TÓM TẮT NỘI DUNG ĐỒ ÁN TỐT NGHIỆP
Bảo vệ truy cập mạng – NAP là một công nghệ mới ra đời của Microsoft với mục
đích kiểm soát quá trình kết nối vào hệ thống mạng nội bộ của các máy trạm. Khả năng áp
dụng của công nghệ NAP vào hệ thống mạng doanh nghiệp là rất lớn. Chính vì thế, đồ án
được thực hiện với mục đích tìm hiểu và triển khai công nghệ NAP để bảo vệ truy cập đối
với hệ thống mạng doanh nghiệp với những nội dung chính như sau:
Chương I: Vai trò của hệ thống mạng doanh nghiệp
•
•
•
Trình bày về sự phát triển Internet ở nước ta và các yêu cầu đặt ra với doanh nghiệp
trong tình hình mới.
Xác định vai trò, tầm quan trọng và các mối đe dọa gây mất an toàn của hệ thống
mạng doanh nghiệp. Từ đó cho thấy việc cần thiết phải quản lý truy cập hệ thống
mạng
Phân tích, lựa chọn công nghệ Microsoft NAP để thực hiện quản lý truy cập.
Chương II: Công nghệ Microsoft – NAP
Tập trung vào việc tìm hiểu công nghệ NAP: Cấu trúc hệ thống, cấu trúc các thành
phần trên NAP-Client và NAP-Server, nguyên lý hoạt động, các chức năng mà NAP hỗ trợ
cho hệ thống mạng để quản lý truy cập (IPSEC, 802.1X, VPN ...) và cách thức hoạt động
của các chức năng đó.
Chương III: Triển khai và phát triển NAP
•
•
•
•
Triển khai áp dụng công nghệ NAP vào hệ thống mạng doanh nghiệp: phân tích, đề
xuất mô hình triển khai tổng quát
Triển khai 5 phương pháp thực thi NAP áp dụng cho việc quản lý truy cập mạng:
Phương thức thực thi NAP-IPSEC, NAP-802.1X, NAP-DHCP, NAP-VPN, NAPTS Gateway.
Phát triển hệ thống NAP: Tạo ra một thành phần trong cấu trúc hệ thống NAP, thay
thế cho thành phần đã xây dựng sẵn đã tích hợp sẵn cùng Windows.
Nhận xét và đánh giá những điểm mạnh, điểm yếu của các mô hình triển khai NAP
được áp dụng trong hệ thống mạng doanh nghiệp.
Chương IV: Kết luận
•
•
Những kết quả đạt được và những hạn chế của đồ án
Hướng phát triển của đồ án trong tương lai.
Quản lý truy cập mạng dựa trên NAP
LỜI CẢM ƠN
Để có ngày hoàn thành đồ án tốt nghiệp này, con xin chân thành cảm ơn bố
mẹ đã tạo mọi điều kiện cho con ăn học, đã động viên và nâng đỡ con trong suốt
quá trình học tập.
Em xin cảm ơn thầy giáo, PGS.TS Phan Huy Khánh,đã tận tình chỉ dẫn, tạo
điều kiện cho em hoàn thành đồ án tốt nghiệp này.
Em xin cảm ơn các thầy, cô phụ trách giảng dạy đã tận tâm dạy dỗ em trong
suốt những năm học vừa qua.
Cuối cùng, xin cảm ơn công ty VSIC đã tạo điều kiện và giúp đỡ tôi trong
thời gian thực tập làm đồ án. Cảm ơn các bạn trong lớp đã trao đổi kinh nghiệm lập
trình, giúp đồ án hoàn thành được như ý.
Đà Nẵng,ngày 7 tháng 06 năm 2010
Người thực hiện
ễ
Sinh viên thực hiện: Trương Vĩnh Điển
Trang 2
Quản lý truy cập mạng dựa trên NAP
MỤC LỤC
DANH MỤC HÌNH ẢNH.........................................................................................5
DANH MỤC THUẬT NGỮ VÀ CÁC TỪ VIẾT TẮT..........................................7
LỜI NÓI ĐẦU ...........................................................................................................8
CHƯƠNG I. VAI TRÒ CỦA HỆ THỐNG MẠNG DOANH NGHIỆP ..............9
1.1.
Tình hình phát triển Internet ở Việt Nam. .....................................................9
1.2.
Hệ thống mạng doanh nghiệp – Vai trò và tầm quan trọng ........................10
1.3.
Những mối đe dọa đối với hệ thống mạng doanh nghiệp. ..........................11
1.4.
Các công nghệ quản lý truy cập mạng hiện nay..........................................12
CHƯƠNG II. CÔNG NGHỆ MICROSOFT – NAP............................................14
2.1.
Giới thiệu công nghệ NAP ..........................................................................14
2.2. Hệ thống mạng triển khai NAP ...................................................................17
2.2.1. Thành phần hệ thống mạng triển khai NAP .........................................17
2.2.2. Sự hoạt động giữa các thành phần trong hệ thống NAP.......................19
2.2.3. Cấu trúc của NAP – Client và NAP – Server .......................................22
2.3. Các phương thức thực thi NAP. ..................................................................29
2.3.1. Phương thức thực thi IPSec ..................................................................31
2.3.2. Phương thức thực thi 802.1X................................................................38
2.3.3. Phương thức thực thi VPN....................................................................44
2.3.4. Phương thức thực thi DHCP.................................................................49
2.3.5. Phương thức thực thi Terminal Services Gateway ...............................53
CHƯƠNG III. TRIỂN KHAI VÀ PHÁT TRIỂN NAP.......................................58
3.1. Triển khai phương thức thực thi IPSec........................................................59
3.1.1. Cài đặt và cấu hình Root CA trên máy chủ Domain Controller...........61
3.1.2. Cấu hình máy chủ NPS.........................................................................62
3.1.3. Kiểm tra sự hoạt động của NAP. ..........................................................65
3.2. Triển khai phương thức thực thi 802.1X .....................................................67
3.2.1. Cấu hình 802.1X Switch.......................................................................68
3.2.2. Cài đặt Enterprise Root CA trên máy chủ Domain Controller.............69
3.2.3. Cài đặt và cấu hình máy chủ NPS ........................................................69
3.2.4. Cấu hình máy trạm sử dụng 802.1X .....................................................74
3.3.
Triển khai phương thức thực thi DHCP, VPN và TS Gateway...................75
Sinh viên thực hiện: Trương Vĩnh Điển
Trang 3
Quản lý truy cập mạng dựa trên NAP
3.3.1.
3.3.2.
3.3.3.
Phương thức thực thi DHCP.................................................................75
Phương thức thực thi VPN....................................................................76
Phương thức thực thi TS Gateway........................................................78
3.4. Phát triển chương trình. ...............................................................................79
3.4.1. Môi trường phát triển:...........................................................................79
3.4.2. Phát triển hệ thống ................................................................................80
3.4.3. Thử nghiệm cặp SHA-SHV xây dựng..................................................83
3.5.
