.5: NAC Layer 3 11 CHƯƠNG 3 Hình 3.1: Các bước cơ bản để triển khai NAC 13 Hình 3.2: Bước xác định 14 Hình 3.3: Bước đánh giá 16 Hình 3.4: Bước khắc phục lỗi 17 Hình 3.5: Bước thực thi 18 Hình 3.6: Bước giám sát 19 CHƯƠNG 6 Hình 6.1: Mô hình kết nối cơ bản của Cisco NAC 38 Hình 6.2: Mô hình tổng quát của hệ thống Microsoft NAP 40 7 Hình 6.3: Hạ tầng của TNC 44 Hình 6.4: Hoạt động của TNC 44 PHẦN II CHƯƠNG 7 Hình 7.1: Hoạt động của VMPS 47 Hình 7.2: Các thiết bị switch hỗ trợ VMPS 48 Hình 7.3: Mô hình hoạt động của NAC 51 CHƯƠNG 8 Hình 8.1: Mô hình thực nghiệm 53 Hình 8.2: Chỉnh sửa file vmps.xml 58 Hình 8.3: Trạng thái các port trên Switch 59 Hình 8.4: Cấu hình VLAN trên VMPS Server 59 Hình 8.5: Gán địa chỉ MAC cho một VLAN xác định 60 8 DANH MỤC TỪ VIẾT TẮT A ACS Access Control Server AR Access Request C CRM Customer Relationship Management CTA Cisco Trust Agent D DHCP Dynamic Host Configuration Protocol E EAP Extensible authentication Protocol G GUI Graphical User Interface H HRA Health Registration Authority I IEC International Electrotechnical Commission IEEE Institute of Electrical and ElectronicsEngineers IF-IMV IMC Integrity Measurement Collectors IMV Integrity Measurement Verifier IP Internet Protocol IPSec Internet Protocol Security IPv4 Internet Protocol version 4 ISO International Organization for Standardization IT Information Technology L LDAP Lightweight Directory Access Protocol M MAB Mac-Authentication Bypass MAC Media access control 9 N NAA Network Access Authority NAC Network Access Control NAD Network Access Device NAP Network Access Protection NAR Network Access Request NPS Network Policy Server O OOB Out-of-band OS Open Systems OSI Open Systems Interconnection P PDA Personal Digital Assistant PDP Policy Decision Point PEAP Protected Authentication Protocol PEP Policy Enforcement Point R RFP Request For Proposal S SHA System Health Agents SNMP Simple Network Management Protocol SSL Secure Sockets Layer SSL VPN Secure Sockets Layer Virtual Private Network T TCG Trusted Computing Group TLS Transport Layer Security TNC Trusted Network Connect TNCC Trusted Network Connect Client TNCS Trusted Network Connect Server U UDP User Datagram Protocol V VLAN Virtual Local Area Network VMPS VLAN Management Policy Server VPN Virtual Private Network 10 [...]... NAC PHẦN II: ỨNG DỤNG FREENAC VÀO NETWORK ACCESS CONTROL Chương 7: Tổng quan về FreeNAC Chương 8: Mô hình và thực nghiệm Trong quá trình thực hiện, chắc chắn sẽ còn những thiếu sót trong đề tài Em rất mong nhận được sự góp ý của Thầy Cô và các bạn để đề tài ngày càng hoàn thiện hơn Sinh viên thực hiện Nguyễn Xuân Thắng 13 PHẦN I: TÌM HIỂU VỀ NETWORK ACCESS CONTROL (NAC) CHƯƠNG 1: TỔNG QUAN VỀ NAC 1.1... động của FreeNAC dựa trên nền VMPS của cisco và 802.1x của hầu hết các thiết bị mạng hỗ trợ chia VLAN Đề tài được chia làm 2 phần, gồm 8 chương PHẦN I: TÌM HIỂU VỀ NETWORK ACCESS CONTROL Chương 1: Tổng quan về NAC Chương 2: Một số loại giải pháp NAC Chương 3: Chu trình hoạt động của NAC Chương 4: Viết chính sách bảo mật cho tổ chức Chương 5: Mười bước hoạch định việc triển khai NAC Chương 6: Tìm hiểu một... đặt trước khi truy cập mạng Một số giải pháp NAC sẽ sử dụng một giải pháp goi là “Captive Portal” Ở đó khi người sử dụng cố gắng truy cập mạng thì sẽ điều hướng vào một trang web cụ thể để download một applet (ứng dụng nhỏ) viết bằng Java hoặc Active X Ứng dụng này có thể nắm bắt thông tin để xác thực người dùng và thiết bị, đánh giá trạng thái và an ninh đầu cuối Một