MỞ ĐẦU Quản lý ngƣời sử dụng truy cập mạng là một bài toán phổ biến hiện nay, mỗi tổ chức, doanh nghiệp có những nhu cầu quản lý với những đặc thù riêng. Trong đó bài toán cấp phát địa chỉ IP động là một bài toán cốt lõi trong thực tiễn triển khai các mô hình mạng, nhằm mục đích tự động hóa và đảm bảo tính trong suốt đối với ngƣời sử dụng, và nhất quán đối với ngƣời quản trị. Nó có thể là một bài toán độc lập với các mô hình mạng đơn giản, ít ngƣời sử dụng, cũng có thể là một bài toán con trong bài toán quản lý truy cập đối với các mô hình mạng lớn hơn có sử dụng các hệ thống tƣờng lửa nhằm kiểm soát truy cập. Thực tiễn triển khai cho thấy việc tổ chức cấp phát địa chỉ IP hợp lý sẽ là tiền đề trong việc đơn giản hóa các luật trong bài toán quản lý truy cập trên một hệ thống mạng lớn có nhiều vùng khác nhau nhƣ vùng Database, vùng Aplication, vùng DMZ, vùng WAN và các mạng con trong hệ thống mạng có sử dụng tƣờng lửa.
Trong quá trình công tác chúng tôi đã ứng dụng triển khai hệ thống tƣờng lửa mã nguồn mở PFSense nhằm quản lý và kiểm soát truy cập mạng đối với ngƣời sử dụng đầu cuối tại Học viện Cảnh sát nhân dân. Sử dụng PFSense trong triển khai thực tế cho thấy tính năng DHCP trong PFSense là một công cụ hiệu quả với nhiều tính năng nhƣ: Cho phép quản lý cấp phát địa chỉ IP tập trung Tính năng DHCP của PFSense đƣợc tích hợp các VLAN ID nên có thể áp dụng triển khai trên từng VLAN độc lập trong cùng một hệ thống duy nhất. Tích hợp tính năng MAC filter vào trong DHCP Dễ dàng sử dụng, trực quan do sử dụng giao diện WebGUI Tuy vậy việc quản trị khả năng lọc địa chỉ MAC (MAC Filter) của dịch vụ DHCP trong PFSense mới chỉ tập trung vào các vấn đề cơ bản và còn nhiều bất tiện khi hệ thống có những đặc thù quản trị riêng nhƣ: (a) số lƣợng địa chỉ cần quản trị (tức số ngƣời dùng) lớn, và (b) tập các địa chỉ cần quản trị là động. Điều này khiến cho việc sử dụng PFSense trong quản trị truy cập mạng tốn nhiều chi phí về thời gian và nhân lực mặc dù năng lực hoạt động cũng nhƣ tính năng của z 9 PFSense là hoàn toàn đáp ứng việc phục vụ hầu hết mọi tập ngƣời dùng khi đã có cấu hình đúng.
Do đó trong luận văn này chúng tôi đề xuất phƣơng án mở rộng khả năng quản lý cho tính năng DHCP của PFSense với các công cụ tự xây dựng gọi là PFSenseMan nhằm nâng cao hiệu quả về mặt thời gian, tổ chức, nhân lực trong việc quản lý truy cập mạng đối với ngƣời sử dụng đầu cuối trong một hệ thống mạng có số lƣợng ngƣời sử dụng lớn và thay đổi thƣờng xuyên. Để chứng minh tính khả thi cũng nhƣ tính hiệu của của PFSenseMan, chúng tôi đã ứng dụng công cụ này vào môi trƣờng của Học viện Cảnh sát nhân dân Cảnh sát nhân dân với số lƣợng ngƣời dùng là trên 4000 ngƣời, và số lƣợng ngƣời sử dụng là thƣờng xuyên thay đổi theo thời gian. Thực tế triển khai PFSenseMan cho thấy PFSenseMan kết hợp với PFSense hoàn toàn đáp ứng các và đòi hỏi các yêu cầu về bảo mật, quản lý truy cập tài nguyên trên mạng ví dụ nhƣ môi trƣờngcủa Học viện Cảnh sát nhân dân Cảnh sát nhân dân, với các thao tác nghiệp vụ quản trị đƣợc tối ƣu hóa nhằm giảm thiểu chi phí về thời gian, nhân lực cũng nhƣ giảm thiểu các lỗi cấu hình có thể xảy ra do các nhân tố chủ quan nhƣ sai sót thao tác của ngƣời quản trị. Kết quả ứng dụng cho thấy trong một môi trƣờng sử dụng nhƣ trên hiệu quả sử dụng thể hiện qua những khía cạnh sau: Đối với ngƣời sử dụng: Đáp ứng yêu cầu kết nối nhanh.
Đối với ngƣời quản trị hệ thống: o Hiệu quả hơn hàng nghìn giờ về mặt thời gian cho việc thực hiện cấu hình với khoảng 4000 ngƣời sử dụng, tần suất thay đổi trung bình 1000 ngƣời/năm. o Khả năng kiểm soát trùng lặp địa chỉ IP (khả năng mở rộng do PFSenseMan cung cấp) o Dễ dàng tổ chức địa chỉ IP một cách hợp lý đáp ứng các yêu cầu xây dựng các luật kiểm soát truy cập tài nguyên trên hệ thống mạng. z 10 o Ứng dụng khiến cho việc quản trị ngƣời sử dụng đầu cuối nhanh chóng hơn thông qua đó việc xây dựng mô hình truy cập mạng cũng đơn giản ít tốn kém về chi phí hơn. z 11 CHƢƠNG 1: TỔNG QUAN VỀ QUẢN LÝ TRUY CẬP MẠNG Quản lý truy cập mạng là một bài toán tổng quát và phổ biến hiện nay.
Tùy theo nhu cầu khác nhau của các tổ chức, doanh nghiệp mà họ lựa chọn các giải pháp khác nhau nhằm đáp ứng các yêu cầu quản gồm: Triển khai, thiết lập chính sách bảo mật và khắc phục các sự cố; Lập kế hoạch và chọn giải pháp phù hợp cho việc hợp lý hoá băng thông; Phân đoạn mạng nhằm mục tiêu hợp lý hoá băng thông, giảm nguy cơ lây lan virus và kiểm soát truy cập tài nguyên mạng; Quản trị mạng trong một hệ thống tập trung, vân vân Cùng với đó việc các công nghệ xác thực, bảo mật khác nhau ra đời khiến cho bài toán “Quản lý truy cập mạng” càng trở nên thiết thực, phong phú hơn đƣợc áp dụng ở nhiều mô hình mạng khác nhau từ nhỏ đến lớn. Có thể kể đến các giải pháp nhƣ: 802. Nội dung chƣơng này đề cập đến một số giải pháp phổ biến hiện nay, các chuẩn về xác thực đồng thời đƣa ra những nhận định, phân tích những điểm mạnh, điểm yếu của các giải pháp, các chuẩn xác thực của các giải pháp trên.1 Các thành phần cơ bản của bài toán Quản lý truy cập mạng Tùy theo nhu cầu quản lý, đặc thù về chính sách truy cập tài nguyên khác nhau mà mỗi tổ chức, doanh nghiệp lựa chọn cho mình quy mô của bài toán quản lý truy cập mạng khác nhau. Tuy vậy có 4 thành phần cơ bản cấu thành bài toán quản lý truy cập mạng gồm: Authenticate: Ngƣời sử dụng đầu cuối bắt buộc phải xác thực trƣớc khi kết nối truy cập mạng.
Có 3 tùy chọn(02 tùy chọn Agent-less và 01 tùy chọn Agent- based) cho giải pháp xác thực kết nối mạng: 802.1x : Đây là chuẩn xác thực nhƣ là một cách tiếp cận an toàn, thƣờng đƣợc dùng trong xác thực qua các thiết bị access point. Còn gọi là chính sách truy cập tiền kiểm tra qua các bƣớc: o Ngƣời sử dung kết nối vào mạng (qua AP hoặc Switch) o AP/Switch khởi động 802.1x (EAP) để xác thực o Ngƣời sử dụng xác thực theo chính sách đã đặt ra z 12 o Nếu xác thực thành công ngƣời sử dụng sẽ đƣợc nhận một địa chỉ IP theo phân hoạch để kết nối vào mạng, ngƣợc lại sẽ bị từ chối kết nối mạng và không nhận đƣợc địa chỉ IP do hệ thống cấp phát. Web-based Authentication: Đây là phƣơng thức xác thực dựa trên nền tảng Web, nó thƣờng đƣợc triển khai nhƣ một hệ thống Captive Portal [2]. Còn gọi là chính sách xác thực hậu kiểm tra qua các bƣớc: o Ngƣời sử dụng kết nối mạng và nhận 01 địa chỉ IP, các gói tin đi qua hệ thống sẽ bị chặn lại.
o Ngƣời sử dụng sẽ đƣợc chuyển hƣớng đến cổng xác thực thông tin trên nền web browser. o Ngƣời sử dụng xác thực theo tài khoản đƣợc cung cấp. o Trong trƣờng hợp xác thực thành công ngƣời sử dụng sẽ đƣợc cấp quyền truy cập mạng theo các chính sách đã đƣợc thiết lập trƣớc đó, ngƣợc lại các gói tin kết nối đến hệ thống mạng tiếp tục bị chặn lại. Agent-based: Ngƣời sử dụng sẽ đƣợc cung cấp các phần mềm Agent, việc xác thực sẽ do các Agent này đảm nhiệm thay cho con ngƣời theo các chính sách đã đƣợc thiết lập trƣớc đó với từng nhóm Agent khác nhau.
Enviroment: Sử dụng các thông tin môi trƣờng của ngƣời sử dụng nhƣ là một chính sách kiểm soát truy cập, ví dụ nhƣ các chính sách antivirus, license, cập nhật các bản vá lỗi của hệ điều hành… trên các thiết bị truy cập đầu cuối. Để sử dụng các thông tin này hệ thống quản lý truy cập phải đảm bảo các câu hỏi: Ngƣời sử dụng kết nối mạng từ đâu? Ngƣời sử dụng yêu cầu truy cập đến cái gì? Vấn đề an ninh trên các thiết bị đầu cuối nhƣ thế nào? Thông tin môi trƣờng có thể bao gồm một số vấn đề sau: Phƣơng thức truy cập (wired, wireless, VPN). Cách thức quản lý truy cập dựa vào thời gian hoặc phiên. Nền tảng hệ điều hành của các thiết bị đầu cuối (Windows, MAC…).
Phƣơng thức xác thực ( user/pass hoặc MAC filter). Các công cụ hỗ trợ an ninh (Phần mềm antivirus, firewall). Các cấp của bản vá lỗi. Access Control: Quản lý truy cập dựa trên các thiết bị phần cứng hoặc là các chính sách về an ninh thông tin, các yêu cầu cụ thể bao gồm: z 13 Cho phép hoặc từ chối kết nối mạng.
Cấp phát địa chỉ IP của mỗi VLAN tƣơng ứng khi kết nối với quyền truy cập và môi trƣờng truy cập mạng. Lọc các gói tin đi qua hệ thống mạng. Kiểm tra trạng thái tƣờng lửa trên các thiết bị đầu cuối. Gửi các cảnh báo đến ngƣời sử dụng khi phát hiện ra vấn đề vi phạm các yếu tố an ninh, bảo mật, vân vân.
Management: Quản lý truy cập dựa trên các thiết bị phần cứng hoặc là các chính sách về an ninh thông tin (phần mềm). Tất cả các cấu hình về chính sách và điều khiển truy cập đều đƣợc thể hiện qua giao diện trực quan, giúp ngƣời quản trị dễ dàng cấu hình hệ thống cũng nhƣ các hoạt động giám sát một cách hiệu quả.2 Các cách tiếp cận khi triển khai quản lý truy cập mạng Tùy theo yêu cầu triển khai, hạ tầng hệ thống mạng và các yêu cầu quản lý mà ngƣời xây dựng hệ thống có thể tiếp cận theo một trong các triết lý sau: Agent-less hay Agent-based Agent-less: Việc xác thực kết nối hệ thống mạng và truy xuất tài nguyên dựa vào yếu tố con ngƣời chứ không phụ thuộc vào các phần mềm cài đặt trên các thiết bị đầu cuối, các chính sách truy cập do hệ thống đặt ra sẽ đƣợc phản hồi bởi các tƣơng tác của ngƣời sử dụng với hệ thống đó.