BÁO CÁO CẤU HÌNH WINDOWS FIREWALL WITH ADVANCE SECURITY VÀ NAP

Windows Firewall with Advanced Security trên Windows Server 2008 là một sự kết hợp giữa personal firewall (host firewall) và Ipsec,cho phép bạn cấu hình để lọc các kết nối vào và ra trên hệ thống. Không giống như những firewall ở các phiên bản Windows trước chỉ sử dụng Windows Firewall trong Control Panel để thực hiện các thao tác cấu hình ở mức độ giới hạn.

MỤC LỤC

DANH MỤC HÌNH ẢNH

CHƯƠNG 1 TỔNG QUAN VỀ FIREWALL VÀ NAP

1.1 Giới thiệu về “Windows Firewall With Advance Security on Windows Server 2008”

1.1.1 Tổng quan

Windows Firewall with Advanced Security trên Windows Server 2008 là một sự kết hợp giữa personal firewall (host firewall) và Ipsec,cho phép bạn cấu hình để lọc các kết nối vào và ra trên hệ thống

Không giống như những firewall ở các phiên bản Windows trước chỉ

sử dụng Windows Firewall trong Control Panel để thực hiện các thao tác cấu hình ở mức độ giới hạn

Trong Windows Server 2008 bổ sung một thành phần mới có tên gọi là Windows Firewall with Advance Security

Công cụ này cho phép bạn dễ dàng thực hiện các thao tác cấu hình đa dạng

và cao cấp trên firewall, những điểm mới đáng chú ý là:

- Điều khiển kết nối ra vào trên hệ thống (inbound và outbound)

- Tích hợp chặt chẽ với Server Manager.Khi bạn sử dụng Serve

Manager để cài đặt dịch vụ, firewall sẽ được cấu hình một cách tự động để phù hợp với các dịch vụ vừa cài đặt

- Những cải tiến trong quản lý và cấu hình các chính sách trên IPsec.Đồng thời, IPsec cũng được thay bằng một khái niệm mới, đó là Connection Security Rules

- Những cải tiến trong hoạt động giám sát các chính sách trên

firewall và IPsec (Connection Security Rules)

Windows Firewall with Advance Security sử dụng hai loại rule để cấu hình

- Firewall rules: dùng để xác định kết nối nào được cho phép hoặc bị cấm

- Connection Security rules: phục vụ cho mục đích bảo mật đường truyền giữa máy tính này với các máy tính khác

Sau khi hoàn thành việc xây dựng các rule,bạn sẽ dựa vào các firewall profile để áp dụng rule cho máy tính.Firewall profile là khái niệm dùng để chỉ vị trí mà máy tính đã kết nối.Trên Windows Server 2008 có ba loại

firewall profile sau:

- Domain: áp dụng khi một máy tính đã được kết nối vào domain

- Private: áp dụng khi một máy tính đã trở thành thành viên của mạng nội

bộ nhưng chưa kết nối vào domain

- Public: áp dụng khi một máy tính đã kết nối vào các hệ thống mạng công cộng, chẳng hạn như Internet

1.1.2 Làm quen với giao diện

Để mở Windows Firewall with Advance Security vào Start -> Administrative Tools -> Windows Firewall with Advance Security

Hình 1.1.2.1 Giao diện Windows Firewall with Advance

Security

Ở bảng Windows Firewall with Advance Security on Local Computer cungcấp thông tin về các firewall profile như Domain, Private và Public Đây lànhững thiết lập mặc định

Ở khung bên trái có các chức năng chính như Inbound Rules,Outbound Rules,Connection Security Rules và Monitoring

Ở khung Action bên phải là Import Policy, Export Policy để đưa các

chính sách vào và đưa ra

Chúng ta sẽ khảo sát một số thuộc tính mặc định của Windows Firewall

with Advance Security.ở khung Actions bên phải chọn Properties.

Hình 1.1.2.2 Giao diện Properties

Profile:

Off

connections: điều khiển các kết nối đến máy tính này -Giá trị mặc định là Block (default) sẽ khóa tất cả các kết nối không thỏa mãn một trong các rule đã được

định nghĩa trên firewall.Ngoài ra còn có 2 tùy chọn khác là Allow và Block all

connections.Allow là cho phép tất cả các kết nối đến và Block ail connections

chặn các kết nối đến

- Outbound connections: điều khiển các máy tính đi ra từ máy tính

này.Giá trị mặc định là Allow (default), cho phép thực hiện các kết nối đếnnhững hệ thống khác.Nốu sử dụng tùy chọn Block, bạn sẽ cấm máy tính nàythiết lập các kết nối trong mạng.Do đó,bạn nên giữ nguyên giá trị mặc định đểđảm bảo máy tính của mình có thể làm việc tốt

- Settings: chọn Customize để thực hiện một số thiết lập bổ sung cho

firewall

- Logging: chọn Customize để thay đổi các thiết lập mặc định của hệ

thống file log

Ở tab Private Profile và tab Public Profile tương tự như Domain Proíĩle.Đây

là các thiết lập dành cho những máy tính không thuộc domain

Ở tab IPsec Settings :

Hình 1.1.2.3 Giao diện tab IPsec Settings

- IPsec defaults bao gồm những thiết lập mặc định sẽ được áp dụng khi

bạn tạo ra một Connection Security Rule mói.Đe thay đổi bạn chọn

Customize.Lưu ý là bạn có thể hiệu chỉnh các thiết lập này trong quá trình tạo

mới một Connection Security Rule

- IPsec exemptions giúp bạn dễ dàng tìm kiếm và khắc phục sự cố trong hệ thống mạng sử dụng IPsec.Neu thay đổi giá trị mặc định thành Yes, bạn sẽ dễ dàng sử dụng công cụ như Ping, Tracert để dò tìm nguyên nhân và xử lý sự

cố

Firewall Rule

- Windows Firewall with Advance Security bao gom 2 loại firewall rule làInbound Rules và Outbound Rules.Các firewall rule này cho phép bạn tạo ra cácrule nhằm điều khiến các kết nối đến và đi từ máy tính chạy hệ điều hànhWindows Server 2008

- Trong màn hình làm việc của Windows Firewall with Advance Security,

click chọn Inbound Rules.Bạn sẽ thấy xuất hiện một danh sách firewall rule

trên hệ thống, trong khung ở giữa

Hình 1.1.2.4 Danh sách Inbound Rules

- Các firewall rule này được tạo ra một cách tự động khi bạn cài đặt cácdịch vụ cũng như bổ sung các thành phần vào server Lưu ý: trong danh sách ởtrên chưa có một firewall rule nào có khả năng cho phép các kết nối từ máy tínhkhác đến máy tính này

- Với Outbound Rules cũng tương tự.

Hình 1.1.2.5 Danh sách Outbound Rules

- Bạn cũng có thể sắp xếp và xem từng loại firewall rule áp dụng chofirewall profile bằng cách nhấp chuột phải vào Inbound Rules hoặc OutboundRules và ,lọc theo các điều kiện như Profile ,State,Group Sau đó chọn Filter by

- Nếu muốn xem chi tiết của một firewall rule, click đúp vào rule đó

Hình 1.1.2.6 Chi tiết một firewall rule

- Trên tab General, bạn xem và thay đổi trạng thái của firewall rule bằng cách đánh dấu hoặc bỏ chọn mục Enabled.Đồng thời ở mục Action, chọn một trong 3 chế độ Allow the connections, Allow only secure connections và Block the connections để cho phép hoặc chặn kết nối tương ứng.

