Đang tải... (xem toàn văn)
Tìm hiểu về NAC Network Access Control toàn tậpTìm hiểu về NAC Network Access Control toàn tậpTìm hiểu về NAC Network Access Control toàn tậpTìm hiểu về NAC Network Access Control toàn tậpTìm hiểu về NAC Network Access Control toàn tậpTìm hiểu về NAC Network Access Control toàn tậpTìm hiểu về NAC Network Access Control toàn tậpTìm hiểu về NAC Network Access Control toàn tậpTìm hiểu về NAC Network Access Control toàn tậpTìm hiểu về NAC Network Access Control toàn tậpTìm hiểu về NAC Network Access Control toàn tậpTìm hiểu về NAC Network Access Control toàn tậpTìm hiểu về NAC Network Access Control toàn tậpTìm hiểu về NAC Network Access Control toàn tậpTìm hiểu về NAC Network Access Control toàn tập
MỤC LỤC Đề mục Trang Trang bìa i Nhiệm vụ luận văn Lời cảm ơn .ii Tóm tắt luận văn .iii Mục lục iv Danh sách hình vẽ vii Danh mục từ viết tắt .ix Nội dung luận văn PHẦN MỞ ĐẦU: GIỚI THIỆU CHUNG .1 PHẦN I: TÌM HIỂU VỀ NETWORK ACCESS CONTROL (NAC) CHƯƠNG 1: TỔNG QUAN VỀ NAC 1.1 Khái niệm NAC nhiệm vụ NAC 1.1.1 Tính tồn vẹn thiết bị đầu cuối 1.1.2 Chính sách 1.1.3 Kiểm tra đánh giá .3 1.1.4 Mở rộng đánh giá kiểm tra .4 1.1.5 Kiểm tra trước hay sau cho phép 1.2 Lý cần triển khai Network Access Control (NAC) .4 CHƯƠNG 2: MỘT SỐ LOẠI GIẢI PHÁP NAC 2.1 Các loại giải pháp NAC 2.1.1 Dựa thiết bị (Appliance-based) 2.1.2 Dựa switch thiết bị mạng (Switch- or network equipment-based) 2.1.3 Dựa máy chủ/máy khách (Client or host-based) .8 2.1.4 Giải pháp Clientless 2.1.5 NAC Layer 10 2.1.6 NAC Layer 11 CHƯƠNG 3: CHU TRÌNH HOẠT ĐỘNG CỦA NAC .13 3.1 Bước xác định (Assess) 14 3.1.1 Nhận dạng máy người sử dụng 14 3.1.2 Tình trạng bảo mật máy 15 3.2 Bước đánh giá (evaluate) .15 3.3 Bước khắc phục lỗi (Remediation) 16 3.4 Bước thực thi (enforce) 18 3.5 Bước giám sát (Monitor) .19 CHƯƠNG 4: VIẾT CHÍNH SÁCH BẢO MẬT CHO TỔ CHỨC 21 4.1 Những sách cần thiết 21 4.1.1 Chính sách quyền sử dụng hợp lý 21 4.1.2 Chính sách chống Virus 22 4.1.3 Chính sách lưu liệu .22 4.1.4 Chính sách sử dụng E-mail .22 4.1.5 Chính sách Extranet 23 4.1.6 Chính sách sử dụng thiết bị di động .23 4.1.7 Chính sách Network Access Control 23 4.1.8 Chính sách mật 24 4.1.9 Chính sách bảo mật vật lý 24 4.1.10 Chính sách truy cập từ xa .25 4.2 Thực thi sách 25 4.2.1 Tính hợp lý .25 4.2.2 Khả thực thi 26 4.2.3 Ngân sách cho sách .27 4.2.4 Đào tạo hàng loạt 28 4.3 Vòng đời sách bảo mật 29 4.4 Các tiêu chuẩn tài nguyên Web 29 4.5 Viết sách bảo mật cho riêng công ty 30 CHƯƠNG 5: MƯỜI BƯỚC HOẠCH ĐỊNH VIỆC TRIỂN KHAI NAC 34 5.1 Tìm hiểu NAC 34 5.2 Tạo (hoặc sửa đổi) sách bảo mật doanh nghiệp .34 5.4 Tìm yêu cầu đề xuất thông tin nhà cung cấp 35 5.5 Thử nghiệm 35 5.6 Triển khai thí điểm 35 5.7 Triển khai thử khu vực giới hạn 36 5.8 Triển khai tồn đánh giá sách .36 5.9 Triển khai tồn với việc thực thi sách 37 5.10 Xác định đánh giá lại thường xuyên 37 CHƯƠNG 6: TÌM HIỂU MỘT SỐ KIẾN TRÚC NAC 38 6.1 Cisco Network Admission Control (Cisco NAC) 38 6.2 Microsoft Network Access Protection (NAP) .40 6.3 Trusted Network Connect (TNC) 42 PHẦN II : ỨNG DỤNG FREENAC VÀO NETWORK ACCESS CONTROL 46 CHƯƠNG 7: TỔNG QUAN VỀ FREENAC 46 7.1 VLAN Management Policy Server (VMPS) .46 7.2 Các tính FreeNAC 48 7.2.1 Quản lý truy cập theo nhóm người dùng 48 7.2.2 Phản ứng hệ thống có thiết bị lạ 49 7.2.3 Cập nhật trạng workstation switch .49 7.2.4 Ưu điểm sử dụng FreeNAC 49 7.2.5 7.3 Các hạn chế FreeNAC .50 Mơ hình, ngun tắc hoạt động .51 CHƯƠNG : MƠ HÌNH VÀ THỰC NGHIỆM 53 8.1 Mơ hình xây dựng 53 8.2 Cài đặt 53 8.2.1 Cài đặt FreeNAC 53 8.2.2 Cấu hình Switch 56 8.3.1 Cài đặt GUI cấu hình máy chạy Window 57 8.3 Kiểm tra hoạt động FreeNAC 58 KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN 61 TÀI LIỆU THAM KHẢO .62 DANH SÁCH HÌNH VẼ PHẦN I CHƯƠNG Hình 2.1: Mơ hình Inline Hình 2.2: Mơ hình Out-of-band Hình 2.3: Client/host-based Hình 2.4: NAC Layer 10 Hình 2.5: NAC Layer 11 CHƯƠNG Hình 3.1: Các bước để triển khai NAC 13 Hình 3.2: Bước xác định .14 Hình 3.3: Bước đánh giá .16 Hình 3.4: Bước khắc phục lỗi .17 Hình 3.5: Bước thực thi 18 Hình 3.6: Bước giám sát .19 CHƯƠNG Hình 6.1: Mơ hình kết nối Cisco NAC .38 Hình 6.2: Mơ hình tổng qt hệ thống Microsoft NAP .40 Hình 6.3: Hạ tầng TNC 44 Hình 6.4: Hoạt động TNC 44 PHẦN II CHƯƠNG Hình 7.1: Hoạt động VMPS 47 Hình 7.2: Các thiết bị switch hỗ trợ VMPS 48 Hình 7.3: Mơ hình hoạt động NAC 51 CHƯƠNG Hình 8.1: Mơ hình thực nghiệm 53 Hình 8.2: Chỉnh sửa file vmps.xml .58 Hình 8.3: Trạng thái port Switch 59 Hình 8.4: Cấu hình VLAN VMPS Server 59 Hình 8.5: Gán địa MAC cho VLAN xác định 60 DANH MỤC TỪ VIẾT TẮT A ACS AR Access Control Server Access Request C CRM CTA Customer Relationship Management Cisco Trust Agent D DHCP Dynamic Host Configuration Protocol E EAP Extensible authentication Protocol G GUI Graphical User Interface H HRA Health Registration Authority I IEC IEEE IF-IMV IMC IMV IP IPSec IPv4 ISO IT International Electrotechnical Commission Institute of Electrical and ElectronicsEngineers Integrity Measurement Collectors Integrity Measurement Verifier Internet Protocol Internet Protocol Security Internet Protocol version International Organization for Standardization Information Technology L LDAP Lightweight Directory Access Protocol M MAB MAC Mac-Authentication Bypass Media access control N NAA NAC NAD NAP NAR NPS Network Access Authority Network Access Control Network Access Device Network Access Protection Network Access Request Network Policy Server O OOB OS OSI Out-of-band Open Systems Open Systems Interconnection P PDA PDP PEAP PEP Personal Digital Assistant Policy Decision Point Protected Authentication Protocol Policy Enforcement Point R RFP Request For Proposal S SHA SNMP SSL SSL VPN System Health Agents Simple Network Management Protocol Secure Sockets Layer Secure Sockets Layer Virtual Private Network T TCG TLS TNC TNCC TNCS Trusted Computing Group Transport Layer Security Trusted Network Connect Trusted Network Connect Client Trusted Network Connect Server U UDP User Datagram Protocol V VLAN VMPS VPN Virtual Local Area Network VLAN Management Policy Server Virtual Private Network VQP Query Protocol W WG WSUS Work Group Windows Server Update Services PHẦN MỞ ĐẦU: GIỚI THIỆU CHUNG Bảo mật thơng tin, an tồn thơng tin, ln mối quan tâm hàng đầu hầu hết doanh nghiệp, công ty Các công chủ yếu môi trường mạng nội bộ, môi trường người dùng có kiến thức an tồn thơng tin, bảo mật thơng tin, có quan tâm người quản lý Hầu hết hệ thống mạng nội doanh nghiệp chưa đảm bảo vấn đề bảo mật, chưa thể điều khiển, kiểm soát có thiết bị mạng, máy tính đưa vào, chưa thể kiểm soát, quản lý việc truy cập máy tính văn phòng Vấn đề quan tâm hàng đầu quản trị viên hệ thống mạng kiểm soát máy tính người dùng cơng ty mình, kiểm sốt máy tính khách hàng đem vào công ty, để xác định, giới hạn phân quyền người dùng phép hay không kết nối vào khu vực bị hạn chế Ngoài cho phép nhà quản trị dễ dàng