Ngày nay trong một tổchức việc nhận dạng các thiết bị và người dùng sửdụng theo tên miền rất phổbiến. Một trong những giải pháp hiện nay đang sửdụng nhiều đó là cấu trúc DNS. Một ví dụcho hệthống DNS trong cơ quan tổchức như sau:
STT Tên thiết bị Tên Domain IP
2 Switch-Core-T1-01 Switch-Core-T1-01.test.com 192.168.1.99 Như vậy thay vì phải nhớ địa chỉip của từng thiết bịSwitch ta sửdụng thông tin DNS phân giải ip thiết bịtrên hệthống.
2.1.3. Định danh toàn cục trong quản trịmạng
Dựa trên cơ chếhỗtrợgán tĩnh người dùng trên cổng mạng, giải pháp đưa ra làxây dựng một cơ chế định danh người dùng trên cổng mạng, nhờ đó bài toán quản trị thiết bịkết nối vào hệthống được giải quyết.
Cơ chế định danh được mô tả như hình dưới:
Hình 13: Cơ chế định danh người dùng trên cổng mạng - Máy tính người dùng được gán vào cổng mạng theo địa chỉMac.
- Trên thiết bịchuyển mạch chỉ duy nhất địa chỉ Mac được gán trên một cổng mạng. Chính sách bảo mật trên thiết bị chuyển mạch hỗtrợkhông cho phép gán địa chỉ Mac đó vào một cổng khác. Như vậy hệthống hỗtrợ cơ chếgán một một giữa máy tính và cổng mạng
- Máy tính được định danhthông qua địa chỉMac là cách thức duy nhất hỗtrợ việc định danh người dùng trên hệthống mạng.
Giải pháp định danh toàn cục người dùng trên hệthống mạng là cách thức phù hợp cho bài toán quản trịmạng.
2.2. Kiểm soát hệthống mạng dựa trên định danh toàn cục
Dựa theo lý thuyết về định danh toàn cục đối với hệthống mạng việc định danh thiết bịchuyển mạch (Switch) là rất quan trọng. Cách phân loại phổbiến nhất hiện nay:
Phân loại theo hãng sản xuất. Ví dụ như Cisco, Juniper, HP… Đối với mỗi hãng sản xuất sẽcó kiến trúc tập lênh khác nhau đối với cấu hình Port Security
Cisco Port Security
Dưới đây là câu lệnh tham khảo của Cisco:
Command Purpose
Step 1 Router(config)# interface type1 slot/port Selects the LAN port to configure.
Note The port
can be a tunnel port or
a PVLAN
port.
Step 2 Router(config-if)# switchport Configures the port as a Layer 2 port.
Step 3 Router(config-if)# switchport mode access Configures the port as a Layer 2 access port. Note A port in the default mode (dynamic desirable) cannot be
configured as a secure port.
Step 4 Router(config-if)# switchport port- security
Enables port security on the port.
Step 5 Router(config-if)# do show port- securityinterface type1 slot/port | include Port Security
Verifies the configuration.
Bảng 2: Cấu hình và kiểm tra Port Security của Cisco Juniper Port Security
Dưới đây là ví dụtham khảo đềxuất vềport security của Juniper
Hình 14: Đề xuất giải pháp bảo mật của Juniper Cấu hình DHCP snooping trên VLAN: (adsbygoogle = window.adsbygoogle || []).push({});
[edit ethernet-switching-options secure-access-port] user@switch# set vlan employee-vlanexamine-dhcp
Cấu hình cho cổng kết nối tới DHCP server:
[edit ethernet-switching-options secure-access-port] user@switch# set interface ge-0/0/8dhcp-trusted
Cấu hình dynamic ARP:
[edit ethernet-switching-options secure-access-port] user@switch# set vlan employee-vlanarp-inspection
Cấu hình giới hạn số lượng Mac:
[edit ethernet-switching-options secure-access-port] user@switch# set interface ge-0/0/1mac-limit4 user@switch# set interface ge-0/0/2 mac-limit 4 Cấu hình gán MAC addresses vào cổng:
[edit ethernet-switching-options secure-access-port]
user@switch# set interface ge-0/0/2allowed-mac00:05:85:3A:82:80 user@switch# set interface ge-0/0/2 allowed-mac 00:05:85:3A:82:81 user@switch# set interface ge-0/0/2 allowed-mac 00:05:85:3A:82:83 user@switch# set interface ge-0/0/2 allowed-mac 00:05:85:3A:82:85 user@switch# set interface ge-0/0/2 allowed-mac 00:05:85:3A:82:88
Bảng 3: Cấu hình Port Security của Juniper
Phân loại theo tính năng yêu cầu của thiết bị trong hệ thống mạng. Đối với cách phân loại này thông thường nhất là phân loại theo mô hình 3 lớp:
Đối với mỗi lớp sẽcó các yêu cầu cấu hình chi tiết khác nhau.
