Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống
1
/ 85 trang
THÔNG TIN TÀI LIỆU
Thông tin cơ bản
Định dạng
Số trang
85
Dung lượng
4,99 MB
Nội dung
TÓM TẮT NỘI DUNG ĐỒ ÁN TỐT NGHIỆP Bảo vệ truy cập mạng – NAP công nghệ đời Microsoft với mục đích kiểm soát trình kết nối vào hệ thống mạng nội máy trạm Khả áp dụng công nghệ NAP vào hệ thống mạng doanh nghiệp lớn Chính thế, đồ án thực với mục đích tìm hiểu triển khai công nghệ NAP để bảo vệ truy cập hệ thống mạng doanh nghiệp với nội dung sau: Chương I: Vai trò hệ thống mạng doanh nghiệp • • • Trình bày phát triển Internet nước ta yêu cầu đặt với doanh nghiệp tình hình Xác định vai trò, tầm quan trọng mối đe dọa gây an toàn hệ thống mạng doanh nghiệp Từ cho thấy việc cần thiết phải quản lý truy cập hệ thống mạng Phân tích, lựa chọn công nghệ Microsoft NAP để thực quản lý truy cập Chương II: Công nghệ Microsoft – NAP Tập trung vào việc tìm hiểu công nghệ NAP: Cấu trúc hệ thống, cấu trúc thành phần NAP-Client NAP-Server, nguyên lý hoạt động, chức mà NAP hỗ trợ cho hệ thống mạng để quản lý truy cập (IPSEC, 802.1X, VPN ) cách thức hoạt động chức Chương III: Triển khai phát triển NAP • • • • Triển khai áp dụng công nghệ NAP vào hệ thống mạng doanh nghiệp: phân tích, đề xuất mô hình triển khai tổng quát Triển khai phương pháp thực thi NAP áp dụng cho việc quản lý truy cập mạng: Phương thức thực thi NAP-IPSEC, NAP-802.1X, NAP-DHCP, NAP-VPN, NAPTS Gateway Phát triển hệ thống NAP: Tạo thành phần cấu trúc hệ thống NAP, thay cho thành phần xây dựng sẵn tích hợp sẵn Windows Nhận xét đánh giá điểm mạnh, điểm yếu mô hình triển khai NAP áp dụng hệ thống mạng doanh nghiệp Chương IV: Kết luận • • Những kết đạt hạn chế đồ án Hướng phát triển đồ án tương lai Quản lý truy cập mạng dựa NAP LỜI CẢM ƠN Để có ngày hoàn thành đồ án tốt nghiệp này, xin chân thành cảm ơn bố mẹ tạo điều kiện cho ăn học, động viên nâng đỡ suốt trình học tập Em xin cảm ơn thầy giáo, PGS.TS Phan Huy Khánh,đã tận tình dẫn, tạo điều kiện cho em hoàn thành đồ án tốt nghiệp Em xin cảm ơn thầy, cô phụ trách giảng dạy tận tâm dạy dỗ em suốt năm học vừa qua Cuối cùng, xin cảm ơn công ty VSIC tạo điều kiện giúp đỡ thời gian thực tập làm đồ án Cảm ơn bạn lớp trao đổi kinh nghiệm lập trình, giúp đồ án hoàn thành ý Đà Nẵng,ngày tháng 06 năm 2010 Người thực ễ Trang Quản lý truy cập mạng dựa NAP MỤC LỤC DANH MỤC HÌNH ẢNH DANH MỤC THUẬT NGỮ VÀ CÁC TỪ VIẾT TẮT LỜI NÓI ĐẦU CHƯƠNG I VAI TRÒ CỦA HỆ THỐNG MẠNG DOANH NGHIỆP 1.1 Tình hình phát triển Internet Việt Nam 1.2 Hệ thống mạng doanh nghiệp – Vai trò tầm quan trọng 10 1.3 Những mối đe dọa hệ thống mạng doanh nghiệp 11 1.4 Các công nghệ quản lý truy cập mạng 12 CHƯƠNG II CÔNG NGHỆ MICROSOFT – NAP 2.1 14 Giới thiệu công nghệ NAP 14 2.2 Hệ thống mạng triển khai NAP 2.2.1 Thành phần hệ thống mạng triển khai NAP 2.2.2 Sự hoạt động thành phần hệ thống NAP 2.2.3 Cấu trúc NAP – Client NAP – Server 17 17 19 22 2.3 Các phương thức thực thi NAP 2.3.1 Phương thức thực thi IPSec 2.3.2 Phương thức thực thi 802.1X 2.3.3 Phương thức thực thi VPN 2.3.4 Phương thức thực thi DHCP 2.3.5 Phương thức thực thi Terminal Services Gateway 29 31 38 44 49 53 CHƯƠNG III TRIỂN KHAI VÀ PHÁT TRIỂN NAP 58 3.1 Triển khai phương thức thực thi IPSec 3.1.1 Cài đặt cấu hình Root CA máy chủ Domain Controller 3.1.2 Cấu hình máy chủ NPS 3.1.3 Kiểm tra hoạt động NAP 59 61 62 65 3.2 Triển khai phương thức thực thi 802.1X 3.2.1 Cấu hình 802.1X Switch 3.2.2 Cài đặt Enterprise Root CA máy chủ Domain Controller 3.2.3 Cài đặt cấu hình máy chủ NPS 3.2.4 Cấu hình máy trạm sử dụng 802.1X 67 68 69 69 74 3.3 Triển khai phương thức thực thi DHCP, VPN TS Gateway 75 Sinh viên thực hiện: Trang Quản lý truy cập mạng dựa NAP 3.3.1 3.3.2 3.3.3 Phương thức thực thi DHCP 75 Phương thức thực thi VPN 76 Phương thức thực thi TS Gateway 78 3.4 Phát triển chương trình 3.4.1 Môi trường phát triển: 3.4.2 Phát triển hệ thống 3.4.3 Thử nghiệm cặp SHA-SHV xây dựng 3.5 79 79 80 83 Nhận xét - Đánh giá 85 CHƯƠNG IV KẾT LUẬN 86 