TÓM TẮT NỘI DUNG ộ ộ V ể ể ộ , ể ời ể , tổ ch c ể ộ , , ể ộ Kiểm soát truy c p ể ể ộ ì Trong lu ểu tổng quan toán kiểm soát truy c p h th ng m ng, gi i pháp mơ hình kiểm sốt truy c p m ng Đ ớc xây d ng h th ng kiểm soát truy c p m ng sách kiểm soát truy c p m ng T xây d ng h th ng kiểm soát truy c p m ng tích h p với h th ng thi t b th t Xây d ng công c d li u qu ý ời dùng truy c p vào h th ng m ng h th ời dùng tổ ch c, qu n lý thi t b m ng MỤC LỤC TÓM TẮT NỘI DUNG PHỤ LỤC TỪ VIẾT TẮT DANH MỤC HÌNH VẼ LỜI CẢM Ơ LỜI CAM ĐOA LỜI ÓI ĐẦU ề tài Lý ch M c tiêu c a lu Tóm tắt nội dung P u 10 CHƯƠ G T G QUA IỂM SO T TRUY C P TRO G H TH G M G 11 1.1 Tổng quan kiểm soát truy c p 11 ể 1.1.1 11 ể 1.1.2 Gi 1.1.3 Q ì 1.1.4 C ớc xây d ng h th ng kiểm soát truy c p 31 1.2 14 ể th 21 Xây d ng sách kiểm soát truy c p 36 1.2.1 Các sách b o m t 36 1.2.2 Xây d ng sách kiểm sốt truy c p 40 1.2.3 Tiểu k 2.1 C 43 nh danh 44 2.1.1 Đ nh danh có c u trúc 44 2.1.2 Đ nh danh theo thuộc tính 48 2.2 2.2.1 ời dùng 52 Kiểm soát truy c p d Nh n d ng xác th c 52 Ủy quyền th c thi 61 2.2.2 2.3 Kiểm soát truy c p d nh danh thi t b 62 2.3.1 Phân lo i thi t b h th ng m ng 62 2.3.2 Kiểm soát thi t b h th ng m ng 63 CHƯƠ G XÂY ỰNG H TH G IỂM SO T TRUY C P T P TRU G ỰA TR Đ H A H TO CỤC 67 3.1 C ờng kiểm soát truy c p 67 3.2 Xây d ng h th nh danh 74 3.2.1 C d li u thi t b m ng 74 3.2.2 C d li ời dùng 77 3.3 H th ng giám sát truy c p 78 3.4 Tích h p với thi t b th t 80 3.5 Thử nghi KẾT LU 82 V HƯỚNG PHÁT TRIỂN CỦA ĐỀ TÀI 86 TÀI LI U THAM KHẢO 87 PHỤ LỤC TỪ VIẾT TẮT AAA Authentication Authorization Accounting DHCP Dynamic Host Configuration Protocol DNS Domain Name System EAP Extensible Authentication Protocol EAPOL Extensible Authentication Protocol Over Lan IPSEC IP Security LDAP Lightweight Directory Access Protocol NAC Network Access Control OSI Open Systems Interconnection RDF Resource description framework VLAN Virtual Local Area Network DANH MỤC HÌNH VẼ Hì G ể 15 Hì G ể -of-band 16 Hì G ể -base - 18 Hì G ể - 20 Hì G ể - 21 Hì C ì ể 22 Hì C ể 24 Hì Q ì 26 Hì G xử ý - 27 Hình 1.10: Th c thi sách - 29 Hì G n giám sát chu trình NAC - 30 Hình 1.12: Xác th c với giao th c EAP 34 Hình 2.1 Biể nh danh với nút g c nh t - 45 Hình 2.2 Gắn k t không gian tên t xa thông qua giao th c truy c p 47 Hình 2.3: Ví d danh m c LDAP sử d ng quy tắ nh danh LDAP 49 Hì , Câ c b, Hai danh m c có thuộc tính giá tr - 51 Hình 5: K t n i thi t b vào cổng m ng - 56 Hình 2.6: Các thành ph n q trình xác th c 802.1x - 57 Hình 2.7: Các khung d li u xác th c 802.1x - 58 Hình 8: Quá trình k t n i gi a Supplicant với máy ch xác th c 58 Hình 2.9:K t n i gi a Supplicant Authenticator 59 Hình H th ng kiểm sốt truy c p - 68 Hình 3.2: B t d ch v