Nhận xét - Đánh giá.....................................................................................85
CHƯƠNG IV. KẾT LUẬN ....................................................................................86
4.1.
Kết quả đạt được của đồ án .........................................................................86
4.2.
Những mặt hạn chế......................................................................................86
4.3.
Hướng phát triển trong tương lai .................................................................86
TÀI LIỆU THAM KHẢO ......................................................................................88
Sinh viên thực hiện: Trương Vĩnh Điển
Trang 4
Quản lý truy cập mạng dựa trên NAP
DANH MỤC HÌNH ẢNH
Hình 2.1: Chức năng của NAP....................................................................................1
Hình 2.2:Cấu trúc và nguyên lý hoạt động của NAP..................................................1
Hình 2.3: Mô hình hệ thống mạng triển khai NAP.....................................................1
Hình 2.4: Sự liên hệ giữa các thành phần hệ thống NAP ...........................................1
Hình 2.5: Cấu trúc NAP-Client...................................................................................1
Hình 2.6: Cấu trúc NAP-Server ..................................................................................1
Hình 2.7: NAP-Client và NAP-Server trong hệ thống................................................1
Hình 2.8: Quá trình giao tiếp từ NAP-Client tới NAP-Server....................................1
Hình 2.9: Quá trình giao tiếp từ NAP-Server tới NAP-Client....................................1
Hình 2.10: Kiến trúc giao thức IPSec .........................................................................1
Hình 2.11: Các lớp mạng trong phương thức thực thi IPSec......................................1
Hình 2.12: Giao tiếp giữa các lớp mạng trong phương thức thực thi IPSec...............1
Hình 2.13: Nguyên lý hoạt động của phương thức thực thi IPSec .............................1
Hình 2.14:Các thành phần hệ thống xác thực 802.1X ................................................1
Hình 2.15: Nguyên lý hoạt động phương thức thực thi 802.1X .................................1
Hình 2.16: Sử dụng ACL trong phương thức thực thi 802.1X ...................................1
Hình 2.17: Sử dụng VLAN trong phương thức thực thi 802.1X ................................1
Hình 2.18: Nguyên lý VPN.........................................................................................1
Hình 2.19: Remote Access VPN.................................................................................1
Hình 2.20: Site-to-site VPN ........................................................................................1
Hình 2.21: Nguyên lý hoạt động phương thức thực thi VPN .....................................1
Hình 2.22: Nguyên lý hoạt động hệ thống DHCP ......................................................1
Sinh viên thực hiện: Trương Vĩnh Điển
Trang 5
Quản lý truy cập mạng dựa trên NAP
Hình 2.23: Nguyên lý hoạt động hệ thống DHCP Relay ............................................1
Hình 2.24: Nguyên lý hoạt động phương thức thực thi DHCP...................................1
Hình 2.25: Mô hình triển khai TS Gateway................................................................1
Hình 2.26: Nguyên lý hoạt động phương thức thực thi TS Gateway .........................1
Hình 3.1: Mô hình triển khai NAP cho hệ thống mạng doanh nghiệp .......................1
Hình 3.2: Mô hình triển khai phương thức thực thi IPSec..........................................1
Hình 3.3: Cấu hình Root CA trong phương thức IPSec .............................................1
Hình 3.4: Cài đặt NPS và SubOrdinate CA ................................................................1
Hình 3.5: Cấu hình Subordinate CA trên máy chủ NPS.............................................1
Hình 3.6: Cấu hình NPS Server trong phương thức IPSec .........................................1
Hình 3.7: Kiểm tra sự hoạt động của NAP IPSec.......................................................1
Hình 3.8: Mô hình triển khai phương thức thực thi 802.1X .......................................1
Hình 3.9: Cài đặt NPS Server trong phương thức thực thi 802.1X ............................1
Hình 3.10: Cấu hình NPS Server trong phương thức thực thi 802.1X .......................1
Hình 3.11: Thông số cấu hình VLAN trong phương thức 802.1X .............................1
Hình 3.12: Sử dụng GPO cấu hình các dịch vụ 802.1X .............................................1
Hình 3.13: Cấu hình máy trạm sử dụng 802.1X .........................................................1
Hình 3.14: Cấu hình phương thức thực thi DHCP......................................................1
Hình 3.15: Mô hình triển khai phương thức thực thi VPN .........................................1
Hình 3.16: Cấu hình RADIUS Server trong phương thức VPN.................................1
Hình 3.17: Cấu hình RADIUS Client trong phương thức VPN .................................1
Hình 3.18:Mô hình triển khai phương thức thực thi TS Gateway ..............................1
Hình 3.19: Cấu hình TS Gateway server ....................................................................1
Sinh viên thực hiện: Trương Vĩnh Điển
Trang 6
Quản lý truy cập mạng dựa trên NAP
DANH MỤC THUẬT NGỮ VÀ CÁC TỪ VIẾT TẮT
ACL
ADDS
AH
CA
DHCP
EAP
EAPOL
ESP
HRA
HTTP
HTTPS
IPSEC
L2TP
NAC
NAP
NAP EC
NAP ES
NAQC
NPS
PEAP
PPP
PPTP
RADIUS
SHA
SHV
SoH
SoHR
SSL
SSoH
SSoHR
TLS
TS Gateway
UAC
VLAN
VPN
Access Control List
Active Directory Domain Services
Authentication Header
Certificate Authority
Dynamic Host Configuration Protocol
Extensible Authentication Protocol
Extensible Authentication Protocol over LAN
Encapsulating Security Payload
Health Registration Authority
Hypertext Transfer Protocol
Hypertext Transfer Protocol Secure
Internet Protocol Security
Layer 2 Tunneling Protocol
Network Admission Control
Network Access Protection
Network Access Protection Enforcement Client
Network Access Protection Enforcement Server
Network Access Quarantine Control
Network Policy Server
Protected Extensible Authentication Protocol
Point-to-Point Protocol
Point-to-Point Tunneling Protocol
Remote Authentication Dial In User Service
System Health Agent
System Health Validator
Statement of Health
Statement of Health Respond
Secure Sockets Layer
System statement of Health
System statement of Health Respond
Transport Layer Security
Terminal Services Gateway
Unified Access Control
Virtual Local Area Network
Virtual Private Network
Sinh viên thực hiện: Trương Vĩnh Điển
Trang 7
Quản lý truy cập mạng dựa trên NAP
LỜI NÓI ĐẦU
Sự phát triển như vũ bão của ngành Công nghệ thông tin và điện tử viễn
thông nói chung, ngành Mạng máy tính nói riêng đã đem lại những thay đổi to lớn
cho mọi lĩnh vực của đời sống con người. Ngày nay, trong nền kinh tế tri thức,
không có bất kỳ một hoạt động nào có thể tách rời khỏi hạ tầng mạng máy tính.
Chính vì vậy, việc áp dụng công nghệ đã trở thành một yêu cầu không thể thiếu cho
tất cả các tổ chức, doanh nghiệp. Với tầm quan trọng như thế, việc sở hữu một hệ
thống mạng doanh nghiệp ổn định, hoạt động liên tục, đảm bảo an toàn … để luôn
sẵn sàng cho mọi hoạt động trở nên cấp thiết hơn bao giờ hết.
