Tải bản đầy đủ (.pdf) (56 trang)
  1. Trang chủ
    2. >>
  2. Công Nghệ Thông Tin
    3. >>
  3. An ninh - Bảo mật

Giải pháp định danh toàn cục trong quản trị mạng

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (1.17 MB, 56 trang )

TÓM TẮT NỘI DUNG
Bài toán quản trị mạng luôn là một bài toán phức tạp đặc biệt là với các cơ quan tổ
chức lớn trên thế giới. Làm sao để kiểm soát đến từng kết nối của người dùng đến hệ
thống mạng luôn là vấn đề đau đau với các nhà quản trị mạng. Nếu hệ thống mạng
của bạn có trên 10000 nghìn người sử dụng thường xuyên bạn làm cách nào để có thể
thực thi cấu hình đến 10000 nút mạng đó, ngoài ra đối với công tác quản trị việc kiểm
soát truy cập vào hệ thống của 10000 người dùng càng khó khăn hơn.
Ngày nay, mạng máy tính đã có những thay đổi cơ bản, từ các trung tâm dữ liệu (Data
Center) riêng lẻ, đến việc kết hợp lại thành Cloud Computing, cung cấp các dịch vụ,
ứng dụng tập trung, … với mục đích cắt giảm chi phí, khả năng mở rộng và đảm bảo
tính linh hoạt.
Trước nhưng thách thức đối với bài toán quản trị mạng yêu cầu cần phải có một công
cụ đảm bảo thực thi các cấu hình quản trị và giám sát trên hệ thống một cách tự động.
Để làm được việc này bắt buộc phải xây dựng một cơ chế định danh thiết bị mạng
trên hệ thống và đặc biệt là phải định danh được cổng kết nối trên thiết bị mạng. Nhờ
đó mới có thể quản trị được cấu hình trên từng cổng mạng.
Trong khuôn khổ của luận văn chúng tôi tìm hiểu tổng quan về định danh toàn cục
áp dụng cho bài toán quản trị mạng. Từ đó xây dựng ứng dụng quản trị cho phép thực
hiện cấu hình quản trị thiết bị mạng trên hệ thống mạng.

1


MỤC LỤC
TÓM TẮT NỘI DUNG.................................................................................. 1
MỤC LỤC ..................................................................................................... 2
PHỤ LỤC TỪ VIẾT TẮT.............................................................................. 4
DANH MỤC HÌNH VẼ ................................................................................. 5
DANH MỤC BẢNG BIỂU............................................................................ 7
LỜI CẢM ƠN ................................................................................................ 8
LỜI CAM ĐOAN .......................................................................................... 9


LỜI NÓI ĐẦU ............................................................................................. 10
CHƯƠNG 1: QUẢN TRỊ TÀI NGUYÊN HỆ THỐNG MẠNG .................. 12
1.1

Tổng quan về Quản trị mạng............................................................ 12

1.1.1

Quản trị mạng và thách thức đối với hệ thống công nghệ thông tin
12

1.1.2

Mô hình quản trị hệ thống mạng ................................................ 14

1.1.3

Thực trạng và thách thức trong Quản trị mạng ........................... 16

1.2

Xây dựng phương thức quản trị mạng .............................................. 17

1.2.1

Tài nguyên trong hệ thống mạng................................................ 17

1.2.2

Phương thức quản trị tài nguyên hệ thống mạng ........................ 17


1.2.3

Port Security .............................................................................. 23

1.2.4

Giải pháp giám sát truy cập........................................................ 26

1.3

Tiểu kết chương 1 ............................................................................ 29

