THIẾT kế hệ THỐNG CISCO SECURE ACCESS CONTROL SERVER tại hệ THỐNG MẠNG hội sở NGÂN HÀNG VIB

Khi một user kết nối vào mạng thông qua ACS yêu cầu truy cập một nguồn tài nguyên mạng cụ thể, ACS xác thực user và quyết định xem user có thể giao tiếp với các tài nguyên mạng.. Giống n

Tên đề tài: THIẾT KẾ HỆ THỐNG CISCO SECURE ACCESS CONTROL SERVER TẠI HỆ THỐNG MẠNG HỘI SỞ NGÂN HÀNG VIB

Sinh viên: Đào Trọng Tiến

Lớp: TT&MMT K10B

GVHD: ThS Vũ Văn Diện

Mạng máy tính và truyền thông

1

LỜI CẢM ƠN

Qua một thời gian nỗ lực phấn đấu, cuối cùng với sự giúp đỡ tận tình của các thầy cô, và bạn bè em đã hoàn tất đề tài này Qua đây em xin bày tỏ lòng biết ơn sâu sắc đến ThS Vũ Văn Diện người đã tận tình truyền đạt những kiến thức trong quá trình thực hiện đề tài, chỉ bảo những kinh nghiệm quý báu để em có thể hoàn thành tốt đề tài

Em cũng xin chân thành cảm ơn các thầy giáo, cô giáo trong Khoa

Công Nghệ Thông Tin - Đại Học Công Nghệ Thông Tin và Truyền Thông đã dạy bảo, truyền đạt lại kiến thức cho em trong suốt thời gian học,

để em có được những kiến và từ những kiến thức nền tảng đó, em hoàn thiện đề tài được tốt hơn

Xin cảm ơn các bạn đã nhiệt tình giúp đỡ rất nhiều về tài liệu cũng như những kiến thức để em hoàn thành tốt đề tài này

Thái Nguyên, ngày 10 tháng 06 năm 2016

Sinh viên

Đào Trọng Tiến

2

LỜI CAM ĐOAN

Em xin cam đoan nội dung của đồ án hoàn toàn là do em nghiên cứu, tìm hiểu và tổng hợp từ các tài liệu liên quan, cũng như các kiến thức từ thực

tế khi em học tập, rèn luyện trên ghế giảng đường, không sao chép nội dung của các đồ án khác

Thái Nguyên, ngày 10 tháng 06 năm 2016

Sinh viên

Đào Trọng Tiến

3

LỜI NÓI ĐẦU 7

CHƯƠNG 1: CƠ SỞ LÝ THUYẾT 8

1.1 Giới thiệu về Cisco Secure ACS 8

1.2 Quy trình kết nối xác thực 8

1.3 Quản lý thiết bị mạng trong ACS8

1.3.1 Quản lý nhóm thiết bị mạng (NDGs) 9

1.3.2 Thiết bị mạng (AAA clients) 9

1.4 Quản lý lưu trữ người dùng 9

2.1.1 Giới thiệu về ngân hàng quốc tế VIB20

2.1.2 Khảo sát cơ cấu tổ chức 20

2.1.3 Khảo sát hiện trạng hệ thống mạng 21

2.2 Đặt vấn đề, đánh giá hiện trạng 24

2.3 Đề xuất giải pháp 25

2.3.1 Sử dụng Cisco ACS để xác thực tài khoản 25

2.3.2 Sử dụng Cisco ACS để phân quyền tài khoản 25

2.3.3 Sử dụng Cisco ACS để thống kê, giám sát tài khoản 26

4

2.4 Phân tích và thiết kế giải pháp Cisco Secure ACS cho hệ thống mạng 26

3.1.1 Khai báo Device 36

3.1.2 Thêm dữ liệu user và group user 39

KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN 74

TÀI LIỆU THAM KHẢO 75

NHẬN XÉT CỦA GIÁO VIÊN HƯỚNG DẪN 76

NHẬN XÉT CỦA GIÁO VIÊN PHẢN BIỆN 77

5

DANH MỤC HÌNH

Hình 1.1: Quy trình kết nối xác thực 8

Hình 1.2: Quá trình kết nối LDAP client đến LDAP server 12Hình 1.3: Sơ đồ dạng cây của LDAP 12

Hình 1.4: Mô hình kết nối giữa client/server 13

Hình 1.5: Sơ đồ dạng case của AD 14

Hình 1.6: Quy trình kết nối sử dụng giao thức TACACS+18

Hình 1.7: Quy trình kết nối sử dụng giao thức RADIUS 19

Hình 2.1: Sơ đồ mô hình mạng ngân hàng VIB 22

Hình 2.2: Sơ đồ vị trí Cisco ACS trong hệ thống 26

Hình 3.1: Thêm Location trên ACS 35

Hình 3.2: Thêm các thuộc tính bên của Location trên ACS 35Hình 3.3: Thêm Device Type trên ACS 36

