Kênh Giải Pháp VN - Công Nghệ Máy Chủ Mạng - Giải Pháp Máy Chủ - Giải Pháp Mạng Doanh Nghiệp - Tư Vấn Giải Pháp Mạng Máy Chủ - VN Solutions Channel :: Network Access Protection trong Windows Server 2008 - Network Access Protection trong Windows Server 2008
Giải Pháp  Giải pháp Sercurity
 
Network Access Protection trong Windows Server 2008
22:12 | 22/04/2010

I. Giới thiệu NAP


clip_image002[4]

1. Nhu cầu về Network Access Protection?

Bảo vệ mạng là thách thức số 1 của hầu hết các tổ chức ngày nay. Điều này trở nên khó đối với nhiều tổ chức là nhiều loại người dùng khác nhau truy cập mạng của họ, bao gồm các nhân viên toàn thời gian làm việc trên các máy tính desktop, các chuyên viên di động cần VPN vào corpnet bằng cách sử dụng các laptop của mình, các nhân viên làm việc từ xa sử dụng máy tính laptop của mình để làm việc từ nhà, các cố vấn và những “vị khách” khác đến địa điểm và cần kết nối laptop của họ với các drop LAN extranet... Nhiều máy tính này cần được nối kết domain nhưng những máy tính khác thì không và do đó không áp dụng Group Policy khi người dùng đăng nhập. Và không phải tất cả máy tính này đều chạy phiên bản mới nhất của Microsoft Windows.

Một số máy tính này sẽ có một Firewall cá nhân được mở và được cấu hình, đây có thể là Windows Firewall hoặc một nhóm sản phẩm thứ ba nào đó. Những máy tính khác có thể không có Firewall, hầu hết sẽ được cài đặt phần mềm chống virus, nhưng những máy tính này có lẽ đã download các file chữ ký (signature) Anti Virus (AV) mới nhất từ nhà cung cấp. Các máy tính client được kết nối thường xuyên với corpnet sẽ có thể có các service pack, hotfix và bản patch an ninh mới nhất được cài đặt, nhưng các máy tính và máy guest không được kết nối domain có thể thiếu một số bản patch.

Toàn bộ hiệu ứng của tất cả điều này là mạng doanh nghiệp ngày nay là nơi nguy hiểm. Nếu bạn là một nhà quản trị mạng và một máy muốn kết nối với mạng của bạn, qua một drop hoặc access point hoăc nối kết RAS hoặc VPN, làm thến nào cho bạn biết cho nó làm như vậy có an toàn không? Phải làm gì nếu bạn cho phép một máy “ốm yếu” – một máy thiếu các bản cập nhật an ninh mới nhất hoặt firewall của nó được tắt hoặc có một file chữ ký AV quá hạn - kết nối với mạng của bạn? Bạn có thể gây nguy hiểm cho tính toàn vẹn của mạng. Làm thế nào bạn có thể ngăn điều này xảy ra? Làm thế nào bạn có thể bảo đảm chỉ có các máy “khoẻ mạnh” được phép truy cập mạng của bạn? Và điều gì xảy ra khi một máy không khoẻ mạnh cố kết nối? Bạn có nên loại bỏ nó ngay tức thì hoặc “cách ly” máy và giúp nó trở nên đủ khoẻ mạnh để được phép kết nối hay không?

2. Network Access Protection là gì?

Network Access Protection là một hệ thống chính sách thi hành (Health Policy Enforcement) được xây dựng trong các hệ điều hành Windows Server 2008, Windows Vista và Windows XP Services Park 3 là một giải pháp được thiết kế để khắc phục các vấn đề trên. Mục đích của NAP là bảo đảm các máy tính tuân theo yêu cầu bảo mật trong tổ chức của bạn. Khi một người dùng nào đó kết nối vào mạng, máy tính của người dùng có thể được mang ra so sánh với một chính sách “sức khỏe” mà bạn đã thiết lập Các nội dung bên trong của chính sách này sẽ khác nhau tùy theo mỗi tổ chức, bạn có thể yêu cầu hệ điều hành của người dùng phải có đầy đủ các bản vá bảo mật mới nhất và máy tính phải đang chạy phần mềm chông virus được cập nhật một cách kịp thời,…và nhiều vấn đề tương tự như vậy. Nếu một máy tính có hội tụ đủ các tiêu chuẩn cần thiết mà bạn đã thiết lập trong chính sách thì máy tính này hoàn toàn có thể kết nối vào mạng theo cách thông thường. Nếu máy tính này không hội tụ đủ các yếu tố cần thiết thì bạn có thể chọn để từ chối sự truy cập mạng cho người dùng, sửa vấn đề lập tức hoặc tiếp tục và cho người dùng sự truy cập nhưng lưu ý về trạng thái của máy tính của người dùng.

