Chương 7: DỊCH VỤ TRUY CẬP TỪ XA (REMOTE ACCESS) TỔNG QUAN Dịch vụ truy cập từ xa cho phép người dùng từ xa truy cập từ máy tính qua mơi trường mạng truyền dẫn đến mạng riêng thể máy tính kết nối trức tiếp mạng Người dùng từ xa kết nối tới mạng thông qua máy chủ dịch vụ gọi máy chủ truy cập (Access server) Khi người dùng từ xa sử dụng tài nguyên mạng máy tình kết nối trực tiếp mạng Dịch vụ truy cập từ xa tạo lập kết nối WAN thông qua mạng phương tiện truyền dẫn giá thành thấp mạng thoại công cộng Dịch vụ truy cập từ xa cầu nối để máy tính hay mạng máy tính thơng qua nối đến internet theo cách coi hợp lý với chi phí không cao, phù hợp với doanh nghiệp, tổ chức với quy mô vừa nhỏ Khi lựa chọn thiết kế giải pháp truy cập từ xa, cần quan tâm tới vấn đề sau Chương 7: DỊCH VỤ TRUY CẬP TỪ XA (REMOTE ACCESS) TỔNG QUAN - Số lượng kết nối tối đa phục vụ người dùng từ xa - Các nguồn tài nguyên mà người dùng từ xa muốn truy cập - Công nghệ, phương thức thông lượng kết nối - Các phương thức an toàn cho truy cập từ xa, phương thức xác thực người dùng, phương thức mã hoá liệu - Các giao thức mạng sử dụng để kết nối Chương 7: DỊCH VỤ TRUY CẬP TỪ XA (REMOTE ACCESS) KẾT NỐI TRUY CẬP TỪ XA Tiến trình truy cập từ xa mô tả sau: người dùng từ xa khởi tạo kết nối tới máy chủ truy cập (ví dụ: giao thức PPP) Máy chủ truy cập xác định người dùng chấp nhận kết nối tới kết thúc người dùng người quản trị hệ thống Máy chủ truy cập đóng vai trị getway việc trao đổi liệu người dùng từ xa mạng nội Bằng việc kết nối người dùng từ xa gửi nhận liệu từ máy chủ truy cập Dữ liệu truyền khuôn dạng định nghĩa giao thức mạng sau đóng gói giao thức truy cập từ xa Tất dịch vụ nguồn tài nguyên mạng người dùng từ xa sử dụng thơng qua kết nối truy cập từ xa Chương 7: DỊCH VỤ TRUY CẬP TỪ XA (REMOTE ACCESS) KẾT NỐI TRUY CẬP TỪ XA Giao thức truy cập từ xa: - SLIP (Serial line interface Protocol), PPP Microsoft RAS giao thức truy cập để tạo lập kết nối sử dụng truy cập từ xa SLIP giao thức truy cập kết nối điểm điểm hỗ trợ sử dụng với giao thức IP không sử dụng - PPP giao thức truy cập điểm điểm với nhiều tính ưu việt, giao thức chuẩn nhiều nhà cung cấp hỗ trợ Chức PPP đóng gói thơng tin giao thức lớp mạng thông qua liên kết điểm điểm - Chương 7: DỊCH VỤ TRUY CẬP TỪ XA (REMOTE ACCESS) KẾT NỐI TRUY CẬP TỪ XA - Cơ chế làm việc PPP: Để thiết lập truyền thông đầu cuối liên kết PPP phải gửi gói LCP (link control protocol) để thiết lập kiểm tra liên kết liệu - PPP gửi gói NCP (network control protocol) để lựa chọn cấu hình nhiều giao thức lớp mạng - Liên kết tồn gói LCP NCP đóng kết nối đến kiện bên xải Chương 7: DỊCH VỤ TRUY CẬP TỪ XA (REMOTE ACCESS) KẾT NỐI TRUY CẬP TỪ XA PPP có nhiều tính giúp mềm dẻo linh hoạt: - Ghép nối với giao thức lớp mạng - Lập cấu hình liên kết - Kiểm tra chất lượng liên kết - Nhận thực - Nén thông tin kết đầu - Phát lỗi - Thoả thuận thông số liên kết - Chương 7: DỊCH VỤ TRUY CẬP TỪ XA (REMOTE ACCESS) KẾT NỐI TRUY CẬP TỪ XA Các giao thức mạng - Các giao thức mạng thường dùng TCP/IP, IPX, NETBEUI - TCP/IP giao thức gồm giao thức TCP giao thức IP - IPX giao thức sử dụng cho mạng Novell Netware - NetBeiu giao thức dùng cho mạng LAN Microsoft Chương 7: DỊCH VỤ TRUY CẬP TỪ XA (REMOTE ACCESS) AN TOÀN TRONG TRUY NHẬP TỪ XA 3.1 Các phương thức xác thực kết nối Quá trình nhận thực: - Tiến trình nhận thực với giao thức xác thực thực người dùng từ xa có yêu cầu xác thực tới máy chủ Nếu khơng có phương thức xác thực sử dụng, tiến trình PPP khởi tạo kết nối hai điểm - Phương thức xác thực sử dụng với hình thức kiểm tra sở liệu địa phương (lưu trữ thông tin username pass mày chủ) Hoặc gửi yêu cầu xác thực tới server khác để xác thực thường RADIUS server - Sau kiểm tra thông tin