Để đảm bảo an toàn trong quá trình trao đổi bản tin chứng thực giữa Client và AP không bị giải mã trộm, sửa đổi, người ta đưa ra EAP (Extensible Authentication Protocol) [6] - giao thức chứng thực mở rộng trên nền tảng của 802.1x.
Giao thức chứng thực mở rộng EAP là giao thức hỗ trợ, đảm bảo an ninh trong khi trao đổi các bản tin chứng thực giữa các bên bằng các phương thức mã hóa thông tin chứng thực. EAP có thể hỗ trợ, kết hợp với nhiều phương thức chứng thực của các hãng khác nhau, các loại hình chứng thực khác nhau ví dụ ngoài user/password như chứng thực bằng đặc điểm sinh học, bằng thẻ chip, thẻ từ, bằng khóa công khai, vv...Kiến trúc EAP cơ bản được chỉ ra ở hình 2.14, nó được thiết kế để vận hành trên bất cứ lớp đường dẫn nào và dùng bất cứ các phương pháp chứng thực nào.
Hình 2.12. Kiến trúc EAP cơ bản
Trong quá trình chứng thực sử dụng EAP, có 3 bên chính tham gia là:
- Máy Client/Máy xin chứng thực - Client/Supplicant: là các phần tử có nhu cầu cần chứng thực để thiết lập kết nối
- Tiếp nhận chứng thực – Authenticator: là các phần tử trung gian tiếp nhận nhu cầu chứng thực và trao đổi bản tin qua lại giữa Client và Server chứng thực. Phương thức trao đổi giữa Authenticator và Client gọi là EAPOL (EAP Over LAN) hoặc EAPOW (EAP Over Wireless).
TLS AKA/SIM Token card
802.11 802.3 PPP EAP Lớp liên kết Phương pháp
- Server chứng thực - Authentication Server: phần tử xử lý các yêu cầu chứng thực gửi đến, cấp phép hay từ chối. Nó không chỉ xử lý yêu cầu chứng thực của Client mà còn có thể gửi đến Client yêu cầu chứng thực bản thân nó. Server chứng thực có thể theo mô hình RADIUS Server hay Active Directory Server.
Hình 2.13. Quá trình chứng thực EAP
Các bước trao đổi theo thứ tự như sau:
1. Supplicant gửi bản tin EAPOL - Start tới Authenticator.
2. Authenticator ( chuyển mạch mạng ) gửi lại một khung EAP - Request / Identity tới Supplicant.
3. Supplicant trả lời bằng một khung EAP - Reponse / Identity. Sau đó Authenticator gửi đến RADIUS server một bản tin Radius - Access - Request.
4. RADIUS server trả lời bằng một bản tin Radius - Access - Challenge. Sau đó Authenticator gửi đến Supplicant một bản tin EAP - Request cho sự chứng thực hợp lệ chứa bất kỳ thông tin liên quan.
5. Supplicant tập hợp các thông tin trả lời từ người dùng và gửi một EAP (Reponse tới Authenticator). Tại đây thông t in xử lý thành bản tin Radius Access Request và được gửi tới RADIUS.
6. RADIUS server gửi một bản tin Radius Access Accept cho phép truy cập. Vì vậy, Authenticator gửi một khung EAP Success tới Supplicant. Khi đó cổng được mở và người dùng có thể bắt đầu truy cập vào mạng.
7. Khi Supplicant hoàn tất việc truy cập mạng, nó gửi một bản tin EAPOL -Logoff để đóng cổng.
Tóm lại về nguyên lý 3 bên thì cũng giống như nguyên lý 3 bên chứng thực đã đề cập ở phần giới thiệu RADIUS server, chỉ có điều khác là các hoạt động trao đổi bản tin qua lại đều thông qua EAP để đảm bảo an ninh.
2.4. Kết luận
Bảo mật mạng chính là ngăn chặn các hành động, truy nhập trái phép vào hệ thống mạng. Nội dung chương 2 trình bầy một số kiểu tấn công mạng như tấn công thụ động, tấn công chủ động... Với các kiểu tấn công này hacker có thể xâm nhập vào hệ thống mạng để thực hiện các hành vi trái phép. Có nhiều biện pháp và công cụ giúp người quản trị mạng để bảo vệ an toàn mạng trước các mối đe dọa này như các yêu cầu chứng thực, lọc, firewall…Mỗi biện pháp, công cụ chỉ giúp ngăn chặn đươc một số mối đe dọa an ninh mạng nào đó. Cách tốt nhất để nâng cao mức độ an toàn cho hệ thống mạng chính là bảo vệ theo chiều sâu đó là kết hợp nhiều mức, nhiều biện pháp, sử dụng nhiều công cụ bảo mật đồng thời trong một hệ thống mạng.