Tuy nhiên, chính vì quan trọng như vậy, hệ thống mạng doanh nghiệp cũng
phải đối diện với rất nhiều nguy cơ mất an toàn. Và mặc dù nhận thức được vấn đề
này, nhưng nhiều doanh nghiệp cũng không đủ khả năng tài chính để có thể triển
khai các giải pháp đảm bảo an toàn cho hệ thống mạng của họ. Xuất phát từ nhu cầu
thực tế đó, đồ án ra đời với hy vọng tìm kiếm một giải pháp nào đó cho vấn đề này.
Nhiệm vụ của đồ án:
Với mục tiêu xây dựng được một giải pháp thiết thực và khả thi, đồ án tập
trung vào việc nghiên cứu và triển khai một công nghệ mới – công nghệ Microsoft
NAP - giúp các nhà quản trị kiểm soát được sự truy cập trong mạng nội bộ, từ đó
đảm bảo cho hệ thống mạng hoạt động liên tục và an toàn.
Bố cục của đồ án:
Đồ án chia làm 4 chương như sau:
-
Chương I. Vai trò của hệ thống mạng doanh nghiệp
-
Chương II. Công nghệ Microsoft – NAP
-
Chương III. Triển khai và phát triển NAP
-
Chương IV. Kết luận
Sinh viên thực hiện: Trương Vĩnh Điển
Trang 8
Quản lý truy cập mạng dựa trên NAP
CHƯƠNG I
VAI TRÒ CỦA HỆ THỐNG MẠNG DOANH NGHIỆP
1.1. Tình hình phát triển Internet ở Việt Nam.
Ngày 19/11/1997, dịch vụ Internet chính thức có mặt tại Việt Nam. Lúc đó,
Internet được xem là dịch vụ cao cấp dành cho một nhóm cá nhân, tập thể thật sự có
nhu cầu. Khi đó, Chính phủ đã ban hành Nghị định 21 CP để quản lý Internet theo
phương châm: Quản lý đến đâu, phát triển đến đó. Đó là một bước thận trọng,
khi việc đánh giá khoảng cách giữa tích cực và tiêu cực của Internet còn chênh lệch
nhiều. Chúng ta đã chọn phương án an toàn nhất để vào cuộc. Bốn năm sau, năm
2001, có thể nói Internet đã bước chân vào cuộc sống của xã hội, nhất là khu vực
doanh nghiệp, nghiên cứu và đào tạo. Tác dụng to lớn của Internet là tải chất xám,
trí tuệ của nhân loại về Việt Nam, gắn đất nước với toàn gầu, gắn thị trường của
chúng ta với quốc tế. Nhận thấy cần phải phát triển mạnh hơn, Chính phủ đã quyết
định cho phép đảo ngược nội dung phương châm quản lý, đó là Phát triển đến
đâu, quản lý tới đó. Đó chính là những quyết định hết sức ấn tượng, mạnh mẽ về
tư duy, tầm chiến lược, nhìn xa trông rộng của Đảng và Nhà nước ta.
Số liệu thống kế tình hình phát triển Internet Việt Nam (03/2009)
Đến hôm nay, chúng ta đã có trên 24% dân số sử dụng Internet. Internet của
chúng ta không chỉ dừng ở Viện nghiên cứu, trường ĐH, mà đã vào 100% các
Sinh viên thực hiện: Trương Vĩnh Điển
Trang 9
Quản lý truy cập mạng dựa trên NAP
doanh nghiệp lớn, các bệnh viện, 98% các trường THPT, 50% các trường THCS và
đang len lỏi dần xuống vùng nông thôn qua các điểm Bưu điện VH xã… Tốc độ
phát triển công nghệ Internet Việt Nam sau hơn 10 năm là ngoạn mục; song chất
lượng phát triển nội dung, ứng dụng ... của Internet Việt Nam thì vẫn chưa xứng
đáng. Vì thế, những thách thức là rất to lớn, các nhà cung cấp dịch vụ cần không
ngừng nâng cao chất lượng dịch vụ cũng như hạ giá thành đối với người sử dụng.
Có như vậy mới đảm bảo Internet Việt Nam vững bước phát triển.
1.2. Hệ thống mạng doanh nghiệp – Vai trò và tầm quan trọng
Internet phát triển đã làm thay đổi mọi mặt của cuộc sống con người, từ cách
thức làm việc, học tập đến giải trí, tiêu dùng … Điều đó đưa tới yêu cầu cần phải có
sự thay đổi trong phương thức hoạt động của các tổ chức, doanh nghiệp. Nếu không
thay đổi, các doanh nghiệp sẽ không thể giới thiệu được sản phẩm của mình tới
người tiêu dùng trong thời đại Công nghệ thông tin hiện nay, và nếu như vậy, kết
cục là doanh nghiệp đó sẽ không thể phát triển, thậm chí sẽ phá sản. Vậy doanh
nghiệp cần thay đổi như thế nào cho phù hợp ? Đó chính là sự thay đổi từ hoạt động
thương mại thông thường, không hoặc ít áp dụng công nghệ thông tin sang thương
mại điện tử để tận dụng những thành tựu mới nhất của Công nghệ thông tin. Việc
ứng dụng công nghệ thông tin, đặc biệt là công nghệ mạng máy tính ở Việt Nam
khoảng 3 năm trước đây còn mang tính tự phát, chưa được định hướng bởi chính
phủ và các cơ quan chuyên môn nhà nước. Do đó, sự đầu tư cho hệ thống mạng ở
mỗi doanh nghiệp phụ thuộc vào tầm nhìn, quan điểm của lãnh đạo doanh nghiệp.
Nhưng chỉ trong vòng 2 năm trở lại đây, cùng với sự bùng nổ Internet, đặc biệt là từ
sau khi Việt Nam gia nhập WTO (07-11-2006), ngành thương mại điện tử nói
chung và hệ thống mạng doanh nghiệp nói riêng đã phát triển với tốc độ rất nhanh,
rất cao. Trước thực trạng toàn cầu hóa, doanh nghiệp Việt Nam phải tích cực tìm
cách tồn tại và phát triển, cạnh tranh trong và ngoài nước. Trong đó, thương mại
điện tử giúp nhiều cho doanh nghiệp về marketing, đặc biệt là marketing ra thị
trường quốc tế, giảm chi phí (chi phí marketing, chi phí nhân lực, chi phí bán hàng,
chi phí liên lạc, chi phí mặt bằng...), bán hàng qua mạng, hỗ trợ khách hàng từ xa ...
