TÓM TẮT NỘI DUNG ộ ộ V ể ể ộ , ể ời ể , tổ ch c ể ộ , , ể ộ Kiểm soát truy c p ể ể ộ ì Trong lu ểu tổng quan toán kiểm soát truy c p h th ng m ng, gi i pháp mô hình kiểm soát truy c p m ng Đ ớc xây d ng h th ng kiểm soát truy c p m ng sách kiểm soát truy c p m ng T xây d ng h th ng kiểm soát truy c p m ng tích h p với h th ng thi t b th t Xây d ng công c d li u qu ý ời dùng truy c p vào h th ng m ng h th ời dùng tổ ch c, qu n lý thi t b m ng MỤC LỤC TÓM TẮT NỘI DUNG PHỤ LỤC TỪ VIẾT TẮT DANH MỤC HÌNH VẼ LỜI CẢM Ơ LỜI CAM ĐOA LỜI ÓI ĐẦU ề tài Lý ch M c tiêu c a lu Tóm tắt nội dung P u 10 CHƯƠ G T G QUA IỂM SO T TRUY C P TRO G H TH G M G 11 1.1 Tổng quan kiểm soát truy c p 11 ể 1.1.1 11 ể 1.1.2 Gi 1.1.3 Q ì 1.1.4 C ớc xây d ng h th ng kiểm soát truy c p 31 1.2 14 ể th 21 Xây d ng sách kiểm soát truy c p 36 1.2.1 Các sách b o m t 36 1.2.2 Xây d ng sách kiểm soát truy c p 40 1.2.3 Tiểu k 2.1 C 43 nh danh 44 2.1.1 Đ nh danh có c u trúc 44 2.1.2 Đ nh danh theo thuộc tính 48 2.2 2.2.1 ời dùng 52 Kiểm soát truy c p d Nh n d ng xác th c 52 Ủy quyền th c thi 61 2.2.2 2.3 Kiểm soát truy c p d nh danh thi t b 62 2.3.1 Phân lo i thi t b h th ng m ng 62 2.3.2 Kiểm soát thi t b h th ng m ng 63 CHƯƠ G XÂY ỰNG H TH G IỂM SO T TRUY C P T P TRU G ỰA TR Đ H A H TO CỤC 67 3.1 C ờng kiểm soát truy c p 67 3.2 Xây d ng h th nh danh 74 3.2.1 C d li u thi t b m ng 74 3.2.2 C d li ời dùng 77 3.3 H th ng giám sát truy c p 78 3.4 Tích h p với thi t b th t 80 3.5 Thử nghi KẾT LU 82 V HƯỚNG PHÁT TRIỂN CỦA ĐỀ TÀI 86 TÀI LI U THAM KHẢO 87 PHỤ LỤC TỪ VIẾT TẮT AAA Authentication Authorization Accounting DHCP Dynamic Host Configuration Protocol DNS Domain Name System EAP Extensible Authentication Protocol EAPOL Extensible Authentication Protocol Over Lan IPSEC IP Security LDAP Lightweight Directory Access Protocol NAC Network Access Control OSI Open Systems Interconnection RDF Resource description framework VLAN Virtual Local Area Network DANH MỤC HÌNH VẼ Hì G ể 15 Hì G ể -of-band 16 Hì G ể -base - 18 Hì G ể - 20 Hì G ể - 21 Hì C ì ể 22 Hì C ể 24 Hì Q ì 26 Hì G xử ý - 27 Hình 1.10: Th c thi sách - 29 Hì G n giám sát chu trình NAC - 30 Hình 1.12: Xác th c với giao th c EAP 34 Hình 2.1 Biể nh danh với nút g c nh t - 45 Hình 2.2 Gắn k t không gian tên t xa thông qua giao th c truy c p 47 Hình 2.3: Ví d danh m c LDAP sử d ng quy tắ nh danh LDAP 49 Hì , Câ c b, Hai danh m c có thuộc tính giá tr - 51 Hình 5: K t n i thi t b vào cổng m ng - 56 Hình 2.6: Các thành ph n trình xác th c 802.1x - 57 Hình 2.7: Các khung d li u xác th c 802.1x - 58 Hình 8: Quá trình k t n i gi a Supplicant với máy ch xác th c 58 Hình 2.9:K t n i gi a Supplicant Authenticator 59 Hình H th ng kiểm soát truy c p - 68 Hình 3.2: B t d ch v