Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống
1
/ 126 trang
THÔNG TIN TÀI LIỆU
Thông tin cơ bản
Định dạng
Số trang
126
Dung lượng
3,64 MB
Nội dung
Tên đề tài: THIẾT KẾ HỆ THỐNG CISCO SECURE ACCESS CONTROL SERVER TẠI HỆ THỐNG MẠNG HỘI SỞ NGÂN HÀNG VIB Sinh viên: Đào Trọng Tiến Lớp: TT&MMT K10B GVHD: ThS Vũ Văn Diện Mạng máy tính truyền thông T LỜI CẢM ƠN Qua thời gian nỗ lực phấn đấu, cuối với giúp đỡ tận tình thầy cô, bạn bè em hoàn tất đề tài Qua em xin bày tỏ lòng biết ơn sâu sắc đến ThS Vũ Văn Diện người tận tình truyền đạt kiến thức trình thực đề tài, bảo kinh nghiệm quý báu để em hoàn thành tốt đề tài Em cũng xin chân thành cảm ơn các thầy giáo, cô giáo Khoa Công Nghệ Thông Tin - Đại Học Công Nghệ Thông Tin và Truyền Thông đã dạy bảo, truyền đạt lại kiến thức cho em suốt thời gian học, để em có kiến và từ kiến thức tảng đó, em hoàn thiện đề tài tốt Xin cảm ơn bạn nhiệt tình giúp đỡ nhiều tài liệu kiến thức để em hoàn thành tốt đề tài Thái Nguyên, ngày 10 tháng 06 năm 2016 Sinh viên Đào Trọng Tiến LỜI CAM ĐOAN Em xin cam đoan nội dung đồ án hoàn toàn em nghiên cứu, tìm hiểu tổng hợp từ tài liệu liên quan, kiến thức từ thực tế em học tập, rèn luyện ghế giảng đường, không chép nội dung đồ án khác Thái Nguyên, ngày 10 tháng 06 năm 2016 Sinh viên Đào Trọng Tiến MỤC LỤC LỜI CẢM ƠN LỜI CAM ĐOAN MỤC LỤC DANH MỤC HÌNH LỜI NÓI ĐẦU CHƯƠNG 1: CƠ SỞ LÝ THUYẾT 1.1 Giới thiệu Cisco Secure ACS 1.2 Quy trình kết nối xác thực 1.3 Quản lý thiết bị mạng ACS8 1.3.1 Quản lý nhóm thiết bị mạng (NDGs) 1.3.2 Thiết bị mạng (AAA clients) 1.4 Quản lý lưu trữ người dùng 1.4.1 Internal stores 10 1.4.2 External stores 11 9 1.5 Quản lý sách truy cập 16 1.6 Giao thức AAA 18 1.6.1 Tổng quan TACACS+ 18 1.6.2 Tổng quan RADIUS 19 CHƯƠNG 2: KHẢO SÁT, ĐÁNH GIÁ HIỆN TRẠNG VÀ PHÂN TÍCH THIẾT KẾ HỆ THỐNG MẠNG TẠI NGÂN HÀNG QUỐC TẾ VIB 20 2.1 Khảo sát phân tích hệ thống mạng 20 2.1.1 Giới thiệu ngân hàng quốc tế VIB20 2.1.2 Khảo sát cấu tổ chức 20 2.1.3 Khảo sát trạng hệ thống mạng 21 2.2 Đặt vấn đề, đánh giá trạng 24 2.3 Đề xuất giải pháp 25 2.3.1 Sử dụng Cisco ACS để xác thực tài khoản 25 2.3.2 Sử dụng Cisco ACS để phân quyền tài khoản 25 2.3.3 Sử dụng Cisco ACS để thống kê, giám sát tài khoản 26 2.4 Phân tích thiết kế giải pháp Cisco Secure ACS cho hệ thống mạng 2.4.1 Sơ đồ thiết kế 26 26 2.4.2 Các luật triển khai Cisco ACS 30 2.4.3 Xử lý cố 35 CHƯƠNG 3: TRIỂN KHAI GIẢI PHÁP VÀ XÂY DỰNG CHƯƠNG TRÌNH DEMO 3.1 Cấu hình Cisco ACS 3.1.1 Khai báo Device 36 36 3.1.2 Thêm liệu user group user 3.1.3 Access Services 39 41 3.1.4 Phân quyền 47 3.1.5 Cấu hình Backup/Recovery 64 3.2 Cấu hình số loại thiết bị67 3.2.1 Thiết bị