2


CHƯƠNG 2: HỆ THỐNG ĐỊNH DANH TOÀN CỤC................................ 30
2.1. Cấu trúc hệ thống định danh............................................................. 30
2.1.1. Không gian miền........................................................................ 30
2.1.2. Giải pháp miền........................................................................... 32
2.1.3. Định danh người dùng trên thiết bị mạng ................................... 33
2.2. Kiểm soát hệ thống mạng dựa trên định danh toàn cục..................... 34
2.2.1. Phân loại thiết bị trong hệ thống mạng ....................................... 37
2.2.2. Kiểm soát các thiết bị trong hệ thống mạng ............................... 37
CHƯƠNG 3: ỨNG DỤNG QUẢN TRỊ MẠNG DỰA TRÊN ĐỊNH DANH
TOÀN CỤC ................................................................................................. 41
3.1. Kiểm soát truy cập cổng mạng ......................................................... 41
3.2. Xây dựng hệ cơ sở dữ liệu cổng mạng và thiết bị mạng ................... 43
3.2.1. Hệ cơ sở dữ liệu thiết bị chuyển mạch ....................................... 43
3.2.2. Hệ cơ sở dữ liệu cổng mạng....................................................... 48

3.3. Mô tả ứng dụng................................................................................ 49
3.4. Tích hợp với thiết bị mạng ............................................................... 52
KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN CỦA ĐỀ TÀI ............................. 55
TÀI LIỆU THAM KHẢO ............................................................................ 56

3


PHỤ LỤC TỪ VIẾT TẮT
AAA

Authentication Authorization Accounting

DHCP

Dynamic Host Configuration Protocol

DNS

Domain Name System

EAP

Extensible Authentication Protocol

NAC

Network Access Control

Port

Switch

Cổng mạng
Thiết bị chuyển mạch

4


DANH MỤC HÌNH VẼ
Hình 1. Quản trị mạng trong hệ thống.................................................................... 13
Hình 2. Mô hình ba lớp.......................................................................................... 15
Hình 3: Kiểm soát truy cập .................................................................................... 19
Hình 4. Cơ chế hoạt động 802.1x........................................................................... 20
Hình 5 Cơ chế hoạt động của Port security ............................................................ 21
Hình 6: Ví dụ về Port Security............................................................................... 22
Hình 7. Các thức hoạt động của port security......................................................... 23
Hình 8: Mô tả cách thức check hành vi vi phạm .................................................... 24
Hình 9: Cơ chế kiểm soát truy cập vào hệ thống mạng chia sẻ của doanh nghiệp... 27
Hình 10. Cửa sổ thông báo PC của người dùng không an toàn và cần phải sửa
chữa....................................................................................................................... 28
Hình 11. Quá trình sửa chữa. ................................................................................. 29
Hình 12: Mô tả tổ chức không gian tên.................................................................. 32
Hình 13: Cơ chế định danh người dùng trên cổng mạng ........................................ 33
Hình 14: Đề xuất giải pháp bảo mật của Juniper .................................................... 35
Hình 15: Mô tả mô hình 3 lớp................................................................................ 36
Hình 16: Mô tả cách thức gán Mac của người dùng vào hệ thống .......................... 38
Hình 17. Chặn kết nối của người dùng truy cập trái phép ...................................... 38
Hình 18. Hệ thống kiểm soát truy cập sử dụng mô hình client server..................... 40
Hình 19: Mô hình hoạt động của NAC .................................................................. 42
Hình 20: Mô hình xác thực kết hơp với ứng dụng quản trị..................................... 43

Hình 21: Thông tin người dùng ............................................................................. 50

5


Hình 22: Thông tin thiết bị chuyển mạch ............................................................... 51
Hình 23: Cấp phát tài nguyên cho người dùng ....................................................... 51
Hình 24: Kiểm tra cấu hình trước khi đẩy lệnh vào thiết bị chuyển mạch .............. 52
Hình 25: Theo dõi tác vụ cấu hình cấp phát tài nguyên.......................................... 52
Hình 26: Cấu hình ứng dụng đẩy lên thiết bị chuyển mạch .................................... 53

6


DANH MỤC BẢNG BIỂU
Bảng 1: Cấu hình Port Security Cisco....................................................................26
Bảng 2: Cấu hình và kiểm tra Port Security của Cisco ........................................... 35
Bảng 3: Cấu hình Port Security của Juniper........................................................... 36
Bảng 4: Ví dụ thực tiễn về cách đặt tên thiết bị chuyển mạch tại Tổng cục thuế ....48