Không chỉ vậy, thế giới ngày càng phát triển, công việc không chỉ gói gọn trong
từng khu vực riêng lẻ, đã và đang có những dây chuyền sản xuất liên hoàn trên
nhiều quốc gia và nhiều khu vực, mỗi doanh nghiệp tham gia và một mắt xích trong
dây truyền đó, khi đó hệ thống mạng doanh nghiệp có kết nối Internet là một yêu
cầu bắt buộc. Với những lợi ích to lớn đem lại, khi mà thời gian, tiền bạc cũng như
hiệu quả kinh doanh là quan trọng, các doanh nghiệp sẵn sàng bỏ tiền để xây dựng
cho mình một hệ thống mạng hoàn chỉnh. Tuy nhiên, hầu hết các doanh nghiệp lại
bỏ qua hoặc không coi trọng vấn đề an toàn an ninh cho hệ thống mạng của mình.
Có rất nhiều doanh nghiệp đầu tư hệ thống mạng rất lớn, với những thiết bị chuyên
dụng đắt tiền nhưng các thiết bị đó lại không được sử dụng hết chức năng … Dường
Sinh viên thực hiện: Trương Vĩnh Điển
Trang 10
Quản lý truy cập mạng dựa trên NAP
như khi xây dựng hệ thống mạng, các nhà lãnh đạo chỉ chú ý xem hệ thống đó khi
hoạt động có đáp ứng được yêu cầu kinh doanh hay không mà thôi. Họ chưa tính tới
việc phải đảm bảo cho hệ thống đó hoạt động ổn định, liên tục, không gặp sự cố, và
càng chưa tính tới việc đảm bảo an toàn cho hệ thống trước các mục đích xấu, cố ý
phá hoại ... Vấn đề nào cũng vậy, luôn luôn có tính hai mặt. Lợi ích từ việc xây
dựng hệ thống mạng, kết nối với bên ngoài của với doanh nghiệp là điều rõ ràng,
nhưng chính điều đó cũng khiến doanh nghiệp hàng ngày, hàng giờ phải đối đầu với
rất nhiều rủi ro tiềm ẩn. Các doanh nghiệp cần phải xác định rõ được những mối
nguy hại này và đề ra các biện pháp phòng tránh, giảm thiểu những rủi ro cho doanh
nghiệp của mình.
1.3. Những mối đe dọa đối với hệ thống mạng doanh nghiệp.
Theo tổng kết của Trung tâm An ninh mạng BKIS, trong năm 2008 đã có
33.137 dòng virus máy tính mới xuất hiện tại Việt Nam, trong đó 33.101 dòng có
xuất xứ từ nước ngoài và 36 dòng có xuất xứ từ trong nước. Các virus này đã lây
nhiễm trên 59.450.000 lượt máy tính. Đây quả thật là một vấn đề làm đau đầu các
nhà quản trị mạng. Làm sao để hệ thống của mình miễn dịch được virus ? làm sao
để hạn chế tối đa thiệt hại nếu hệ thống của mình nhiễm virus ? … Chúng ta có thể
đặt câu hỏi: Nếu hệ thống máy tính của các tổ chức, doanh nghiệp … đều được bảo
vệ nghiêm ngặt, thì tại sao virus lại có thể lây nhiễm một cách nhanh chóng và gây
tổn thất lớn đến như vậy ? Để giải đáp câu hỏi này, chúng ta hãy cùng phân tích sự
hoạt động của một hệ thống mạng doanh nghiệp phổ biến như sau:
Hệ thống mạng này được chia thành 2 khu vực khác nhau: Khu vực Server,
và khu vực Client. Tại khu vực Client, có triển khai Wireless LAN dành cho khách
hàng … Để phòng tránh Virus, các nhà quản trị mạng có thể cài đặt phần mềm
Antivirus trên các máy Client. Nhưng các nhà quản trị không thể lúc nào cũng kiểm
soát được sự hoạt động của phần mềm đó trên tất cả các máy tính. Và đặc biệt, các
nhà quản trị mạng không thể kiểm soát được các máy tính của khách hàng sử dụng
Wireless. Có khả năng, chính các máy này đã nhiễm virus, và khi tham gia vào hệ
thống của mình, sẽ làm lây lan virus … Nếu như có một số máy, phần mềm
AntiVirus không hoạt động hoặc chưa được cập nhật, thì máy đó sẽ bị nhiễm virus.
Cứ như vậy, sẽ có trường hợp, cả hệ thống bị nhiễm virus. Như vậy, các nhà quản
trị mạng phải tìm ra một giải pháp nào đó, để quản lý được quá trình truy cập của
các máy client vào mạng, từ đó loại trừ tình huống này xảy ra ?
Không chỉ có vấn để về virus, tất cả người sử dụng Internet hiện nay, mà đặc
biệt là các doanh nghiệp còn phải đối mặt với các hacker chuyên nghiệp. Các hacker
này luôn muốn tấn công thu thập thông tin, phá hoại hệ thống mạng doanh nghiệp…
Và cũng không loại trừ trường hợp, là chính các đối thủ cạnh tranh đã tấn công hệ
thống của mình. Điển hình là vụ tấn công hệ thống máy chủ DNS của công ty P.A
Sinh viên thực hiện: Trương Vĩnh Điển
Trang 11
Quản lý truy cập mạng dựa trên NAP
Việt Nam gần đây, gây tổn thất lớn về tiền bạc và uy tín công ty. Ngoài ra còn rất
nhiều trường hợp khác, thậm chí hệ thống của mình bị tấn công, bị thu thập các
thông tin nhạy cảm nhưng các nhà quản trị mạng vẫn không hề hay biết.
Thực tế, rất nhiều cách thức tấn công hệ thống mạng hiện nay đều dựa vào
các lỗ hổng của hệ điều hành và các phần mềm cài đặt. Kẻ tấn công theo các lỗ
hổng đó, đi sâu vào hệ thống, rồi bắt đầu phát tán mã độc, thực hiện việc tấn công từ
ngay bên trong hệ thống mạng nội bộ. Trong hầu hết các trường hợp, đều có thể
ngăn chặn được hacker xâm nhập, nếu các máy tính đảm bảo tiêu chuẩn an toàn
như: Hệ thống tường lửa hoạt động hiệu quả, các phần mềm antivirus được cập nhật
liên tục, các bản vá lỗ hổng được cập nhật kịp thời … Và cũng có thể nói, công việc
của các nhà quản trị hệ thống mạng hiện nay mất rất nhiều thời gian trong việc đảm
bảo các máy tính truy cập vào mạng phải có được bản cập nhật hệ điều hành mới
nhất, hoặc bản cập nhật cho phần mềm chống virus mới nhất, hoặc tường lửa của
máy trạm phải không được disable....
Nhận thức được điều đó, các nhà quản trị mạng luôn muốn đảm bảo cho hệ
thống mạng của tổ chức, doanh nghiệp mình được cập nhật, đảm bảo các tiêu chuẩn
an toàn, hạn chế tối đa việc bị tấn công … Và giải pháp rất quan trọng để thực hiện
điều đó, chính là việc kiểm soát truy cập mạng của tất cả các máy tính liên quan tới
hệ thống của mình.
