Chương 1: Tổng quan về quản lý tài nguyên và truy cập internet và một số giải pháp Quản lý tài nguyên và truy cập internet là một bài toán tổng quát và phổ biến hiện nay. Tùy theo nhu cầu khác nhau của các tổ chức, doanh nghiệp mà họ lựa chọn các giải pháp khác nhau nhằm đáp ứng các yêu cầu quản lý gồm: Triển khai, thiết lập chính sách bảo mật và khắc phục sự cố. Lập kế hoạch và chọn giải pháp phù hợp cho việc hợp lý hóa băng thông. Phân đoạn mạng nhằm mục tiêu hợp lý hóa băng thông, giảm nguy cơ lây lan virus và kiểm soát truy cập tài nguyên mạng.
Quản trị mạng trong một hệ thống tập trung, vân vân. Cùng với đó việc các công nghệ xác thực, bảo mật khác nhau ra đời khiến cho bài toán “Quản lý tài nguyên và truy cập internet” càng trở nên thiết thực, phong phú hơn được áp dụng ở nhiều mô hình mạng khác nhau từ nhỏ đến lớn. Có thể kể đến các giải pháp như: Captive Portal [2], Firewall, DHCP tích hợp MAC filter hay các giải pháp của các hãng như: Cisco có gói giải pháp NAC (Network Admission Control) [10], Microsoft có gói giải pháp NAP (Network Access Protection) [11], hay tổ chức phi lợi nhuận The Trusted Computing Group đưa ra gói giải pháp TNC (the Trusted Network Connect) [12], vân vân. Nội dung chương này đề cập đến một số giải pháp phổ biến hiện nay, các dịch vụ và ứng dụng mạng cơ bản cần có trong quản lý tài nguyên và truy cập internet.
Các ứng dụng dịch vụ mạng 1. DHCP DHCP (dynamic host configuration protocol): Giao thức cấu hình địa chỉ động được thiết kế làm giảm thời gian chỉnh cấu hình cho mạng TCP/IP bằng cách tự động gán các địa chỉ IP cho người sử dụng khi họ vào mạng. Dịch vụ DHCP là một thuận lợi rất lớn đối với người điều hành mạng. Nó làm yên tâm về các vấn đề cố hữu phát sinh khi phải khai báo cấu hình thủ công.
Nói một cách tổng quan hơn DHCP là dịch vụ mang đến cho chúng ta nhiều lợi điểm trong công tác quản trị và duy trì một mạng TCP/IP như: + Tập trung quản trị thông tin về cấu hình IP. + Cấu hình động các máy. + Cấu hình IP cho các máy một cách liền mạch + Sự linh hoạt + Khả năng mở rộng Chức năng: – Mỗi thiết bị trên mạng cơ sở TCP/IP phải có một địa chỉ IP duy nhất để truy cập mạng và các tài nguyên của nó. Không có DHCP, cấu hình IP phải được thực hiện một cách thủ công cho các máy tính mới, các máy tính di chuyển từ mạng con này sang mạng con khác, và các máy tính được loại bỏ khỏi mạng.
– Bằng việc phát triển DHCP trên mạng, toàn bộ tiến trình này được quản lý tự động và tập trung. DHCP server bảo quản vùng của các địa chỉ IP và giải phóng một địa chỉ với bất cứ DHCP client có thể khi nó có thể ghi lên mạng. Bởi vì các địa chỉ IP là động 3 hơn tĩnh, các địa chỉ không còn được trả lại một cách tự động trong sử dụng đối với các vùng cấp phát lại. Các thuật ngữ trong DHCP: – DHCP Server: máy quản lý việc cấu hình và cấp phát địa chỉ IP cho Client – DHCP Client: máy trạm nhận thông tin cấu hình IP từ DHCP Server – Scope: phạm vi liên tiếp của các địa chỉ IP có thể cho một mạng.
– Exclusion Scope: là dải địa chỉ nằm trong Scope không được cấp phát động cho Clients. – Reservation: Địa chỉ đặt trước dành riêng cho máy tính hoặc thiết bị chạy các dịch vụ (tùy chọn này thường được thiết lập để cấp phát địa chỉ cho các Server, Printer,….) – Scope Options: các thông số được cấu hình thêm khi cấp phát IP động cho Client như DNS Server(006), Router(003). Phương thức hoạt động của dịch vụ DHCP Dịch vụ DHCP hoạt động theo mô hình Client / Server. Theo đó quá trình tương tác giữa DHCP client và server sẽ diễn ra theo các bước sau.
Bước 1: Khi máy Client khởi động, máy sẽ gửi broadcast gói tin DHCP DISCOVER, yêu cầu một Server phục vụ mình. Gói tin này cũng chứa địa chỉ MAC của client. Nếu client không liên lạc được với DHCP Server thì sau 4 lần truy vấn không thành công nó sẽ tự động phát sinh ra 1 địa chỉ IP riêng cho chính mình nằm trong dãy 169.255 dùng để liên lạc tạm thời. Và client vẫn duy trì việc phát tín hiệu Broadcast sau mỗi 5 phút để xin cấp IP từ DHCP Server.
Bước 2: Các máy Server trên mạng khi nhận được yêu cầu đó. Nếu còn khả năng cung cấp địa chỉ IP, đều gửi lại cho máy Client một gói tin DHCP OFFER, đề nghị cho thuê một địa chỉ IP trong một khoảng thời gian nhất định, kèm theo là một Subnet Mask và địa chỉ của Server. Server sẽ không cấp phát địa chỉ IP vừa đề nghị cho client thuê trống suốt thời gian thương thuyết. Bước 3: Máy Client sẽ lựa chọn một trong những lời đề nghị (DHCP OFFER) và gửi broadcast lại gói tin DHCP REQUEST và chấp nhận lời đề nghị đó.
Điều này cho phép các lời đề nghị không được chấp nhận sẽ được các Server rút lại và dùng để cấp phát cho các Client khác. Bước 4: Máy Server được Client chấp nhận sẽ gửi ngược lại một gói tin DHCP ACK như một lời xác nhận, cho biết địa chỉ IP đó, Subnet Mask đó và thời hạn cho sử dụng đó sẽ chính thức được áp dụng. Ngoài ra server còn gửi kèm những thông tin bổ sung như địa chỉ Gateway mặc định, địa chỉ DNS Server… 1. LDAP LDAP (Lightweight Directory Access Protocol) – là giao thức truy cập nhanh các dịch vụ thư mục - là một chuẩn mở rộng cho nghi thức truy cập thư mục.
LDAP là một giao thức tìm, truy nhập các thông tin dạng thư mục trên server. Nó dùng giao thức dạng Client/Server để truy cập dịch vụ thư mục. LDAP chạy trên TCP/IP hoặc các dịch vụ hướng kết nối khác. Ngoài ra, LDAP được tạo ra đặc biệt cho hành động "đọc".
Bởi thế, xác thực người 4 dùng bằng phương tiện "lookup" LDAP nhanh, hiệu suất, ít tốn tài nguyên, đơn giản hơn là query 1 user account trên CSDL Có các LDAP Server như: OpenLDAP, OPENDS, Active Directory, … Phương thức hoạt động của LDAP Ldap dùng giao thức giao tiếp client/server Giao thức giao tiếp client/server là một mô hình giao thức giữa một chương trình client chạy trên một máy tính gởi một yêu cầu qua mạng đến cho một máy tính khác đang chạy một chương trình server (phục vụ). Chương trình server này nhận lấy yêu cầu và thực hiện sau đó nó trả lại kết quả cho chương trình client. Ý tưởng cơ bản của giao thức client/server là công việc được gán cho những máy tính đã được tối ưu hóa để thực hiện công việc đó. Một máy server LDAP cần có rất nhiều RAM (bộ nhớ) dùng để lưu trữ nội dung các thư mục cho các thao tác thực thi nhanh và máy này cũng cần đĩa cứng và các bộ vi xử lý ở tốc độ cao.
Đây là một tiến trình hoạt động trao đổi LDAP client/server: Hình 1.1: Mô hình kết nối giữa client/server Client mở một kết nối TCP đến LDAP server và thực hiện một thao tác bind. Thao tác bind bao gồm tên của một directory entry, và ủy nhiệm thư sẽ được sử dụng trong quá trình xác thực, ủy nhiệm thư thông thường là password nhưng cũng có thể là chứng chỉ điện tử dùng để xác thực client. Sau khi thư mục có được sự xác định của thao tác bind, kết quả của thao tác bind được trả về cho client. Client phát ra các yêu cầu tìm kiếm.
Server thực hiện xử lý và trả về kết quả cho client. Server gởi thông điệp kết thúc việc tìm kiếm. Client phát ra yêu cầu unbind, với yêu cầu này server biết rằng client muốn hủy bỏ kết nối. Server đóng kết nối.
LDAP là một giao thức hướng thông điệp 5 Do client và server giao tiếp thông qua các thông điệp, client tạo một thông điệp (LDAP message) chứa yêu cầu và gởi nó đến cho server. Server nhận được thông điệp và xử lý yêu cầu của client sau đó gởi trả cho client cũng bằng một thông điệp LDAP. Ví dụ: Khi LDAP client muốn tìm kiếm trên thư mục, client tạo LDAP tìm kiếm và gởi thông điệp cho server. Sever tìm trong cơ sở dữ liệu và gởi kết quả cho client trong một thông điệp LDAP Hình 1.2: Thao tác tìm kiếm cơ bản Nếu client tìm kiếm thư mục và nhiều kết quả được tìm thấy, thì các kết quả này được gởi đến client bằng nhiều thông điệp.3: Những thông điệp Client gửi cho server Do nghi thức LDAP là giao thức hướng thông điệp nên client được phép phát ra nhiều thông điệp yêu cầu đồng thời cùng một lúc.
Trong LDAP, message ID dùng để phân biệt các yêu cầu của client và kết quả trả về của server.4: Nhiều kết quả tìm kiếm được trả về Việc cho phép nhiều thông điệp cùng xử lý đồng thời làm cho LDAP linh động hơn các nghi thức khác. 6 Ví dụ như HTTP, với mỗi yêu cầu từ client phải được trả lời trước khi một yêu cầu khác được gởi đi, một HTTP client program như là Web browser muốn tải xuống cùng lúc nhiều file thì Web browser phải thực hiện mở từng kết nối cho từng file, LDAP thực hiện theo cách hoàn toàn khác, quản lý tất cả thao tác trên một kết nối. RADIUS RADIUS là giao thức Remote Authentication Dial-In User Service được định nghĩa trong RFC 2865. Với khả năng cung cấp xác thực tập trung, cấp phép và điều khiển truy cập (Authentication, Authorization, và Access Control – AAA) cho các phiên làm việc với SLIP và PPP Dial-up – như việc cung cấp xác thực của các nhà cung cấp dịch vụ Internet (ISP) đều dựa trên giao thức này để xác thực người dùng khi họ truy cập Internet.
Nó cần thiết trong tất cả các Network Access Server (NAS) để làm việc với danh sách các username và password cho việc cấp phép, RADIUS Access-Request sẽ chuyển các thông tin tới một Authentication Serve, thông thường nó là một AAA Server (AAA - Authentication, Authorization, và Accounting). Trong kiến trúc của hệ thống nó tạo ra khả năng tập trung các dữ liệu thông tin của người dùng, các điều kiện truy cập trên một điểm duy nhất (single point), trong khi đó có khả năng cung cấp cho một hệ thống lớn, cung cấp giải pháp NAS. Khi một user kết nối, NAS sẽ gửi một message dạng RADIUS Access-Request tới máy chủ AAA Server, chuyển các thông tin như username và password, thông qua một port xác định, NAS identify, và một message Authenticator.