Windows XP SP3, Windows Vista và Windows Server 2008 hỗ trợ các phươngthứcthựcthiNAP(NAPEnforcement)nhưsau:
- GiaotiếpmãhóaIPSec
Trang29
QuảnlýtruycậpmạngdựatrênNAP
- KếtnốiđượcxácthựctheochuẩnIEEE802.1X - KếtnốiVPN
- DịchvụcấpIPđộngDHCP
ĐốivớiphươngthứcthựcthichokếtnốiquaTerminalServicesGateway, chỉđượchỗtrợbởiWindowsVistavàWindowsServer2008.Tùytheoyêucầucủa hệthống,mànhàquảntrịcóthểsửdụngriêngrẽhoặckếthợpcácphươngthức thựcthinàyđểkiểmsoáttruycập.
Phươ ng th ứ c th ực thi IPSec
Đểthựchiệnphươngthứcnày,chúngtacầnphảicócácthànhphầnsau tronghệthống:IPSecESchạytrênmáyHRAtrongmôitrườngWindowsServer 2008,IPSecECchạytrênmáyVista,XPSP3hoặcServer2008. MáychủHRAsẽ lấyhealthcertificateđượcmãhóatheochuẩnX.509chocácmáyNAPClienttừ máychủCAtronghệthống.
Mộtmáythỏamãnchínhsáchtruycậpmạngđặtra,mớicóthểnhậnchứng chỉvàgiaotiếpmãhóaIPSecvớicácmáykháctrongmạng.Nếunókhôngthỏa mãnchínhsách,máyđósẽbịđưavàovùngmạnghạnchế,khôngthểgiaotiếp thôngquamãhóaIPSecvớicácmáykhác.
Phươ ng th ứ c th ự c thi 802.1X
Để triển khai phương thức thực thi 802.1X, chúng ta cần có máy chủ WindowsServer2008thựchiệnvaitròNPS,EAPHostECchạytrênmáyWindows XPSP3,WindowsVistahoặcWindowsServer2008vàcácthiếtbịtruycậpmạng
cóhỗtrợxácthựctheochuẩnIEEE802.1XnhưSwitch,hoặc802.11wirelessAP Nếumáytínhkhôngđủđiềukiệntruycậpmạng,nósẽbịgiớihạnbởicác profilehạnchếtruycậpđặtsẵntrêncácthiếtbị802.1X.Profilenàycóthểchỉra mộtAccessControl List(ACL)–danhsáchđiềukhiểntruycập-đãđượccấuhình trướctrênSwitchhoặcWirelessAP,từđóhạnchếviệctraođổithôngtingiữamáy khôngđủtiêuchuẩnantoànvớihệthốngmạng.
Phươ ng th ứ c th ự c thi VPN
HệthốngtriểnkhaiphươngphápthựcthiVPNgồmcó:MáychủNPS,VPN ECtrênmáyWindowsXPSP3,VistahoặcServer2008.
Khixácđịnhđượcmáytínhkhôngđủđiềukiệntruycập,hệthốngsẽtiến hànhchếđộlọcgóitinIPđãđượccấuhìnhtrênVPNServer.Hệthốngcũngliên
Trang30
QuảnlýtruycậpmạngdựatrênNAP
tụckiểmtratìnhtrạngsứckhỏecủacácmáyđãđủđiềukiện.Nếucácmáynàycó sựcố,chuyểnthànhkhôngđủtiêuchuẩn,nócũngsẽbịchuyểnsangtrạngtháihạn chếtruycập.
Phươ ng th ứ c th ự c thi DHCP
Đểthựchiệnphươngthứcnày,hệthốngcầncó:DHCPESnằmtrênmáy DHCPServerchạyWindowsServer2008,DHCPECtrênmáyXPSP3,Vistahoặc Server2008.
MáytínhđủtiêuchuẩnantoànsẽđượcDHCPcấpđầyđủthôngtinvềIP Address,Gateway,DNSServer….đểcóthểtruycậpmạngkhônghạnchế.Ngược lại,máytínhsẽđượccấpIPchovùnghạnchếtruycập.Hệthốngcũngthựchiện việcgiámsátsựthayđổitrạngtháiantoàncủacácmáyClientđểápdụngcácchính sáchphùhợp(đưamáyvàohoặcrakhỏivùnghạnchếtruycập).