4.1 Kết đạt đồ án 86 4.2 Những mặt hạn chế 86 4.3 Hướng phát triển tương lai 86 TÀI LIỆU THAM KHẢO Sinh viên thực hiện: 88 Trang Quản lý truy cập mạng dựa NAP DANH MỤC HÌNH ẢNH Hình 2.1: Chức NAP Hình 2.2:Cấu trúc nguyên lý hoạt động NAP Hình 2.3: Mô hình hệ thống mạng triển khai NAP Hình 2.4: Sự liên hệ thành phần hệ thống NAP Hình 2.5: Cấu trúc NAP-Client Hình 2.6: Cấu trúc NAP-Server Hình 2.7: NAP-Client NAP-Server hệ thống Hình 2.8: Quá trình giao tiếp từ NAP-Client tới NAP-Server Hình 2.9: Quá trình giao tiếp từ NAP-Server tới NAP-Client Hình 2.10: Kiến trúc giao thức IPSec Hình 2.11: Các lớp mạng phương thức thực thi IPSec Hình 2.12: Giao tiếp lớp mạng phương thức thực thi IPSec Hình 2.13: Nguyên lý hoạt động phương thức thực thi IPSec Hình 2.14:Các thành phần hệ thống xác thực 802.1X Hình 2.15: Nguyên lý hoạt động phương thức thực thi 802.1X Hình 2.16: Sử dụng ACL phương thức thực thi 802.1X Hình 2.17: Sử dụng VLAN phương thức thực thi 802.1X Hình 2.18: Nguyên lý VPN Hình 2.19: Remote Access VPN Hình 2.20: Site-to-site VPN Hình 2.21: Nguyên lý hoạt động phương thức thực thi VPN Hình 2.22: Nguyên lý hoạt động hệ thống DHCP Trang Quản lý truy cập mạng dựa NAP Hình 2.23: Nguyên lý hoạt động hệ thống DHCP Relay Hình 2.24: Nguyên lý hoạt động phương thức thực thi DHCP Hình 2.25: Mô hình triển khai TS Gateway Hình 2.26: Nguyên lý hoạt động phương thức thực thi TS Gateway Hình 3.1: Mô hình triển khai NAP cho hệ thống mạng doanh nghiệp Hình 3.2: Mô hình triển khai phương thức thực thi IPSec Hình 3.3: Cấu hình Root CA phương thức IPSec Hình 3.4: Cài đặt NPS SubOrdinate CA Hình 3.5: Cấu hình Subordinate CA máy chủ NPS Hình 3.6: Cấu hình NPS Server phương thức IPSec Hình 3.7: Kiểm tra hoạt động NAP IPSec Hình 3.8: Mô hình triển khai phương thức thực thi 802.1X Hình 3.9: Cài đặt NPS Server phương thức thực thi 802.1X Hình 3.10: Cấu hình NPS Server phương thức thực thi 802.1X Hình 3.11: Thông số cấu hình VLAN phương thức 802.1X Hình 3.12: Sử dụng GPO cấu hình dịch vụ 802.1X Hình 3.13: Cấu hình máy trạm sử dụng 802.1X Hình 3.14: Cấu hình phương thức thực thi DHCP Hình 3.15: Mô hình triển khai phương thức thực thi VPN Hình 3.16: Cấu hình RADIUS Server phương thức VPN Hình 3.17: Cấu hình RADIUS Client phương thức VPN Hình 3.18:Mô hình triển khai phương thức thực thi TS Gateway Hình 3.19: Cấu hình TS Gateway server Trang Quản lý truy cập mạng dựa NAP DANH MỤC THUẬT NGỮ VÀ CÁC TỪ VIẾT TẮT ACL ADDS AH CA DHCP EAP EAPOL ESP HRA HTTP HTTPS IPSEC L2TP NAC NAP NAP EC NAP ES NAQC NPS Access Control List Active Directory Domain Services Authentication Header Certificate Authority Dynamic Host Configuration Protocol Extensible Authentication Protocol Extensible Authentication Protocol over LAN Encapsulating Security Payload Health Registration Authority Hypertext Transfer Protocol Hypertext Transfer Protocol Secure Internet Protocol Security Layer Tunneling Protocol Network Admission Control Network Access Protection Network Access Protection Enforcement Client Network Access Protection Enforcement Server Network Access Quarantine Control Network Policy Server PEAP PPP PPTP RADIUS SHA SHV SoH SoHR SSL SSoH SSoHR TLS TS Gateway UAC VLAN VPN Protected Extensible Authentication Protocol Point-to-Point Protocol Point-to-Point Tunneling Protocol Remote Authentication Dial In User Service System Health Agent System Health Validator Statement of Health Statement of Health Respond Secure Sockets Layer System statement of Health System statement of Health Respond Transport Layer Security Terminal Services Gateway Unified Access Control Virtual Local Area Network Virtual Private Network Trang Quản lý truy cập mạng dựa NAP LỜI NÓI ĐẦU Sự phát triển vũ bão ngành Công nghệ thông tin điện tử viễn thông nói chung, ngành Mạng máy tính nói riêng đem lại thay đổi to lớn cho lĩnh vực đời sống người Ngày nay, kinh tế tri thức, hoạt động tách rời khỏi hạ tầng mạng máy tính Chính vậy, việc áp dụng công nghệ trở thành yêu cầu thiếu cho