TRƯỜNG CAO ĐẲNG CÔNG NGHỆ THỦ ĐỨC KHOA CÔNG NGHỆ THÔNG TIN ĐỒ ÁN MÔN HỌC QUẢN TRỊ HỆ THỐNG WINDOW ĐỀ TÀI : XÂY DỰNG HỆ THỐNG NETWORK POLICY Nhóm : 1 Võ Duy Sinh Nguyễn Hữu Nguyên Trần Đình Phúc Trần Quang Khải GVHD: Cao Trần Thái Anh I TỔNG QUAN VỀ GIAO THỨC RADIUS Những nét giao thức Radius  RADIUS thực chất giao thức mạng sử dụng để xác thực cho phép người dùng truy cập vào mạng từ xa Thuật ngữ RADIUS từ viết tắt cụm từ Remote Authentication Dial-In User Service giới thiệu lần vào năm 1991 Hiện nay, RADIUS công cụ quản lý quyền truy cập người dùng mạng mạnh mẽ Lịch sử phát triển RFC liên quan  Theo John Vollbrecht, người sáng lập Interlink Networks người đóng vai trị quan trọng hình thành RADIUS, câu chuyện giao thức thực bắt đầu vào năm 1987 Quỹ khoa học quốc gia (viết tắt NSF) trao hợp đồng mở rộng NSFnet cho Merit Network Inc  Merit Network Inc tập đoàn phát triển giao thức xác thực mạng độc quyền nhằm kết nối trường đại học khắp Michigan hợp đồng NSFnet coi nỗ lực để đưa Internet đến gần với công chúng  Để làm điều này, mạng độc quyền Merit, phải chuyển đổi sang mạng NSFnet dựa IP Tiếp đó, Merit Networks Inc Chấp nhận đề xuất từ công ty Livingston Enterprises mô tả cho giao thức RADIUS đến năm năm 1991 RADIUS thức đời  Các ứng dụng cơng nghệ mơ hình triển khai Radius Radius ứng dụng rộng rãi để quản lý chứng thực người dùng cách tập chung cho kết nối VPN,WLAN… Với việc tổ chức quảng lý người dùng theo OU, group phân quyền áp dụng sách tích hợp để đáp ứng nhu cầu bảo mật liệu chuyền mạng Radius cịn có chức Accounting nhằm kiểm sốt người dùng cách chặt chẽ theo dạng file log 3 Ưu điểm nhược điểm: 3.1 Ưu điểm:  RADIUS có phần overhead so với TACACS sử dụng UDP  Trong phần overhead khơng có địa đích,port đích nên caschacker khó công Với cách thức phân phối soure code, RADIUS giao thức hồn tồn mở rộng, người dùng thay đổi để làm việc với hệ thống bảo mật có  RADIUS có chức tính cước (accounting) mở rộng  RADIUS thường dùng dể tính cước dựa thời gian sử dụng, ví dụ ISP tính cước cho người dùng chi phí kết nối, ta cài đặt RADIUS accounting mà không cần sử dụng RADIUS dể xác thực cấp quyền  Với chức accounting mở rộng, RADIUS cho phép liệu đucợ gửi từ thiết bị xuất phát thiết bị đích, từ giúp ta theo dõi việc dử dụng tài nguyên( thời gian, số lượng gói tin, số lượng byte,…) suốt phiên làm việc 3.2 Nhược điểm:  Giao thức RADIUS dùng để làm tăng khả kiểm soát bảo mật mạng, tồn số điểm hạn chế giao thức kiểm tra chỗ nên yêu cầu sở hạ tầng phải nhận dạng chỗ để vận hành Chính thiết lập gây nên tốn nhiều chi phí khó khăn Ngồi sở hạ tầng quản lý danh tính chỗ lại chủ yếu tập trung vào Microsoft Windows với với Microsoft Active Directory identity provider đóng vai trị chính.Trong mơi trường đa tảng hybrid-cloud RADIUS cịn nhiều hạn chế đặc biệt AD không cung cấp chức RADIUS phụ trợ riêng Tuy nhiên, thời điểm công nghệ thông tin đại, phát triển đa dạng nhiều quan dần chuyển khai AD chỗ để đảm bảo tính bảo mật cao 4.Nguyên lý hoạt động  RADIUS xác định quyền truy cập người dùng mạng thơng qua mơ hình máy khách/máy chủ Tuy nhiên, thực tế yêu cầu người truy cập mạng thường gửi từ máy khách hệ thống người dùng điểm truy cập WiFi đến hệ thống máy chủ RADIUS để xác thực  Các máy chủ RADIUS thường kết hợp hệ thống tạo, trì quản lý thơng tin nhận dạng, đồng thời cung cấp dịch vụ xác thực riêng biệt Do đó, người dùng muốn truy cập vào mạng bảo vệ giao thức RADIUS từ xa họ phải cung cấp thơng tin xác thực trùng với liệu sở thư mục liên kết  Sau người dùng muốn truy cập cung cấp đầy đủ thông tin đăng nhập liệu chuyển từ máy khách đến máy chủ RADIUS thông qua supplicant Nếu thông tin người dùng khớp với thông tin lưu trữ sở liệu liên kết lúc thông báo xác thực hợp lệ gửi lại cho máy khách RADIUS để người dùng tiến hành truy cập kết nối với mạng Ngược lại, liệu khơng khớp thơng báo từ chối đưa Xác thực Ủy-quyền  Người dùng máy tính gửi thơng tin đăng nhập để truy cập vào tài nguyên mạng đến Máy chủ truy cập mạng Thông tin đăng nhập chuyển đến thiết bị NAS thông qua giao thức linklayer  Sau đó, NAS gửi thơng báo u cầu truy cập đến máy chủ RADIUS, yêu cầu ủy quyền cấp quyền truy cập thông qua giao thức RADIUS  Kết nối NAS máy chủ RADIUS mã hóa chuỗi bảo mật (shared secret) định sẵn đầu  Yêu cầu bao gồm thông tin đăng nhập, thường dạng tên người dùng mật khẩu hoặc chứng bảo mật (certificate) người dùng cung cấp Ngoài ra, u cầu chứa thơng tin khác mà NAS biết người dùng, ví dụ địa IP, MAC số điện thoại thông tin liên quan đến vị trí vật lý người dùng với NAS  Máy chủ RADIUS kiểm tra thơng tin có xác khơng cách sử dụng phương thức xác thực PAP, CHAP EAP Thông tin nhận dạng người dùng xác minh, gồm thông tin khác yêu cầu khác, chẳng hạn địa mạng số điện thoại, trạng thái tài khoản quyền truy cập dịch vụ mạng cụ thể Trước kia, máy chủ RADIUS kiểm tra thông tin người dùng sở liệu cục Các máy chủ RADIUS thực việc cách truy vấn nguồn khác máy chủ  SQL, Kerberos, LDAP hoặc Active Directory để xác minh thông tin đăng nhập người dùng II MƠ HÌNH THỰC NGHIỆM  Các bước triển khai cài đặt : Cài đặt server radius  Giả sử bạn thiết lập hộp Windows sở,  đã kết hợp với tên miền đích bạn  Hãy vào hệ thống mục tiêu bạn, thông qua RDP Console điều  Từ Bảng điều khiển Trình quản lý Máy chủ nhấp vào Thêm vai trị tính  10 11 Nhấp vào ‘Tiếp theo’ loạt lần, lần cho tơi, bạn đến hình “Chọn máy chủ vai trị” Nhấp vào hộp kiểm “Chính sách Mạng Truy cập Dịch vụ“ 12 Trên cửa sổ bật lên, đảm bảo chọn hộp kiểm “Bao gồm công cụ quản lý” nhấp vào ‘Thêm tính năng‘ Nhấp vào ‘Tiếp theo‘ bạn đến trang Xác nhận Nhấp vào ‘Cài đặt‘ 13 14 Cấu hình server radius Thiết lập người dùng Sau đó, hạn chế quyền xác thực thành viên nhóm Remote vào Domain Controller bạn, hệ thống quản lý AD Khởi chạy ‘Người dùng Máy tính Thư mục Cá nhân’ Duyệt đến OU có chứa nhóm bạn Chọn ‘Hành động’ -> ‘Mới’ -> ‘Nhóm’ Trong “Tên nhóm:” gõ ‘Người dùng VPN’ Nhấp vào ‘OK’ Tìm “Người dùng VPN” danh sách, nhấp chuột phải chọn ‘Thuộc tính’ Thêm mơ tả thích hợp 15 Chọn tab ‘Thành viên’ thêm người dùng bình thường Cài đặt Khách hàng  Để chấp nhận kết nối RADIUS từ thiết bị đầu cuối, phải cấu hình máy chủ ‘Client’ Nhấp vào nút ‘Bắt ​đầu’ Kiểu nps.msc Trên bên trái mở rộng ‘Máy khách Máy chủ RADIUS’ Nhấp chuột phải vào ‘RADIUS Clients’ chọn “New” Nhập Tên hiển thị địa IP thiết bị xác thực máy chủ RADIUS bạn Chọn bí mật chia sẻ 16 Nhấp vào ‘OK‘ Bây xác định máy khách thực nói chuyện với RADIUS thực xác thực Tuy nhiên, trước người dùng xác thực, phải tạo sách liên kết với người dùng 17 Chính sách người dùng Trên bên trái mở rộng ‘Chính sách‘ Nhấp chuột phải vào ‘Network Policies’ chọn “New“ Nhập tên cho sách kết nối nhấp vào ‘Tiếp theo‘ 18 • • Trong ‘Điều kiện’ nhấp vào ‘Thêm …’ Chọn tùy chọn “Nhóm người dùng” nhấp vào ‘Thêm …’ 19 •Trong nhóm quảng cáo ‘Nhóm người dùng’, nhấp vào ‘Thêm nhóm‘ nhập nhóm “Người dùng VPN” •Nhấp ‘OK‘, ‘Tiếp theo‘ Đảm bảo “Access granted” chọn nhấp vào ‘Next’ •Các tùy chọn mặc định nên tốt Chọn “MS-CHAPv2″ “MS-CHAP” nhấp vào ‘Tiếp theo’ 20 •Khơng có ràng buộc cần thiết Nhấp vào ‘Tiếp theo‘ •Khơng có cài đặt sách cụ thể cần thiết Nhấp vào ‘Tiếp theo‘ •Xem lại lựa chọn cuối nhấp vào ‘Finish‘ Tại thời điểm bạn chỉnh sửa thiết bị khách hàng bạn thêm hệ thống Windows máy chủ RADIUS để xác thực 21 ... Interlink Networks người đóng vai trị quan trọng hình thành RADIUS, câu chuyện giao thức thực bắt đầu vào năm 1987 Quỹ khoa học quốc gia (viết tắt NSF) trao hợp đồng mở rộng NSFnet cho Merit Network. .. Radius cịn có chức Accounting nhằm kiểm soát người dùng cách chặt chẽ theo dạng file log 3 Ưu điểm nhược điểm: 3. 1 Ưu điểm:  RADIUS có phần overhead so với TACACS sử dụng UDP  Trong phần overhead...  Để làm điều này, mạng độc quyền Merit, phải chuyển đổi sang mạng NSFnet dựa IP Tiếp đó, Merit Networks Inc Chấp nhận đề xuất từ công ty Livingston Enterprises mô tả cho giao thức RADIUS đến