Quản lý truy cập mạng dựa trên NAP

mật dữ liệu. Để cung cấp kết nối giữa các máy tính, các gói thông tin được bao bọc bằng một header có chứa những thông tin định tuyến, cho phép dữ liệu có thể gửi từ máy truyền qua môi trường mạng chia sẻ và đến được máy nhận, như truyền trên các đường ống riêng được gọi là tunnel. Để bảo đảm tính riêng tư và bảo mật trên môi trường chia sẻ này, các gói tin được mã hoá và chỉ có thể giải mã với những khóa thích hợp, ngăn ngừa trường hợp "trộm" gói tin trên đường truyền. Hình 2.18: Nguyên lý VPN Quản lý truy cập mạng dựa trên NAP Sinh viên thực hiện: Trương Vĩnh Điển Trang 45 Tunneling là kỹ thuật sử dụng một hệ thống mạng trung gian (thường là mạng Internet) để truyền dữ liệu từ mạng máy tính này đến một mạng máy tính khác nhưng vẫn duy trì được tính riêng tư và toàn vẹn dữ liệu. Dữ liệu truyền sau khi được chia nhỏ thành những frame hay packet theo các giao thức truyền thông sẽ được bọc thêm 1 lớp header chứa những thông tin định tuyến giúp các packet có thể truyền qua các hệ thống mạng trung gian theo những đường riêng (tunnel). Khi packet được truyền đến đích, chúng được tách lớp header và chuyển đến các máy trạm cuối cùng cần nhận dữ liệu. Để thiết lập kết nối tunnel, máy client và server phải sử dụng chung một giao thức (tunnel protocol). Giao thức đó có thể là: - PPTP (Point-to-Point Tunneling Protocol): Giao thức PPTP sử dụng phương pháp xác thực người dùng thông qua giao thức PPP (Point-to- Point Protocol) và mã hóa dữ liệu bằng phương pháp MPPE (Microsoft Point-to-Point Encryption). PPTP có thể sử dụng cho Remote Access hay Site-to-Site VPN. Những thuận lợi khi áp dụng PPTP cho VPN là không yêu cầu certificate cho quá trình chứng thực và client có thể đặt phía sau NAT Router. - L2TP ( Layer 2 Tunneling Protocol): L2TP là sự kết hợp của PPTP và Layer 2 Forwading (L2F, giao thức được phát triển bởi Cisco System). So với PPTP thì L2TP có nhiều đặc tính mạnh và an toàn hơn. Trên hệ thống Microsoft, L2TP được kết hợp với IPSec Encapsulating Security Payload (ESP) cho quá trình mã hóa dữ liệu, gọi là L2TP/IPSec. Sự kết hợp này không chỉ cho phép chứng thực đối với người dùng mà còn cho phép chứng thực đối với các máy tính thông qua các chứng chỉ, nâng cao hơn độ an toàn của dữ liệu khi truyền, và quá trình tunnel có thể diễn ra trên nhiều hệ thống mạng khác nhau. Tuy nhiên trong môi trường L2TP/IPSec các VPN Client không thể đặt phía sau NAT Router. Các tình huống thông dụng của VPN: - Remote Access: Đáp ứng nhu cầu truy cập dữ liệu và ứng dụng cho người dùng ở xa, bên ngoài công ty thông qua Internet. Ví dụ khi người dùng muốn truy cập vào cơ sở dữ liệu hay các file server, gửi nhận email từ các mail server nội bộ của công ty… Mô hình Remote Access VPN như hình 2.19 dưới đây. - Site To Site: Áp dụng cho các tổ chức có nhiều văn phòng chi nhánh, giữa các văn phòng cần trao đổi dữ liệu với nhau. Ví dụ một công ty đa quốc gia có nhu cầu chia sẻ thông tin giữa các chi nhánh đặt tại Singapore và Việt Nam, có thể xây dựng một hệ thống VPN Site-to-Site kết nối hai Quản lý truy cập mạng dựa trên NAP Sinh viên thực hiện: Trương Vĩnh Điển Trang 46 site Việt Nam và Singapore tạo một đường truyền riêng trên mạng Internet phục vụ quá trình truyền thông an toàn, hiệu quả. Mô hình VPN Site to Site như hình 2.20. Hình 2.19: Remote Access VPN Hình 2.20: Site-to-site VPN Quản lý truy cập mạng dựa trên NAP Sinh viên thực hiện: Trương Vĩnh Điển Trang 47 Trong các mô hình trên, khi VPN Client muốn truy cập tài nguyên nội bộ trong hệ thống, nó sẽ phải khởi tạo kết nối VPN tới máy chủ VPN Server. Máy chủ này có nhiệm vụ lắng nghe các yêu cầu kết nối VPN, thực thi việc tạo kết nối, xác thực, và route các gói tin. Khác với mô hình Remote Access VPN thích hợp cho trường hợp truy cập tài nguyên một cách đơn lẻ, không thường xuyên, mô hình VPN Site to Site đáp ứng được các yêu cầu truy cập dữ liệu liên tục, nhiều kết nối trong một thời điểm, và đặc biệt là trong suốt đối với người dùng. Khi sử dụng phương thức thực thi VPN, chúng ta cần có máy chủ NAP health policy và VPN EC trên NAP Client. VPN EC có tên là Remote Access Quarantine enforcement client. Sau quá trình xác thực và kiểm tra tình trạng sức khỏe hệ thống, sẽ xảy ra 1 trong 3 trường hợp sau cho NAP Client: - Không được xác thực - Xác thực và không hạn chế truy cập - Xác thực nhưng bị hạn chế truy cập. Nguyên tắc hoạt động của phương thức thực thi VPN như sau: 1. VPN client khởi tạo kết nối tới VPN server. 2. VPN server gửi bản tin EAP–Request/Identity tới thành phần EAP client. Thành phần này được đặt tại VPN client. 3. Thành phần EAP client đáp trả với bản tin EAP-Response/Identity chứa user name của VPN client. 4. VPN server gửi bản tin EAP-Response/Identity nhận được tới máy chủ NAP health policy bằng thông điệp RADIUS Access-Request. Giữa máy chủ NAP health policy và EAP Client đã thiết lập một kênh kết nối logic, với thiết bị trung gian đứng giữa là VPN Server. 5. NAP health policy server gửi bản tin EAP-Request/Start Protected EAP (PEAP) tới EAP client và thỏa thuận thiết lập phiên TLS. 6. NAP health policy server yêu cầu VPN client xác thực sử dụng phương pháp PEAP. Ví dụ như PEAP-MS-CHAP v2. 7. VPN client xác thực với NAP health policy server sử dụng phương pháp xác thực PEAP đã thỏa thuận. Quản lý truy cập mạng dựa trên NAP Sinh viên thực hiện: Trương Vĩnh Điển Trang 48 8. NAP health policy server gửi yêu cầu lấy bản tin SSoH tới VPN client qua bản tin PEAP–Type-Length-Value (TLV). 9. EAP client chuyển yêu cầu tới Remote Access Quarantine EC, sau đó yêu cầu NAP Agent thu thập thông tin SSoH. 10. Remote Access Quarantine EC chuyển thông tin SSoH thu nhận được tới EAP client, rồi EAP Client chuyển nó tới NAP health policy server qua bản tin PEAP-TLV. 11. NPS service tách ra các bản tin SoH và chuyển nó tới thành phần NAP Administration Server. 12. NAP Administration Server chuyển các bản tin SoH tới đúng các SHV tương ứng. 13. SHV phân tích bản tin SoH này và đưa ra bản tin SoHR gửi tới NAP Administration Server. 