Hình 3.5: Thêm Device trên ACS 37

Hình 3.6: Thêm các thuộc tính của Device trên ACS 37

Hình 3.7: Tạo user Local trên ACS 38

Hình 3.8: Khai báo nhóm của user local trên ACS 38

Hình 3.9: Khai báo thuộc tính của User Local 39

Hình 3.10: Khai báo thông tin để liên kết tới AD 39

Hình 3.11: Lựa chọn các group lấy về từ AD 40

Hình 3.12: Tạo Access Services cho Network 41

Hình 3.13: Lựa chọn cơ sở dữ liệu người dùng 42

Hình 3.14: Tạo các thuộc tính cho Network 43

Hình 3.15: Tạo Access Services cho Citrix 44

Hình 3.16: Khai báo các thuộc tính của Citrix 45

Hình 3.19: Tạo Shell Profiles cho Cisco Router 46

Hình 3.20: Tạo chi tiết một nhóm 47

6

Hình 3.21: Tạo Command Set 47

Hình 3.22: Tạo chi tiết một nhóm user 49

Hình 3.23: Tạo Authorization cho Cisco Router 50

Hình 3.24: Tạo Shell Profiles cho Cisco Switch 52

Hình 3.25: Tạo Command Sets cho Cisco Switch 55

Hình 3.26: Tạo Authorization cho Cisco Switch 56

Hình 3.27: Tạo Shell Profile cho WLC57

Hình 3.28: Khai báo thuộc tính Shell Profile cho WLC 59Hình 3.29: Tạo Authorization cho WLC 60

Hình 3.30: Tạo Command Set cho Citrix 61

Hình 3.31: Tạo Authorization cho Citrix 63

Hình 3.32: Cấu hình Backup 65

Hình 3.33: Cấu hình Restore 65

Hình 3.34: Khai báo Authorization trong WLC 69

Hình 3.35: Cấu hình thứ tự ưu tiên trong WLC 69

Hình 3.36: Khai báo TACACS server trong Citrix 70

Hình 3.37: Khai báo Rule trong Citrix 71

7

LỜI NÓI ĐẦU

Hệ thống mạng của các tổ chức, doanh nghiệp lớn đặc biệt là hệ thống mạng của ngân hàng gồm có rất nhiều thiết bị mạng Việc quản lý, giám sát thiết bị là một bài toán lớn đối với người quản trị hệ thống mạng Khi đó nhân lực về quản lý các thiết bị trong hệ thống cũng cần rất nhiều Vì vậy nếu không có sự phân quyền chặt chẽ và việc sử dụng chung account mặc định hoặc việc phân quyền riêng lẻ trên từng loại thiết bị như hiện nay

sẽ dẫn đến việc không đảm bảo an toàn cho các thiết bị, cũng như việc không giám sát được nhưng thay đổi về cấu hình để có hướng khắc phục

Nắm bắt được thực trạng trên, em đã nghiên cứu tài liệu và thực hiện đề tài “THIẾT KẾ HỆ THỐNG CISCO SECURE ACCESS CONTROL

SERVER TẠI HỆ THỐNG MẠNG HỘI SỞ NGÂN HÀNG VIB” Mục đích của việc thực hiện đề tài là thông qua lý luận và thực tiễn, em muốn thiết

kế, quy hoạch chung lại việc xác thực, phân quyền và giám sát được hoạt động của người quản trị trên thiết bị Qua đó sẽ làm rõ, phân cấp được quyền, phạm vi ảnh hưởng của quản trị viên đối với các thiết bị trong hệthống

Em xin gửi lời cảm ơn đến các thầy cô bạn bè đã tận tình giúp đỡ em trong suốt quá trình thực hiện luận văn Em xin đặc biệt chân thành cảm ơn thầy giáo ThS Vũ Văn Diện đã nhiệt tình hướng dẫn và chỉ bảo để em hoàn thành đề tài này

Do thời gian tìm hiểu và nghiên cứu có hạn nên đề tài của em còn nhiều thiếu sót, em rất mong nhận được sự chỉ bảo, hướng dẫn của các thầy cô để đề tài của em hoàn thiện hơn

8

Em xin chân thành cảm ơn.

9

CHƯƠNG 1: CƠ SỞ LÝ THUYẾT

1.1 Giới thiệu về Cisco Secure ACS

Cisco Secure ACS là một thiết bị giúp xác thực người dùng khi truy cập vào thiết bị mạng (NAS) như là Router, Switch, Wireless controler, Server, Cisco PIX firewall Cisco Secure ACS là một dịch vụ để điều khiển việc xác thực (authentication), cấp quyền (authorization), thống kê(accounting) Cisco Secure ACS giúp tập trung việc điều khiển truy cập vàthống kê cho các access server cũng như firewall trong việc quản lý việc truy cập vào router hay switch Với Cisco Secure ACS, người quản trị cóthể nhanh chóng quản trị account, thay đổi quyền cho toàn bộ các nhóm người dùng khi truy cập vào thiết bị Cisco Secure ACS hỗ trợ các Cisco NAS như Cisco router series 2509, 2511, 3620, 3640, AS 5200, AS 5300,

AS 5800, Cisco PIX firewall và các thiết bị thế hệ thứ ba có thể cấu hình với TACACS+, RADIUS

1.2 Quy trình kết nối xác thực

 Bước 1: Khi user remote vào Network Device sử dụng giao thức

TACACS+, RADIUS thì NAS sẽ chuyển tiếp các yêu cầu từ user đến Cisco Secure ACS

 Bước 2: Cisco Secure ACS sẽ kiểm tra username và password của

user đó qua quyền Administrator của External Store Server

 Bước 3: Nếu user/password đúng, Cisco ACS kiểm tra Rule đã khai

báo rồi trả lời là user đó có được phép truy cập vào hay bị từ chối truy cập,

và sau đó chức năng Accounting (ghi lại thời gian bắt đầu, thời gian kết thúc một session, ) sẽ bắt đầu thực hiện