7


LỜI CẢM ƠN
Lời đầu tiên, tôi xin chân thành cảm ơn PGS.TS Hà Quốc Trung – giảng viên bộ
môn Truyền thông và Mạng máy tính – đã hết sức quan tâm, tận tình giúp đỡ cũng
như chỉ bảo, định hướng và tạo mọi điều kiện thuận lợi nhất giúp tôi hoàn thành luận
văn của mình.
Tôi cũng xin cảm ơn các thầy giáo, cô giáo trong trường Đại học Bách Khoa Hà Nội,
Viện Đào tạo Sau đại học, đặc biệt là các thầy cô giáo của Viện Công nghệ thông tin

và Truyền thông đã hết lòng dạy bảo, truyền đạt những kiến thức kinh nghiệm cho
tôi trong suốt thời gian học tập ở bậc Cao học.
Cuối cùng tôi xin được gửi lời cảm ơn sâu sắc nhất tới gia đình và người thân đã hết
lòng ủng hộ, khích lệ tinh thần và luôn động viên tôi vào những lúc khó khăn nhất để
tôi có thêm động lực hoàn thành luận văn này.

8


LỜI CAM ĐOAN
Tôi – Vũ Thanh Minh – xin cam đoan kết quả đạt được trong luận văn là sản phẩm
nghiên cứu, tìm hiểu của riêng cá nhân tôi và giảng viên hướng dẫn. Trong toàn bộ
nội dung của luận văn, những điều được trình bày hoặc là của cá nhân tôi hoặc là
được tổng hợp từ nhiều nguồn tài liệu. Tất cả các tài liệu tham khảo đều có xuất xứ
rõ ràng và được trích dẫn hợp pháp.
Tôi xin hoàn toàn chịu trách nhiệm và chịu mọi hình thức kỷ luật theo quy định cho
lời cam đoan của mình.

Hà Nội, tháng 04 năm 2015
Tác giả Luận văn Thạc sỹ

Vũ Thanh Minh

9


LỜI NÓI ĐẦU
Lý do chọn đề tài
Bài toán quản trị và vận hành thiết bị mạng ngày càng cấp bách căn cứ theo yêu cầu
thực tế đó đề tài được xây dựng với mong muốn đưa ra được hệ quản trị các thiết bị

mạng trên một hệ thống hợp nhất và nhằm đáp ứng yêu cầu cụ thể của bài toán kiểm
soát truy cập trong các cơ quan/tổ chức/doanh nghiệp.
Hệ thống công nghệ thông tin của các cơ quan/tổ chức ngày càng mở rộng. Việc kiểm
soát và vận hành hiệu quả là yêu cầu tất yếu do vậy việc quản trị tập trung các thành
phần trong hệ thống công nghệ thông tin là bắt buộc tuy nhiên do thực tế khách quan
các thành phần trên hệ thống không có sự thống nhất về chủng loại, tính năng và
phương thức vận hành. Do vậy đề tài được xây dựng nhằm mục đích xây dựng hệ cơ
sở dữ liệu cổng mạng và Switch và quản trị kiểm soát kết nối của các thành phần khác
đến switch.
Các hãng sản xuất khác nhau đưa ra các công cụ quản trị khác nhau dành cho các
thiết bị mạng. Các phần mềm quản trị đó thông thường hay gặp vấn đề với việc tích
hợp với các hệ thống khác mà hãng không cung cấp. Ngoài ra việc định danh chi tiết
đến các cổng kết nối mạng gần như không có. Chính vì lý do đó tôi chọn đề tài định
danh toàn cục trong quản trị mạng với mục đích xây dựng một ứng dụng phát triển
trên cơ sở lý thuyết định danh toàn cục để tháo gỡ các vướng mắc của các công cụ
quản trị mạng khác đang gặp phải.
Mục tiêu của luận văn
Qua phân tích, chúng tôi nhận thấy việc phát triển ứng dụng quản trị mạng dựa trên
lý thuyết về định danh toàn cục là hoàn toàn hợp lý. Do vây mục tiêu của luận văn là
xây dựng ứng dụng cho phép:
 Xây dựng được hệ cơ sở dữ liệu quản trị cổng mạng của Switch
 Quản trị cấu hình cổng Switch dựa trên bài toán cụ thể kiểm soát truy cập hệ
thống mạng
Tóm tắt nội dung
 Tìm hiểu về định danh toàn cục
 Đề xuất được phương án đinh danh toàn cục trong bài toán quản trị mạng