2.3.1. Ph ươ ng th ứ c th ực thi IPSec
Vượttrêntấtcảcácgiaothứcđượcsửdụngtrongcáckiếntrúcmạnghiện nay,IPđãchứngtỏđã,đangvàsẽlàgiaothứctruyềnthôngtoàncầuchocácmáy tínhtrêntoànthếgiới.GiaothứcnàyđãhỗtrợchocácmạngLANtừcỡtrungbình chođếncácmạngcỡlớnnhưInternet.Đâylàmộtgiaothứcmềmdẻo,mạnhmẽvà đãđápứngđượcnhữngyêucầukếtnốimạngtrongnhiềuthậpkỷqua.Sứcmạnh củaIPthểhiệnbởikhảnǎngđịnhtuyếngóidễdàng,linhhoạt.Cũngnhưnhữngcơ thểsống,cácmạngIPnàyngàycàngpháttriểntớimứckhôngaicóthểbiếtđâulà giớihạn.Tuynhiên,cácmạngdựatrênnềnIPcónhữngnhượcđiểmliênquanđến chínhcấutrúccủagiaothứcnày.NhữngkiếntrúcbanđầucủaIPkhôngnhằmmục đíchcungcấpcáctínhnǎngbảomậtởmứcgiaothức.ChínhtínhmềmdẻocủaIP
chophéptạoramộtsốcáchsửdụnggiaothứcnàyđểkiểmtralưulượng,điều khiểntruynhậpvàtiếnhànhcácbiệnphápanninhkhác.DữliệutrêncácmạngIP theođócóthểnóilà"mở"ngaycảvớicáchoạtđộnggâymấtanninhmạng.Những tácvụtruyềnthông"nhạycảm"trongcáclĩnhvựcanninh,quốcphòngvàcảkinh doanhđềukhôngantoànkhithựchiệntrêncácmạngIP.
KhisửdụngmạngIP,bấtcứquátrìnhtruyềnthôngtinnàođềuphảithông qualớpIP.Nhưvậy,nếubảovệđượclớpmạngnàynghĩalàchúngtasẽbảovệ đượctoànbộmạngcủamình.Ởcáclớpmạngkhác,cácthủtụckhácnhaucóthể đượcsửdụngchonhữngmụcđíchkhácnhau,tuỳthuộcvàocấutrúcmạngvàkiểu truyềntin.IETF(InternetEngineeringTaskForce)đãchỉđịnhmộtnhómthựchiện
Trang31
QuảnlýtruycậpmạngdựatrênNAP
việcpháttriển1phươngthứcđểlàmcôngviệcnày.Họgọiphươngthứcnàylàbộ giaothứcIPSEC.KhisửdụngIPSecchúngtasẽđảmbảoantoànchocáctácvụ truyềnthôngtrongmạngcủatấtcảcácứngdụngvàtấtcảngườidùngmộtcách "trongsuốt"hơnnhiềusovớicácphươngphápđảmbảoanninhkhác.
KiếntrúcgiaothứcIPSec:
Hình2.10:KiếntrúcgiaothứcIPSec
GiaothứcIPSeccungcấp3côngnghệkhoá.Nhữngcôngnghệnàycóthể loạibỏcácmốiđedoạđốivớimạngIP.
- CôngnghệđảmbảotínhxácthựcvàtoànvẹndữliệuchoIPPacket: Côngnghệnàygiúpcácbênthamgiatraođổithôngtincóthểkiểmtra xemdữliệucóbịsửađổitrongquátrìnhchuyểntiếphaykhôngvàdữ liệucóthựcsựđếntừđúngnguồnhaykhôngbằngviệcgắnvàotrong mỗigóiIPmộtdấuhiệucóthểkiểmtrađược.Dấuhiệuđóđượcgọilà AH (Authentication Header). AH được gắn vào giữa IP Header và IP Payloadnhưsau:
AHsửdụngmộtchecksumdạngmậtmãlàHMAC(HashedMessage AuthenticationCode)đểđảmbảotínhtoànvẹncủadữliệutronggóitin IP.TrongmôitrườngWindowsServer,hệđiềuhànhsửdụngthuậttoán SHA1(SecureHashAlgorithm1)hoặcMD5(Message-Digestalgorithm 5)đểtínhtoánHMACchogiaotiếpIPSec.