tất tổ chức, doanh nghiệp Với tầm quan trọng thế, việc sở hữu hệ thống mạng doanh nghiệp ổn định, hoạt động liên tục, đảm bảo an toàn … để sẵn sàng cho hoạt động trở nên cấp thiết hết Tuy nhiên, quan trọng vậy, hệ thống mạng doanh nghiệp phải đối diện với nhiều nguy an toàn Và nhận thức vấn đề này, nhiều doanh nghiệp không đủ khả tài để triển khai giải pháp đảm bảo an toàn cho hệ thống mạng họ Xuất phát từ nhu cầu thực tế đó, đồ án đời với hy vọng tìm kiếm giải pháp cho vấn đề Nhiệm vụ đồ án: Với mục tiêu xây dựng giải pháp thiết thực khả thi, đồ án tập trung vào việc nghiên cứu triển khai công nghệ – công nghệ Microsoft NAP - giúp nhà quản trị kiểm soát truy cập mạng nội bộ, từ đảm bảo cho hệ thống mạng hoạt động liên tục an toàn Bố cục đồ án: Đồ án chia làm chương sau: - Chương I Vai trò hệ thống mạng doanh nghiệp - Chương II Công nghệ Microsoft – NAP - Chương III Triển khai phát triển NAP - Chương IV Kết luận Trang Quản lý truy cập mạng dựa NAP CHƯƠNG I VAI TRÒ CỦA HỆ THỐNG MẠNG DOANH NGHIỆP 1.1 Tình hình phát triển Internet Việt Nam Ngày 19/11/1997, dịch vụ Internet thức có mặt Việt Nam Lúc đó, Internet xem dịch vụ cao cấp dành cho nhóm cá nhân, tập thể thật có nhu cầu Khi đó, Chính phủ ban hành Nghị định 21 CP để quản lý Internet theo phương châm: Quản lý đến đâu, phát triển đến Đó bước thận trọng, việc đánh giá khoảng cách tích cực tiêu cực Internet chênh lệch nhiều Chúng ta chọn phương án an toàn để vào Bốn năm sau, năm 2001, nói Internet bước chân vào sống xã hội, khu vực doanh nghiệp, nghiên cứu đào tạo Tác dụng to lớn Internet tải chất xám, trí tuệ nhân loại Việt Nam, gắn đất nước với toàn gầu, gắn thị trường với quốc tế Nhận thấy cần phải phát triển mạnh hơn, Chính phủ định cho phép đảo ngược nội dung phương châm quản lý, Phát triển đến đâu, quản lý tới Đó định ấn tượng, mạnh mẽ tư duy, tầm chiến lược, nhìn xa trông rộng Đảng Nhà nước ta Số liệu thống kế tình hình phát triển Internet Việt Nam (03/2009) Đến hôm nay, có 24% dân số sử dụng Internet Internet không dừng Viện nghiên cứu, trường ĐH, mà vào 100% Trang Quản lý truy cập mạng dựa NAP doanh nghiệp lớn, bệnh viện, 98% trường THPT, 50% trường THCS len lỏi dần xuống vùng nông thôn qua điểm Bưu điện VH xã… Tốc độ phát triển công nghệ Internet Việt Nam sau 10 năm ngoạn mục; song chất lượng phát triển nội dung, ứng dụng Internet Việt Nam chưa xứng đáng Vì thế, thách thức to lớn, nhà cung cấp dịch vụ cần không ngừng nâng cao chất lượng dịch vụ hạ giá thành người sử dụng Có đảm bảo Internet Việt Nam vững bước phát triển 1.2 Hệ thống mạng doanh nghiệp – Vai trò tầm quan trọng Internet phát triển làm thay đổi mặt sống người, từ cách thức làm việc, học tập đến giải trí, tiêu dùng … Điều đưa tới yêu cầu cần phải có thay đổi phương thức hoạt động tổ chức, doanh nghiệp Nếu không thay đổi, doanh nghiệp giới thiệu sản phẩm tới người tiêu dùng thời đại Công nghệ thông tin nay, vậy, kết cục doanh nghiệp phát triển, chí phá sản Vậy doanh nghiệp cần thay đổi cho phù hợp ? Đó thay đổi từ hoạt động thương mại thông thường, không áp dụng công nghệ thông tin sang thương mại điện tử để tận dụng thành tựu Công nghệ thông tin Việc ứng dụng công nghệ thông tin, đặc biệt công nghệ mạng máy tính Việt Nam khoảng năm trước mang tính tự phát, chưa định hướng phủ quan chuyên môn nhà nước Do đó, đầu tư cho hệ thống mạng doanh nghiệp phụ thuộc vào tầm nhìn, quan điểm lãnh đạo doanh nghiệp Nhưng vòng năm trở lại đây, với bùng nổ Internet, đặc biệt từ sau Việt Nam gia nhập WTO (07-11-2006), ngành thương mại điện tử nói chung hệ thống mạng doanh nghiệp nói riêng phát triển với tốc độ nhanh, cao Trước thực trạng toàn cầu hóa, doanh nghiệp Việt Nam phải tích cực tìm cách tồn phát triển, cạnh tranh nước Trong đó, thương mại điện tử giúp nhiều cho doanh nghiệp marketing, đặc biệt marketing thị trường quốc tế, giảm chi phí (chi phí marketing, chi phí nhân lực, chi phí bán hàng, chi phí liên lạc, chi phí mặt ), bán hàng qua mạng, hỗ trợ khách hàng từ xa Không vậy, giới ngày