2.2.1. Phân loại thiết bị trong hệ thống mạng
Dựa trên nghiên cứu về công nghệ của các hãng sản xuất khác nhau và tìm hiểu về yêu cầu tính năng khác nhau trên hệthông mạng. Việc phân loại thiết bịsẽ được phân loại theo: Theo chủng loại Theo vịtrí trên hệthống Core Switch Distribute Switch Access Switch
Theo vị trí đặt như tầng, phòng ban, tòa nhà….
2.2.2. Kiểm soát các thiết bị trong hệ thống mạngA. Kiểm soát người dùng thông qua port security A. Kiểm soát người dùng thông qua port security
Đối với hệthống chuyển mạch Switch cách thức để kiểm soát máy tính người dùng kết nối vào hệthống chính là Port security. Mô hình kiểm soát sẽ được hoạt động như sau:
Hình 16: Mô tả cách thức gán Mac của người dùng vào hệ thống Người dùng được khai báo thông tin Mac Pc trên hệthống
Người dùng được cấp phát tài nguyên port trên hệthống
Hệthống quản trịSwitch cấu hình gán Mac vào các cổng tương ứng trên các port Switch được cấp
Trường hợp người sửdụng khác vi phạm sửdụng sai vịtrí cổng được cấp phát Switch sẽchủ động chặn người dùng kết nối đến hệthống.
Cách thức chặn kết nối là một trong những cơ chếquan trọng của Switch. Dưới đây là một mô tảvềcách thức Switch làm việc đối với trường hơp người dùng sửdụng sai công kết nối được cấp. Khi nhận thấy địa chỉMac khác với thông tin được cung cấp của người dùng Switch sẽtiến hành ngăn chặn kết nối đến hệthống bằng cách đưa cổng kết nối vềtrạng thái err-disable.
SW1(config-if)#
%PM-4-ERR_DISABLE: psecure-violation error detected on Et0/0, putting Et0/0 in err-disable state
SW1(config-if)#
%PORT_SECURITY-2-PSECURE_VIOLATION: Security violation occurred, caused by MAC address 1234.5678.9abc on port Ethernet0/0.
%LINEPROTO-5-UPDOWN: Line protocol on Interface Ethernet0/0, changed state to down
SW1(config-if)#
%LINK-3-UPDOWN: Interface Ethernet0/0, changed state to down
B. Kiểm soát người dùng thông qua tích hợp 802.1x với NAC (adsbygoogle = window.adsbygoogle || []).push({});
Sau khi được chính sách port security cho phép kết nối vào hệthống người dùng sẽ bắt buộc phải thỏa mãn các tiêu chí sauđể được phép vào hệthống:
- Kiểm soát tuân thủ cài đặt phần mềm: cung cấp danh sách các phần mềm bắt buộc phải cài đặt trển hê thống
- Kiểm soát cập nhật bản vá: cung cấp khả năng yêu cầu cập nhật bản vá của hệ điều hành, phần mềm diệt virust
- Kiểm soát danh tính người dùng: yêu cầu bắt buộc để truy cập được vào hệ thống là người dùng phải có thông tin tài khoản trên hệ thống, máy tính của người dùng phải nằm trong hệthống.