10

Hình 1.1: Quy trình kết nối xác thực

1.3 Quản lý thiết bị mạng trong ACS

Quản lý thiết bị mạng định nghĩa là các thành phần bên trong hệ thống mạng với các yêu cầu tới ACS Điều này bao gồm các thiết bị mạng

sẽ cấp yêu cầu tới các máy chủ bên ngoài, chẳng hạn như một máy chủRADIUS được sử dụng như một RADIUS proxy

1.3.2 Thiết bị mạng (AAA clients)

AAA Clients định nghĩa tất cả các thiết bị truy cập mạng trong cơ sở

dữ liệu của ACS Các thiết bị mạng được định nghĩa có thể được liên kết bằng một địa chỉ IP cụ thể hoặc một subnet mask (tất cả các IP trong mạng con có thể truy cập mạng) Định nghĩa thiết bị bao gồm sự kết hợp của các thiết bị mạng với các nhóm thiết bị (NDGs)

ACS có thể nhập các thiết bị với cấu hình của nó vào cơ sở dữ liệu Khi ACS nhận được yêu cầu, nó sẽ tìm kiếm thiết bị mạng trong cơ sở dữliệu với địa chỉ IP tương ứng Sau đó, ACS so sánh share secret key đã định nghĩa khi thêm thiết bị Nếu các thông tin đúng, các NDGs kết hợp với các thiết bị được lấy ra và sử dụng các Policy đã định nghĩa

1.4 Quản lý lưu trữ người dùng

11

ACS quản lý các thiết bị mạng bằng cách sử dụng các tài nguyên mạng ACS và các lưu trữ Khi một user kết nối vào mạng thông qua ACS yêu cầu truy cập một nguồn tài nguyên mạng cụ thể, ACS xác thực user và quyết định xem user có thể giao tiếp với các tài nguyên mạng Để xác thực

và cấp phép cho một user, ACS sử dụng user đã được lưu trữ trong cơ sở

dữ liệu

Có hai loại lưu trữ:

 Internal stores: Lưu trữ nội bộ, sử dụng cơ sở dữ liệu người dùng

của ACS

 External stores: Cơ sở dữ liệu người dùng được lưu trữ bên

ngoài ACS yêu cầu thông tin cấu hình để kết nối với cơ sở dữ liệu bên ngoài để thực hiện xác thực và có được thông tin người dùng

1.4.1 Internal stores

1.4.1.1 Thông tin về xác thực

Có thể cấu hình một mật khẩu khác là một phần của bản ghi người dùng nội bộ mà được định nghĩa cho người dùng TACACS + cho phép mật khẩu đó thiết lập mức độ truy cập vào thiết bị Nếu không chọn tùy chọn này, mật khẩu người dùng mặc định cũng được sử dụng để xác thực TACACS + Có thể bao gồm các lưu trữ xác thực giống nhau và cùng một thuộc tính danh sách Tuy nhiên, nếu một danh tính được sử dụng để xác thực, nó không được truy cập để biết thêm thuộc tính Để xác thực dựa trên chứng thực, tên người dùng thuộc các thuộc tính chứng chỉ và được sửdụng để thu hồi thuộc tính

Trong quá trình xác thực, xác thực thất bại nếu có nhiều hơn một trường hợp của một user hoặc host đã tồn tại trong lưu trữ nội bộ Các thuộc tính được lấy ra (nhưng xác thực bị từ chối) cho những người dùng cótài khoản bị vô hiệu hóa hoặc mật khẩu phải được thay đổi Những loại xác thực thất bại có thể xảy ra trong khi thi hành các chính sách nhận dạng:

12

 Lỗi xác thực: nguyên nhân có thể bao gồm các thông tin sai, người dùng vô hiệu hóa

 Người sử dụng hoặc máy chủ không tồn tại trong bất kỳ cơ sở dữ liệu xác thực

 Không xảy ra khi truy cập các cơ sở dữ liệu xác định

Có thể định nghĩa không mở tùy chọn để xác định hành động khi gặp lỗi nhiều lần:

 Từ chối: Gửi trả lời từ chối

 Drop: Không gửi bài trả lời

 Tiếp tục: Tiếp tục xử lý để các chính sách

Hệ thống thuộc tính, trạng thái xác thực, giữ lại kết quả của việc xử

lý chính sách nhận dạng nếu bạn chọn để tiếp tục xử lý chính sách khi có

sự cố xảy ra, bạn có thể sử dụng thuộc tính này trong một điều kiện chính sách tiếp theo để phân biệt trường hợp xử lý chính sách đã không thành công.Bạn có thể tiếp tục xử lý khi thẩm định thất bại cho PAP / ASCII, EAP-TLS, hoặc EAP-MD5 Cho tất cảcác giao thức xác thực khác, yêu cầu bị từ chối và một tin nhắn khi đăng nhập

