Giới thiệu bổ sung về Network Access Protection phần 1
Brien M. Pose
y
Quản trị mạng - Có thể các bạn đã đọc
được rất nhiều tài liệu hoặc bài viết về
Network Access Protection (NAP). Đó là
một tính năng được thiết kế trong
Windows Server 2008 (trước đây có tên
mã là Longhorn Server) và đã có một số
bài viết về NAP xuất hiện ngay từ khi
Windows Server 2008 chưa được phát
hành.
Còn giờ đây Windows Server 2008 đã
được phát hành rộng rãi đến các nhà sản xuất, do vậy tác giả viết bài này muốn
nhìn nhận lại toàn bộ các loạt bài mà ông đã viết về NAP. Mặc dù hầu hết các
khái niệm đã được giới thiệu trong bài viết vẫn hợp lệ nhưng có một số bước có
liên quan tới quá trình thực thi đã có những sự thay đổi đáng kể.
Mục tiêu của việc chúng tôi giới thiệu bài này cũng là ý định update những loạt
bài viết về NAP trước đây của tác giả. Trong phần đầu tiên c
ủa loạt bài này,
chúng tôi sẽ giới thiệu cho các bạn về NAP và giải thích về cách làm việc của nó.
Từ đây, chúng tôi sẽ hướng dẫn từng bước cho bạn trong toàn bộ quá trình thực
thi.
Network Access Protection là gì?
Network Access Protection hoặc NAP như tên vắn tắt vẫn được gọi của nó,
được tạo ra để giải quyết một số nhược điểm gây thất vọng mà các quản trị viên
mạng thường gặp phả
i. Như một quản trị viên mạng, chúng tôi bảo đảm rằng
bạn có thể tốn rất nhiều thời gian và sự cố gắng của mình vào việc làm sao cho
mạng của mình được an toàn. Tuy nhiên vấn đề mắc phải ở đây là một số máy
tính trong mạng lại nằm bên ngoài sự kiểm soát trực tiếp của bạn và có nhiều

khó khăn hay đôi khi không thể bảo đảm sự an toàn.
Ở đây chúng tôi
đang nói về những người dùng từ xa. Quả thực sẽ hoàn toàn rất
dễ dàng đối với việc bảo vệ an toàn cho các máy trạm cư trú ở một trong hai
dạng trên, bạn chỉ có thể tránh được việc bảo mật cho các máy laptop của người
dùng miễn là các laptop này là tài sản của công ty. Mặc dù vậy trong nhiều tổ
chức, người dùng lại thích đăng nhập từ máy tính gia đình của họ bằng một kết
n
ối VPN để họ có thể làm một số việc sau giờ làm việc mà không cần phải đến
văn phòng. Do công ty không sở hữu các máy tính này nên các nhân viên quản
trị không có quyền điều khiển trực tiếp trên các máy tính này.
Trước khi có Network Access Protection, các tổ chức luôn phải chiến đấu để làm
sao cho các máy tính ngoài sự kiểm soát trực tiếp của các nhân viên quản trị kết
nối vào mạng. Lý do của điều này là một họ có thể gặp phải một số máy tính gia
đình thực sự “scary”. Rất khó để có thể tìm ra các máy tính gia đình đã bị tiêm
nhiễm virus và spyware hoặc vẫn đang sử
dụng các hệ điều hành không được
update một cách kịp thời. Và ngày càng có nhiều người hỏi về các vấn đề mà họ
gặp phải với Windows 98.
Network Access Protection được thiết kế để khắc phục các vấn đề trên. Khi một
người dùng nào đó kết nối vào mạng, máy tính của người dùng có thể được
mang ra so sánh với một chính sách “sức khỏe” mà bạn đã thiết lập Các nội
dung bên trong của chính sách này sẽ khác nhau tùy theo m
ỗi tổ chức, bạn có
thể yêu cầu hệ điều hành của người dùng phải có đầy đủ các bản vá bảo mật
mới nhất và máy tính phải đang chạy phần mềm chông virus được cập nhật một
cách kịp thời,…và nhiều vấn đề tương tự như vậy. Nếu một máy tính có hội tụ
đủ các tiêu chuẩn cần thiết mà bạn đã thiết lập trong chính sách thì máy tính này
hoàn toàn có thể kết nối vào mạng theo cách thông thường. Nếu máy tính này
không hội tụ đủ các yếu tố cần thiết thì bạn có thể chọn để từ chối sự truy cập

mạng cho người dùng, sửa vấn đề lập tức hoặc tiếp tục và cho người dùng sự
truy cập nhưng lưu ý về trạng thái của máy tính của người dùng.
Một số thuật ngữ
Trước khi chúng tôi có thể b
ắt đầu giới thiệu về cách làm việc của NAP, bạn cần
phải biết được một số thuật ngữ mà Microsoft sử dụng cho NAP.
Thuật ngữ đầu tiên mà bạn cần biết là Enforcement Client, đôi khi được viết tắt
là EC. Một Enforcement Client là một máy khách đang thực hiện kết nối vào
mạng của bạn. Cần phải lưu ý rằng không phải tất cả các máy trạm đều tươ
ng
thích với Network Access Protection. Để được xem xét là Enforcement Client,
máy trạm phải có thể chạy thành phần System Health Agent, đây là thành phần
mà chúng tôi sẽ giới thiệu cho các bạn trong các phần tiếp theo. Chỉ Windows
Vista và Windows XP SP3 mới có khả năng chạy System Health Agent và chính
vì vậy chỉ có các hệ điều hành máy trạm này tương thích với Network Access
Protection.
Thuật ngữ tiếp theo mà bạn cần biết đến là System Health Agent hoặc SHA.
System Health Agent là một tác nhân chạy như một dịch vụ trên máy trạm và
ki
ểm tra Windows Security Center. Tác nhân này chịu trách nhiệm cho việc báo
cáo các thông tin về trạng thái sức khỏe của hệ thống đối với máy chủ
Enforcement Server nhờ sự kết nối.
Khái niệm tiếp theo mà chúng tôi muốn giới thiệu cho các bạn sẽ là
Enforcement Server. Enforcement Server là một máy chủ dùng để thi hành các
chính sách đã được định nghĩa bởi NAP.
Một thuật ngữ khác cũng cần phải biết đến đó là System Health Validator hoặc
SHV. System Health Validator sử dụng các thông tin mà nó thu lượm được từ
System Health Agent và so sánh với các thông tin về trạng thái “sức khỏe” như
định nghĩa.
Thuật ngữ cuối cùng mà chúng tôi muốn giới thiệu là Remediation Server. M

ột
remediation server là một máy chủ để tạo khả năng truy cập cho các máy khách
không có đủ các tiêu chuẩn truy cập mạng như đã được thiết lập. Một máy chủ
remediation server (tạm dịch là máy chủ dùng để điều đình lại) sẽ chứa tất cả
các cơ chế cần thiết cho việc tạo một sự đồng thuận của máy khách với các
chính sách. Cho ví dụ, máy chủ này có thể sử dụng các b
ản vá bảo mật cho máy
khác thực thi.
Các hạn chế của NAP
Có một thứ mà chúng tôi muốn đề cập về NAP là nó cung cấp cho bạn một cách
nâng cao sự bảo mật cho các tổ chức, tuy nhiên lại không thay thế được các cơ
chế bảo mật khác mà bạn đang sử dụng. Network Access Protection không thỏa
mãn được sự hài lòng trong trường hợp bảo đảm các máy khách từ xa tuân theo
chính sách an ninh mạng. Trong thực tế, nó sẽ có thể thực hiệ
n một công việc
tốt hơn đối với việc thực thi chính sách này theo thời gian vì nó này được dựa
trên các chuẩn mở. Điều này có nghĩa rằng các hãng phần mềm thứ ba sẽ có
thể viết các module chính sách cho riêng bạn, chính sách này sẽ cho phép bạn
tạo các chính sách bảo mật để sử dụng cho phần mềm của các nhóm thứ ba
đang chạy trên enforcement client.
Những gì Network Access Protection không thể thực hiện được là ở chỗ, nó
không thể tránh được các k
ẻ xâm phạm bừa bãi vào mạng. Network Access
Protection chỉ bảo đảm rằng các máy trạm đang được sử dụng cho việc truy cập
từ xa có đủ các tiêu chuẩn. Chính vì vậy, Network Access Protection sẽ chỉ ngăn
được hacker nếu máy tính không thỏa mãn chính sách an ninh mạng của bạn
còn trong trường hợp máy tính của hacker đồng thuận theo chính sách này thì
sẽ rất khó để có thể thiết lập truy cập của hacker là truy cập bị từ chối.
Kết luận
Trong ph

ần này chúng tôi đã giới thiệu cho các bạn rằng Network Access
Protection có thể cung cấp một cách bảo vệ máy trạm trong việc kết nối với
mạng thông qua một chính sách bảo mật mạng. Trong phần tiếp theo của bài
này, chúng tôi sẽ tiếp tục giới thiệu cho các bạn về các thực thi bổ sung một tính
năng của Network Access Protection.
Cơ sở hạ tầng mạng cho Network Access Protection
Việc thực thi cơ sở hạ tầng mạng yêu cầu đến một vài máy chủ, mỗi một máy
chủ ở đây sẽ thực hiện một vai trò nào đó. Như những gì các bạn thấy trong
hình bên dưới, chúng ta sẽ sử dụng một Routing và Remote Access Server, m
ột
domain controller và một Network Policy Server.

Hình A: Thực thi NAP yêu cầu tới một vài máy chủ
Như những gì bạn thấy trong hình trên, Windows Vista client đang được kết nối
với máy chủ Windows Server 2008 (máy chủ đang chạy dịch vụ Remote Access
(RRAS)). Máy chủ này đóng vai trò như một VPN server cho mạng. Windows
Vista client thiết lập một kết nối với máy chủ VPN này theo cách thức thông
thường.
Khi người dùng từ xa kết nối với máy chủ VPN, các chứng chỉ của họ
phải hợp
lệ bằng RADIUS protocol. Máy chủ chính sách mạng sẽ xác định chính sách
“sức khỏe” nào đang bị gây ảnh hưởng và điều gì sẽ xảy ra nếu máy khách từ xa
không thỏa mãn chính sách này.
Trong môi trường thí nghiệm, một máy chủ vật lý có thể được sử dụng để cấu
hình cho cả Routing and Remote Access Service role và Network Policy Server
role. Trong các máy chủ VPN thực tế tồn tại ở các mạng vành đai đôi khi độ bảo
mật sẽ kém đi với mạng nếu bạn cấu hình máy chủ chính sách mạng trên máy
chủ này.
Domain ControllerNếu quan sát vào sơ đồ thể hiện trong hình A bạn sẽ thấy
rằng một trong các máy chủ yêu cầu là domain controller. Máy chủ

này không
phải là một máy chủ đơn thuần mà đúng hơn là toàn bộ một cơ sở hạ tầng
Active Directory. Như những gì bạn đã biết, Active Directory không thể hoạt động
mà không có máy chủ DNS. Nếu sơ đồ này là một trường hợp của mạng thực thì
domain controller phải cấu hình các dịch vụ DNS. Các tổ chức thường sử dụng
nhiều bộ điều khiển miền và các máy chủ DNS chuyên dụ
ng.
Những yêu cầu về cơ sở hạ tầng phụ không thể hiện trong hình vẽ trên là
Enterprise Certificate Authority. Tuy nhiên, Windows có thể được cấu hình để
thực hiện theo khả năng như vậy. Trong loạt bài này, chúng tôi sẽ cấu hình
domain controller để thực hiện như một bộ phận thẩm định chứng chỉ doanh
nghiệp. Nếu đây là một triển khai thực của bạn thì bạn sẽ sử dụng các máy ch
ủ
chuyên dụng để thẩm định chứng chỉ doanh nghiệp với những lý do về của các
chứng chỉ số.
Cài đặt thẩm định chứng chỉ doanh nghiệp (Enterprise Certificate
Authority)
Thủ tục cho việc triển khai một bộ thẩm định chứng chỉ doanh nghiệp khác nhau
tùy thuộc vào những gì bạn sẽ cài đặt các dịch vụ trên Windows 2003 server
hoặc Windows 2008 server. Do một mục đích của bài viết là làm sao thân thiện
v
ới bạn đọc nhất với Windows 2008 Server nên thủ tục dưới đây được dự định
cho việc cài đặt các dịch vụ chứng chỉ trên Windows Server 2008.
Trước khi giới thiệu cho các bạn cách cài đặt các dịch vụ chứng chỉ, bạn cần lưu
ý rằng trong triển khai thực bạn sẽ sử dụng các thông số cực độ để bảo đảm cho
bộ thẩm định chứng chỉ doanh nghi
ệp của bạn được an toàn. Nếu ai đó thỏa
hiệp với nó, họ sẽ sở hữu mạng của bạn. Vì bài viết này chỉ tập trung vào
Network Access Protection chứ hoàn toàn không tập trung vào các dịch vụ của
chứng chỉ nên chúng tôi sẽ giới thiệu cho các bạn một chút về các dịch vụ chứng

chỉ. Trong triển khai thực, bạn sẽ muốn có được khả năng cấu hình cho máy
chủ.
Bắt đầ
u quá trình triển khai bằng việc mở Server Manager của Windows 2008
Server và chọn tùy chọn Roles từ cây giao diện điều khiển. Tiếp đến, kích vào
liên kết Add Roles trong phần Roles Summary của giao diện điều khiển. Thao
tác này sẽ làm cho Windows khởi chạy Add Roles Wizard. Kích Next để đi qua
cửa sổ Welcome của wizard. Lúc này bạn sẽ thấy một danh sách tất cả các role
như thể hiện trong hình B. Chọn tùy chọn Active Directory Certificate Server từ
danh sách. Kích Next để tiếp tục.

Hình B: Windows liệt kê tất cả các role có sẵn cho bạn
Ở đây, bạn sẽ gặp một cửa sổ giới thiệu cho bạn về các dịch vụ chứng chỉ và
cung cấp một số chú ý c
ần thiết. Kích Next để bỏ qua cửa sổ này, bạn sẽ gặp
một cửa sổ khác, cửa sổ này sẽ hỏi bạn về các thành phần nào muốn cài đặt.
Chọn các hộp kiểm Certification Authority và Certificate Authority Web
Enrollment
Bạn sẽ thấy một cửa sổ tương tự như cửa sổ xuất hiên trong hình C, cửa sổ này
thông báo cho bạn rằng một số role bổ sung phải được cài đặt trước để
cài đặt
Certificate Authority Web Enrollment Role. Kích nút Add Required Role Service,
sau đó kích Next.

Hình C: Certificate Services Web Enrollment Role không thể làm việc mà không
có IIS
Một cửa sổ sẽ xuất hiện hỏi bạn xem có thích tạo một certificate authority doanh
nghiệp hoặc một certificate authority chuẩn. Chọn tùy chọn Enterprise Certificate
Authority và kích Next. Khi đó bạn sẽ được nhắc nhở về sử dụng máy chủ này
như một Root CA hay Subordinate CA. Do đây chỉ là certificate authority trong thí

nghiệm nên bạn chọn tùy chọn Root CA. Kích Next để tiếp tục.
Wizard sẽ hỏi bạn có muốn tạo một private key mớ
i hay sử dụng private key hiện
có hay không. Cũng do thực hiện trong cài đặt thử nghiệm nên chúng ta hãy
chọn tùy chọn tạo private key mới và kích Next để tiếp tục.
Cửa sổ tiếp theo mà bạn bắt gặp sẽ hỏi bạn sẽ tạo một private key mới hoặc sử
dụng private key hiện có. Do không có private key tồn tại từ trước nên bạn hãy
chọn tùy chọn tạo private key mới và kích Next.
Lúc này bạn sẽ thấy một cửa s
ổ giống như thể hiện trong hình D, cửa sổ này hỏi
bạn về chọn nhà cung cấp dịchvụ mã hóa, độ dài khóa và thuật toán “hash”. Vì
chúng ta sẽ thiết lập certificate authority này với mục đích minh chứng nên hãy
chọn các tùy chọn mặc định và kích Next.

Hình D: Chọn các tùy chọn mã hóa thích hợp cho triển khai thực để đảm bảo
vấn đề bảo mật
Cửa sổ tiếp theo các bạn gặp sẽ cho bạn một sự lựa chọn để định nghĩa tên
chung và hậu tố tên phân biệt cho certificate authority, ở đây bạn cũng chọn mặc
định và kích Next.
Bạn sẽ thấy một cửa sổ hỏi về khoảng thời gian mà các chứng chỉ
vẫn còn hợp
lệ. Chu kỳ thời gian mặc định này là 5 năm, ở thực hành này không quan trọng
về vấn đề này nên chúng ta chỉ cần kích Next. Cửa sổ tíêp theo sẽ hỏi bạn về
địa điểm đặt các cơ sở dữ liệu và các bản ghi phiên liên lạc tương ứng. Trong
môi trường sản xuất, việc chọn một địa điểm thích hợp rất quan trọng để cho
việc chuy
ển đổi dự phòng và bảo mật. Do đây là thực hành thử nghiệm nên
chúng ta chỉ cần chọn theo mặc định và kích Next.
Cho đến đây, chúng ta đã phải bổ sung vào giữa dòng một role để hỗ trợ cho
Certificate Services Web Enrollment role. Chính vì vậy cửa sổ kế tiếp mà bạn sẽ

thấy là một giới thiệu về IIS. Kích Next để đi qua cửa sổ này, bạn sẽ gặp tiếp một
cửa sổ hỏ
i bạn về thành phần Web Server nào muốn cài đặt. Tuy nhiên bạn cần
phải hiểu rằng Windows đã tạo những sự lựa chọn thích hợp cho bạn, chính vì
vậy chỉ cần kích Next.
Bạn sẽ thấy một cửa sổ chi tiết các tùy chọn đã được chọn. Kích nút Install, khi
đó Windows sẽ copy các file cần thiết và cấu hình các dịch vụ bên dưới. Khi quá
trình được hoàn tất, các kết quả sẽ thể hiện trên màn hình cho bạn thấy được
các role đã được cài đặt thành công, xem thể hiện trong hình E. Kích Close để
hoàn tất quá trình này.

Hình E: Khi quá trình cài đặt được hoàn tất, kích nút Close
Kết luận
Trong phần này chúng tôi đã giới thiệu cho các bạn cách c
ấu hình certificate
authority cho doanh nghiệp, từ phần ba trở đi chúng tôi sẽ bắt đầu bước vào cấu
hình VPN server.