Trang32
QuảnlýtruycậpmạngdựatrênNAP
- CôngnghệđảmbảotínhbímậtdữliệuchoIPPacket: Vớicôngnghệ ESP(EncapsulatingSecurityPayload)dữliệuđượcmãhoáđểđảmbảo khôngbị"nghetrộm"trongsuốtquátrìnhtruyềntin.
MỗigóitinIPđượcthêmvàoESPHeadervàESPTrailer.ESPTrailercó trường Auth Data được tính theo thuật toán SHA1 hoặc MD5. Thành phầntronggóitinIPđượcmãhóagồmcóIPPayloadvàmộtphầncủa ESP Trailer. Trong môi trường Windows, thuật toán mã hóa được sử dụnglàDES(DataEncryptionStandard),Triple-DES(3DES),vàAES (AdvancedEncryptionStandard).
- Côngnghệthoảthuậngiaothức(ProtocolNegotiation)vàtraođổikhoá Internet(IKE-InternetKeyExchange)chophépcácbênthamgiathoả thuậncácphươngpháptruyềnthôngantoàn.Đâylàmộtthủtụcđàm phánlinhhoạtchophépngườisửdụngđồngýphươngphápnhậnthực, phươngphápmãhoá,cáckhoásẽdùngvàthờigiansửdụngcáckhoá trướckhithayđổikhoácũngnhưchophépviệctraođổikhoámộtcách antoànvàthôngminh.
ThựcthiIPSectrongNAP:
ƯuđiểmkhichúngtatriểnkhaiphươngthứcthựcthiIPSectrongNAP: - LuônbắtbuộcClientphảithihành.
PhươngthứcthựcthiIPSeckhôngchophépClientchuyểnsangtrạng tháithỏamãnCSTCMbằngviệccấuhìnhlạiNAPclient.NAPclientsẽ khôngnhậnđược“healthcertificate”hoặcthiếtlậpgiaotiếpvớicácmáy tínhkhácbằngcáchthựchiệnmộtsốxảothuậttrênnó.Điềunàylàrất quantrọngtrongtrườnghợpngườisửdụngcóquyềnAdministrator.
- Khôngcầnphảinângcấphạtầnghệthống.
PhươngthứcthựcthiIPSechoạtđộngtạitầngInternettrongmôhình TCP/IP,nókhôngphụthuộcvàocácthiếtbịvậtlýtrongmạngnhưhub, switch,hayrouter.
- Hạnchếtruycậpmạngmộtcáchlinhhoạt.
Trang33
QuảnlýtruycậpmạngdựatrênNAP
VớiphươngthứcthựcthiIPSec,nhữngmáytínhthỏamãnchínhsáchcó thểthiếtlậpgiaotiếpvớicácmáykhôngthỏamãnchínhsáchnhưng khôngcóchiềungượclại.Quảntrịmạngcóthểchỉramộtsốloạiliênlạc cầnphảixácthựcthôngqua“healthcertificate”vàđượcbảovệbằng Ipsec;cóthểtạoraIPfilter…Từđócóthểkiểmsoátquátrìnhtruycập mạngtheotừngmáytínhhaytheotừngứngdụngcụthể.
PhươngthứcthựcthiIPSecchiahệthốngmạngthành3phầnlogicnhưsau:
Hình2.11:CáclớpmạngtrongphươngthứcthựcthiIPSec
- SecureNetwork:Đâylàlớpmạngdànhchocácmáytínhcó“health
certificates”vàcácmáynàyluônyêucầuxácthựckhikhởitạokếtnối vớinó.TrongmôitrườngActiveDirectory,chúngtanênđặtcácmáychủ vàmáytrạmtronglớpsecurenetwork.KhithựcthiNAPsửdụngIPSec, thìNAPhealthpolicyservervàhealthrequirementserverđượcđặttạilớp securenetwork.
- Boundarynetwork: Đâylàlớpmạngdànhchocácmáytínhcó“health
certificates”nhưngkhôngyêucầukếtnốitớinóphảixácthực.Cácmáy tínhđặttạiboundarynetworkcóthểđượctruycậptừtấtcảcácmáy
trongtoànhệthốngmạng.NócóthểlàmáychủHRAvà remediation servertrongmôhìnhtriểnkhaiNAPIPSec.
