Qua các phân tích trên cho thấy việc cần thiết phải có một công cụduy nhất quản trị và phân phối kiểm soát tài nguyên cổng mạng trên hệ thống. Căn cứ theo yêu cầu thực tiễn đó luận văn đềxuất vận dụng lý thuyết về định danh toàn cục kết hợp với các chức năng sẵn có của hệ thống thiết bị chuyển mạch để giải quyết các bài toán quản trịmạng. Công cụquản trị được xây dựng phải thỏa mãn các tiêu chí:
Định danh được các thiết bịmạng trên hệthống
Phân bổ, cấp phép tài nguyên choứng dụng và chongười dùng Quản trị được đa dạng các thiết bịmạng
CHƯƠNG 2: HỆ THỐNG ĐỊNH DANH TOÀN CỤC 2.1. Cấu trúc hệ thống định danh
Hệ thống định danh có cấu trúc được xây dựng dựa trên các dạng tên đơn giản, con người có thể đọc phù hợp. Trong một hệthống phân tán, việc đinh danh thường được thực thi phân tán trên nhiều máy. Có ba vấn đề chính trong việc đinh danh trong hệ phân tán.
Đặt tên theo cách gần gũi với con người.
Các tên được sửdụng để định vịcác thực thể di động. Giải quyết cách tổchức tên.
Ví dụ như cách thức đặt tên cổng mạng trên thiết bịchuyển mạch Switch như sau: Đặt tên Switch được dựa theo cấu trúc: Switch-Access-T8-09có nghĩa là
Switch thứ9 thuộc tầng làm việc số8
Tên port trên Switch sẽ được đặt như sau: Switch-Access-T8-09-portx. Trong đó x là sốthứtựport.
Trong phần này ta sẽtrình bày vềnội dung định danh có cấu trúc.
2.1.1. Không gian miền
Tên trong một hệthống được tổchức lại thành một không gian tên. Vậy thì tên trong định danh có cấu trúc mang ý nghĩa:
Tên bao gồm năm yếu tố: chức năng của tên, cấu trúc của tên, ý nghĩa của tên, thông tin mà tên chứa đựng, thời gian tồn tại của ý nghĩa của tên.
Chức năng của tên: Sửdụng để phân biệt một đối tượng từnhững đối tượng khác
Cấu trúc của tên: Tên có cấu trúc thực thếbao gồm nhiều trường (field). Các tên có thểcó cấu trúc giống nhau hoặc khác nhau.
Ý nghĩa của tên: Nếu một cái tên có ý nghĩa như nhau trong mọiứng dụng thì nó có thểgửi và nhận giữa cácứng dụng khác nhau mà không cần quan tâm đến vịtrí hiện tại của nóởtrong hệthống. Cácứng dụng phải đảm bảo rằng một cái tên mang ý nghĩa này trong mộtứng dụng
thì tất cảcác ứng dụng không thểnhận được ý nghĩa khác với cái tên giống như vậy.
Thông tin của tên: Tên chứa đựng thông tin về đối tượng như nghĩa, loại hoặc vịtrí. Việc đặt tên phải tối ưu đểtừtên của đổi tượng có thể lấy thông tin về đối tượng ngay lập tức mà không cần phải khó khăn để phân tích tên.
Thời gian tồn tại của ý nghĩa của tên: Nghĩa của tên có thể vẫn giữ nguyên khi ứng dụng thực thi hoặc nó có thể thay đổi dù ứng dụng không cho phép. Cần phải ngăn chặn việc thay đổi nghĩa của tên mà các trạm không nhận ra và cho phép kiểm tra xem ý nghĩa của tên có thay đổi hay không. Nếu tên thay đổi mà không được trạm đồng ý, cần có những kỹthuật định danh cho phép trạm xác định được rằng tên chỉ đến đúng đối tượng chúng cần.
Kỹthuật phân tích tên:
Closure machanism: là kĩ thuật cho ta biết quá trình tìm kiếm tên được bắt đầu như thếnào và bắt đầuở đâu. Một ví dụ cho trường hợp này là trên không gian tên của các thiết bị mạng trong hệ thống như Switch-Access-T8-09 điều này sẽcung cấp thông tin không rõ ràng nếu như ban đâu ta không biết đó là tên của Switch trong hệthống mạng. Thông tin nay đủ đểquản trịmạng biết cách xửlý nó như thế nào trong trường hợp cần tác động lên hệthống (Tham chiếu tài liệu 1. Distributed Systems Principles and Paradigms).
