Giới thiệu về Network Access Protection (Phần 1)
Ngu
ồ
n:quantrimang.com
Một khía cạnh bảo mật mạng gây khó chịu cho nhiều quản trị viên đó là
việc không thể kiểm soát cấu hình của các máy tính từ xa. Mặc dù mạng
của một công ty có thể đang hoạt động an toàn nhưng vẫn không có gì để
ngăn chặn người dùng từ xa truy cập vào mạng thông qua một máy tính đã
bị nhiễm virus hay có các lỗ hổng chưa được nâng cấp bản vá kịp thời.
Trong bài viết này, chúng tôi sẽ giới thiệu cho các bạn về tính năng bảo vệ truy
cập mạng trong Longhorn Server và cách thức mà nó làm việc.
Khi là một quản trị viên, một thứ khiến tôi thực sự cảm thấy thất vọng đó là có
quá ít sự kiểm soát đối với người dùng từ xa. Những nhu cầu về kinh doanh của
tổ chức cho phép người dùng từ xa có thể kết nối vào mạng của công ty từ các
vị trí khác nhau bên ngoài văn phòng. Vấn đề nảy sinh ở đây là rằng, mặc dù tôi
đã dùng nhiều biện pháp để kiểm tra để bảo đảm cho mạng công ty nhưng tôi
vẫn không thể kiểm soát hết được các máy tính kết nối từ xa vào mạng.
Lý do gây bực bội ở đây là tôi không thể biết được tình trạng của các máy tính từ
xa đang đang truy cập. Trong một số trường hợp, người dùng từ xa sử dụng
máy tính bị nhiễm virus để kết nối đến mạng hoặc sử dụng một hệ điều hành
phiên bản cũ. Mặc dù đã từng bước một bảo vệ mạng công ty nhưng tôi e ngại
đối với những người dùng từ xa không có được sự an toàn đầy đủ sẽ làm hại
đến các hệ thống file khác trên mạng do virus, hoặc có thể vô tình để lộ thông tin
do máy tính của họ bị nhiễm Trojan.
Vài năm trước cũng có một tia hy vọng khi Microsoft chuẩn bị phát hành
Windows Server 2003 R2, trong đó có một tính năng mới là Network Access
Protection (bảo vệ truy cập mạng). Tuy nhiên do không thích hợp nên tính năng
bảo vệ truy cập mạng này đã bị gỡ trước khi tung ta phiên bản R2.
Microsoft cũng đã tốn rất nhiều công sức để nghiên cứu về tính năng này sau
thời điểm đó để tính năng bảo vệ này sẽ là một trong những tính năng bảo mật
chính trong Longhorn Server. Mặc dù phiên bản Network Access Protection của
Longhorn có thể cấu hình dễ dàng hơn so với trong phiên bản Windows Server
2003 nhưng nó vẫn tồn tại một chút phức tạp. Chính vì vậy, mục đích bài viết
này chủ yếu cung cấp cho các bạn một chút giới thiệu về Network Access
Protection và cách làm việc của nó trước khi Longhorn Server được phát hành.
Trước khi bắt đầu
Trước khi băt đầu, có một thứ mà tôi muốn làm rõ ràng khi quan tâm đến tính
năng Network Access Protection (NAP). Mục đích của tính năng này là bảo đảm
máy tính của người dùng từ xa tuân theo các yêu cầu bảo mật trong tổ chức
bạn. NAP sẽ không làm gì để ngăn chặn truy cập trái phép đến mạng. Nếu một
người xâm phạm có một máy tính đáp ứng được các chính sách bảo mật của
công ty thì NAP sẽ không thực hiện bất hoạt động gì để ngừng hoạt động truy
cập của người này. Việc ngăn chặn truy nhập của người này là công việc của
các kỹ thuật bảo mật khác. NAP đơn giản chỉ được thiết kế để ngăn chặn người
dùng đăng nhập vào mạng khi sử dụng các máy tính không bảo đảm.
Ngoài ra còn một thứ nữa cần đề cập trước khi bắt đầu là NAP khác với tính
năng Network Access Quarantine Control ( kiểm soát cách ly sự truy cập mạng)
có trong Windows Server 2003. Chức năng có trong Windows Server 2003 này
cung cấp kiểm soát chính sách bảo vệ giới hạn cho các máy tính từ xa nhưng
hoàn toàn thua kém so với NAP.
Nền tảng cơ bản về NAP
NAP được thiết kế để tăng thêm VPN công ty. Quá trình thiết kế được bắt đầu
khi các client thiết lập một VPN session với Longhorn Server đang sử dụng dịch
vụ truy cập từ xa và định tuyến. Sau khi người dùng thiết lập kết nối, máy chủ có
chính sách mạng sẽ kiểm tra tính hợp lệ về “sức khỏe” hay độ an toàn của hệ
thống từ xa. Điều này được thực hiện bằng cách so sánh cấu hình của máy tính
từ xa với chính sách truy cập mạng được định nghĩa bởi quản trị viên. Vậy
những gì sẽ xảy ra là hoàn toàn phụ thuộc vào chính sách mà quản trị viên thiết
lập.
Quản trị viên sẽ phải tùy chọn việc cấu hình cho chính sách chỉ kiểm tra hoặc
cách ly. Nếu một chính sách kiểm tra có hiệu lực thì bất cứ người dùng nào với
một thiết lập hợp lệ các điều khoản cần thiết có thể truy cập vào tài nguyên
mạng mà không cần quan tâm đến máy tính có tuân thủ đúng với chính sách
bảo mật của công ty hay không.
Theo quan điểm của tôi, một chính sách chỉ kiểm tra là phù hợp nhất đối với việc
tạo chuyển tiếp đối với môi trường NAP. Nếu bạn có một số người dùng từ xa
cần truy cập đến tài nguyên trong mạng để làm công việc của họ thì bạn có thể
không muốn kích hoạt NAP lúc đầu ở chế độ cách ly. Nếu bạn thực hiện điều đó
thì sẽ không có một máy tính nào có thể truy cập vào mạng công ty. Thay vào đó
bạn cấu hình ban đầu NAP để sử dụng chính sách chỉ kiểm tra. Điều này cho
phép đánh giá được ảnh hưởng của các chính sách truy cập mạng mà không
phải ngăn chặn bất kỳ ai thực hiện công việc của họ. Khi tất cả các nút đã được
kiểm tra tốt thì bạn có thể chuyển chính sách sang chế độ cách ly.
Như đã dự tính, chế độ cách ly làm việc bằng cách định vị các máy tính từ xa
không tuân thủ đúng chính sách bảo mật của công ty và sẽ bị cách biệt với tài
nguyên của mạng. Nhưng cuối cùng thì quản trị viên cũng phải điều khiển những
gì mà máy tính không tuân thủ này có thể truy cập. Thông thường, một quản trị
viên sẽ trao cho các máy tính nào quyền vào một đoạn mạng đã được cách ly
(vấn đề này sẽ đươc nói sau) và hạn chế việc truy cập tới những tài nguyên
quan trọng nào đó hay ngăn chặn việc truy cập đến tất cả tài nguyên mạng.
Có lẽ bạn đang phân vân là có những thuận lợi gì đối với việc đồng ý cho các
máy tính không tuân thủ chính sách của quản trị viên này truy cập vào phần
mạng đã được cách ly. Khi một máy tính không tuân thủ gắn vào mạng và NAP
đang hoạt động trong chế độ cách ly, máy tính không tuân thủ sẽ bị cách ly đối
với mạng lớn. Thông thường, sự cách ly này được kéo dài trong suốt khoảng
thời gian kết nối của người dùng. Đơn giản việc cách ly một máy không tuân thủ
có thể giúp ngăn chặn những xâm nhập gây ra bởi virus hoặc những lỗ hổng bảo
mật trên mạng của bạn, nhưng nó cũng không hoàn toàn tốt cho những người
truy cập từ xa vì những người dùng này không thể kết nối vào được tài nguyên
mạng và chính vì vậy mà họ không thể làm được công việc của họ.
Và khi gặp vấn đề này thì đoạn mạng cách ly trở nên có vai trò quan trọng. Một
quản trị viên có thể đặt các tài nguyên đã được nâng cấp về an toàn vào những
đoạn cách ly. Những tài nguyên nâng cấp về an toàn là các server được bảo vệ
khi làm cho máy tính truy cập từ xa không tuân thủ thành tuân thủ. Chúng có thể
cài đặt các bản vá bảo mật hoặc các phần mềm virus nâng cấp.
Một thứ cần phải chú ý ở đây là NAP không có bất kỳ một kỹ thuật nào có khả
năng thẩm tra độ an toàn của máy tính từ xa hay áp dụng các nâng cấp đối với
máy tính từ xa. Vấn đề này là công việc của System Health Agents và System
Health Validators. Có thông tin cho rằng các thành phần này sẽ được tích hợp
vào phiên bản tới của SMS Server.
Kết luận
Trong bài viết này, chúng tôi đã giới thiệu cho các bạn về tính năng NAP của
Longhorn Server. Trong phần 2 của loạt bài này chúng tôi sẽ tiếp tục giới thiệu
cho bạn quá trình cấu hình của nó như thế nào.
![Công nghệ bảo mật thông tin, an toàn mạng [mới nhất]](https://cdn.tailieu.vn/images/document/thumbnail/2012/20121017/trongminh123/135x160/1267463_269.jpg)
![Giáo trình Quản trị mạng 2 - Trường Cao đẳng Kỹ thuật Công nghệ Hòa Bình [Mới Nhất]](https://cdn.tailieu.vn/images/document/thumbnail/2026/20260410/songngu_011/135x160/82211776069980.jpg)
![Giáo trình Phát triển ứng dụng IoT [Chuẩn Nhất]](https://cdn.tailieu.vn/images/document/thumbnail/2026/20260407/hoatrami2026/135x160/16101775636611.jpg)