- Trên tab Programs and Services, bạn có thể thực hiện các thao tác nhằm

cho phép hoặc cấm truy cập đến các dịch vụ hoặc ứng dụng được cài đặt trên hệthống Để thiết lập ứng dụng hoặc dịch vụ cụ thế, sử dụng các chức năng

Browse hoặc Settings.

Hình 1.1.2.7 tab Programs and Services

- Ở tab Users and Computers, bạn có thể thiết lập nhóm user hoặc

computer mà firewall rule này sẽ áp dụng.việc này được thực hiện bằng cách

đánh dấu chọn vào một trong hai mục Only allow connection from these computers và Only allow connections from these users.Sau đó sử dụng chức năng Add để bổ sung user và compute tương ứng.

Hình 1.1.2.8 tab Users and Computers

- Lưu ý: để xác thực user và computer, bạn cần thiết lập Allow only secure connections ở mục Action của tab General.Đồng thời user và computer đó phải

thuộc domain và IPsec phải được cấu hình trên các hệ thống tham gia vào quátrình xác thực

Trên tab Protocols and Ports, thiết lập giao thức và port mà firewall rule

sẽ áp dụng

Hình 1.1.2.9 Giao diện tab Protocols and Ports Protocol type : bạn chọn một giao thức tương ứng trong danh sách như

UDP, TCP, ICMP

- Protocol number: bạn nên sử dụng giá trị mặc định của hệ thống Tất

nhiên bạn cũng có thể điền giá trị thích hợp với giao thức của mình

- Local port : bạn thiết lập port của server ứng với firewall rule.Neu tạo

một inbound rule,port này sẽ được máy chủ dùng để lắng nghe các yêu cầu truycập đến.Nếu tạo một outbound rule,port này sẽ được server sử dụng để thiết lậpkết nổi đến các máy tính khác

- Remote port: bạn thiết lập port của máy tính khác mà firewall rule này sẽ

áp dụng (remote machine).Nếu tạo một outbound rule, đây sẽ là port trên mộtmáy tính ở xa mà server này sẽ kết nối đến (destination port).Neu tạo mộtinbound rule, đây chính là port mà máy tính ở xa sử dụng để kết nối đến servernày (source port)

- Internet Control Message Protocol (ICMP) settings: nếu bạn muon thiết lập trên giao thức 1CMP, chọn Customize.

Hình 1.1.2.10 Giao diện tab Customize

- Ở tab Scope cho phép bạn thiết lập các giá trị trong mục Local IP address và Remote IP addess để firewall rule này áp dụng.

Hình 1.1.2.11 Giao diện tab Scope

- Local IP address là địa chỉ IP mà server này hoặc dùng để lắng nghe kết

nối từ máy tính khác đến với inbound rule,hoặc dùng làm địa chỉ IP nguồn chomình để thiết lập kết nối đến các máy tính khác với outbound rule

- Remote IP address là địa chỉ IP của máy tính ở xa mà server này sẽ kết nối đến với outbound rule,hoặc đây sẽ là địa chi IP nguồn mà máy tính ở xa sẽ

sử dụng để kết nối đến server này với inbound rule

Để thêm IP bạn chọn Add và thêm, có các mục cho bạn tùy chọn.Có thể làdãy 1P hoặc chỉ một IP hay subnet

Ở tab Advance, bạn có thể thiết lập các profile và các loại kết nối

(interface type) sẽ sử dụng trong firewall rule này.Bạn có thể thiết lập tất cả cácprofile hoặc một số profile phù hợp.Nếu muốn cấu hình các loại kết nối này

chọn Customize ở mục Interface type và lựa chọn tương ứng.

Hình 1.1.2.12 Giao diện tab Advance

Hình 1.1.2.13 Giao diện tab Customize

1.2 Giới thiệu về NAP (Network Access Protection)

Hình 1.2.1.1 Sơ đồ mạng Intranet (mạng nội bộ mở rộng) 1.2.2 Nhu cầu về Network Access Protection

Bảo vệ mạng là thách thức số 1 của hầu hết các tổ chức ngày nay Điều nàytrở nên khó khăn đối với nhiều tổ chức có nhiều loại người dùng khác nhau truycập mạng của họ, bao gồm các nhân viên toàn thời gian làm việc trên các máytính desktop, các chuyên viên di động cần VPN vào corpnet (mạng công ty)bằng cách sử dụng các laptop của mình, các nhân viên làm việc từ xa sử dụngmáy tính laptop của mình để làm việc từ nhà, các cố vấn và những “vị khách”khác đến địa điểm và cần kết nối laptop của họ với các drop LAN extranet Nhiều máy tính này cần được nối kết domain nhưng những máy tính khác thìkhông và do đó không áp dụng Group Policy khi người dùng đăng nhập Vàkhông phải tất cả máy tính này đều chạy phiên bản mới nhất của MicrosoftWindows

Một số máy tính này sẽ có một Firewall cá nhân được mở và được cấuhình, đây có thể là Windows Firewall hoặc một nhóm sản phẩm thứ ba nào đó.Những máy tính khác có thể không có Firewall, hầu hết sẽ được cài đặt phầnmềm chống virus, nhưng những máy tính này đảm bảo đã download các file chữ

ký (signature) Anti Virus (AV) mới nhất từ nhà cung cấp Các máy tính clientđược kết nối thường xuyên với corpnet sẽ có thể có các service pack, hotfix vàbản patch an ninh mới nhất được cài đặt, nhưng các máy tính và máy guest(khách) không được kết nối domain có thể thiếu một số bản patch

Mạng doanh nghiệp ngày nay là nơi nguy hiểm Nếu bạn là một nhà quảntrị mạng và một máy muốn kết nối với mạng của bạn, qua một drop hoặc accesspoint hoăc nối kết RAS hoặc VPN, làm thế nào cho bạn biết nó làm như vậy có

an toàn không? Phải làm gì nếu bạn cho phép một máy “ốm yếu” – một máythiếu các bản cập nhật an ninh mới nhất hoặc firewall của nó được tắt hoặc cómột file chữ ký AV quá hạn - kết nối với mạng của bạn? Bạn có thể gây nguy

hiểm cho tính toàn vẹn của mạng Làm thế nào bạn có thể ngăn điều này xảy ra?Làm thế nào bạn có thể bảo đảm chỉ có các máy “khoẻ mạnh” được phép truycập mạng của bạn? Và điều gì xảy ra khi một máy không khoẻ mạnh cố kết nối?Bạn có nên loại bỏ nó ngay tức thì hoặc “cách ly” máy và giúp nó trở nên đủkhoẻ mạnh để được phép kết nối hay không?