14. NAP Administration Server chuyển các bản tin SoHR tới NPS để tạo ra bản tin SSoHR. 15. NPS service gửi thông điệp PEAP-TLV có chứa bản tin SSoHR tới EAP client. 16. EAP client chuyển bản tin SSoHR tới Remote Access Quarantine EC, rồi chuyển tới NAP Agent. 17. NPS service gửi bản tin RADIUS Access-Accept tới VPN server để thông báo quyết định cho phép hay hạn chế truy cập Quản lý truy cập mạng dựa trên NAP Sinh viên thực hiện: Trương Vĩnh Điển Trang 49 Trong trường hợp VPN client không thỏa mãn CSTCM và bị hạn chế truy cập, nó sẽ thực hiện quá trình remediation được hướng dẫn trong bản tin SSoHR để cập nhật sức khỏe hệ thống thỏa mãn CSTCM, và chuyển từ trạng thái hạn chế truy cập sang trạng thái truy cập không hạn chế. 2.3.4. Phương thức thực thi DHCP Trong một hệ thống mạng lớn, việc cấu hình các thông số TCP/IP như địa chỉ IP, Gateway, DNS Server …. cho các server, client và các thiết bị khác một cách thủ công chiếm rất nhiều thời gian, công sức của quản trị mạng. Và thậm chí trong nhiều trường hợp là không thể thực hiện được một cách thủ công như vậy. Khi sử dụng DHCP (Dynamic Host Configuration Protocol) Server, các thông số TCP/IP sẽ được cấu hình một cách tự động, chính xác. Các quản trị mạng sẽ dễ dàng quản lý, kiểm soát… tài nguyên địa chỉ IP của mình, giảm thiểu nhiều sai sót không đáng có, và giảm rất nhiều công sức nếu so với việc cấu hình thủ công các thông số đó. Hình 2.21: Nguyên lý hoạt động phương thức thực thi VPN Quản lý truy cập mạng dựa trên NAP Sinh viên thực hiện: Trương Vĩnh Điển Trang 50 Khi máy trạm khởi động hoặc được kết nối vào hệ thống mạng có triển khai DHCP, nó sẽ được tự động cấu hình các thông số TCP/IP sau khi trao đổi một số các bản tin cần thiết. Các bản tin đó là DHCPDISCOVER, DHCPOFFER, DHCPREQUEST, DHCPACK. Các bản tin này được truyền qua giao thức UDP. Bản tin từ Client tới Server sử dụng UDP Source Port 68 và UDP Destination Port 67, còn bản tin gửi từ Server tới Client, sử dụng UDP Source Port là 68, Destination Port 67. Chúng ta có thể miêu tả quá trình trao đổi các bản tin trên qua hình sau: - Client cần được cấp địa chỉ, nó sẽ Broadcast các bản tin DHCPDiscover trong mạng của mình, để xác định ra máy chủ DHCP đang hoạt động. - Máy chủ DHCP nhận được bản tin DHCPDiscover, sẽ gửi lại bản tin DHCPOffer tới Client theo phương thức Unicast. Trong bản tin DHCPOffer gửi đi, sẽ có các tham số về TCP/IP được cấu hình trên DHCP Server, và một địa chỉ IP dành cho máy client đó. Và nếu trong mạng có nhiều DHCP Server, sẽ có khả năng nhiều bản tin DHCPOffer cùng được gửi đến 1 máy Client. - Máy Client sẽ đáp trả lại 1 trong số các bản tin DHCPOffer nhận được bằng bản tin DHCPRequest, yêu cầu được cấp địa chỉ IP được đưa ra trong bản tin DHCPOffer. - DHCP Server sẽ gửi bản tin DHCPAck để xác nhận lại địa chỉ IP mà Client xin được cấp. Trên thực tế, hệ thống mạng doanh nghiệp bao gồm rất nhiều lớp mạng khác nhau, mỗi lớp mạng này cần có các thông số TCP/IP tương ứng. Và cũng không thể triển khai tại tất cả các lớp mạng con này một máy chủ DHCP để cấp cấu hình TCP/IP tự động. Để đáp ứng yêu cầu thực tế đó, mô hình DHCP Relay được áp dụng. Mô hình DHCP Relay được miêu tả qua hình sau: Hình 2.22: Nguyên lý hoạt động hệ thống DHCP Quản lý truy cập mạng dựa trên NAP Sinh viên thực hiện: Trương Vĩnh Điển Trang 51 Các máy Client ở các lớp mạng khác với máy chủ DHCP, khi khởi động hoặc kết nối vào mạng, broadcast bản tin DHCPDiscover, sẽ được DHCP Relay Agent chuyển tiếp bản tin đó tới máy chủ DHCP, và ngược lại. DHCP Relay Agent hiện nay đã được tích hợp vào phần lớn các thiết bị mạng như Router, Switch Layer 3, hoặc máy chủ Windows Server cài đặt dịch vụ RRAS (Routing and Remote Access Service). Trong trường hợp máy client xin cấp địa chỉ IP mà không nhận được phản hồi từ DHCP Server, nó sẽ sử dụng cơ chế APIPA (Automatic Private IP Addressing) để tự gán cho mình một địa chỉ IP. Địa chỉ này được lấy ngẫu nhiên trong dải từ 169.254.1.0 - 169.254.254.255. Và khi đó, máy client này sẽ chỉ giao tiếp được với máy client khác nếu máy đó cũng không nhận được cấu hình DHCP và sử dụng APIPA như nó. Nguyên tắc hoạt động của phương thức thực thi DHCP: 1. DHCP Client gửi bản tin DHCP Request yêu cầu được cấp DHCP và bản tin SSoH tới DHCP server. 2. DHCP server chuyển bản tin SSoH nhận được tới NAP health policy server thông qua thông điệp RADIUS Access-Request. 3. NPS service tách từ thông điệp RADIUS nhận được, lấy ra bản tin SSoH và chuyển nó tới NAP Administration Server. 4. NAP Administration Server tách các bản tin SoH từ bản tin SSoH nhận được, chuyển chúng tới đúng các SHV tương ứng. 5. SHV phân tích nội dung bản tin SoH nhận được, tạo ra bản tin SoHR và chuyển nó tới NAP Administration Server. 6. NAP Administration Server chuyển các bản tin SoHR tới NPS. NPS service so sánh các bản tin này với chính sách đã cấu hình, tạo ra bản tin SSoHR. Hình 2.23: Nguyên lý hoạt động hệ thống DHCP Relay Quản lý truy cập mạng dựa trên NAP Sinh viên thực hiện: Trương Vĩnh Điển Trang 52 7. NPS service gửi thông điệp RADIUS Access-Accept có chứa bản tin SSoHR tới DHCP server. Nếu DHCP client không thỏa mãn CSTCM, thông điệp RADIUS Access-Accept sẽ có chứa thông tin về để hướng dẫn DHCP Client kết nối với remediation server. Và sau khi quá trình cấu hình DHCP hoàn thành, DHCP client sẽ bị đưa vào lớp mạng hạn chế truy cập. Ngược lại, nếu DHCP Client thỏa mãn CSTCM, trong thông điệp RADIUS Access-Accept sẽ không có các thông tin như trên, và sau khi nhận xong cấu hình DHCP, máy Client sẽ không bị hạn chế truy cập mạng. 8. Trong quá trình trao đổi các bản tin DHCP, máy chủ DHCP gửi bản tin SSoHR tới DHCP client. Hình 2.24: Nguyên lý hoạt động phương thức thực thi DHCP Quản lý truy cập mạng dựa trên NAP Sinh viên thực hiện: Trương Vĩnh Điển Trang 53 9. DHCP client service sẽ chuyển bản tin SSoHR nhận được tới thành phần DHCP Quarantine EC, sau đó chuyển tới NAP Agent. NAP Agent tách ra các bản tin SoHR, chuyển tới đúng các SHA. Trong trường hợp DHCP Client không thỏa mãn CSTCM, quá trình Remediation xảy ra. Các thông số cần thiết cho quá trình này được các SHA lấy ra từ các bản tin SoHR nhận được. Sau quá trình cập nhật, DHCP Client sẽ tổng hợp lại thành bản tin SSoH mới, và gửi tới DHCP Server. Bắt đầu lại quá trình như trên. 2.3.5. Phương thức thực thi Terminal Services Gateway Windows Server 2008 Terminal Services Gateway (TS Gateway) cho phép những người dùng từ xa truy cập tới các loại tài nguyên trong hệ thống nội bộ từ bất kỳ một thiết bị kết nối Internet nào có thể chạy chương trình Remote Desktop Connection (RDC) client. Tài nguyên trong trường hợp này, có thể là các terminal servers, các chương trình chạy từ xa (RemoteApp™ programs), hoặc các máy tính được thiết lập Remote Desktop. TS Gateway đóng gói giao thức Remote Desktop Protocol (RDP) trong RPC, hoặc HTTP over Secure Sockets Layer (SSL) connection. Với việc thiết lập kết nối mã hóa giữa remote user trên Internet và hệ thống mạng nội bộ, TS Gateway làm tăng độ an toàn cho hệ thống. TS Gateway thường được triển khai như mô hình sau: Quản lý truy cập mạng dựa trên NAP Sinh viên thực hiện: Trương Vĩnh Điển Trang 54 TS Gateway có nhiều ưu điểm như: - Không cần thiết lập cấu hình kết nối VPN, nhưng chúng ta vẫn có một đường truyền an toàn, được mã hóa, dành cho remote user kết nối tới các tài nguyên trong hệ thống nội bộ. Điều này giúp cho việc quản trị, cấu hình các thiết bị như Router, Firewall … của các nhà quản trị mạng đơn giản hơn rất nhiều. - Cung cấp tính năng cho phép các nhà quản trị mạng kiểm soát truy cập của remote user đối với từng loại tài nguyên riêng biệt. Nói cách khác, TS Gateway cung cấp kết nối point-to-point RDP, remote user sẽ không có khả năng truy cập tới tất cả các loại tài nguyên hệ thống như trước kia. - Cho phép tất cả các remote user kết nối tới mạng nội bộ được đặt sau các firewall và cấu hình network address translator (NAT). Với việc triển khai TS Gateway, chúng ta không cần thực hiện thêm bất kỳ cấu hình nào trên Firewall hay Router .... Hình 2.25: Mô hình triển khai TS Gateway Quản lý truy cập mạng dựa trên NAP Sinh viên thực hiện: Trương Vĩnh Điển Trang 55 - Chúng ta có thể cấu hình TS Gateway servers và Terminal Services client sử dụng NAP. Điều này là không thể đối với các phương pháp truy cập từ xa trước kia. Nguyên lý hoạt động của phương thức thực thi TS Gateway: 1. TS Client gửi bản tin xác thực, yêu cầu tạo kết nối vào mạng nội bộ và bản tin SSoH tới TS Gateway server. Các bản tin này được gửi bằng giao thức HTTPS. 2. TS Gateway server nhận được bản tin SSoH và gửi tới NAP health policy server bằng qua thông điệp RADIUS Access-Request. 3. NPS service tách từ thông điệp RADIUS nhận được, lấy ra bản tin SSoH và chuyển nó tới NAP Administration Server. 4. NAP Administration Server tách các bản tin SoH từ bản tin SSoH nhận được, chuyển chúng tới đúng các SHV tương ứng. 5. SHV phân tích nội dung bản tin SoH nhận được, tạo ra bản tin SoHR và chuyển nó tới NAP Administration Server. 6. NAP Administration Server chuyển các bản tin SoHR tới NPS. NPS service so sánh các bản tin này với chính sách đã cấu hình, tạo ra bản tin SSoHR. Quản lý truy cập mạng dựa trên NAP Sinh viên thực hiện: Trương Vĩnh Điển Trang 56 7. NPS service gửi thông điệp RADIUS Access-Accept có chứa bản tin SSoHR tới TS Gateway server. Nếu TS client không thỏa mãn CSTCM, thông điệp RADIUS Access-Accept sẽ có chứa thông tin về để hướng dẫn TS Client kết nối với remediation server. 8. TS Gateway server gửi bản tin cho phép kết nối (nếu xác thực thành công) và bản tin SSoHR tới TS client bằng giao thức HTTPS. TS client service sẽ chuyển bản tin SSoHR nhận được tới thành phần TS Quarantine EC, sau đó chuyển tới NAP Agent. NAP Agent tách ra các bản tin SoHR, chuyển tới đúng các SHA tương ứng. Nếu được yêu cầu thực hiện quá trình remediation, các SHA sẽ cập nhật và gửi lại bản tin SoH. Quá trình sẽ tiếp tục lại như trên. Hiểu được nguyên lý hoạt động của 5 phương pháp truy cập mạng trên, các nhà quản trị có thể thiết kế triển khai NAP cho phù hợp với hệ thống mạng của mình. Nếu hệ thống mạng doanh nghiệp thường xuyên có kết nối VPN hay Remote Hình 2.26: Nguyên lý hoạt động phương thức thực thi TS Gateway Quản lý truy cập mạng dựa trên NAP Sinh viên thực hiện: Trương Vĩnh Điển Trang 57 Desktop, thì chúng ta có thể triển khai cả 2 phương thức thực thi NAP – VPN và NAP – TS Gateway. Chúng ta cũng có thể lựa chọn, có cần thiết triển khai NAP – DHCP hay không ? Có nên triển khai NAP – IPSEC ? Triển khai NAP – 802.1X cho hệ thống có dây hay không dây ? Kết hợp các phương pháp thực thi NAP như thế nào cho hiệu quả cao nhất ? Tất cả điều đó, chúng ta sẽ giải quyết trong phần tiếp theo: Triển khai và phát triển NAP. Quản lý truy cập mạng dựa trên NAP Sinh viên thực hiện: Trương Vĩnh Điển Trang 58 CHƯƠNG III. TRIỂN KHAI VÀ PHÁT TRIỂN NAP Trong phần này, chúng ta sẽ tiến hành thử nghiệm cách triển khai và cấu hình các phương thức thực thi NAP phục vụ cho hệ thống mạng của một công ty cỡ trung bình với số lượng máy trạm từ 75 đến 100 máy. Nhìn chung, các phương pháp thực thi có cách cấu hình không khác nhau nhiều. Chúng ta sẽ đi sâu vào 2 phương pháp thực thi hay được sử dụng trong hệ thống mạng này, đó là phương thức thực thi IPSec và 802.1X.Với 3 phương thức thực thi còn lại (VPN, DHCP và TS Gateway), chúng ta sẽ không đi vào chi tiết mà chỉ phân tích các điểm khác biệt cần phải chú ý. Mô hình dưới đây thường được các nhà quản trị mạng sử dụng để triển khai NAP cho hệ thống mạng của mình: Để đảm bảo an toàn đối với những đe dọa từ Internet, hệ thống mạng này được triển khai tường lửa theo mô hình Back – to – back, với 2 tường lửa chịu trách Hình 3.1: Mô hình triển khai NAP cho hệ thống mạng doanh nghiệp Quản lý truy cập mạng dựa trên NAP Sinh viên thực hiện: Trương Vĩnh Điển Trang 59 nhiệm phân tách các khu vực mạng. Các khu vực mạng được phân tách riêng biệt, gồm có: - Khu vực Perimeter network: Khu vực này được đặt phía sau tường lửa thứ nhất, thường được sử dụng là nơi đặt các máy chủ như DNS Server, Web Server … Khi triển khai phương thức thực thi NAP – VPN hay NAP – TS Gateway, các máy chủ VPN Server và TS Gateway Server cũng được đặt tại khu vực này. - Khu vực Server network: Khu vực này được sử dụng để đặt các máy chủ phục vụ hệ thống mạng của doanh nghiệp, tổ chức mình. Các máy chủ thường được đặt tại đây, ví dụ như máy chủ Domain Controller, máy chủ DHCP, máy chủ CA, File server … Khi triển khai NAP, các máy chủ NPS, HRA … được đặt tại khu vực này. - Khu vực Client network và Wireless network: Đây là 2 khu vực dành cho máy trạm. Một khu vực phục vụ cho việc đặt các máy trạm trong mạng nội bộ, một khu vực phục vụ cho việc kết nối các máy trạm không dây. Đối với hệ thống Firewall, khi triển khai các phương thức thực thi NAP các nhà quản trị cần phải chú ý một số điều như sau: - Tường lửa phía ngoài cùng, chỉ cần tạo Rule cho phép kết nối VPN (port 1723) hoặc kết nối thông qua TS Gateway (Port 443). - Tường lửa thứ 2 ở phía trong, cần tạo Rule cho phép các giao thức sau đây đi qua: HTTP/HTTPS (Port 80/443), RADIUS (UDP Port 1812), DHCP (UDP Port 67-68), RDP (Port 3389) Mô hình trên là mô hình được thiết kế tổng thể để triển khai cả 5 phương thức thực thi NAP cho hệ thống mạng. Khi đi chi tiết vào từng phương pháp, chúng ta sẽ sử dụng mô hình chi tiết hơn, giúp cho các nhà quản trị mạng có được cái nhìn sâu hơn về từng phương thức thực thi. 3.1. Triển khai phương thức thực thi IPSec Phương thức thực thi NAP IPSec được thực hiện để bảo vệ các kết nối quan trọng trong hệ thống nội bộ. Đó có thể giao tiếp giữa máy Client và File server chứa các thông tin nhạy cảm (như danh sách khách hàng, báo cáo tài chính …), đó có thể là kết nối giữa 2 máy client để trao đổi thông tin … Triển khai phương thức thực thi IPSec, chúng ta sẽ tránh được các nguy cơ mất an toàn ngay từ trong nội bộ hệ thống. Quản lý truy cập mạng dựa trên NAP Sinh viên thực hiện: Trương Vĩnh Điển Trang 60 Các nhà quản trị mạng có thể triển khai phương thức này cho hệ thống mạng tổ chức mình theo mô hình như sau: Mục đích của phương thức thực thi này là đảm bảo các máy thỏa mãn chính sách trong hệ thống nội bộ khi trao đổi dữ liệu sẽ được mã hóa. Vì thế, khi triển khai, các nhà quản trị mạng không cần phải tác động tới các thành phần khác như Switch, Router hay Firewall, cũng như tới các thiết bị tại các lớp mạng khác không liên quan. Để triển khai được phương thức thực thi IPSec, trong hệ thống chúng ta cần phải có: Máy chủ Domain Controller, máy chủ Root CA, các máy chủ NPS, HRA, subordinate CA. Tùy theo yêu cầu của tổ chức mà chúng ta có thể gộp chung các máy chủ này hoặc tách ra riêng lẻ từng loại máy chủ với nhau. Và không phải tất cả các máy chủ này đều yêu cầu hệ điều hành Windows Server 2008. Chúng ta chỉ phải cài đặt Windows Server 2008 lên các máy chủ NPS, HRA mà thôi. Và tất nhiên, máy Client nào muốn được bảo vệ các kết nối của mình thì phải được cài đặt hệ điều hành Windows XP SP3 hoặc Windows Vista. Tiếp theo, chúng ta triển khai phương thức thực thi IPSec. Trong mô hình triển khai này, chúng ta có một máy chủ Domain Controller quản trị domain vietnam.vn (Máy chủ này được cài đặt Windows Server 2003 SP1), máy chủ này cũng giữ vai trò là Root CA trong miền. Các máy chủ NPS, HRA và Subordinate CA được cài đặt trên 1 máy Windows Server 2008. Máy chủ này là member của domain vietnam.vn. Về mặt vật lý, lớp mạng dành cho các máy trạm được tách riêng với lớp mạng dành cho các Server bởi hệ thống Firewall. Chính vì vậy, các nhà quản trị mạng cần cấu hình Firewall như chúng ta đã phân tích phía trên. Còn về mặt Logic Hình 3.2: Mô hình triển khai phương thức thực thi IPSec Quản lý truy cập mạng dựa trên NAP Sinh viên thực hiện: Trương Vĩnh Điển Trang 61 trong hệ thống Active Directory, mô hình triển khai này chúng ta giả sử các máy trạm được đặt cùng trên 1 OU (Organization Unit), máy File Server nằm trên OU khác. 3.1.1. Cài đặt và cấu hình Root CA trên máy chủ Domain Controller Chúng ta tiến hành cài đặt Enterprise Root Certification Authority cho miền vietnam.vn. Sau khi cài đặt thành công, chúng ta sử dụng giao diện quản trị certtmpl.msc để cấu hình Certificate Template dùng cho việc cấp Health Certificate sau này. Trong mô hình triển khai này, chúng ta đặt tên cho Template là System Health Authentication và ID của Template là 1.3.6.1.4.1.311.47.1.1 như sau: Quản lý truy cập mạng dựa trên NAP Sinh viên thực hiện: Trương Vĩnh Điển Trang 62 Sau khi tạo thành công và Public Template trong miền, chúng ta cần phải cấu hình GPO áp dụng trên toàn miền, cho phép RootCA cấp phát chứng chỉ tự động 3.1.2. Cấu hình máy chủ NPS. Máy chủ NPS được cài đặt hệ điều hành Windows Server 2008 Enterprise. Máy chủ này cũng sẽ nắm vai trò HRA và Suboridinate CA trong hệ thống. Khi triển khai máy chủ NPS trong mô hình này, chúng ta cần phải kiểm tra để chắc chắn rằng NPS Server đã được nhận 2 chứng chỉ. Đầu tiên là chứng chỉ System Health Authentication, Client Authentication dành cho các máy không cần phải áp dụng NAP IPSec, và chứng chỉ thứ hai: Client Authentication, Server Authentication dùng vào việc tạo kết nối mã hóa SSL giữa các Server. Hình 3.3: Cấu hình Root CA trong phương thức IPSec Quản lý truy cập mạng dựa trên NAP Sinh viên thực hiện: Trương Vĩnh Điển Trang 63 Bước tiếp theo, chúng ta sử dụng Server Manager để cài đặt các Role NPS, HRA và CA. Sau khi cài đặt 3 role này, máy chủ NPS sẽ hoạt động với vai trò NAP Health Policy Server, NAP Enforcement Server và CA Subordinate server. Hình 3.4: Cài đặt NPS và SubOrdinate CA Quản lý truy cập mạng dựa trên NAP Sinh viên thực hiện: Trương Vĩnh Điển Trang 64 Sau khi cài đặt xong, chúng ta tiến hành cấu hình Subordinate CA, HRA và NAP Health Policy server. Trong phần này, chúng ta cần chú ý cấu hình chỉ rõ cho HRA sử dụng Subordinate CA khi nhận được yêu cầu xin chứng chỉ như sau: Để cấu hình NAP Health Policy Server, chúng ta sử dụng giao diện quản trị nps.msc như sau: Để có thể sử dụng phương pháp thực thi IPSec, ngoài việc cấu hình các server như trên, chúng ta cần enable NAP Agent và NAP Enforcement Client Hình 3.5: Cấu hình Subordinate CA trên máy chủ NPS Hình 3.6: Cấu hình NPS Server trong phương thức IPSec Quản lý truy cập mạng dựa trên NAP Sinh viên thực hiện: Trương Vĩnh Điển Trang 65 trên các máy client. Cách đơn giản nhất để làm việc này là sử dụng GPO như sau: 3.1.3. Kiểm tra sự hoạt động của NAP. Để kiểm tra xem NAP đã hoạt động hay chưa, chúng ta tiến hành kiểm tra như sau: - Kiểm tra các máy Client thỏa mãn chính sách truy cập mạng xem có nhận được Health Certificate hay không. Chúng ta phải chắc chắn nó đã được tự động cấp chứng chỉ như sau: Quản lý truy cập mạng dựa trên NAP Sinh viên thực hiện: Trương Vĩnh Điển Trang 66 - Kiểm tra tính năng auto-remediation: Nếu NAP Client đang từ trạng thái thỏa mãn chính sách truy cập chuyển sang trạng thái không tương thích, NAP sẽ tự động nhận ra, cảnh báo và chuyển nó sang lớp mạng hạn chế truy cập. Để kiểm tra tính năng này, các bạn có thể thử tắt Firewall trên NAP Client. Khi đó, tính năng auto-remediation sẽ hoạt động, sau khi chuyển NAP Client sang lớp hạn chế truy cập, tính năng này sẽ cố gắng bật Firewall lại. Và nếu thành công, NAP Client sẽ quay trở lại lớp mạng không hạn chế truy cập. - Kiểm tra NAP Policy Enforcement: Nếu chúng ta cấu hình lại chính sách truy cập mạng, các máy Client sẽ phải cập nhật lại tình trạng sức khỏe hệ thống. Chúng ta cần kiểm tra chắc chắn rằng, nếu không thỏa mãn chính Hình 3.7: Kiểm tra sự hoạt động của NAP IPSec Quản lý truy cập mạng dựa trên NAP Sinh viên thực hiện: Trương Vĩnh Điển Trang 67 sách, Health Certificate phải được xóa khỏi máy client. Và sau khi quá trình cập nhật thông tin, nếu client tương thích với chính sách mới, nó sẽ được cấp lại Health Certificate. Kiểm tra thành công sự hoạt động của NAP có nghĩa là chúng ta đã triển khai được phương thức thực thi IPSec, đảm bảo an toàn cho các kết nối tại hệ thống mạng nội bộ. Trên đây chúng ta mới chỉ thực hiện các bước tiến hành cấu hình NAP IPSec, đảm bảo nó hoạt động với các chính sách về IPSec đã được cấu hình trước đó. Tùy theo yêu cầu của từng hệ thống, mà các nhà quản trị mạng sẽ cấu hình các chính sách IPSec khác nhau, nhưng các bước thực hiện cấu hình phía trên là như nhau đối với tất cả các hệ thống. 3.2. Triển khai phương thức thực thi 802.1X Phương thức thực thi NAP 802.1X phân tách các máy trạm theo các lớp mạng vật lý. Có thể nói, đây là cách hay nhất để thực hiện giới hạn và quản lý truy cập trong hệ thống. Không có một phương pháp hay thủ thuật nào có thể sử dụng để cho một máy tính xâm nhập vào hệ thống nội bộ khi chúng ta triển khai phương pháp này. Tất cả các máy, tất cả người dùng đều sẽ được kiểm tra tình trạng sức khỏe hệ thống rồi mới được cấp quyền truy cập. Mô hình triển khai dưới đây có thể được áp dụng trong nhiều tổ chức, công ty khác nhau: Quản lý truy cập mạng dựa trên NAP Sinh viên thực hiện: Trương Vĩnh Điển Trang 68 Trong mô hình triển khai phương thức thực thi 802.1X, các nhà quản trị có thể triển khai cả cho hệ thống mạng có dây và không dây. Và ở mô hình này, có một chú ý: Đó là máy chủ RADIUS cần phải được tích hợp với máy chủ NPS. Các bước tiếp theo dưới đây, chúng ta sẽ triển khai NAP – 802.1X cho truy cập mạng có dây. Đối với mạng không dây, các bước làm tương tự, không có khác biệt. Để triển khai phương thức này, các nhà quản trị mạng cần phải có Switch hỗ trợ phương thức xác thực 802.1X, máy chủ quản trị miền, máy chủ Root CA và máy chủ NPS Server. Trong đó, máy chủ NPS Server phải được cài đặt hệ điều hành Windows Server 2008. Và ngoài ra, các máy Client trong hệ thống cần phải được cài đặt hệ điều hành Windows XP SP3 hoặc Windows Vista. Chúng ta sẽ phải thực hiện các bước sau đây khi triển khai phương thức thực thi này: - Cấu hình 802.1X Switch - Cài đặt Enterprise Root CA - Cài đặt và cấu hình máy chủ NPS - Cấu hình máy trạm thực thi 802.1X 3.2.1. Cấu hình 802.1X Switch Chúng ta cần phải tạo ra ít nhất 3 VLAN trên Switch. Trong mô hình này, chúng ta tạo ra 3 VLAN như sau: - VLAN ID 1: Được đặt tên là Default_VLAN. VLAN này bao gồm tất cả các port không được đánh dấu, không thuộc 2 VLAN tiếp theo. - VLAN ID 2: Đặt tên là NONCOMPILIANT_VLAN. Những máy client được xác định không đủ sức khỏe hệ thống sẽ được đưa vào VLAN này để hạn chế truy cập. - VLAN ID 3: Có tên COMPLIANT_VLAN. VLAN này dành cho các máy thỏa mãn chính sách truy cập mạng. Chúng ta cấu hình Switch sử dụng máy chủ NPS làm máy chủ xác thực (authentication) và ủy quyền (authorization). Và các port nối với 2 máy chủ NPS và Domain Controller cần phải cấu hình không yêu cầu xác thực Hình 3.8: Mô hình triển khai phương thức thực thi 802.1X Quản lý truy cập mạng dựa trên NAP Sinh viên thực hiện: Trương Vĩnh Điển Trang 69 802.1X. Ngoài ra chúng ta cần chú ý, nếu sử dụng Switch Layer 3, thì phải disable inter-VLAN routing giữa VLAN 2 và VLAN 3. 3.2.2. Cài đặt Enterprise Root CA trên máy chủ Domain Controller. Quá trình cài đặt Root CA không quá phức tạp. Chúng ta chỉ cần làm tương tự như phần trước. Tuy nhiên, phương thức thực thi 802.1X không yêu cầu phải có Health Certificate, cho nên chúng ta không phải tạo thêm Template mới như với phương thức thực thi IPSec. 3.2.3. Cài đặt và cấu hình máy chủ NPS Máy chủ NPS là thành viên của domain, được cài đặt hệ điều hành Windows Server 2008. Chúng ta sử dụng Server Manager, cài đặt Role Network Policy Server. Triển khai phương thức thực thi 802.1X, chúng ta chỉ cần cài đặt 1 role là Network Policy Server như sau: Sau khi quá trình cài đặt thành công, chúng ta cần phải Request tới Root CA để lấy chứng chỉ cho NPS. Chứng chỉ này sẽ được sử dụng cho quá trình xác thực PEAP giữa NPS Server và Domain Controller. Sử dụng giao diện MMC\Certificate, chúng ta có thể yêu cầu lấy được chứng chỉ từ CA như sau: Hình 3.9: Cài đặt NPS Server trong phương thức thực thi 802.1X Quản lý truy cập mạng dựa trên NAP Sinh viên thực hiện: Trương Vĩnh Điển Trang 70 Sau khi request thành công chứng chỉ, chúng ta thực hiện bước tiếp theo, đó là cấu hình NPS Server. Sử dụng giao diện nps.msc để cấu hình phương thức thực thi 802.1X. Đối với phương thức này, NAP cung cấp cho chúng ta 2 lựa chọn. Thứ nhất là 802.1X – Wired cho hệ thống mạng LAN, và thứ hai là 802.1X – Wireless dành cho hệ thống mạng không dây. Cách thức cấu hình giữa 2 lựa chọn này là tương tự như sau. Trong mô hình thử nghiệm này, chúng ta sử dụng 802.1X – Wired như sau: Quản lý truy cập mạng dựa trên NAP Sinh viên thực hiện: Trương Vĩnh Điển Trang 71 Tiếp theo, chúng ta phải cung cấp cho NPS server địa chỉ của RADIUS Client, ở đây chính là thiết bị 802.1X như sau: (Trong mô hình này, 802.1X Switch có địa chỉ là 172.16.1.254) Quản lý truy cập mạng dựa trên NAP Sinh viên thực hiện: Trương Vĩnh Điển Trang 72 Sau khi cung cấp địa chỉ của 802.1X Switch, chúng ta phải cấu hình NPS Server với các thông tin về VLAN dành cho các máy thỏa mãn và không thỏa mãn chính sách truy cập mạng. Trong mô hình triển khai này, VLAN 3 dành cho các máy thỏa mãn chính sách, còn VLAN 2 dành cho cách máy không thỏa mãn. Các thông số cấu hình 2 VLAN này tương tự như nhau, chỉ khác phần VLAN ID (Tunnel-Ptv-Group-ID) mà thôi. Do đó chúng ta cần phải chú ý cung cấp đúng. Dưới đây là các thông số về VLAN dành cho các máy thỏa mãn chính sách truy cập. Hình 3.10: Cấu hình NPS Server trong phương thức thực thi 802.1X Quản lý truy cập mạng dựa trên NAP Sinh viên thực hiện: Trương Vĩnh Điển Trang 73 Hình 3.11: Thông số cấu hình VLAN trong phương thức 802.1X Quản lý truy cập mạng dựa trên NAP Sinh viên thực hiện: Trương Vĩnh Điển Trang 74 Bước cuối cùng trên máy chủ NPS, chúng ta cấu hình để khởi động các dịch vụ cần thiết trên máy client. Ngoài services NAP Agent và một Enforcement Client (trong trường hợp này là EAP Quarantine Enforcement Client) cần phải khởi động như các phương thức khác, phương thức thực thi 802.1X còn yêu cầu client khởi động một dịch vụ khác. Đó là dịch vụ Wire AutoConfig. Các dịch vụ này có thể được cấu hình khởi động local trên từng máy trạm, hoặc cấu hình thông qua GPO của miền. Cách đơn giản nhất là chúng ta cấu hình bằng GPO của miền. 3.2.4. Cấu hình máy trạm sử dụng 802.1X Chúng ta cần phải cấu hình cho máy trạm sử dụng phương thức xác thực 802.1X. Nếu như máy chủ Domain Controller được cài đặt hệ điều hành Windows Server 2008, chúng ta có thể làm bước này bằng cách dùng GPO tại phần Wired Network (IEEE 802.3) Policies. Tuy nhiên, nếu hệ thống mạng sử dụng máy Windows Server 2003 làm Domain Controller, chúng ta sẽ phải mở rộng Schema hệ thống trước khi cấu hình GPO. Trong mô hình Hình 3.12: Sử dụng GPO cấu hình các dịch vụ 802.1X Quản lý truy cập mạng dựa trên NAP Sinh viên thực hiện: Trương Vĩnh Điển Trang 75 triển khai này, chúng ta sẽ cấu hình trực tiếp trên máy client. Chúng ta phải cấu hình client với các thông số như sau: Sau 4 bước cấu hình như trên, chúng ta sẽ triển khai thành công phương thức thực thi NAP 802.1X trong hệ thống. Phương thức thực thi 802.1X là một phương pháp hoàn hảo nhất để ép buộc tất cả các máy trạm phải thực hiện việc kiểm tra tình trạng sức khỏe hệ thống nếu muốn truy cập vào mạng. 3.3. Triển khai phương thức thực thi DHCP, VPN và TS Gateway 3.3.1. Phương thức thực thi DHCP Mô hình triển khai phương thức này khá đơn giản, không có gì phức tạp. DHCP và NPS Server có thể được cùng cài đặt trên 1 server. Khi triển khai, chúng ta cũng tiến hành tương tự như 2 phương thức trên: Cài đặt và cấu hình NPS Server, khởi động các dịch vụ và Enforcement Client cần tương ứng. Tuy nhiên, đối với phương thức này, chúng ta phải cấu hình thêm 1 bước tại DHCP Server như sau: Hình 3.13: Cấu hình máy trạm sử dụng 802.1X Quản lý truy cập mạng dựa trên NAP Sinh viên thực hiện: Trương Vĩnh Điển Trang 76 Mỗi khi Client yêu cầu được cấp DHCP, nếu thỏa mãn chính sách truy cập mạng, nó sẽ được cấp đầy đủ các thông số TCP/IP. Ngược lại, nếu không đủ tiêu chuẩn, nó sẽ được DHCP Server sử dụng NAP Default Class để cấp các thông số hạn chế truy cập. 3.3.2. Phương thức thực thi VPN. Chúng ta triển khai mô hình thử nghiệm phương thức thực thi VPN như sau: Hình 3.14: Cấu hình phương thức thực thi DHCP Hình 3.15: Mô hình triển khai phương thức thực thi VPN Quản lý truy cập mạng dựa trên NAP Sinh viên thực hiện: Trương Vĩnh Điển Trang 77 Quá trình cài đặt, triển khai Root CA, NPS Server đối với phương thức thực thi VPN không khác so với các phương thức khác mà chúng ta đã làm ở trên. Tuy nhiên, khi triển khai chúng ta cần phải chú ý 2 điểm khác biệt sau: - Khi cấu hình VPN bằng dịch vụ Routing and Remote Access, chúng ta cần phải cấu hình chỉ rõ RADIUS Server chính là NPS Server (địa chỉ 192.168.0.2) - Khi cấu hình NPS Server, chúng ta phải chỉ cho nó biết RADIUS Client là máy chủ nào. Trong mô hình này, RADIUS Client chính là VPN Server, có địa chỉ là 192.168.0.3 Hình 3.16: Cấu hình RADIUS Server trong phương thức VPN Hình 3.17: Cấu hình RADIUS Client trong phương thức VPN Quản lý truy cập mạng dựa trên NAP Sinh viên thực hiện: Trương Vĩnh Điển Trang 78 3.3.3. Phương thức thực thi TS Gateway Chúng ta có thể thử nghiệm triển khai phương thức thực thi này theo mô hình như sau: Quá trình cài đặt và yêu cầu Root CA cấp chứng chỉ cho NPS server tương tự như chúng ta đã làm phía trên. Tuy nhiên, khi cấu hình TS Gateway Server chúng ta cần chú ý cấu hình mục TS CAP Store như sau: Hình 3.18:Mô hình triển khai phương thức thực thi TS Gateway Hình 3.19: Cấu hình TS Gateway server Quản lý truy cập mạng dựa trên NAP Sinh viên thực hiện: Trương Vĩnh Điển Trang 79 Chúng ta cần phải đảm bảo mục Request clients to send a statement of health được đánh dấu chọn. Tiếp theo, chúng ta cần chỉ rõ sử dụng NPS Server ở đâu. Tùy theo mô hình triển khai, mà chúng ta chọn Local (NPS và TS Gateway được cài đặt trên cùng 1 server) hay Central. Trong mô hình thử nghiệm này, chúng ta chọn Local. Các bước triển khai còn lại, chúng ta cấu hình tương tự như đã làm với các phương thức thực thi khác. Tóm lại, với 5 phương thức thực thi đã triển khai, các nhà quản trị mạng có thể sử dụng kết hợp, hay đơn lẻ tùy theo mục đích của mình. Và nhìn chung, hệ thống NAP được xây dựng sẵn bởi Microsoft đã đáp ứng phần lớn yêu cầu của các nhà quản trị mạng hiện nay. Với những trường hợp đặc biệt, có yêu cầu khác, chúng ta cần phải phát triển riêng cho mình một hệ thống NAP. Phần tiếp