Trang34
QuảnlýtruycậpmạngdựatrênNAP
- Restrictednetwork: Đâylàlớpmạngdànhchonhữngmáytínhkhông
có“healthcertificates”.Cácmáytínhđượcđưavàolớpnàydokhông hoànthànhviệckiểmtratìnhtrạngsứckhỏehệthống, khôngthỏamãn CSTCM,hoặccácmáykhôngđượcsupportbởiNAP…
Trêncơsởphânchiahệthốngthành3lớpmạnglogicnhưtrên,khithiếtlập kếtnốigiaotiếpgiữacácmáytính,sẽxảyramộtsốtrườnghợpnhưsau:
Hình2.12:GiaotiếpgiữacáclớpmạngtrongphươngthứcthựcthiIPSec
- KếtnốigiữacácmáytronglớpSecureNetworkvàBoundaryNetwwork: Các máy tính thỏa mãn CSTCM trong lớp Secure Network hoặc lớp Boundary Network đều được cấp “health certificate”. Khi các máy trong cùng một lớp thiết lập kết nối với nhau, chúng sẽ sử dụng các “health certificate”củamìnhđểxácthực.Quátrìnhxácthựcnganghàngthànhcông, giaotiếpgiữachúngsẽđượcbảovệbởiIPSec.
- KếtnốigiữacácmáytrongRestrictedNetwork. -
Trang35
QuảnlýtruycậpmạngdựatrênNAP
CácmáytínhtrongRestrictedNetworklàcácmáykhôngđượchỗtrợbởi NAP hoặc các máy không thỏa mãn CSTCM và không có “health certificate”.Vìthếcácmáynàygiaotiếpvớinhaukhôngđượcbảovệbởi IPSec.
- KếtnốigiữaSecurenetworkvàBoundarynetwork
Khicácmáygiữa2lớptiếnhànhthiếtlậpkếtnối,chúngsẽcốgắngthử xácthựcvới“healthcertificate”.DocácmáyởlớpBoundaryNetwork cũngcó“healthcertificate”,nênsựxácthựcnganghàngthànhcôngvà giaotiếpsẽđượcbảovệbằngIPSec.
- KếtnốitừSecurenetworktớirestrictednetwork
KhimộtmáythỏamãnCSTCMtronglớpSecureNetworktiếnhànhthiết lậpgiaotiếpvớimộtmáythuộclớpRestrictedNetwork,nócũngsẽthử quátrìnhxácthựcnganghàngsửdụng“healthcertificate”.Docácmáy tạiRestrictedNetworkkhôngcó“healthcertificate”,chonênquátrình xácthựckhôngthànhcông.TuynhiêngiaotiếptừSecureNetworktớinó vẫnđượcthiếtlập,nhưngkhôngđượcbảovệbởiIPSec.
- KếtnốitừRestrictedNetworktớiSecureNetwork
KhimộtmáytínhtừlớpRestrictedNetworkcốgắngthiếtlậpkếtnốitới lớpSecureNetwork,máytínhởlớpSecureNetworksẽtựđộnghủyyêu cầudoyêucầuchuyểntớinókhôngđượcmãhóa.
- KếtnốitừBoundaryNetworktớiRestrictedNetwork
KhimáytínhtạiBoundaryNetworkthiếtlậpkếtnốitớicácmáythuộc RestrictedNetwork,nósẽcốgắngthửxácthựcbằngcáchdung“Health Certificate”.TấtnhiêndocácmáyởlớpRestrictedkhôngcóchứngchỉ, nênsựxácthựcsẽkhôngthànhcông.Khiđó,cácmáytạilớpBoundrysẽ thiếtlậpkếtnốimàkhôngđượcbảovệbởiIPSec.
- KếtnốitừRestrictedNetworktớiBoundaryNetwork
MáytínhthuộclớpRestrictedsẽthiếtlậpkếtnốikhôngđượcbảovệbởi IPSectớicácmáythuộcBoundryNetwork.Cácmáytínhthuộclớpnày chophépkếtnốitớinókhôngcầnphảiđượcbảovệ,nósẽđáptrảlạiyêu cầukếtnốicủamáyởlớpRestricted.Vàkênhgiaotiếpsẽđượcthiếtlập, kênhnàykhôngđượcbảovệbởiIPSec.