phát triển, công việc không gói gọn khu vực riêng lẻ, có dây chuyền sản xuất liên hoàn nhiều quốc gia nhiều khu vực, doanh nghiệp tham gia mắt xích dây truyền đó, hệ thống mạng doanh nghiệp có kết nối Internet yêu cầu bắt buộc Với lợi ích to lớn đem lại, mà thời gian, tiền bạc hiệu kinh doanh quan trọng, doanh nghiệp sẵn sàng bỏ tiền để xây dựng cho hệ thống mạng hoàn chỉnh Tuy nhiên, hầu hết doanh nghiệp lại bỏ qua không coi trọng vấn đề an toàn an ninh cho hệ thống mạng Có nhiều doanh nghiệp đầu tư hệ thống mạng lớn, với thiết bị chuyên dụng đắt tiền thiết bị lại không sử dụng hết chức … Dường Trang 10 Quản lý truy cập mạng dựa NAP xây dựng hệ thống mạng, nhà lãnh đạo ý xem hệ thống hoạt động có đáp ứng yêu cầu kinh doanh hay không mà Họ chưa tính tới việc phải đảm bảo cho hệ thống hoạt động ổn định, liên tục, không gặp cố, chưa tính tới việc đảm bảo an toàn cho hệ thống trước mục đích xấu, cố ý phá hoại Vấn đề vậy, luôn có tính hai mặt Lợi ích từ việc xây dựng hệ thống mạng, kết nối với bên với doanh nghiệp điều rõ ràng, điều khiến doanh nghiệp hàng ngày, hàng phải đối đầu với nhiều rủi ro tiềm ẩn Các doanh nghiệp cần phải xác định rõ mối nguy hại đề biện pháp phòng tránh, giảm thiểu rủi ro cho doanh nghiệp 1.3 Những mối đe dọa hệ thống mạng doanh nghiệp Theo tổng kết Trung tâm An ninh mạng BKIS, năm 2008 có 33.137 dòng virus máy tính xuất Việt Nam, 33.101 dòng có xuất xứ từ nước 36 dòng có xuất xứ từ nước Các virus lây nhiễm 59.450.000 lượt máy tính Đây thật vấn đề làm đau đầu nhà quản trị mạng Làm để hệ thống miễn dịch virus ? để hạn chế tối đa thiệt hại hệ thống nhiễm virus ? … Chúng ta đặt câu hỏi: Nếu hệ thống máy tính tổ chức, doanh nghiệp … bảo vệ nghiêm ngặt, virus lại lây nhiễm cách nhanh chóng gây tổn thất lớn đến ? Để giải đáp câu hỏi này, phân tích hoạt động hệ thống mạng doanh nghiệp phổ biến sau: Hệ thống mạng chia thành khu vực khác nhau: Khu vực Server, khu vực Client Tại khu vực Client, có triển khai Wireless LAN dành cho khách hàng … Để phòng tránh Virus, nhà quản trị mạng cài đặt phần mềm Antivirus máy Client Nhưng nhà quản trị lúc kiểm soát hoạt động phần mềm tất máy tính Và đặc biệt, nhà quản trị mạng kiểm soát máy tính khách hàng sử dụng Wireless Có khả năng, máy nhiễm virus, tham gia vào hệ thống mình, làm lây lan virus … Nếu có số máy, phần mềm Trang 74 Quản lý truy cập mạng dựa NAP triển khai này, cấu hình trực tiếp máy client Chúng ta phải cấu hình client với thông số sau: Hình 3.13: Cấu hình máy trạm sử dụng 802.1X Sau bước cấu trên, triển khai thành công phương thức thực thi NAP 802.1X hệ thống Phương thức thực thi 802.1X phương pháp hoàn hảo để ép buộc tất máy trạm phải thực việc kiểm tra tình trạng sức khỏe hệ thống muốn truy cập vào mạng 3.3 Triển khai phương thức thực thi DHCP, VPN TS Gateway 3.3.1 Phương thức thực thi DHCP Mô hình triển khai phương thức đơn giản, phức tạp DHCP NPS Server cài đặt server Khi triển khai, tiến hành tương tự phương thức trên: Cài đặt cấu hình NPS Server, khởi động dịch vụ Enforcement Client cần tương ứng Tuy nhiên, phương thức này, phải cấu hình thêm bước DHCP Server sau: Trang 75 Quản lý truy cập mạng dựa NAP Hình 3.14: Cấu hình phương thức thực thi DHCP Mỗi Client yêu cầu cấp DHCP, thỏa mãn sách truy cập mạng, cấp đầy đủ thông số TCP/IP Ngược lại, không đủ tiêu chuẩn, DHCP Server sử dụng NAP Default Class để cấp thông số hạn chế truy cập 3.3.2 Phương thức thực thi VPN Chúng ta triển khai mô hình thử nghiệm phương thức thực thi VPN sau: Hình 3.15: Mô hình triển khai phương thức thực thi VPN Trang 76 Quản lý truy cập mạng dựa NAP Quá trình cài đặt, triển khai Root CA, NPS Server phương thức thực thi VPN không khác so với phương thức khác mà làm Tuy nhiên, triển khai cần phải ý điểm khác biệt sau: - Khi cấu hình VPN dịch vụ Routing and Remote Access, cần phải cấu hình rõ RADIUS Server NPS Server (địa 192.168.0.2) Hình 3.16: Cấu hình RADIUS Server phương thức VPN - Khi cấu hình NPS Server, phải cho biết RADIUS Client máy chủ Trong