Wired AutoConfig 69 Hình 3.3: Xác th c giao di n m ng 70 Hình 3.4: Kiểm soát với 802.1x - 71 Hình 3.5: D ch v Network Policy Server - 73 Hình 3.6: C u hình radius client - 73 Hình 3.7: Qu n lý chi nhánh phòng giao d ch - 75 Hình 3.8: Phân lo i thi t b m ng - 76 Hình 3.9: Qu n lý thi t b m ng 76 Hì C d li u qu ý ời dùng 77 Hì C d li u qu n lý tài nguyên h th ng - 78 Hình 3.12: Quan h gi a module c d li u 79 Hì 3 T a thành ph n h th ng 81 Hì ời dùng truy c p th t b i - 83 Hì T c c p 84 Hình 3.16: Th c thi sách kiểm soát truy c p - 84 Hì ời dùng xác th c thành công 85 LỜI CẢM ƠN C c b n lu n th y giáo, ih c bi t PGS TS Hà Qu nh danh toàn c Tôi chân thành c Vi Đ S T c ti p dìu dắt, Truyề c gửi lời c lịng ng hộ, khích l tinh th â ểm sốt Đ i h c Bách Khoa Hà Nội, t nh ng ki n th c kinh nghi m cho â ắc nh t tớ ộng viên vào nh ộng l c hoàn thành lu X “ c bi t th y cô giáo c a Vi n Cơng ngh thơng tin t lịng d y b o, truyề x t o Sau ớng d n giúp ể hoàn thành lu su t thời gian h c t p b c Cao h c th c hi n lu Cu Đ ắc “ y giáo, i h c, â Đ i h c Bách Khoa Hà Nội, Vi ỡ su t trình triển khai nghiên c truy c p d â t nghi p xin bày tỏ lịng bi y ! t nghi p ì â t ể LỜI CAM ĐOAN Tôi Tr n Trung Kiên x t qu c lu ớng d n Trong tồn nội dung c u, tìm hiểu c a riêng cá nhân gi c a lu , nh ề n phẩm nghiên c trình bày ho c c a cá nhân ho t nhiều nguồn tài li u T t c tài li u tham kh c tổng h p ều có xu t x õ c trích d n h p pháp Tơi xin hồn tồn ch u trách nhi m ch u m i hình th c kỷ lu nh cho lời a Hà Nội, Tác gi Lu 03 T c sỹ Tr n Trung Kiên LỜI NĨI ĐẦU Lý chọn đề tài Kiểm sốt truy c p yêu c u quan tr ng với tổ ch c vi c qu n lý tài nguyên h th ng m ng Kiểm soát thi t b gi m thiểu m Xu t phát t nh u cu i phát hi n r ro ột nhi m v n h th ng m ng v ý ng ph nh danh k t n i m ng v t lý ph c v cho toán qu n tr qu n lý m ng Mục tiêu luận văn Đề tài t p trung nghiên c u tổng quan toán kiểm soát h th ng m ng Đ â toán giám sát qu n lý cổng k t n i m ng Nghiên c u phát triển h th danh cổng toàn tổ ch c Thi t k xây d ng Module qu ý nh d li u cổng m ng tích h p vào h th ng th t ng d ng cho vi c qu n tr m ng d nh danh tồn c c Tóm tắt nội dung Nội dung c a lu  Tìm hiểu tổng quan tốn kiểm sốt truy c p h th ng m ng, gi i pháp mơ hình kiểm sốt truy c p m ng Đ ớc xây d ng h th ng kiểm sốt truy c p m ng sách kiểm soát truy c p m ng  Nghiên c u h th ời dùng, thi t nh danh toàn c xâ b h th ng m ng tổ ch c T ời dùng, thi t b tr ng h th n toán giám sát, d li u qu n lý nh danh cổng m ng Phƣơng pháp nghiên cứu Xây d ng h th ng kiểm soát truy c p m ng tích h p với h th ng thi t b th t Xây d ng công c li u qu ý ời dùng truy c p vào h th ng m ng h th ởd ời dùng tổ ch c, qu n lý thi t b m ng Ti n hành th c nghi m mô h th ng