Gii thiu v Network Access Protection (Phn 1)
Ngu
n:quantrimang.com
Mt khía cnh bo mt mng gây khó chu cho nhiu qun tr viên đó là
vic không th kim soát cu hình ca các máy tính t xa. Mc dù mng
ca mt công ty có th đang hot động an toàn nhưng vn không cóđể
ngăn chn người dùng t xa truy cp vào mng thông qua mt máy tính đã
b nhim virus hay có các l hng chưa được nâng cp bn vá kp thi.
Trong bài viết này, chúng tôi s gii thiu cho các bn v tính năng bo v truy
cp mng trong Longhorn Server và cách thc mà nó làm vic.
Khi là mt qun tr viên, mt th khiến tôi thc s cm thy tht vng đó là có
quá ít s kim soát đối vi người dùng t xa. Nhng nhu cu v kinh doanh ca
t chc cho phép người dùng t xa có th kết ni vào mng ca công ty t các
v trí khác nhau bên ngoài văn phòng. Vn đề ny sinh đây là rng, mc dù tôi
đã dùng nhiu bin pháp để kim tra để bo đảm cho mng công ty nhưng tôi
vn không th kim soát hết được các máy tính kết ni t xa vào mng.
Lý do gây bc bi đây là tôi không th biết được tình trng ca các máy tính t
xa đang đang truy cp. Trong mt s trường hp, người dùng t xa s dng
máy tính b nhim virus để kết ni đến mng hoc s dng mt h điu hành
phiên bn cũ. Mc dù đã tng bước mt bo v mng công ty nhưng tôi e ngi
đối vi nhng người dùng t xa không có được s an toàn đầy đủ s làm hi
đến các h thng file khác trên mng do virus, hoc có th vô tình để l thông tin
do máy tính ca h b nhim Trojan.
Vài năm trước cũng có mt tia hy vng khi Microsoft chun b phát hành
Windows Server 2003 R2, trong đó có mt tính năng mi là Network Access
Protection (bo v truy cp mng). Tuy nhiên do không thích hp nên tính năng
bo v truy cp mng này đã b g trước khi tung ta phiên bn R2.
Microsoft cũng đã tn rt nhiu công sc để nghiên cu v tính năng này sau
thi đim đó để tính năng bo v này s là mt trong nhng tính năng bo mt
chính trong Longhorn Server. Mc dù phiên bn Network Access Protection ca
Longhorn có th cu hình d dàng hơn so vi trong phiên bn Windows Server
2003 nhưng nó vn tn ti mt chút phc tp. Chính vì vy, mc đích bài viết
này ch yếu cung cp cho các bn mt chút gii thiu v Network Access
Protection và cách làm vic ca nó trước khi Longhorn Server được phát hành.
Trước khi bt đầu
Trước khi băt đầu, có mt th mà tôi mun làm rõ ràng khi quan tâm đến tính
Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com
năng Network Access Protection (NAP). Mc đích ca tính năng này là bo đảm
máy tính ca người dùng t xa tuân theo các yêu cu bo mt trong t chc
bn. NAP s không làm gì để ngăn chn truy cp trái phép đến mng. Nếu mt
người xâm phm có mt máy tính đáp ng được các chính sách bo mt ca
công ty thì NAP s không thc hin bt hot động gì để ngng hot động truy
cp ca người này. Vic ngăn chn truy nhp ca người này là công vic ca
các k thut bo mt khác. NAP đơn gin ch được thiết kế để ngăn chn người
dùng đăng nhp vào mng khi s dng các máy tính không bo đảm.
Ngoài ra còn mt th na cn đề cp trước khi bt đầu là NAP khác vi tính
năng Network Access Quarantine Control ( kim soát cách ly s truy cp mng)
có trong Windows Server 2003. Chc năng có trong Windows Server 2003 này
cung cp kim soát chính sách bo v gii hn cho các máy tính t xa nhưng
hoàn toàn thua kém so vi NAP.
Nn tng cơ bn v NAP
NAP được thiết kế để tăng thêm VPN công ty. Quá trình thiết kế được bt đầu
khi các client thiết lp mt VPN session vi Longhorn Server đang s dng dch
v truy cp t xa và định tuyến. Sau khi người dùng thiết lp kết ni, máy ch
chính sách mng s kim tra tính hp l v “sc khe” hay độ an toàn ca h
thng t xa. Điu này được thc hin bng cách so sánh cu hình ca máy tính
t xa vi chính sách truy cp mng được định nghĩa bi qun tr viên. Vy
nhng gì s xy ra là hoàn toàn ph thuc vào chính sách mà qun tr viên thiết
lp.
Qun tr viên s phi tùy chn vic cu hình cho chính sách ch kim tra hoc
cách ly. Nếu mt chính sách kim tra có hiu lc thì bt c người dùng nào vi
mt thiết lp hp l các điu khon cn thiết có th truy cp vào tài nguyên
mng mà không cn quan tâm đến máy tính có tuân th đúng vi chính sách
bo mt ca công ty hay không.
Theo quan đim ca tôi, mt chính sách ch kim tra là phù hp nht đối vi vic
to chuyn tiếp đối vi môi trường NAP. Nếu bn có mt s người dùng t xa
cn truy cp đến tài nguyên trong mng để làm công vic ca h thì bn có th
không mun kích hot NAP lúc đầu chế độ cách ly. Nếu bn thc hin điu đó
thì s không có mt máy tính nào có th truy cp vào mng công ty. Thay vào đó
bn cu hình ban đầu NAP để s dng chính sách ch kim tra. Điu này cho
phép đánh giá được nh hưởng ca các chính sách truy cp mng mà không
phi ngăn chn bt k ai thc hin công vic ca h. Khi tt c các nút đã được
kim tra tt thì bn có th chuyn chính sách sang chế độ cách ly.
Như đã d tính, chế độ cách ly làm vic bng cách định v các máy tính t xa
Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com
không tuân th đúng chính sách bo mt ca công ty và s b cách bit vi tài
nguyên ca mng. Nhưng cui cùng thì qun tr viên cũng phi điu khin nhng
gì mà máy tính không tuân th này có th truy cp. Thông thường, mt qun tr
viên s trao cho các máy tính nào quyn vào mt đon mng đã được cách ly
(vn đề này s đươc nói sau) và hn chế vic truy cp ti nhng tài nguyên
quan trng nào đó hay ngăn chn vic truy cp đến tt c tài nguyên mng.
Có l bn đang phân vân là có nhng thun li gì đối vi vic đồng ý cho các
máy tính không tuân th chính sách ca qun tr viên này truy cp vào phn
mng đã được cách ly. Khi mt máy tính không tuân th gn vào mng và NAP
đang hot động trong chế độ cách ly, máy tính không tuân th s b cách ly đối
vi mng ln. Thông thường, s cách ly này được kéo dài trong sut khong
thi gian kết ni ca người dùng. Đơn gin vic cách ly mt máy không tuân th
có th giúp ngăn chn nhng xâm nhp gây ra bi virus hoc nhng l hng bo
mt trên mng ca bn, nhưng nó cũng không hoàn toàn tt cho nhng người
truy cp t xa vì nhng người dùng này không th kết ni vào được tài nguyên
mng và chính vì vy mà h không th làm được công vic ca h.
Và khi gp vn đề này thì đon mng cách ly tr nên có vai trò quan trng. Mt
qun tr viên có th đặt các tài nguyên đã được nâng cp v an toàn vào nhng
đon cách ly. Nhng tài nguyên nâng cp v an toàn là các server được bo v
khi làm cho máy tính truy cp t xa không tuân th thành tuân th. Chúng có th
cài đặt các bn vá bo mt hoc các phn mm virus nâng cp.
Mt th cn phi chú ý đây là NAP không có bt k mt k thut nào có kh
năng thm tra độ an toàn ca máy tính t xa hay áp dng các nâng cp đối vi
máy tính t xa. Vn đề này là công vic ca System Health Agents và System
Health Validators. Có thông tin cho rng các thành phn này s được tích hp
vào phiên bn ti ca SMS Server.
Kết lun
Trong bài viết này, chúng tôi đã gii thiu cho các bn v tính năng NAP ca
Longhorn Server. Trong phn 2 ca lot bài này chúng tôi s tiếp tc gii thiu
cho bn quá trình cu hình ca nó như thế nào.
Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com
Gii thiu v Network Access Protection (Phn 2)
Ngu
n:quantrimang.com
Trong phn đầu ca lot bài viết này, chúng tôi đã gii thiu cho các bn
mt s khái nim liên quan đến Network Access Protection. Trong phn hai
này chúng tôi mun bt đầu vic tho lun v m s yêu cu mng cơ bn
và các điu kin quyết định khác. Sau đó là quá trình cu hình như thế nào.
Cơ s h tng Network Access Protection
Vic thi hành NAP cn s dng mt s máy ch, mi mt máy ch có mt vai trò
riêng. Bn có th xem hình A để có cái nhìn tng quát v vn đề này.
Hình A: Vic thi hành NAP yêu cu mt s máy ch để s dng
Như bn thy trong sơ đồ, client Windows Vista đang kết ni đến mt Longhorn
Server đang chy dch v truy cp t xa (RRAS). Máy ch này làm vic như máy
ch VPN cho mng. Client Windows Vista thiết lp mt kết ni đến máy ch VPN
này theo cách thông thường.
Khi người dùng t xa kết ni đến máy ch VPN thì b kim tra min s kim tra
tính hp l ca máy tính người dùng xem nó có đáp ng được vi chính sách
mng và ch ra nhng chính sách an toàn nào đã được đáp ng, mt máy ch
Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com
được s dng để cu hình c Remote Access Service và Network Policy Server.
Trong thế gii thc, các máy ch VPN hot động lp vành đai mng và không
nên cu hình máy ch chính sách mng trên máy ch vành đai.
B điu khin min
Nếu nhìn vào sơ đồ hin th trong hình A thì bn s thy được rng mt trong
nhng máy ch yêu cu là b điu khin min. Không nên nghĩ nó ch là mt
máy ch riêng l, nó có th khá như mt cơ s h tng Active Directory trn vn.
Mt Active Directory không th hot động mà không có máy ch DNS, nếu sơ đồ
đã trình bày biu din đúng mt mng thì b điu khin min s đang cu hình
các dch v DNS. Tt nhiên trong các t chc thế gii thc s dng đin hình
nhiu b điu khin min và các máy ch DNS chuyên dng.
Nhân t khác cn xem xét cho s không rõ ràng sơ đồ là quyn cp chng ch
hot động kinh doanh cũng đưc yêu cu. Trong trường hp sơ đồy, các dch
v cp chng ch có th d dàng được cu hình trên b điu khin min. Trong
thế gii thc, mt máy ch chuyên dng thường được s dng như quyn cp
chng ch bi vì tính cht nhy cm ca các chng ch s.
Trong trường hp bn đang phân vân, lý do ti sao quyn cp chng ch hot
động kinh doanh được yêu cu là bi vì máy ch VPN s dng giao thc PEAP-
MSCHAPv2 để thm định. Giao thc PEAP là chng ch gc. Máy ch VPN s
s dng mt chng ch máy bên cnh máy ch, nhưng ngược li các client li
s dng các chng ch người dùng.
Cài đặt quyn cp chng ch hot động kinh doanh
Th tc cho vic trin khai mt quyn cp chng ch hot động kinh doanh thay
đổi ph thuc vào vic bn đang cài đặt các dch v trên Windows 2003 Server
hay Longhorn Server. Mt trong nhng mc đích ca tôi trong bài viết này
hướng ti cho các bn đọc đã khá thân thin vi Longhorn Server. Các th tc
dưới đây được d định cho vic cài đặt các dch v chng ch trên Longhorn
Server.
Trước khi trình bày cách làm thế nào để cài đặt các dch v chng ch thì bn
cn phi ghi nh 2 điu. Đầu tiên đó là, Longhorn Server vn là bn chy th
nghim, do vy nó có th thay đổi cho ti khi sn phm cui cùng được phát
hành, mt thay đổi ln trong quá trình phát trin ng dng này là khó có th xy
ra.
Điu th hai cn phi lưu ý đó là khi trin khai trong thế gii thc thì bn luôn
mun có được các phép đo hiu qu để bo đảm quyn cp chng ch hot
Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com