Wired AutoConfig 69 Hình 3.3: Xác th c giao di n m ng 70 Hình 3.4: Kiểm soát với 802.1x - 71 Hình 3.5: D ch v Network Policy Server - 73 Hình 3.6: C u hình radius client - 73 Hình 3.7: Qu n lý chi nhánh phòng giao d ch - 75 Hình 3.8: Phân lo i thi t b m ng - 76 Hình 3.9: Qu n lý thi t b m ng 76 Hì C d li u qu ý ời dùng 77 Hì C d li u qu n lý tài nguyên h th ng - 78 Hình 3.12: Quan h gi a module c d li u 79 Hì 3 T a thành ph n h th ng 81 Hì ời dùng truy c p th t b i - 83 Hì T c c p 84 Hình 3.16: Th c thi sách kiểm soát truy c p - 84 Hì ời dùng xác th c thành công 85 LỜI CẢM ƠN C c b n lu n th y giáo, ih c bi t PGS TS Hà Qu nh danh toàn c Tôi chân thành c Vi Đ S T c ti p dìu dắt, Truyề c gửi lời c lòng ng hộ, khích l tinh th â ểm soát Đ i h c Bách Khoa Hà Nội, t nh ng ki n th c kinh nghi m cho â ắc nh t tớ ộng viên vào nh ộng l c hoàn thành lu X “ c bi t th y cô giáo c a Vi n Công ngh thông tin t lòng d y b o, truyề x t o Sau ớng d n giúp ể hoàn thành lu su t thời gian h c t p b c Cao h c th c hi n lu Cu Đ ắc “ y giáo, i h c, â Đ i h c Bách Khoa Hà Nội, Vi ỡ su t trình triển khai nghiên c truy c p d â t nghi p xin bày tỏ lòng bi y ! t nghi p ì â t ể LỜI CAM ĐOAN Tôi Tr n Trung Kiên x t qu c lu ớng d n Trong toàn nội dung c u, tìm hiểu c a riêng cá nhân gi c a lu , nh ề n phẩm nghiên c trình bày ho c c a cá nhân ho t nhiều nguồn tài li u T t c tài li u tham kh c tổng h p ều có xu t x õ c trích d n h p pháp Tôi xin hoàn toàn ch u trách nhi m ch u m i hình th c kỷ lu nh cho lời a Hà Nội, Tác gi Lu 03 T c sỹ Tr n Trung Kiên LỜI NÓI ĐẦU Lý chọn đề tài Kiểm soát truy c p yêu c u quan tr ng với tổ ch c vi c qu n lý tài nguyên h th ng m ng Kiểm soát thi t b gi m thiểu m Xu t phát t nh u cu i phát hi n r ro ột nhi m v n h th ng m ng v ý ng ph nh danh k t n i m ng v t lý ph c v cho toán qu n tr qu n lý m ng Mục tiêu luận văn Đề tài t p trung nghiên c u tổng quan toán kiểm soát h th ng m ng Đ â toán giám sát qu n lý cổng k t n i m ng Nghiên c u phát triển h th danh cổng toàn tổ ch c Thi t k xây d ng Module qu ý nh d li u cổng m ng tích h p vào h th ng th t ng d ng cho vi c qu n tr m ng d nh danh toàn c c Tóm tắt nội dung Nội dung c a lu  Tìm hiểu tổng quan toán kiểm soát truy c p h th ng m ng, gi i pháp mô hình kiểm soát truy c p m ng Đ ớc xây d ng h th ng kiểm soát truy c p m ng sách kiểm soát truy c p m ng  Nghiên c u h th ời dùng, thi t nh danh toàn c xâ b h th ng m ng tổ ch c T ời dùng, thi t b tr ng h th n toán giám sát, d li u qu n lý nh danh cổng m ng Phƣơng pháp nghiên cứu Xây d ng h th ng kiểm soát truy c p m ng tích h p với h th ng thi t b th t Xây d ng công c li u qu ý ời dùng truy c p vào h th ng m ng h th ởd ời dùng tổ ch c, qu n lý thi t b m ng Ti n hành th c nghi m