thi t b th t, gi i quy t toán kiểm soát truy c p d nh danh toàn c c 10 server 2008, máy ch domain Policy Server (NPS) t c u hình d ch v Network ị làm Radius Hình 3.5: D ch v Network Policy Server Ở â thi t l p thi t b switch toàn h th ng m ý switch máy ch radius server ,ta c n thơng s mã khóa xác th c gi a switch máy ch radius server ph n Shared Secret : Hình 3.6: C u hình radius client 73 ể k t n i gi a S ì t n i cho h th ng kiểm soát truy c p thành ph n c n thi t Ti p theo s â n lý cổng k t n i m ng d li u cổng m Xây d n ều khiển giám sát cổng m ng Xây dựng h th ng định danh 3.2 3.2.1 Cơ li u thiết bị m ng Để qu n tr h th ng m ng cách t p trung v tổ ch c với nhiều lo i thi t b thi t b l ề n, c t chi ti t khác ời c n có h th ng qu n lý tài nguyên m ng, qu n lý thi t b m dùng h th ng è Chúng ta s qu n lý thi t b trí lắ ct : t (location), lo i thi t b (type) mô t Do qu n lý thi t b theo tên nên c n có quy chuẩn t tên lo i thi t b Vi c quy ho ch tên ời qu n tr cách khoa h c toàn h th ng s n vi c qu n lý thi t b Yêu c u với h th ng tên ph i ngắn g n khoa h nhiều tài nguyên h th ng c t tên cách khoa h Switch thi t b khác T t tên ph i phân bi b , v trí s th t c a lo i thi t b a ch ip, v t tên thi t b theo c ý R t R , c lo i thi t Trong h th ng mô c a lu : [Tên chi nhánh] [Lo i thi t b ] [S thi t b ] T :  [Tên chi nhánh ] ể phân bi t gi a khu v c chi nhánh khác Tên chi nhánh c n ph i mô t với Tên t theo tên c c mô t b ng ch : 74 c vi t tắt theo t nh ti p T nh Hà Nội, chi nhánh Bà Tri u: HNO-BATRIEU T nh H i Phòng, chi nhánh L ch Tray: HPO-LACHTRAY  [Lo i thi t b ] ể mô t lo i thi t b ví d Dùng ch - RT: Router - SW: Switch :  [S thi t b ] Để phân bi t gi a thi t b lo i với Q t s cho thi t b : 001: Thi t b th nh t 002: Thi t b th hai Để xây d ng h th ng qu n lý d Framrework Symfony Đâ li u thi t b m ng lu ộ F O l p trình PHP Các thông tin c a thi t b s c vi t b ng ngôn ng c c p nh t vào ph n qu n tr thi t b có thành ph n sau :  Qu n lý chi nhánh phòng giao d ch tổ ch c Hình 3.7: Qu n lý chi nhánh phòng giao d ch 75 d ng  Qu n lý lo i thi t b h th ng m ng tổ ch c Hình 3.8: Phân lo i thi t b m ng  Qu n lý thi t b h th ng m ng c a tổ ch c Hình 3.9: Qu n lý thi t b m ng T d li u qu n lý thi t b qu n lý v trí, qu n lý lo i thi t b c tên thi t b , d li u thành ph ì : d li u th y a ch IP c a thi t b , v trí thi t b b 76 tở â i thi t 3.2.2 Cơ li Để qu ý ngƣời dùng ời dùng h th ng m ng ta c n xây d ng mộ ời dùng tổ ch c ng ký thi t b sử d ời dùng k t n i vào h th ng m ng H s ph i ể truy c p vào h th ng m ng máy tính cá nhân, ể bàn hay thi t b c n tho i thông minh Chúng ta s thu th p thông tin ời dùng thuộ a ch MAC thi t b , ời dùng ta s c d switch ì c vào cổng m b ch tổ ch c với thuộc