điều khiển, di chuyển máy tính người sử dụng quyền đăng nhập, kết nối vào hệ thống cách nhanh chóng, dễ dàng mà khơng ảnh hưởng đến người dùng, không làm gián đoạn công việc họ, thực cơng việc cách nhanh chóng, đơn giản Ngồi ra, kiểm sốt truy cập hệ thống biết đến trình đăng nhập để sử dụng dịch vụ bên Internet hoạt động tầng ứng dụng Việc kiểm soát phổ biến khách sạn, khu nghỉ mát nhằm quản lý tính phí truy cập Khi máy tính muốn sử dụng Internet cần đăng nhập với tài khoản sử dụng, kết nối bên Trong nội dung đề tài, tập trung giải vấn đề kiểm soát truy cập cấp độ kết nối vào hệ thống, lớp vật lý tầng liên kết liệu mơ hình mạng Kiểm sốt truy cập vào hệ thống mạng cần thiết môi trường mạng nội công ty, doanh nghiệp có nhiều lớp mạng nhỏ, có nhiều vùng liệu cần an tồn, có nhiều kết nối tạm thời khách, có nhiều thay đổi vị trí làm việc Quá trình quản lý, điều khiển cần thực cách nhanh chóng, hiệu Hiện có nhiều sản phẩm kiểm sốt việc truy cập mạng hãng tiếng Cisco, Juniper, ForeScout … với chi phí lớn so với doanh nghiệp với quy mơ vừa nhỏ Do việc tìm hiểu sử dụng sản phẩm mã nguồn mở đáp ứng tính việc quản lý truy cập mạng cần thiết Sử dụng FreeNAC tích hợp chung với hệ thống Antivirus, WSUS hình thành nên hệ quản trị chặt chẽ với việc kiểm tra độ an tồn máy tính (có phần mềm diệt Virus, cập nhập vá nhất, cập nhập vá lỗi hệ điều hành Windows, …) cho phép tham gia vào hệ thống mạng Tích hợp việc kiểm sốt truy cập thơng qua kiểm tra thiết bị, gán vào vùng phép kết nối với việc sử dụng tính quản lý thông qua đăng nhập vào hệ thống với tài khoản người quản lý cung cấp Dựa vào thông tin đăng nhập người quản lý có thống kê người dùng cách rõ ràng FreeNAC đánh giá sản phẩm hiệu việc kiểm soát truy cập mạng Hoạt động FreeNAC dựa VMPS cisco 802.1x hầu hết thiết bị mạng hỗ trợ chia VLAN Đề tài chia làm phần, gồm chương PHẦN I: TÌM HIỂU VỀ NETWORK ACCESS CONTROL Chương 1: Tổng quan NAC Chương 2: Một số loại giải pháp NAC Chương 3: Chu trình hoạt động NAC Chương 4: Viết sách bảo mật cho tổ chức Chương 5: Mười bước hoạch định việc triển khai NAC Chương 6: Tìm hiểu số kiến trúc NAC PHẦN II: ỨNG DỤNG FREENAC VÀO NETWORK ACCESS CONTROL Chương 7: Tổng quan FreeNAC Chương 8: Mơ hình thực nghiệm Trong q trình thực hiện, chắn thiếu sót đề tài Em mong nhận góp ý Thầy Cơ bạn để đề tài ngày hoàn thiện Sinh viên thực Nguyễn Xuân Thắng Tất thiết bị phải mã hóa tất phân vùng đĩa tổ chức phê duyệt phải có cài đặt ln chạy gói bảo vệ disk-wipe (giúp xóa ổ đĩa) cho thiết bị từ xa Nhân viên phải sử dụng tất cách hợp lý để đảm bảo thiết bị di động không bị bị đánh cắp, cần có thêm cẩn trọng nhân viên để giảm thiểu bất cẩn Các liệu nhạy cảm công ty không tải thiết bị di động Việc truy cập liệu bị giới hạn, truy cập e-mail công ty, ứng dụng CRM công ty, mạng nội công ty File đính kèm nhạy cảm nhận qua e-mail không lưu trữ vĩnh viễn qua ổ đĩa thiết bị qua phương tiện truyền thông di động Nhân viên phải báo cáo với ban trợ giúp thiết bị bị bị đánh cắp Bất kỳ yêu cầu ngoại lệ cho sách phải phê duyệt ban bảo mật công nghệ thông tin công ty XYZ 34 CHƯƠNG 5: MƯỜI BƯỚC HOẠCH ĐỊNH VIỆC TRIỂN KHAI NAC Bởi giải pháp NAC bao gồm nhiều loại công nghệ, liên quan đến nhiều phận tổ chức lúc, nên cần phải có kế hoạch cho phần quy trình thực kế hoạch theo thứ tự 5.1 Tìm hiểu NAC Đầu tiên, trước tiến hành kế hoạch NAC, cần phải hiểu công nghệ thị trường Chúng ta không cần phải có hiểu biết sâu vào loại cơng nghệ nhà cung cấp