1.4. Các công nghệ quản lý truy cập mạng hiện nay.
Trong hệ thống mạng doanh nghiệp, các nhà quản trị mạng tùy theo khả năng
và yêu cầu thực tế mà có thể sử dụng một số các phương pháp quản lý truy cập như:
NAC (Network Admission Control), NAQC (Network Access Quarantine Control),
UAC (Unified Access Control), NAP (Network Access Protection) … Các phương
pháp trên đều có mục đích kiểm soát sự truy cập của các máy trạm vào hệ thống
mạng nội bộ. Tuy nhiên, đối với mỗi giải pháp, lại có các ưu điểm và nhược điểm
khác nhau.
Công nghệ NAC do Cisco Systems phát triển, bao gồm một loạt các phần
mềm và thiết bị phần cứng đi kèm để giúp hệ thống hoạt động. Chính vì thế, tuy
hiệu năng hoạt động cao, ổn định nhưng không phải tất cả các doanh nghiệp đều đủ
khả năng tài chính để triển khai hệ thống NAC.
Công nghệ UAC – kiểm soát truy cập hợp nhất – do Juniper Networks phát
triển. Công nghệ này giải quyết vấn đề về cân bằng truy nhập và kiểm soát bảo mật
bằng cách liên kết nhận dạng người dùng, toàn bộ điểm cuối và thông tin về vị trí
với việc kiểm soát truy nhập, với quản lý chính sách tác động trong thời gian thực
thông qua mạng. Tuy nhiên, UAC chủ yếu hỗ trợ đối với việc truy cập mạng thông
Sinh viên thực hiện: Trương Vĩnh Điển
Trang 12
Quản lý truy cập mạng dựa trên NAP
qua các thiết bị 802.1X. Vì thế, phạm vi áp dụng của UAC bị bó hẹp, không đáp
ứng đủ hết nhu cầu quản lý các loại truy cập mạng khác nhau.
NAQC là một phương pháp quản lý truy cập mạng được hỗ trợ trong bản
Windows Server 2003. Phương pháp này hoạt động đối với các truy cập mạng từ
xa, và chỉ có thể hỗ trợ các phiên bản Windows cũ như Windows 98, Windows
2000, Windows ME, Windows XP … Với phạm vi hoạt động hẹp, NAQC không
thích hợp để triển khai trong một hệ thống mạng doanh nghiệp lớn, với nhiều loại
truy cập khác nhau.
Công nghệ NAP ra đời, kế thừa phương pháp tiền thân của nó là NAQC với
nhiều tính năng mới. NAP đáp ứng được việc kiểm soát tất cả các loại truy cập
mạng phổ biến, từ truy cập mạng không dây, có dây hay truy cập từ xa. NAP được
phát triển bởi Microsoft, vì thế đối với hệ thống mạng doanh nghiệp, nó có tính ứng
dụng lâu dài. Các phiên bản Windows mới phát hành đều được tích hợp sẵn các
thành phần NAP, cho nên các nhà quản trị không cần phải lo lắng đến việc nâng cấp
hạ tầng mạng. Bên cạnh đó, triển khai công nghệ này, các doanh nghiệp không phải
đắn đo quá nhiều về tài chính như khi triển khai các công nghệ kiểm soát truy cập
mạng khác.
Sinh viên thực hiện: Trương Vĩnh Điển
Trang 13
Quản lý truy cập mạng dựa trên NAP
CHƯƠNG II. CÔNG NGHỆ MICROSOFT – NAP
2.1. Giới thiệu công nghệ NAP
Công nghệ Bảo vệ truy cập mạng – NAP (Network Access Protection) ra
đời, cung cấp giải pháp hỗ trợ việc kiểm soát tự động các máy tính truy cập vào hệ
thống mạng nội bộ. Việc ứng dụng NAP để triển khai các chính sách truy cập mạng
sẽ giúp giảm thiểu những rủi ro và tăng cường bảo mật hệ thống mạng. Công nghệ
NAP cũng giúp cho các tổ chức, doanh nghiệp giảm chi phí, giảm công sức cho các
nhà quản trị mạng bởi việc quản lý tập trung các chính sách truy cập mạng, tối ưu
hóa cách cập nhật phần mềm, hạn chế tối thiểu việc lây nhiễm virus, phần mềm gián
điệp spyware …
Sử dụng NAP, các nhà quản trị mạng có thể:
-
Cấu hình xác định các chính sách truy cập mạng cho các máy tính muốn kết
nối tới hệ thống của mình. Các chính sách này càng chặt chẽ thì càng giảm
thiểu khả năng mất an toàn hệ thống.
-
Kiểm soát chi tiết đến từng người dùng, từng máy tính, kiểm tra được xem
máy tính đó có đảm bảo an toàn hay không. Dựa vào đó ra quyết định cho
phép hay hạn chế sự truy cập của máy tính đó vào hệ thống.
-
Tự động cập nhật, đảm bảo an toàn cho tất cả các máy tính trong hệ thống,
cũng như các máy tính muốn kết nối đến hệ thống của mình.
Các chức năng của NAP:
Biểu đồ sau đây miêu tả những cách NAP được áp dụng trong các phương
pháp truy cập hệ thống mạng:
Hình 2.1: Chức năng của NAP
NAP được ứng dụng để bảo vệ truy cập hệ thống mạng theo 5 phương pháp
khác nhau. Mỗi một cách ứng dụng NAP được gọi là một phương thức thực thi
(Enforcement Method). Công nghệ NAP hỗ trợ 5 phương thức thực thi như sau:
Sinh viên thực hiện: Trương Vĩnh Điển
Trang 14
Quản lý truy cập mạng dựa trên NAP
-
Phương thức thực thi DHCP: Đây là cách triển khai NAP kết hợp với hệ
thống DHCP để bảo vệ truy cập mạng. Chỉ có các máy tính đủ điều kiện, thì
mới được DHCP Server cấp các thông số TCP/IP cần thiết để truy cập mạng.
-
Phương thức thực thi VPN: Đây là cách triển khai NAP để bảo vệ truy cập
mạng thông qua thực hiện kết nối VPN. Các máy tính khi kết nối VPN vào
hệ thống, nếu thỏa mãn các chính sách đặt ra, sẽ được phép truy cập mạng.
-
Phương thức thực thi 802.1X: Đây là cách triển khai NAP kết hợp với các
thiết bị có hỗ trợ xác thực theo chuẩn 802.1X như Switch, Wireless Access
Point… Những máy tính đủ điều kiện, mới có thể truy cập vào hệ thống
mạng thông qua các thiết bị này.
-
Phương thức thực thi IPSEC: Đây là cách triển khai NAP kết hợp với các
chính sách IPSEC đã thiết lập trong hệ thống mạng nội bộ. Các máy thỏa
mãn điều kiện, sẽ có thể thực hiện kết nối với các máy tính khác và các kết
nối đó sẽ được mã hóa bảo vệ bởi IPSEC.
-
Phương thức thực thi TS Gateway: Đây là cách triển khai NAP để bảo vệ
truy cập hệ thống mạng thông qua thực hiện kết nối Terminal Services
Gateway. Chỉ có các máy thỏa mãn tiêu chuẩn mới có thể thông qua kết nối
TS Gateway để truy cập vào hệ thống.