tính yêu c  T c c p phát, ý d li : p: Username : Full name  Phòng ban: Bộ ph ời dùng làm vi c  Đ a ch MAC: Đ a ch MAC thi t b  Cổng m ng switch: Cổng m Hình 3.10: C nh c quyền quy c p T yêu c u c a h th ng xây d ng Module qu  T ể ời dùng cổng m ng thi t b ời dùng ch truy c ngồi nh ng cổng m d li u c a cc d li u qu n lý thô 77 ý ng ời dùng ời dùng V y có mộ ời dùng mớ ời qu n tr m ng s ề ời dùng vào Module qu n tr qu ý thông tin c a ột h th ời dùng t p chung Chúng ta tìm ki dùng c n thi t bi d li u ời c thông tin c c k t n i vào cổng m ng thi t b m ng Hình 3.11: C 3.3 d li u qu n lý tài nguyên h th ng H th ng giám sát truy cập Để qu n tr h th ng m ng ln ln ph i có nh ng công c giám sát h th ng m , giám sát thi t b m ng, máy ch d ch v h th ng m ể m b o phát hi n nh ng truy c p b ờng hay s c x y trình v n hành h th ng c a tổ ch c Trong h th ng kiểm soát truy c p c n xây d ng Module giám sát truy c p c ời dùng truy c p thành công hay vi ph bi ời dùng k t n i vào h th ng m ng, tài kho n c ểt ề ời dùng ph c xác th c với máy ch xác th c radius Trong trình xác th c với máy ch radius s sinh log c a trình xác th c T d li SQL xử ý ể c tr ng thái xác th c c thành công hay th t b i thông tin chi ti t c b , cổng m ng switch, v trí tr ng thái xác th c 78 : ời dùng a ch MAC thi t d li u Hình 3.12: Quan h gi ời dùng xác th c với máy ch radius th t b N ì m ng c ời dùng truy c dùng s b ch n t t c k t n ời c vào h th ng ời dùng xác th c với máy ch N c p s kiểm tra thông tin c ời dù c c p hay không Các thông s c kiểm tra là: username, port switch N u c ba thông s ều xác s th c thi sách t module giám sát xu ng thi t b switch ng s ghi l c truy c p vào tài nguyên h th ng m ng với quyền c a N u thơng s ta s a ch MAC c a thi t b lên cổng c a switch d li ẩy l nh xu ng vơ hi u hóa cổng m cc ời dùng chúng ời dùng khơng thể truy c p c vào h th ng m ng 79 i quy c toán kiểm soát truy c p t p trung d a ời dùng truy c p vào h th ng m nh danh toàn c c Kiể dùng ph 3.4 ời nh danh với cổng m ng thi t b switch Tích hợp với thiết bị thật ý Với h th ng module qu d li u t p trung k t h p với thi t b th t router, switch máy ch xác th o nên h th ng kiểm soát truy c p t p trung d li Chúng ta s thi t l ể qu n lý tài nguyên h th ng m ng c a tổ d li u qu n lý t p trung s bao gồm thành ph ch c H th : V trí: qu n lý thơng tin v trí chi nhánh, phịng giao d ch vớ tên, mơ t , v trí d li u dịng thi t b m ng h th ng tổ ch c Dòng thi t b : dòng thi t b nh n router, thi t b chuyển m ch switch Phịng ban: qu n lý thơng tin phịng ban toàn tổ ch c Thi t b : qu n lý thi t b vớ chi nhánh nào, ờng thông tin bao gồm tên thi t b , mô t thuộc a ch IP thi t b , v trí dịng thi t b ời dùng: d li ời dùng bao gồm ời dùng, tài kho p, v trí, phịng ban d li Tài nguyên: cổng m thông tin mộ c truy c p, thi t b switch, ời dùng h th ng m a ch mac, tài kho n truy c p Giám sát: kiểm soát truy c p vào h th ng m ng th c thi sách t xa vớ ời dùng Với h th thi t b th d li u qu n lý t ể xây d k t h p với c h th ng kiểm soát truy c p m ng 80 Quá trình kiểm sốt truy c p s tr i qua Hì ớc 1: 3 T c mơ t hình 3.13: a thành ph n h th ng ời dùng k t n i vào cổng m ng, th c cổng m ời dùng AP gử x n với thi t b chuyển m ch switch ớc 2: Thi t b chuyển m ch switch nh thông tin c thông tin EAP chuyển ti p n với máy ch xác th c ớc 3: Máy ch xác th c s kiểm tra thông tin gửi l i thông tin xác th c tới switch N u xác th c th t b i cổng m ng s b ch c N u xác th c thành công, cổng m ng s mở ti 81 ời dùng k t n i ớc ti p theo ớc 4: Trên module giám sát s x ời dùng xác th c thành cơng ời dùng xác th c thành cơng s kiểm tra thông tin hay th t ba Vớ ời dùng Khi p, cổng m ng, thi t b switch vớ kiểm tra thông tin s hiển th k t qu module giám sát ớc 5: Với k t qu t m ng C ớc s th c thi sách t x ờng h ới tài nguyên dùng s th ớc 6: a ch MAC cổng m ng ời dùng thành công với c ớc s truy c c truy c p vào h th ng m ng, ời dùng c phân quyề C ời cc n truy c p Cịn vớ xác s n cổng xâ d li u qu n lý tài nguyên, ời dùng h th ng tổ ch c giám sát truy c p vào h th ng m ng t phù h p vớ 3.5 ời dùng Thử nghi v đánh giá ời dùng vào thi t b switch Chúng ta ti n hành thử nghi m b ng cách cắ ti n hành trình k t n i vào h th ng m ng c a tổ ch c Ta s th c hi n kiểm tra với ờng h p khác nhau: User Đăng Nhập Xác Thực Tr ng Thái Kien tt Sai X THẤT B I Kien tt Đ © © X LỖI Lam bn Đ © © © THÀNH CƠNG Ngoc lm Đ © © © THÀNH CÔNG Duc tq Đ © © X LỖI TH 82 Tài Nguyên Thực Thi T ờng h p 1:  ời dùng truy c p với thông x c sai vớ R ới h th ng máy ch xác th c S ời dùng b ch n truy c p vào h th ng m ng Trên h th ng kiểm soát truy c p s có c nh báo x t n i vào cổng m ng thi t b switch thi t b â Trên h th ng kiểm sốt th ời dùng truy c p xác th ển th h th ng là: THẤT B I Hình 3.14: ời dùng truy c p th t b i T ờng h p :  ời dùng truy c p với thông tin xác th ề user/port/switch c thông tin mà c ới h th ng máy ch Radius, ời dùng l ới ời dùng Khi h th ng kiểm soát truy c p s hiển th tr ng thái: LỖI Ở â cổng m ng 5, 8, 12, thi t b switch: HNO-HO-SW-001 cc p ời dùng kien.tt l p vào cổng m ng 15 thi t b switch: HNO-HO- SW-00 ới tài nguyên m 83 c c p Hì T cc p Khi tr ng thái truy c p LỖI s th c thi sách kiểm soát truy c p ẩy l nh xu ng cổng m b ể n truy c p Hình 3.16: Th c thi sách kiểm sốt truy c p Chúng ta xây d ng sách kiểm sốt truy c p cho t ng h th ng m ng với vi c tùy ch nh l nh th c thi T ờng h p :  ời dùng truy c p xác th c thành công với máy ch xác th c Radius ời dùng truy c p vào m