mô h th ng thi t b th t, gi i quy t toán kiểm soát truy c p d nh danh toàn c c 10 server 2008, máy ch domain Policy Server (NPS) t c u hình d ch v Network ò làm Radius Hình 3.5: D ch v Network Policy Server Ở â thi t l p thi t b switch toàn h th ng m ý switch máy ch radius server ,ta c n thông s mã khóa xác th c gi a switch máy ch radius server ph n Shared Secret : Hình 3.6: C u hình radius client 73 ể k t n i gi a S ì t n i cho h th ng kiểm soát truy c p thành ph n c n thi t Ti p theo s â n lý cổng k t n i m ng d li u cổng m Xây d n ều khiển giám sát cổng m ng Xây dựng h th ng định danh 3.2 3.2.1 Cơ li u thiết bị m ng Để qu n tr h th ng m ng cách t p trung v tổ ch c với nhiều lo i thi t b thi t b l ề n, c t chi ti t khác ời c n có h th ng qu n lý tài nguyên m ng, qu n lý thi t b m dùng h th ng è Chúng ta s qu n lý thi t b trí lắ ct : t (location), lo i thi t b (type) mô t Do qu n lý thi t b theo tên nên c n có quy chuẩn t tên lo i thi t b Vi c quy ho ch tên ời qu n tr cách khoa h c toàn h th ng s n vi c qu n lý thi t b Yêu c u với h th ng tên ph i ngắn g n khoa h nhiều tài nguyên h th ng c t tên cách khoa h Switch thi t b khác T t tên ph i phân bi b , v trí s th t c a lo i thi t b a ch ip, v t tên thi t b theo c ý R t R , c lo i thi t Trong h th ng mô c a lu : [Tên chi nhánh] [Lo i thi t b ] [S thi t b ] T :  [Tên chi nhánh ] ể phân bi t gi a khu v c chi nhánh khác Tên chi nhánh c n ph i mô t với Tên t theo tên c c mô t b ng ch : 74 c vi t tắt theo t nh ti p T nh Hà Nội, chi nhánh Bà Tri u: HNO-BATRIEU T nh H i Phòng, chi nhánh L ch Tray: HPO-LACHTRAY  [Lo i thi t b ] ể mô t lo i thi t b ví d Dùng ch - RT: Router - SW: Switch :  [S thi t b ] Để phân bi t gi a thi t b lo i với Q t s cho thi t b : 001: Thi t b th nh t 002: Thi t b th hai Để xây d ng h th ng qu n lý d Framrework Symfony Đâ li u thi t b m ng lu ộ F O l p trình PHP Các thông tin c a thi t b s c vi t b ng ngôn ng c c p nh t vào ph n qu n tr thi t b có thành ph n sau :  Qu n lý chi nhánh phòng giao d ch tổ ch c Hình 3.7: Qu n lý chi nhánh phòng giao d ch 75 d ng  Qu n lý lo i thi t b h th ng m ng tổ ch c Hình 3.8: Phân lo i thi t b m ng  Qu n lý thi t b h th ng m ng c a tổ ch c Hình 3.9: Qu n lý thi t b m ng T d li u qu n lý thi t b qu n lý v trí, qu n lý lo i thi t b c tên thi t b , d li u thành ph ì : d li u th y a ch IP c a thi t b , v trí thi t b b 76 tở â i thi t 3.2.2 Cơ li Để qu ý ngƣời dùng ời dùng h th ng m ng ta c n xây d ng mộ ời dùng tổ ch c ng ký thi t b sử d ời dùng k t n i vào h th ng m ng H s ph i ể truy c p vào h th ng m ng máy tính cá nhân, ể bàn hay thi t b c n tho i thông minh Chúng ta s thu th p thông tin ời dùng thuộ a ch MAC thi t b , ời dùng ta s c d switch ì c vào cổng m b ch tổ ch