Cisco 67 3.2.2 Thiết bị Citrix 70 KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN TÀI LIỆU THAM KHẢO 74 75 NHẬN XÉT CỦA GIÁO VIÊN HƯỚNG DẪN 76 NHẬN XÉT CỦA GIÁO VIÊN PHẢN BIỆN 77 36 DANH MỤC HÌNH Hình 1.1: Quy trình kết nối xác thực Hình 1.2: Quá trình kết nối LDAP client đến LDAP server 12 Hình 1.3: Sơ đồ dạng LDAP 12 Hình 1.4: Mô hình kết nối client/server 13 Hình 1.5: Sơ đồ dạng case AD 14 Hình 1.6: Quy trình kết nối sử dụng giao thức TACACS+18 Hình 1.7: Quy trình kết nối sử dụng giao thức RADIUS 19 Hình 2.1: Sơ đồ mô hình mạng ngân hàng VIB 22 Hình 2.2: Sơ đồ vị trí Cisco ACS hệ thống 26 Hình 3.1: Thêm Location ACS 35 Hình 3.2: Thêm thuộc tính bên Location ACS Hình 3.3: Thêm Device Type ACS Hình 3.5: Thêm Device ACS 36 37 Hình 3.6: Thêm thuộc tính Device ACS Hình 3.7: Tạo user Local ACS 38 Hình 3.8: Khai báo nhóm user local ACS 38 Hình 3.9: Khai báo thuộc tính User Local 39 Hình 3.10: Khai báo thông tin để liên kết tới AD 39 Hình 3.11: Lựa chọn group lấy từ AD 40 Hình 3.12: Tạo Access Services cho Network 41 Hình 3.13: Lựa chọn sở liệu người dùng 42 Hình 3.14: Tạo thuộc tính cho Network 43 Hình 3.15: Tạo Access Services cho Citrix 44 Hình 3.16: Khai báo thuộc tính Citrix 45 Hình 3.19: Tạo Shell Profiles cho Cisco Router 46 Hình 3.20: Tạo chi tiết nhóm 47 37 35 Hình 3.21: Tạo Command Set 47 Hình 3.22: Tạo chi tiết nhóm user 49 Hình 3.23: Tạo Authorization cho Cisco Router 50 Hình 3.24: Tạo Shell Profiles cho Cisco Switch 52 Hình 3.25: Tạo Command Sets cho Cisco Switch 55 Hình 3.26: Tạo Authorization cho Cisco Switch 56 Hình 3.27: Tạo Shell Profile cho WLC57 Hình 3.28: Khai báo thuộc tính Shell Profile cho WLC Hình 3.29: Tạo Authorization cho WLC 60 Hình 3.30: Tạo Command Set cho Citrix 61 Hình 3.31: Tạo Authorization cho Citrix 63 Hình 3.32: Cấu hình Backup 65 Hình 3.33: Cấu hình Restore 65 Hình 3.34: Khai báo Authorization WLC 69 Hình 3.35: Cấu hình thứ tự ưu tiên WLC 69 Hình 3.36: Khai báo TACACS server Citrix 70 Hình 3.37: Khai báo Rule Citrix 71 59 LỜI NÓI ĐẦU Hệ thống mạng tổ chức, doanh nghiệp lớn đặc biệt hệ thống mạng ngân hàng gồm có nhiều thiết bị mạng Việc quản lý, giám sát thiết bị toán lớn người quản trị hệ thống mạng Khi nhân lực quản lý thiết bị hệ thống cần nhiều Vì phân quyền chặt chẽ việc sử dụng chung account mặc định việc phân quyền riêng lẻ loại thiết bị dẫn đến việc không đảm bảo an toàn cho thiết bị, việc không giám sát thay đổi cấu hình để có hướng khắc phục Nắm bắt thực trạng trên, em nghiên cứu tài liệu thực đề tài “THIẾT KẾ HỆ THỐNG CISCO SECURE ACCESS CONTROL SERVER TẠI HỆ THỐNG MẠNG HỘI SỞ NGÂN HÀNG VIB” Mục đích việc thực đề tài thông qua lý luận thực