khác nhau, cần xem xét kĩ lưỡng tài liệu tiếp thị liệu từ tất nhà cung cấp khác để hiểu loại tiếp cận nhà cung cấp Ngồi ra, nhiều nhà phân tích tạp chí thương mại theo dõi chặt chẽ thị trường NAC, ấn phẩm cung cấp nhìn khách quan tất đối thủ cạnh tranh phương pháp tiếp cận Hãy bắt đầu suy nghĩ xem làm NAC giúp tổ chức đạt mục tiêu bảo mật ngắn hạn dài hạn Cũng cần tiếp cận với đồng nghiệp triển khai NAC Họ cung cấp hiểu biết tốt, ví dụ cần phải để ý đến điều NAC giúp họ Có thể thấy thơng tin họ đặc biệt có giá trị họ trải qua trình thực NAC 5.2 Tạo (hoặc sửa đổi) sách bảo mật doanh nghiệp Việc triển khai NAC phần sách bảo mật rộng lớn cơng ty, sách giúp quản lý loại công nghệ thực thi để đảm bảo an ninh mạng tổ chức Chính sách cần cung cấp dẫn làm theo lập kế hoạch cho NAC mạng công ty, đồng thời thành viên đội ngũ triển khai sử dụng sách tài liệu tham khảo liên tục suốt trình triển khai Ví dụ, sách yêu cầu chứng thực bảo mật thiết bị đầu cuối áp dụng cho tất nhân viên muốn truy cập tài nguyên mạng Những yêu cầu có tác động trực tiếp vào sách tạo áp dụng NAC 5.3 Xây dựng đội ngũ chức chéo 35 Phải xây dựng đội ngũ muốn việc triển khai NAC thành cơng, hồn tồn phải sớm thực bước trình, khơng nên thực q muộn Nhiều q trình triển khai NAC bị trì hỗn nội trị khác biệt quan điểm nhóm khác có liên quan Phải xác định xem việc triển khai NAC tác động đến ai, để họ tham gia suốt trình lập kế hoạch Ví dụ, người triển khai nhóm bảo mật khơng liên quan đến nhóm Desktop, họ chọn giải pháp nhà cung cấp sau nhận khơng tích hợp tốt với giải pháp phân phối phần mềm mà nhóm Desktop áp dụng Vì vậy, cần tránh bất hòa chậm trễ cách để tất người tham gia từ đầu 5.4 Tìm yêu cầu đề xuất thông tin nhà cung cấp Sau cung cấp thông tin cho thân xác định đội ngũ nòng cốt tổ chức, bắt đầu tìm kiếm nhà cung cấp khác đưa danh sách chọn lọc nhà cung cấp NAC mà công ty mời đến để đánh giá thêm Các tổ chức khác có cách tiếp cận khác để lọc danh sách nhà cung cấp Một số tổ chức bắt đầu họp thiết kế /doanh số với nhà cung cấp để xem việc triển khai nhà cung cấp có phù hợp với mục tiêu tổ chức hay không Các tổ chức khác tạo yêu cầu đề xuất (RFPs) cung cấp cho nhà cung cấp danh sách câu hỏi họ phải trả lời văn Bất kể phương pháp tiếp cận, mục tiêu bước để xác định nhà cung cấp cung cấp sản phẩm có chức đủ để đáp ứng mục tiêu giải pháp NAC cơng ty 5.5 Thử nghiệm Tổ chức làm thử nghiệm với nhiều nhà cung cấp, làm thử nghiệm với nhiều nhà cung cấp, cần cố gắng tối thiểu hóa danh sách nhà cung cấp thử nghiệm nhiều thời gian cho tổ chức nhà cung cấp Mục tiêu thử nghiệm để triển khai giải pháp môi trường thử nghiệm để đảm bảo hoạt động thích hợp với mạng tổ chức 5.6 Triển khai thí điểm Việc triển khai thí điểm gần giống thử nghiệm, thí điểm liên quan đến người sử dụng cuối thực tế Sau thêm người dùng cuối vào q trình triển khai thí điểm, bắt đầu hiểu giải pháp NAC ảnh hưởng tới người dùng, tổ chức giải 36 vấn đề khó khăn triển khai nào, liệu nhà cung cấp lựa chọn đáp ứng nhu cầu hay khơng Tại thời điểm này, không thỏa thuận với nhiều nhà cung cấp cần xem việc thực thí điểm bước trước áp dụng phạm vi rộng toàn tổ chức 5.7 Triển khai thử khu vực giới hạn Sau hồn thành việc thực thí điểm, cần phải tiếp tục triển khai khu vực giới hạn Cách định nghĩa "giới hạn" khác nhau, tùy thuộc vào quy mô, mức độ phức tạp, cấu trúc tổ chức Một số tổ chức tập trung vào địa điểm cụ thể điểm khởi đầu cho việc triển khai NAC họ Các tổ chức khác