cc thơng kiểm sốt truy c p s hi n th tr ng thái: THÀNH CƠNG th i vớ 84 ời dùng truy c p thành công giúp ời dùng k t n i vào h th ng m ng truy c quyền h n c a Hì ời dùng xác th c thành công ờng h p với nhiều tài kho Chúng ta th c hi n thử nghi m vớ khác c k t qu gi kiểm soát truy c p d kiểm soát truy c p c t nh danh toàn c thi t b nào, â , y với h th ng i quy x ời dùng c toán p c c p hay không H th ng kiểm soát truy c p giúp cho vi c qu n tr h th ng m ng d xây d c h th ng qu n lý t p trung Th c nghi m cho th y lu c hi toán kiểm soát truy c p t p trung 85 c yêu c u c n gi i quy t c a KẾT LU N V HƢỚNG PHÁT TRIỂN CỦA ĐỀ TÀI K t qu c a lu :  Trình bày h th ng kiểm soát truy c p, thành ph n chu trình xây d ng mơt h th ng kiểm sốt truy c p với sách b o m h th ng tổ ch mb o c an tồn  Tìm hiể nh danh t xâ ng Module qu ý ời dùng tài nguyên h th ng m ng Đ nh danh d li u thi t b , ời dùng với cổng m ng  Xây d ng công c kiểm soát truy c p giúp d dàng vi c qu n tr h th ng m ng triển khai sách qu ý d li u cổng m ng ời dùng truy c p H n ch c a lu :  Các sách triển khai cho cổng m s can thi p c c th c hi n t ộng v n c n ời qu n lý m ng  Công c tìm ki m tài ngun h th ng cịn h n ch H ớng phát triển c a lu :  Xây d ng h th ng kiểm sốt truy c p hồn thi n vớ c a h th ng kiểm soát truy c p Th c hi n kiểm soát truy c p c với cổng m ng thi t b m ng c c th c thi t 86 ộng chu trình ời dùng TÀI LI U THAM KHẢO [1] Andrew S Tanenbaum, Maarten Van Steen 2nd edition (2007), Distributed Systems Principles and Paradigms [2] Bartosz Porebski, Karol Przystalski, Leszek Nowak (2011), Building PHP Applications with Symfony, Cake PHP, and Zrnd Framework [3] Gyland, Tom Myren (2013), Implementation of IEEE 802.1x in wired networks [4] Jay Kelley, Rich Campagna, Denzil Wessels (2009), Network Access Control For Dummies [5] Jim Geier (2008), Chapter Port-Based Authentication Concepts [6] RFC 5247 (2008), EAP Key Management Framework [7] Steve Piter, CyberEdge Group(2014) Definitive Guide to Next-Generation Network Access Control [8] Computing, http://en wikipedia org/wiki/Distributed_computing [9] Symfony, http://symfony com/ 87 ... h th ng kiểm soát truy cập 1.1.4.1 T o sách Một nh ng ph n quan tr ng c a b t k h th ng kiểm soát truy c p t o sách kiểm sốt truy c p Các sách trung tâm c a h th ng kiểm soát truy c p kiểm sốt... tổng quan h th ng kiểm soát truy c p m ng, mơ hình c a h th ng kiểm soát truy c c ng d ng h th ng m ng Kiểm soát truy c p giúp cho nhà qu n tr h th ng kiểm soát m i k t n i, m i truy c pc T ời dùng... t b th t, gi i quy t toán kiểm soát truy c p d nh danh toàn c c 10 CHƢƠNG 1: T NG QUAN IỂM SO T TRU C P TRONG H TH NG M NG 1.1 Tổng quan kiểm soát truy cập iể 1.1.1 cập h ộ h ng ng ộ ể , ộ ổ