Giới thiệu về Network Access Protection (Phần 1)

Một khía cạnh bảo mật mạng gây khó chịu cho nhiều quản trị viên đó là việc không thể kiểm soát cấu hình của các máy tính từ xa. Mặc dù mạng của một công ty có thể đang hoạt động an toàn nhưng vẫn không có gì để ngăn chặn người dùng từ xa truy cập vào mạng thông qua một máy tính đã bị nhiễm virus hay có các lỗ hổng chưa được nâng cấp bản vá kịp thời. Trong bài viết này, chúng tôi sẽ giới thiệu cho các bạn về tính năng bảo vệ truy cập mạng trong Longhorn Server và cách thức mà nó làm việc.

Khi là một quản trị viên, một thứ khiến tôi thực sự cảm thấy thất vọng đó là có quá ít sự kiểm soát đối với người dùng từ xa. Những nhu cầu về kinh doanh của tổ chức cho phép người dùng từ xa có thể kết nối vào mạng của công ty từ các vị trí khác nhau bên ngoài văn phòng. Vấn đề nảy sinh ở đây là rằng, mặc dù tôi đã dùng nhiều biện pháp để kiểm tra để bảo đảm cho mạng công ty nhưng tôi vẫn không thể kiểm soát hết được các máy tính kết nối từ xa vào mạng.

Lý do gây bực bội ở đây là tôi không thể biết được tình trạng của các máy tính từ xa đang đang truy cập. Trong một số trường hợp, người dùng từ xa sử dụng máy tính bị nhiễm virus để kết nối đến mạng hoặc sử dụng một hệ điều hành phiên bản cũ. Mặc dù đã từng bước một bảo vệ mạng công ty nhưng tôi e ngại đối với những người dùng từ xa không có được sự an toàn đầy đủ sẽ làm hại đến các hệ thống file khác trên mạng do virus, hoặc có thể vô tình để lộ thông tin do máy tính của họ bị nhiễm Trojan.

Vài năm trước cũng có một tia hy vọng khi Microsoft chuẩn bị phát hành Windows Server 2003 R2, trong đó có một tính năng mới là Network Access Protection (bảo vệ truy cập mạng). Tuy nhiên do không thích hợp nên tính năng bảo vệ truy cập mạng này đã bị gỡ trước khi tung ta phiên bản R2.

Microsoft cũng đã tốn rất nhiều công sức để nghiên cứu về tính năng này sau thời điểm đó để tính năng bảo vệ này sẽ là một trong những tính năng bảo mật chính trong Longhorn Server. Mặc dù phiên bản Network Access Protection của Longhorn có thể cấu hình dễ dàng hơn so với trong phiên bản Windows Server 2003 nhưng nó vẫn tồn tại một chút phức tạp. Chính vì vậy, mục đích bài viết này chủ yếu cung cấp cho các bạn một chút giới thiệu về Network Access Protection và cách làm việc của nó trước khi Longhorn Server được phát hành.

Trước khi bắt đầu

Trước khi băt đầu, có một thứ mà tôi muốn làm rõ ràng khi quan tâm đến tính năng Network Access Protection (NAP). Mục đích của tính năng này là bảo đảm máy tính của người dùng từ xa tuân theo các yêu cầu bảo mật trong tổ chức bạn. NAP sẽ không làm gì để ngăn chặn truy cập trái phép đến mạng. Nếu một người xâm phạm có một máy tính đáp ứng được các chính sách bảo mật của công ty thì NAP sẽ không thực hiện bất hoạt động gì để ngừng hoạt động truy cập của người này. Việc ngăn chặn truy nhập của người này là công việc của các kỹ thuật bảo mật khác. NAP đơn giản chỉ được thiết kế để ngăn chặn người dùng đăng nhập vào mạng khi sử dụng các máy tính không bảo đảm.

Ngoài ra còn một thứ nữa cần đề cập trước khi bắt đầu là NAP khác với tính năng Network Access Quarantine Control ( kiểm soát cách ly sự truy cập mạng) có trong Windows Server 2003. Chức năng có trong Windows Server 2003 này cung cấp kiểm soát chính sách bảo vệ giới hạn cho các máy tính từ xa nhưng hoàn toàn thua kém so với NAP.

Nền tảng cơ bản về NAP

NAP được thiết kế để tăng thêm VPN công ty. Quá trình thiết kế được bắt đầu khi các client thiết lập một VPN session với Longhorn Server đang sử dụng dịch vụ truy cập từ xa và định tuyến. Sau khi người dùng thiết lập kết nối, máy chủ có chính sách mạng sẽ kiểm tra tính hợp lệ về “sức khỏe” hay độ an toàn của hệ thống từ xa. Điều này được thực hiện bằng cách so sánh cấu hình của máy tính từ xa với chính sách truy cập mạng được định nghĩa bởi quản trị viên. Vậy những gì sẽ xảy ra là hoàn toàn phụ thuộc vào chính sách mà quản trị viên thiết lập.