theo chúng ta sẽ cùng đi vào việc phát triển hệ thống đó. 3.4. Phát triển chương trình. Trong thực tế, sẽ có rất nhiều tình huống xảy ra cũng như có rất nhiều các yêu cầu khác nhau đối với hệ thống NAP. Vì vậy, để đáp ứng điều đó, NAP cho phép chúng ta tự xây dựng một cặp SHA-SHV theo mục đích riêng. Mục đích đó có thể là kiểm tra phần mềm nào đang chạy trên máy, kiểm tra các khóa Registry … Nâng cao hơn nữa, các nhà phát triển có thể thiết kế cả NAP-Client để cài đặt cho các máy không được tích hợp sẵn NAP như Linux, Windows XP SP1/SP2 … Mục tiêu: Xây dựng một cặp SHA-SHV riêng, phù hợp với yêu cầu của hệ thống. Bên cạnh đó, việc phát triển thành phần hệ thống, sẽ giúp chúng ta hiểu sâu và chính xác hơn nữa về hệ thống NAP. Chức năng: SHA-SHV do chúng ta tự xây dựng, tuân theo cấu trúc quy định của hệ thống NAP, sẽ tiến hành thu thập thông tin và xử lý tình trạng sức khỏe hệ thống, từ đó cho phép hay hạn chế truy cập mạng. 3.4.1. Môi trường phát triển: Môi trường Mô tả Windows Server 2008 Server đóng vai trò quản lý các chính sách và dịch vụ mạng. Windows Vista Windows XP SP3 Client hỗ trợ chức năng NAP, nếu dùng Vista chúng ta nên cập nhật các Hotfix hoặc cài Service Pack 1 để NAP hoạt động tốt. SDK for Windows Server 2008 Thư viện để phát triển ứng dụng trên Windows, trong đó có API NAP. Visual Studio 2005 Công cụ phát triển. Quản lý truy cập mạng dựa trên NAP Sinh viên thực hiện: Trương Vĩnh Điển Trang 80 3.4.2. Phát triển hệ thống a. Xây dựng System Health Agent (SHA) Khi thiết kế SHA, chúng ta cần phải quan tâm tới các module sau đây: - Module dùng để đăng ký SHA với NAP Client: DoSHARegistration - Module hủy SHA đã đăng ký: DoSHAUnRegistration - Module thực thi nhiệm vụ: DoSHAExecution Để có thể đăng ký SHA vào hệ thống, NAP sử dụng một Structure là NapComponentRegistrationInfo. Structure này có cấu trúc như sau: Trong Structure này, quan trọng nhất là thành phần NapComponentId. Đây chính là ID giúp hệ thống xác định được đúng cặp SHA-SHV tương ứng, cũng như phân biệt các SHA với nhau. Sau khi lấy đầy đủ thông tin theo cấu trúc trên, SHA sử dụng phương thức RegisterSystemHealthAgent để đăng ký nó với NAP Client. Phương thức này thuộc về Interface INapClientManagement. Ngược lại, nếu muốn hủy đăng ký, SHA sẽ sử dụng phương thức UnregisterSystemHealthAgent cũng nằm trong Interface trên. Trong quá trình hoạt động, SHA có thể trả lời khi nhận yêu cầu về SoH hoặc thông báo SoH có sự thay đổi trên máy trạm cho NAP Client. Điều này được thực hiện thông qua cơ chế callback interface, SHA sẽ có các hàm tương ứng được gọi tùy theo loại yêu cầu. NAP API đã tạo ra interface để sử dụng trong cơ chế này, đó chính là INapSystemHealthAgentCallback. Một số phương thức được sử dụng trong Interface này như sau: METHOD DESCRIPTION INapSystemHealthAgentCallback::CompareSoHRequests Sử dụng bởi SHA để so sánh các SoH INapSystemHealthAgentCallback::GetFixupInfo Gọi bởi NapAgent để quyết định trạng thái của SHA. typedef struct tagNapComponentRegistrationInfo { NapComponentId id; CountedString friendlyName; CountedString description; CountedString version; CountedString vendorName; CLSID infoClsid; CLSID configClsid; FILETIME registrationDate; UINT32 componentType; } NapComponentRegistrationInfo; Quản lý truy cập mạng dựa trên NAP Sinh viên thực hiện: Trương Vĩnh Điển Trang 81 INapSystemHealthAgentCallback::GetSoHRequest Gọi bởi NapAgent để truy vấn yêu cầu lấy bản tin SoH. INapSystemHealthAgentCallback::NotifyOrphanedSoHRequest Được gọi nếu truy vấn lấy bản tin SoH tới SHA, nhưng SHA không trả lời INapSystemHealthAgentCallback::NotifySystemIsolationStateChange Gọi bởi NapAgent để cho biết tình trạng cách ly hệ thống thay đổi. INapSystemHealthAgentCallback::ProcessSoHRespond Được gọi khi NapAgent nhận được bản tin SoH response. Để sử dụng Callback Interface này, SHA phải thực hiện các công việc sau. - Khởi tạo biến trỏ tới interface quản lý SHA: - Khởi tạo Callback Interface - Đăng ký Callback Interface với SHA Để lấy được thông tin về trạng thái sức khỏe hệ thống, NAP Agent sử dụng phương thức GetSoHRequest. Phương thức này được định nghĩa trong nhiều Interface khác nhau, nhưng chúng ta có thể thấy được phương thức này hoạt động chủ yếu dựa vào cấu trúc SoHRequest. Cấu trúc SoHRequest, SoHRespond, và SoH được định nghĩa như sau: CComPtr binding = NULL; hr = binding.CoCreateInstance(CLSID_NapSystemHealthAgentBinding,NULL, CLSCTX_INPROC_SERVER); IShaCallbackPtr callback = NULL; callback = ShaCallback::CreateInstance(binding); hr = binding->Initialize(QuarSampleSystemHealthId,callback); typedef struct tagSoH { UINT16 count; SoHAttribute *attributes; }SoH, SoHRequest, SoHResponse; Quản lý truy cập mạng dựa trên NAP Sinh viên thực hiện: Trương Vĩnh Điển Trang 82 Trong cấu trúc này, thành phần SoHAttribute cũng là một cấu trúc, được định nghĩa từ cấu trúc kiểu Union SoHAttributeValue. Cấu trúc SoHAttributeValue chứa thông tin về danh sách các ứng dụng được định nghĩa để cho máy trạm thỏa mãn chính sách, hoặc thông tin về lỗi nếu xảy ra. SHA sẽ sử dụng 2 Interface là INapSoHConstructor và InapSoHProcessor để thu thập thông tin về tình trạng sức khỏe hệ thống. Các Interface cũng như các cấu trúc đã nói ở trên, chúng ta có thể tìm hiểu chi tiết hơn tại hệ thống Microsoft Developer Network (MSDN). b. Xây dựng System Health Validator (SHV) SHV, được phát triển trong môi trường COM DLL, chính là nơi giúp người quản trị mạng thiết lập các chính sách về an toàn truy cập tài nguyên mạng. Khi xây dựng SHV, ngoài 2 module đăng ký và hủy đăng ký SHV, chúng ta cần quan tâm tới các Module chính sau: - Module kiểm tra sự hợp lệ của trạng thái máy trạm với chính sách truy cập mạng: Module Validate. - Module xử lý bản tin SoH gửi tới: Module CheckRequestSoHHealth Mỗi cặp SHA-SHV có mã trùng nhau, điều này giúp từng cặp SHA và SHV có thể liên lạc với nhau. Khi đăng ký SHV với máy chủ NPS, chúng ta cũng cần phải chỉ rõ mã ID cho nó. HRESULT CSdkShvModule::RegisterSdkShv() throw() { // 1. Khai báo và khởi tạo biến trỏ tới interface của NPS CComPtr pSHVMgmt = NULL; hr = pSHVMgmt.CoCreateInstance(CLSID_NapServerManagement, ...); // 2. Khai báo và khởi tạo thông tin về SHV NapComponentRegistrationInfo shvInfo; hr = FillShvComponentRegistrationInfo(&shvInfo); // 3. Đăng ký SHV với NPS, CSampleShv chứa các hàm xử lý yêu cầu hr = pSHVMgmt->RegisterSystemHealthValidator(&shvInfo, (CLSID*)&__uuidof(CSampleShv)); } Quản lý truy cập mạng dựa trên NAP Sinh viên thực hiện: Trương Vĩnh Điển Trang 83 Để thực hiện việc kiểm tra tình trạng sức khỏe hệ thống có phù hợp với chính sách truy cập mạng hay không, SHV sử dụng 2 Interface sau đây: INapSystemHealthValidationRequest và INapServerCallback. Các phương thức trong 2 Interface này, chúng ta có thể tìm thấy chi tiết trên website MSDN. Để thực hiện việc xử lý bản tin SoH gửi tới, SHV sử dụng Interface INapSoHProcessor như sau: Ngoài ra, chúng ta cần chú ý thêm là SHV được cài đặt trên server và có nhiệm vụ kiểm tra những yêu cầu về khả năng tự bảo vệ từ nhiều máy trạm cùng lúc. Do đó SHV trong thực tế sẽ phải nhận và xử lý nhiều yêu cầu kiểm tra chính sách cùng lúc. Bên cạnh đó cũng có rất nhiều trường hợp việc kiểm tra chính sách đòi hỏi SHV phải liên lạc với server khác, và mất nhiều thời gian cho từng yêu cầu kiểm tra chính sách. Để giải quyết vấn đề trên SHV đã tạo ra từng thread xử lý cho từng yêu cầu kiểm tra chính sách. STDMETHODIMP CSampleShv::Validate( INapSystemHealthValidationRequest* pShvRequest, UINT32 hintTimeOutInMsec, INapServerCallback* pCallback) throw() { // 1. Chuẩn bị thông tin cho một yêu cầu kiểm tra chính sách asyncDataItems* requestData = NULL; requestData->pthis = this; requestData->piShvRequest = pShvRequest; requestData->piCallback = pCallback; // 2. Tạo thread mới để xử lý yêu cầu kiểm tra chính sách hr = QShvCreateThread( requestData ); } 3.4.3. Thử nghiệm cặp SHA-SHV xây dựng STDMETHODIMP CSampleShv::Validate( /*[in]*/ INapSystemHealthValidationRequest* pShvRequest, /*[in]*/ UINT32 hintTimeOutInMsec, /*[in]*/ INapServerCallback* pCallback) HRESULT CSampleShv::CheckRequestSoHHealth( SystemHealthEntityId systemHealthId, INapSoHProcessor *pSohRequest, HRESULT &complianceResult ) Quản lý truy cập mạng dựa trên NAP Sinh viên thực hiện: Trương Vĩnh Điển Trang 84 Trên máy trạm Windows Vista, việc triển khai SHA như sau: - Dùng lệnh SdkSha.exe /register để đăng ký SHA với NAP Client. - Để kiểm tra việc đăng ký thành công, dùng lệnh: netsh nap client show state Chúng ta sẽ thấy có SHA mới tên là SHA SDK Sample đã xuất hiện trong hệ thống như sau: Trên máy chủ NPS, chúng ta tiến hành đăng ký SHV với hệ thống như sau: - Dùng lệnh regsvr32.exe SdkShv.dll để đăng ký SHV với NPS mang tên SDK SHV Sample. Quản lý truy cập mạng dựa trên NAP Sinh viên thực hiện: Trương Vĩnh Điển Trang 85 Sau khi đăng ký SHA và SHV thành công, chúng ta tiến hành cấu hình các phương thức thực thi như đã làm tại các bước trên. Khi đó, SHA và SHV sẽ là một thành phần trong hệ thống thực thi NAP đang hoạt động. 3.5. Nhận xét - Đánh giá NAP được xem là giải pháp tăng cường bảo mật mạng chứ không phải là giải pháp bảo mật mạng. Lý do là nó chỉ đảm bảo các máy toàn quyền truy cập tài nguyên mạng là những máy tuân thủ chính sách truy cập mạng, mà không cung cấp cơ chế ngăn chặn tấn công từ những máy đã tuân thủ chính sách đó. Bên cạnh đó, khi triển khai các phương thức thực thi NAP, chúng ta nhận thấy thông tin trao đổi giữa SHA và SHV chưa được bảo vệ. Điều này có thể dẫn đến khi có sự thay đổi trái phép yêu cầu Auto-Remediation cho SoH khi nó chuyển từ SHV tới SHA, nó có thể yêu cầu SHA thực hiện những việc gây hại cho máy trạm. Để giải quyết vấn đề này, SHA và SHV phải tự thực hiện cơ chế bảo vệ thông tin trao đổi hoặc không mở chức năng Auto-Remediation trong môi trường không có bảo vệ thông tin đường truyền. Các dịch vụ có sẵn hỗ trợ môi trường bảo vệ thông tin đường truyền là: IPSec, 802.1x, VPN. Vấn đề quan tâm tiếp theo là việc có thể tạo SHA trái phép, nhằm mục đích thay thế SHA có sẵn nào đó trong hệ thống thực hiện trả lời SoH cho NPS. Điều này có thể làm cho NPS kiểm tra những SoH sai lệch và xem như máy trạm đã tuân thủ chính sách truy cập mạng. Để giải quyết vấn đề này, chúng ta không nên cấp cho người sử dụng có toàn quyền trên máy trạm để đăng ký và thay đổi SHA. Quản lý truy cập mạng dựa trên NAP Sinh viên thực hiện: Trương Vĩnh Điển Trang 86 CHƯƠNG IV. KẾT LUẬN 4.1. Kết quả đạt được của đồ án • Trong quá trình thực hiện đồ án, những yêu cầu về đảm bảo an toàn cho truy cập mạng được tìm hiểu cặn kẽ. • Nguyên lý hoạt động, cấu trúc, thành phần của hệ thống NAP được tìm hiểu và nắm vững. • Mô hình triển khai cài đặt thành công, đáp ứng được yêu cầu rất thực tế của hệ thống mạng doanh nghiệp. • Tìm hiểu hướng phát triển hệ thống NAP, tùy biến hệ thống theo từng yêu cầu khác nhau của nhà quản trị 4.2. Những mặt hạn chế • Đồ án chưa phát triển được hoàn chỉnh một cặp thành phần mới, có nhiều tính năng hơn thành phần có sẵn trong hệ thống NAP. • Hệ thống NAP khó triển khai nếu trong mạng có những máy cài đặt phiên bản Windows cũ (như Windows XP SP2, Windows 2000…) hoặc Linux 4.3. Hướng phát triển trong tương lai • Xây dựng thành công thành phần SHA-SHV đáp ứng đầy đủ tất cả các yêu cầu khác nhau của nhà quản trị • Xây dựng hệ thống NAP Client dành cho các phiên bản Windows cũ, cho các máy trạm cài đặt hệ điều hành nền Linux … không được NAP hỗ trợ. Đảm bảo tính tương thích tối đa cho tất cả các hệ thống mạng. Quản lý truy cập mạng dựa trên NAP Sinh viên thực hiện: Trương Vĩnh Điển Trang 87 Quản lý truy cập mạng dựa trên NAP Sinh viên thực hiện: Trương Vĩnh Điển Trang 88 TÀI LIỆU THAM KHẢO 1. Windows Server 2008 – Networking and Network Access Protection (NAP), Joseph Davies, Tony Northrup, Microsoft Press, 2008 2. Microsoft Solutions for Security and Compliance, Microsoft Press, 2006 3. Windows Server 2008 - Administration, Steve Seguis, McGrow Hill, 2008 4. Windows Server 2008 – Configuring Network Infrastructure, Brien Posey, Syngress, 2008 5. Microsoft Windows Software Development Kit (SDK), 2008. 6. Website: 7. Website: 8. Website: 9. Website: