• Thứ Sáu, 07/03/2008 14:15 (GMT+7)

    NAP – Đầu tư cho mạng an toàn

    Công nghệ mới được hỗ trợ trong Windows Server 2008, Windows Vista và Windows XP SP3, giúp đảm bảo các máy tính kết nối vào mạng riêng đáp ứng yêu cầu về "sức khoẻ hệ thống".

    Công nghệ mới được hỗ trợ trong Windows Server 2008, Windows Vista và Windows XP SP3, giúp đảm bảo các máy tính kết nối vào mạng riêng đáp ứng yêu cầu về “sức khoẻ hệ thống”.

    TỔNG QUAN

    Một trong những vấn đề đau đầu đối với những người quản trị mạng (administrator, gọi tắt là admin) đó là đảm bảo các máy tính kết nối vào mạng riêng của công ty cập nhật phần mềm mới nhất và đáp ứng yêu cầu về sức khỏe hệ thống. Công việc phức tạp này càng khó khăn hơn khi các máy tính, như máy tính gia đình hay MTXT, nằm ngoài sự kiểm soát của admin. Những máy tính không được cập nhật các bản vá HĐH hay dữ liệu nhận dạng virus mới nhất dễ có nguy cơ mở toang mạng trước các cuộc tấn công và virus. Đây chính là một trong những nguyên nhân phổ biến nhất gây nguy hiểm cho sự an toàn của mạng. Các admin thường không có đủ thời gian hay nguồn lực để đảm bảo tất cả phần mềm cần thiết được cài đặt và cập nhật; và họ cũng không thể dễ dàng thay đổi thường xuyên các yêu cầu về sức khỏe hệ thống.

    NAP (Network Access Protection) - cơ chế bảo vệ truy cập mạng được hỗ trợ trong Windows Server 2008 (WS08), Windows Vista và Windows XP Service Pack 3, bao gồm các thành phần máy chủ (server) và máy khách (client) cho phép admin buộc các máy tính kết nối vào mạng phải đáp ứng yêu cầu về sức khỏe hệ thống, và giới hạn truy cập mạng với các máy tính không thoả yêu cầu. NAP còn cung cấp thư viện hàm API cho phép các hãng phần mềm và các nhà phát triển xây dựng nhiều giải pháp cho việc đánh giá tình trạng sức khỏe và giới hạn truy cập mạng.

    Ba chức năng quan trọng

    Hình 1: NAP là 1 role trong Windows Server 2008.

    • Đánh giá tình trạng sức khỏe: Khi một máy tính thực hiện kết nối vào mạng, trạng thái sức khỏe của máy tính đó sẽ được đánh giá dựa trên các chính sách yêu cầu sức khỏe do admin xác định. Admin cũng có thể xác định việc cần làm nếu máy tính không đáp ứng. Trong môi trường chỉ giám sát, tất cả máy tính đều được đánh giá về tình trạng sức khỏe và trạng thái đáp ứng của từng máy được ghi nhận để phân tích. Trong môi trường truy cập hạn chế, các máy tính đáp ứng yêu cầu được truy cập mạng không hạn chế; các máy tính không thỏa yêu cầu chỉ truy cập mạng hạn chế.

    • Tuân thủ chính sách sức khỏe: Admin có thể đảm bảo sự tuân thủ các chính sách sức khỏe bằng cách cho cập nhật tự động máy tính không thỏa yêu cầu với những bản phần mềm bị thiếu thông qua công cụ quản lý như Microsoft Systems Management Server. Trong môi trường chỉ giám sát, máy tính được phép truy cập mạng trước khi được cập nhật các phần mềm hay các thay đổi cấu hình cần thiết. Trong môi trường truy cập giới hạn, máy tính được truy cập hạn chế cho đến khi hoàn tất các bản cập nhật và cấu hình. Trong cả hai môi trường, các máy tính tương thích với NAP có thể tự động trở nên phù hợp, và admin có thể xác định ngoại lệ cho các máy tính không tương thích với NAP.