c với thuộc tính yêu c  T c c p phát, ý d li : p: Username : Full name  Phòng ban: Bộ ph ời dùng làm vi c  Đ a ch MAC: Đ a ch MAC thi t b  Cổng m ng switch: Cổng m Hình 3.10: C nh c quyền quy c p T yêu c u c a h th ng xây d ng Module qu  T ể ời dùng cổng m ng thi t b ời dùng ch truy c nh ng cổng m d li u c a cc d li u qu n lý thô 77 ý ng ời dùng ời dùng V y có mộ ời dùng mớ ời qu n tr m ng s ề ời dùng vào Module qu n tr qu ý thông tin c a ột h th ời dùng t p chung Chúng ta tìm ki dùng c n thi t bi d li u ời c thông tin c c k t n i vào cổng m ng thi t b m ng Hình 3.11: C 3.3 d li u qu n lý tài nguyên h th ng H th ng giám sát truy cập Để qu n tr h th ng m ng luôn ph i có nh ng công c giám sát h th ng m , giám sát thi t b m ng, máy ch d ch v h th ng m ể m b o phát hi n nh ng truy c p b ờng hay s c x y trình v n hành h th ng c a tổ ch c Trong h th ng kiểm soát truy c p c n xây d ng Module giám sát truy c p c ời dùng truy c p thành công hay vi ph bi ời dùng k t n i vào h th ng m ng, tài kho n c ểt ề ời dùng ph c xác th c với máy ch xác th c radius Trong trình xác th c với máy ch radius s sinh log c a trình xác th c T d li SQL xử ý ể c tr ng thái xác th c c thành công hay th t b i thông tin chi ti t c b , cổng m ng switch, v trí tr ng thái xác th c 78 : ời dùng a ch MAC thi t d li u Hình 3.12: Quan h gi ời dùng xác th c với máy ch radius th t b N ì m ng c ời dùng truy c dùng s b ch n t t c k t n ời c vào h th ng ời dùng xác th c với máy ch N c p s kiểm tra thông tin c ời dù c c p hay không Các thông s c kiểm tra là: username, port switch N u c ba thông s ều xác s th c thi sách t module giám sát xu ng thi t b switch ng s ghi l c truy c p vào tài nguyên h th ng m ng với quyền c a N u thông s ta s a ch MAC c a thi t b lên cổng c a switch d li ẩy l nh xu ng vô hi u hóa cổng m cc ời dùng chúng ời dùng truy c p c vào h th ng m ng 79 i quy c toán kiểm soát truy c p t p trung d a ời dùng truy c p vào h th ng m nh danh toàn c c Kiể dùng ph 3.4 ời nh danh với cổng m ng thi t b switch Tích hợp với thiết bị thật ý Với h th ng module qu d li u t p trung k t h p với thi t b th t router, switch máy ch xác th o nên h th ng kiểm soát truy c p t p trung d li Chúng ta s thi t l ể qu n lý tài nguyên h th ng m ng c a tổ d li u qu n lý t p trung s bao gồm thành ph ch c H th : V trí: qu n lý thông tin v trí chi nhánh, phòng giao d ch vớ tên, mô t , v trí d li u dòng thi t b m ng h th ng tổ ch c Dòng thi t b : dòng thi t b nh n router, thi t b chuyển m ch switch Phòng ban: qu n lý thông tin phòng ban toàn tổ ch c Thi t b : qu n lý thi t b vớ chi nhánh nào, ờng thông tin bao gồm tên thi t b , mô t thuộc a ch IP thi t b , v trí dòng thi t b ời dùng: d li ời dùng bao gồm ời dùng, tài kho p, v trí, phòng