- Hỗtrợphân loại máy tính người dùng kết nối đến hệthống theo phiên bản hệ điều hành: Window, Linux, Mac, android, IOS
Hình 18. Hệ thống kiểm soát truy cập sử dụng mô hình client server Agent được cài đặt trên máy tính người dùng nhằm mục đích cung cấp thông
tin của máy người dùng đến server
Người dùng sẽsửdụng giao tiếp EAP/802.1x cung cấp thông tin đến máy chủ thông qua hệthống Switch đã tích hợp với máy chủ.
Cơ chếxác thực được sửdụng là chuẩn xác thực Radius
Đối với giải pháp này Switch cũng đóng vai trò như một client của máy chủ NAC. Theo đó Switch cung cấp thông tin của người dùng đến máy chủ. Máy tính người dùng sau khi thỏa mãn các tiêu chí nêu trên sẽ được phép truy
CHƯƠNG 3: ỨNG DỤNG QUẢN TRỊ MẠNG DỰA TRÊN ĐỊNH DANH TOÀN CỤC
3.1. Kiểm soát truy cập cổng mạng
Ứng dụng kiểm soát truy cập qua cổng mạng được xây dựng dựa trên hai yêu tố Kiểm soát truy cập dựa trênứng dụng Port security
Đối với phương án thực hiện này thiết bị đầu cuối được cung cấp cơ chế kiểm soát trên thiết bịchuyển mạch thông qua địa chỉ MAC. Theo đó địa chỉMAC của người dùng sẽ được gán vào các cổng mạng mà người dùng được cấp phát trên hệthống. Các cơ chế bảo vệ cho phép ngăn chặn kết nối của người dùng truy cập trái phép thông qua việc tạm thời ngắt hoạt động của cổng mạng ra khỏi hệthống Switch.
Kiểm soát truy cập dựa trênứng dụng của giao thức 802.1x
Yêu cầu thực hiện của việc này là bật cơ chếtích hợp 802.1x của cổng mạng trên thiết bị Switch. Đối với mô hình hoạt động này trong khuôn khổ của luận văn sẽ hỗ trợ người quản trị đưa mẫu cấu hình 802.1x sẵn có vào Switch thông qua cơ chế đẩy lệnh tự động lên thiết bị.
Hình 19: Mô hình hoạt động của NAC Mô hình hoạt động sẽ nhưsau:
Authentication server: sửdụng giải pháp NPS của Microsoft Switch
Người dùng: kết nối đến hệthống Switch
Ứng dụng đẩy lệnh sẽ thực hiện việc đẩy phần lệnh tích hợp cổng mạng với 802.1x như sau:
Như vậy đối với người dùng đểkết nối được đến hệthống bắt buộc phải thỏa mãn hai điều kiện:
Được định danh trên hệthống Switch
Xác thực thành công với máy chủxác thực trong hệthống
Hình 20: Mô hình xác thực kết hơp với ứngdụng quản trị
Đối với mô hình xác thực này người dùng sẽ được xác thực qua 02 pha xác thực đã nêu trên. Ưu điểm của bài toán quản trị là đảm bảo được cơ chếxác thực 02 bước trên hệ thống. Port Switch được thực hiện cấu hình một cách tự động giảm thiểu nguồn lực cho công tác quản trịmạng.
Giám sát truy cập cổng mạng
Bài toán giám sát hệ thống luôn là bài toán đau đầu của công tác quản trị mạng đặc biệt là đối với các hệ thống lớn. Với việc dữliệu hóa thông tin người dùng và cổng mạngứng dụng đã cho phép thống kê được thông tin tài nguyên cổng mạng được cấp phát.
Quản lý truy cập cổng mạng
Bài toán quản lý và vận hành được giải quyết nhờvào việc tự động hóa công tác cấu hình cung cấp kết nối của người dùng đến hệthống Switch.