1.2.3 Khái niệm về NAP

Network Access Protection là một hệ thống chính sách thi hành (HealthPolicy Enforcement) được xây dựng trong các hệ điều hành Windows Server

2008, Windows Vista và Windows XP Services Park 3 là một giải pháp đượcthiết kế để khắc phục các vấn đề trên Mục đích của NAP là bảo đảm các máytính tuân theo yêu cầu bảo mật trong tổ chức của bạn Khi một người dùng nào

đó kết nối vào mạng, máy tính của người dùng có thể được mang ra so sánh vớimột chính sách “sức khỏe” mà bạn đã thiết lập Các nội dung bên trong củachính sách này sẽ khác nhau tùy theo mỗi tổ chức, bạn có thể yêu cầu hệ điềuhành của người dùng phải có đầy đủ các bản vá bảo mật mới nhất và máy tínhphải đang chạy phần mềm chống virus được cập nhật một cách kịp thời,…vànhiều vấn đề tương tự như vậy Nếu một máy tính có hội tụ đủ các tiêu chuẩncần thiết mà bạn đã thiết lập trong chính sách thì máy tính này hoàn toàn có thểkết nối vào mạng theo cách thông thường Nếu máy tính này không hội tụ đủ cácyếu tố cần thiết thì bạn có thể chọn để từ chối sự truy cập mạng cho người dùng,sửa vấn đề lập tức hoặc tiếp tục và cho người dùng sự truy cập nhưng lưu ý vềtrạng thái của máy tính của người dùng

NAP không phải là một sản phẩm mà là một nền được hỗ trợ bởi 100 ISV(Independent Software Vendors – đối tác độc lập trong việc sản xuất và phânphối phần mềm) và IHV (Independent Hardware Vendor - các đối tác độc lậptrong việc sản xuất và phân phối phần cứng) khác nhau, kể cả các nhà cung cấp

AV như McAfee và Symantec, các công ty quản lý bản patch như Altiris vàPatchLink, những nhà cung cấp phần mềm an ninh như RSA Security, nhữngnhà sản xuất các thiết bị an ninh bao gồm Citrix, những nhà sản xuất thiết bịmạng bao gồm Enterasys và F5 và những nhà tích hợp hệ thống trong ngànhcông nghiệp và một số nhà cung cấp hỗ trợ NAP tăng lên hàng ngày

Thêm vào đó, NAP còn cung cấp bộ thư viện API (ApplicationProgramming Interface) cho phép bạn lập trình nhằm tăng cường tính bảo mậtcho hệ thống của mình

API (Application Programming Interface - Giao diện lập trình ứng dụng).Mỗi hệ điều hành, ứng dụng đều có những bộ API khác nhau Nó cung cấp chongười lập trình các hàm tương tác với CSDL, lập trình thực hiện các thao tác với

hệ điều hành hay phần mềm đó Hầu hết các hàm API được chứa trong các fileDLL

- Ví dụ: Các hàm API của HĐH windows cho phép chúng ta lập trình ứngdụng thay đổi icon màn hình, xem thông tin máy tính, hay các hàm API củagoogle cho phép lập trình viên lấy thông tin, sửa thông tin người dùng, Cáchàm API của facebook cho chúng ta đăng status, ảnh, comment,

Hiện nay NAP hỗ trợ triển khai trên những loại hình sau:

1.2.3.1.1 Dynamic Host Configuration Protocol (DHCP)

Giúp ngăn chặn các máy bị nhiễm Blaster (sâu Blaster lợi dụng lỗ hổng

trong phần mềm của Microsoft để lây nhiễm, sâu Blaster có làm cho tốc độ truy cập vào mạng chậm nhưng nó không gây ra một sự hủy hoại dữ liệu nào cho máy tính Sâu Blaster cũng không lây lan qua con đường e-mail như các loại

sâu thông thường khác), Slammer( loại virus này không tìm kiếm các máy PC

đầu cuối mà chỉ hướng tới máy chủ SQL Slammer là một gói dữ liệu đơn lẻ và

tự gửi tới các địa chỉ IP Nếu địa chỉ IP là một máy tính chạy bản SQL Server Desktop Engine (Microsoft) chưa được vá lỗi, thì chiếc máy chủ đó sẽ ngay lập tức bị nhiễm virus và trở thành công cụ tấn công các địa chỉ IP khác) hay

Worm có thể làm tổn hại đến mạng của bạn Trước tiên server DHCP của bạn

phải được cài đặt role service Network Policy Server (NPS) dưới dạng mộtserver RADIUS hoặc được cài đặt dưới dạng một proxy RADIUS

RADIUS là một giao thức sử dụng rộng rãi cho phép xác thực tập trung, ủyquyền và kiểm toán truy cập cho mạng Ban đầu được phát triển cho thiết lập kếtnối từ xa Radius bây giờ thì hỗ trợ cho máy chủ VPN, các điểm truy cập khôngdây, chứng thực chuyển mạch internet, truy cập DSL, và các loại truy cập mạngkhác RADIUS được mô tả trong RFC 2865, "Remote Authentication Dial-inUser Service (RADIUS), (IETF Draft Standard) and RFC 2866, "RADIUSAccounting" (Informational)

Sau đó client được cấu hình nhận địa chỉ IP bắng cách sử dụng DHCP cốkết nối với server DHCP trên mạng để nhận địa chỉ và truy cập mạng ServerDHCP (NAP) kiểm tra sức khỏe client

Nếu client khoẻ mạnh, nó cho client thuê cấu hình địa chỉ IP đầy đủ vàclient đi vào mạng Mặt khác nếu client không tuân theo các yêu cầu chính sáchsức khoẻ của NAP, server DHCP cho client vốn chỉ có những thứ sau đây thuêmốt cấu hình giới hạn (địa chỉ ip, subnet mask Default gateway) đồng thời choclient truy cập chỉ các server đã xác định trên mạng cục bộ Những server nàygọi là server sửa chữa có thể áp dụng các bản vá lỗi, cung cập những bản cậpnhật và thực hiện những hành động khác nhằm giúp cho client phục tùng

Sau cùng một khi client đã được làm cho cho khoẻ mạnh server DHCP sẽcho nó thuê một cấu hình địa chỉ IP đầy đủ và bây giờ nó có thể kết nối vớiintranet (Intranet là một mạng nội bộ mở rộng, nơi mà một số dịch vụ nội bộđược làm sẵn có cho biết người dùng bên ngoài hoặc đối tác bên ngoài tại cácđịa điểm từ xa Hay cụ thể hơn Intranet là mạng thông tin, liên lạc cục bộ cũngdùng giao thức TCP/IP như Internet, của một tổ chức nào đó (thường là mộtcông ty) chỉ cho phép các thành viên công ty hay những người được cấp quyềntruy cập.)

1.2.2.2 Ipsec with Health Registration Authority (HRA)

Sự thi hành IPSec cho NAP không cách ly một client không phục tùngbằng việc cô lập nó trên một mạng hoặc VLAN giới hạn Thay vào đó một clientkhông phục tùng đơn giản không nhận một chứng nhận sức khoẻ vì những

chứng nhận này chỉ được cung cấp cho cho các máy vốn kết nối với một HealthRegistration Athority (HRA), gửi một Statement of Health (SoH), vượt qua cuộckiểm tra sức khoẻ và sau đó nhận trở lại chứng nhận đó Sau đó những máy khác

có policy IPSec bắt buộc chúng chỉ nhận các nối kết đến từ các máy vốn cónhững chứng nhận sức khoẻ sẽ bỏ qua các kết nối đến từ những máy tính khôngphục tùng vì chúng không có một chứng nhận sức khoẻ

Để cấu hình sự thi hành IPSec, bạn cấu hình policy IPSec cho các máyclient để yêu cầu một chứng nhận sức khoẻ Sau đó bạn thiết lập một HRA trênmạng và HRA làm việc cùng với Network Policy Server (NPS) để cấp cácchứng nhận sức khoẻ cho những client đáp ứng chính sách sức khoẻ NAP chomạng Những chứng nhận này sau đó được sử dụng để xác thực các client khichúng cố khởi tạo những kết nối được bảo vệ bằng IPSec với những máy kháctrên mạng

HRA là một thành phần chính sử dụng IPSec cho sự thi hành NAP và nóphải là một máy chạy Windows Server 2008 và được cài đặt thành phần IIS7.HRA nhận các chứng nhận sức khoẻ từ các client NAP phục tùng từ mộtCertification Athority (CA) và CA có thể được cài đặt trên máy Windows Server

2008 hoặc trên một hế thống khác HRA nhận các chứng nhận sức khoẻ

1.2.3.1.2 IEEE 802.1X (Wired và Wireless)

Sự thi hành 802.1X tiền hành như sau:

- Một thiết bị client có tính năng EAP cố kết nối với Switch có tính năng802.1x trên mạng Hầu hết các Switch Ethernet được quản lý hiện đại hỗ trợ802.1x và để hỗ trợ NAP, Switch phải hỗ trợ sự xác thực 802.1x và việc chuyểnmạch V-LAN dựa vào các kết quả xác thực được gửi đến server RADIUS (trongtrường hợp này, server RADIUS là NPS cũng sẽ thực thi NAP)

- Switch chuyển tiếp tình trạng sức khoẻ khoẻ của client đến NPS để quyếtđịnh xem nó có tuân theo chính sách hay không Nếu client khoẻ mạnh, NPSyêu cầu switch mở cồng và client được cho vào mạng Nếu việc kiểm tra tínhphục tùng thất bại, switch có thể đóng cổng và từ chối cho client đi vào hoặc nó

có thể VLAN với client để đặt nó vào trên một mạng cô lập, nơi nó chỉ có thểgiao tiếp với các server sửa chữa Sau khi client được sửa chữa, switch sẽ cho nó

đi vào corpnet

1.2.3.1.3 Virtual Private Network (VPN)

Để sử dụng VPN làm một cơ chế thi hành NAP, server VPN cần chạyWindows Server 2008 và được cài đặt role service Routing And Remote AccessServices trên nó Về cơ bản việc thi hành VPN được tiến hành như sau:

Client VPN từ xa cố kết nối với server VPN trên mạng vòng ngoài

Server VPN kiểm tra sức khoẻ của client bằng cách liên lạc với serverNAP Nếu client khoẻ mạnh nó thiết lập kết nối VPN và client từ xa hoạt độngtrên mạng Nếu client không khoẻ mạnh, server VPN áp dụng một tập hợp bộlọc gói (packet flters) nhằm cách ly client bằng cách cho nó kết nối chỉ với mạnggiới hạn nơi các server sửa chữa được tìm thấy

Một khi client được sửa chữa, server VPN loại bỏ các bộ lọc gói ra khỏiclient và sau đó client có thể kết nối dự do với corpnet.

1.2.3.1.4 Terminal Services Gateway (TS Gateway)

User nhấp vào biểu tượng Remote Desktop Connection và TS GatewayClient trên máy tính sẽ cố kết nối qua các phương tiện vận chuyển TCP vàHTTP đồng thời và xác thực user

Trong tiến trình xác thực user và sau khi thiết lập quan hệ SSL thì TSGateway Server yếu cầu một Statement of Health (SoH) ở client cùng mộtchứng nhận có dạng PKCS#7 với giá trị nonce được tạo ra ngẫu nhiên

Vì yêu cầu về một SoH đã được thực hiện thay mặt cho một TS Gatewaykhông tin cậy nên TSG - Quarantine Enforcement Client (TSG-QEC) sẽ ngănchặn yêu cầu Đầu tiên user Terminal Services phải thêm vào TSG URL trongdanh sách server gateway đáng tin cậy trong registry

Quarantine Enforcement Client sẽ giao tiếp Quarantine Agent (QA) đểnhận các Statement of Health (SoH) từ các System Health Agent (SHA) Sau đóTSG-QEC sẽ tạo một yêu cầu SoH bắng cách biên dịch các SoH từ các QA,nonce từ TSGS một khoá đối xứng ngẫu nhiên và tên máy của client TSG QEC

sẽ mã hoá yêu cầu SoH này bằng cách sử dụng khoá chung (puplic key) củaTSGW và đưa nó cho TSGC

TSGC chuyển lớp đã được mã hoá này đến server TSG vốn giải mã và tríchxuất SoH, nonce TSGS và khoá đối xứng TSG-QEC Sau đó, TSGS xác nhậnrằng nonce mà nó đã nhận từ TSG-QEC giống với nonce mà nó đã gởi đi trước

đó và nếu nó y như vậy, TSGS gởi SoH được giải mã đến server NPS(RADIUS)

để hiệu lực hoá

Server NPS gọi các SHV để hiệu lực các SoH và phát lại với một phản hồitrờ về server NPS và dựa vào sự phản hồi vượt qua hay thất bại (pass/fail) củaSHV, server NPS sẽ tạo một phản hồi SoH và sau đó gởi nó đến TSGS

TSGS chuyển thông tin này đến proxy TSG RADIUS để xác thực GAP(Gateway Authorization Policy) và nếu điền này thành công, proxy TSGS trả về

sự thành công với cấp độ thông tin truy cập gateway của nó dựa vào kết quả này,sau đó TSGS cho phép client TS kết nối với server TS

1.2.4 Khía cạnh của NAP

NAP có 3 khía cạnh riêng biệt và quan trọng

- Health state validation (Sự phê duyệt về tình trạng sức khỏe): Khi mộtmáy tính bất kì cố gắng kết nối vào mạng thì tình trạng sức khỏe của máy tính sẽđược đánh giá dựa trên các yêu cầu về sức khỏe do administrator đặt ra.Administrator có thể xác định những việc mà một máy tính cần làm nếu nhưkhông đáp ứng được những nhu cầu trên.Trong môi trường Monitoring-only tất

cả các máy tính đều cần được đánh giá về tình trạng sức khỏe và tình trạng đápứng các nhu cầu về sức khỏe thì nó sẽ được log vào để cho việc phân tích Trongmôi trường kết nối có giới hạn (limited access) thì các máy tính mà nó không

đáp ứng được các nhu cầu về sức khỏe thì nó chỉ được kết nối limited access vàomạng ngược lại thì nó sẽ được kết nối không giới hạn vào mạng

- Health policy compliance (Sự đáp ứng các chính sách sức khỏe):Administrator có thể đưa ra các chính sách (policy) đối với các máy tính khôngđáp ứng được nhu cầu về sức khỏe trước khi cho phép kết nối vào mạng.Administrator có thể chọn các chính sách tự động update cho các phần mềmhoặc những thay đổi về cấu hình trong các phần mềm quản lý như: MicrosoftSystems Management Server Trong môi trường Monitoring-Only thì các máytính sẽ kết nối vào mạng trước khi nó được update các chương trình cần thiếthoặc các thay đổi về cấu hình Trong môi trường Limited Access thì các máytính không đáp ứng được các nhu cầu về sức khỏe sẽ bị giới hạn cho đến khinhững chương trình update cần thiết và các thay đổi về cấu hình đã được hoàntất Trong cả 2 môi trường trên thì các máy tính tương thích với NAP sẽ tự độngđáp ứng các nhu cầu về sức khỏe và Administrator có thể xác định những ngoại

lệ đối với những máy tính không tương thích đối với NAP

- Limit access (Sự kết nối có giới hạn): Administrator có thể bảo vệ mạngbằng cách đề ra các giới hạn kết nối đối với các máy tính không đáp ứng đượccác yêu cầu về sức khỏe do administrator đề ra Limit access ở đây có thể là kếtnối trong một thời gian nhất định hoặc chỉ cho kết nối đối với một số cái chophép Administrator có thể đưa ra một mạng Limit access chứa những nguồnupdate cần về sức khỏe và các máy tính trong mạng này chỉ được phép kết nốivào mạng khi đã hoàn thành các việc update yêu cầu Tuy nhiên administratorvẫn có thể đưa ra các ngoại lệ cho các máy không tương thích đối với NAP

1.2.5 Kịch bản cho NAP

NAP cung cấp các giải pháp cho các tình huống thường gặp

- Xác định tình trạng của các laptop ở ngoài (roaming laptops)