tập trung vào nhóm người dùng cụ thể, không quan tâm đến địa điểm Bất kể phương pháp tiếp cận nào, việc thực thi tốt cần tập trung vào nhóm cụ thể tồn tổ chức thử nghiệm mở rộng Việc triển khai có giới hạn giúp giải vấn đề liên quan đến việc triển khai cho dù vấn đề thuộc tổ chức hay kỹ thuật Cố gắng tập trung vào tập hợp mơi trường giúp nhóm triển khai có trải nghiệm tốt thiết bị, người sử dụng, thiết bị sở hạ tầng mạng, giúp giảm thiểu bất ngờ bắt đầu triển khai toàn tổ chức 5.8 Triển khai toàn đánh giá sách Nếu tới bước đánh giá NAC triển khai toàn này, công ty gần tiến đến triển khai thành công Hãy tiếp tục mở rộng thực đạt việc triển khai dự định Cho dù công ty dùng phương pháp mở rộng từ địa điểm đến địa điểm khác hay từ nhóm người sử dụng đến nhóm người sử dụng khác, lập kế hoạch tiến độ để có đủ thời gian dự phòng để đối phó với trường hợp bất khả kháng nào, chuyển từ việc triển khai sang việc triển khai Trong giai đoạn này, tập trung vào việc đánh giá sách, khơng thực thi chúng Chỉ cách đánh giá sách, đánh giá tình trạng thiết bị đầu cuối mạng thực hành động khắc phục cần thiết trước bắt đầu thực thi sách Chúng ta không muốn ngăn chặn khách hàng (người dùng cuối) khỏi việc truy cập mạng đầy đủ Hãy hướng mục tiêu vào suất mà không ảnh hưởng đến an ninh, 37 có nghĩa nên hạn chế việc truy cập người sử dụng cần thiết - chẳng hạn sau cố gắng lặp lặp lại để sửa lỗi máy tính người dùng người dùng cố tình né tránh sách bảo mật 5.9 Triển khai tồn với việc thực thi sách Sau áp dụng NAC cho nhóm người sử dụng đảm bảo tuân thủ sách (cũng chiến lược sửa lỗi phân phối phần mềm), việc thực thi sách thực cách triệt để Sau phát triển phương pháp tiếp cận sách phù hợp, cần khởi động để thứ vận hành Hãy chắn ban trợ giúp sẵn sàng để nhận gọi nào, vài tuần đầu tiên, từ người dùng cuối họ có vấn đề mà họ khơng thể tự sửa Nếu đánh giá đầy đủ sách, thảo luận phần trước, tổ chức lo lắng nhiều việc 5.10 Xác định đánh giá lại thường xuyên Mạng, bảo mật, yêu cầu người sử dụng thay đổi theo thời gian Khi thay đổi xảy ra, chiến lược triển khai NAC phải thay đổi Sau hoàn thành việc triển khai, phải đảm bảo người dùng hài lòng, đội ngũ triển khai quản lý việc thực cách hiệu quả, việc triển khai NAC đáp ứng nhu cầu mục tiêu đặt từ giai đoạn đầu thực Tiếp tục đánh giá lại phần quan trọng trình triển khai cơng nghệ 38 CHƯƠNG 6: TÌM HIỂU MỘT SỐ KIẾN TRÚC NAC 6.1 Cisco Network Admission Control (Cisco NAC) Cisco hãng bảo mật lớn dòng sản phẩm quản lý truy cập hãng đáp ứng tốt việc quản lý truy cập so với hãng khác Mơ hình quản lý việc truy cập Cisco NAC thông qua nhiều lớp, nhiều cấp độ khác hạn chế nhiều lỗi bảo mật hệ thống mạng Với hệ thống đưa vào việc quản lý truy cập thông qua địa MAC Client, thông qua việc đăng nhập trước cho phép kết nối vào hệ thống, sau cấp phát Vlan phép gán vào, cấp phát địa IP, cấp phát quyền truy cập qua lớp mạng khác, … Cisco tích hợp, hoạt động chung với hầu hết dòng sản phẩm khác hãng bảo mật khác như: Symantec, McAfee, Microsoft,… để hình thành nên hệ thống an tồn bảo mật Cisco NAC chia làm nhiều cấp độ khác dựa vào hoạt động lớp mơ hình OSI dựa vào kiểu xác thực để kết nối đăng nhập Giải pháp quản lý truy cập cisco NAC có bốn thành phần là: CTA (Cisco Trust Agent), NAD (Network Access Device), ACS (Cisco Sercure Access Control Server) thành phần dùng để đưa sách thành phần sử dụng sản phẩm khác Cisco Hình 6.1: Mơ hình kết nối Cisco NAC 39 CTA biết đến phần mềm dành cho Client hỗ trợ giao tiếp, xác thực kết nối vào hệ thống Việc sử dụng phần mềm giúp cho việc xác thực an toàn, bảo mật giúp cho thành phần quản lý dễ dàng kết nối ngược lại để việc quản lý tốt hơn, dựa vào thông tin CTA để xác định tình trạng, thơng tin, thống kê thiết bị, định danh thiết bị hệ thống NAD biết đến thiết bị mạng cho phép Client kết nối vào, gửi thông tin cho ACS xác thực thông tin thực sách ACS gửi ngược lại NAD Switch, Router hỗ trợ giao thức kết nối, chuyển đổi thông tin EAP, PEAP, RADIUS ACS thành phần trung tâm hệ thống quản lý truy cập Cisco NAC, ACS đóng vai trò RADIUS server với nhiều chức xác thực khác như: Cho phép xác thực từ NAD; kiểm tra xác thực kiểm tra sách cho xác thực, cho phép kết nối đến Sever xác thực khác kết nối đến Server làm nhiệm vụ đưa sách với thơng tin xác thực; cho phép thực cấu hình sách đến thiết bị khác NAD, Client CTA Third-party policy server server quản lý Antivirus, AntiMalware, cập nhật hệ điều hành Windows, server phục vụ cho việc xác thực Hoạt động Cisco NAC mơ tả theo bước sau: Khi thiết bị đầu cuối cố gắng truy cập mạng CTA thu thập thơng tin xác thực, tình trạng an ninh máy Sau thơng tin đóng gói chuyển đến NAD thông qua giao thức EAP ( EAP over UDP) Sau NAD nhận gói chứa thơng tin xác thực tình trạng an ninh, chuyển tiếp qua cho ACS thông qua giao thức RADIUS ( EAP over RADIUS) ACS so sánh thông tin xác thực nhận với liệu RADIUS server (Có thể Microsoft Acitve Directory LDAP) để tiến hành xác thực ủy quyền ACS tách lấy thông tin trạng thái an ninh gửi cho third-party policy server Tại trạng thái máy kiểm tra có sách thích hợp Nếu hệ thống xác thực người dùng trạng thái máy ACS gửi thơng báo cho NAD Lúc NAD trở thành điểm thực thi sách, cho phép người dùng thiết 40 bị sử dụng mạng Tuy nhiên, người dùng xác thực thiết bị không đảm bảo an ninh ACS gửi thơng báo cho NAD từ chối việc truy cập người dùng Hoặc cho người dùng vào vùng cách ly đợi tình trạng an ninh máy đảm bảo Nếu khơng xác thực người dùng hệ thống không cho phép người dùng truy cập mạng 6.2 Microsoft Network Access Protection (NAP) Microsoft NAP sản phẩm, dịch vụ xây dựng hệ điều hành Windows Server 2008 nhằm tăng cường tính bảo mật, an toàn hệ thống Windows Hệ thống NAP Microsoft chia làm năm thành phần là: NAP Client; NAP Enforcement Point; NAP Policy Server; NAP Report Hình 6.2: Mơ hình tổng qt hệ thống Microsoft NAP 41 NAP Client xem máy tính hệ thống cài đặt hệ điều hành Windows có hỗ trợ giao thức, dịch vụ đáp ứng việc gửi thơng tin tình trạng (SHAs - System Health Agents) cho thành phần quản lý, Server quản lý gửi lại thông tin yêu cầu, điều khiển giúp cho máy tính (Agent) kết nối hệ thống an tồn NAP Client tích hợp hệ điều hành Windows 7, Vista, Server 2008 NAP Enforcement Point thành phần xem Server thiết bị phần cứng, công nghệ NAP Enforcement có kiểu quản lý kết nối, thiết lập kết nối, chuyển đổi thơng tin khác Ví dụ dịch vụ HRA (Health Registration Authority), NPS (Network Policy Server) kiểm tra xác thực dựa phương thức IPSec; thiết bị Switch, Access Point cho phép Agent xác thực thông qua chuẩn 802.1X; … NAP Health Policy Servers dịch vụ, ứng dụng cài đặt Windows Server 2008 với dịch vụ NPS ghi nhận thơng tin tình trạng Agent kết nối Server Server kiểm tra, xác thực kết nối, kiểm tra tình trạng Agent hệ thống đưa sách định cho Agent Đây xem trung tâm hệ thống NAP Microsoft, sách NAP định nghĩa dựa vào dịch vụ như: Connect Request Policy, Network