Nguyên lý hoạt động của NAP:
Hình 2.2:Cấu trúc và nguyên lý hoạt động của NAP
Khi một máy client muốn truy cập vào hệ thống mạng, trước tiên các thành
phần NAP trong nó sẽ thu nhận các thông tin về trạng thái sức khỏe hệ thống. Các
thông tin này được thu thập bởi các Agent về sức khỏe hệ thống (System Health
Agent – SHA). Thành phần NAP Client sẽ tổng hợp lại thông tin, đưa tới cho Client
thực thi NAP (NAP Enforcement Client). Thành phần này có vai trò nhận diện xem
Sinh viên thực hiện: Trương Vĩnh Điển
Trang 15
Quản lý truy cập mạng dựa trên NAP
NAP đang được thực thi bởi phương thức nào (DHCP, VPN, 802.1X….) rồi chuyển
qua đúng thiết bị truy cập mạng, tới server.
Thành phần NAP ES (NAP Enforcement Server) nhận được thông tin,
chuyển tới cho thành phần Server phân tích, rồi gửi tới cho các trung tâm chứng
thực sức khỏe hệ thống (System Health Validator – SHV). Sau khi thông tin sức
khỏe hệ thống được kiểm tra, SHV sẽ gửi lại các bản tin trả lời. Các bản tin này sẽ
được chuyển tới các thiết bị truy cập mạng và tới Client để cho biết nó có được truy
cập mạng hay không.
NAP thường được ứng dụng trong các tình huống sau:
-
Kiểm tra tình trạng sức khỏe hệ thống của các máy desktop trong mạng.
Các máy desktop trong nội bộ hệ thống cũng có thể là một nguy cơ mất an
toàn nếu người quản trị không kiểm soát được tình trạng sức khỏe của nó.
Các máy desktop này rất dễ nhiễm virus và các phần mềm độc hại khác từ
website, email, trao đổi dữ liệu qua USB hay thậm chí là việc chia sẻ thư
mục giữa các máy tính với nhau …. Sử dụng NAP, người quản trị có thể
kiểm tra tình trạng sức khỏe của các máy desktop một cách tự động. Chỉ khi
nào tình trạng đó thỏa mãn chính sách đã đặt ra, máy tính đó mới được phép
truy cập vào hệ thống. Người quản trị sau đó cũng có thể xem lại báo cáo, từ
đó biết máy tính nào không đủ tiêu chuẩn an toàn, và từ đó có cách xử lý
thích hợp.
Kiểm tra tình trạng sức khỏe hệ thống của các máy laptop khách.
Trong nhiều trường hợp, các máy laptop của khách hàng truy cập vào hệ
thống, máy tính đó không đảm bảo an toàn, thậm chí mang theo virus,
spyware ... Khi đó, nếu người quản trị sử dụng NAP, có thể chỉ cho phép các
máy khách truy cập Internet hoặc hạn chế họ truy cập vào mạng nội bộ của
mình.
- Kiểm tra tình trạng sức khỏe hệ thống của các máy ngoài mạng nội bộ. Đó
có thể là các máy tính từ hệ thống mạng khác muốn kết nối tới, có thể là máy
tính tại nhà của một số người trong công ty cần phải kết nối với hệ thống …
Các máy đó liên lạc với hệ thống mạng nội bộ thông qua kết nối VPN. Vì
thế, để đảm bảo an toàn hệ thống, nếu các máy này không đủ tiêu chuẩn truy
cập mạng, cần phải có giải pháp phù hợp, vừa đảm bảo điều kiện yêu cầu
làm việc, vừa đảm bảo an toàn cho hệ thống.
Các kịch bản sử dụng NAP như trên đã rất phổ biến trong các tổ chức, doanh
nghiệp … ở tất cả mọi nơi trên thế giới, bao gồm cả Việt Nam. Vì thế việc đảm bảo
an toàn truy cập mạng được các nhà quản trị rất chú ý, và coi đó là một trong những
biện pháp phòng thủ hữu hiệu trước nhiều cách tấn công mạng khó lường hiện nay.
-
Sinh viên thực hiện: Trương Vĩnh Điển
Trang 16
Quản lý truy cập mạng dựa trên NAP
Tuy nhiên NAP không phải là không có những hạn chế. NAP không được
thiết kế để bảo vệ hệ thống mạng khỏi những yếu tố mất an toàn do con người chủ
ý. Một máy tính có đầy đủ các phần mềm yêu cầu, được cập nhật các bản vá lỗi …
máy tính đó tất nhiên sẽ hoàn toàn có quyền truy cập trong hệ thống mạng nội bộ
của mình. Nếu người sử dụng máy tính đó cố tình đưa vào mạng những chương
trình nguy hiểm, trong trường hợp này NAP không thể ngăn chặn được. Vì vậy,
ngoài việc sử dụng NAP để kiểm tra độ an toàn khi truy cập mạng, người quản trị
cần phải kết hợp với nhiều cách thức khác nữa để có thể đảm bảo an toàn cho hệ
thống mạng của mình.
2.2. Hệ thống mạng triển khai NAP
Hình 2.3: Mô hình hệ thống mạng triển khai NAP
2.2.1. Thành phần hệ thống mạng triển khai NAP
• NAP clients: Các máy tính kích hoạt NAP và được kiểm tra tình trạng
an toàn. Mặc định, các máy tính cài đặt HĐH Windows Server 2008,
Windows Vista, Windows XP SP3 sẽ được hỗ trợ NAP.
• Điểm thực thi NAP (NAP enforcement points): Các máy tính hoặc
thiết bị truy cập mạng sử dụng NAP để yêu cầu kiểm tra tình trạng an
Sinh viên thực hiện: Trương Vĩnh Điển
Trang 17
Quản lý truy cập mạng dựa trên NAP
toàn của NAP Client, từ đó đưa ra quyết đinh cho phép hay hạn chế truy
cập. Một số NAP enforcement points:
o Trung tâm cấp phát chứng chỉ sức khỏe hệ thống (Health
Registration Authority - HRA): Đây là một máy tính chạy
dịch vụ IIS (Internet Information Services) trong môi trường
Windows Server 2008 để lấy “health certificates” từ CA cho
các máy trạm.
o VPN server: Máy tính chạy dịch vụ Routing and Remote
Access trong môi trường Windows Server 2008 cho phép VPN
từ mạng ngoài vào mạng nội bộ.
o DHCP server: Máy tính chạy dịch vụ DHCP trong môi
trường Windows Server 2008 cung cấp IPv4 cho các máy
client.
o Thiết bị truy cập mạng: Switch, wireless access points có hỗ
trợ xác thực theo chuẩn IEEE 802.1X.
• Máy chủ chính sách sức khỏe hệ thống NAP (NAP health policy
servers): Máy tính cài đặt HĐH Windows Server 2008 và chạy dịch vụ
NPS. Máy chủ này chính là nơi lưu trữ các chính sách sức khỏe được đặt
ra.