Linking: kĩ thuật này sửdụng bí danh (alias) - tên giống với tên của thực thể. Với kĩ thuật này cho phép nhiềuđường dẫn cùng tham chiếu đến cùng một nút trên đồthịtên. Một cách tiếp cận khác là dùng một nút lá không phải để lưu trữ địa chỉhay trạng thái của thực thể mà để lưu trữ đường dẫn tuyệt đối tới thực thể đó (Tham chiếu tài liệu 1. Distributed Systems Principles and Paradigms).
Mounting: là kĩ thuật được thực hiện khi tìm kiếm trên hai không gian tên. Một nút thư mục được gọi là một mount point (điểm gắn kết) lưu giữid (hoặc các thông tin cần thiết cho việc xác định và truy nhập) một nút thư mục bên phía không gian tên cần gắn kết được gọi là mounting point (Tham chiếu tài liệu 1. Distributed Systems Principles and Paradigms)
Tổchức không gian tên được xây dựng như hình dưới. Trong đó các thành phần bao gồm:
Hình 12: Mô tả tổ chức không gian tên
N0 là nút gốc của biểu đồ định danh chỉ có chiều đi mà không có chiều đến. Hầu hết các hệ đinh danh đều chỉcó một nút gốc duy nhất
N1 đón vai trò là nút lá của N0. Các nút lá nhỏ hơn n2, n3, n4 thể hiện là cá nút nhỏ hơn của N1. N1 được biểu trưng bởi ký tự “home” như vậy N2 sẽ được biểu diễn như sau: “/home/elke”
Trong cấu trúc cây các lá tiếp theo được thểhiện như ví dụsau:
Các biểu diễn thư mục mbox của steen là: /home/steem/mbox. Trong đó “/”được sử dụng làm biểu trưng cho thư mục gốc
Có nhiều cách khác nhau đểtổchức một không gian tên. Tuy nhiên trong khuôn khổ của giải pháp định danh toàn cục cho thiết bịmạng tôi chọn cấu trúc không gian tên chỉcó một nút gốc duy nhất. (adsbygoogle = window.adsbygoogle || []).push({});
2.1.2. Giải pháp miền
Ngày nay trong một tổchức việc nhận dạng các thiết bị và người dùng sửdụng theo tên miền rất phổbiến. Một trong những giải pháp hiện nay đang sửdụng nhiều đó là cấu trúc DNS. Một ví dụcho hệthống DNS trong cơ quan tổchức như sau:
STT Tên thiết bị Tên Domain IP
2 Switch-Core-T1-01 Switch-Core-T1-01.test.com 192.168.1.99 Như vậy thay vì phải nhớ địa chỉip của từng thiết bịSwitch ta sửdụng thông tin DNS phân giải ip thiết bịtrên hệthống.
2.1.3. Định danh toàn cục trong quản trịmạng
Dựa trên cơ chếhỗtrợgán tĩnh người dùng trên cổng mạng, giải pháp đưa ra làxây dựng một cơ chế định danh người dùng trên cổng mạng, nhờ đó bài toán quản trị thiết bịkết nối vào hệthống được giải quyết.
Cơ chế định danh được mô tả như hình dưới:
Hình 13: Cơ chế định danh người dùng trên cổng mạng - Máy tính người dùng được gán vào cổng mạng theo địa chỉMac.
- Trên thiết bịchuyển mạch chỉ duy nhất địa chỉ Mac được gán trên một cổng mạng. Chính sách bảo mật trên thiết bị chuyển mạch hỗtrợkhông cho phép gán địa chỉ Mac đó vào một cổng khác. Như vậy hệthống hỗtrợ cơ chếgán một một giữa máy tính và cổng mạng
- Máy tính được định danhthông qua địa chỉMac là cách thức duy nhất hỗtrợ việc định danh người dùng trên hệthống mạng.
Giải pháp định danh toàn cục người dùng trên hệthống mạng là cách thức phù hợp cho bài toán quản trịmạng.
2.2. Kiểm soát hệthống mạng dựa trên định danh toàn cục
Dựa theo lý thuyết về định danh toàn cục đối với hệthống mạng việc định danh thiết bịchuyển mạch (Switch) là rất quan trọng. Cách phân loại phổbiến nhất hiện nay:
Phân loại theo hãng sản xuất. Ví dụ như Cisco, Juniper, HP… Đối với mỗi hãng sản xuất sẽcó kiến trúc tập lênh khác nhau đối với cấu hình Port Security
Cisco Port Security
Dưới đây là câu lệnh tham khảo của Cisco:
Command Purpose
Step 1 Router(config)# interface type1 slot/port Selects the LAN port to configure.
Note The port
can be a tunnel port or
a PVLAN
port.