Policy, Health Policy,… NAP Health Requirement Server Server làm nhiệm vụ cung cấp sách cho NAP Health Policy Server nhằm đáp ứng cho Agent cập nhập lại thơng tin, sách từ Agent NAP Health Requirement khơng giao tiếp trực tiếp với Agent mà thông qua NAP Health Policy Server, đưa sách, yêu cầu cho NAP Health Policy chuyển xuống cho Agent NAP Report làm nhiệm vụ báo cáo, xuất mẫu báo cáo dựa vào thông tin SQL Server NPS, tính giúp cho người quản lý dễ dàng xem báo cáo, thông tin ghi nhận lại, tình trạng thiết bị hệ thống cách đơn giản nhanh chóng, cho phép xem theo dạng lọc, thống kê Ta mơ tả hoạt động NAP sau: NAP hỗ trợ nhiều chế bảo vệ truy cập như: xác thực dựa IPsec, xác thực theo IEEE 802.1X, VPN cho truy cập từ xa, DHCP Admin dùng cơng nghệ riêng lẻ hay kết hợp với NAP thiết kế để admin cấu hình theo nhu cầu riêng 42 mạng Vì vậy, cấu hình NAP thay đổi tùy theo yêu cầu Tuy nhiên, hoạt động tảng NAP Khi nhận chứng nhận sức khoẻ, thực xác thực 802.1X, kết nối VPN đến intranet, hay đăng ký làm lại cấu hình địa IPv4 từ DHCP server, NAP client phân loại theo cách sau: NAP client đáp ứng yêu cầu sức khỏe xếp loại phù hợp truy cập mạng intranet không giới hạn NAP client không đáp ứng yêu cầu sức khỏe bị xếp loại không phù hợp truy cập giới hạn vào vùng mạng hạn chế đáp ứng yêu cầu NAP client không phù hợp khơng thiết có virus hay hành động đe doạ khác đến intranet, khơng có phần mềm cập nhật hay thiết lập cấu hình theo u cầu sách sức khỏe tạo nguy đe doạ máy tính khác mạng intranet Thành phần quản lý sức khỏe hệ thống NAP client liên lạc với máy chủ sửa chữa để cập nhật tự động phần mềm hay thiết lập cấu hình yêu cầu cho việc truy cập không giới hạn 6.3 Trusted Network Connect (TNC) Trusted Network Connect (TNC) Work Group (WG) Trusted Computing Group (TCG), tổ chức phi lợi nhuận thành lập vào năm 2003 với điều lệ để phát triển, xác định, thúc đẩy tiêu chuẩn mở cho phần cứng cho phép máy tính đáng tin cậy cơng nghệ bảo mật nhiều tảng, thiết bị ngoại vi, thiết bị TNC tiêu chuẩn mở kiến trúc tên cho NAC an ninh mạng Nhiều thành viên TCG tích cực tham gia định nghĩa đặc điểm kỹ thuật mở TNC NAC tiêu chuẩn kiến trúc TNC không bị hạn chế, dựa tiêu chuẩn cụ thể để xây dựng tiêu chuẩn kiến trúc cho việc xác thực thiết bị đánh giá tính tồn vẹn Ban đầu xuất năm 2004, kiến trúc TNC phục vụ khuôn khổ cho phát triển kiến trúc, tiêu chuẩn định hướng, giải pháp tương thích NAC Kiến trúc TNC tiêu chuẩn xác định giao diện chuẩn mở, cho phép thành phần từ nhà cung cấp khác kết hợp an toàn, tương thích Tính đồng tính tồn vẹn yếu tố cốt lõi tiêu chuẩn kiến trúc TNC Được xây dựng tiêu chuẩn công nghiệp có giao thức hỗ trợ rộng rãi 43 nhà cung cấp thiết bị mạng (bao gồm 802.1X, RADIUS, IPSec, EAP, TLS/SSL), TNC xác định tiêu chuẩn mở cần thiết phép giải pháp không độc quyền tương thích mơi trường đa nhà sản xuất Kiến trúc TNC bao gồm ba thành phần: Access Request (AR): Là thành phần yêu cầu truy cập mạng Policy Decision Point (PDP): Đây nơi đưa định dựa sách sẵn có thông tin nhận từ AR Policy Enforcement Point (PEP): Là nơi thực thi định PDP, cho phép hạn chế truy cập mạng PEP switch, wireless access point, firewall… AR bao gồm ba thành phần: network access request (NAR) đưa yêu cầu truy nhập, gắn với loại kết nối, AR có nhiều NAR; integrity measurement collectors (IMCs) phần mềm AR để đo lường nắm bắt tình trạng bảo mật, dịch vụ, ứng dụng AR; TNC Client (TNCC) yếu tố (software, hardware, trình