• Máy chủ yêu cầu trình trạng sức khỏe hệ thống (Health requirement
servers): Máy tính cung cấp yêu cầu về sức khỏe hệ thống của các máy
trạm cho NAP health policy servers.
• Máy chủ quản trị miền (Domain Controller): Hệ thống mạng triển
khai NAP phải là một miền, có máy chủ Domain Controller chạy dịch vụ
ADDS (Active Directory Domain Service).
• Vùng mạng hạn chế: Đây là vùng mạng được cấu hình để hạn chế truy
cập, gồm có:
o Máy chủ Remediation: Máy tính chứa các nguồn tài nguyên
cần thiết để NAP clients có thể cập nhật, vá các lỗ hổng về sức
khỏe hệ thống, từ đó chuyển sang trạng thái tương thích với
các chính sách truy cập mạng.
o Các máy tính không thỏa mãn chính sách truy cập mạng: Đây
có thể là các máy không đủ tiêu chuẩn về sức khỏe hệ thống,
hoặc các máy không được cài đặt NAP ….
Sinh viên thực hiện: Trương Vĩnh Điển
Trang 18
Quản lý truy cập mạng dựa trên NAP
2.2.2. Sự hoạt động giữa các thành phần trong hệ thống NAP.
• Sự liên hệ giữa NAP client và HRA.
NAP client sử dụng giao thức HTTP hoặc HTTPS để gửi tình trạng sức
khỏe hệ thống tới HRA và yêu cầu lấy chứng chỉ sức khỏe - health
certificate. HRA cũng sẽ sử dụng giao thức HTTP hoặc HTTPS gửi
health certificate tới NAP client hoặc lệnh remediation đưa NAP Client
vào vùng mạng hạn chế (nếu tình trạng hệ thống của NAP Client không
thỏa mãn chính sách).
• Sự liên hệ giữa NAP client và thiết bị truy cập mạng 802.1X.
Trong mô hình triển khai này, NAP client chính là 802.1X client. Nó sử
dụng giao thức PEAP (Protected Extensible Authentication Protocol) gửi
thông điệp xác thực tới thiết bị truy cập mạng 802.1X (Switch, Wireless
Access Point) và tình trạng sức khỏe hệ thống tới máy chủ chính sách sức
khỏe hệ thống NAP - NAP health policy server. Máy chủ này sẽ thông
qua thiết bị 802.1X gửi lại lệnh hạn chế hoặc cho phép truy cập mạng.
• Sự liên hệ giữa NAP client và VPN server.
NAP client với vai trò là VPN client sử dụng giao thức PPP (Point-toPoint Protocol) thiết lập kết nối VPN và gửi thông điệp qua giao thức
PEAP để cung cấp trạng thái sức khỏe hệ thống tới máy chủ chính sách
sức khỏe hệ thống – NAP health policy server. Sau đó, máy chủ này cũng
gửi lại thông điệp theo giao thức PEAP để quyết định hạn chế hoặc cho
phép truy cập mạng. Các thông điệp này sẽ được định tuyến qua VPN
server.
• Sự liên hệ giữa NAP client và DHCP server.
NAP client gửi thông điệp DHCP xin cấp địa chỉ IPv4 và thông báo tình
trạng sức khỏe hệ thống của mình. DHCP server cũng sẽ gửi lại thông
điệp DHCP cấp Ipv4 cấu hình hạn chế truy cập hoặc IPv4 cấu hình cho
phép truy cập.
• Sự liên hệ giữa NAP client và remediation server
Nếu NAP client bị đưa vào vùng hạn chế truy cập, nó sẽ liên hệ với
remediation server để cập nhật hoặc vá các lỗ hổng, dựa trên lệnh nhận
được từ máy chủ chính sách sức khỏe hệ thống.
• Sự liên hệ giữa HRA và NAP health policy server
Sinh viên thực hiện: Trương Vĩnh Điển
Trang 19
Quản lý truy cập mạng dựa trên NAP
HRA gửi thông điệp theo giao thức RADIUS (Remote Authentication
Dial-In User Service) tới máy chủ chính sách sức khỏe hệ thống. Trong
bản tin này có chứa thông tin về trạng thái sức khỏe hệ thống của NAP
Client.
Máy chủ NAP health policy gửi lại bản tin RADIUS xác định:
o Cho NAP client quyền truy cập không hạn chế trong hệ thống
nếu nó thỏa mãn chính sách. Dựa vào đó, HRA yêu cầu chứng
chỉ sức khỏe hệ thống - health certificate từ CA và gửi tới NAP
client.
o Hạn chế sự truy cập của NAP client cho đến khi thỏa mãn
chính sách. HRA sẽ không lấy health certificate cấp cho NAP
client.
HRA trong môi trường Windows Server 2008 không được xây dựng là
RADIUS client, cho nên nó sử dụng dịch vụ NPS service làm RADIUS
proxy để chuyển thông điệp RADIUS cho NAP health policy server.
• Sự liên hệ giữa thiết bị truy cập mạng 802.1X và máy chủ chính sách sức
khỏe hệ thống - NAP health policy server
Thiết bị 802.1X gửi thông điệp RADIUS để chuyển các bản tin PEAP
được gửi bởi NAP Client.
NAP health policy server gửi lại bản tin RADIUS messages:
o Cho phép 802.1X client (NAP Client) truy cập không hạn chế
nếu thỏa mãn chính sách.
o Yêu cầu đưa 802.1X client vào vùng mạng hạn chế truy cập
nếu không thỏa mãn chính sách
• Sự liên hệ giữa VPN server và máy chủ chính sách sức khỏe hệ thống NAP health policy server
VPN server gửi thông điệp RADIUS mang nội dung của bản tin PEAP
được gửi bởi NAP client.
NAP health policy server gửi lại thông điệp RADIUS:
o Nếu thỏa mãn chính sách, cho phép VPN Client truy cập
không hạn chế.
o Đưa VPN Client vào vùng mạng hạn chế truy cập.
Sinh viên thực hiện: Trương Vĩnh Điển
Trang 20
Quản lý truy cập mạng dựa trên NAP
Tương tự như HRA, VPN server sử dụng dịch vụ NPS làm RADIUS
proxy để chuyển các thông điệp cho NAP health policy server.
Hình 2.4: Sự liên hệ giữa các thành phần hệ thống NAP
• Sự liên hệ giữa DHCP server và NAP health policy server
DHCP server gửi thông điệp RADIUS tới NAP health policy server.
NAP health policy server sẽ gửi lại thông điệp RADIUS tới DHCP server
quyết định xem DHCP Client có được phép truy cập mạng hay không.
DHCP server cũng sử dụng dịch vụ NPS làm RADIUS proxy để chuyển
các thông điệp RADIUS cho NAP health policy server.
• Sự liên hệ giữa NAP health policy server và health requirement server
Khi thực hiện việc kiểm tra thông tin sức khỏe hệ thống cho NAP client,
NAP health policy server sẽ phải liên hệ với health requirement server để
lấy thông tin, từ đó biết chính xác thế nào là thỏa mãn chính sách truy cập
mạng.