CHƯƠNG 3. GIẢI PHÁP BẢO MẬT 3.1. Vai trò của của mạng LAN trong giáo dục
Mạng cục bộ với sự kết hợp công nghệ có dây và không dây đã và đang đóng một phần quan trọng trong việc phát triển cơ sở hạ tầng công nghệ thông tin tại các trường học. Nó đặc biệt hữu ích đối với những môi trường giáo dục mong muốn mở rộng hệ thống mạng hiện hành của họ sang các khu vực mới xây dựng, bởi vì công nghệ WLAN chắc chắn sẽ là một cách thức hiệu quả nhất về chi phí cho việc mở rộng hệ thống mạng cũng như kéo theo nó là sự gia tăng đồng thời số lượng người sử dụng. Với mô hình kết hợp đan xen giữa mạng có dây và không dây đã đáp ứng được nhu cầu sử dụng thực tế đó là tính cơ động, thuận tiện bởi vì bất kỳ đâu trong không gian giáo dục người sử dụng làm việc, họ vẫn có thể sử dụng hệ thống mạng, đồng thời khả năng mở rộng phạm vi mạng đơn giản.
Việc trang bị hệ thống mạng LAN có sử dụng công nghệ không dây ở khu Trường Đại học cho ta khả năng tương tác nhiều hơn giữa những giảng viên và những sinh viên. Họ có thể truy cập thông tin và những ứng dụng mạng dễ dàng hơn, ở bất kỳ đâu trong khuôn viên của trường. Ngoài ra, nó còn khuyến khích sử dụng những máy tính xách tay có trang bị công nghệ không dây của chính sinh viên, làm tăng khả năng học tập nghiên cứu của họ cũng như không gian học tập không bị gò bó trong lớp học mà vẫn đạt hiệu quả cao.
Hình 3.1. Truy cập thông tin có thể thực hiện bất kỳ đâu trong khuôn viên với công nghệ WLAN
Lựa chọn giải pháp an toàn LAN cho khu trường học
An toàn luôn là một vấn đề quan trọng trong LAN, nhất là khi công nghệ không dây được sử dụng rộng rãi, tuy nhiên không có nghĩa là không thể triển khai một LAN an toàn. Bất kỳ mạng nào đều có những nguy cơ an toàn tiềm ẩn nếu như chúng ta không chú ý tới việc bảo vệ nó trước những tấn công. Đối với từng môi trường, mục đích sử dụng cụ thể, cần lựa chọn giải pháp an toàn phù hợp.
Hình 3.2. Mô hình mạng LAN với những phân đoạn mạng không dây và có dây đan xen, kết hợp chặt chẽ với những máy chủ chính sách và xác thực
Với sự phát triển của công nghệ LAN trong giai đoạn hiện nay, sử dụng công nghệ VPN cho mã hoá mạnh giữa LAN và mạng liên hợp cùng với triển khai xác thực để hỗ trợ kiểm soát truy cập sẽ cung cấp cho ta mức độ an toàn tốt nhất. Đây cũng chính là giải pháp được triển khai hầu hết ở các trường đại học có triển khai LAN.
3.2. Phân tích, đánh giá hiện trạng mạng cục bộ của Trường Đại học HảiDương Dương
Hệ thống mạng LAN của nhà trường hiện nay được bố trí như hình 3.3, có hơn 200 máy tính hoạt động cùng một lớp mạng, là một hệ thống mạng cỡ trung bình. Với hơn 200 máy tính hoạt động trong cùng một lớp mạng thì mạng có miền quảng bá (broadcast domain) rất lớn, trong một miền quảng bá mỗi bản tin quảng bá (broadcast) đều được gửi đến tất các các máy tính. Miền quảng bá lớn dẫn tới lưu lượng quảng bá trong mạng lớn, nó ảnh hưởng đến lưu lượng của ứng dụng khác, cụ thể là tốc độ của ứng dụng bị chậm lại. Trong một miền quảng bá một máy có thể gửi bản tin đến tất cả các máy khác, do đó miền quảng bá lớn sẽ làm tăng tốc độ lây lan virus trong mạng. Miền quảng bá lớn làm nguy cơ khi có virus mới xuất hiện thì hệ thống mạng có thể bị lây nhiễm rất nhanh và khó kiểm soát, ngăn chặn. Đôi khi chỉ cần một máy tính trong mạng bị nhiễm virus là có thể chiếm toàn bộ băng thông của mạng dẫn đến hệ thống mạng bị ngưng trệ. (adsbygoogle = window.adsbygoogle || []).push({});
Với mô hình mạng LAN của trường hiện nay thì mức độ an toàn là rất thấp do mọi thông tin ra vào mạng chỉ chịu sự quản lý của router với hàng rào ngăn chặn là tường lửa được tích hợp sẵn. Các tin tặc, virus có thể dễ dàng vượt qua rào cản này để xâm nhập vào hệ thống mạng nội bộ. Mặt khác các điểm truy cập không dây trong hệ thống mạng không áp dụng các biện pháp bảo mật, không có hệ thống quản lý, chứng thực tập trung nên rất khó quản lý, mất an toàn.