mô hình này, RADIUS Client VPN Server, có địa 192.168.0.3 Hình 3.17: Cấu hình RADIUS Client phương thức VPN Trang 77 Quản lý truy cập mạng dựa NAP 3.3.3 Phương thức thực thi TS Gateway Chúng ta thử nghiệm triển khai phương thức thực thi theo mô sau: Hình 3.18:Mô hình triển khai phương thức thực thi TS Gateway Quá trình cài đặt yêu cầu Root CA cấp chứng cho NPS server tương tự làm phía Tuy nhiên, cấu hình TS Gateway Server cần ý cấu hình mục TS CAP Store sau: Windows Server 2008 Server đóng vai trò quản lý sách dịch vụ Hình 3.19: Cấu hình TS Gateway server Trang 78 Quản lý truy cập mạng dựa NAP Chúng ta cần phải đảm bảo mục Request clients to send a statement of health đánh dấu chọn Tiếp theo, cần rõ sử dụng NPS Server đâu Tùy theo mô hình triển khai, mà chọn Local (NPS TS Gateway cài đặt server) hay Central Trong mô hình thử nghiệm này, chọn Local Các bước triển khai lại, cấu hình tương tự làm với phương thức thực thi khác Tóm lại, với phương thức thực thi triển khai, nhà quản trị mạng sử dụng kết hợp, hay đơn lẻ tùy theo mục đích Và nhìn chung, hệ thống NAP xây dựng sẵn Microsoft đáp ứng phần lớn yêu cầu nhà quản trị mạng Với trường hợp đặc biệt, có yêu cầu khác, cần phải phát triển riêng cho hệ thống NAP Phần vào việc phát triển hệ thống 3.4 Phát triển chương trình Trong thực tế, có nhiều tình xảy có nhiều yêu cầu khác hệ thống NAP Vì vậy, để đáp ứng điều đó, NAP cho phép tự xây dựng cặp SHA-SHV theo mục đích riêng Mục đích kiểm tra phần mềm chạy máy, kiểm tra khóa Registry … Nâng cao nữa, nhà phát triển thiết kế NAP-Client để cài đặt cho máy không tích hợp sẵn NAP Linux, Windows XP SP1/SP2 … Mục tiêu: Xây dựng cặp SHA-SHV riêng, phù hợp với yêu cầu hệ thống Bên cạnh đó, việc phát triển thành phần hệ thống, giúp hiểu sâu xác hệ thống NAP Chức năng: SHA-SHV tự xây dựng, tuân theo cấu trúc quy định hệ thống NAP, tiến hành thu thập thông tin xử lý tình trạng sức khỏe hệ thống, từ cho phép hay hạn chế truy cập mạng 3.4.1 Môi trường phát triển: Môi trường Mô tả mạng Windows Vista Windows XP SP3 Client hỗ trợ chức NAP, dùng Vista nên cập nhật Hotfix cài Service Pack để NAP hoạt động tốt SDK for Windows Server 2008 Thư viện để phát triển ứng dụng Windows, có API NAP Visual Studio 2005 Công cụ phát triển Trang 79 Quản lý truy cập mạng dựa NAP 3.4.2 Phát triển hệ thống a Xây dựng System Health Agent (SHA) Khi thiết kế SHA, cần phải quan tâm tới module sau đây: - Module dùng để đăng ký SHA với NAP Client: DoSHARegistration - Module hủy SHA đăng ký: DoSHAUnRegistration - Module thực thi nhiệm vụ: DoSHAExecution Để đăng ký SHA vào hệ thống, NAP sử dụng Structure NapComponentRegistrationInfo Structure có cấu trúc sau: typedef struct tagNapComponentRegistrationInfo { NapComponentId id; CountedString friendlyName; CountedString description; CountedString version; CountedString vendorName; CLSID infoClsid; CLSID configClsid; FILETIME registrationDate; UINT32 componentType; } NapComponentRegistrationInfo; Trong Structure này, quan trọng thành phần NapComponentId Đây ID giúp hệ thống xác định cặp SHA-SHV tương ứng, phân biệt SHA với Sau lấy đầy đủ thông tin theo cấu trúc trên, SHA sử dụng phương thức RegisterSystemHealthAgent để đăng ký với NAP Client Phương thức thuộc Interface INapClientManagement Ngược lại, muốn hủy đăng ký, SHA sử dụng phương thức UnregisterSystemHealthAgent nằm Interface Trong trình hoạt động, SHA trả lời nhận yêu cầu SoH thông báo SoH có thay đổi máy trạm cho NAP Client Điều thực thông qua chế callback interface, SHA có hàm tương ứng gọi tùy theo loại yêu cầu NAP API tạo interface để sử dụng chế này, INapSystemHealthAgentCallback Một số phương thức sử dụng Interface sau: METHOD DESCRIPTION INapSystemHealthAgentCallback::CompareSoHRequests Sử dụng SHA để so sánh SoH INapSystemHealthAgentCallback::GetFixupInfo Gọi NapAgent để định trạng thái SHA Trang 80 Quản lý truy cập mạng dựa NAP INapSystemHealthAgentCallback::GetSoHRequest Gọi NapAgent để truy vấn yêu cầu lấy tin SoH