Khả năng linh hoạt tiện lợi dễ dàng xách đi là ưu điểm của laptop nhưngchính các ưu điểm này lại chứa đựng những nguy cơ về sức khỏe cho máy.Những laptop của nhân viên thường được kết nối vào công ty nhưng chúngthường không được nhận sự update và những thay đổi về cấu hình, chúng có thể

bị nhiễm virus, trojan,…khi kết nối vào các mạng ko được bảo vệ như internet.Bằng cách sử dụng NAP, administrator có thể kiểm tra tình trạng của bất kìlaptop bào kết nối vào mạng dù là kết nối bằng VPN hay là kết nối trực tiếp vàomạng

- Kiểm tra tình trạng các máy tính để bàn

Mặc dù các máy tính để bàn thì nó không di chuyển nhưng nó vẫn mangmối nguy hiểm đối với mạng , chúng có thể bị nhiễm virus từ internet, email,web, file trong share folder và các kết nối công cộng khác Để giảm thiểu tối đanguy cơ này administrator phải duy trì các máy tính này trong tình trạng có đượcnhững chương trình update mới nhất Bằng cách sử dụng NAP administrator cóthể kiểm tra toàn bộ mạng xem còn những máy tính nào không đáp ứng đượcnhu cầu về sức khỏe Administrator có thể kiểm tra những file log hoặc là thêmvào những chương trình quản lý, các administrator có thể đưa ra các báo cáo tự

động về những máy tính không đáp ứng được nhu cầu về sức khỏe Khiadministrator thay đổi các chính sách về đáp ứng nhu cầu sức khỏe thì máy tính

có thể được cung cấp tự động những chương trình update gần đây nhất

- Kiểm tra tình trạng của các laptop viếng thăm (visting laptops)

Những tổ chức thường cần phải cho phép các nhà tư vấn, bạn kinh doanh

và khách hàng kết nối vào mạng riêng của họ Những laptop này thường khôngđáp ứng được các nhu cầu về sức khỏe Bằng cách sử dụng NAP thìadministrator có thể quyết định xem laptop visting này có thể đáp ứng được haykhông và đưa vào mạng “Limited access” Thông thường administrator sẽ khôngyêu cầu hoặc cung cấp bất kì chương trình update hoặc những thay đổi về cấuhình cho những latops này

- Kiểm tra tình trạng của những máy tính không được quản lý

Những máy tính không nằm trong Active Directory có thể kết nối vàomạng thông qua VPN Các máy tính này thường sẽ tạo ra những thách thức khókhăn đối với các administrator vì nó không kết nối vật lý đến mạng Việc thiếunhững kết nối vật lý này tạo ra sự tuân theo các yêu cầu về sức khỏe một cáchgượng ép như là việc sử dụng phần mềm chống virus hoặc những vấn đề phứctạp hơn Tuy nhiên đối với NAP thì administrator có thể kiểm tra tình trạng sứckhỏe của các máy tính này mỗi lần nó tạo kết nối VPN đến công ty và giới hạnđường truyền (limited access) đối với các máy không đáp ứng được các nhu cầu

về sức khỏe

Tùy thuộc vào các nhu cầu sử dụng của hệ thống mạng mà cácadministrator có thể xây dựng một hoặc tất cả các kịch bản trên

CHƯƠNG 2 CÁC CHỨC NĂNG, DỊCH VỤ CỦA FIREWALL VÀ NAP

2.1 Các thành phần và cơ chế hoạt động và chức năng của Firewall

2.1.1 Các thành phần và cơ chế hoạt động của Firewalll

Các thành phần:

Firewall chuẩn bao gồm một hay nhiều các thành phần sau đây:

- Bộ lọc gói tin (packet-filtering router)

- Cổng ứng dụng (application-level gateway hay proxy server)

- Cổng vòng (circuite level gateway)

2.1.1.1.1 Bộ lọc gói tin (packet-filtering router)

Nguyên lý:

Khi nói đến việc lưu thông dữ liệu giữa các mạng với nhau thông quaFirewall thì điều đó có nghĩa rằng Firewall hoạt động chặt chẽ với giao thứcTCP/IP Vì giao thức này làm việc theo thuật toán chia nhỏ các dữ liệu nhậnđược từ các ứng dụng trên mạng, hay nói chính xác hơn là các dịch vụ chạy trêncác giao thức (Telnet, SMTP, DNS, SMNP, NFS ) thành các gói dữ liệu (datapakets) rồi gán cho các packet này những địa chỉ để có thể nhận dạng, tái lập lại

ở đích cần gửi đến, do đó các loại Firewall cũng liên quan rất nhiều đến cácpacket và những con số địa chỉ của chúng

Hình 2.1.1.2 Lọc gói tin

Bộ lọc packet cho phép hay từ chối mỗi packet mà nó nhận được Nó kiểmtra toàn bộ đoạn dữ liệu để quyết định xem đoạn dữ liệu đó có thoả mãn mộttrong số các luật lệ của lọc packet hay không Các luật lệ lọc packet này là dựatrên các thông tin ở đầu mỗi packet (packet header), dùng để cho phép truyềncác packet đó ở trên mạng Đó là:

- Địa chỉ IP nơi xuất phát (IP Source address)

- Địa chỉ IP nơi nhận (IP Destination address)

- Những thủ tục truyền tin (TCP, UDP, ICMP, IP tunnel)

- Cổng TCP/UDP nơi xuất phát (TCP/UDP source port)

- Cổng TCP/UDP nơi nhận (TCP/UDP destination port)

- Dạng thông báo ICMP (ICMP message type)

- Giao diện packet đến (incomming interface of packet)

- Giao diện packet đi (outcomming interface of packet)

Nếu luật lệ lọc packet được thoả mãn thì packet được chuyển qua Firewall.Nếu không packet sẽ bị bỏ đi Nhờ vậy mà Firewall có thể ngăn cản được cáckết nối vào các máy chủ hoặc mạng nào đó được xác định, hoặc khoá việc truycập vào hệ thống mạng nội bộ từ những địa chỉ không cho phép Hơn nữa, việckiểm soát các cổng làm cho Firewall có khả năng chỉ cho phép một số loại kếtnối nhất định vào các loại máy chủ nào đó, hoặc chỉ có những dịch vụ nào đó(Telnet, SMTP, FTP ) được phép mới chạy được trên hệ thống mạng cục bộ

Ưu điểm:

- Đa số các hệ thống Firewall đều sử dụng bộ lọc packet Một trong những

ưu điểm của phương pháp dùng bộ lọc packet là chi phí thấp vì cơ chế lọcpacket đã được bao gồm trong mỗi phần mềm router

- Ngoài ra, bộ lọc packet là trong suốt đối với người sử dụng và các ứngdụng, vì vậy nó không yêu cầu sự huấn luyện đặc biệt nào cả

Hạn chế:

- Việc định nghĩa các chế độ lọc package là một việc khá phức tạp; đòi hỏingười quản trị mạng cần có hiểu biết chi tiết vể các dịch vụ Internet, các dạngpacket header, và các giá trị cụ thể có thể nhận trên mỗi trường

- Do làm việc dựa trên header của các packet, rõ ràng là bộ lọc packetkhông kiểm soát được nôi dung thông tin của packet Các packet chuyển quavẫn có thể mang theo những hành động với ý đồ ăn cắp thông tin hay phá hoạicủa kẻ xấu

2.1.1.2 Cổng ứng dụng (application-level gateway hay proxy server)

Nguyên lý:

Một dạng phổ biến là Firewall dựa trên ứng dụng application proxy Loạinày hoạt động hơi khác với Firewall dựa trên bộ định tuyến lọc gói tin.Application gateway dựa trên cơ sở phần mềm Khi một người dùng không xácđịnh kết nối từ xa vào mạng chạy application gateway, gateway sẽ ngăn chặn kếtnối từ xa này

Thay vì nối thông, gateway sẽ kiểm tra các thành phần của kết nối theonhững quy tắc định trước Nếu thoả mãn các quy tắc, gateway sẽ tạo cầu nối(bridge) giữa trạm nguồn và trạm đích

Hình 2.1.1.3 Firewall mềm

Cầu nối đóng vai trò trung gian giữa hai giao thức Ví dụ, trong một môhình gateway đặc trưng, gói tin theo giao thức IP không được chuyển tiếp tớimạng cục bộ, lúc đó sẽ hình thành quá trình dịch mà gateway đóng vai trò bộphiên dịch

Hạn chế khác của mô hình Firewall này là mỗi ứng dụng bảo mật (proxyapplication) phải được tạo ra cho từng dịch vụ mạng Như vậy một ứng dụngdùng cho Telnet, ứng dụng khác dùng cho HTTP, v.v

Do không thông qua quá trình chuyển dịch IP nên gói tin IP từ địa chỉkhông xác định sẽ không thể tới máy tính trong mạng của bạn, do đó hệ thốngapplication gateway có độ bảo mật cao hơn

2.1.1.3.1 Cổng vòng (circuite level gateway)

Cổng vòng là một chức năng đặc biệt có thể thực hiện được bởi một cổngứng dụng (application gateway) Cổng vòng đơn giản chỉ chuyển tiếp (relay) cáckết nối TCP mà không thực hiện bất kỳ một hành động xử lý hay lọc packet nào

VD: Cổng vòng đơn giản chuyển tiếp kết nối telnet qua firewall mà khôngthực hiện một sự kiểm tra, lọc hay điều khiển các thủ tục Telnet nào.Cổng vònglàm việc như một sợi dây, sao chép các byte giữa kết nối bên trong (insideconnection) và các kết nối bên ngoài (outside connection) Tuy nhiên, vì sự kếtnối này xuất hiện từ hệ thống firewall, nên nó che dấu thông tin về mạng nội bộ.Cổng vòng thường được sử dụng cho những kết nối ra ngoài, nơi mà cácquản trị mạng thật sự tin tưởng những người dùng bên trong Ưu điểm lớn nhất

là một bastion host có thể được cấu hình như là một hỗn hợp cung cấp Cổng ứngdụng cho những kết nối đến, và cổng vòng cho các kết nối đi Điều này làm cho

hệ thống Firewall dễ dàng sử dụng cho những người trong mạng nội bộ muốntrực tiếp truy nhập tới các dịch vụ Internet, trong khi vẫn cung cấp chức năngFirewall để bảo vệ mạng nội bộ từ những sự tấn công bên ngoài

out out out

in in in

Circuit-level Gateway

Hình 2.1.1.4 Cổng vòng 2.1.2 Chức năng của Firewall

FireWall quyết định những dịch vụ nào từ bên trong được phép truy cập từbên ngoài, những người nào từ bên ngoài được phép truy cập đến các dịch vụbên trong, và cả những dịch vụ nào bên ngoài được phép truy cập bởi nhữngngười bên trong

- Tính toàn vẹn

- Tính kịp thời

- Tài nguyên hệ thống

- Danh tiếng của công ty sở hữu các thông tin cần bảo vệ

2.1.2.1.2 Firewall bảo vệ chống lại những vấn đề gì?

FireWall bảo vệ chống lại những sự tấn công từ bên ngoài

- Chống lại việc Hacking

Hacker là những người hiểu biết và sự dụng máy tính rất thành thạo và lànhững người lập trình rất giỏi Khi phân tích và khám phá ra các lổ hổng hệthống nào đó, sẽ tìm ra những cách thích hợp để truy cập và tấn công hệ thống

Có thể sử dụng các kỹ năng khác nhau để tấn công vào hệ thống máy tính Ví dụ

có thể truy cập vào hệ thống mà không được phép truy cập và tạo thông tin giả,lấy cắp thông tin Nhiều công ty đang lo ngại về dữ liệu bảo mật bị đánh cắp bởicác hacker Vì vậy, để tìm ra các phương pháp để bảo vệ dữ liệu thì Firewall cóthể làm được điều này

- Chống lại việc sửa đổi mã

Khả năng này xảy ra khi một kẻ tấn công sửa đổi, xóa hoặc thay thế tínhxác thực của các đoạn mã bằng cách sử dụng virus, worm và những chươngtrình có chủ tâm Khi tải file trên internet có thể dẫn tới download các đọan mã

có dã tâm, thiếu kiến thức về bảo mật máy tính, những file download có thể thựcthi những quyền theo mục đích của những người dùng trên một số trang website

- Từ chối các dịch vụ đính kèm

Từ chối dịch vụ là một loại ngắt hoạt động của sự tấn công Lời đe dọa tớitính liên tục của hệ thống mạng là kết quả từ nhiều phương thức tấn công giốngnhư làm tràn ngập thông tin hay là sự sửa đổi đường đi không được phép Bởithuật ngữ làm tràn ngập thông tin, là một người xâm nhập tạo ra môt số thôngtin không xác thực để gia tăng lưu lượng trên mạng và làm giảm các dịch vụ tớingười dùng thực sự Hoặc một kẻ tấn công có thể ngắm ngầm phá hoại hệ thốngmáy tính và thêm vào phần mềm có dã tâm, mà phần mềm này sẽ tấn công hệthống theo thời gian xác đinh trước

- Tấn công trực tiếp

Những cuộc tấn công trực tiếp thông thường được sử dụng trong giai đoạnđầu để chiếm được quyền truy nhập bên trong Một phương pháp tấn công cổđiển là dò tìm tên ngời sử dụng và mật khẩu Đây là phương pháp đơn giản, dễthực hiện và không đòi hỏi một điều kiện đặc biệt nào để bắt đầu Kẻ tấn công

có thể sử dụng những thông tin như tên người dùng, ngày sinh, địa chỉ, số nhàvv để đoán mật khẩu Trong trường hợp có được danh sách người sử dụng vànhững thông tin về môi trường làm việc, có một trương trình tự động hoá vềviệc dò tìm mật khẩu này

Một chương trình có thể dễ dàng lấy được từ Internet để giải các mật khẩu

đã mã hoá của các hệ thống unix có tên là crack, có khả năng thử các tổ hợp các

từ trong một từ điển lớn, theo những quy tắc do người dùng tự định nghĩa Trongmột số trường hợp, khả năng thành công của phương pháp này có thể lên tới30%

Phương pháp sử dụng các lỗi của chương trình ứng dụng và bản thân hệđiều hành đã được sử dụng từ những vụ tấn công đầu tiên và vẫn được tiếp tục

để chiếm quyền truy nhập Trong một số trường hợp phương pháp này cho phép

kẻ tấn công có được quyền của người quản trị hệ thống (root hay administrator).Hai ví dụ thường xuyên được đưa ra để minh hoạ cho phương pháp này là

ví dụ với chương trình sendmail và chương trình rlogin của hệ điều hành UNIX.Sendmail là một chương trình phức tạp, với mã nguồn bao gồm hàng ngàn

dòng lệnh của ngôn ngữ C Sendmail được chạy với quyền ưu tiên của người

quản trị hệ thống, do chương trình phải có quyền ghi vào hộp thư của những người sử dụng máy Và Sendmail trực tiếp nhận các yêu cầu về thư tín trên mạng bên ngoài Đây chính là những yếu tố làm cho sendmail trở thành một

nguồn cung cấp những lỗ hổng về bảo mật để truy nhập hệ thống

Rlogin cho phép người sử dụng từ một máy trên mạng truy nhập từ xa vào

một máy khác sử dụng tài nguyên của máy này Trong quá trình nhận tên và

mật khẩu của người sử dụng, rlogin không kiểm tra độ dài của dòng nhập, do

đó kẻ tấn công có thể đưa vào một xâu đã được tính toán trước để ghi đè lên mãchương trình của rlogin, qua đó chiếm được quyền truy nhập