10



 Xây dựng phương pháp quản trị cho hệ thống thiết bị chuyển mạch dựa trên
hai tính năng Port Security và 802.1x của thiết bị chuyển mạch hỗ trợ
 Xây dựng ứng dụng cấu hình thiết bị chuyển mạch tự động
Phương pháp nghiên cứu
Nghiên cứu về đinh danh toàn cục kết hợp với phân tích các bài toán quản trị mạng
gặp phải đặc biệt là kiểm soát truy cập vào thiết bị chuyển mạch. Từ đó xây dựng ứng
dụng hỗ trợ quản trị hệ thống mạng nhằm giải quyết các vấn đề gặp phải.

11


CHƯƠNG 1: QUẢN TRỊ TÀI NGUYÊN HỆ THỐNG MẠNG
1.1 Tổng quan về Quản trị mạng
1.1.1 Quản trị mạng và thách thức đối với hệ thống công nghệ thông tin
Ngày nay với một lượng lớn về thông tin, nhu cầu xử lý thông tin ngày càng cao.
Mạng máy tính hiện nay trở nên quá quen thuộc đối với chúng ta, trong mọi lĩnh vực
như khoa học, quân sự, quốc phòng, thương mại, dịch vụ, giáo dục... Hiện nay ở nhiều
nơi mạng đã trở thành một nhu cầu không thể thiếu được. Người ta thấy được việc
kết nối các máy tính thành mạng cho chúng ta những khả năng mới to lớn như:
 Sử dụng chung tài nguyên: Những tài nguyên của mạng (như thiết bị, chương
trình, dữ liệu) khi được trở thành các tài nguyên chung thì mọi thành viên của
mạng đều có thể tiếp cận được mà không quan tâm tới những tài nguyên đó ở
đâu.
 Tăng độ tin cậy của hệ thống: Người ta có thể dễ dàng bảo trì máy móc và lưu
trữ (backup) các dữ liệu chung và khi có trục trặc trong hệ thống thì chúng có
thể được khôi phục nhanh chóng. Trong trường hợp có trục trặc trên một trạm
làm việc thì người ta cũng có thể sử dụng những trạm khác thay thế.
 Nâng cao chất lượng và hiệu quả khai thác thông tin: Khi thông tin có thể được
sử dụng chung thì nó mang lại cho người sử dụng khả năng tổ chức lại các
công việc với những thay đổi về chất như:

 Ðáp ứng những nhu cầu của hệ thống ứng dụng kinh doanh hiện đại.
 Cung cấp sự thống nhất giữa các dữ liệu.
 Tăng cường năng lực xử lý nhờ kết hợp các bộ phận phân tán.
 Tăng cường truy nhập tới các dịch vụ mạng khác nhau đang được cung
cấp trên thế giới
Xu thế phát triển mạnh mẽ về công nghệ thông tin, hệ thống thông tin ngày càng lớn
điều đó làm phát sinh một số lượng lớn các công cụ quản trị hệ thống đòi hỏi người
quản trị tốn nhiều thời gian danh cho việc nghiên cứu sử dụng các công cụ khác nhau
để vận hành các hệ thống khác nhau.

12


Hình 1. Quản trị mạng trong hệ thống
Quản trị mạng thực chất bao gồm các công tác:
 Vận hành hệ thống: thực thi các điều khiển hệ thống đảm bảo hệ thống hoạt
đông hiệu quả liên tục
 Giám sát hệ thống: phân tích theo dõi hệ thống phát hiện các rủi do trên hệ
thống
Quay trở lại bài toán quản trị đối với một doanh nghiệp/tổ chức hơn 5000 người. Để
đảm bảo cung cấp dịch vụ công nghệ thông tin cho 5000 người tối thiểu hệ thống
thông tin cũng cần phải có 400 thiết bị chuyển mạch (24 port) hàng trăm thiết bị máy
chủ và bảo mật. Riêng với thiết bị chuyển mạch hiện tại các sản phẩm thương mại
được các hãng cung cấp rất nhiều.bao gồm: Cisco, Juniper, HP, …Đặc biệt đối với
môi trường thực tế tại Việt Nam bài toán đầu tư rất dàn trải và không rõ ràng như vậy
tối tối thiểu người quản trị hệ thống phải thực thi công tác vận hành và giám sát trên
400 thiết bị chuyển mạch khác nhau với các công cụ khác nhau. Bài toán đặt ra đối
với công tác quản trị chính là:

13



 Vận hành và giám sát tập chung hệ thống
 Cơ chế cung cấp tài nguyên tự động không phụ thuộc vào chủng loại thiết bị
 Kiếm soát truy cập người dùng
Với nhu cầu đòi hỏi ngày càng cao của xã hội nên vấn đề kỹ thuật trong mạng là mối
quan tâm hàng đầu của các nhà tin học. Ví dụ như làm thế nào để truy xuất thông tin
một cách nhanh chóng và tối ưu nhất, trong khi việc xử lý thông tin trên mạng quá
nhiều đôi khi có thể làm tắc nghẽn trên mạng và gây ra mất thông tin một cách đáng
tiếc. Hiện nay việc làm thế nào để vận hành tốt một hệ thống mạng, an toàn với lợi
ích kinh tế cao đang rất được quan tâm. Một vấn đề đặt ra có rất nhiều giải pháp về
công nghệ, một giải pháp có rất nhiều yếu tố cấu thành, trong mỗi yếu tố có nhiều
cách lựa chọn. Như vậy để đưa ra một giải pháp hoàn chỉnh, phù hợp thì phải trải qua
một quá trình chọn lọc dựa trên những ưu điểm của từng yếu tố, từng chi tiết rất nhỏ.
Ðể giải quyết nhưng vấn đề trên, luận văn này trình bày: “GIẢI PHÁP ĐỊNH DANH
TOÀN CỤC TRONG QUẢN TRỊ MẠNG”
1.1.2 Mô hình quản trị hệ thống mạng
Ngày nay đa phần các hệ thống mạng được xây dựng theo mô hình “ba lớp”:
Mô hình này gồm có ba lớp: Access, Distribution, và Core. Mỗi lớp có các thuộc tính
riêng để cung cấp cả chức năng vật lý lẫn luận lý ở mỗi điểm thích hợp trong mạng
Campus. Việc hiểu rõ mỗi lớp và chức năng cũng như hạn chế của nó là điều quan
trọng để ứng dụng các lớp đúng cách quá trính thiết kế.

14


Hình 2. Mô hình ba lớp
 Lớp truy cập (Access) Lớp truy cập xuất hiện ở người dùng đầu cuối được kết
nối vào mạng. Các thiết bị trong lớp này thường được gọi là các switch truy
cập, và có các đặc điểm sau:

 Chi phí trên mỗi port của switch thấp.
 Mật độ port cao.
 Mở rộng các uplink đến các lớp cao hơn.
 Chức năng truy cập của người dùng như là thành viên VLAN, lọc lưu
lượng và giao thức, và QoS.
 Chức năng kiểm soát truy cập của người dùng.
 Tính co dãn thông qua nhiều uplink.
 Lớp phân phối (Distribution) Lớp phân phối cung cấp kết nối bên trong giữa
lớp truy cập và lớp nhân của mạng Campus. Thiết bị lớp này được gọi là các
switch phân phát, và có các đặc điểm như sau:
 Thông lượng lớp ba cao đối với việc xử lý gói.

15


 Chức năng bảo mật và kết nối dựa trên chính sách qua danh sách truy
cập hoặc lọc gói.
 Tính năng QoS.
 Tính co dãn và các liên kết tốc độ cao đến lớp Core và lớp Access.
 Lớp nhân (Core) Lớp nhân của mạng Campus cung cấp các kết nối của tất cả
các thiết bị lớp phân phối. Lớp nhân thường xuất hiện ở phần xương sống
(backbone) của mạng, và phải có khả năng chuyển mạch lưu lượng một cách
hiệu quả. Các thiết bị lớp nhân thường được gọi là các backbone switch, và có
những thuộc tính sau:
 Thông lượng ở lớp 2 hoặc lớp 3 rất cao.
 Chi phí cao
 Có khả năng dự phòng và tính co dãn cao.
 Chức năng QoS.
1.1.3 Thực trạng và thách thức trong Quản trị mạng
 Hệ thống mạng của cơ quan, tổ chức ngày càng mở rộng dẫn đến tiêu tốn