tiễn, em muốn thiết kế, quy hoạch chung lại việc xác thực, phân quyền giám sát hoạt động người quản trị thiết bị Qua làm rõ, phân cấp quyền, phạm vi ảnh hưởng quản trị viên thiết bị hệ thống Em xin gửi lời cảm ơn đến thầy cô bạn bè tận tình giúp đỡ em suốt trình thực luận văn Em xin đặc biệt chân thành cảm ơn thầy giáo ThS Vũ Văn Diện nhiệt tình hướng dẫn bảo để em hoàn thành đề tài Do thời gian tìm hiểu nghiên cứu có hạn nên đề tài em nhiều thiếu sót, em mong nhận bảo, hướng dẫn thầy cô để đề tài em hoàn thiện Em xin chân thành cảm ơn CHƯƠNG 1: CƠ SỞ LÝ THUYẾT 1.1 Giới thiệu Cisco Secure ACS Cisco Secure ACS thiết bị giúp xác thực người dùng truy cập vào thiết bị mạng (NAS) Router, Switch, Wireless controler, Server, Cisco PIX firewall Cisco Secure ACS dịch vụ để điều khiển việc xác thực (authentication), cấp quyền (authorization), thống kê (accounting) Cisco Secure ACS giúp tập trung việc điều khiển truy cập thống kê cho access server firewall việc quản lý việc truy cập vào router hay switch Với Cisco Secure ACS, người quản trị nhanh chóng quản trị account, thay đổi quyền cho toàn nhóm người dùng truy cập vào thiết bị Cisco Secure ACS hỗ trợ Cisco NAS Cisco router series 2509, 2511, 3620, 3640, AS 5200, AS 5300, AS 5800, Cisco PIX firewall thiết bị hệ thứ ba cấu hình với TACACS+, RADIUS 1.2 Quy trình kết nối xác thực Bước 1: Khi user remote vào Network Device sử dụng giao thức TACACS+, RADIUS NAS chuyển tiếp yêu cầu từ user đến Cisco Secure ACS Bước 2: Cisco Secure ACS kiểm tra username password user qua quyền Administrator External Store Server Bước 3: Nếu user/password đúng, Cisco ACS kiểm tra Rule khai báo trả lời user có phép truy cập vào hay bị từ chối truy cập, sau chức Accounting (ghi lại thời gian bắt đầu, thời gian kết thúc session, ) bắt đầu thực 10 Thêm TACACS+ Authentication Sử dụng GUI, chọn Security TACACS+ Authentication New Điền thông tin Server IP Address, Shared Secret, Port Number, Server Timeout hình Thêm TACACS+ Accounting Sử dụng GUI, chọn Security TACACS+ Accounting New 112 Điền thông tin Server IP Address, Shared Secret, Port Number, Server Timeout hình Thêm TACACS+ Authorization Sử dụng GUI, chọn Security TACACS+ Authorization New 113 Điền thông tin Server IP Address, Shared Secret, Port Number, Server Timeout hình 114 Hình 3.34: Khai báo Authorization WLC Cấu hình thứ tự xác thực: Sử dụng GUI, chọn Security > Priority Order > Management User Chọn thứ tự xác thực: TACACS+ > LOCAL > RADIUS Chọn Apply 115 Hình 3.35: Cấu hình thứ tự ưu tiên WLC Nhấn Save Configure 3.2.2 Thiết bị Citrix 3.2.2.1 NetScaler MPX5500 Cấu hình TACACS Server thiết bị: Chọn System Authentication