Đồ Án Triển khai IPsec Server và Domain Isolation

LỜI NÓI ĐẦU

Sự phát triển như vũ bão của ngành Công nghệ thông tin và điện tử viễn thông nói chung, ngành Mạng máy tính nói riêng đã đem lại những thay đổi to lớn cho mọi lĩnh vực của đời sống con người. Ngày nay, trong nền kinh tế tri thức, không có bất kỳ một hoạt động nào có thể tách rời khỏi hạ tầng mạng máy tính. Chính vì vậy, việc áp dụng công nghệ đã trở thành một yêu cầu không thể thiếu cho tất cả các tổ chức, doanh nghiệp. Với tầm quan trọng như thế, việc sở hữu một hệ thống mạng doanh nghiệp ổn định, hoạt động liên tục, đảm bảo an toàn để luôn sẵn sàng cho mọi hoạt động trở nên cấp thiết hơn bao giờ hết.

Tuy nhiên, chính vì quan trọng như vậy, hệ thống mạng doanh nghiệp cũng phải đối diện với rất nhiều nguy cơ mất an toàn. Và mặc dù nhận thức được vấn đề này, nhưng nhiều doanh nghiệp cũng không đủ khả năng tài chính để có thể triển khai các giải pháp đảm bảo an toàn cho hệ thống mạng của họ. Xuất phát từ nhu cầu thực tế đó, đồ án ra đời với hy vọng tìm kiếm một giải pháp nào đó cho vấn đề này.

Nhiệm vụ của đồ án:

Với mục tiêu xây dựng được một giải pháp thiết thực và khả thi, đồ án tập trung vào việc nghiên cứu và triển khai một công nghệ mới – công nghệ Microsoft NAP - giúp các nhà quản trị kiểm soát được sự truy cập trong mạng nội bộ, từ đó đảm bảo cho hệ thống mạng hoạt động liên tục và an toàn.Mục lục​DANH MỤC HÌNH VẼ 4
DANH MỤC BẢNG 5
DANH MỤC CÁC TỪ VIẾT TẮT. 6
LỜI NÓI ĐẦU 8
Phần I: CƠ SỞ LÝ THUYẾT 9
CHƯƠNG 1: CÔNG NGHỆ MICROSOFT – NETWORK ACCESS PROTEC 9
1.1 Vai trò của hệ thống mạng doanh nghiệp. 9
1.1.1 Những mối đe dọa đối với hệ thống mạng doanh nghiệp. 9
1.1.2 Các công nghệ quản lý truy cập mạng hiện nay. 9
1.2 Giới thiệu công nghệ NAP. 10
1.2.1 Các tính năng của NAP. 10
1.2.2 Các chức năng của NAP. 10
1.2.3 Nguyên lý hoạt động của NAP. 11
1.2.4 Các ứng dụng của NAP. 12
1.3 Hệ thống mạng triển khai NAP. 13
1.3.1 Thành phần hệ thống mạng triển khai NAP. 13
1.3.2 Sự hoạt động giữa các thành phần trong hệ thống NAP. 14
1.3.3 Cấu trúc của NAP – Client và NAP – Server 16
1.4 Các phương thức thực thi NAP. 23
CHƯƠNG 2: GIAO THỨC IPSEC 25
2.1 Giới thiệu. 25
2.1.1 Khái niệm về IPSec. 25
2.1.2 Các chuẩn tham chiếu có liên quan. 26
2.2 Kiến trúc giao thức IPSec. 28
2.2.1 Mô hình chung. 28
2.2.2 Cấu trúc bảo mật. 29
2.3 Đóng gói thông tin của IPSec. 30
2.3.1 Các kiểu sử dụng. 30
2.3.1.1 Kiểu Transport. 30
2.1.1.2 Kiểu Tunnel. 31
2.2.2 Giao thức tiêu đề xác thực AH. 32
2.2.2.1 Giới thiệu. 32
2.2.2.2 Cấu trúc gói tin AH. 32
2.2.2.3 Quá trình xử lý AH. 34
2.2.3 Giao thức đóng gói an toàn tải tin ESP. 38
2.2.3.1 Giới thiệu. 38
2.2.3.2 Cấu trúc gói tin ESP. 38
2.2.3.3 Quá trình xử lý ESP. 40
2.3.2 Giao thức trao đổi khóa IKE. 45
1.5 Ưu điểm và khuyết điểm của IPSec. 46
1.5.1 Ưu điểm. 46
1.5.2 Nhược điểm. 47
CHƯƠNG 3: TRIỂN KHAI NAP BẰNG PHƯƠNG THỨC THỰC THI IPSEC 48
3.1 Phương thức thực thi IPSec. 48
3.2 Thực thi IPSec trong NAP. 48
PHẦN 2: TRIỂN KHAI MÔ HÌNH. 54
CHƯƠNG 1: MÔ HÌNH TRIỂN KHAI. 54
1.1 Mô hình. 54
1.2 Đặc điểm các PC. 54
CHƯƠNG 2: CÁC BƯỚC THỰC HIỆN 55
2.1 Các bước triển khai. 55
2.2 Cấu hình bộ điều khiển miền. 55
2.2.1 Xác nhận cấu hình Root CA. 55
2.2.2 Tạo nhóm bảo mật NAP Clients, NAP Exempt. 57
2.2.3 Tạo và cấu hình Certificate Template cho NAP Exempt Computers. 57
2.2.4 Làm cho Certificate Template hiện hữu trong việc công bố trong Group Policy. 61
2.2.5 Phân phối NAP Exemption Health Certificate thông qua Group Policy Autoenrollment. 63
2.2.6 Bổ sung thêm máy chủ chính sách mạng vào NAP Exempt Group. 64
2.3 Cài đặt và cấu hình Network Policy Server, Health Registration Authority và Subordinate CA. 65
2.3.1 Yêu cầu một chứng chỉ máy tính cho Network Policy Server. 65
2.3.2 Xem chứng chỉ máy tính và chứng chỉ sức khỏe đã được cài đặt trên Network Policy Server. 68
2.3.3 Cài đặt Network Policy Server, Health Registration Authority và Subordinate CA (CA cấp dưới). 69
2.3.4 Cấu hình Subordinate CA trên Network Policy Server. 74
2.3.5 Kích hoạt các điều khoản cho Health Registration Authority để yêu cầu, phát hành và quản lý các chứng chỉ. 75
2.3.6 Cấu hình Health Registration Authority để sử dụng CA cấp dưới để phát hành các chứng chỉ “an toàn mạng”. 77
2.4 Cấu hình NAP IPsec Enforcement Policy trên Network Policy Server. 79
2.5 Cấu hình Win7–SS1 và Win7–SS2 cho việc test. 87
2.6 Test Health Certificate và Auto-remediation Configuration. 90
2.7 Thẩm định Auto-remediation trên Win 7–SS1. 90
2.8 Test sự thực thi chính sách NAP trên Win 7–SS1. 91
2.9 Kiểm tra tính bảo mật IPSec. 96
KẾT LUẬN 102
TÀI LIỆU THAM KHẢO 103