Hệ thống mạng LAN của nhà trường hiện nay chưa được trang bị máy chủ do vậy không quản lý, kiểm soát được hoạt động của các máy tính trong mạng. Các máy tính trong mạng chưa được cài đặt đồng bộ các biện pháp bảo vệ như firewal, các chương trình diệt virus, cập nhật thường xuyên các bản sửa lỗi của hệ điều hành, các cảnh báo hướng dẫn người sử dụng…đây cũng là yếu tố mất an toàn cho hệ thống mạng.
Trong quá trình hoạt động hệ thống mạng LAN của nhà trường đã nhiều lần bị virus xâm nhập và phá hoại như làm cho nhiều máy tính trong mạng không thể
kết nối Internet, không hoạt động được, phá hoại dữ liệu trên các máy trong mạng… Nguyên nhân là do sự lây nhiễm giữa các máy tính trong mạng qua việc chia sẻ dữ liệu, lây nhiễm virus qua Internet khi truy cập vào các website, thư điện tử…có chứa virus.
3.3. Đề xuất thực thi bảo mật mạng cục bộ tại Trường Đại học Hải Dương Đại học Hải Dương
Nâng cấp hệ thống mạng cục bộ hiện tại của Trường Đại học Hải Dương để đáp ứng các yêu cầu sau:
- Đảm bảo cung cấp được khả năng truy cập tại các khu vực làm việc, trong khuôn viên Nhà trường.
- Cung cấp các thông tin, tài nguyên, các giao tiếp giữa sinh viên với nhà trường như kế hoạch thời khoá biểu, lịch thi, thông tin về điểm học tập thông qua cổng thông tin điện tử của nhà trường như Website.
- Phải có khả năng cung cấp dịch vụ Roaming (Người dùng mạng không dây có thể di truyển qua nhiều vùng phủ sóng của các Access Point khác nhau mà không bị ngắt quãng truy cập).
- Đảm báo cung cấp các tính năng bảo mật phù hợp tin cậy để đảm bảo an toàn thông tin cho toàn bộ hệ thống cơ sở dữ liệu quan trọng của trường.
3.3.1. Đề xuất mô hình mạng LAN mới
Phần cứng:
Như đã nêu ở phần trước một trong những nhược điểm lớn của hệ thống mạng hiện tại của Trường là miền quảng bá lớn và mức an toàn thấp, việc áp dụng công nghệ VLAN sẽ giải quyết được nhược điểm này. VLAN được sử dụng cho các mục đích sau: Tăng cuờng bảo mật, quản lí; VLAN giúp tăng hiệu suất mạng LAN cỡ trung bình và lớn vì nó tiết kiệm băng thông của hệ thống mạng. VLAN chia mạng LAN thành nhiều đoạn (segment) nhỏ, mỗi đoạn đó là một miền quảng bá. Khi có gói tin quảng bá, nó sẽ được truyền duy nhất trong VLAN tương ứng. Do đó việc chia VLAN giúp tiết kiệm băng thông của hệ thống mạng, đồng thời cũng tăng khả năng bảo mật do các thiết bị ở các VLAN khác nhau có thể hạn chế truy nhập vào nhau.
Quản lý tập trung bằng hệ thống máy chủ Domain Controllers kết hợp sever proxy để cache và quản lý truy cập.
Phần mềm:
Sử dụng Windows Server 2008 với các công cụ quản lý và bảo mật như Active Directory, Windows Firewall with Advanced Security, Network Policy Server… để kiểm soát toàn bộ hoạt động của các máy tính trong hệ thống mạng.
Sử dụng phần mềm tường lửa của Windows, ZoneAlarm Free Antivirus + Firewall trên các máy trạm.
Hình 3.4. Sơ đồ hệ thống mạng LAN mới Phân cấp và quản lý hệ thống mạng mới:
VLAN Hiệu bộ: Bao gồm tất cả các máy tính của các phòng chức năng. VLAN Giảng viên1 và VLAN Giảng viên2: Bao gồm tất cả các máy tính của các khoa, các trung tâm.
VLAN wifi-gv: Bao gồm tất cả các máy tính của giảng viên truy cập qua wifi. VLAN wifi-sv: Bao gồm tất cả các máy tính của sinh viên, của khách truy cập qua wifi.