- Nghe trộm

Việc nghe trộm thông tin trên mạng có thể đưa lại những thông tin có ích

như tên, mật khẩu của người sử dụng, các thông tin mật chuyển qua mạng Việc

nghe trộm thường được tiến hành ngay sau khi kẻ tấn công đã chiếm được quyền truy nhập hệ thống, thông qua các chương trình cho phép bắt các gói tin vào chế độ nhận toàn bộ các thông tin lưu truyền trên mạng Những thông tin

này cũng có thể dễ dàng lấy được trên Internet

- Vô hiệu hoá các chức năng của hệ thống (Deny service)

Đây là kiểu tấn công nhằm làm tê liệt toàn bộ hệ thống không cho thực hiệncác chức năng được thiết kế Kiểu tấn công này không thể ngăn chặn được donhững phương tiện tổ chức tấn công cũng chính là các phương tiện để làm việc

và truy nhập thông tin trên mạng

- Lỗi người quản trị hệ thống

Ngày nay, trình độ của các hacker ngày càng giỏi hơn, trong khi đó các hệthống mạng vẫn còn chậm chạp trong việc xử lý các lỗ hổng của mình Điều nàyđòi hỏi người quản trị mạng phải có kiến thức tốt về bảo mật mạng để có thể giữvững an toàn cho thông tin của hệ thống Đối với người dùng cá nhân, không thểbiết hết các thủ thuật để tự xây dựng cho mình một Firewall, nhưng cũng nênhiểu rõ tầm quan trọng của bảo mật thông tin cho mỗi cá nhân Qua đó, tự tìmhiểu để biết một số cách phòng tránh những sự tấn công đơn giản của cáchacker Vấn đề là ý thức, khi đã có ý thức để phòng tránh thì khả năng an toàn sẽcao hơn

- Yếu tố con người

Kẻ tấn công có thể liên lạc với một ngời quản trị hệ thống, giả làm mộtngười sử dụng để yêu cầu thay đổi mật khẩu, thay đổi quyền truy nhập của mìnhđối với hệ thống, hoặc thậm chí thay đổi một số cấu hình của hệ thống để thực

hiện các phương pháp tấn công khác Với kiểu tấn công này không một thiết bịnào có thể ngăn chặn một cách hữu hiệu, và chỉ có một cách giáo dục người sửdụng mạng nội bộ về những yêu cầu bảo mật để đề cao cảnh giác với nhữnghiện tượng đáng nghi Nói chung yếu tố con ngời là một điểm yếu trong bất kỳmột hệ thống bảo vệ nào, và chỉ có sự giáo dục cộng với tinh thần hợp tác từphía người sử dụng có thể nâng cao được độ an toàn của hệ thống bảo vệ.

2.2 Cấu trúc, cơ chế làm việc, chức năng, hạn chế của NAP

2.2.1 Cấu trúc của NAP

Hình 2.2.1.1 Toàn bộ cấu trúc của NAP

Ở bên trái hình là các client cố đi vào mạng và các server sửa chữa vốn cóthể cung cấp các cập nhật cho chúng để di chuyển tình trạng sức khoẻ của nhữngclient này từ không khoẻ mạnh đến khoẻ mạnh Những server sửa chữa này cóthể là những sản phẩm Microsoft chẳng hạn như System Center ConfigurationManager 2007 hoặc Windows Server Update Services (WSUS) hoặc chúng cóthể là các sản phẩm nhóm thứ ba từ các nhà cung cấp AV, nhà cung cấp quản lýpatch

Bây giờ để một máy client gia nhập vào một hạ tầng NAP, máy này phải có

1 client NAP Client NAP có một số lớp sau đây:

2.2.1.1.1 Enforcement Client

Đôi khi được viết tắt là EC Một Enforcement Client là một máy kháchđang thực hiện kết nối vào mạng của bạn Cần phải lưu ý rằng không phải tất cảcác máy trạm đều tương thích với Network Access Protection Để được xem xét

là Enforcement Client, máy trạm phải chạy thành phần System Health Agent.Chỉ Windows Vista và Windows XP SP3 mới có khả năng chạy System Health

Agent và chính vì vậy chỉ có các hệ điều hành máy trạm này tương thích vớiNetwork Access Protection.

2.2.1.1.2 System Health Agent (SHA)

System Health Agent là một tác nhân chạy như một dịch vụ trên máy trạm

và kiểm tra Windows Security Center Tác nhân này chịu trách nhiệm cho việcbáo cáo các thông tin về trạng thái sức khỏe của hệ thống đối với máy chủEnforcement Server nhờ sự kết nối

2.2.1.1.3 Quarantine Agent (QA)

Còn được gọi là NAP Agent, về cơ bản đây là một lớp môi giới lấy thôngtin tình trạng sức khoẻ được thu nhập bởi SHA và đóng góp chúng thành mộtdanh sách và sau đó chuyển đến các Enforcement Client để xử lý một cách phùhợp

Ở giữa hình là các thiết bị kiểm soát truy cập mạng Những thiết bị này cókhả năng liên vận hành với hạ tầng NAP để chuyển các báo cáo sức khoẻ đếnnhững server NPS để đánh giá sức khoẻ

Sau cùng bên phải hình là Network Policy Server (NPS) và các server sứckhoẻ hệ thống hay còn gọi là policy server

NPS là 1 Remote Authentication Dial-In Service (RADIUS) server vàproxy trong W2K8 Là một RADIUS server, NPS cung cấp các dịch vụauthentication, authorization và accounting (AAA) cho nhiều loại đường truyềnkhác nhau Đối với Authentication và Authorization, NPS sử dụng ActiveDirectory (AD) để xác minh người sử dụng hoặc sự ủy nhiệm và có được user

và account khi cố gắng kết nối vào 802.1X-authentication hoặc kết nối bằngVPN

NPS cũng đóng vai trò như là 1 Healthy policy server Administrator xácđịnh các yêu cầu về sức khỏe theo dạng của chính sách về sức khỏe trên NPSserver NPS server đánh giá các thông tin về sức khỏe được cung cấp bởi NAPclient để quyết định sự tuân thủ hay không tuân thủ các yêu cầu sức khỏe, tậphợp những việc cần làm cho NAP client để tuân theo các yêu cầu về sức khỏe

2.2.1.1.4 Enforcement Server (ES)

Enforcement Server là một máy chủ dùng để thi hành các chính sách đãđược định nghĩa bởi NAP

2.2.1.1.5 System Health Validator (SHV)

System Health Validator sử dụng các thông tin mà nó thu lượm được từSystem Health Agent và so sánh với các thông tin về trạng thái “sức khỏe” nhưđịnh nghĩa

2.2.1.1.6 Quarantine Server (QS)

Là đối tượng môi giới giữa các SHV chạy trên NPS và các ES chạy trênserver NAP

2.2.1.1.7 Remediation Server

Một remediation server là một máy chủ để tạo khả năng truy cập cho cácmáy khách không có đủ các tiêu chuẩn truy cập mạng như đã được thiết lập.Một máy chủ remediation server (tạm dịch là máy chủ dùng để điều đình lại) sẽchứa tất cả các cơ chế cần thiết cho việc tạo một sự đồng thuận của máy kháchvới các chính sách Cho ví dụ, máy chủ này có thể sử dụng các bản vá bảo mậtcho máy khác thực thi