1.4.1.2 Định nghĩa Groups

Identity Groups có thể chỉ định cho mỗi user nội bộ vào một nhóm khác nhau Nhóm được định nghĩa trong một thứ bậc cấu trúc Nó là những thực thể hợp lý có liên quan đến người sử dụng, nhưng không chứa dữ liệu hoặc các thuộc tính khác với tên mà bạn cung cấp cho họ Sử dụng các nhóm nhận dạng trong điều kiện chính sách để tạo ra các nhóm hợp lý của người sử dụng mà cùng kết quả chính sách được áp dụng Khi ACS xử lýmột yêu cầu cho một người sử dụng, danh tính của nhóm cho người sửdụng là truy xuất và sau đó có thể được sử dụng trong điều kiện trong rule

13

lệ ACS cung cấp mộtđịnh nghĩa giá trị mặc định mà có thể được sử dụng trong trường hợp không có một giá trị thuộc tính Giá trị này đảm bảo giá trịmặc định rằng tất cả các thuộc tính có ít nhất một giá trị.

1.4.2 External stores

1.4.2.1 Tổng quan về LDAP

LDAP là chữ viết tắt của Lightweight Directory Access Protocol LDAP phát triển dựa trên chuẩn X500 Đây là chuẩn cho dịch vụ thư mục (Directory Service - DS) chạy trên nền tảng OSI LDAP được coi làlightweight vì LDAP sử dụng gói tin overhead thấp, được xác định chính xác trên lớp TCP của danh sách giao thức TCP/IP (các dịch vụ hướng kết nối) còn X500 là heavyweight vì là lớp giao thức ứng dụng, chứa nhiều header hơn (các header của các layer tầng thấp hơn)

LDAP chỉ là giao thức, không hỗ trợ xử lý như cơ sở dữ liệu Mà nócần một nơi lưu trữ backend và xử lý dữ liệu tại đó Vì vậy mà LDAP client kết nối tới LDAP server theo mô hình sau:

14

Hình 1.2: Quá trình kết nối LDAP client đến LDAP server

LDAP là giao thức truy cập vì vậy nó theo mô hình dạng cây (Directory Information Tree) LDAP là giao thức truy cập dạng client/server

Hình 1.3: Sơ đồ dạng cây của LDAP

LDAP hoạt động theo mô hình client-server Một hoặc nhiều LDAP server chứa thông tin về cây thư mục (Directory Information Tree – DIT) Client kết nối đến server và gửi yêu cầu Server phản hồi bằng chính nó

15

hoặc trỏ tới LDAP server khác để client lấy thông tin Trình tự khi có kết nối với LDAP:

 Connect (kết nối với LDAP): client mở kết nối tới LDAP server

 Bind (kiểu kết nối: nặc danh hoặc đăng nhập xác thực): client gửi thông tin xác thực

 Search (tìm kiếm): client gửi yêu cầu tìm kiếm

 Interpret search (xử lý tìm kiếm): server thực hiện xử lý tìm kiếm

 Result (kết quả): server trả lại kết quả cho client

 Unbind: client gửi yêu cầu đóng kết nối tới server

 Close connection (đóng kết nối): đóng kết nối từ server

Hình 1.4: Mô hình kết nối giữa client/server

1.4.2.2 Microsoft Acctive Directory

Active Directory là một dịch vụ thư mục (directory service) đã được đăng ký bản quyền bởi Microsoft, nó là một phần không thể thiếu trong kiến trúc Windows Giống như các dịch vụ thư mục khác, chẳng hạn như Novell

Directory Services (NDS), Active Directory là một hệ thống chuẩn và tập

trung, dùng để tự động hóa việc quản lý mạng dữ liệu người dùng, bảo mật

và các nguồn tài nguyên được phân phối, cho phép tương tác với các thưmục khác Thêm vào đó, Active Directory được thiết kế đặc biệt cho các môi trường kết nối mạng được phân bổ theo một kiểu nào đó

16

Active Directory có thể được coi là một điểm phát triển mới so với Windows 2000 Server và được nâng cao và hoàn thiện tốt hơn trong Windows Server 2003, trở thành một phần quan trọng của hệ điều hành Windows Server 2003 Active Directory cung cấp một tham chiếu, được gọi là directory service, đến tất cả các đối tượng trong một mạng, gồm

có user, groups, computer, printer, policy và permission Nói ngắn gọn và tổng quát, Active Directory là 1 dạng cơ sở dữ liệu với mục đích rõ ràng và riêng biệt, tuy nhiên nó hoàn toàn không phải là 1 sự thay thế cho Registry của Windows Các bạn hãy hình dung thế này nhé, 1 mạng lưới client rộng lớn có hàng trăm, hàng ngàn nhân viên, và mỗi nhân viên lại có tên (họ vàtên) khác nhau, công việc khác nhau, phòng ban khác nhau và mỗi server quản lý "đống" client đó phải có Active Directory để phân loại và xử lý công việc một cách tối ưu nhất Các phần dữ liệu trong Active Directory đều cótính kế thừa, nhân rộng, cấp bậc rõ ràng và linh hoạt

Các mạng Active Directoryđược tổ chức bằng cách sử dụng 4 kiểu đơn vị hay cấu trúc mục Bốn đơn vị này được chia thành forest, domain, organizational unit và site

17

Hình 1.5: Sơ đồ dạng case của AD

 Forests: Nhóm các đối tượng, các thuộc tính và cú pháp thuộc tính trong Active Directory

 Domain: Nhóm các máy tính chia sẻ một tập chính sách chung,

tên và một cơ sở dữ liệu của các thành viên của chúng

18

 Organizational unit (OU): Nhóm các mục trong miền nào đó Chúng tạo nên một kiến trúc thứ bậc cho miền và tạo cấu trúc công ty của Active Directory theo các điều kiện tổ chức và địa lý.