    • Truy cập giới hạn: Admin có thể bảo vệ mạng của mình bằng cách hạn chế truy cập của các máy tính không thỏa yêu cầu. Việc truy cập mạng giới hạn có thể dựa trên thời gian hay dựa trên tài nguyên. Trong trường hợp sau, admin xác định một mạng hạn chế chứa các tài nguyên cập nhật cần thiết và việc truy cập giới hạn sẽ duy trì cho đến khi máy tính trở nên phù hợp. Admin cũng có thể thiết lập ngoại lệ để cho các máy tính không tương thích với NAP không bị giới hạn truy cập.

    Tình huống ứng dụng

    Được thiết kế để cung cấp cho người dùng giải pháp linh hoạt nhất, NAP có thể làm việc với phần mềm của hãng thứ ba bất kỳ, ví dụ như các giải pháp chống virus, quản lý bản vá phần mềm, VPN... NAP giúp tạo ra giải pháp cho các tình huống phổ biến sau:

    • Kiểm tra tình trạng sức khỏe MTXT: Tính linh động và di động là 2 ưu điểm chính của MTXT, nhưng điều đó cũng tạo nên mối đe dọa cho sức khỏe hệ thống. Các MTXT thường rời khỏi rồi kết nối trở lại mạng công ty. Trong khi rời khỏi mạng công ty, MTXT có thể không nhận được những bản cập nhật phần mềm hay những thay đổi cấu hình mới nhất. MTXT cũng có thể bị lây nhiễm khi kết nối vào các mạng không được bảo vệ như Internet. Bằng cách dùng NAP, admin có thể kiểm tra tình trạng sức khỏe của bất kỳ MTXT nào khi kết nối vào mạng của công ty, dù bằng kết nối VPN hay kết nối vật lý.

    • Kiểm tra tình trạng sức khỏe máy tính để bàn: Mặc dù các máy tính để bàn không thường rời mạng, nhưng chúng vẫn có thể tạo nên mối đe dọa đối với mạng. Để giảm thiểu mối đe dọa này, admin phải thường xuyên cập nhật phần mềm cần thiết cho các máy tính này. Nếu không, các máy tính này có nguy cơ bị lây nhiễm từ các website, email, các file từ folder dùng chung, và các nguồn có thể truy cập công cộng khác. Bằng cách dùng NAP, admin có thể thực hiện tự động việc kiểm tra tình trạng của từng máy tính để bàn để đảm bảo đáp ứng các chính sách về sức khỏe. Với sự hỗ trợ của phần mềm quản lý, admin có thể tạo báo cáo tự động và cập nhật tự động các máy tính không đáp ứng yêu cầu. Khi có thay đổi các chính sách sức khoẻ, các máy tính sẽ được cung cấp tự động những bản cập nhật mới nhất.

    • Kiểm tra tình trạng sức khỏe MTXT của khách: Các công ty thường cần cho phép các nhà tư vấn, đối tác làm ăn và khách kết nối vào mạng riêng. MTXT của những người khách này có thể không đáp ứng những yêu cầu sức khỏe hệ thống và có thể gây ra nguy cơ cho mạng. Bằng cách dùng NAP, admin có thể xác định MTXT nào của khách không thích hợp và chỉ cho truy cập vào mạng hạn chế. Thông thường, admin sẽ không yêu cầu hay cung cấp bất kỳ bản cập nhật hay thay đổi cấu hình nào đối với MTXT khách.

    • Kiểm tra tình trạng sức khỏe máy tính gia đình: Các máy tính gia đình không được quản lý, không là thành viên thuộc domain Active Directory Domain Services của công ty có thể kết nối đến mạng công ty qua VPN. Máy tính gia đình đặt thêm thách thức cho các admin vì họ không có quyền truy cập vật lý đến các máy tính này, vì thế việc áp đặt tuân thủ các yêu cầu, như dùng phần mềm chống virus, càng khó khăn hơn. Tuy nhiên, với NAP, admin có thể kiểm tra tình trạng sức khỏe của máy tính gia đình mỗi khi tạo kết nối VPN đến mạng công ty và chỉ cho truy cập vào mạng hạn chế cho đến khi đáp ứng các yêu cầu sức khỏe hệ thống.

    Tùy thuộc vào nhu cầu, admin có thể cấu hình để giải quyết bất kỳ hay tất cả những tình huống trên cho mạng của mình.

    Hình 2: Với NAP, bạn có thể buộc các máy tính kết nối vào mạng phải tuân thủ các chính sách bảo mật.


    KIẾN TRÚC


    NAP là một nền tảng mở, cung cấp các thành phần hệ thống và tập hàm API cho phép bổ sung các thành phần kiểm tra và chỉnh sửa sức khỏe hệ thống máy tính và áp đặt các kiểu truy cập mạng khác nhau. Không giống các sản phẩm khác của Microsoft như Exchange hay IIS, NAP gồm tập hợp một số vai trò (role), chính sách và dịch vụ, và yêu cầu ít nhất 2 server để làm việc. Một hệ thống mạng intranet hỗ trợ NAP gồm các thành phần sau:

    • NAP client: Máy tính hỗ trợ nền tảng NAP cho việc truy cập mạng có kiểm tra sức khỏe hệ thống.

    • Điểm áp đặt NAP: Máy tính hay thiết bị truy cập mạng dùng NAP để đánh giá tình trạng sức khỏe của NAP client và cho truy cập mạng hạn chế. Điểm áp đặt NAP có một máy chủ chính sách sức khỏe (Network Policy Server - NPS) và các hoạt động chỉnh sửa cho NAP client không phù hợp. Các ví dụ của điểm áp đặt NAP như:

    - Health Registration Authority (HRA): Một máy tính chạy WS08 và Internet Information Services (IIS) nhận chứng nhận sức khỏe cho máy tính từ tổ chức chứng thực.

    - Máy chủ VPN: Máy tính chạy Windows Server 2008 và dịch vụ Routing and Remote Access để cho phép kết nối VPN từ xa vào mạng intranet.

    - Máy chủ DHCP: Máy tính chạy WS08 và dịch vụ DHCP Server để cung cấp cấu hình địa chỉ IPv4 cho các máy khách DHCP trong mạng intranet.

    - Thiết bị truy cập mạng: Chuyển mạng ethernet hay điểm truy cập mạng không dây hỗ trợ xác thực IEE 802.1X.

    • Máy chủ chính sách sức khỏe NAP: Máy tính chạy WS08 và các dịch vụ NPS, chứa các chính sách yêu cầu sức khỏe và cung cấp việc đánh giá tình trạng sức khỏe cho NAP. NPS là dịch vụ thay thế cho IAS (Internet Authentication Service), RADIUS (Remote Authentication Dial-In User Service) server và proxy ở Windows Server 2003. NPS cũng có thể làm việc như 1 máy chủ AAA (Authentication - xác thực, Authorization - cấp quyền, và Accounting - kiểm toán). Khi làm việc với vai trò máy chủ AAA hay máy chủ chính sách sức khỏe NAP, NPS thường được chạy trên 1 server riêng biệt chịu trách nhiệm cấu hình tập trung cho các chính sách yêu cầu sức khỏe và truy cập mạng, như thể hiện trong hình 3.

    • Máy chủ yêu cầu sức khoẻ: Máy tính cung cấp tình trạng sức khỏe hệ thống hiện tại cho máy chủ sức khỏe NAP. Ví dụ, máy chủ yêu cầu sức khỏe cho chương trình chống virus theo dõi phiên bản mới nhất của tập tin dữ liệu nhận dạng virus.

    • Active Directory Domain Service: Dịch vụ này chứa các thông tin chứng nhận và các thiết lập Group Policy. Mặc dù không yêu cầu cho việc đánh giá tình trạng sức khoẻ, Active Directory cần thiết cho các giao tiếp liên lạc được bảo vệ bằng IPsec, kết nối được xác thực theo 802.1X và kết nối VPN truy cập từ xa.

    • Mạng hạn chế: một mạng luận lý hay vật lý tách biệt bao gồm:

    - Máy chủ sửa chữa: Máy tính chứa các nguồn cập nhật sức khỏe mà NAP client có thể truy cập để chỉnh sửa tình trạng của mình; ví dụ như máy chủ phân phối nhận dạng virus hay các bản cập nhật phần mềm.

    - NAP client với quyền truy cập giới hạn: Máy tính được đặt vào mạng hạn chế khi chúng không đáp ứng các chính sách về sức khoẻ.

    Hình 3: Mạng intranet triển khai NAP


    HOẠT ĐỘNG

    NAP hỗ trợ nhiều cơ chế bảo vệ truy cập như: xác thực dựa trên IPsec (Internet Protocol security), xác thực theo IEEE 802.1X, VPN (Virtual Private Network) cho truy cập từ xa, DHCP (Dynamic Host Configuration Protocol). Admin có thể dùng các công nghệ này riêng lẻ hay kết hợp với nhau. NAP được thiết kế để admin có thể cấu hình theo những nhu cầu riêng của mạng. Vì vậy, cấu hình của NAP sẽ thay đổi tùy theo các yêu cầu. Tuy nhiên, hoạt động nền tảng của NAP như nhau.

    Khi nhận 1 chứng nhận sức khoẻ, thực hiện xác thực 802.1X, kết nối VPN đến intranet, hay đăng ký hoặc làm mới lại 1 cấu hình địa chỉ IPv4 từ DHCP server, mỗi NAP client được phân loại theo một trong những cách sau:

    - NAP client đáp ứng yêu cầu về sức khỏe được xếp loại là phù hợp và được truy cập mạng intranet không giới hạn.

    - NAP client không đáp ứng yêu cầu về sức khỏe bị xếp loại là không phù hợp và chỉ được truy cập giới hạn vào vùng mạng hạn chế cho đến khi đáp ứng yêu cầu. NAP client không phù hợp không nhất thiết có virus hay hành động đe doạ nào khác đến intranet, có thể chỉ là không có phần mềm cập nhật hay thiết lập cấu hình theo yêu cầu của chính sách sức khỏe và vì vậy tạo ra nguy cơ đe doạ các máy tính khác trong mạng intranet. Thành phần quản lý sức khỏe hệ thống trên NAP client có thể liên lạc với máy chủ sửa chữa để cập nhật tự động các phần mềm hay thiết lập cấu hình được yêu cầu cho việc truy cập không giới hạn.

    Vì hầu hết các mạng intranet đều có tập hợp các máy tính và thiết bị không đồng nhất, admin có thể chọn một vài máy tính hay thiết bị được miễn yêu cầu về sức khoẻ. Ví dụ, các máy tính chạy các phiên bản trước Windows XP và các HĐH khác Windows không hỗ trợ NAP. Trong môi trường truy cập giới hạn, các máy tính này sẽ luôn có quyền truy cập hạn chế. Để tránh việc truy cập hạn chế cho các máy tính này, admin có thể cấu hình một chính sách sức khỏe ngoại lệ trên server chính sách sức khỏe NAP; các máy tính được miễn trừ không bị kiểm tra về việc tuân thủ và được phép truy cập không giới hạn đến intranet.

    Cơ chế bảo vệ lớp mạng với NAP

    TÓM LẠI

    NAP được thiết kế để giúp người quản trị mạng bảo trì tự động sức khỏe của các máy tính trong mạng, nhờ đó đảm bảo sự an toàn của toàn mạng. Nhưng NAP không được thiết kế để bảo vệ mạng khỏi người dùng ma mãnh. Ví dụ, nếu một máy tính có tất cả phần mềm và thiết lập cấu hình mà chính sách sức khỏe hệ thống yêu cầu, máy tính đó sẽ được phép truy cập mạng không hạn chế. NAP sẽ không thể ngăn người dùng hợp lệ với máy tính đó tải lên mạng chương trình phá hoại hay thực hiện hành vi không đúng đắn nào khác.

    Nguyễn Lê
    Nguồn: Microsoft

    Từ khóa: NAP, security
    ID: A0802_92