nguồn lực rất lớn cho việc Quản trị mạng.
Ví dụ: Hệ thống Vietinbank hiện tại đã lên đến 20000 người dùng, hệ thống
Techcombank khoảng 9000 người dùng
 Hệ thống mạng được trang bị của cơ quan, tổ chức được cung cấp bởi nhiều
hãng khác nhau
Danh mục các hãng cung cấp thiết bị mạng: Cisco, Juniper, HP, Alcatel,
Fortinet…
 Yêu cầu vận hành hệ thống ngày càng phức tạp đặc biệt là các yêu cầu về bảo
mật hệ thống. Các yêu cầu về bảo mật được căn cứ theo các bộ tiêu chuẩn khác
nhau như: ISO 27000, PCI – DSS
 Bài toán về tiết kiệm chi phí và nguồn lực luôn được đặt lên hàng đầu
 Các hệ thống quản trị mạng tập chung của các hãng công nghệ chỉ hỗ trợ các
thiết bị của chính hãng đó. Một hạn chế lớn của các hệ thống quản trị thiếu

16


một cơ chế tự động cấp phát tài nguyên hệ thống cho người sử dụng, không có
cơ sở dữ liệu quản trị người dùng.
Ví dụ: Cisco có hệ thống Cisco Primer Infrastructure, Juniper có hệ thống
Juniper NSM
1.2 Xây dựng phương thức quản trị mạng
Bài toán quản trị mạng trên môi trường mạng diện rông yêu cầu phải xác định được
các thành phần hai nói cách khác là tài nguyên của hệ thống mạng được quản lý. Đối
với bài toán thực tế của luận văn đó chính là quản trị hệ thống thiết bị chuyển mạch
(Swich) mà đối tượng cụ thể chính là cổng Switch, bên cạnh đó là phương thức quản
trị đối với đối tượng là “Tài nguyên hệ thống”. Vậy để làm rõ yêu cầu thực tế này,
trong khuôn khổ của luận văn xin được phép phân tích rõ thêm về tài nguyên cổng
mạng của hệ thống.
Bài toán quản trị đối với cổng Switch:

 Quản lý cấp phát tài nguyên: cấp phát cho người sử dụng
 Quản lý chính sách tài nguyên: cấp phát chính sách truy cập cho người sử dụng
 Kiểm soát truy cập của người sử dụng
1.2.1 Tài nguyên trong hệ thống mạng
Tài nguyên trong hệ thống mạng chính là các cổng kết nối, tương tự như tài nguyên
Ram, CPU của máy tính. Để các phần mềm hoạt đông được hệ điều hành cần cung
cấp tài nguyên hệ thống cho việc vận hành các phần mềm. Tương tự như vậy tài
nguyên port mạng được dùng cung cấp cho người dùng.
1.2.2 Phương thức quản trị tài nguyên hệ thống mạng
Phương thức quản trị mạng chính là giải quyết bài toán quản trị cổng mạng đối với
hệ thống thiết bị chuyển mạch.
 Quản lý cấp phát tài nguyên:
Yêu cầu thứ nhất đối với các công cụ quản lý hệ thống Swich hiện nay chính là không
có cơ chế quản lý cấp phát tài nguyên cho người dùng. Để giải quyết bài toán này
phương thức đề xuất là sử dụng cơ chế định danh người dùng trên hệ thống mạng.
Đối với yêu cầu này nên sử dụng địa chỉ Mac để định danh máy tính của người dùng
trên hệ thống Switch. Như vậy mỗi máy tính sẽ có duy nhất một Mac được gán với

17


một hay nhiều cổng switch, điều này tương ứng với việc người dùng được cấp cho
một hay nhiều cổng kết nối đến Switch.
Yêu cầu thứ hai là tài nguyên cổng mạng được phân bổ trên nhiều thiết bị Switch
khác nhau nên cần thiết phải đưa ra cơ chế quản trị tập trung với các Switch.
 Quản lý chính sách tài nguyên:
Để quản lý chính sách cho từng nhóm người dùng cụ thể công cụ quản trị cần xây
dựng các mẫu chính sách khác nhau cho từng nhóm. Đối với quản trị trên hệ thống
Switch có thể sử dụng các chính sách:
 Quản trị thông qua xác thực người dùng(802.1x)

 Phân lớp người dùng. Ví dụ như chia người dùng vào các nhóm mạng
khác nhau trên hệ thống
 Chính sách về port security
 Kiểm soát truy cập của người sử dụng
Để thực hiện được việc kiểm soát truy cập của người dùng vào hệ thống bắt buộc phải
thực hiện định danh người dùng trên hệ thống đó. Có hai cơ chế kiểm soát được sử
dụng chủ yếu trên các hệ thống:
 Xác thực người dùng sử dụng username và password (802.1x)
Đối với cơ chế này Switch sẽ đóng vai trò trung gian giữa người dùng và máy chủ
xác thực thông qua giao tiếp EAP. Do vậy để hỗ trợ được cơ chế này người quản trị
hệ thống mạng cần thực hiện cấu hình 802.1x trên cổng mạng trực tiếp kết nối đến
người dùng.
Giải pháp sử dụng 802.1x hỗ trợ nhiều công cụ trong việc kiểm soát truy cập của
người dùng vào hệ thống.

18


Hình 3: Kiểm soát truy cập
-

Kiểm soát tuân thủ cài đặt phần mềm: cung cấp danh sách các phần mềm bắt
buộc phải cài đặt trển hê thống

-

Kiểm soát cập nhật bản vá: cung cấp khả năng yêu cầu cập nhật bản vá của hệ
điều hành, phần mềm diệt virust

-


Kiểm soát danh tính người dùng: yêu cầu bắt buộc để truy cập được vào hệ
thống là người dùng phải có thông tin tài khoản trên hệ thống, máy tính của
nguwoif dùng phải nằm trong hệ thống.

-

Hỗ trợ phân loại máy tính người dùng kết nối đến hệ thống theo phiên bản hệ
điều hành: Window, Linux, Mac, android, IOS…

1. Do vậy một trong các yêu cầu bắt buộc đó là phân hệ quản trị mạng phải thực
hiện cấu hình tích hợp giữa cổng mạng với giải pháp kiểm soát truy cập.(tham
chiếu tài liệu 5. Cisco Nac)

19


Hình 4. Cơ chế hoạt động 802.1x
 Định danh người dùng bằng cách sử dụng port security định danh người
dùng trên hệ thống Switch dựa vào địa chỉ Mac

20


Hình 5 Cơ chế hoạt động của Port security
Cổng an ninh để bảo vệ switch từ các nguy hiểm tấn công Địa chỉ MAC bằng cách
hạn chế số lượng tối đa của địa chỉ MAC có thể được học trên cổng. Cổng Port
Security với tính năng được kích hoạt sẽ tìm hiểu các địa chỉ MAC tự động / tĩnh.
Khi số lượng địa chỉ MAC học đạt tối đa, cổng sẽ ngừng học tập. Vì vậy, các thiết bị
với địa chỉ MAC không thể học được không thể truy cập vào mạng thông qua cổng

này.
Ở đây chúng tôi sẽ cung cấp cho bạn một trường hợp để cho bạn biết làm thế nào để
cấu hình các ứng dụng bảo mật cổng.
Ví dụ:
Một công ty dùng một TL-SL5428E như chuyển đổi truy cập của công ty. Và họ
muốn đạt được nhu cầu này.
Các cổng của switch chỉ có thể được kết nối với một số máy tính được chỉ định, và
một máy tính chỉ có thể được kết nối với một cổng cố định của Switch, nếu không thì
máy tính không thể truy cập vào mạng thông qua cổng này.

21


Hình 6: Ví dụ về Port Security

22


1.2.3 Port Security

Hình 7. Các thức hoạt động của port security
Thiết bị chuyển mạch cung cấp khả năng cấu hình giới hạn các địa chỉ MAC của các
máy tính kết nối vào hệ thống Switch (tham chiếu tài liệu Cisco Port Security). Có ba
dạng thức bảo mật:
 Static secure MAC address: đây là dạng thức cấu hình cho phép gán tĩnh địa
chỉ MAC vào port. Tính năng này hoàn toàn phù hợp với việc sử dụng cung
cấp kết nối có bảo mật cho người dùng cuối.
 Dynamic secure MAC address: tính năng này cho phép Switch thực hiện cơ
chế tự học địa chỉ MAC trên hệ thống. Được sử dụng cho trường hợp không
có đủ thông tin kết nối của thiết bị đầu cuối

 Sticky secure MAC address: tính năng cho phép lưu thông tin MAC trên thông
tin cấu hình Swich một cách tự động. Trường hợp này được sử dụng cho
trường hợp cổng mạng kết nối chắc chắn có duy nhất một thiết bị đầu cuối kết
nối vào.
Hành vi vi phạm

23


Hình 8: Mô tả cách thức check hành vi vi phạm
Hành vi vi phạm của người dùng được mô tả qua tình huống sau:
Máy tính cắm vào cổng số 4 của thiết bị chuyển mạch có địa chỉ MAC khác với địa
chỉ MAC cấu hình cho phép trên thiết bị chuyển mạch do đó thiết bị chuyển mạch sẽ
đưa cổng mạng số 4 về trạng thái chờ, khi đó máy tính sẽ không kết nối vào được hệ
thống.
Switchport Security Aging:
Một tùy chọn khác có sẵn khi cấu hình bảo mật cổng mạng đó là xây dựng cơ chế cho
phép gỡ bỏ địa chỉ MAC sau một khoảng giới hạn thới gian
Có hai phương pháp khác nhau của việc thực hiện gỡ bỏ địa chỉ MAC, bao gồm:
 Absolute: Khi sử dụng phương pháp này, sau một khoảng thời gian “aging
time” thì địa chỉ MAC học được sẽ bị xóa bỏ.(tham chiếu tài liệu Cisco Port
Security)

24


 Inactivity: Khi sử dụng phương pháp này, sau một khoảng thời gian aging
time, nếu như không có traffic với source MAC là MAC đã học đi vào port thì
MAC đó mới bị xóa đi.(tham chiếu tài liệu Cisco Port Security)
Ví dụ nếu như aging type là absolute (switchport port-security aging type absolute)

và aging time là 1 phút (switchport port-security aging time 1) thì cứ sau 1 phút là
địa chỉ MAC đã học được trên port security sẽ bị xóa đi, bất kể có traffic đến hay
không. Nếu aging type là inactivity (switchport port-security aging type inactivity)
và aging time là 1 phút thì trong vòng 1 phút, nếu như không có traffic nào với source
MAC là địa chỉ MAC đã học đi vào port thì MAC đó sẽ bị xóa đi. Chừng nào còn
traffic thì MAC còn tồn tại(tham chiếu tài liệu Cisco Port Security).
Cấu hình Switchport Security
Trước khi cấu hình chế độ yêu cầu quản trị viên cần lưu ý:
Cơ chế cấu hình bảo mật cổng mạng chỉ có thể được cấu hình trên được ở hai chế độ
cổng mạng: “mode access” và “mode trunk”.
Cơ chế cấu hình bảo mật cổng mạng không hỗ trợ cấu hình ở “mode SPAN”.
Cơ chế cấu hình bảo mật cổng mạng không hỗ trợ trạng thái cổng cấu hình dạng
Etherchannel
Khi cấu hình bảo mật cổng mạng với một cổng thuộc “VLAN thoại” phải chú ý đến
giới hạn số địa chỉ MAC trên cổng mạng.
Dưới đây là bảng cấu hình chi tiết của port security:
1 router#configure terminal

Truy cập vào mode cấu
hình

2 router(config)#interface interface-id

Truy cập vào mode cấu
hình cổng mạng

3 router(config-if)#switchport
{access | trunk}

mode Cấu hình chế độ cổng

kết nối

4 router(config-if)#switchport
security

port- Bật port-security

25


Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×