ban d li Tài nguyên: cổng m thông tin mộ c truy c p, thi t b switch, ời dùng h th ng m a ch mac, tài kho n truy c p Giám sát: kiểm soát truy c p vào h th ng m ng th c thi sách t xa vớ ời dùng Với h th thi t b th d li u qu n lý t ể xây d k t h p với c h th ng kiểm soát truy c p m ng 80 Quá trình kiểm soát truy c p s tr i qua Hì ớc 1: 3 T c mô t hình 3.13: a thành ph n h th ng ời dùng k t n i vào cổng m ng, th c cổng m ời dùng AP gử x n với thi t b chuyển m ch switch ớc 2: Thi t b chuyển m ch switch nh thông tin c thông tin EAP chuyển ti p n với máy ch xác th c ớc 3: Máy ch xác th c s kiểm tra thông tin gửi l i thông tin xác th c tới switch N u xác th c th t b i cổng m ng s b ch c N u xác th c thành công, cổng m ng s mở ti 81 ời dùng k t n i ớc ti p theo ớc 4: Trên module giám sát s x ời dùng xác th c thành công ời dùng xác th c thành công s kiểm tra thông tin hay th t ba Vớ ời dùng Khi p, cổng m ng, thi t b switch vớ kiểm tra thông tin s hiển th k t qu module giám sát ớc 5: Với k t qu t m ng C ớc s th c thi sách t x ờng h ới tài nguyên dùng s th ớc 6: a ch MAC cổng m ng ời dùng thành công với c ớc s truy c c truy c p vào h th ng m ng, ời dùng c phân quyề C ời cc n truy c p Còn vớ xác s n cổng xâ d li u qu n lý tài nguyên, ời dùng h th ng tổ ch c giám sát truy c p vào h th ng m ng t phù h p vớ 3.5 ời dùng Thử nghi v đánh giá ời dùng vào thi t b switch Chúng ta ti n hành thử nghi m b ng cách cắ ti n hành trình k t n i vào h th ng m ng c a tổ ch c Ta s th c hi n kiểm tra với ờng h p khác nhau: User Đăng Nhập Xác Thực Tr ng Thái Kien tt Sai X THẤT B I Kien tt Đ © © X LỖI Lam bn Đ © © © THÀNH CÔNG Ngoc lm Đ © © © THÀNH CÔNG Duc tq Đ © © X LỖI TH 82 Tài Nguyên Thực Thi T ờng h p 1:  ời dùng truy c p với thông x c sai vớ R ới h th ng máy ch xác th c S ời dùng b ch n truy c p vào h th ng m ng Trên h th ng kiểm soát truy c p s có c nh báo x t n i vào cổng m ng thi t b switch thi t b â Trên h th ng kiểm soát th ời dùng truy c p xác th ển th h th ng là: THẤT B I Hình 3.14: ời dùng truy c p th t b i T ờng h p :  ời dùng truy c p với thông tin xác th ề user/port/switch c thông tin mà c ới h th ng máy ch Radius, ời dùng l ới ời dùng Khi h th ng kiểm soát truy c p s hiển th tr ng thái: LỖI Ở â cổng m ng 5, 8, 12, thi t b switch: HNO-HO-SW-001 cc p ời dùng kien.tt l p vào cổng m ng 15 thi t b switch: HNO-HO- SW-00 ới tài nguyên m 83 c c p Hì T cc p Khi tr ng thái truy c p LỖI s th c thi sách kiểm soát truy c p ẩy l nh xu ng cổng m b ể n truy c p Hình 3.16: Th c thi sách kiểm soát truy c p Chúng ta xây d ng sách kiểm soát truy c p cho t ng h th ng m ng với vi c tùy ch nh l nh th c thi T ờng h p :  ời dùng truy c p xác th c thành công với máy ch xác th c Radius ời dùng truy c p vào