Nguyênlýhoạtđộng:
QuảnlýtruycậpmạngdựatrênNAP 1. 2. 3. 4. 5. 6. 7.
IPsecNAPECtrênNAPclientsửdụnggiaothứcHTTPhoặcHTTPSđể gửiyêucầulấy“healthcertificate”vàbảntinsứckhỏehệthốngSSoHtới máychủHRA.
MáychủHRAchuyểntiếpbảntinSSoHtớimáychủNAPhealthpolicy serverthôngquathôngđiệpRADIUSAccess-Request.
NPSserviceởtrongmáychủNAPhealthpolicynhậnđượcthôngđiệp RADIUSAccess-Request,đọcbảntinSSoHtrongđó,vàchuyểnSSoH tớiNAPAdministrationServer.
NAPAdministrationServernhậnbảntinSSoH,phântíchvàgửitừng bảntinSoHtớiđúngSHVtươngứng.
Hình2.13:NguyênlýhoạtđộngcủaphươngthứcthựcthiIPSec
SHVphântíchnộidungcủabảntinSoHnhậnđược,vàgửitrảlạiNAP AdministrationServerbảntinSoHR.
NAP Administration Server chuyển tiếp các bản tin SoHR tới NPS service.
NPSservicedựavàocácbảntinSoHRnhậnđược,đónggóithôngtin
QuảnlýtruycậpmạngdựatrênNAP thànhbảntinSSoHR. 8. 9. 10. 11. 12.
NPSservicetạorabảntinRADIUSAccess-Acceptcóchứathôngđiệp SSoHR, vàgửibảntinnàytớimáychủHRA.
MáychủHRAlấyrabảntinSsoHR,đưatrảtớiIPsecNAPECtrong NAPclient.
IPsecNAPECchuyểnbảntinSSoHRtớiNAPAgent.
NAPAgenttáchthànhcácbảntinSoHRđưatớiđúngSHAtươngứng. Nếu NAP client thỏa mãn CSTCM, máy chủ HRA sẽ lấy “health certificate”từmáychủCAvàgửinótớiNAPClient.
TrongtrườnghợpNAPClienthiệnthờichưathỏamãnCSTCM,nósẽthực hiệnquátrìnhremediationnhưsau:
1.
2.
3.
4.
SHAdựavàobảntinSoHRnhậnđượcsẽthựchiệnviệccậpnhậtcần thiếtđểđưaNAPClientthỏamãnCSTCM.
SHAsẽchuyểnbảntintrạngtháisứckhỏehệthốngđãđượccậpnhậttới NAPAgent.
NAPAgenttậphợpcácbảntinSoHnhậnđược,tạorabảntinSSoH và gửinótớiIPsecNAPEC.
Quátrìnhgửivànhậnthựchiệnnhưtrên,tớikhiNAPClientthỏamãn CSTCM.
2.3.2. Ph ươ ng th ứ c th ực thi 802.1X
IEEE802.1xlàmộtchuẩndotổchứcIEEEđặtra,vớimụcđíchcungcấp mộtcáchthứcxácthựcantoànmangtínhtiêuchuẩnchohệthốngmạng,baogồm cảLANvàWirelessLAN.NộidungcủachuẩnIEEE802.1Xcóthểhiểuđơngiản là“điềukhiểntruycậpmạngdựatrênport”.Nóchophépquyếtđịnhchohaykhông truycậpmạngđượcthựchiệntạiport.Trừkhiportđãđượcxácthực,nếukhôngnó chỉcóthểđượcsửdụngđểchuyểnlưulượngđượckếthợpvớiquátrìnhxácthực. Xácthựccóthểdựatrênngườidùngvàđượcquảnlýtạimáychủxácthựctập trung.Ngoàira,802.1xcungcấpcáctuỳchọnđểphânphốikhoá.Vớikhảnăng quảnlýtậptrung,quảnlýngườidùngthayvìthiếtbị,bảovệmạngvàphânphối khóa,cácthiếtbịtruycậpmạnghỗtrợ802.1Xlàmộtsựlựachọnhợplýđốivới