duyệt) thu thập thông tin IMCs hỗ trợ NAR liên lạc với PDP thông qua PEP PDP bao gồm ba thành phần: network access authority (NAA) đưa định với NAR; TNC server (TNCS) chịu trách nhiệm giao tiếp với TNCC, thu thập định từ integrity measurement verifier (IMV), từ sách thơng qua từ NAA; IMV kiểm tra xác nhận tính tồn vẹn trạng thái thông tin cung cấp IMC AR thiết bị yêu cầu truy cập sách cho ứng dụng cụ thể, dịch vụ, sản phẩm xác định tổ chức Một IMV tương ứng với IMC máy khách Hình vẽ mơ tả kiến trúc hạ tầng TNC 44 Hình 6.3: Hạ tầng TNC TNC chia giao tiếp AR với PEP thành ba lớp hình gồm: Integrity Measurement Layer, Integrity Assessment Layer Network Access Layer Ngoài TNC định nghĩa interface cho giao tiếp thành phần IF-M, IF-T, IF-PEP… Các bước hoạt động kiến trúc TNC mơ tả hình đây: Hình 6.4: Hoạt động TNC 45 Bước 0: TNCC cần phải khởi động IMC TNCS cần khởi động IMV Bước 1: Khi có yêu cầu kết nối diễn ra, NAR gửi yêu cầu kết nối tới PEP Bước 2: Sau nhận yêu cầu từ NAR, PEP gửi yêu cầu cho NAA Bước 3: Giả sử xác thực người dùng AR NAA thành công, NAA thông báo cho TNCS kết nối diễn Bước 4: TNCS TNCC bắt đầu liên lạc với nhau, thẩm tra tảng Bước 5: Giả sử tảng TNCS TNCC khớp với TNCS báo cho IMV biết có yêu cầu kết nối diễn ra, cần xác thực tính tồn vẹn Tương tự TNCC thơng báo cho IMC biết có u cầu kết nối diễn ra, cần cung cấp thông tin tính tồn vẹn Bước 6A: TNCC TNCS trao đổi thơng tin tính tồn vẹn Bước 6B: TNCS gửi thơng tin IMC cho IMV IMV phân tích thông tin IMC Nếu IMV cần nhiều thông tin hơn, gửi cho TNCS thơng qua IF-IMV Nếu IMV xác nhận thơng tin IMC gửi kết qua cho TNCS qua IF-IMV Bước 6C: TNCC chuyển tiếp thơng tin từ TNCS cho IMC tích hợp, chuyển tiếp thông tin từ IMC cho TNCS Bước 7: Khi TNCS hoàn thành việc bắt tay với TNCC để kiểm tra, TNCS thông báo đến cho NAA Bước 8: NAA gửi định việc truy cập cho PEP 46 KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN Do hạn chế trình độ nên luận văn khơng hồn thành mục tiêu, hoàn thành phần nhỏ Hướng phát triển đề tài kết hợp xác thực địa MAC 802.1x; kết hợp Server WSUS ( Window Server Updata Service) để update vá lỗi cho Windows Office; kết hợp với Server để phục vụ cho việc kiểm tra AntiVirus Ngoài nên tăng cường khả giám sát cách kết hợp với phần mềm giám sát Nagios, Cacti… 47 TÀI LIỆU THAM KHẢO “Network Access Control for Dummies” – Jay Kelly, Rich Campagana,Denzil Wessels Publication Date: May 11, 2009 | ISBN-10: 0470398671 | ISBN-13: 978-0470398678 | Edition : “Implementing NAP and NAC security technologies-The complete Guide to Network Access Control” – Daniel V.Hoffman- Publication Date: April 21, 2008 | ISBN10: 0470238380 | ISBN-13: 978-0470238387 | Edition: www.cisco.com www.juniper.net www.ieeexplore.ieee.org www.opus1.com/nac www.wikipedia.org http://www.trustedcomputinggroup.org/developers/trusted_network_connect 48 ... thực Nguyễn Xuân Thắng PHẦN I: TÌM HIỂU VỀ NETWORK ACCESS CONTROL (NAC) CHƯƠNG 1: TỔNG QUAN VỀ NAC 1.1 Khái niệm NAC nhiệm vụ NAC NAC từ viết tắt Network Access Control (Kiểm soát truy cập mạng)... Directory Access Protocol M MAB MAC Mac-Authentication Bypass Media access control N NAA NAC NAD NAP NAR NPS Network Access Authority Network Access Control Network Access Device Network Access. .. Mười bước hoạch định việc triển khai NAC Chương 6: Tìm hiểu số kiến trúc NAC PHẦN II: ỨNG DỤNG FREENAC VÀO NETWORK ACCESS CONTROL Chương 7: Tổng quan FreeNAC Chương 8: Mơ hình thực nghiệm Trong