INapSystemHealthAgentCallback::NotifyOrphanedSoHRequest Được gọi truy vấn lấy tin SoH tới SHA, SHA không trả lời INapSystemHealthAgentCallback::NotifySystemIsolationStateChange Gọi NapAgent biết tình trạng cách ly hệ thống thay đổi INapSystemHealthAgentCallback::ProcessSoHRespond Sinh viên thực hiện: Trương Vĩnh Điển Được gọi NapAgent nhận tin SoH response Trang 81 Để sử dụng Callback Interface này, SHA phải thực công việc sau CComPtr binding = NULL; hr = binding.CoCreateInstance(CLSID_NapSystemHealthAgentBinding,NULL, CLSCTX_INPROC_SERVER); - Khởi tạo biến trỏ tới interface quản lý SHA: - Khởi tạo Callback Interface IShaCallbackPtr callback = NULL; callback = ShaCallback::CreateInstance(binding); - Đăng ký Callback Interface với SHA hr = binding->Initialize(QuarSampleSystemHealthId,callback); Để lấy thông tin trạng thái sức khỏe hệ thống, NAP Agent sử dụng phương thức GetSoHRequest Phương thức định nghĩa nhiều Interface khác nhau, thấy phương thức hoạt động chủ yếu dựa vào cấu trúc SoHRequest Cấu trúc SoHRequest, SoHRespond, SoH định nghĩa sau: typedef struct tagSoH { UINT16 count; SoHAttribute *attributes; }SoH, SoHRequest, SoHResponse; Quản lý truy cập mạng dựa NAP Trong cấu trúc này, thành phần SoHAttribute cấu trúc, định nghĩa từ cấu trúc kiểu Union SoHAttributeValue Cấu trúc SoHAttributeValue chứa thông tin danh sách ứng dụng định nghĩa máy trạm thỏa mãn sách, thông tin lỗi xảy SHA sử dụng Interface INapSoHConstructor InapSoHProcessor để thu thập thông tin tình trạng sức khỏe hệ thống Các Interface cấu trúc nói trên, tìm hiểu chi tiết hệ thống Microsoft Developer Network (MSDN) b Xây dựng System Health Validator (SHV) SHV, phát triển môi trường COM DLL, nơi giúp người quản trị mạng thiết lập sách an toàn truy cập tài nguyên mạng Khi xây dựng SHV, module đăng ký hủy đăng ký SHV, cần quan tâm tới Module sau: - Module kiểm tra hợp lệ trạng thái máy trạm với sách truy cập mạng: Module Validate - Module xử lý tin SoH gửi tới: Module CheckRequestSoHHealth Mỗi cặp SHA-SHV có mã trùng nhau, điều giúp cặp SHA SHV liên lạc với Khi đăng ký SHV với máy chủ NPS, cần phải rõ mã ID cho HRESULT CSdkShvModule::RegisterSdkShv() throw() { // Khai báo khởi tạo biến trỏ tới interface NPS CComPtr pSHVMgmt = NULL; hr = pSHVMgmt.CoCreateInstance(CLSID_NapServerManagement, ); // Khai báo khởi tạo thông tin SHV NapComponentRegistrationInfo shvInfo; hr = FillShvComponentRegistrationInfo(&shvInfo); // Đăng ký SHV với NPS, CSampleShv chứa hàm xử lý yêu cầu hr = pSHVMgmt->RegisterSystemHealthValidator(&shvInfo, (CLSID*)& uuidof(CSampleShv)); } Trang 82 Quản lý truy cập mạng dựa NAP Để thực việc kiểm tra tình trạng sức khỏe hệ thống có phù hợp với sách truy cập mạng hay không, SHV sử dụng Interface sau đây: INapSystemHealthValidationRequest INapServerCallback STDMETHODIMP CSampleShv::Validate( /*[in]*/ INapSystemHealthValidationRequest* pShvRequest, /*[in]*/ UINT32 hintTimeOutInMsec, /*[in]*/ INapServerCallback* pCallback) Các phương thức Interface này, tìm thấy chi tiết website MSDN Để thực việc xử lý tin SoH gửi tới, SHV sử dụng Interface HRESULT CSampleShv::CheckRequestSoHHealth( SystemHealthEntityId systemHealthId, INapSoHProcessor *pSohRequest, HRESULT &complianceResult ) INapSoHProcessor sau: Ngoài ra, cần ý thêm SHV cài đặt server có nhiệm vụ kiểm tra yêu cầu khả tự bảo vệ từ nhiều máy trạm lúc Do SHV thực tế phải nhận xử lý nhiều yêu cầu kiểm tra sách lúc Bên cạnh có nhiều trường hợp việc kiểm tra sách đòi hỏi SHV phải liên lạc với server khác, nhiều thời gian cho yêu cầu kiểm tra sách Để giải vấn đề SHV tạo thread xử lý cho yêu cầu kiểm tra sách STDMETHODIMP CSampleShv::Validate( INapSystemHealthValidationRequest* pShvRequest, UINT32 hintTimeOutInMsec, INapServerCallback* pCallback) throw() { // Chuẩn bị thông tin cho yêu cầu kiểm tra sách asyncDataItems* requestData = NULL; requestData->pthis = this; requestData->piShvRequest = pShvRequest; requestData->piCallback = pCallback; // Tạo thread để xử lý yêu cầu kiểm tra sách hr = QShvCreateThread( requestData ); } 3.4.3 Thử nghiệm cặp SHA-SHV xây dựng Trang 83 Quản lý truy cập mạng dựa NAP Trên máy trạm Windows Vista, việc triển khai SHA sau: - Dùng lệnh SdkSha.exe /register để đăng ký SHA với NAP Client - Để kiểm tra việc đăng ký thành công, dùng lệnh: netsh nap client show state Chúng ta thấy có SHA tên SHA SDK Sample xuất hệ thống sau: Trên máy chủ NPS, tiến hành đăng ký SHV với hệ thống sau: - Dùng lệnh regsvr32.exe SdkShv.dll để đăng ký SHV với NPS mang tên SDK SHV Sample Trang 84 Quản lý truy cập mạng dựa NAP Sau đăng ký SHA SHV thành công, tiến hành cấu hình phương thức thực thi làm bước Khi đó, SHA SHV thành phần hệ thống thực thi NAP hoạt động 3.5 Nhận xét - Đánh giá NAP xem giải pháp tăng cường bảo mật mạng giải pháp bảo mật mạng Lý đảm bảo máy toàn quyền truy cập tài nguyên mạng máy tuân thủ sách truy cập mạng, mà không cung cấp chế ngăn chặn công từ máy tuân thủ sách Bên cạnh đó, triển khai phương thức thực thi NAP, nhận thấy thông tin trao đổi SHA SHV chưa bảo vệ Điều dẫn đến có thay đổi trái phép yêu cầu Auto-Remediation cho SoH chuyển từ SHV tới SHA, yêu cầu SHA thực việc gây hại cho máy trạm Để giải vấn đề này, SHA SHV phải tự thực chế bảo vệ thông tin trao đổi không mở chức Auto-Remediation môi trường bảo vệ thông tin đường truyền Các dịch vụ có sẵn hỗ trợ môi trường bảo vệ thông tin đường truyền là: IPSec, 802.1x, VPN Vấn đề quan tâm việc tạo SHA trái phép, nhằm mục đích thay SHA có sẵn hệ thống thực trả lời SoH cho NPS Điều làm cho NPS kiểm tra SoH sai lệch xem máy trạm tuân thủ sách truy cập mạng Để giải vấn đề này, không nên cấp cho người sử dụng có toàn quyền máy trạm để đăng ký thay đổi SHA Trang 85 Quản lý truy cập mạng dựa NAP CHƯƠNG IV KẾT LUẬN 4.1 Kết đạt đồ án • Trong trình thực đồ án, yêu cầu đảm bảo an toàn cho truy cập mạng tìm hiểu cặn kẽ • Nguyên lý hoạt động, cấu trúc, thành phần hệ thống NAP tìm hiểu nắm vững • Mô hình triển khai cài đặt thành công, đáp ứng yêu cầu thực tế hệ thống mạng doanh nghiệp • Tìm hiểu hướng phát triển hệ thống NAP, tùy biến hệ thống theo yêu cầu khác nhà quản trị 4.2 Những mặt hạn chế • Đồ án chưa phát triển hoàn chỉnh cặp thành phần mới, có nhiều tính thành phần có sẵn hệ thống NAP • Hệ thống NAP khó triển khai mạng có máy cài đặt phiên Windows cũ (như Windows XP SP2, Windows 2000…) Linux 4.3 Hướng phát triển tương lai • Xây dựng thành công thành phần SHA-SHV đáp ứng đầy đủ tất yêu cầu khác nhà quản trị • Xây dựng hệ thống NAP Client dành cho phiên Windows cũ, cho máy trạm cài đặt hệ điều hành Linux … không NAP hỗ trợ Đảm bảo tính tương thích tối đa cho tất hệ thống mạng Trang 86 Quản lý truy cập mạng dựa NAP Trang 87 Quản lý truy cập mạng dựa NAP TÀI LIỆU THAM KHẢO Windows Server 2008 – Networking and Network Access Protection (NAP), Joseph Davies, Tony Northrup, Microsoft Press, 2008 Microsoft Solutions for Security and Compliance, Microsoft Press, 2006 Windows Server 2008 - Administration, Steve Seguis, McGrow Hill, 2008 Windows Server 2008 – Configuring Network Infrastructure, Brien Posey, Syngress, 2008 Microsoft Windows Software Development Kit (SDK), 2008 Website: http://technet.microsoft.com Website: http://msdn.microsoft.com Website: http://en.wikipedia.org Website: http://msopenlab.com Trang 88 [...]... Xác thực có thể dựa trên người dùng và được quản lý tại máy chủ xác thực tập trung Ngoài ra, 802.1x cung cấp các tuỳ chọn để phân phối khoá Với khả năng quản lý tập trung, quản lý người dùng thay vì thiết bị, bảo vệ mạng và phân phối khóa, các thiết bị truy cập mạng hỗ trợ 802.1X là một sự lựa chọn hợp lý đối với các nhà quản trị mạng hiện nay Trang 38 Quản lý truy cập mạng dựa trên NAP ... enforcement point và NAP health policy server Trang 24 Quản lý truy cập mạng dựa trên NAP Hình 2.6: Cấu trúc NAP- Server NAP enforcement point trên nền tảng Windows gồm có các thành phần NAP ES (Enforcement Server) Mỗi thành phần NAP ES được thiết kế cho từng loại truy cập mạng khác nhau, và tương ứng với từng NAP EC