Việc chia VLAN như trên giúp quản lý băng thông của các nhóm sử dụng dễ dàng, tăng cường bảo mật và giảm nguy cơ lây nhiễm virus.
Người dùng cũng như các máy trong mạng đều có tài khoản riêng với mật khẩu khác nhau. Mật khẩu tối thiểu từ 8 kí tự trở lên bao gồm cả chữ số và chữ cái.
Quản lý tập trung và phân quyền truy cập các tài nguyên trên mạng đối với tất cả người sử dụng và máy tính trong mạng.
Thiết lập để thường xuyên cập nhật các bản vá lỗi Windows, phần mềm diệt vius, sao lưu dự phòng…
Các thiết bị sử dụng trong mạng: Router Cisco 1941/K9:
Bảng 3.1. Các thông số của Router Cisco 1941/K9
Item Specification
Routing Protocol OSPF, IS-IS, BGP, EIGRP, DVMRP, PIM-SM, IGMPv3, GRE, PIM-SSM, static IPv4 routing, static IPv6 routing
Data Link Protocol Ethernet, Fast Ethernet, Gigabit Ethernet Network / Transport Protocol IPSec
Remote Management Protocol SNMP, RMON (adsbygoogle = window.adsbygoogle || []).push({});
Features
Cisco IOS IP Base , firewall protection, VPN support, MPLS support, Syslog support, IPv6 support, Class-Based Weighted Fair Queuing (CBWFQ), Weighted Random Early Detection (WRED)
Compliant Standards IEEE 802.3ah, IEEE 802.1ah, IEEE 802.1ag
Wireless-N Access Point with Dual-Band WAP610N: Bảng 3.2. Các thông số của WAP610N
Wireless Security WEP, Wi-Fi Protected Access™ 2 (WPA2), Wireless MAC Filtering, Firewall, SPI
Security Key Bits Up to 128-Bit Encryption
Certification FCC, UL/cUL, ICES-003, RSS210
Wi-Fi (IEEE 802.11a/b/g/draft n), WPA2™ Wi-Fi Protected Setup™,WMMR, CE
Thiết bị chuyển mạch Cisco Catalyst 3560
Giúp có thể duy trì sự đơn giản của chuyển mạch LAN mà vẫn triển khai được các dịch vụ thông minh trên toàn mạng.
Hệ thống máy chủ: Quản lý tập trung toàn hệ thống mạng.
3.3.2. Các bước thực thi bảo mật hệ thống
Phần này trình bày các bước thực thi an toàn bảo mật và các biện pháp nhằm tăng cường tính an toàn, bảo mật cho hệ thống mạng LAN tại trường theo các mức khác nhau. Để có được các chính sách bảo mật đem lại hiệu quả cao, cần xác định rõ các nhân tố tối thiểu về an toàn bảo mật cho hệ thống mạng của Trường cùng với các kiến thức quản trị và kỹ năng để thực hiện các hoạt động tăng cường an toàn bảo mật.
Các hoạt động bảo mật ở mức một
Ở mức một, người thực thi bảo mật, quản trị hệ thống và mạng thực hiện làm cho môi trường mạng, máy tính ít bị lỗ hổng bảo mật hơn vì đã được sửa lỗi bằng các bản sửa lỗi hoặc bằng các biện pháp kỹ thuật. Thực hiện các cảnh báo ngay lập tức (trực tuyến) để nhắc nhở, thông báo mỗi người dùng trong mạng các quy tắc sử dụng mỗi khi truy nhập vào hệ thống mạng của Trường. Xây dựng một mạng lưới bảo vệ, lọc, phát hiện và tiêu diệt virus, Spyware, Troyjan trên tất cả các máy trạm, máy chủ, và các cổng kết nối mạng (gateway). Đảm bảo cập nhật thường xuyên các phần mềm diệt virus.
Đảm bảo rằng hệ thống sao lưu dữ liệu hoạt động định kỳ, các tập tin có thể được khôi phục từ các bản sao lưu định kỳ đó, người quản trị hệ thống có đủ kiến thức cập nhật cần thiết để thực hiện sao lưu trên tất cả các hệ thống ngay lập tức trong trường hợp bị tấn công. Nếu không có dữ liệu được sao lưu tốt, một vấn đề nhỏ trong an toàn bảo mật có thể trở thành thảm họa.
Cho phép ghi nhật ký các sự kiện, hoạt động của người dùng khi đăng nhập vào hệ thống. Hệ thống nếu không có cơ chế ghi nhật thì nó gây khó khăn cho việc phát hiện và khắc phục các vụ tấn công.
Thực thi xác thực hệ thống, kiểm tra để kiểm soát người sử dụng hệ thống. Chống lại kẻ tấn công giả danh người sử dụng đăng nhập vào hệ thống và chiếm quyền điều khiển hệ thống.