NAP không phải là một sản phẩm mà là một nền được hỗ trợ bởi 100 ISV (Independent Software Vendors – đối tác độc lập trong việc sản xuất và phân phối phần mềm) và IHV (Independent Hardware Vendor - các đối tác độc lập trong việc sản xuất và phân phối phần cứng) khác nhau, kể cả các nhà cung cấp AV như McAfee và Symantec, các công ty quản lý bản patch như Altiris và PatchLink, những nhà cung cấp phần mềm an ninh như RSA Security, những nhà sản xuất các thiết bị an ninh bao gồm Citrix, những nhà sản xuất thiết bị mạng bao gồm Enterasys và F5 và những nhà tích hợp hệ thống trong ngành công nghiệp và một số nhà cung cấp hỗ trợ NAP tăng lên hàng ngày.

Thêm vào đó, NAP còn cung cấp bộ thư viện API (Application Programming Interface) cho phép bạn lập trình nhằm tăng cường tính bảo mật cho hệ thống của mình. Hiện nay NAP hỗ trợ triển khai trên những loại hình sau:

a. Dynamic Host Configuration Protocol (DHCP)

Giúp ngăn chặn các máy bị nhiễm Blaster, Slammer hay worm có thể làm tổn hại đến mạng của bạn. Trước tiên server DHCP của bạn phải được cài đặt role service Network Policy Server (NPS) dưới dạng một server RADIUS hoặc được cài đặt dưới dạng một proxy RADIUS. Sau đó client được cấu hình nhận địa chỉ IP bắng cách sử dụng DHCP cố kết nối với server DHCP trên mạng để nhận địa chỉ và truy cập mạng. Server DHCP (NAP) kiểm tra sức khoả client.

Nếu client khoẻ mạnh, nó cho client thuê cấu hình địa chỉ IP đầy đủ và client đi vào mạng. Mặt khác nếu client không tuân theo các yêu cầu chính sách sức khoẻ của NAP, server DHCP cho client vốn chỉ có những thứ sau đây thuê mốt cấu hình giới hạn (địa chỉ ip, subnet mask. Default gateway) đồng thời cho client truy cập chỉ các server đã xác định trên mạng cục bộ. Những server này gọi là server sửa chữa có thể áp dụng các bản vá lỗi, cung cập những bản cập nhật vả thực hiện những hành động khác nhằm giúp cho client phục tùng.

Sau cùng một khi client đã được làm cho cho khoẻ mạnh server DHCP sẽ cho nó thuê một cấu hình địa chỉ IP đầy đủ và bây giờ nó có thể kết nối với intranet.

b. Ipsec with Health Registration Authority (HRA)

Sự thi hành IPSec cho NAP không cách ly một client không phục tùng bằng việc cô lập nó trên một mạng hoặc VLAN giới hạn. Thay vào đó một client không phục tùng đơn giản không nhận một chứng nhận sức khoẻ vì những chứng nhận này chỉ được cung cấp cho cho các máy vốn kết nối với một Health Registration Athority(HRA), gởi một Statement of Health (SoH), vượt qua cuộc kiểm tra sức khoẻ và sau đó nhận trở lại chứng nhận đó. Sau đó những máy khác có policy IPSec bắt buộc chúng chỉ nhận các nối kết đến từ các máy vốn có những chứng nhận sức khoẻ sẽ bỏ qua các kết nối đến từ những máy tính không phục tùng vì chúng không có một chứng nhận sức khoẻ.

Để cấu hình sự thi hành IPSec , bạn cấu hình policy IPSec cho các máy client để yêu cầu một chứng nhận sức khoẻ. Sau đó bạn thiết lập một HRA trên mạng và HRA làm việc cùng với Network Policy Server (NPS) để cấp các chứng nhận sức khoẻ cho những client đáp ứng chính sách sức khoẻ NAP cho mạng. Những chứng nhận này sau đó được sử dụng để xác thực các client khi chúng cố khởi tạo những kết nối được bảo vệ bằng IPSec với những máy khác trên mạng.

HRA là một thành phần chính sử dụng IPSec cho sự thi hành NAP và nó phải là một máy chạy Windows Server 2008 và được cài đặt thành phần IIS7. HRA nhận các chứng nhận sức khoẻ từ các client NAP phục tùng từ một Certification Athority (CA) và CA có thể được cài đặt trên máy Windows Server 2008 hoặc trên một hế thống khác. HRA nhận các chứng nhận sức khoẻ.

c. IEEE 802.1X (Wired và Wireless)

Sự thi hành 802.1X tiền hành như sau

Một thiết bị client có tính năng EAP cố kết nối với Switch có tính năng 802.1x trên mạng. Hầu hết các Switch Ethernet được quản lý hiện đại hỗ trợ 802.1x và để hỗ trợ NAP, Switch phải hỗ trợ sự xác thực 802.1x và việc chuyển mạch V-LAN dựa vào các kết quả xác thực được gởi đến server RADIUS (trong trường hợp này, server RADIUS là NPS cũng sẽ thực thi NAP)

Switch chuyển tiếp tình trạng sức khoẻ khoẻ của client đến NPS để quyết định xem nó có tuân theo chính sách hay không. Nếu client khoẻ mạnh, NPS yêu cầu switch mở cồng và client được cho vào mạng. Nếu việc kiểm tra tính phục tùng thất bại, switch có thể đóng cổng và từ chối cho client đi vào hoặc nó có thể VLAN với client để đặt nó vào trên một mạng cô lập, nơi nó chỉ có thể giao tiếp với các server sửa chữa. Sau khi client được sửa chữa, switch sẽ cho nó đi vào corpnet.

d. Virtual Private Network (VPN)

Để sử dụng VPN làm một cơ chế thi hành NAP, server VPN cần chạy Windows Server 2008 và được cài đặt role service Routing And Remote Access Services trên nó. Về cơ bản việc thi hành VPN được tiến hành như sau:

Client VPN từ xa cố kết nối với server VPN trên mạng vòng ngoài

Server VPN kiểm tra sức khoẻ của client bằng cách liên lạc với server NAP. Nếu client khoẻ mạnh nó thiết lập kết nối VPN và client từ xa hoạt động trên mạng. Nếu client không khoẻ mạnh, server VPN áp dụng một tập hợp bộ lọc gói (packet flters) nhằm cách ly client bằng cách cho nó kết nối chỉ với mạng giới hạn nơi các server sửa chữa được tìm thấy.

Một khi client được sửa chữa, server VPN loại bỏ các bộ lọc gói ra khỏi client và sau đó client có thể kết nối dự do với corpnet.

e. Terminal Services Gateway (TS Gateway)

User nhấp vào biểu tượng Remote Desktop Connection và TS Gateway Client trên máy tính sẽ cố kết nối qua các phương tiện vận chuyển TCP và HTTP đồng thời và xác thực user.

Trong tiến trình xác thực user và sau khi thiết lập quan hệ SSL thì TS Gateway Server yếu cầu một Statement of Health (SoH) ở client cùng một chứng nhận có dạng PKCS#7 với giá trị nonce được tạo ra ngẫu nhiên.

Vì yêu cầu về một SoH đã được thực hiện thay mặt cho một TS Gateway không tin cậy nên TSG - Quarantine Enforcement Client (TSG-QEC) sẽ ngăn chặn yêu cầu. Đầu tiên user Terminal Services phải thêm vào TSG URL trong danh sách server gateway đáng tin cậy trong registry .

Quarantine Enforcement Client sẽ giao tiếp Quarantine Agent (QA) để nhận các Statement of Health (SoH) từ các System Health Agent (SHA). Sau đó TSG-QEC sẽ tạo một yêu cầu SoH bắng cách biên dịch các SoH từ các QA, nonce từ TSGS một khoá đối xứng ngẫu nhiên và tên máy của client. TSG QEC sẽ mã hoá yêu cầu SoH này bằng cách sử dụng khoá chung (puplic key) của TSGW và đưa nó cho TSGC.

TSGC chuyển lớp đã được mã hoá này đến server TSG vốn giải mã và trích xuất SoH, nonce TSGS và khoá đối xứng TSG-QEC. Sau đó, TSGS xác nhận rằng nonce mà nó đã nhận từ TSG-QEC giống với nonce mà nó đã gởi đi trước đó và nếu nó y như vậy, TSGS gởi SoH được giải mã đến server NPS(RADIUS) để hiệu lực hoá.