Step 2 Router(config-if)# switchport Configures the port as a Layer 2 port.
Step 3 Router(config-if)# switchport mode access Configures the port as a Layer 2 access port. Note A port in the default mode (dynamic desirable) cannot be
configured as a secure port.
Step 4 Router(config-if)# switchport port- security
Enables port security on the port.
Step 5 Router(config-if)# do show port- securityinterface type1 slot/port | include Port Security
Verifies the configuration.
Bảng 2: Cấu hình và kiểm tra Port Security của Cisco Juniper Port Security (adsbygoogle = window.adsbygoogle || []).push({});
Dưới đây là ví dụtham khảo đềxuất vềport security của Juniper
Hình 14: Đề xuất giải pháp bảo mật của Juniper Cấu hình DHCP snooping trên VLAN:
[edit ethernet-switching-options secure-access-port] user@switch# set vlan employee-vlanexamine-dhcp
Cấu hình cho cổng kết nối tới DHCP server:
[edit ethernet-switching-options secure-access-port] user@switch# set interface ge-0/0/8dhcp-trusted
Cấu hình dynamic ARP:
[edit ethernet-switching-options secure-access-port] user@switch# set vlan employee-vlanarp-inspection
Cấu hình giới hạn số lượng Mac:
[edit ethernet-switching-options secure-access-port] user@switch# set interface ge-0/0/1mac-limit4 user@switch# set interface ge-0/0/2 mac-limit 4 Cấu hình gán MAC addresses vào cổng:
[edit ethernet-switching-options secure-access-port]
user@switch# set interface ge-0/0/2allowed-mac00:05:85:3A:82:80 user@switch# set interface ge-0/0/2 allowed-mac 00:05:85:3A:82:81 user@switch# set interface ge-0/0/2 allowed-mac 00:05:85:3A:82:83 user@switch# set interface ge-0/0/2 allowed-mac 00:05:85:3A:82:85 user@switch# set interface ge-0/0/2 allowed-mac 00:05:85:3A:82:88
Bảng 3: Cấu hình Port Security của Juniper
Phân loại theo tính năng yêu cầu của thiết bị trong hệ thống mạng. Đối với cách phân loại này thông thường nhất là phân loại theo mô hình 3 lớp:
Đối với mỗi lớp sẽcó các yêu cầu cấu hình chi tiết khác nhau.
2.2.1. Phân loại thiết bị trong hệ thống mạng
Dựa trên nghiên cứu về công nghệ của các hãng sản xuất khác nhau và tìm hiểu về yêu cầu tính năng khác nhau trên hệthông mạng. Việc phân loại thiết bịsẽ được phân loại theo: Theo chủng loại Theo vịtrí trên hệthống Core Switch Distribute Switch Access Switch
Theo vị trí đặt như tầng, phòng ban, tòa nhà….
2.2.2. Kiểm soát các thiết bị trong hệ thống mạngA. Kiểm soát người dùng thông qua port security A. Kiểm soát người dùng thông qua port security
Đối với hệthống chuyển mạch Switch cách thức để kiểm soát máy tính người dùng kết nối vào hệthống chính là Port security. Mô hình kiểm soát sẽ được hoạt động như sau:
Hình 16: Mô tả cách thức gán Mac của người dùng vào hệ thống Người dùng được khai báo thông tin Mac Pc trên hệthống
Người dùng được cấp phát tài nguyên port trên hệthống
Hệthống quản trịSwitch cấu hình gán Mac vào các cổng tương ứng trên các port Switch được cấp
Trường hợp người sửdụng khác vi phạm sửdụng sai vịtrí cổng được cấp phát Switch sẽchủ động chặn người dùng kết nối đến hệthống.
Cách thức chặn kết nối là một trong những cơ chếquan trọng của Switch. Dưới đây là một mô tảvềcách thức Switch làm việc đối với trường hơp người dùng sửdụng sai công kết nối được cấp. Khi nhận thấy địa chỉMac khác với thông tin được cung cấp của người dùng Switch sẽtiến hành ngăn chặn kết nối đến hệthống bằng cách đưa cổng kết nối vềtrạng thái err-disable.
SW1(config-if)#
%PM-4-ERR_DISABLE: psecure-violation error detected on Et0/0, putting Et0/0 in err-disable state
SW1(config-if)#
%PORT_SECURITY-2-PSECURE_VIOLATION: Security violation occurred, caused by MAC address 1234.5678.9abc on port Ethernet0/0.