 Sites: Nhóm vật lý những thành phần độc lập của miền và cấu trúc OU Các Site phân biệt giữa các location được kết nối bởi các kết nối tốc độ cao và các kết nối tốc độ thấp, và được định nghĩa bởi một hoặc nhiều IP subnet

Các Forest không bị hạn chế theo địa lý hoặc topo mạng Một forest

có thể gồm nhiều miền, mỗi miền lại chia sẻ một lược đồ chung Các thành viên miền của cùng một forest thậm chí không cần có kết nối LAN hoặc WAN giữa chúng Mỗi một mạng riêng cũng có thể là một gia đình của nhiều forest độc lập Nói chung, một forest nên được sử dụng cho mỗi một thực thể Mặc dù vậy, vẫn cần đến các forest bổ sung cho việc thực hiện test và nghiên cứu các mục đích bên ngoài forest tham gia sản xuất

Các miền - Domain phục vụ như các mục trong chính sách bảo mật

và các nhiệm vụ quản trị Tất cả các đối tượng bên trong một miền đều làchủ đề cho Group Policies miền rộng Tương tự như vậy, bất cứ quản trịviên miền nào cũng có thể quản lý tất cả các đối tượng bên trong một miền Thêm vào đó, mỗi miền cũng đều có cơ sở dữ liệu các tài khoản duy nhất của nó Chính vì vậy tính xác thực là một trong những vấn đề cơ bản của miền Khi một tài khoản người dùng hoàn toàn xác thực đối với một miền nào đó thì tài khoản người dùng này có thể truy cập vào các tài nguyên bên trong miền

Active Directory yêu cầu một hoặc nhiều domain để hoạt động Như

đề cập từ trước, một miền Active Directory là một bộ các máy tính chia sẻ chung một tập các chính sách, tên và cơ sở dữ liệu các thành viên của

19

chúng Một miền phải có một hoặc nhiều máy domain controller (DC) và lưu

cơ sở dữ liệu, duy trì các chính sách và cung cấp sự thẩm định cho các đăng nhập vào miền

Trước kia trong Windows NT, bộ điều khiển miền chính - primary domain controller (PDC) và bộ điều khiển miền backup - backup domain controller (BDC) là các role có thể được gán cho một máy chủ trong một mạng các máy tính sử dụng hệ điều hành Windows Windows đã sử dụng ý tưởng miền để quản lý sự truy cập đối với các tài nguyên mạng (ứng dụng, máy in và,…) cho một nhóm người dùng Người dùng chỉ cần đăng nhập vào miền là có thể truy cập vào các tài nguyên, những tài nguyên này có thể nằm trên một số các máy chủ khác nhau trong mạng

Máy chủ được biết đến như PDC, quản lý cơ sở dữ liệu người dùng Master cho miền Một hoặc một số máy chủ khác được thiết kế như BDC PDC gửi một cách định kỳ các bản copy cơ sở dữ liệu đến các BDC Một BDC có thể có thể đóng vai trò như một PDC nếu máy chủ PDC bị lỗi vàcũng có thể trợ giúp cân bằng luồng công việc nếu quá bận

Với Windows 2000 Server, khi domain controller vẫn được duy trì, các role máy chủ PDC và BDC cơ bản được thay thế bởi Active Directory Người dùng cũng không tạo các miền phân biệt để phân chia các đặc quyền quản trị Bên trong Active Directory, người dùng hoàn toàn có thể ủy nhiệm các đặc quyền quản trị dựa trên các OU Các miền không bị hạn chế bởi một

số lượng 40.000 người dùng Các miền Active Directory có thể quản lý hàng triệu các đối tượng Vì không còn tồn tại PDC và BDC nên Active Directory

sử dụng bản sao multi-master replication và tất cả các domain controller đều ngang hàng nhau

Organizational units tỏ ra linh hoạt hơn và cho phép quản lý dễ dàng

20

hơn so với các miền OU cho phép bạn có được khả năng linh hoạt gần như

vô hạn, bạn có thể chuyển, xóa và tạo các OU mới nếu cần Mặc dù các miền cũng có tính chất mềm dẻo Chúng có thể bị xòa tạo mới, tuy nhiên quá trình này dễ dẫn đến phá vỡ môi trường so với các OU và cũng nên tránh nếu có thể

Theo định nghĩa, sites là chứa các IP subnet có các liên kết truyền

thông tin cậy và nhanh giữa các host Bằng cách sử dụng site, bạn có thể kiểm soát và giảm số lượng lưu lượng truyền tải trên các liên kết WAN chậm

ACS sử dụng Microsoft Active Directory (AD) là một nơi lưu trữ cơ sở

dữ liệu người dùng bên ngoài để lưu trữ user, groups ACS xác thực các đối tượng này với AD ACS hỗ trợ các giao thức sau để tương tác với AD:

 EAP-FAST và PEAP-ACS hỗ trợ người dùng và máy tính xác thực

và thay đổi mật khẩu đối với AD sử dụng EAP-FAST và PEAP với phương thức của MSCHAPv2 và EAP-GTC

 PAP-ACS hỗ trợ xác thực đối với AD sử dụng TACACS PAP hoặc phương thức ASCII và cũng cho phép bạn thay đổi mật khẩu người dùng trong AD

 MSCHAPv1-ACS hỗ trợ người dùng và máy tính xác thực đối với

AD sử dụng MSCHAPv1 Bạn có thể thay đổi mật khẩu người dùng AD sửdụng MSCHAPv1 phiên bản 2 ACS không hỗ trợ MS-CHAP MPPE-Keys của một người sử dụng, nhưng hỗ trợ MPPE-Sent-Key và MPPE-Recv-Key

 EAP-GTC—ACS hỗ trợ xác thực người dùng đối với AD sử dụng EAP-GTC

1.5 Quản lý các chính sách truy cập

Chính sách truy cập mạng định nghĩa cho việc xác thức, cấp phép

21

khi clients truy cập vào các thiết bị mạng Một clients có thể là user, thiết bị mạng, hoặc user liên kết với các thiết bị mạng.

Bạn có thể cấu hình các mục sau đây là điều kiện trong một rules:

 Request/Protocol Attributes: ACS lấy các thuộc tính từ các yêu

cầu xác thực vấn đề của người sử dụng

 Identity Attributes: Các thuộc tính này liên quan đến user khi thực hiện một yêu cầu Những thuộc tính này có thể được lấy từ các định nghĩa sử dụng trong các lưu trữ nội bộ hoặc từ người dùng định nghĩa được lưu trữ cơ sở dữ liệu người dùng bên ngoài, chẳng hạn như LDAP và AD

 Identity Groups: ACS duy trì một hệ thống phân cấp nhóm duy

nhất được sử dụng cho tất cả các loại user Mỗi user có thể bao gồm một liên kết đến một nhóm trong hệ thống nhóm đã được phân cấp

 Network Device Groups (NDGs): bao gồm một hoặc nhiều hơn

các nhóm đã được chia ra theo loại thiết bị

 Date and Time Conditions: Bạn có thể tạo một điều kiện xác định các khoảng thời gian cụ thể qua ngày cụ thể trong tuần Bạn cũng có thể kết hợp ngày hết hạn với ngày tháng và thời gian điều kiện quy định vềthời gian là một điều kiện mà lấy ngày hiện tại và thời gian và hiệu quả lợi nhuận đúng hoặc sai để cho biết hay không điều kiện được đáp ứng Có hai thành phần bên trong ngày và thời gian điều kiện:

 Enable Duration: Bạn có thể tùy chọn để giới hạn thời gian trong đó

điều kiện bằng cách xác định một thời gian bắt đầu, tùy chọn thời gian, kết thúc Thành phần này cho phép bạn tạo quy định với thời gian giới hạn Nếu điều kiện này không được kích hoạt, sau đó thành phần này của ngày và thời gian điều kiện trả về false

 Time Intervals:Trên giao diện web ACS, bạn sẽ thấy một bảng

22

các mốc thời gian cho thấy những ngày của tuần và các giờ trong mỗi ngày Mỗi ô trong bảng đại diện cho một giờ Có thể bạn cũng thế thiết lập hoặc xóa các ô.

 Network Conditions: bạn có thể tạo ra các bộ lọc của các loại

sau đây để hạn chế truy cập vào mạng:

 End Station Filters: Có thể được xác định bởi địa chỉ IP, địa chỉ

MAC, CLI, hoặc DNIS

 Network Device Filters: dựa trên việc xử lý yêu cầu AAA Client

Một thiết bị mạng có thể được xác định bởi địa chỉ IP của nó, bởi tên thiết

bị được xác định, hoặc bởi các NDG

 Device Port Filters: Lọc các thiết bị dựa theo port

1.6 Giao thức AAA

1.6.1 Tổng quan về TACACS+

Giao thức TACACS+ được sử dụng nếu các thiết bị mạng là thiết bị Cisco-quản lý các ứng dung, server, router, hoặc firewall ACS hỗ trợ địa chỉ IPv6 cho giao thức TACACS+ ACS hỗ trợ thiết bị Cisco-quản lý ứng dụng thông qua cấp phép câu lệnh cho user ACS cung cấp hỗ trợ việc cấp phép câu lệnh cho người quản lý thiết bị bằng cách đặt những câu lệnh riêng cho mỗi nhóm người quản lý ACS sử dụng TACACS+ để giao tiếp với các thiết bị

Bạn cũng phải cung cấp cho các thiết bị quản lý một tên quản trị hợp lệ

và mật khẩu Khi một thiết bị được quản lý giao tiếp với ACS, các yêu cầu phải đảm bảo tính hợp lệ của các thông tin liên lạc Ngoại trừ các gói header, tất cả các thông tin mà client và TACACS + server giao tiếp sẽ được mã hóa và thông qua share secret

Giao thức TACACS+ dùng để quản lý các thiết bị với quy trình như

23

Hình 1.6: Quy trình kết nối sử dụng giao thức TACACS+

 B1: Một user đăng nhập vào thiết bị mạng

 B2: Thiết bị mạng gửi một TACACS+ yêu cầu truy cập tới ACS

 B3: ACS sử dụng cơ sở dữ liệu nội bộ hoặc lưu trữ bên ngoài để xác minh user

 B4: ACS gửi một phản hổi TACACS+ tới thiết bị mạng và áp dụng các quy định Phản hồi sẽ bao gồm Privilege Level của người quản trịtrong một phiên