2.2.2 Cơ chế làm việc của NAP

NAP được thiết kế để administrator có thể định cấu hình của nó để đáp ứngcác nhu cầu cá nhân trong mạng của họ Do đó cấu hình thật sự của NAP sẽ thayđổi tùy vào sở thích và yêu cầu của những nhà quản trị Tuy nhiên thì cách hoạtđộng cơ bản của NAP thì vẫn giống nhau

Khi có được 1 sự chứng nhận về sức khỏe, việc thực hiện một authenticated hoặc kết nối VPN đối với mạng nội bộ hoặc lấy hoặc nhận mới 1

802.1X-IP từ DHCP server thì các NAP client sẽ được phân loại theo 1 trong các cáchsau:

- Những NAP client đáp ứng được các nhu cầu về sức khỏe sẽ được phânvào nhớm đủ tiêu chuẩn và có đường truyền không giới hạn hoặc giao tiếp thôngthường với mạng nội bộ

- Những NAP client không đáp ứng được nhu cầu về sức khỏe được phânvào nhóm không đủ tiêu chuẩn và bị giới hạn về đường truyền trong những khuvực có giới hạn cho đến khi nào đủ tiêu chuẩn Một NAP không đủ tiêu chuẩnkhi nó chứa những mã nguồn nguy hiểm, virus, hoặc không có những phầnmềm update cần thiết, những cài đặt cấu hình yêu cầu bởi những yêu cầu về sứckhỏe Do đó những NAP client không đủ tiêu chuẩn sức khỏe sẽ mang đếnnhững nguy cơ về sức khỏe đối với mạng nội bộ SHAs trong NAP client có thể

tự động cập nhật cho những máy tính có đường truyền giới hạn bằng nhữngphần mềm hoặc cài đặt cấu hình yêu cầu không giới hạn đường truyền

Hình 2.2.2.1 Thực thi NAP yêu cầu tới một vài máy chủ

Việc thực thi cơ sở hạ tầng mạng yêu cầu đến một vài máy chủ, mỗi mộtmáy chủ ở đây sẽ thực hiện một vai trò nào đó Như những gì các bạn thấy tronghình trên, chúng ta sẽ sử dụng một Routing và Remote Access Server, mộtdomain controller và một Network Policy Server

Sau đây là mô tả đơn giản hoạt động của NAP khi một laptop không phụctùng chạy Windows Vista cố VPN vào corpnet bằng cách kết nối với một serverVPN chạy Windows Server 2008 khi một hạ tầng NAP đã được triển khai:

Windows Vista client đang được kết nối với máy chủ Windows Server

2008 (máy chủ đang chạy dịch vụ Remote Access (RRAS)) Máy chủ này đóngvai trò như một VPN server cho mạng Windows Vista client thiết lập một kếtnối với máy chủ VPN này theo cách thức thông thường

Khi người dùng từ xa kết nối với máy chủ VPN, các chứng chỉ của họ phảihợp lệ bằng RADIUS protocol Máy chủ chính sách mạng (NPS) sẽ xác địnhchính sách “sức khỏe” nào đang bị gây ảnh hưởng và điều gì sẽ xảy ra nếu máykhách từ xa không thỏa mãn chính sách này Chỉ khi client thoả mãn yêu cầuchính sách của NPS thì lúc này client mới được phép truy cập vào các tàinguyên trên mạng

2.2.3 Chức năng của NAP

2.2.3.1.1 Hiệu lực hoá chính sách sức khoẻ

NAP có thể quyết định việc một máy tính nào đó có tuân theo một tập hợpyêu cầu chính sách sức khoẻ mà bạn, nhà quản trị có thể định nghĩa cho mạngcủa bạn hay không Ví dụ, một trong các yêu cầu sức khoẻ có thể là tất cả máy

tính trên mạng phải được cài đặt một Firewall dựa vào host và nó phải được mở.Một yêu cầu khác có thể là tất cả máy tính trên mạng phải được cài đặt bản cậpnhật phần mềm mới nhất.

2.2.3.1.2 Hiệu lực sự truy cập mạng

NAP có thể giới hạn sự truy cập đến các tài nguyên mạng cho những máytính vốn không tuân theo những yêu cầu chính sách sức khoẻ Việc giới hạn truycập này bắt đầu từ việc ngăn máy tính không tuân theo không kết nối với bất kỳmáy tính khác trên mạng của bạn cho đến việc cách ly chúng trên một subnet vàhạn chế sự truy cập của chúng chỉ chúng chỉ trong một tập hợp máy giới hạn.Hoặc bạn có thể chọn không giới hạn sự truy cập gì cả cho các máy tính khôngphục tùng và đơn giản ghi chép sự hiện diện của chúng trên mạng cho nhữngmục đích báo cáo; đó là sự lựa chọn của bạn – NAP cho bạn, nhà quản trị kiểmsoát cách bạn giới hạn sự truy cập mạng dựa vào sự phục tùng

2.2.3.1.3 Sửa chữa tự động

NAP có thể tự động sửa chữa các máy tính không phục tùng đang cố truycập mạng Ví dụ, bạn có một laptop không có cài đặt các bạn cập nhật an ninhmới nhất Bạn cố kết nối với corpnet và NAP nhận dạng máy của bạn là khôngtuân theo các sức khoẻ corpnet, do đó nó cách ly máy của bạn trên một subnetgiới hạn nơi nó có thể tương tác chỉ với các server Windows Server UpdateServices (WSUS) Sau đó NAP hướng máy bạn sang các server WSUS và yêucầu nó đi tìm các bản cập nhật từ những server này Máy của bạn download cácbản cập nhật NAP xác nhận rằng bây giờ máy của bạn khoẻ mạnh và bạn đượcphép truy cập vào corpnet Sự sửa chữa tự động như vậy không chỉ cho phépNAP ngăn các máy không khoẻ mạnh kết nối với mạng của bạn mà nó còn giúpnhững máy đó trở nên khoẻ mạnh để có thể truy cập vào tài nguyên mạng cầnthiết… Dĩ nhiên NAP cho bạn, nhà quản trị mạng quyền điều khiển, do đó bạn

có thể tắt chức năng sửa chữa nếu bạn muốn và yêu cầu NAP hướng máy khôngphục tùng sang một website nội bộ

2.2.3.1.4 Sự phục tùng đang tiến triển

Sau cùng NAP không chỉ kiểm tra sự phục tùng khi máy tính nối kết vớimạng Nó tiếp tục kiểm chứng sự phục tùng trên cơ sở đang tiến triển để bảođảm rằng máy vẫn khoẻ mạnh trong toàn bộ thời gian nó được kết nối với mạng

các chính sách bảo mật để sử dụng cho phần mềm của các nhóm thứ ba đangchạy trên enforcement client.

Những gì Network Access Protection không thể thực hiện được là ở chỗ,

nó không thể tránh được các kẻ xâm phạm bừa bãi vào mạng Network AccessProtection chỉ bảo đảm rằng các máy trạm đang được sử dụng cho việc truy cập

từ xa có đủ các tiêu chuẩn Chính vì vậy, Network Access Protection sẽ chỉ ngănđược hacker nếu máy tính không thỏa mãn chính sách an ninh mạng của bạn còntrong trường hợp máy tính của hacker đồng thuận theo chính sách này thì sẽ rấtkhó để có thể từ chối thiết lập truy cập của hacker