số giải pháp NAC này sẽ triển khai... tiếp đến mục tiêu thực hiện NAC Chương này sẽ chỉ ra một số ví dụ về chính sách bảo mật, và một số ứng dụng tốt nhất để có thể chắc chắn rằng mọi người trong công ty – từ những người quản trị IT đến những người sử dụng – đều chấp nhận và làm theo các chính sách bảo mật Làm theo những ứng dụng này giúp cho việc hoạch định NAC dễ dàng hơn và đảm bảo là việc thực hiện tuân theo những mục tiêu rõ ràng của... danh công việc nhất định sử dụng các thiết bị này để truy cập vào mạng Việc áp dụng NAC hay SSL VPN (tùy thuộc vào chính sách cho truy cập từ xa hoặc địa phương) đóng một vai trò trong khả năng kiểm soát truy cập từ các thiết bị này 34 4.1.7 Chính sách Network Access Control Chính sách NAC có thể chỉ ra số cấp độ truy cập người dùng nhận được khi họ vào mạng, bao gồm các loại chứng thực mà các nhân viên,... truy nhập mạng, các kiểm tra này được gọi là Post-admission (kiểm tra sau) Khi sử dụng post-admission, một số giải pháp NAC cho phép điều chỉnh hoặc thiết lập thời gian cho việc đánh giá và kiểm tra tính toàn vẹn của thiết bị đầu cuối 1.2 Lý do cần triển khai Network Access Control (NAC) NAC là từ viết tắt của Network Access Control (kiểm soát truy cập mạng), nhưng tại sao việc truy cập mạng của một ai... đăng nhập để sử dụng các dịch vụ bên ngoài Internet hoạt động trên tầng ứng dụng Việc kiểm soát này phổ biến ở các khách sạn, khu nghỉ mát nhằm quản lý và tính phí truy cập Khi một máy tính muốn sử dụng Internet thì cần đăng nhập với tài khoản của mình và mới sử dụng, kết nối ra bên ngoài được Trong nội dung của đề tài, chỉ tập trung giải quyết vấn đề kiểm soát truy cập ở cấp độ kết nối vào hệ thống,... truy cập mạng của các hãng nổi tiếng như Cisco, Juniper, ForeScout … nhưng với chi phí khá lớn so với một doanh nghiệp với quy mô vừa và nhỏ Do đó việc tìm hiểu và sử dụng những sản phẩm mã nguồn mở đáp ứng các tính năng của việc quản lý truy cập mạng là cần thiết Sử dụng FreeNAC tích hợp chung với hệ thống 12 Antivirus, WSUS hình thành nên một hệ quản trị chặt chẽ hơn với việc kiểm tra độ an toàn của... người sử dụng cuối cùng những phạm vi hoạt động họ có thể tham gia khi sử dụng tài sản và dịch vụ của công ty Các tài sản và dịch vụ này có thể bao gồm một máy tính xách tay hay máy tính bàn, truy cập Internet hay e-mail công ty, phần mềm chuyên biệt, v.v 32 Nhiều công ty sử dụng chính sách quyền sử dụng hợp lý như là phương tiện liên lạc chính để thông báo bằng điện tử cho người sử dụng cuối cùng về việc... người sử dụng cuối cùng về việc họ có thể và không thể làm gì trong giờ làm việc tại công ty hay trong khi sử dụng tài sản công ty và nguồn tài nguyên mạng 4.1.2 Chính sách chống Virus Chính sách chống virus chỉ ra rằng mỗi máy cần có một ứng dụng chống virus đã được cài đặt, cập nhật và đang hoạt động Tuy nhiên, thêm vào đó, cũng cần phải chỉ cho người sử dụng cách xử lý thư rác, các tập tin đính . trung vào việc tìm hiểu Network Access Control (Kiểm soát truy cập mạng) và ứng dụng FreeNAC. Các hãng lớn như Cisco, Juniper, ForeScout… đều có cung cấp các sản phẩm và giải pháp Network Access Control. NGHIỆP Họ và tên: NGUYỄN XUÂN THẮNG MSSV: 40702267 Ngành: VIỄN THÔNG LỚP: DD07DV3 1. Đầu đề luận văn: Tìm hiểu về Network Access Control và ứng dụng FreeNAC 2. Nhiệm vụ ( Yêu cầu về nội dung và số. biện) Họ và tên: NGUYỄN XUÂN THẮNG MSSV: 40702267 Ngành: VIỄN THÔNG LỚP: DD07DV3 10. Đề tài: Tìm hiểu về Network Access Control và ứng dụng FreeNAC 11. Họ tên người phản biện: 12. Tổng quát về bản