1.6.2 Tổng quan về RADIUS

RADIUS là một giao thức client / server thông qua đó các máy chủtruy cập từ xa liên lạc với một máy chủ trung tâm để xác thực người dùng,

và cho phép họ truy cập các hệ thống hoặc dịch vụ yêu cầu Mộtmcông ty

có thể sử dụng RADIUS để duy trì hồ sơ người dùng trong một cơ sở dữliệu trung tâm mà tất cả các máy chủ từ xa có thể chia sẻ Giao thức này

24

cung cấp bảo mật tốt hơn, và công ty có thể sử dụng nó để thiết lập một chính sách được áp dụng quản lý điểm mạng Để hỗ trợ các RFC cũ và mới hơn, ACS chấp nhận yêu cầu chứng thực trên cổng 1645 và cổng1812 Đối với việc thống kê, ACS chấp nhận các gói tin kế toán trên cổng 1646 và 1813.

Giao thức RADIUS dùng để quản lý các truy cập mạng Khi một host kết nối tới thiết bị mạng và yêu cầu sử dụng tài nguyên mạng Thiết bị mạng sử dụng giao thức RADIUS gửi yêu cầu ACS để xác thực và cấp phép cho user Quy trình kết nối, xác thực:

Hình 1.7: Quy trình kết nối sử dụng giao thức RADIUS

 B1: Một host kết nối tới thiết bị mạng

 B2: Thiết bị mạng gửi một RADIUS yêu cầu truy cập tới ACS

 B3: ACS sử dụng cơ sở dữ liệu nội bộ hoặc lưu trữ bên ngoài đểxác minh tính hợp lệ của user

 B4: ACS sẽ phản hồi chấp nhận truy cập hoặc từ chối truy cập dựa theo quy tắc đã định nghĩa cho user

25

CHƯƠNG 2: KHẢO SÁT, ĐÁNH GIÁ HIỆN TRẠNG VÀ PHÂN TÍCH THIẾT

KẾ HỆ THỐNG MẠNG TẠI NGÂN HÀNG QUỐC TẾ VIB

2.1 Khảo sát và phân tích hệ thống mạng

2.1.1 Giới thiệu về ngân hàng quốc tế VIB

Ngân hàng TMCP Quốc Tế Việt Nam, tên viết tắt là Ngân hàng Quốc

Tế (VIB) được thành lập ngày 18 tháng 9 năm 1996, trụ sở đặt tại 16 Phan Chu Trinh, Q Hoàn Kiếm, Hà Nội Đến ngày 15/06/2015, sau 19 năm hoạt động, VIB đã trở thành một trong những ngân hàng TMCP hàng đầu Việt Nam với tổng tài sản đạt gần 80 nghìn tỷ đồng, vốn điều lệ 4.250 tỷ đồng, vốn chủ sở hữu đạt gần 8.200 tỷ đồng Ngân hàng hiện có gần 4.000 cán

bộ nhân viên phục vụ khách hàng tại gần 160 chi nhánh và phòng giao dịch tại trên 27 tỉnh/thành trọng điểm trong cả nước

2 1.2 Khảo sát cơ cấu tổ chức

Mô hình tổ chức của ngân hàng quốc tế VIB:

- Đại hội cổ đông

- Hội đồng quản trị

 01 Chủ tịch hội đồng quản trị

 01 Phó chủ tịch hội đồng quản trị

 06 thành viên hội đồng quản trị

- Các ban, ủy ban, hội đồng:

 Khối kinh doanh vốn và thị trường

 Khối quản lý rủi ro

Chức năng và nhiệm vụ của ngân hàng TMCP quốc tế Việt Nam:

 Mở tài khoản và nhận tiền gửi

 Tín dụng, đầu tư và tài trợ dự án

 Chuyển tiền và thanh toán trong nước

 Dịch vụ chi trả kiều hối

 Dịch vụ thanh toán quốc tế và ngoại hối

 Dịch vụ ngân quỹ

 Dịch vụ bảo lãnh, tư vấn đầu tư và quản lý tài chính

 Thực hiện hạch toán kinh doanh và phân phối thu thập theo quy định điều lệ hoạt động

 Thực hiện công tác tổ chức các bộ, đào tạo, thi đua khen thưởng theo quy chế tổ chức hoạt động

27

2.1.3 Khảo sát hiện trạng hệ thống mạng

Hệ thống mạng của ngân hàng VIB là một hệ thống mạng WAN lớn,

có khuynh hướng mở rộng rất cao Đây là một hệ thống mạng kết nối xuyên suốt giữa hội sở chính, hơn 160 chi nhánh, phòng giao dịch với nhau, đồng thời kết nối ra Internet để thực hiện các giao dịch với khách hàng Cơ sở dữliệu ngày càng phát triển lớn hơn cùng với nhu cầu ứng dụng công nghệthông tin cao đòi hỏi nhất thiết phải các các giải pháp để đảm bảo an toàn,

an ninh cho toàn bộ hệ thống mạng

28

Hình 2.1: Sơ đồ mô hình mạng ngân hàng VIB

Qua khảo sát hệ thống mạng ngân hàng VIB được chia thành các vùng như sau:

 DC-DR: Trung tâm dữ liệu xử lý chính (DC) và Trung tâm dữ

liệu dự phòng (DR) Dữ liệu được đồng bộ giữa 2 site DC - DR bằng đường truyền tốc độ cao Kết nối hệ thống WAN giữa 2 site DC – DR.Thiết bị và cấu hình hệ thống DR tương thích với thiết bị và cấu hình hệ thống của DC đảm bảo khi Trung tâm dữ liệu xử lý chính (DC) có sự cố, Trung tâm dữ liệu

dự phòng (DR) sẵn sàng thay thế Trung tâm dữ liệu xử lý chính

 Branches: Hệ thống mạng của các chi nhánh được kết nối với DC-DR thông qua mạng cáp quang tốc độ cao của các ISP: FPT, Viettel, NetNam



30

7 Load Balancer NetScaler

MPX5500

2

 Thiết bị tại vùng North

- Thiết bị chi nhánh tại HN

 Thiết bị Wireless System

Qua khảo sát tổng quan về hệ thống mạng của ngân hàng VIB, tuy

hệ thống mạng đã hoàn thiện, có các giải pháp bảo mật mạng, nhưng với một hệ thống mạng lớn gồm rất nhiều thiết bị của các hãng khác nhau Việc

33

quản lý các thiết bị chưa được chặt chẽ, tồn tại nhiều rủi ro về an toàn mạng Cụ thể là:

 Việc đăng nhập vào thiết bị để quản lý vẫn sử dụng account mặc định hoặc user của người quản trị được tạo trên thiết bị

 Phân quyền cho user trên thiết bị còn cơ bản, chưa đảm bảo được tính bảo mật

 Chưa giám sát được hoạt động của user trên thiết bị

Bên cạnh đó do số lượng thiết bị lớn, cần nhiều nhân lực để quản trị Nhưng do chưa có sự phân quyền nên việc phân chia công việc giám sát, quản trị thiết bị còn hạn chế

2.3 Đề xuất giải pháp

Với những vấn đề mà phần khảo sát đã đưa ra, ta đưa ra một số đề xuất giải pháp Mục tiêu của các giải pháp dưới đây chính là việc sử dụng các tính năng mà Cisco Secure ACS hỗ trợ tác động đến hệ thống mạng nhằm giải quyết những vấn

đề tồn tại đã khảo sát

2.3.1 Sử dụng Cisco ACS để xác thực tài khoản

Sử dụng Cisco Secure ACS cấu hình để nhận dạng người dùng Quá trình xác thực, người quản trị sử dụng account domain vib.corp được cấp cho mỗi cái nhân lưu trữ trong Active Directory Ở đây, người quản trị sẽ đăng nhập bằng account domain thay vì account được tạo trên thiết bị như trước đây Việc này sẽ giúp quản lý tập trung các nhóm người quản trị để giúp cho việc phân quyền cho tài khoản được linh hoạt hơn Sau khi xác thực thành công thì người dùng có quyền truy cập được vào thiết bị trong hệ thống

34

2.3.2 Sử dụng Cisco ACS để phân quyền tài khoản

Sử dụng Cisco ACS để cho phép điều khiển việc cấp quyền trên từng nhóm người quản trị theo vị trí của thiết bị và loại thiết bị Để việc phân quyền được chặt chẽ trên Cisco Secure ACS ta tạo ra các thuộc tính mô tả các chức năng của người dùng được phép làm:

 Chia user quản trị ra các mức: SuperAdmin, Admin, Viewer

 Super Admin có quyền quản trị cao nhất đối với thiết bị

 Admin trong vùng DC-DR có toàn quyền Admin đối với thiết bị vùng Branches nhưng ngược lại Admin Branches chỉ có quyền Viewer trên các thiết bị cấp cao hơn

 Tại các Level, user chỉ được sử dụng các lệnh, giao diện đã permit, deny theo policy đã phân quyền

Việc phân quyền này giúp quản lý chặt chẽ các nhóm người quản trị đối với thiết bị thay vì việc phân quyền cơ bản như đã khảo sát Qua đó giúp bảo mật thiết bị hơn

2.3.3 Sử dụng Cisco ACS để thống kê, giám sát tài khoản

Đối với một hệ thống mạng lớn có rất nhiều quản trị viên Việc thống kê, giám sát tài khoản rất quan trọng Ta cấu hình để có thể thu thập thông tin như thời gian bắt đầu, thời gian kết thúc người dùng truy cập vào hệ thống, các câu lệnh đã thực thi, thống kê lưu lượng, việc sử dụng tài nguyên và sau đó lưu trữ thông tin

35

trong hệ thống cơ sở dữ liệu quan hệ

2.4 Phân tích và thiết kế giải pháp Cisco Secure ACS cho hệ thống mạng

2.4.1 Sơ đồ thiết kế

Cisco Secure ACS được đặt tại vùng DB thuộc DC:

36

Hình 2.2: Sơ đồ vị trí Cisco ACS trong hệ thống mạng

37

Hình 2.3: Sơ đồ vị trí vùng DB chứa Cisco ACS

Các thiết bị trong vùng DB zone: