Bảo vệtruy cập mạng – NAP là một công nghệmới ra đời của Microsoft với mục
đích kiểm soát quá trình kết nối vào hệthống mạng nội bộcủa các máy trạm. Khảnăng áp
dụng của công nghệNAP vào hệthống mạng doanh nghiệp là rất lớn. Chính vì thế, đồán
được thực hiện với mục đích tìm hiểu và triển khai công nghệNAP đểbảo vệtruy cập đối
với hệthống mạng doanh nghiệp với những nội dung chính nhưsau:
Chương I: Vai trò của hệthống mạng doanh nghiệp
• Trình bày vềsựphát triển Internet ởnước ta và các yêu cầu đặt ra với doanh nghiệp
trong tình hình mới.
• Xác định vai trò, tầm quan trọng và các mối đe dọa gây mất an toàn của hệthống
mạng doanh nghiệp. Từ đó cho thấy việc cần thiết phải quản lý truy cập hệthống
mạng
• Phân tích, lựa chọn công nghệMicrosoft NAP đểthực hiện quản lý truy cập.
Chương II: Công nghệMicrosoft – NAP
Tập trung vào việc tìm hiểu công nghệNAP: Cấu trúc hệthống, cấu trúc các thành
phần trên NAP-Client và NAP-Server, nguyên lý hoạt động, các chức năng mà NAP hỗtrợ
cho hệthống mạng đểquản lý truy cập (IPSEC, 802.1X, VPN .) và cách thức hoạt động
của các chức năng đó.
Chương III: Triển khai và phát triển NAP
• Triển khai áp dụng công nghệNAP vào hệthống mạng doanh nghiệp: phân tích, đề
xuất mô hình triển khai tổng quát
• Triển khai 5 phương pháp thực thi NAP áp dụng cho việc quản lý truy cập mạng:
Phương thức thực thi NAP-IPSEC, NAP-802.1X, NAP-DHCP, NAP-VPN, NAPTS Gateway.
• Phát triển hệthống NAP: Tạo ra một thành phần trong cấu trúc hệthống NAP, thay
thếcho thành phần đã xây dựng sẵn đã tích hợp sẵn cùng Windows.
• Nhận xét và đánh giá những điểm mạnh, điểm yếu của các mô hình triển khai NAP
được áp dụng trong hệthống mạng doanh nghiệp.
Chương IV: Kết luận
• Những kết quả đạt được và những hạn chếcủa đồán
• Hướng phát triển của đồán trong tương lai.
88 trang |
Chia sẻ: tuandn | Lượt xem: 2825 | Lượt tải: 4
Bạn đang xem trước 20 trang tài liệu Đồ án Quản lý truy cập mạng dựa trên NAP, để xem tài liệu hoàn chỉnh bạn click vào nút DOWNLOAD ở trên
TÓM TẮT NỘI DUNG ĐỒ ÁN TỐT NGHIỆP
Bảo vệ truy cập mạng – NAP là một công nghệ mới ra đời của Microsoft với mục
đích kiểm soát quá trình kết nối vào hệ thống mạng nội bộ của các máy trạm. Khả năng áp
dụng của công nghệ NAP vào hệ thống mạng doanh nghiệp là rất lớn. Chính vì thế, đồ án
được thực hiện với mục đích tìm hiểu và triển khai công nghệ NAP để bảo vệ truy cập đối
với hệ thống mạng doanh nghiệp với những nội dung chính như sau:
Chương I: Vai trò của hệ thống mạng doanh nghiệp
• Trình bày về sự phát triển Internet ở nước ta và các yêu cầu đặt ra với doanh nghiệp
trong tình hình mới.
• Xác định vai trò, tầm quan trọng và các mối đe dọa gây mất an toàn của hệ thống
mạng doanh nghiệp. Từ đó cho thấy việc cần thiết phải quản lý truy cập hệ thống
mạng
• Phân tích, lựa chọn công nghệ Microsoft NAP để thực hiện quản lý truy cập.
Chương II: Công nghệ Microsoft – NAP
Tập trung vào việc tìm hiểu công nghệ NAP: Cấu trúc hệ thống, cấu trúc các thành
phần trên NAP-Client và NAP-Server, nguyên lý hoạt động, các chức năng mà NAP hỗ trợ
cho hệ thống mạng để quản lý truy cập (IPSEC, 802.1X, VPN ...) và cách thức hoạt động
của các chức năng đó.
Chương III: Triển khai và phát triển NAP
• Triển khai áp dụng công nghệ NAP vào hệ thống mạng doanh nghiệp: phân tích, đề
xuất mô hình triển khai tổng quát
• Triển khai 5 phương pháp thực thi NAP áp dụng cho việc quản lý truy cập mạng:
Phương thức thực thi NAP-IPSEC, NAP-802.1X, NAP-DHCP, NAP-VPN, NAP-
TS Gateway.
• Phát triển hệ thống NAP: Tạo ra một thành phần trong cấu trúc hệ thống NAP, thay
thế cho thành phần đã xây dựng sẵn đã tích hợp sẵn cùng Windows.
• Nhận xét và đánh giá những điểm mạnh, điểm yếu của các mô hình triển khai NAP
được áp dụng trong hệ thống mạng doanh nghiệp.
Chương IV: Kết luận
• Những kết quả đạt được và những hạn chế của đồ án
• Hướng phát triển của đồ án trong tương lai.
Quản lý truy cập mạng dựa trên NAP
Sinh viên thực hiện: Trương Vĩnh Điển Trang 2
LỜI CẢM ƠN
Để có ngày hoàn thành đồ án tốt nghiệp này, con xin chân thành cảm ơn bố
mẹ đã tạo mọi điều kiện cho con ăn học, đã động viên và nâng đỡ con trong suốt
quá trình học tập.
Em xin cảm ơn thầy giáo, PGS.TS Phan Huy Khánh,đã tận tình chỉ dẫn, tạo
điều kiện cho em hoàn thành đồ án tốt nghiệp này.
Em xin cảm ơn các thầy, cô phụ trách giảng dạy đã tận tâm dạy dỗ em trong
suốt những năm học vừa qua.
Cuối cùng, xin cảm ơn công ty VSIC đã tạo điều kiện và giúp đỡ tôi trong
thời gian thực tập làm đồ án. Cảm ơn các bạn trong lớp đã trao đổi kinh nghiệm lập
trình, giúp đồ án hoàn thành được như ý.
Đà Nẵng,ngày 7 tháng 06 năm 2010
Người thực hiện
ễ
Quản lý truy cập mạng dựa trên NAP
Sinh viên thực hiện: Trương Vĩnh Điển Trang 3
MỤC LỤC
DANH MỤC HÌNH ẢNH .........................................................................................5
DANH MỤC THUẬT NGỮ VÀ CÁC TỪ VIẾT TẮT..........................................7
LỜI NÓI ĐẦU ...........................................................................................................8
CHƯƠNG I. VAI TRÒ CỦA HỆ THỐNG MẠNG DOANH NGHIỆP ..............9
1.1. Tình hình phát triển Internet ở Việt Nam. .....................................................9
1.2. Hệ thống mạng doanh nghiệp – Vai trò và tầm quan trọng ........................10
1.3. Những mối đe dọa đối với hệ thống mạng doanh nghiệp. ..........................11
1.4. Các công nghệ quản lý truy cập mạng hiện nay..........................................12
CHƯƠNG II. CÔNG NGHỆ MICROSOFT – NAP............................................14
2.1. Giới thiệu công nghệ NAP ..........................................................................14
2.2. Hệ thống mạng triển khai NAP ...................................................................17
2.2.1. Thành phần hệ thống mạng triển khai NAP .........................................17
2.2.2. Sự hoạt động giữa các thành phần trong hệ thống NAP.......................19
2.2.3. Cấu trúc của NAP – Client và NAP – Server .......................................22
2.3. Các phương thức thực thi NAP. ..................................................................29
2.3.1. Phương thức thực thi IPSec ..................................................................31
2.3.2. Phương thức thực thi 802.1X................................................................38
2.3.3. Phương thức thực thi VPN....................................................................44
2.3.4. Phương thức thực thi DHCP.................................................................49
2.3.5. Phương thức thực thi Terminal Services Gateway ...............................53
CHƯƠNG III. TRIỂN KHAI VÀ PHÁT TRIỂN NAP.......................................58
3.1. Triển khai phương thức thực thi IPSec........................................................59
3.1.1. Cài đặt và cấu hình Root CA trên máy chủ Domain Controller...........61
3.1.2. Cấu hình máy chủ NPS.........................................................................62
3.1.3. Kiểm tra sự hoạt động của NAP. ..........................................................65
3.2. Triển khai phương thức thực thi 802.1X .....................................................67
3.2.1. Cấu hình 802.1X Switch.......................................................................68
3.2.2. Cài đặt Enterprise Root CA trên máy chủ Domain Controller.............69
3.2.3. Cài đặt và cấu hình máy chủ NPS ........................................................69
3.2.4. Cấu hình máy trạm sử dụng 802.1X.....................................................74
3.3. Triển khai phương thức thực thi DHCP, VPN và TS Gateway...................75
Quản lý truy cập mạng dựa trên NAP
Sinh viên thực hiện: Trương Vĩnh Điển Trang 4
3.3.1. Phương thức thực thi DHCP.................................................................75
3.3.2. Phương thức thực thi VPN....................................................................76
3.3.3. Phương thức thực thi TS Gateway........................................................78
3.4. Phát triển chương trình. ...............................................................................79
3.4.1. Môi trường phát triển:...........................................................................79
3.4.2. Phát triển hệ thống ................................................................................80
3.4.3. Thử nghiệm cặp SHA-SHV xây dựng..................................................83
3.5. Nhận xét - Đánh giá.....................................................................................85
CHƯƠNG IV. KẾT LUẬN ....................................................................................86
4.1. Kết quả đạt được của đồ án .........................................................................86
4.2. Những mặt hạn chế......................................................................................86
4.3. Hướng phát triển trong tương lai .................................................................86
TÀI LIỆU THAM KHẢO ......................................................................................88
Quản lý truy cập mạng dựa trên NAP
Sinh viên thực hiện: Trương Vĩnh Điển Trang 5
DANH MỤC HÌNH ẢNH
Hình 2.1: Chức năng của NAP....................................................................................1
Hình 2.2:Cấu trúc và nguyên lý hoạt động của NAP..................................................1
Hình 2.3: Mô hình hệ thống mạng triển khai NAP.....................................................1
Hình 2.4: Sự liên hệ giữa các thành phần hệ thống NAP ...........................................1
Hình 2.5: Cấu trúc NAP-Client...................................................................................1
Hình 2.6: Cấu trúc NAP-Server ..................................................................................1
Hình 2.7: NAP-Client và NAP-Server trong hệ thống................................................1
Hình 2.8: Quá trình giao tiếp từ NAP-Client tới NAP-Server....................................1
Hình 2.9: Quá trình giao tiếp từ NAP-Server tới NAP-Client....................................1
Hình 2.10: Kiến trúc giao thức IPSec .........................................................................1
Hình 2.11: Các lớp mạng trong phương thức thực thi IPSec......................................1
Hình 2.12: Giao tiếp giữa các lớp mạng trong phương thức thực thi IPSec...............1
Hình 2.13: Nguyên lý hoạt động của phương thức thực thi IPSec .............................1
Hình 2.14:Các thành phần hệ thống xác thực 802.1X ................................................1
Hình 2.15: Nguyên lý hoạt động phương thức thực thi 802.1X .................................1
Hình 2.16: Sử dụng ACL trong phương thức thực thi 802.1X ...................................1
Hình 2.17: Sử dụng VLAN trong phương thức thực thi 802.1X................................1
Hình 2.18: Nguyên lý VPN.........................................................................................1
Hình 2.19: Remote Access VPN.................................................................................1
Hình 2.20: Site-to-site VPN ........................................................................................1
Hình 2.21: Nguyên lý hoạt động phương thức thực thi VPN .....................................1
Hình 2.22: Nguyên lý hoạt động hệ thống DHCP ......................................................1
Quản lý truy cập mạng dựa trên NAP
Sinh viên thực hiện: Trương Vĩnh Điển Trang 6
Hình 2.23: Nguyên lý hoạt động hệ thống DHCP Relay............................................1
Hình 2.24: Nguyên lý hoạt động phương thức thực thi DHCP...................................1
Hình 2.25: Mô hình triển khai TS Gateway................................................................1
Hình 2.26: Nguyên lý hoạt động phương thức thực thi TS Gateway .........................1
Hình 3.1: Mô hình triển khai NAP cho hệ thống mạng doanh nghiệp .......................1
Hình 3.2: Mô hình triển khai phương thức thực thi IPSec..........................................1
Hình 3.3: Cấu hình Root CA trong phương thức IPSec .............................................1
Hình 3.4: Cài đặt NPS và SubOrdinate CA ................................................................1
Hình 3.5: Cấu hình Subordinate CA trên máy chủ NPS.............................................1
Hình 3.6: Cấu hình NPS Server trong phương thức IPSec .........................................1
Hình 3.7: Kiểm tra sự hoạt động của NAP IPSec.......................................................1
Hình 3.8: Mô hình triển khai phương thức thực thi 802.1X .......................................1
Hình 3.9: Cài đặt NPS Server trong phương thức thực thi 802.1X ............................1
Hình 3.10: Cấu hình NPS Server trong phương thức thực thi 802.1X .......................1
Hình 3.11: Thông số cấu hình VLAN trong phương thức 802.1X.............................1
Hình 3.12: Sử dụng GPO cấu hình các dịch vụ 802.1X .............................................1
Hình 3.13: Cấu hình máy trạm sử dụng 802.1X .........................................................1
Hình 3.14: Cấu hình phương thức thực thi DHCP......................................................1
Hình 3.15: Mô hình triển khai phương thức thực thi VPN.........................................1
Hình 3.16: Cấu hình RADIUS Server trong phương thức VPN.................................1
Hình 3.17: Cấu hình RADIUS Client trong phương thức VPN .................................1
Hình 3.18:Mô hình triển khai phương thức thực thi TS Gateway ..............................1
Hình 3.19: Cấu hình TS Gateway server ....................................................................1
Quản lý truy cập mạng dựa trên NAP
Sinh viên thực hiện: Trương Vĩnh Điển Trang 7
DANH MỤC THUẬT NGỮ VÀ CÁC TỪ VIẾT TẮT
ACL Access Control List
ADDS Active Directory Domain Services
AH Authentication Header
CA Certificate Authority
DHCP Dynamic Host Configuration Protocol
EAP Extensible Authentication Protocol
EAPOL Extensible Authentication Protocol over LAN
ESP Encapsulating Security Payload
HRA Health Registration Authority
HTTP Hypertext Transfer Protocol
HTTPS Hypertext Transfer Protocol Secure
IPSEC Internet Protocol Security
L2TP Layer 2 Tunneling Protocol
NAC Network Admission Control
NAP Network Access Protection
NAP EC Network Access Protection Enforcement Client
NAP ES Network Access Protection Enforcement Server
NAQC Network Access Quarantine Control
NPS Network Policy Server
PEAP Protected Extensible Authentication Protocol
PPP Point-to-Point Protocol
PPTP Point-to-Point Tunneling Protocol
RADIUS Remote Authentication Dial In User Service
SHA System Health Agent
SHV System Health Validator
SoH Statement of Health
SoHR Statement of Health Respond
SSL Secure Sockets Layer
SSoH System statement of Health
SSoHR System statement of Health Respond
TLS Transport Layer Security
TS Gateway Terminal Services Gateway
UAC Unified Access Control
VLAN Virtual Local Area Network
VPN Virtual Private Network
Quản lý truy cập mạng dựa trên NAP
Sinh viên thực hiện: Trương Vĩnh Điển Trang 8
LỜI NÓI ĐẦU
Sự phát triển như vũ bão của ngành Công nghệ thông tin và điện tử viễn
thông nói chung, ngành Mạng máy tính nói riêng đã đem lại những thay đổi to lớn
cho mọi lĩnh vực của đời sống con người. Ngày nay, trong nền kinh tế tri thức,
không có bất kỳ một hoạt động nào có thể tách rời khỏi hạ tầng mạng máy tính.
Chính vì vậy, việc áp dụng công nghệ đã trở thành một yêu cầu không thể thiếu cho
tất cả các tổ chức, doanh nghiệp. Với tầm quan trọng như thế, việc sở hữu một hệ
thống mạng doanh nghiệp ổn định, hoạt động liên tục, đảm bảo an toàn … để luôn
sẵn sàng cho mọi hoạt động trở nên cấp thiết hơn bao giờ hết.
Tuy nhiên, chính vì quan trọng như vậy, hệ thống mạng doanh nghiệp cũng
phải đối diện với rất nhiều nguy cơ mất an toàn. Và mặc dù nhận thức được vấn đề
này, nhưng nhiều doanh nghiệp cũng không đủ khả năng tài chính để có thể triển
khai các giải pháp đảm bảo an toàn cho hệ thống mạng của họ. Xuất phát từ nhu cầu
thực tế đó, đồ án ra đời với hy vọng tìm kiếm một giải pháp nào đó cho vấn đề này.
Nhiệm vụ của đồ án:
Với mục tiêu xây dựng được một giải pháp thiết thực và khả thi, đồ án tập
trung vào việc nghiên cứu và triển khai một công nghệ mới – công nghệ Microsoft
NAP - giúp các nhà quản trị kiểm soát được sự truy cập trong mạng nội bộ, từ đó
đảm bảo cho hệ thống mạng hoạt động liên tục và an toàn.
Bố cục của đồ án:
Đồ án chia làm 4 chương như sau:
- Chương I. Vai trò của hệ thống mạng doanh nghiệp
- Chương II. Công nghệ Microsoft – NAP
- Chương III. Triển khai và phát triển NAP
- Chương IV. Kết luận
Quản lý truy cập mạng dựa trên NAP
Sinh viên thực hiện: Trương Vĩnh Điển Trang 9
CHƯƠNG I
VAI TRÒ CỦA HỆ THỐNG MẠNG DOANH NGHIỆP
1.1. Tình hình phát triển Internet ở Việt Nam.
Ngày 19/11/1997, dịch vụ Internet chính thức có mặt tại Việt Nam. Lúc đó,
Internet được xem là dịch vụ cao cấp dành cho một nhóm cá nhân, tập thể thật sự có
nhu cầu. Khi đó, Chính phủ đã ban hành Nghị định 21 CP để quản lý Internet theo
phương châm: Quản lý đến đâu, phát triển đến đó. Đó là một bước thận trọng,
khi việc đánh giá khoảng cách giữa tích cực và tiêu cực của Internet còn chênh lệch
nhiều. Chúng ta đã chọn phương án an toàn nhất để vào cuộc. Bốn năm sau, năm
2001, có thể nói Internet đã bước chân vào cuộc sống của xã hội, nhất là khu vực
doanh nghiệp, nghiên cứu và đào tạo. Tác dụng to lớn của Internet là tải chất xám,
trí tuệ của nhân loại về Việt Nam, gắn đất nước với toàn gầu, gắn thị trường của
chúng ta với quốc tế. Nhận thấy cần phải phát triển mạnh hơn, Chính phủ đã quyết
định cho phép đảo ngược nội dung phương châm quản lý, đó là Phát triển đến
đâu, quản lý tới đó. Đó chính là những quyết định hết sức ấn tượng, mạnh mẽ về
tư duy, tầm chiến lược, nhìn xa trông rộng của Đảng và Nhà nước ta.
Đến hôm nay, chúng ta đã có trên 24% dân số sử dụng Internet. Internet của
chúng ta không chỉ dừng ở Viện nghiên cứu, trường ĐH, mà đã vào 100% các
Số liệu thống kế tình hình phát triển Internet Việt Nam (03/2009)
Quản lý truy cập mạng dựa trên NAP
Sinh viên thực hiện: Trương Vĩnh Điển Trang 10
doanh nghiệp lớn, các bệnh viện, 98% các trường THPT, 50% các trường THCS và
đang len lỏi dần xuống vùng nông thôn qua các điểm Bưu điện VH xã… Tốc độ
phát triển công nghệ Internet Việt Nam sau hơn 10 năm là ngoạn mục; song chất
lượng phát triển nội dung, ứng dụng ... của Internet Việt Nam thì vẫn chưa xứng
đáng. Vì thế, những thách thức là rất to lớn, các nhà cung cấp dịch vụ cần không
ngừng nâng cao chất lượng dịch vụ cũng như hạ giá thành đối với người sử dụng.
Có như vậy mới đảm bảo Internet Việt Nam vững bước phát triển.
1.2. Hệ thống mạng doanh nghiệp – Vai trò và tầm quan trọng
Internet phát triển đã làm thay đổi mọi mặt của cuộc sống con người, từ cách
thức làm việc, học tập đến giải trí, tiêu dùng … Điều đó đưa tới yêu cầu cần phải có
sự thay đổi trong phương thức hoạt động của các tổ chức, doanh nghiệp. Nếu không
thay đổi, các doanh nghiệp sẽ không thể giới thiệu được sản phẩm của mình tới
người tiêu dùng trong thời đại Công nghệ thông tin hiện nay, và nếu như vậy, kết
cục là doanh nghiệp đó sẽ không thể phát triển, thậm chí sẽ phá sản. Vậy doanh
nghiệp cần thay đổi như thế nào cho phù hợp ? Đó chính là sự thay đổi từ hoạt động
thương mại thông thường, không hoặc ít áp dụng công nghệ thông tin sang thương
mại điện tử để tận dụng những thành tựu mới nhất của Công nghệ thông tin. Việc
ứng dụng công nghệ thông tin, đặc biệt là công nghệ mạng máy tính ở Việt Nam
khoảng 3 năm trước đây còn mang tính tự phát, chưa được định hướng bởi chính
phủ và các cơ quan chuyên môn nhà nước. Do đó, sự đầu tư cho hệ thống mạng ở
mỗi doanh nghiệp phụ thuộc vào tầm nhìn, quan điểm của lãnh đạo doanh nghiệp.
Nhưng chỉ trong vòng 2 năm trở lại đây, cùng với sự bùng nổ Internet, đặc biệt là từ
sau khi Việt Nam gia nhập WTO (07-11-2006), ngành thương mại điện tử nói
chung và hệ thống mạng doanh nghiệp nói riêng đã phát triển với tốc độ rất nhanh,
rất cao. Trước thực trạng toàn cầu hóa, doanh nghiệp Việt Nam phải tích cực tìm
cách tồn tại và phát triển, cạnh tranh trong và ngoài nước. Trong đó, thương mại
điện tử giúp nhiều cho doanh nghiệp về marketing, đặc biệt là marketing ra thị
trường quốc tế, giảm chi phí (chi phí marketing, chi phí nhân lực, chi phí bán hàng,
chi phí liên lạc, chi phí mặt bằng...), bán hàng qua mạng, hỗ trợ khách hàng từ xa ...
Không chỉ vậy, thế giới ngày càng phát triển, công việc không chỉ gói gọn trong
từng khu vực riêng lẻ, đã và đang có những dây chuyền sản xuất liên hoàn trên
nhiều quốc gia và nhiều khu vực, mỗi doanh nghiệp tham gia và một mắt xích trong
dây truyền đó, khi đó hệ thống mạng doanh nghiệp có kết nối Internet là một yêu
cầu bắt buộc. Với những lợi ích to lớn đem lại, khi mà thời gian, tiền bạc cũng như
hiệu quả kinh doanh là quan trọng, các doanh nghiệp sẵn sàng bỏ tiền để xây dựng
cho mình một hệ thống mạng hoàn chỉnh. Tuy nhiên, hầu hết các doanh nghiệp lại
bỏ qua hoặc không coi trọng vấn đề an toàn an ninh cho hệ thống mạng của mình.
Có rất nhiều doanh nghiệp đầu tư hệ thống mạng rất lớn, với những thiết bị chuyên
dụng đắt tiền nhưng các thiết bị đó lại không được sử dụng hết chức năng … Dường
Quản lý truy cập mạng dựa trên NAP
Sinh viên thực hiện: Trương Vĩnh Điển Trang 11
như khi xây dựng hệ thống mạng, các nhà lãnh đạo chỉ chú ý xem hệ thống đó khi
hoạt động có đáp ứng được yêu cầu kinh doanh hay khôn