Các thông tin cấu hình được xây dựng theo dạng mẫu cấu hình dành riêng cho các chính sách khác nhau. Thông tin cấu hìnhđược chia thành 03 phần chính: (adsbygoogle = window.adsbygoogle || []).push({});
Cấu hình chung
Cấu hình Port Security Cấu hình 802.1x
3.2. Xây dựng hệ cơ sởdữliệu cổng mạng và thiết bịmạng3.2.1. Hệ cơ sởdữliệu thiết bịchuyển mạch 3.2.1. Hệ cơ sởdữliệu thiết bịchuyển mạch
Trước tiên để quản lý được một khối lượng lớn các thiết bị mạng điều bắt buộc là phải xây dựng được hệthống quy tắc đặt tên cho toàn bộhệthống. Ngoài ra đểviệc kết nối quản trị được nhanh gọn cần phải có cơ chế phân giải tên DNS cho hệthống Switch. Điều quan trọng tiếp theo đó chính là thông tin quản trịcủa thiết bi Switch. Do vậy hệ cơ sởdữliệu thiết bịchuyển mạch bắt buộc phải có các thông tin:
Tên Switch Ip Switch
Về cơ chế đặttên cho Swith thông thường sẽ được đặt theo quy tắc sau: [Vịtrí] [Switch][Loại thiết bị][Tầng/phòng ban][Sốthứtự]
Vị trí thông thường được đặt theo vị trí địa lý của thiết bị như HaNoi, DaNang,…
Loại thiết bị: chính là vai trò của thiết bịtrong hệthống như Core, Distribute, Access
Tầng/Phòng ban tùy thuộc vào cơ cấu có thể đặt theo tầng hoặc phòng ban Sốthứtự
Ví dụ: HaNoi-Switch-Access-T9-09
Tuy nhiên tùy vào đặc thù của các hệthống thiết bịmạng khác nhau có thểtùy biến thoogn tin các trường khác nhau:
Ví dụ cách đặt tên thiết bịtại Tổng cục thuế:
STT Tên Thiết Bị IP 1 HO-CORE-SW 10.1.123.1 2 HO-T6-DIST-01 10.1.123.2 3 HO-T6-DIST-02 10.1.123.3 4 HO-T7-DIST-01 10.1.123.4 5 HO-T7-DIST-02 10.1.123.5 6 HO-T1-DIST-01 10.1.123.6 7 HO-T1-DIST-02 10.1.123.7 1 SW-T6-DATA-01 10.1.123.11 2 SW-T6-DATA-02 10.1.123.12 3 SW-T6-DATA-03 10.1.123.13
4 SW-T6-DATA-04 10.1.123.14 5 SW-T6-DATA-05 10.1.123.15 6 SW-T6-DATA-06 10.1.123.16 7 SW-T6-DATA-07 10.1.123.17 8 SW-T6-DATA-08 10.1.123.18 9 SW-T6-DATA-09 10.1.123.19 10 SW-T6-DATA-10 10.1.123.20 11 SW-T6-DATA-11 10.1.123.21 12 SW-T6-DATA-12 10.1.123.22 13 SW-T6-DATA-13 10.1.123.23 14 SW-T6-DATA-14 10.1.123.24 15 SW-T6-DATA-15 10.1.123.25 16 SW-T6-DATA-16 10.1.123.26 17 SW-T6-DATA-17 10.1.123.27 1 SW-T6-VOICE-01 10.1.123.21 2 SW-T6-VOICE-02 10.1.123.22 3 SW-T6-VOICE-03 10.1.123.23 4 SW-T6-VOICE-04 10.1.123.24 5 SW-T6-VOICE-05 10.1.123.25 6 SW-T6-VOICE-06 10.1.123.26 7 SW-T6-VOICE-07 10.1.123.27 8 SW-T6-VOICE-08 10.1.123.28 9 SW-T6-VOICE-09 10.1.123.29