TACACS Servers Add 116 Điền thống tin hình sau nhấn Create Note: Shared Secret phải trùng với shared secret định nghĩa cisco ACS 117 Hình 3.36: Khai báo TACACS server Citrix Chọn System Authentication TACACS Policies Add 118 Điền thông tin Name, chọn TACACS Server, chọn ns-true Add Expression Create 119 Sau thêm Policy chọn Global Bindings Hình 3.37: Khai báo Rule Citrix Điền thông tin:Select Policy, Priority 120 Thuộc tính Select Policy Priority Mô tả Lựa chọn Policy định nghĩa từ trước Mức độ ưu tiên: Hoàn thành cấu hình policy cho TACACS 121 Tương tự cấu hình Policy cho Local với Priority 122 KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN Kết luận Qua thời gian tìm hiểu học hỏi, với giúp đỡ tận tình thầy cô giáo trường đại học Công nghệ thông tin Truyền thông em hoàn thành đề tài “THIẾT KẾ HỆ THỐNG CISCO SECURE ACCESS CONTROL SERVER TẠI HỆ THỐNG MẠNG HỘI SỞ NGÂN HÀNG VIB” Đề tài đáp ứng kiến thức cho việc triển khai, tích hợp hệ thống việc thiết kế, xây dựng hệ thống Với đề tài này, hiểu rõ quy trình để thiết kế, triển khai, tích hợp thiết bị vào hệ thống mạng Ngoài hiểu rõ phân quyền cho quản trị viên thiết bị mạng hệ thống mạng ngân hàng Qua áp dụng để triển khai, tích hợp hệ thống Hướng phát triển Đề tài: “THIẾT KẾ HỆ THỐNG CISCO SECURE ACCESS CONTROL SERVER TẠI HỆ THỐNG MẠNG HỘI SỞ NGÂN HÀNG VIB” phần đưa tổng quan việc quản lý user theo phân quyền tập trung Với đề tài này, người thực dự định nghiên cứu, phát triển quy hoạch user phân quyền chi tiết đảm bảo mềm dẻo phục vụ cho việc mở rộng hệ thống mạng 123 TÀI LIỆU THAM KHẢO Giáo trình [1] Nguyễn Thúc Hải, Mạng máy tính hệ thống mở máy tính, Nhà xuất giáo dục, 1997 [2] Nguyễn Quốc Cường, Hoàng Đức Hải, Internetworking, Nhà xuất Giáo dục, 2001 [3] Cisco System, Giáo trình CCNA Exploration 4.0 LAN Switching and Wireless Website [1] http://cisco.com [2] http://vnpro.vn/forum [3] http://google.com 124 NHẬN XÉT CỦA GIÁO VIÊN HƯỚNG DẪN Ngày 10 Tháng 06 Năm 2016 ThS Vũ Văn Diện 125 NHẬN XÉT CỦA GIÁO VIÊN PHẢN BIỆN Ngày .tháng năm 2016 126 ... THIẾT KẾ HỆ THỐNG MẠNG TẠI NGÂN HÀNG QUỐC TẾ VIB 2.1 Khảo sát phân tích hệ thống mạng 2.1.1 Giới thiệu ngân hàng quốc tế VIB Ngân hàng TMCP Quốc Tế Việt Nam, tên viết tắt Ngân hàng Quốc Tế (VIB) ... động 27 2.1.3 Khảo sát trạng hệ thống mạng Hệ thống mạng ngân hàng VIB hệ thống mạng WAN lớn, có khuynh hướng mở rộng cao Đây hệ thống mạng kết nối xuyên suốt hội sở chính, 160 chi nhánh, phòng... TÍCH THIẾT KẾ HỆ THỐNG MẠNG TẠI NGÂN HÀNG QUỐC TẾ VIB 20 2.1 Khảo sát phân tích hệ thống mạng 20 2.1.1 Giới thiệu ngân hàng quốc tế VIB2 0 2.1.2 Khảo sát cấu tổ chức 20 2.1.3 Khảo sát trạng hệ thống