Đồ án Quản lý truy cập mạng dựa trên NAP

TÓM TẮT NỘI DUNG ĐỒ ÁN TỐT NGHIỆP Bảo vệ truy cập mạng – NAP là một công nghệ mới ra đời của Microsoft với mục đích kiểm soát quá trình kết nối vào hệ thống mạng nội bộ của các máy trạm. Khả năng áp dụng của công nghệ NAP vào hệ thống mạng doanh nghiệp là rất lớn. Chính vì thế, đồ án được thực hiện với mục đích tìm hiểu và triển khai công nghệ NAP để bảo vệ truy cập đối với hệ thống mạng doanh nghiệp với những nội dung chính như sau: Chương I: Vai trò của hệ thống mạng doanh nghiệp • Trình bày về sự phát triển Internet ở nước ta và các yêu cầu đặt ra với doanh nghiệp trong tình hình mới. • Xác định vai trò, tầm quan trọng và các mối đe dọa gây mất an toàn của hệ thống mạng doanh nghiệp. Từ đó cho thấy việc cần thiết phải quản lý truy cập hệ thống mạng • Phân tích, lựa chọn công nghệ Microsoft NAP để thực hiện quản lý truy cập. Chương II: Công nghệ Microsoft – NAP Tập trung vào việc tìm hiểu công nghệ NAP: Cấu trúc hệ thống, cấu trúc các thành phần trên NAP-Client và NAP-Server, nguyên lý hoạt động, các chức năng mà NAP hỗ trợ cho hệ thống mạng để quản lý truy cập (IPSEC, 802.1X, VPN ...) và cách thức hoạt động của các chức năng đó. Chương III: Triển khai và phát triển NAP • Triển khai áp dụng công nghệ NAP vào hệ thống mạng doanh nghiệp: phân tích, đề xuất mô hình triển khai tổng quát • Triển khai 5 phương pháp thực thi NAP áp dụng cho việc quản lý truy cập mạng: Phương thức thực thi NAP-IPSEC, NAP-802.1X, NAP-DHCP, NAP-VPN, NAP- TS Gateway. • Phát triển hệ thống NAP: Tạo ra một thành phần trong cấu trúc hệ thống NAP, thay thế cho thành phần đã xây dựng sẵn đã tích hợp sẵn cùng Windows. • Nhận xét và đánh giá những điểm mạnh, điểm yếu của các mô hình triển khai NAP được áp dụng trong hệ thống mạng doanh nghiệp. Chương IV: Kết luận • Những kết quả đạt được và những hạn chế của đồ án • Hướng phát triển của đồ án trong tương lai. Quản lý truy cập mạng dựa trên NAP Sinh viên thực hiện: Trương Vĩnh Điển Trang 2 LỜI CẢM ƠN Để có ngày hoàn thành đồ án tốt nghiệp này, con xin chân thành cảm ơn bố mẹ đã tạo mọi điều kiện cho con ăn học, đã động viên và nâng đỡ con trong suốt quá trình học tập. Em xin cảm ơn thầy giáo, PGS.TS Phan Huy Khánh,đã tận tình chỉ dẫn, tạo điều kiện cho em hoàn thành đồ án tốt nghiệp này. Em xin cảm ơn các thầy, cô phụ trách giảng dạy đã tận tâm dạy dỗ em trong suốt những năm học vừa qua. Cuối cùng, xin cảm ơn công ty VSIC đã tạo điều kiện và giúp đỡ tôi trong thời gian thực tập làm đồ án. Cảm ơn các bạn trong lớp đã trao đổi kinh nghiệm lập trình, giúp đồ án hoàn thành được như ý. Đà Nẵng,ngày 7 tháng 06 năm 2010 Người thực hiện ễ Quản lý truy cập mạng dựa trên NAP Sinh viên thực hiện: Trương Vĩnh Điển Trang 3 MỤC LỤC DANH MỤC HÌNH ẢNH .........................................................................................5 DANH MỤC THUẬT NGỮ VÀ CÁC TỪ VIẾT TẮT..........................................7 LỜI NÓI ĐẦU ...........................................................................................................8 CHƯƠNG I. VAI TRÒ CỦA HỆ THỐNG MẠNG DOANH NGHIỆP ..............9 1.1. Tình hình phát triển Internet ở Việt Nam. .....................................................9 1.2. Hệ thống mạng doanh nghiệp – Vai trò và tầm quan trọng ........................10 1.3. Những mối đe dọa đối với hệ thống mạng doanh nghiệp. ..........................11 1.4. Các công nghệ quản lý truy cập mạng hiện nay..........................................12 CHƯƠNG II. CÔNG NGHỆ MICROSOFT – NAP............................................14 2.1. Giới thiệu công nghệ NAP ..........................................................................14 2.2. Hệ thống mạng triển khai NAP ...................................................................17 2.2.1. Thành phần hệ thống mạng triển khai NAP .........................................17 2.2.2. Sự hoạt động giữa các thành phần trong hệ thống NAP.......................19 2.2.3. Cấu trúc của NAP – Client và NAP – Server .......................................22 2.3. Các phương thức thực thi NAP. ..................................................................29 2.3.1. Phương thức thực thi IPSec ..................................................................31 2.3.2. Phương thức thực thi 802.1X................................................................38 2.3.3. Phương thức thực thi VPN....................................................................44 2.3.4. Phương thức thực thi DHCP.................................................................49 2.3.5. Phương thức thực thi Terminal Services Gateway ...............................53 CHƯƠNG III. TRIỂN KHAI VÀ PHÁT TRIỂN NAP.......................................58 3.1. Triển khai phương thức thực thi IPSec........................................................59 3.1.1. Cài đặt và cấu hình Root CA trên máy chủ Domain Controller...........61 3.1.2. Cấu hình máy chủ NPS.........................................................................62 3.1.3. Kiểm tra sự hoạt động của NAP. ..........................................................65 3.2. Triển khai phương thức thực thi 802.1X .....................................................67 3.2.1. Cấu hình 802.1X Switch.......................................................................68 3.2.2. Cài đặt Enterprise Root CA trên máy chủ Domain Controller.............69 3.2.3. Cài đặt và cấu hình máy chủ NPS ........................................................69 3.2.4. Cấu hình máy trạm sử dụng 802.1X.....................................................74 3.3. Triển khai phương thức thực thi DHCP, VPN và TS Gateway...................75 Quản lý truy cập mạng dựa trên NAP Sinh viên thực hiện: Trương Vĩnh Điển Trang 4 3.3.1. Phương thức thực thi DHCP.................................................................75 3.3.2. Phương thức thực thi VPN....................................................................76 3.3.3. Phương thức thực thi TS Gateway........................................................78 3.4. Phát triển chương trình. ...............................................................................79 3.4.1. Môi trường phát triển:...........................................................................79 3.4.2. Phát triển hệ thống ................................................................................80 3.4.3. Thử nghiệm cặp SHA-SHV xây dựng..................................................83 3.5. Nhận xét - Đánh giá.....................................................................................85 CHƯƠNG IV. KẾT LUẬN ....................................................................................86 4.1. Kết quả đạt được của đồ án .........................................................................86 4.2. Những mặt hạn chế......................................................................................86 4.3. Hướng phát triển trong tương lai .................................................................86 TÀI LIỆU THAM KHẢO ......................................................................................88 Quản lý truy cập mạng dựa trên NAP Sinh viên thực hiện: Trương Vĩnh Điển Trang 5 DANH MỤC HÌNH ẢNH Hình 2.1: Chức năng của NAP....................................................................................1 Hình 2.2:Cấu trúc và nguyên lý hoạt động của NAP..................................................1 Hình 2.3: Mô hình hệ thống mạng triển khai NAP.....................................................1 Hình 2.4: Sự liên hệ giữa các thành phần hệ thống NAP ...........................................1 Hình 2.5: Cấu trúc NAP-Client...................................................................................1 Hình 2.6: Cấu trúc NAP-Server ..................................................................................1 Hình 2.7: NAP-Client và NAP-Server trong hệ thống................................................1 Hình 2.8: Quá trình giao tiếp từ NAP-Client tới NAP-Server....................................1 Hình 2.9: Quá trình giao tiếp từ NAP-Server tới NAP-Client....................................1 Hình 2.10: Kiến trúc giao thức IPSec .........................................................................1 Hình 2.11: Các lớp mạng trong phương thức thực thi IPSec......................................1 Hình 2.12: Giao tiếp giữa các lớp mạng trong phương thức thực thi IPSec...............1 Hình 2.13: Nguyên lý hoạt động của phương thức thực thi IPSec .............................1 Hình 2.14:Các thành phần hệ thống xác thực 802.1X ................................................1 Hình 2.15: Nguyên lý hoạt động phương thức thực thi 802.1X .................................1 Hình 2.16: Sử dụng ACL trong phương thức thực thi 802.1X ...................................1 Hình 2.17: Sử dụng VLAN trong phương thức thực thi 802.1X................................1 Hình 2.18: Nguyên lý VPN.........................................................................................1 Hình 2.19: Remote Access VPN.................................................................................1 Hình 2.20: Site-to-site VPN ........................................................................................1 Hình 2.21: Nguyên lý hoạt động phương thức thực thi VPN .....................................1 Hình 2.22: Nguyên lý hoạt động hệ thống DHCP ......................................................1 Quản lý truy cập mạng dựa trên NAP Sinh viên thực hiện: Trương Vĩnh Điển Trang 6 Hình 2.23: Nguyên lý hoạt động hệ thống DHCP Relay............................................1 Hình 2.24: Nguyên lý hoạt động phương thức thực thi DHCP...................................1 Hình 2.25: Mô hình triển khai TS Gateway................................................................1 Hình 2.26: Nguyên lý hoạt động phương thức thực thi TS Gateway .........................1 Hình 3.1: Mô hình triển khai NAP cho hệ thống mạng doanh nghiệp .......................1 Hình 3.2: Mô hình triển khai phương thức thực thi IPSec..........................................1 Hình 3.3: Cấu hình Root CA trong phương thức IPSec .............................................1 Hình 3.4: Cài đặt NPS và SubOrdinate CA ................................................................1 Hình 3.5: Cấu hình Subordinate CA trên máy chủ NPS.............................................1 Hình 3.6: Cấu hình NPS Server trong phương thức IPSec .........................................1 Hình 3.7: Kiểm tra sự hoạt động của NAP IPSec.......................................................1 Hình 3.8: Mô hình triển khai phương thức thực thi 802.1X .......................................1 Hình 3.9: Cài đặt NPS Server trong phương thức thực thi 802.1X ............................1 Hình 3.10: Cấu hình NPS Server trong phương thức thực thi 802.1X .......................1 Hình 3.11: Thông số cấu hình VLAN trong phương thức 802.1X.............................1 Hình 3.12: Sử dụng GPO cấu hình các dịch vụ 802.1X .............................................1 Hình 3.13: Cấu hình máy trạm sử dụng 802.1X .........................................................1 Hình 3.14: Cấu hình phương thức thực thi DHCP......................................................1 Hình 3.15: Mô hình triển khai phương thức thực thi VPN.........................................1 Hình 3.16: Cấu hình RADIUS Server trong phương thức VPN.................................1 Hình 3.17: Cấu hình RADIUS Client trong phương thức VPN .................................1 Hình 3.18:Mô hình triển khai phương thức thực thi TS Gateway ..............................1 Hình 3.19: Cấu hình TS Gateway server ....................................................................1 Quản lý truy cập mạng dựa trên NAP Sinh viên thực hiện: Trương Vĩnh Điển Trang 7 DANH MỤC THUẬT NGỮ VÀ CÁC TỪ VIẾT TẮT ACL Access Control List ADDS Active Directory Domain Services AH Authentication Header CA Certificate Authority DHCP Dynamic Host Configuration Protocol EAP Extensible Authentication Protocol EAPOL Extensible Authentication Protocol over LAN ESP Encapsulating Security Payload HRA Health Registration Authority HTTP Hypertext Transfer Protocol HTTPS Hypertext Transfer Protocol Secure IPSEC Internet Protocol Security L2TP Layer 2 Tunneling Protocol NAC Network Admission Control NAP Network Access Protection NAP EC Network Access Protection Enforcement Client NAP ES Network Access Protection Enforcement Server NAQC Network Access Quarantine Control NPS Network Policy Server PEAP Protected Extensible Authentication Protocol PPP Point-to-Point Protocol PPTP Point-to-Point Tunneling Protocol RADIUS Remote Authentication Dial In User Service SHA System Health Agent SHV System Health Validator SoH Statement of Health SoHR Statement of Health Respond SSL Secure Sockets Layer SSoH System statement of Health SSoHR System statement of Health Respond TLS Transport Layer Security TS Gateway Terminal Services Gateway UAC Unified Access Control VLAN Virtual Local Area Network VPN Virtual Private Network Quản lý truy cập mạng dựa trên NAP Sinh viên thực hiện: Trương Vĩnh Điển Trang 8 LỜI NÓI ĐẦU Sự phát triển như vũ bão của ngành Công nghệ thông tin và điện tử viễn thông nói chung, ngành Mạng máy tính nói riêng đã đem lại những thay đổi to lớn cho mọi lĩnh vực của đời sống con người. Ngày nay, trong nền kinh tế tri thức, không có bất kỳ một hoạt động nào có thể tách rời khỏi hạ tầng mạng máy tính. Chính vì vậy, việc áp dụng công nghệ đã trở thành một yêu cầu không thể thiếu cho tất cả các tổ chức, doanh nghiệp. Với tầm quan trọng như thế, việc sở hữu một hệ thống mạng doanh nghiệp ổn định, hoạt động liên tục, đảm bảo an toàn … để luôn sẵn sàng cho mọi hoạt động trở nên cấp thiết hơn bao giờ hết. Tuy nhiên, chính vì quan trọng như vậy, hệ thống mạng doanh nghiệp cũng phải đối diện với rất nhiều nguy cơ mất an toàn. Và mặc dù nhận thức được vấn đề này, nhưng nhiều doanh nghiệp cũng không đủ khả năng tài chính để có thể triển khai các giải pháp đảm bảo an toàn cho hệ thống mạng của họ. Xuất phát từ nhu cầu thực tế đó, đồ án ra đời với hy vọng tìm kiếm một giải pháp nào đó cho vấn đề này. Nhiệm vụ của đồ án: Với mục tiêu xây dựng được một giải pháp thiết thực và khả thi, đồ án tập trung vào việc nghiên cứu và triển khai một công nghệ mới – công nghệ Microsoft NAP - giúp các nhà quản trị kiểm soát được sự truy cập trong mạng nội bộ, từ đó đảm bảo cho hệ thống mạng hoạt động liên tục và an toàn. Bố cục của đồ án: Đồ án chia làm 4 chương như sau: - Chương I. Vai trò của hệ thống mạng doanh nghiệp - Chương II. Công nghệ Microsoft – NAP - Chương III. Triển khai và phát triển NAP - Chương IV. Kết luận Quản lý truy cập mạng dựa trên NAP Sinh viên thực hiện: Trương Vĩnh Điển Trang 9 CHƯƠNG I VAI TRÒ CỦA HỆ THỐNG MẠNG DOANH NGHIỆP 1.1. Tình hình phát triển Internet ở Việt Nam. Ngày 19/11/1997, dịch vụ Internet chính thức có mặt tại Việt Nam. Lúc đó, Internet được xem là dịch vụ cao cấp dành cho một nhóm cá nhân, tập thể thật sự có nhu cầu. Khi đó, Chính phủ đã ban hành Nghị định 21 CP để quản lý Internet theo phương châm: Quản lý đến đâu, phát triển đến đó. Đó là một bước thận trọng, khi việc đánh giá khoảng cách giữa tích cực và tiêu cực của Internet còn chênh lệch nhiều. Chúng ta đã chọn phương án an toàn nhất để vào cuộc. Bốn năm sau, năm 2001, có thể nói Internet đã bước chân vào cuộc sống của xã hội, nhất là khu vực doanh nghiệp, nghiên cứu và đào tạo. Tác dụng to lớn của Internet là tải chất xám, trí tuệ của nhân loại về Việt Nam, gắn đất nước với toàn gầu, gắn thị trường của chúng ta với quốc tế. Nhận thấy cần phải phát triển mạnh hơn, Chính phủ đã quyết định cho phép đảo ngược nội dung phương châm quản lý, đó là Phát triển đến đâu, quản lý tới đó. Đó chính là những quyết định hết sức ấn tượng, mạnh mẽ về tư duy, tầm chiến lược, nhìn xa trông rộng của Đảng và Nhà nước ta. Đến hôm nay, chúng ta đã có trên 24% dân số sử dụng Internet. Internet của chúng ta không chỉ dừng ở Viện nghiên cứu, trường ĐH, mà đã vào 100% các Số liệu thống kế tình hình phát triển Internet Việt Nam (03/2009) Quản lý truy cập mạng dựa trên NAP Sinh viên thực hiện: Trương Vĩnh Điển Trang 10 doanh nghiệp lớn, các bệnh viện, 98% các trường THPT, 50% các trường THCS và đang len lỏi dần xuống vùng nông thôn qua các điểm Bưu điện VH xã… Tốc độ phát triển công nghệ Internet Việt Nam sau hơn 10 năm là ngoạn mục; song chất lượng phát triển nội dung, ứng dụng ... của Internet Việt Nam thì vẫn chưa xứng đáng. Vì thế, những thách thức là rất to lớn, các nhà cung cấp dịch vụ cần không ngừng nâng cao chất lượng dịch vụ cũng như hạ giá thành đối với người sử dụng. Có như vậy mới đảm bảo Internet Việt Nam vững bước phát triển. 1.2. Hệ thống mạng doanh nghiệp – Vai trò và tầm quan trọng Internet phát triển đã làm thay đổi mọi mặt của cuộc sống con người, từ cách thức làm việc, học tập đến giải trí, tiêu dùng … Điều đó đưa tới yêu cầu cần phải có sự thay đổi trong phương thức hoạt động của các tổ chức, doanh nghiệp. Nếu không thay đổi, các doanh nghiệp sẽ không thể giới thiệu được sản phẩm của mình tới người tiêu dùng trong thời đại Công nghệ thông tin hiện nay, và nếu như vậy, kết cục là doanh nghiệp đó sẽ không thể phát triển, thậm chí sẽ phá sản. Vậy doanh nghiệp cần thay đổi như thế nào cho phù hợp ? Đó chính là sự thay đổi từ hoạt động thương mại thông thường, không hoặc ít áp dụng công nghệ thông tin sang thương mại điện tử để tận dụng những thành tựu mới nhất của Công nghệ thông tin. Việc ứng dụng công nghệ thông tin, đặc biệt là công nghệ mạng máy tính ở Việt Nam khoảng 3 năm trước đây còn mang tính tự phát, chưa được định hướng bởi chính phủ và các cơ quan chuyên môn nhà nước. Do đó, sự đầu tư cho hệ thống mạng ở mỗi doanh nghiệp phụ thuộc vào tầm nhìn, quan điểm của lãnh đạo doanh nghiệp. Nhưng chỉ trong vòng 2 năm trở lại đây, cùng với sự bùng nổ Internet, đặc biệt là từ sau khi Việt Nam gia nhập WTO (07-11-2006), ngành thương mại điện tử nói chung và hệ thống mạng doanh nghiệp nói riêng đã phát triển với tốc độ rất nhanh, rất cao. Trước thực trạng toàn cầu hóa, doanh nghiệp Việt Nam phải tích cực tìm cách tồn tại và phát triển, cạnh tranh trong và ngoài nước. Trong đó, thương mại điện tử giúp nhiều cho doanh nghiệp về marketing, đặc biệt là marketing ra thị trường quốc tế, giảm chi phí (chi phí marketing, chi phí nhân lực, chi phí bán hàng, chi phí liên lạc, chi phí mặt bằng...), bán hàng qua mạng, hỗ trợ khách hàng từ xa ... Không chỉ vậy, thế giới ngày càng phát triển, công việc không chỉ gói gọn trong từng khu vực riêng lẻ, đã và đang có những dây chuyền sản xuất liên hoàn trên nhiều quốc gia và nhiều khu vực, mỗi doanh nghiệp tham gia và một mắt xích trong dây truyền đó, khi đó hệ thống mạng doanh nghiệp có kết nối Internet là một yêu cầu bắt buộc. Với những lợi ích to lớn đem lại, khi mà thời gian, tiền bạc cũng như hiệu quả kinh doanh là quan trọng, các doanh nghiệp sẵn sàng bỏ tiền để xây dựng cho mình một hệ thống mạng hoàn chỉnh. Tuy nhiên, hầu hết các doanh nghiệp lại bỏ qua hoặc không coi trọng vấn đề an toàn an ninh cho hệ thống mạng của mình. Có rất nhiều doanh nghiệp đầu tư hệ thống mạng rất lớn, với những thiết bị chuyên dụng đắt tiền nhưng các thiết bị đó lại không được sử dụng hết chức năng … Dường Quản lý truy cập mạng dựa trên NAP Sinh viên thực hiện: Trương Vĩnh Điển Trang 11 như khi xây dựng hệ thống mạng, các nhà lãnh đạo chỉ chú ý xem hệ thống đó khi hoạt động có đáp ứng được yêu cầu kinh doanh hay khôn