Server NPS gọi các SHV để hiệu lực các SoH và phát lại với một phản hồi trờ về server NPS và dựa vào sự phản hồi vượt qua hay thất bại (pass/fail) của SHV, server NPS sẽ tạo một phản hồi SoH và sau đó gởi nó đến TSGS.

TSGS chuyển thông tin này đến proxy TSG RADIUS để xác thực GAP (Gateway Authorization Policy) và nếu điền này thành công, proxy TSGS trả về sự thành công với cấp độ thông tin truy cập gateway của nó dựa vào kết quả này, sau đó TSGS cho phép client TS kết nối với server TS.

3. Khía cạnh của NAP

NAP có 3 khía cạnh riêng biệt và quan trọng
- Health state validation (Sự phê duyệt về tình trạng sức khỏe): Khi một máy tính bất kì cố gắng kết nối vào mạng thì tình trạng sức khỏe của máy tính sẽ được đánh giá dựa trên các yêu cầu về sức khỏe do administrator đặt ra.Administrator có thể xác định những việc mà một máy tính cần làm nếu như không đáp ứng được những nhu cầu trên.Trong môi trường Monitoring-only tất cả các máy tính đều cần được đánh giá về tình trạng sức khỏe và tình trạng đáp ứng các nhu cầu về sức khỏe thì nó sẽ được log vào để cho việc phân tích. Trong môi trường kết nối có giới hạn (limited access) thì các máy tính mà nó không đáp ứng được các nhu cầu về sức khỏe thì nó chỉ được kết nối limited access vào mạng ngược lại thì nó sẽ được kết nối không giới hạn vào mạng
- Health policy compliance (Sự đáp ứng các chính sách sức khỏe): Administrator có thể đưa ra các chính sách (policy) đối với các máy tính không đáp ứng được nhu cầu về sức khỏe trước khi cho phép kết nối vào mạng. Administrator có thể chọn các chính sách tự động update cho các phần mềm hoặc những thay đổi về cấu hình trong các phần mềm quản lý như : Microsoft Systems Management Server. Trong môi trường Monitoring-Only thì các máy tính sẽ kết nối vào mạng trước khi nó được update các chương trình cần thiết hoặc các thay đổi về cấu hình. Trong môi trường Limited Access thì các máy tính không đáp ứng được các nhu cầu về sức khỏe sẽ bị giới hạn cho đến khi những chương trình update cần thiết và các thay đổi đổi về cấu hình đã được hoàn tất. Trong cả 2 môi trường trên thì các máy tính tương thích với NAP sẽ tự động đáp ứng các nhu cầu về sức khỏe và Administrator có thể xác định những ngoại lệ đối với những máy tính ko tương thích đối với NAP
- Limit access (Sự kết nối có giới hạn): Administrator có thể bảo vệ mạng bằng cách đề ra các giới hạn kết nối đối với các máy tính không đáp ứng được các yêu cầu về sức khỏe do administrator đề ra. Limit access ở đây có thể là kết nối trong một thời gian nhất định hoặc chỉ cho kết nối đối với một số cái cho phép. Administrator có thể đưa ra một mạng Limit access chứa những nguồn update cần về sức khỏe và các máy tính trong mạng này chỉ được phép kết nối vào mạng khi đã hoàn thành các việc update yêu cầu. Tuy nhiên administrator vẫn có thể đưa ra các ngoại lện cho các máy ko tương thích đối với NAP.
Note : Nền tảng NAP thì không giống với Network Access Quarantine Control khả năng được cung cấp trong w2k3 cho việc bảo vệ mạng từ các kết nối từ xa.

4. Kịch bản cho NAP

NAP cung cấp các giải pháp cho các tình huống thường gặp.
- Xác định tình trạng của các laptop ở ngoài(roaming laptops):
Khả năng linh hoạt tiện lợi dễ dàng xách đi là ưu điểm của laptop nhưng chính các ưu điểm này lại chứa đựng những nguy cơ về sức khỏe cho máy. Những laptop của nhân viên thường được kết nối vào công ty nhưng chúng thường ko được nhận được sự update và những thay đổi về cấu hình,chúng có thể bị nhiễm virus,trojan,.. khi kết nối vào các mạng ko được bảo vệ như internet. Bằng cách sử dụng NAP ,administrator có thể kiểm tra tình trạng của bất kì laptop bào kết nối vào mạng dù là kết nối bằng VPN hay là kết nối trực tiếp vào mạng
- Kiểm tra tình trạng các máy tính để bàn
Mặc dù các máy tính để bàn thì nó không di chuyển nhưng nó vẫn mang mối nguy hiểm đối với mạng , chúng có thể bị nhiễm virus từ internet,email,web, file trong share folder và các kết nối công cộng khác. Để giảm thiểu tối đa nguy cơ này administrator phải duy trì các máy tính này trong tình trjang có được những chương trình update mới nhất.Bằng cách sử dụng NAP administrator có thể kiểm tra toàn bộ mạng coi còn những máy tính nào không đáp ứng được nhu cầu về sức khỏe.Administrator có thể kiểm tra những file log hoặc là thêm vào những chương trình quản lý thì các administrator có thể đưa ra các báo cáo tự động về những máy tính không đáp ứng được nhu cầu về sức khỏe.Khi administrator thay đổi các chính sách về đáp ứng nhu cầu sức khỏe thì máy tính có thể được cung cấp tự động những chương trình update gần đây nhất.
- Kiểm tra tình trạng của các laptop viếng thăm(visting laptops)
Những tổ chức thường cần phải cho phép các nhà tư vấn,bạn kinh doanh và khách hàng kết nối vào mạng riêng của họ. Những laptop này thường không đáp ứng được các nhu cầu về sức khỏe. Bằng cách sử dụng NAP thì administrator có thể quyết định xem laptop visting này có thể đáp ứng được hay không và đưa vào mạng “Limited access”. Thông thường administrator sẽ không yêu cầu hoặc cung cấp bất kì chương trình update hoặc những thay đổi về cấu hình cho những latops này.
- Kiểm tra tình trạng của những máy tính không được quản lý
Những máy tính không nằm trong Active Directory có thể kết nối vào mạng thông qua VPN. Các máy tính này thường sẽ tạo ra những thách thức khó khăn đối với các administrator vì nó không kết nối vật lý đến mạng . Việc thiếu những kết nối vật lý này tạo ra sự tuân theo các yêu cầu về sức khỏe một cách gượng ép như là việc sử dụng phần mềm chống virus hoặc những vấn đề phức tạp hơn. Tuy nhiên đối với NAP thì administrator có thể kiểm tra tình trạng sức khỏe của các máy tính này mỗi lần nó tạo kết nối VPN đến công ty và giới hạn đường truyền (limited access)đối với các máy không đáp ứng được các nhu cầu về sức khỏe.
Tùy thuộc vào các nhu cầu sử dụng của hệ thống mạng mà các administrator có thể xây dựng một hoặc tất cả các kịch bản trên.

II. Những chức năng của NAP

1. Hiệu lực hoá chính sách sức khoẻ

NAP có thể quyết định việc mốt máy tính nào đó có tuân theo một tập hợp yêu cấu chính sách sức khoẻ mà bạn, nhà quản trị có thể định nghĩa cho mạng của bạn hay không. Ví dụ, một trong các yêu cầu sức khoẻ có thể là tất cả máy tính trên mạng phải được cài đặt mốt Firewall dựa vào host và nó phải được mở. Một yêu cầu khác có thể lá tât cả máy tính trên mạng phải được cài đặt bản cập nhật phần mềm mới nhất.

2. Hiệu lực sự truy cấp mạng

NAP có thể giới hạn sự truy cập đến các tài nguyên mạng cho những máy tính vốn không tuân theo những yêu cầu chính sách sức khoẻ. Việc giới hạn truy cập này bắt đầu từ việc ngăn máy tính không tuân theo khỏi kết nối với bất kỳ máy tính khác trên mạng của bạn cho đến việc cách ly chúng trên một subnet và hạn chế sự truy cập của chúng chỉ chúng chỉ trong một tập hợp máy giới hạn. Hoặc bạn có thể chọn không giới hạn sự truy cập gì cả cho các máy tính không phục tùng và đơn giản ghi chép sự hiện diện của chúng trên mạng cho những mục đích báo cáo; đó là sự lựa chọn của bạn – NAP cho bạn, nhà quản trị kiểm soát cách bạn giới hạn sự truy cập mạng dựa vào sự phục tùng.

3. Sửa chữa tự động

NAP có thể tự động sửa chữa các máy tính không phục tùng đang cố truy cập mạng. Ví dụ, bạn có một laptop không có cài đặt các bạn cập nhật an ninh mới nhất. Bạn cố kết nối với corpnet và NAP nhận dạng máy của bạn là không tuân theo các sức khoẻ corpnet, do đó nó cách ly máy của bạn trên một subnet giới hạn nơi nó có thể tương tác chỉ với các server Windows Server Update Services (WSUS). Sau đó NAP hướng máy bạn sang các server WSUS và yêu cầu nó đi tìm các bản cập nhật từ những server này. Máy của bạn download các bản cập nhật. NAP xác nhận rằng bây giờ máy của bạn khoẻ mạnh và bạn được phép truy cập vào corpnet. Sự sửa chữa tự động như vậy không chỉ cho phép NAP ngăn các máy không khoẻ mạnh kết nối với mạng của bạn mà nó còn giúp những máy đó trở nên khoẻ mạnh để có thể truy cập vào tài nguyên mạng cần thiết.. Dĩ nhiên NAP cho bạn, nhà quản trị mạng quyền điều khiển, do đó bạn có thể tắt chức năng sửa chữa nếu bạn muốn và yêu cầu NAP hướng máy không phục tùng sang một website nội bộ.

4. Sự phục tùng đang tiến triển

Sau cùng NAP không chỉ kiểm tra sự phục tùng khi máy tính nối kết với mạng. Nó tiếp tục kiểm chứng sự phục tùng trên cơ sở đang tiến triển để bảo đảm rằng máy vẫn khoẻ mạnh trong toàn bộ thời gian nó được kết nối với mạng.

III. Cấu trúc của NAP:

clip_image002

Toàn bộ cấu trúc của NAP thể hiện những thành phần

Ở bên trái hình là các client cố đi vào mạng và các server sửa chữa vốn có thê cung cấp các cập nhật cho chúng để di chuyển tình trạng sức khoẻ của những client này từ không khoẻ mạnh đến khoẻ mạnh. Những server sửa chữa này có thể là những sản phẩm Microsoft chẳng hạn như System Center Configuration Manager 2007 hoặc Windows Server Update Services (WSUS) hoặc chúng có thể là các sản phẩm nhóm thứ ba từ các nhà cung cấp AV, nhà cung cấp quản lý patch.

Bây giờ để một máy client gia nhập vào một hạ tầng NAP, máy này phải có 1 client NAP. Client NAP có một số lớp sau đây:

1. Enforcement Client

Đôi khi được viết tắt là EC. Một  Enforcement Client là một máy khách đang thực hiện kết nối vào mạng của bạn. Cần phải lưu ý rằng không phải tất cả các máy trạm đều tương thích với Network Access Protection. Để được xem xét là Enforcement Client, máy trạm phải có thể chạy thành phần System Health Agent. Chỉ Windows Vista và Windows XP SP3 mới có khả năng chạy System Health Agent và chính vì vậy chỉ có các hệ điều hành máy trạm này tương thích với Network Access Protection.

2. System Health Agent (SHA)

System Health Agent là một tác nhân chạy như một dịch vụ trên máy trạm và kiểm tra Windows Security Center. Tác nhân này chịu trách nhiệm cho việc báo cáo các thông tin về trạng thái sức khỏe của hệ thống đối với máy chủ Enforcement Server nhờ sự kết nối.

3. Quarantine Agent (QA)

Còn được gọi là NAP Agent, về cơ bản đây là một lớp môi giới lấy thông tin tình trạng sức khoẻ được thu nhập bởi SHA và đóng góp chúng thành một danh sách và sau đó chuyển đến các Enforcement Client để xử lý một cách phù hợp.

Ở giữa hình là các thiết bị kiểm soát truy cập mạng mạng. Những thiết bị này cấn có khả năng liên vận hành với hạ tầng NAP để chuyển các báo cáo sức khoẻ đến những server NPS để đánh giá sức khoẻ

Sau cùng bên phải hình là Network Policy Server (NPS) và các server sức khoẻ hệ thống hay còn gọi là policy server.

NPS là 1 Remote Authentication Dial-In Service (RADIUS) server và proxy trong W2K8. Là một RADIUS server ,NPS cung cấp các dịch vụ authentication,authorization và accounting(AAA) cho nhiều loại đường truyền khác nhau. Đối với Authentication và Authorization,NPS sử dụng Active Directory (AD) để xác minh người sử dụng hoặc sự ủy nhiệm và có được user và account khi cố gắng kết nối vào 802.1X-authentication hoặc kết nối bằng VPN.
NPS cũng đóng vai trò như là 1 Healthy policy server. Administrator xác định các yêu cầu về sức khỏe theo dạng của chính sách về sức khỏe trên NPS server. NPS server đánh giá các thông tin về sức khỏe được cung cấp bởi NAP client để quyết định sự tuân thủ hay không tuân thủ các yêu cầu sức khỏe,tập hợp những việc cần làm cho NAP client để tuân theo các yêu cầu về sức khỏe.
NPS có cấu trúc xếp lớp như sau :

4. Enforcement Server (ES)

Enforcement Server là một máy chủ dùng để thi hành các chính sách đã được định nghĩa bởi NAP.

5. System Health Validator (SHV)

System Health Validator sử dụng các thông tin mà nó thu lượm được từ System Health Agent và so sánh với các thông tin về trạng thái “sức khỏe” như định nghĩa.

6. Quarantine Server(QS)

Là đối tượng môi giới giữa các SHV chạy trên NPS và các ES chạy trên server NAP

7. Remediation Server

Một remediation server là một máy chủ để tạo khả năng truy cập cho các máy khách không có đủ các tiêu chuẩn truy cập mạng như đã được thiết lập. Một máy chủ remediation server (tạm dịch là máy chủ dùng để điều đình lại) sẽ chứa tất cả các cơ chế cần thiết cho việc tạo một sự đồng thuận của  máy khách với các chính sách. Cho ví dụ, máy chủ này có thể sử dụng các bản vá bảo mật cho máy khác thực thi.

IV. Các hạn chế của NAP

Có một thứ mà chúng tôi muốn đề cập về NAP là nó cung cấp cho bạn một cách nâng cao sự bảo mật cho các tổ chức, tuy nhiên lại không thay thế được các cơ chế bảo mật khác mà bạn đang sử dụng. Network Access Protection không thỏa mãn được sự hài lòng trong trường hợp bảo đảm các máy khách từ xa tuân theo chính sách an ninh mạng. Trong thực tế, nó sẽ có thể thực hiện một công việc tốt hơn đối với việc thực thi chính sách này theo thời gian vì nó này được dựa trên các chuẩn mở. Điều này có nghĩa rằng các hãng phần mềm thứ ba sẽ có thể viết các module chính sách cho riêng bạn, chính sách này sẽ cho phép bạn tạo các chính sách bảo mật để sử dụng cho phần mềm của các nhóm thứ ba đang chạy trên enforcement client.

Những gì Network Access Protection không thể thực hiện được là ở chỗ, nó không thể tránh được các kẻ xâm phạm bừa bãi vào mạng. Network Access Protection chỉ bảo đảm rằng các máy trạm đang được sử dụng cho việc truy cập từ xa có đủ các tiêu chuẩn. Chính vì vậy, Network Access Protection sẽ chỉ ngăn được hacker nếu máy tính không thỏa mãn chính sách an ninh mạng của bạn còn trong trường hợp máy tính của hacker đồng thuận theo chính sách này thì sẽ rất khó để có thể thiết lập truy cập của hacker là truy cập bị từ chối.

V. chế làm việc của NAP

NAP được thiết kế để administrator có thể định cấu hình của nó để đáp ứng các nhu cầu cá nhân trong mạng của họ. Do đó cấu hình thật sự của NAP sẽ thay đổi tùy vào sở thích và yêu cầu của những nhà quản trị. Tuy nhiên thì cách hoạt động cơ bản của NAP thì vẫn giống nhau.

Khi có được 1 sự chứng nhận về sức khỏe , việc thực hiện một 802.1X-authenticated hoặc kết nối VPN đối với mạng nội bộ hoặc lấy hoặc nhận mới 1 IP từ DHCP server thì các NAP client sẽ được phân loại theo 1 trong các cách sau:
Những NAP client đáp ứng được các nhu cầu về sức khỏe sẽ được phân vào nhớm đủ tiêu chuẩn và có đường truyền không giới hạn hoặc giao tiếp thông thường với mạng nội bộ.
Những NAP client không đáp ứng được nhu cầu về sức khỏe được phân vào nhóm không đủ tiêu chuẩn và bị giới hạn về đường truyền trong những khu vực có giới hạn cho đến khi nào đủ tiêu chuẩn. Một NAP không đủ tiêu chuẩn khi nó chứ những mã nguồn nguy hiểm,virus,..hoặc không có những phần mềm update cần thiết,những cài đặt cấu hình yêu cầu bởi những yêu cầu về sức khỏe. Do đó những NAP client không đủ tiêu chuẩn sức khỏe sẽ mang đến những nguy cơ về sức khỏe đối với mạng nội bộ. SHAs trong NAP client có thể tự động cập nhật cho những máy tính có đường truyền giới hạn bằng những phần mềm hoặc cài đặt cấu hình yêu cầu không giới hạn đường truyền.

clip_image003

Hình A: Thực thi NAP yêu cầu tới một vài máy chủ

Sau đây là mô tả đơn giản hoạt động của NAP khi một laptop không phục tùng chạy Windows Vista cố VPN vào corpnet bằng cách kết nối với một server VPN chạy Windows Server 2008 khi một hạ tầng NAP đã được triển khai:

Windows Vista client đang được kết nối với máy chủ Windows Server 2008 (máy chủ đang chạy dịch vụ Remote Access (RRAS)). Máy chủ này đóng vai trò như một VPN server cho mạng. Windows Vista client thiết lập một kết nối với máy chủ VPN này theo cách thức thông thường.

Khi người dùng từ xa kết nối với máy chủ VPN, các chứng chỉ của họ phải hợp lệ bằng RADIUS protocol. Máy chủ chính sách mạng (NPS) sẽ xác định chính sách “sức khỏe” nào đang bị gây ảnh hưởng và điều gì sẽ xảy ra nếu máy khách từ xa không thỏa mãn chính sách này. Chỉ khi client thoả mãn yêu cầu chính sách của NPS thì lúc này client mới được phép truy cập vào các tài nguyên trên mạng.

Nguyễn Hữu Phan Hoàng Hồ

 
Ý kiến phản hồi và bình luận Góp ý kiến của bạn

Các tin mới nhất :
- Giải Pháp Xác Thực Mạnh 2 Yếu Tố Cho Dịch Vụ Vps, Dedicated Server
- Giải pháp SPF động và ứng dụng trong lọc thư rác
- Tầm nhìn mới giải pháp bảo mật dữ liệu
- Giải pháp phòng chống thư rác với “Cisco Ironport Antispam”
- Giải pháp bảo mật Oracle Defense in Dept
- Giải pháp chống Spam cho máy chủ email với eWall
- Giải pháp Web Filtering của Bluecoat
- Giải pháp bảo mật hệ thống với DeviceLock 7
- Bảo mật dữ liệu hiệu quả dựa trên Roxio Secure Burn Plus
- Bảo vệ Windows Server toàn diện với TekRADIUS
Các tin liên quan :
- Bảo mật Wi-Fi bằng các kỹ thuật nâng cao
- Bảo mật mạng Wi-Fi trong doanh nghiệp nhỏ
- Cấu hình bảo mật Hyper-V bằng Authorization Manager - Phần 1
- Cấu hình bảo mật Hyper-V bằng Authorization Manager , Keys - Phần 2
- Cải thiện bảo mật mạng với DNS Server
- Red Hat Linux và những kinh nghiệm bảo mật
- Bảo mật hệ thống Linux với PAM
Bài nhiều người đọc cùng chuyên mục
Tìm hiểu IDS (Intrusion Detection System ) trong bảo mật hệ thống mạng
 
Giải pháp bảo mật dành cho các công ty chứng khoán
 
Giải pháp hệ thống dành cho doanh nghiệp với thiết bị mạng Fortinet (Phần 1)
 
LogRhythm LR2000-XM – giải pháp giám sát hiệu quả dành cho hệ thống
 
Giải pháp Bảo mật của Cisco
 
Nghiên cứu và đưa ra giải pháp phòng chống tấn công DoS, DDoS (Phần 1)
 
Bảo vệ máy chủ bằng Scapy – Phần 1
 
Trang chủ | Giới thiệu | Quảng cáo | Liên hệ
Giấy phép ICP số 199/GP-TTĐT. Bộ Thông tin và Truyền thông cấp.
Cơ quan quản lý  : Công Ty Cổ Phần Kênh Giải Pháp
Bản quyền © 2010-2011 Kenhgiaiphap.vn . Giữ toàn quyền.
Ghi rõ nguồn "Kenhgiaiphap.vn" khi phát hành lại thông tin từ website này.