Sinh viên thực hiện: Trương Vĩnh Điển
Trang 21
Quản lý truy cập mạng dựa trên NAP
2.2.3. Cấu trúc của NAP – Client và NAP – Server
a. NAP – Client
Cấu trúc của NAP client như sau:
• Thành phần NAP enforcement client (EC)
Thành phần này có nhiệm vụ đưa yêu cầu kiểm tra trạng thái sức khỏe hệ
thống tới NAP Agent, chuyển thông tin thu nhận được tới NAP Enforcement
point, và chuyển thông báo cho phép hay hạn chế truy cập tới các thành phần
khác trong NAP Client.
NAP Client có nhiều NAP EC được tạo ra cho các loại truy cập mạng khác
nhau, tương ứng với từng loại Enforcement point. Trong Windows Server
2008, Windows Vista và Windows XP SP3, có các loại NAP EC như sau:
o IPsec NAP EC dùng trong giao tiếp được mã hóa IPsec
o EAPHost NAP EC dùng trong kết nối xác thực theo chuẩn
802.1X
o VPN NAP EC cho kết nối VPN
o DHCP NAP EC cho dịch vụ DHCP - IPv4
o TS Gateway NAP EC dùng với kết nối thông qua Terminal
Server Gateway
Hình 2.5: Cấu trúc NAP-Client
Sinh viên thực hiện: Trương Vĩnh Điển
Trang 22
Quản lý truy cập mạng dựa trên NAP
• Thành phần system health agent (SHA)
Thành phần này có nhiệm vụ thu thập các thông tin về tình trạng sức khỏe hệ
thống. Ví dụ có SHA thu thập tình trạng cập nhật của chương trình diệt virus,
có SHA thu thập về trạng thái hoạt động của tường lửa ...
SHA có thể được kết nối với remediation server. Ví dụ: SHA thu thập thông
tin cập nhật chương trình diệt Virus kết nối tới server chứa file cập nhật để
kiểm tra thông tin và cập nhật chương trình.
Tuy nhiên, không phải tất cả các SHA đều phải kết nối tới remediation
server. SHA kiểm tra trạng thái hoạt động của tường lửa chỉ cần hoạt động
trên chính client đó mà không cần thiết phải lấy thông tin từ nơi khác.
Xác định được trạng thái sức khỏe hệ thống, SHA tạo ra bản tin statement of
health (SoH) rồi đưa tới NAP Agent. SoH có thể chứa một hoặc nhiều thông
tin về sức khỏe hệ thống. Ví dụ, SHA kiểm tra chương trình diệt Virus có thể
tạo ra SoH gồm có: Trạng thái hiện tại của chương trình, phiên bản đang sử
dụng, thời gian và file cập nhật mới nhất ... Các thông tin trong bản tin SoH
giúp cho NAP health policy server kiểm tra xem NAP Client có thỏa mãn
chính sách truy cập mạng hay không. Mỗi khi SHA cập nhật tình trạng sức
khỏe hệ thống, nó lại tạo một bản tin SoH mới gửi tới NAP Agent.
Để chỉ rõ toàn bộ tình trạng sức khỏe hệ thống của NAP Client, NAP Agent
sử dụng bản tin SSoH (System Statement of Health). Bản tin này gồm có các
thông tin như phiên bản NAP Client đang sử dụng, tập các thông tin SoH của
các SHA trong hệ thống ….
Mỗi một SHA phải tương ứng với 1 System Health Validator - SHV. SHV là
một thành phần thuộc cấu trúc của NAP trong phần Server. Bản tin SoH mà
SHA gửi đi, sẽ được SHV xử lý và gửi lại bản tin SoHR (SoH Response).
Bản tin SoHR có thể yêu cầu SHA lấy lại chính xác hơn thông tin sức khỏe
hệ thống, hoặc chỉ cho SHA biết kết nối tới Remediation Server cập nhật
thông tin ….
• NAP Agent
Thành phần này có nhiệm vụ lưu trữ các thông tin hiện tại về tình trạng sức
khỏe hệ thống của NAP client và giúp cho việc giao tiếp giữa NAP EC và
các SHA dễ dàng hơn.
NAP Agent thực hiện các công việc sau:
Sinh viên thực hiện: Trương Vĩnh Điển
Trang 23
Quản lý truy cập mạng dựa trên NAP
o Lắng nghe các bản tin SoH từ SHA và lưu trữ chúng vào bộ
đệm. Các bản tin SoH trong cache được cập nhật khi SHA gửi
bản tin SoH mới thông báo.
o Tạo ra bản tin SSoH, và gửi bản tin SSoH tới NAP EC.
o Chuyển các thông báo tới SHA khi có sự thay đổi trạng thái
truy cập mạng.
o Nhận bản tin SSoHR, dựa vào đó tạo ra các bản tin SoHR
chuyển tới đúng các SHA tương ứng.
• SHA application programming interface (API)
Cung cấp các hàm để đăng ký SHA với NAP Agent, các hàm xác định trạng
thái sức khỏe hệ thống, các hàm trả lời về các thông tin mà NAP Agent yêu
cầu.
• NAP EC API
Cung cấp các hàm cho phép NAP EC đăng ký với NAP Agent, cho phép EC
đưa ra yêu cầu lấy thông tin trạng thái hệ thống, cho phép EC đưa thông tin
về việc hạn chế hay cho phép truy cập tới NAP Agent.
b. NAP - Server
Cấu trúc phía Server của hệ thống NAP gồm có 2 phần: NAP enforcement
point và NAP health policy server.
Sinh viên thực hiện: Trương Vĩnh Điển
Trang 24
Quản lý truy cập mạng dựa trên NAP
Hình 2.6: Cấu trúc NAP-Server
NAP enforcement point trên nền tảng Windows gồm có các thành phần NAP
ES (Enforcement Server). Mỗi thành phần NAP ES được thiết kế cho từng loại truy
cập mạng khác nhau, và tương ứng với từng NAP EC trong cấu trúc phía NAP
Client.
NAP ES thu nhận các thông tin từ NAP EC và gửi tới NAP health policy
server thông qua thông điệp RADIUS Access-Request.
Một số loại NAP ES được Microsoft thiết kế như sau:
o IPsec NAP ES dành cho giao tiếp được mã hóa IPsec
o DHCP NAP ES dành cho dịch vụ DHCP
o TS Gateway NAP ES cho kết nối thông qua Terminal Server Gateway
Riêng đối với kết nối VPN và kết nối được xác thực theo chuẩn 802.1X,
không có thành phần NAP ES riêng biệt chạy trong VPN Server, 802.1X
Switch hoặc Wireless AP.
NAP health policy server bao gồm các thành phần sau:
• NPS service
NPS service là dịch vụ được cung cấp sẵn trong Windows Server 2008.
Sinh viên thực hiện: Trương Vĩnh Điển
Trang 25