trong cấu trúc phía NAP Client NAP ES thu nhận các thông tin từ NAP EC và gửi tới NAP health... sách truy cập mạng Trang 21 Quản lý truy cập mạng dựa trên NAP 2.2.3 Cấu trúc của NAP – Client và NAP – Server a NAP – Client Cấu trúc của NAP client như sau: • Thành phần NAP enforcement client (EC) Thành phần này có nhiệm vụ đưa yêu cầu kiểm tra trạng thái sức khỏe hệ thống tới NAP Agent, chuyển thông tin thu nhận được tới NAP Enforcement point, và chuyển thông báo cho phép hay hạn chế truy cập tới... thành phần NAP, cho nên các nhà quản trị không cần phải lo lắng đến việc nâng cấp hạ tầng mạng Bên cạnh đó, triển khai công nghệ này, các doanh nghiệp không phải đắn đo quá nhiều về tài chính như khi triển khai các công nghệ kiểm soát truy cập mạng khác Trang 13 Quản lý truy cập mạng dựa trên NAP CHƯƠNG II CÔNG NGHỆ MICROSOFT – NAP 2.1 Giới thiệu công nghệ NAP Công nghệ Bảo vệ truy cập mạng – NAP (Network... Method) Công nghệ NAP hỗ trợ 5 phương thức thực thi như sau: Trang 14 Quản lý truy cập mạng dựa trên NAP - Phương thức thực thi DHCP: Đây là cách triển khai NAP kết hợp với hệ thống DHCP để bảo vệ truy cập mạng Chỉ có các máy tính đủ điều kiện, thì mới được DHCP Server cấp các thông số TCP/IP cần thiết để truy cập mạng - Phương thức thực thi VPN: Đây là cách triển khai NAP để bảo vệ truy cập mạng thông qua... sang trạng thái tương thích với các chính sách truy cập mạng o Các máy tính không thỏa mãn chính sách truy cập mạng: Đây có thể là các máy không đủ tiêu chuẩn về sức khỏe hệ thống, hoặc các máy không được cài đặt NAP … Trang 18 Quản lý truy cập mạng dựa trên NAP 2.2.2 Sự hoạt động giữa các thành phần trong hệ thống NAP • Sự liên hệ giữa NAP client và HRA NAP client sử dụng giao thức HTTP hoặc HTTPS... kiểm soát tự động các máy tính truy cập vào hệ thống mạng nội bộ Việc ứng dụng NAP để triển khai các chính sách truy cập mạng sẽ giúp giảm thiểu những rủi ro và tăng cường bảo mật hệ thống mạng Công nghệ NAP cũng giúp cho các tổ chức, doanh nghiệp giảm chi phí, giảm công sức cho các nhà quản trị mạng bởi việc quản lý tập trung các chính sách truy cập mạng, tối ưu hóa cách cập nhật phần mềm, hạn chế tối... thống (System Health Agent – SHA) Thành phần NAP Client sẽ tổng hợp lại thông tin, đưa tới cho Client thực thi NAP (NAP Enforcement Client) Thành phần này có vai trò nhận diện xem Trang 15 Quản lý truy cập mạng dựa trên NAP NAP đang được thực thi bởi phương thức nào (DHCP, VPN, 802.1X….) rồi chuyển qua đúng thiết bị truy cập mạng, tới server Thành phần NAP ES (NAP Enforcement Server) nhận được thông tin,... truy cập hợp nhất – do Juniper Networks phát triển Công nghệ này giải quyết vấn đề về cân bằng truy nhập và kiểm soát bảo mật bằng cách liên kết nhận dạng người dùng, toàn bộ điểm cuối và thông tin về vị trí với việc kiểm soát truy nhập, với quản lý chính sách tác động trong thời gian thực thông qua mạng Tuy nhiên, UAC chủ yếu hỗ trợ đối với việc truy cập mạng thông Trang 12 Quản lý truy cập mạng dựa. .. sau: - SHA chuyển bản tin SoH tới NAP Agent - NAP Agent thực hiện việc chuyển các bản tin SoH được chứa trong bản tin SSoH tới NAP Administration Server theo cách như đã phân tích ở trên - NAP Administration Server chuyển các bản tin SoH tới SHV tương ứng Trang 28 Quản lý truy cập mạng dựa trên NAP NAP Administration Server sẽ gửi thông tin tới NAP Agent như sau: - NAP Administration Server chuyển các ... truy cập tới NAP Agent b NAP - Server Cấu trúc phía Server hệ thống NAP gồm có phần: NAP enforcement point NAP health policy server Trang 24 Quản lý truy cập mạng dựa NAP Hình 2.6: Cấu trúc NAP- Server... thích với sách truy cập mạng o Các máy tính không thỏa mãn sách truy cập mạng: Đây máy không đủ tiêu chuẩn sức khỏe hệ thống, máy không cài đặt NAP … Trang 18 Quản lý truy cập mạng dựa NAP 2.2.2 Sự... NAP • Điểm thực thi NAP (NAP enforcement points): Các máy tính thiết bị truy cập mạng sử dụng NAP để yêu cầu kiểm tra tình trạng an Trang 17 Quản lý truy cập mạng dựa NAP toàn NAP Client, từ đưa