m cc thông kiểm soát truy c p s hi n th tr ng thái: THÀNH CÔNG th i vớ 84 ời dùng truy c p thành công giúp ời dùng k t n i vào h th ng m ng truy c quyền h n c a Hì ời dùng xác th c thành công ờng h p với nhiều tài kho Chúng ta th c hi n thử nghi m vớ khác c k t qu gi kiểm soát truy c p d kiểm soát truy c p c t nh danh toàn c thi t b nào, â , y với h th ng i quy x ời dùng c toán p c c p hay không H th ng kiểm soát truy c p giúp cho vi c qu n tr h th ng m ng d xây d c h th ng qu n lý t p trung Th c nghi m cho th y lu c hi toán kiểm soát truy c p t p trung 85 c yêu c u c n gi i quy t c a KẾT LU N V HƢỚNG PHÁT TRIỂN CỦA ĐỀ TÀI K t qu c a lu :  Trình bày h th ng kiểm soát truy c p, thành ph n chu trình xây d ng môt h th ng kiểm soát truy c p với sách b o m h th ng tổ ch mb o c an toàn  Tìm hiể nh danh t xâ ng Module qu ý ời dùng tài nguyên h th ng m ng Đ nh danh d li u thi t b , ời dùng với cổng m ng  Xây d ng công c kiểm soát truy c p giúp d dàng vi c qu n tr h th ng m ng triển khai sách qu ý d li u cổng m ng ời dùng truy c p H n ch c a lu :  Các sách triển khai cho cổng m s can thi p c c th c hi n t ộng v n c n ời qu n lý m ng  Công c tìm ki m tài nguyên h th ng h n ch H ớng phát triển c a lu :  Xây d ng h th ng kiểm soát truy c p hoàn thi n vớ c a h th ng kiểm soát truy c p Th c hi n kiểm soát truy c p c với cổng m ng thi t b m ng c c th c thi t 86 ộng chu trình ời dùng TÀI LI U THAM KHẢO [1] Andrew S Tanenbaum, Maarten Van Steen 2nd edition (2007), Distributed Systems Principles and Paradigms [2] Bartosz Porebski, Karol Przystalski, Leszek Nowak (2011), Building PHP Applications with Symfony, Cake PHP, and Zrnd Framework [3] Gyland, Tom Myren (2013), Implementation of IEEE 802.1x in wired networks [4] Jay Kelley, Rich Campagna, Denzil Wessels (2009), Network Access Control For Dummies [5] Jim Geier (2008), Chapter Port-Based Authentication Concepts [6] RFC 5247 (2008), EAP Key Management Framework [7] Steve Piter, CyberEdge Group(2014) Definitive Guide to Next-Generation Network Access Control [8] Computing, http://en wikipedia org/wiki/Distributed_computing [9] Symfony, http://symfony com/ 87 ... ng kiểm soát truy cập 1.1.4.1 T o sách Một nh ng ph n quan tr ng c a b t k h th ng kiểm soát truy c p t o sách kiểm soát truy c p Các sách trung tâm c a h th ng kiểm soát truy c p kiểm soát toàn. .. d nh danh toàn c c Tóm tắt nội dung Nội dung c a lu  Tìm hiểu tổng quan toán kiểm soát truy c p h th ng m ng, gi i pháp mô hình kiểm soát truy c p m ng Đ ớc xây d ng h th ng kiểm soát truy c... t b th t, gi i quy t toán kiểm soát truy c p d nh danh toàn c c 10 CHƢƠNG 1: T NG QUAN IỂM SO T TRU C P TRONG H TH NG M NG 1.1 Tổng quan kiểm soát truy cập iể 1.1.1 cập h ộ h ng ng ộ ể , ộ ổ