%LINEPROTO-5-UPDOWN: Line protocol on Interface Ethernet0/0, changed state to down
SW1(config-if)# (adsbygoogle = window.adsbygoogle || []).push({});
%LINK-3-UPDOWN: Interface Ethernet0/0, changed state to down
B. Kiểm soát người dùng thông qua tích hợp 802.1x với NAC
Sau khi được chính sách port security cho phép kết nối vào hệthống người dùng sẽ bắt buộc phải thỏa mãn các tiêu chí sauđể được phép vào hệthống:
- Kiểm soát tuân thủ cài đặt phần mềm: cung cấp danh sách các phần mềm bắt buộc phải cài đặt trển hê thống
- Kiểm soát cập nhật bản vá: cung cấp khả năng yêu cầu cập nhật bản vá của hệ điều hành, phần mềm diệt virust
- Kiểm soát danh tính người dùng: yêu cầu bắt buộc để truy cập được vào hệ thống là người dùng phải có thông tin tài khoản trên hệ thống, máy tính của người dùng phải nằm trong hệthống.
- Hỗtrợphân loại máy tính người dùng kết nối đến hệthống theo phiên bản hệ điều hành: Window, Linux, Mac, android, IOS
Hình 18. Hệ thống kiểm soát truy cập sử dụng mô hình client server Agent được cài đặt trên máy tính người dùng nhằm mục đích cung cấp thông
tin của máy người dùng đến server
Người dùng sẽsửdụng giao tiếp EAP/802.1x cung cấp thông tin đến máy chủ thông qua hệthống Switch đã tích hợp với máy chủ.
Cơ chếxác thực được sửdụng là chuẩn xác thực Radius
Đối với giải pháp này Switch cũng đóng vai trò như một client của máy chủ NAC. Theo đó Switch cung cấp thông tin của người dùng đến máy chủ. Máy tính người dùng sau khi thỏa mãn các tiêu chí nêu trên sẽ được phép truy
CHƯƠNG 3: ỨNG DỤNG QUẢN TRỊ MẠNG DỰA TRÊN ĐỊNH DANH TOÀN CỤC
3.1. Kiểm soát truy cập cổng mạng
Ứng dụng kiểm soát truy cập qua cổng mạng được xây dựng dựa trên hai yêu tố Kiểm soát truy cập dựa trênứng dụng Port security
Đối với phương án thực hiện này thiết bị đầu cuối được cung cấp cơ chế kiểm soát trên thiết bịchuyển mạch thông qua địa chỉ MAC. Theo đó địa chỉMAC của người dùng sẽ được gán vào các cổng mạng mà người dùng được cấp phát trên hệthống. Các cơ chế bảo vệ cho phép ngăn chặn kết nối của người dùng truy cập trái phép thông qua việc tạm thời ngắt hoạt động của cổng mạng ra khỏi hệthống Switch.
Kiểm soát truy cập dựa trênứng dụng của giao thức 802.1x
Yêu cầu thực hiện của việc này là bật cơ chếtích hợp 802.1x của cổng mạng trên thiết bị Switch. Đối với mô hình hoạt động này trong khuôn khổ của luận văn sẽ hỗ trợ người quản trị đưa mẫu cấu hình 802.1x sẵn có vào Switch thông qua cơ chế đẩy lệnh tự động lên thiết bị.
Hình 19: Mô hình hoạt động của NAC Mô hình hoạt động sẽ nhưsau:
Authentication server: sửdụng giải pháp NPS của Microsoft Switch
Người dùng: kết nối đến hệthống Switch
Ứng dụng đẩy lệnh sẽ thực hiện việc đẩy phần lệnh tích hợp cổng mạng với 802.1x như sau:
Như vậy đối với người dùng đểkết nối được đến hệthống bắt buộc phải thỏa mãn hai điều kiện:
Được định danh trên hệthống Switch
Xác thực thành công với máy chủxác thực trong hệthống
Hình 20: Mô hình xác thực kết hơp với ứngdụng quản trị
Đối với mô hình xác thực này người dùng sẽ được xác thực qua 02 pha xác thực đã nêu trên. Ưu điểm của bài toán quản trị là đảm bảo được cơ chếxác thực 02 bước trên hệ thống. Port Switch được thực hiện cấu hình một cách tự động giảm thiểu nguồn lực cho công tác quản trịmạng.
Giám sát truy cập cổng mạng
Bài toán giám sát hệ thống luôn là bài toán đau đầu của công tác quản trị mạng đặc biệt là đối với các hệ thống lớn. Với việc dữliệu hóa thông tin người dùng và cổng mạngứng dụng đã cho phép thống kê được thông tin tài nguyên cổng mạng được cấp
(adsbygoogle = window.adsbygoogle || []).push({});