TÓM TẮT NỘI DUNG ĐỒ ÁN TỐT NGHIỆP Bảo vệ truy cập mạng – NAP công nghệ đời Microsoft với mục đích kiểm soát trình kết nối vào hệ thống mạng nội máy trạm Khả áp dụng công nghệ NAP vào hệ thống mạng doanh nghiệp lớn Chính thế, đồ án thực với mục đích tìm hiểu triển khai công nghệ NAP để bảo vệ truy cập hệ thống mạng doanh nghiệp với nội dung sau: Chương I: Vai trò hệ thống mạng doanh nghiệp • • • Trình bày phát triển Internet nước ta yêu cầu đặt với doanh nghiệp tình hình Xác định vai trò, tầm quan trọng mối đe dọa gây an toàn hệ thống mạng doanh nghiệp Từ cho thấy việc cần thiết phải quản lý truy cập hệ thống mạng Phân tích, lựa chọn công nghệ Microsoft NAP để thực quản lý truy cập Chương II: Công nghệ Microsoft – NAP Tập trung vào việc tìm hiểu công nghệ NAP: Cấu trúc hệ thống, cấu trúc thành phần NAP-Client NAP-Server, nguyên lý hoạt động, chức mà NAP hỗ trợ cho hệ thống mạng để quản lý truy cập (IPSEC, 802.1X, VPN ) cách thức hoạt động chức Chương III: Triển khai phát triển NAP • • • • Triển khai áp dụng công nghệ NAP vào hệ thống mạng doanh nghiệp: phân tích, đề xuất mô hình triển khai tổng quát Triển khai phương pháp thực thi NAP áp dụng cho việc quản lý truy cập mạng: Phương thức thực thi NAP-IPSEC, NAP-802.1X, NAP-DHCP, NAP-VPN, NAPTS Gateway Phát triển hệ thống NAP: Tạo thành phần cấu trúc hệ thống NAP, thay cho thành phần xây dựng sẵn tích hợp sẵn Windows Nhận xét đánh giá điểm mạnh, điểm yếu mô hình triển khai NAP áp dụng hệ thống mạng doanh nghiệp Chương IV: Kết luận • • Những kết đạt hạn chế đồ án Hướng phát triển đồ án tương lai Quản lý truy cập mạng dựa NAP http://www.ebook.edu.vn LỜI CẢM ƠN Để có ngày hoàn thành đồ án tốt nghiệp này, xin chân thành cảm ơn bố mẹ tạo điều kiện cho ăn học, động viên nâng đỡ suốt trình học tập Em xin cảm ơn thầy giáo, PGS.TS Phan Huy Khánh,đã tận tình dẫn, tạo điều kiện cho em hoàn thành đồ án tốt nghiệp Em xin cảm ơn thầy, cô phụ trách giảng dạy tận tâm dạy dỗ em suốt năm học vừa qua Cuối cùng, xin cảm ơn công ty VSIC tạo điều kiện giúp đỡ thời gian thực tập làm đồ án Cảm ơn bạn lớp trao đổi kinh nghiệm lập trình, giúp đồ án hoàn thành ý Đà Nẵng,ngày tháng 06 năm 2010 Người thực ễ Sinh viên thực hiện: Trương Vĩnh Điển Trang Quản lý truy cập mạng dựa NAP http://www.ebook.edu.vn MỤC LỤC DANH MỤC HÌNH ẢNH .5 DANH MỤC THUẬT NGỮ VÀ CÁC TỪ VIẾT TẮT LỜI NÓI ĐẦU CHƯƠNG I VAI TRÒ CỦA HỆ THỐNG MẠNG DOANH NGHIỆP 1.1 Tình hình phát triển Internet Việt Nam 1.2 Hệ thống mạng doanh nghiệp – Vai trò tầm quan trọng 10 1.3 Những mối đe dọa hệ thống mạng doanh nghiệp 11 1.4 Các công nghệ quản lý truy cập mạng 12 CHƯƠNG II CÔNG NGHỆ MICROSOFT – NAP 14 2.1 Giới thiệu công nghệ NAP 14 2.2 Hệ thống mạng triển khai NAP 17 2.2.1 Thành phần hệ thống mạng triển khai NAP 17 2.2.2 Sự hoạt động thành phần hệ thống NAP .19 2.2.3 Cấu trúc NAP – Client NAP – Server .22 2.3 Các phương thức thực thi NAP 29 2.3.1 Phương thức thực thi IPSec 31 2.3.2 Phương thức thực thi 802.1X 38 2.3.3 Phương thức thực thi VPN 44 2.3.4 Phương thức thực thi DHCP .49 2.3.5 Phương thức thực thi Terminal Services Gateway .53 CHƯƠNG III TRIỂN KHAI VÀ PHÁT TRIỂN NAP .58 3.1 Triển khai phương thức thực thi IPSec 59 3.1.1 Cài đặt cấu hình Root CA máy chủ Domain Controller 61 3.1.2 Cấu hình máy chủ NPS .62 3.1.3 Kiểm tra hoạt động NAP 65 3.2 Triển khai phương thức thực thi 802.1X .67 3.2.1 Cấu hình 802.1X Switch .68 3.2.2 Cài đặt Enterprise Root CA máy chủ Domain Controller 69 3.2.3 Cài đặt cấu hình máy chủ NPS 69 3.2.4 Cấu hình máy trạm sử dụng 802.1X .74 3.3 Triển khai phương thức thực thi DHCP, VPN TS Gateway 75 Sinh viên thực hiện: Trương Vĩnh Điển Trang Quản lý truy cập mạng dựa NAP 3.3.1 3.3.2 3.3.3 http://www.ebook.edu.vn Phương thức thực thi DHCP .75 Phương thức thực thi VPN 76 Phương thức thực thi TS Gateway 78 3.4 Phát triển chương trình 79 3.4.1 Môi trường phát triển: 79 3.4.2 Phát triển hệ thống 80 3.4.3 Thử nghiệm cặp SHA-SHV xây dựng 83 3.5 Nhận xét - Đánh giá 85 CHƯƠNG IV KẾT LUẬN 86 4.1 Kết đạt đồ án 86 4.2 Những mặt hạn chế 86 4.3 Hướng phát triển tương lai 86 TÀI LIỆU THAM KHẢO 88 Sinh viên thực hiện: Trương Vĩnh Điển Trang Quản lý truy cập mạng dựa NAP http://www.ebook.edu.vn DANH MỤC HÌNH ẢNH Hình 2.1: Chức NAP Hình 2.2:Cấu trúc nguyên lý hoạt động NAP Hình 2.3: Mô hình hệ thống mạng triển khai NAP Hình 2.4: Sự liên hệ thành phần hệ thống NAP Hình 2.5: Cấu trúc NAP-Client Hình 2.6: Cấu trúc NAP-Server Hình 2.7: NAP-Client NAP-Server hệ thống Hình 2.8: Quá trình giao tiếp từ NAP-Client tới NAP-Server Hình 2.9: Quá trình giao tiếp từ NAP-Server tới NAP-Client Hình 2.10: Kiến trúc giao thức IPSec Hình 2.11: Các lớp mạng phương thức thực thi IPSec Hình 2.12: Giao tiếp lớp mạng phương thức thực thi IPSec .1 Hình 2.13: Nguyên lý hoạt động phương thức thực thi IPSec .1 Hình 2.14:Các thành phần hệ thống xác thực 802.1X Hình 2.15: Nguyên lý hoạt động phương thức thực thi 802.1X Hình 2.16: Sử dụng ACL phương thức thực thi 802.1X Hình 2.17: Sử dụng VLAN phương thức thực thi 802.1X Hình 2.18: Nguyên lý VPN .1 Hình 2.19: Remote Access VPN .1 Hình 2.20: Site-to-site VPN Hình 2.21: Nguyên lý hoạt động phương thức thực thi VPN .1 Hình 2.22: Nguyên lý hoạt động hệ thống DHCP Sinh viên thực hiện: Trương Vĩnh Điển Trang Quản lý truy cập mạng dựa NAP http://www.ebook.edu.vn Hình 2.23: Nguyên lý hoạt động hệ thống DHCP Relay Hình 2.24: Nguyên lý hoạt động phương thức thực thi DHCP Hình 2.25: Mô hình triển khai TS Gateway Hình 2.26: Nguyên lý hoạt động phương thức thực thi TS Gateway Hình 3.1: Mô hình triển khai NAP cho hệ thống mạng doanh nghiệp .1 Hình 3.2: Mô hình triển khai phương thức thực thi IPSec Hình 3.3: Cấu hình Root CA phương thức IPSec .1 Hình 3.4: Cài đặt NPS SubOrdinate CA Hình 3.5: Cấu hình Subordinate CA máy chủ NPS Hình 3.6: Cấu hình NPS Server phương thức IPSec Hình 3.7: Kiểm tra hoạt động NAP IPSec .1 Hình 3.8: Mô hình triển khai phương thức thực thi 802.1X .1 Hình 3.9: Cài đặt NPS Server phương thức thực thi 802.1X Hình 3.10: Cấu hình NPS Server phương thức thực thi 802.1X .1 Hình 3.11: Thông số cấu hình VLAN phương thức 802.1X .1 Hình 3.12: Sử dụng GPO cấu hình dịch vụ 802.1X .1 Hình 3.13: Cấu hình máy trạm sử dụng 802.1X Hình 3.14: Cấu hình phương thức thực thi DHCP Hình 3.15: Mô hình triển khai phương thức thực thi VPN Hình 3.16: Cấu hình RADIUS Server phương thức VPN .1 Hình 3.17: Cấu hình RADIUS Client phương thức VPN Hình 3.18:Mô hình triển khai phương thức thực thi TS Gateway Hình 3.19: Cấu hình TS Gateway server Sinh viên thực hiện: Trương Vĩnh Điển Trang Quản lý truy cập mạng dựa NAP http://www.ebook.edu.vn DANH MỤC THUẬT NGỮ VÀ CÁC TỪ VIẾT TẮT ACL ADDS AH CA DHCP EAP EAPOL ESP HRA HTTP HTTPS IPSEC L2TP NAC NAP NAP EC NAP ES NAQC NPS PEAP PPP PPTP RADIUS SHA SHV SoH SoHR SSL SSoH SSoHR TLS TS Gateway UAC VLAN VPN Access Control List Active Directory Domain Services Authentication Header Certificate Authority Dynamic Host Configuration Protocol Extensible Authentication Protocol Extensible Authentication Protocol over LAN Encapsulating Security Payload Health Registration Authority Hypertext Transfer Protocol Hypertext Transfer Protocol Secure Internet Protocol Security Layer Tunneling Protocol Network Admission Control Network Access Protection Network Access Protection Enforcement Client Network Access Protection Enforcement Server Network Access Quarantine Control Network Policy Server Protected Extensible Authentication Protocol Point-to-Point Protocol Point-to-Point Tunneling Protocol Remote Authentication Dial In User Service System Health Agent System Health Validator Statement of Health Statement of Health Respond Secure Sockets Layer System statement of Health System statement of Health Respond Transport Layer Security Terminal Services Gateway Unified Access Control Virtual Local Area Network Virtual Private Network Sinh viên thực hiện: Trương Vĩnh Điển Trang Quản lý truy cập mạng dựa NAP http://www.ebook.edu.vn LỜI NÓI ĐẦU Sự phát triển vũ bão ngành Công nghệ thông tin điện tử viễn thông nói chung, ngành Mạng máy tính nói riêng đem lại thay đổi to lớn cho lĩnh vực đời sống người Ngày nay, kinh tế tri thức, hoạt động tách rời khỏi hạ tầng mạng máy tính Chính vậy, việc áp dụng công nghệ trở thành yêu cầu thiếu cho tất tổ chức, doanh nghiệp Với tầm quan trọng thế, việc sở hữu hệ thống mạng doanh nghiệp ổn định, hoạt động liên tục, đảm bảo an toàn … để sẵn sàng cho hoạt động trở nên cấp thiết hết Tuy nhiên, quan trọng vậy, hệ thống mạng doanh nghiệp phải đối diện với nhiều nguy an toàn Và nhận thức vấn đề này, nhiều doanh nghiệp không đủ khả tài để triển khai giải pháp đảm bảo an toàn cho hệ thống mạng họ Xuất phát từ nhu cầu thực tế đó, đồ án đời với hy vọng tìm kiếm giải pháp cho vấn đề Nhiệm vụ đồ án: Với mục tiêu xây dựng giải pháp thiết thực khả thi, đồ án tập trung vào việc nghiên cứu triển khai công nghệ – công nghệ Microsoft NAP - giúp nhà quản trị kiểm soát truy cập mạng nội bộ, từ đảm bảo cho hệ thống mạng hoạt động liên tục an toàn Bố cục đồ án: Đồ án chia làm chương sau: - Chương I Vai trò hệ thống mạng doanh nghiệp - Chương II Công nghệ Microsoft – NAP - Chương III Triển khai phát triển NAP - Chương IV Kết luận Sinh viên thực hiện: Trương Vĩnh Điển Trang Quản lý truy cập mạng dựa NAP http://www.ebook.edu.vn CHƯƠNG I VAI TRÒ CỦA HỆ THỐNG MẠNG DOANH NGHIỆP 1.1 Tình hình phát triển Internet Việt Nam Ngày 19/11/1997, dịch vụ Internet thức có mặt Việt Nam Lúc đó, Internet xem dịch vụ cao cấp dành cho nhóm cá nhân, tập thể thật có nhu cầu Khi đó, Chính phủ ban hành Nghị định 21 CP để quản lý Internet theo phương châm: Quản lý đến đâu, phát triển đến Đó bước thận trọng, việc đánh giá khoảng cách tích cực tiêu cực Internet chênh lệch nhiều Chúng ta chọn phương án an toàn để vào Bốn năm sau, năm 2001, nói Internet bước chân vào sống xã hội, khu vực doanh nghiệp, nghiên cứu đào tạo Tác dụng to lớn Internet tải chất xám, trí tuệ nhân loại Việt Nam, gắn đất nước với toàn gầu, gắn thị trường với quốc tế Nhận thấy cần phải phát triển mạnh hơn, Chính phủ định cho phép đảo ngược nội dung phương châm quản lý, Phát triển đến đâu, quản lý tới Đó định ấn tượng, mạnh mẽ tư duy, tầm chiến lược, nhìn xa trông rộng Đảng Nhà nước ta Số liệu thống kế tình hình phát triển Internet Việt Nam (03/2009) Đến hôm nay, có 24% dân số sử dụng Internet Internet không dừng Viện nghiên cứu, trường ĐH, mà vào 100% Sinh viên thực hiện: Trương Vĩnh Điển Trang Quản lý truy cập mạng dựa NAP http://www.ebook.edu.vn doanh nghiệp lớn, bệnh viện, 98% trường THPT, 50% trường THCS len lỏi dần xuống vùng nông thôn qua điểm Bưu điện VH xã… Tốc độ phát triển công nghệ Internet Việt Nam sau 10 năm ngoạn mục; song chất lượng phát triển nội dung, ứng dụng Internet Việt Nam chưa xứng đáng Vì thế, thách thức to lớn, nhà cung cấp dịch vụ cần không ngừng nâng cao chất lượng dịch vụ hạ giá thành người sử dụng Có đảm bảo Internet Việt Nam vững bước phát triển 1.2 Hệ thống mạng doanh nghiệp – Vai trò tầm quan trọng Internet phát triển làm thay đổi mặt sống người, từ cách thức làm việc, học tập đến giải trí, tiêu dùng … Điều đưa tới yêu cầu cần phải có thay đổi phương thức hoạt động tổ chức, doanh nghiệp Nếu không thay đổi, doanh nghiệp giới thiệu sản phẩm tới người tiêu dùng thời đại Công nghệ thông tin nay, vậy, kết cục doanh nghiệp phát triển, chí phá sản Vậy doanh nghiệp cần thay đổi cho phù hợp ? Đó thay đổi từ hoạt động thương mại thông thường, không áp dụng công nghệ thông tin sang thương mại điện tử để tận dụng thành tựu Công nghệ thông tin Việc ứng dụng công nghệ thông tin, đặc biệt công nghệ mạng máy tính Việt Nam khoảng năm trước mang tính tự phát, chưa định hướng phủ quan chuyên môn nhà nước Do đó, đầu tư cho hệ thống mạng doanh nghiệp phụ thuộc vào tầm nhìn, quan điểm lãnh đạo doanh nghiệp Nhưng vòng năm trở lại đây, với bùng nổ Internet, đặc biệt từ sau Việt Nam gia nhập WTO (07-11-2006), ngành thương mại điện tử nói chung hệ thống mạng doanh nghiệp nói riêng phát triển với tốc độ nhanh, cao Trước thực trạng toàn cầu hóa, doanh nghiệp Việt Nam phải tích cực tìm cách tồn phát triển, cạnh tranh nước Trong đó, thương mại điện tử giúp nhiều cho doanh nghiệp marketing, đặc biệt marketing thị trường quốc tế, giảm chi phí (chi phí marketing, chi phí nhân lực, chi phí bán hàng, chi phí liên lạc, chi phí mặt ), bán hàng qua mạng, hỗ trợ khách hàng từ xa Không vậy, giới ngày phát triển, công việc không gói gọn khu vực riêng lẻ, có dây chuyền sản xuất liên hoàn nhiều quốc gia nhiều khu vực, doanh nghiệp tham gia mắt xích dây truyền đó, hệ thống mạng doanh nghiệp có kết nối Internet yêu cầu bắt buộc Với lợi ích to lớn đem lại, mà thời gian, tiền bạc hiệu kinh doanh quan trọng, doanh nghiệp sẵn sàng bỏ tiền để xây dựng cho hệ thống mạng hoàn chỉnh Tuy nhiên, hầu hết doanh nghiệp lại bỏ qua không coi trọng vấn đề an toàn an ninh cho hệ thống mạng Có nhiều doanh nghiệp đầu tư hệ thống mạng lớn, với thiết bị chuyên dụng đắt tiền thiết bị lại không sử dụng hết chức … Dường Sinh viên thực hiện: Trương Vĩnh Điển Trang 10 Quản lý truy cập mạng dựa NAP http://www.ebook.edu.vn Bước cuối máy chủ NPS, cấu hình để khởi động dịch vụ cần thiết máy client Hình 3.12: Sử dụng GPO cấu hình dịch vụ 802.1X Ngoài services NAP Agent Enforcement Client (trong trường hợp EAP Quarantine Enforcement Client) cần phải khởi động phương thức khác, phương thức thực thi 802.1X yêu cầu client khởi động dịch vụ khác Đó dịch vụ Wire AutoConfig Các dịch vụ cấu hình khởi động local máy trạm, cấu hình thông qua GPO miền Cách đơn giản cấu hình GPO miền 3.2.4 Cấu hình máy trạm sử dụng 802.1X Chúng ta cần phải cấu hình cho máy trạm sử dụng phương thức xác thực 802.1X Nếu máy chủ Domain Controller cài đặt hệ điều hành Windows Server 2008, làm bước cách dùng GPO phần Wired Network (IEEE 802.3) Policies Tuy nhiên, hệ thống mạng sử dụng máy Windows Server 2003 làm Domain Controller, phải mở rộng Schema hệ thống trước cấu hình GPO Trong mô hình Sinh viên thực hiện: Trương Vĩnh Điển Trang 74 Quản lý truy cập mạng dựa NAP http://www.ebook.edu.vn triển khai này, cấu hình trực tiếp máy client Chúng ta phải cấu hình client với thông số sau: Hình 3.13: Cấu hình máy trạm sử dụng 802.1X Sau bước cấu trên, triển khai thành công phương thức thực thi NAP 802.1X hệ thống Phương thức thực thi 802.1X phương pháp hoàn hảo để ép buộc tất máy trạm phải thực việc kiểm tra tình trạng sức khỏe hệ thống muốn truy cập vào mạng 3.3 Triển khai phương thức thực thi DHCP, VPN TS Gateway 3.3.1 Phương thức thực thi DHCP Mô hình triển khai phương thức đơn giản, phức tạp DHCP NPS Server cài đặt server Khi triển khai, tiến hành tương tự phương thức trên: Cài đặt cấu hình NPS Server, khởi động dịch vụ Enforcement Client cần tương ứng Tuy nhiên, phương thức này, phải cấu hình thêm bước DHCP Server sau: Sinh viên thực hiện: Trương Vĩnh Điển Trang 75 Quản lý truy cập mạng dựa NAP http://www.ebook.edu.vn Hình 3.14: Cấu hình phương thức thực thi DHCP Mỗi Client yêu cầu cấp DHCP, thỏa mãn sách truy cập mạng, cấp đầy đủ thông số TCP/IP Ngược lại, không đủ tiêu chuẩn, DHCP Server sử dụng NAP Default Class để cấp thông số hạn chế truy cập 3.3.2 Phương thức thực thi VPN Chúng ta triển khai mô hình thử nghiệm phương thức thực thi VPN sau: Hình 3.15: Mô hình triển khai phương thức thực thi VPN Sinh viên thực hiện: Trương Vĩnh Điển Trang 76 Quản lý truy cập mạng dựa NAP http://www.ebook.edu.vn Quá trình cài đặt, triển khai Root CA, NPS Server phương thức thực thi VPN không khác so với phương thức khác mà làm Tuy nhiên, triển khai cần phải ý điểm khác biệt sau: - Khi cấu hình VPN dịch vụ Routing and Remote Access, cần phải cấu hình rõ RADIUS Server NPS Server (địa 192.168.0.2) Hình 3.16: Cấu hình RADIUS Server phương thức VPN - Khi cấu hình NPS Server, phải cho biết RADIUS Client máy chủ Trong mô hình này, RADIUS Client VPN Server, có địa 192.168.0.3 Hình 3.17: Cấu hình RADIUS Client phương thức VPN Sinh viên thực hiện: Trương Vĩnh Điển Trang 77 Quản lý truy cập mạng dựa NAP http://www.ebook.edu.vn 3.3.3 Phương thức thực thi TS Gateway Chúng ta thử nghiệm triển khai phương thức thực thi theo mô sau: Hình 3.18:Mô hình triển khai phương thức thực thi TS Gateway Quá trình cài đặt yêu cầu Root CA cấp chứng cho NPS server tương tự làm phía Tuy nhiên, cấu hình TS Gateway Server cần ý cấu hình mục TS CAP Store sau: Hình 3.19: Cấu hình TS Gateway server Sinh viên thực hiện: Trương Vĩnh Điển Trang 78 Quản lý truy cập mạng dựa NAP http://www.ebook.edu.vn Chúng ta cần phải đảm bảo mục Request clients to send a statement of health đánh dấu chọn Tiếp theo, cần rõ sử dụng NPS Server đâu Tùy theo mô hình triển khai, mà chọn Local (NPS TS Gateway cài đặt server) hay Central Trong mô hình thử nghiệm này, chọn Local Các bước triển khai lại, cấu hình tương tự làm với phương thức thực thi khác Tóm lại, với phương thức thực thi triển khai, nhà quản trị mạng sử dụng kết hợp, hay đơn lẻ tùy theo mục đích Và nhìn chung, hệ thống NAP xây dựng sẵn Microsoft đáp ứng phần lớn yêu cầu nhà quản trị mạng Với trường hợp đặc biệt, có yêu cầu khác, cần phải phát triển riêng cho hệ thống NAP Phần vào việc phát triển hệ thống 3.4 Phát triển chương trình Trong thực tế, có nhiều tình xảy có nhiều yêu cầu khác hệ thống NAP Vì vậy, để đáp ứng điều đó, NAP cho phép tự xây dựng cặp SHA-SHV theo mục đích riêng Mục đích kiểm tra phần mềm chạy máy, kiểm tra khóa Registry … Nâng cao nữa, nhà phát triển thiết kế NAP-Client để cài đặt cho máy không tích hợp sẵn NAP Linux, Windows XP SP1/SP2 … Mục tiêu: Xây dựng cặp SHA-SHV riêng, phù hợp với yêu cầu hệ thống Bên cạnh đó, việc phát triển thành phần hệ thống, giúp hiểu sâu xác hệ thống NAP Chức năng: SHA-SHV tự xây dựng, tuân theo cấu trúc quy định hệ thống NAP, tiến hành thu thập thông tin xử lý tình trạng sức khỏe hệ thống, từ cho phép hay hạn chế truy cập mạng 3.4.1 Môi trường phát triển: Môi trường Mô tả Windows Server 2008 Server đóng vai trò quản lý sách dịch vụ mạng Windows Vista Windows XP SP3 Client hỗ trợ chức NAP, dùng Vista nên cập nhật Hotfix cài Service Pack để NAP hoạt động tốt SDK for Windows Server 2008 Thư viện để phát triển ứng dụng Windows, có API NAP Visual Studio 2005 Công cụ phát triển Sinh viên thực hiện: Trương Vĩnh Điển Trang 79 Quản lý truy cập mạng dựa NAP http://www.ebook.edu.vn 3.4.2 Phát triển hệ thống a Xây dựng System Health Agent (SHA) Khi thiết kế SHA, cần phải quan tâm tới module sau đây: - Module dùng để đăng ký SHA với NAP Client: DoSHARegistration - Module hủy SHA đăng ký: DoSHAUnRegistration - Module thực thi nhiệm vụ: DoSHAExecution Để đăng ký SHA vào hệ thống, NAP sử dụng Structure NapComponentRegistrationInfo Structure có cấu trúc sau: typedef struct tagNapComponentRegistrationInfo { NapComponentId id; CountedString friendlyName; CountedString description; CountedString version; CountedString vendorName; CLSID infoClsid; CLSID configClsid; FILETIME registrationDate; UINT32 componentType; } NapComponentRegistrationInfo; Trong Structure này, quan trọng thành phần NapComponentId Đây ID giúp hệ thống xác định cặp SHA-SHV tương ứng, phân biệt SHA với Sau lấy đầy đủ thông tin theo cấu trúc trên, SHA sử dụng phương thức RegisterSystemHealthAgent để đăng ký với NAP Client Phương thức thuộc Interface INapClientManagement Ngược lại, muốn hủy đăng ký, SHA sử dụng phương thức UnregisterSystemHealthAgent nằm Interface Trong trình hoạt động, SHA trả lời nhận yêu cầu SoH thông báo SoH có thay đổi máy trạm cho NAP Client Điều thực thông qua chế callback interface, SHA có hàm tương ứng gọi tùy theo loại yêu cầu NAP API tạo interface để sử dụng chế này, INapSystemHealthAgentCallback Một số phương thức sử dụng Interface sau: METHOD DESCRIPTION INapSystemHealthAgentCallback::CompareSoHRequests Sử dụng SHA để so sánh SoH INapSystemHealthAgentCallback::GetFixupInfo Gọi NapAgent để định trạng thái SHA Sinh viên thực hiện: Trương Vĩnh Điển Trang 80 Quản lý truy cập mạng dựa NAP INapSystemHealthAgentCallback::GetSoHRequest http://www.ebook.edu.vn Gọi NapAgent để truy vấn yêu cầu lấy tin SoH INapSystemHealthAgentCallback::NotifyOrphanedSoHRequest Được gọi truy vấn lấy tin SoH tới INapSystemHealthAgentCallback::NotifySystemIsolationStateChange Gọi NapAgent biết tình trạng SHA, SHA không trả lời cách ly hệ thống thay đổi INapSystemHealthAgentCallback::ProcessSoHRespond Được gọi NapAgent nhận tin SoH response Để sử dụng Callback Interface này, SHA phải thực công việc sau CComPtr binding = NULL; hr = binding.CoCreateInstance(CLSID_NapSystemHealthAgentBinding,NULL, CLSCTX_INPROC_SERVER); - Khởi tạo biến trỏ tới interface quản lý SHA: - Khởi tạo Callback Interface IShaCallbackPtr callback = NULL; callback = ShaCallback::CreateInstance(binding); - Đăng ký Callback Interface với SHA hr = binding->Initialize(QuarSampleSystemHealthId,callback); Để lấy thông tin trạng thái sức khỏe hệ thống, NAP Agent sử dụng phương thức GetSoHRequest Phương thức định nghĩa nhiều Interface khác nhau, thấy phương thức hoạt động chủ yếu dựa vào cấu trúc SoHRequest Cấu trúc SoHRequest, SoHRespond, SoH định nghĩa sau: typedef struct tagSoH { UINT16 count; SoHAttribute Sinh viên thực hiện:*attributes; Trương Vĩnh Điển }SoH, SoHRequest, SoHResponse; Trang 81 Quản lý truy cập mạng dựa NAP http://www.ebook.edu.vn Trong cấu trúc này, thành phần SoHAttribute cấu trúc, định nghĩa từ cấu trúc kiểu Union SoHAttributeValue Cấu trúc SoHAttributeValue chứa thông tin danh sách ứng dụng định nghĩa máy trạm thỏa mãn sách, thông tin lỗi xảy SHA sử dụng Interface INapSoHConstructor InapSoHProcessor để thu thập thông tin tình trạng sức khỏe hệ thống Các Interface cấu trúc nói trên, tìm hiểu chi tiết hệ thống Microsoft Developer Network (MSDN) b Xây dựng System Health Validator (SHV) SHV, phát triển môi trường COM DLL, nơi giúp người quản trị mạng thiết lập sách an toàn truy cập tài nguyên mạng Khi xây dựng SHV, module đăng ký hủy đăng ký SHV, cần quan tâm tới Module sau: - Module kiểm tra hợp lệ trạng thái máy trạm với sách truy cập mạng: Module Validate - Module xử lý tin SoH gửi tới: Module CheckRequestSoHHealth Mỗi cặp SHA-SHV có mã trùng nhau, điều giúp cặp SHA SHV liên lạc với Khi đăng ký SHV với máy chủ NPS, cần phải rõ mã ID cho HRESULT CSdkShvModule::RegisterSdkShv() throw() { // Khai báo khởi tạo biến trỏ tới interface NPS CComPtr pSHVMgmt = NULL; hr = pSHVMgmt.CoCreateInstance(CLSID_NapServerManagement, ); // Khai báo khởi tạo thông tin SHV NapComponentRegistrationInfo shvInfo; hr = FillShvComponentRegistrationInfo(&shvInfo); // Đăng ký SHV với NPS, CSampleShv chứa hàm xử lý yêu cầu hr = pSHVMgmt->RegisterSystemHealthValidator(&shvInfo, (CLSID*)& uuidof(CSampleShv)); } Sinh viên thực hiện: Trương Vĩnh Điển Trang 82 Quản lý truy cập mạng dựa NAP http://www.ebook.edu.vn Để thực việc kiểm tra tình trạng sức khỏe hệ thống có phù hợp với sách truy cập mạng hay không, SHV sử dụng Interface sau đây: INapSystemHealthValidationRequest INapServerCallback STDMETHODIMP CSampleShv::Validate( /*[in]*/ INapSystemHealthValidationRequest* pShvRequest, /*[in]*/ UINT32 hintTimeOutInMsec, /*[in]*/ INapServerCallback* pCallback) Các phương thức Interface này, tìm thấy chi tiết website MSDN Để thực việc xử lý tin SoH gửi tới, SHV sử dụng Interface HRESULT CSampleShv::CheckRequestSoHHealth( SystemHealthEntityId systemHealthId, INapSoHProcessor *pSohRequest, HRESULT &complianceResult ) INapSoHProcessor sau: Ngoài ra, cần ý thêm SHV cài đặt server có nhiệm vụ kiểm tra yêu cầu khả tự bảo vệ từ nhiều máy trạm lúc Do SHV thực tế phải nhận xử lý nhiều yêu cầu kiểm tra sách lúc Bên cạnh có nhiều trường hợp việc kiểm tra sách đòi hỏi SHV phải liên lạc với server khác, nhiều thời gian cho yêu cầu kiểm tra sách Để giải vấn đề SHV tạo thread xử lý cho yêu cầu kiểm tra sách STDMETHODIMP CSampleShv::Validate( INapSystemHealthValidationRequest* pShvRequest, UINT32 hintTimeOutInMsec, INapServerCallback* pCallback) throw() { // Chuẩn bị thông tin cho yêu cầu kiểm tra sách asyncDataItems* requestData = NULL; requestData->pthis = this; requestData->piShvRequest = pShvRequest; requestData->piCallback = pCallback; // Tạo thread để xử lý yêu cầu kiểm tra sách hr = QShvCreateThread( requestData ); } 3.4.3 Thử nghiệm cặp SHA-SHV xây dựng Sinh viên thực hiện: Trương Vĩnh Điển Trang 83 Quản lý truy cập mạng dựa NAP http://www.ebook.edu.vn Trên máy trạm Windows Vista, việc triển khai SHA sau: - Dùng lệnh SdkSha.exe /register để đăng ký SHA với NAP Client - Để kiểm tra việc đăng ký thành công, dùng lệnh: netsh nap client show state Chúng ta thấy có SHA tên SHA SDK Sample xuất hệ thống sau: Trên máy chủ NPS, tiến hành đăng ký SHV với hệ thống sau: - Dùng lệnh regsvr32.exe SdkShv.dll để đăng ký SHV với NPS mang tên SDK SHV Sample Sinh viên thực hiện: Trương Vĩnh Điển Trang 84 Quản lý truy cập mạng dựa NAP http://www.ebook.edu.vn Sau đăng ký SHA SHV thành công, tiến hành cấu hình phương thức thực thi làm bước Khi đó, SHA SHV thành phần hệ thống thực thi NAP hoạt động 3.5 Nhận xét - Đánh giá NAP xem giải pháp tăng cường bảo mật mạng giải pháp bảo mật mạng Lý đảm bảo máy toàn quyền truy cập tài nguyên mạng máy tuân thủ sách truy cập mạng, mà không cung cấp chế ngăn chặn công từ máy tuân thủ sách Bên cạnh đó, triển khai phương thức thực thi NAP, nhận thấy thông tin trao đổi SHA SHV chưa bảo vệ Điều dẫn đến có thay đổi trái phép yêu cầu Auto-Remediation cho SoH chuyển từ SHV tới SHA, yêu cầu SHA thực việc gây hại cho máy trạm Để giải vấn đề này, SHA SHV phải tự thực chế bảo vệ thông tin trao đổi không mở chức Auto-Remediation môi trường bảo vệ thông tin đường truyền Các dịch vụ có sẵn hỗ trợ môi trường bảo vệ thông tin đường truyền là: IPSec, 802.1x, VPN Vấn đề quan tâm việc tạo SHA trái phép, nhằm mục đích thay SHA có sẵn hệ thống thực trả lời SoH cho NPS Điều làm cho NPS kiểm tra SoH sai lệch xem máy trạm tuân thủ sách truy cập mạng Để giải vấn đề này, không nên cấp cho người sử dụng có toàn quyền máy trạm để đăng ký thay đổi SHA Sinh viên thực hiện: Trương Vĩnh Điển Trang 85 Quản lý truy cập mạng dựa NAP http://www.ebook.edu.vn CHƯƠNG IV KẾT LUẬN 4.1 Kết đạt đồ án • Trong trình thực đồ án, yêu cầu đảm bảo an toàn cho truy cập mạng tìm hiểu cặn kẽ • Nguyên lý hoạt động, cấu trúc, thành phần hệ thống NAP tìm hiểu nắm vững • Mô hình triển khai cài đặt thành công, đáp ứng yêu cầu thực tế hệ thống mạng doanh nghiệp • Tìm hiểu hướng phát triển hệ thống NAP, tùy biến hệ thống theo yêu cầu khác nhà quản trị 4.2 Những mặt hạn chế • Đồ án chưa phát triển hoàn chỉnh cặp thành phần mới, có nhiều tính thành phần có sẵn hệ thống NAP • Hệ thống NAP khó triển khai mạng có máy cài đặt phiên Windows cũ (như Windows XP SP2, Windows 2000…) Linux 4.3 Hướng phát triển tương lai • Xây dựng thành công thành phần SHA-SHV đáp ứng đầy đủ tất yêu cầu khác nhà quản trị • Xây dựng hệ thống NAP Client dành cho phiên Windows cũ, cho máy trạm cài đặt hệ điều hành Linux … không NAP hỗ trợ Đảm bảo tính tương thích tối đa cho tất hệ thống mạng Sinh viên thực hiện: Trương Vĩnh Điển Trang 86 Quản lý truy cập mạng dựa NAP Sinh viên thực hiện: Trương Vĩnh Điển http://www.ebook.edu.vn Trang 87 Quản lý truy cập mạng dựa NAP http://www.ebook.edu.vn TÀI LIỆU THAM KHẢO Windows Server 2008 – Networking and Network Access Protection (NAP), Joseph Davies, Tony Northrup, Microsoft Press, 2008 Microsoft Solutions for Security and Compliance, Microsoft Press, 2006 Windows Server 2008 - Administration, Steve Seguis, McGrow Hill, 2008 Windows Server 2008 – Configuring Network Infrastructure, Brien Posey, Syngress, 2008 Microsoft Windows Software Development Kit (SDK), 2008 Website: http://technet.microsoft.com Website: http://msdn.microsoft.com Website: http://en.wikipedia.org Website: http://msopenlab.com Sinh viên thực hiện: Trương Vĩnh Điển Trang 88