Quản trị viên sẽ phải tùy chọn việc cấu hình cho chính sách chỉ kiểm tra hoặc cách ly. Nếu một chính sách kiểm tra có hiệu lực thì bất cứ người dùng nào với một thiết lập hợp lệ các điều khoản cần thiết có thể truy cập vào tài nguyên mạng mà không cần quan tâm đến máy tính có tuân thủ đúng với chính sách bảo mật của công ty hay không.

Theo quan điểm của tôi, một chính sách chỉ kiểm tra là phù hợp nhất đối với việc tạo chuyển tiếp đối với môi trường NAP. Nếu bạn có một số người dùng từ xa cần truy cập đến tài nguyên trong mạng để làm công việc của họ thì bạn có thể không muốn kích hoạt NAP lúc đầu ở chế độ cách ly. Nếu bạn thực hiện điều đó thì sẽ không có một máy tính nào có thể truy cập vào mạng công ty. Thay vào đó bạn cấu hình ban đầu NAP để sử dụng chính sách chỉ kiểm tra. Điều này cho phép đánh giá được ảnh hưởng của các chính sách truy cập mạng mà không phải ngăn chặn bất kỳ ai thực hiện công việc của họ. Khi tất cả các nút đã được kiểm tra tốt thì bạn có thể chuyển chính sách sang chế độ cách ly.

Như đã dự tính, chế độ cách ly làm việc bằng cách định vị các máy tính từ xa không tuân thủ đúng chính sách bảo mật của công ty và sẽ bị cách biệt với tài nguyên của mạng. Nhưng cuối cùng thì quản trị viên cũng phải điều khiển những gì mà máy tính không tuân thủ này có thể truy cập. Thông thường, một quản trị viên sẽ trao cho các máy tính nào quyền vào một đoạn mạng đã được cách ly (vấn đề này sẽ đươc nói sau) và hạn chế việc truy cập tới những tài nguyên quan trọng nào đó hay ngăn chặn việc truy cập đến tất cả tài nguyên mạng.

Có lẽ bạn đang phân vân là có những thuận lợi gì đối với việc đồng ý cho các máy tính không tuân thủ chính sách của quản trị viên này truy cập vào phần mạng đã được cách ly. Khi một máy tính không tuân thủ gắn vào mạng và NAP đang hoạt động trong chế độ cách ly, máy tính không tuân thủ sẽ bị cách ly đối với mạng lớn. Thông thường, sự cách ly này được kéo dài trong suốt khoảng thời gian kết nối của người dùng. Đơn giản việc cách ly một máy không tuân thủ có thể giúp ngăn chặn những xâm nhập gây ra bởi virus hoặc những lỗ hổng bảo mật trên mạng của bạn, nhưng nó cũng không hoàn toàn tốt cho những người truy cập từ xa vì những người dùng này không thể kết nối vào được tài nguyên mạng và chính vì vậy mà họ không thể làm được công việc của họ.

Và khi gặp vấn đề này thì đoạn mạng cách ly trở nên có vai trò quan trọng. Một quản trị viên có thể đặt các tài nguyên đã được nâng cấp về an toàn vào những đoạn cách ly. Những tài nguyên nâng cấp về an toàn là các server được bảo vệ khi làm cho máy tính truy cập từ xa không tuân thủ thành tuân thủ. Chúng có thể cài đặt các bản vá bảo mật hoặc các phần mềm virus nâng cấp.

Một thứ cần phải chú ý ở đây là NAP không có bất kỳ một kỹ thuật nào có khả năng thẩm tra độ an toàn của máy tính từ xa hay áp dụng các nâng cấp đối với máy tính từ xa. Vấn đề này là công việc của System Health Agents và System Health Validators. Có thông tin cho rằng các thành phần này sẽ được tích hợp vào phiên bản tới của SMS Server.

Kết luận

Trong bài viết này, chúng tôi đã giới thiệu cho các bạn về tính năng NAP của Longhorn Server. Trong phần 2 của loạt bài này chúng tôi sẽ tiếp tục giới thiệu cho bạn quá trình cấu hình của nó như thế nào.

Giới thiệu về Network Access Protection (Phần 2)
Giới thiệu về Network Access Protection (Phần 3)
Giới thiệu về Network Access Protection (Phần 4)
Giới thiệu về Network Access Protection (Phần 5)
Giới thiệu về Network Access Protection (Phần 6)
Giới thiệu về Network Access Protection (Phần 7)