10 SW-T6-VOICE-10 10.1.123.30 11 SW-T6-VOICE-11 10.1.123.31 12 SW-T6-VOICE-12 10.1.123.32 13 SW-T6-VOICE-13 10.1.123.33 14 SW-T6-VOICE-14 10.1.123.34 15 SW-T6-VOICE-15 10.1.123.35 16 SW-T6-VOICE-16 10.1.123.36 17 SW-T6-VOICE-17 10.1.123.37 1 SW-T7-DATA-01 10.1.123.41 2 SW-T7-DATA-02 10.1.123.42 3 SW-T7-DATA-03 10.1.123.43 4 SW-T7-DATA-04 10.1.123.44 5 SW-T7-DATA-05 10.1.123.45 6 SW-T7-DATA-06 10.1.123.46 7 SW-T7-DATA-07 10.1.123.47 8 SW-T7-DATA-08 10.1.123.48 9 SW-T7-DATA-09 10.1.123.49 10 SW-T7-DATA-10 10.1.123.50 11 SW-T7-DATA-11 10.1.123.51 12 SW-T7-DATA-12 10.1.123.52 13 SW-T7-DATA-13 10.1.123.53 14 SW-T7-DATA-14 10.1.123.54 15 SW-T7-DATA-15 10.1.123.55
16 SW-T7-DATA-16 10.1.123.56 17 SW-T7-DATA-17 10.1.123.57 18 SW-T7-DATA-18 10.1.123.58 1 SW-T7-VOICE-01 10.1.123.71 2 SW-T7-VOICE-02 10.1.123.72 3 SW-T7-VOICE-03 10.1.123.73 4 SW-T7-VOICE-04 10.1.123.74 5 SW-T7-VOICE-05 10.1.123.75 6 SW-T7-VOICE-06 10.1.123.76 7 SW-T7-VOICE-07 10.1.123.77 8 SW-T7-VOICE-08 10.1.123.78 9 SW-T7-VOICE-09 10.1.123.79 10 SW-T7-VOICE-10 10.1.123.80 11 SW-T7-VOICE-11 10.1.123.81 12 SW-T7-VOICE-12 10.1.123.82 13 SW-T7-VOICE-13 10.1.123.83 14 SW-T7-VOICE-14 10.1.123.84 15 SW-T7-VOICE-15 10.1.123.85 16 SW-T7-VOICE-16 10.1.123.86 17 SW-T7-VOICE-17 10.1.123.87 1 SW-T1-DATA-01 10.1.123.101 2 SW-T1-DATA-02 10.1.123.102
3 SW-T1-DATA-03 10.1.123.103 4 SW-T1-DATA-04 10.1.123.104 5 SW-T1-DATA-05 10.1.123.105 6 SW-T1-DATA-06 10.1.123.106 7 SW-T1-DATA-07 10.1.123.107 8 SW-T1-DATA-08 10.1.123.108 9 SW-T1-DATA-09 10.1.123.109 1 SW-T1-VOICE-01 10.1.123.111 2 SW-T1-VOICE-02 10.1.123.112 3 SW-T1-VOICE-03 10.1.123.113 4 SW-T1-VOICE-04 10.1.123.114 5 SW-T1-VOICE-05 10.1.123.115 6 SW-T1-VOICE-06 10.1.123.116 7 SW-T1-VOICE-07 10.1.123.117 8 SW-T1-VOICE-08 10.1.123.118
Bảng 4: Ví dụ thực tiễn về cách đặt tên thiết bị chuyển mạch tại Tổng cục thuế
3.2.2. Hệ cơ sởdữliệu cổng mạng
Để quản trị thông tin cấu hình trên cổng mạng điều cần thiết là phải xây dựng hệ thống cơ sởdữliệu cổng mạng. Thông tin cổng mạng được tạo ra trong quá trình khai báo thông tin người dùng. Như vậy hệ cơ sởdựliệu cổng mạng đáp ứng được 2 tiêu chí vềquản trị:
Vận hành: Hỗ trợ ứng dụng đẩy thông tin cấu hình xuống đúng cổng mạng trên Switch
3.3. Mô tả ứng dụng
Ứng dụng được phát triển trên nền tảng PHP bao gồm các thành phần sau: Hệ cơ sởdữliệu thiết bịchuyển mạch(xây dựng trên MSQL) Hệ cơ sởdữliệu người dùng(xây dựng trên MSQL)
Ứng dụng quản trịthiết bịchuyển mạch Cơ chếhoạt động củaứng dụng:
Khai báo thông tin của người sửdụng
Name: Tên người dùng
Username: Tên định danh người dùng trên hệthống Location: Vị trí người dùng. Ví dụ: Hà Nội, HồChí Minh
Department: Phòng, ban, khối của người dùng
Hình 21: Thông tin người dùng
(adsbygoogle = window.adsbygoogle || []).push({});