gửi lại từ địa phương từ Radius server Nếu hợp lệ tiến trình PPP khởi tạo kết nối, không yêu cầu kết nối bị từ chối - Chương 7: DỊCH VỤ TRUY CẬP TỪ XA (REMOTE ACCESS) AN TOÀN TRONG TRUY NHẬP TỪ XA 3.1 Các phương thức xác thực kết nối Giao thức xác thực PAP: - Phương thức xác thực kết nối khơng an tồn, sử dụng chương trình phân tích gói tin ta nhìn thấy username pass dạng đọc Thông tin không mã hoã -> đợc Giao thức xác thực CHAP - Sau thoả thận giao thức xác thực CHAP liên kết PPP đầu cuối, máy chủ truy cập gửi “chanllenge” tới người dùng từ xa Người dùng từ xa phúc đáp lại giá trị tính tốn sử dụng tiến trình xử lý chiều (hash), máy chủ truy cập kiểm tra so sánh thông tin phúc đáp với giá trị hash mà vừa tính Nếu gía trị nhau, xác thực thành công, ngược lại kết nối bị huỷ bỏ - Chap cung cấp chế an toàn thông qua việc sử dụng giá trị chanllenge thay đổi, khơng thể đốn Chương 7: DỊCH VỤ TRUY CẬP TỪ XA (REMOTE ACCESS) AN TOÀN TRONG TRUY NHẬP TỪ XA 3.1 Các phương thức xác thực kết nối Giao thức xác thực mở rộng EAP: - Trong Windown 2000 hỗ trợ thêm số giao thức cho ta khả nâng cao độ an toàn bảo mật đa truy cập giao thức xác thực mở rộng EAP (Extensible Authentication Protocol) EAP hỗ trợ hình thức sau:  Sử dụng card vật lý để cung cấp mật Các card dùng số phương thức xác thực khác sử dụng đoạn mã thay đổi theo lượt sử dụng  Hỗ trợ MD5-CHAP, giao thức mã hoá tên người sử dụng, mật sử dụng thuật mã hoá MD5  Hỗ trợ sử dụng thẻ thông minh Thẻ thông minh bao gồm thẻ thiết bị đọc thẻ Các thông tin xác thực lưu thẻ  Các nhà phát triển phần mềm độc lập sử dụng giao diện chương trình ứng dụng EAP sử dụng module chương trình cho công nghệ áp dụng cho thẻ nhận dạng, thẻ thông minh, phần cứng sinh học nhận dạng võng mạc, hệ thống sử dụng mật lần Chương 7: DỊCH VỤ TRUY CẬP TỪ XA (REMOTE ACCESS) AN TOÀN TRONG TRUY NHẬP TỪ XA 3.1 Các phương thức mã hoá liệu Dịch vụ truy cập từ xa cung cấp chế an toàn việc mã hoá giải mã liệu truyền người dùng truy cập từ xa máy chủ truy cập: - Phương pháp mã hố đối xứng: thơng tin dạng đọc được, mã hố sử dụng khố bí mật tạo thành thơng tin mã hố phía nhận, thơng tin mã hố giải mã với khố bí mật thành dạng gốc ban đầu Yếu điểm: cần trao đổi khố bí mật -> dể lộ khố bí mật - Phương pháp mã hố phi đối xứng: Sử dụng cặp khố Một khố cơng khai khố bí mật có quan hệ tốn học với Khố bí mật khơng cần trao đổi mạng, khố cơng khai Thơng tin mã hố khố cơng khai giải mã khố bí mật tương ứng Chương 7: DỊCH VỤ TRUY CẬP TỪ XA (REMOTE ACCESS) TRIỂN KHAI DỊCH VỤ TRUY CẬP TỪ XA 4.1 Kết nối gọi vào kết nối gọi Cấu hình máy chủ truy cập để tạo lập kết nối gọi vào cho phép người dùng từ xa truy cập vào mạng Các thông số thường cấu hình tạo lập kết nối gọi vào bao gồm phương thức xác thực người dùng mã hố hay khơng mã hố liệu Các phương thức mã hoá liệu yêu cầu, giao thức mạng sử dụng cho truy cập từ xa, mức độ phép truy cập Kết nối gọi thiết lập để gọi tới mạng dùng riêng tới ISP Trong Window 2000 hỗ trợ hình thức kết nối sau:  Nối tới mạng dùng riêng: ta phải cung cấp số điện thoại nơi kết nối đến  Nối tới internet: sử dụng truy cập qua điện thoại qua mạng LAN Chương 7: DỊCH VỤ TRUY CẬP TỪ XA (REMOTE ACCESS) TRIỂN KHAI DỊCH VỤ TRUY CẬP TỪ XA 4.2 Kết nối đa luồng - Multilink kết hợp nhiều liên kết vật lý liên kết logic nhằm gia tăng băng thông cho kết nối Multilink cho phép sử dụng hai nhiều cổng truyền thơng cổng có tốc độ cao Điều có nghĩa ta sử dụng modem kết nối tới internet với tốc độ cao gấp đôi so với modem Multilink gia tăng băng thông giảm độ trể hệ thống chế chia gói liệu gửi mạch song song Multilink sử dụng giao thức MPPP cho việc quản lý kết nối Chương 7: DỊCH VỤ TRUY CẬP TỪ XA (REMOTE ACCESS) TRIỂN KHAI DỊCH VỤ TRUY CẬP TỪ XA 4.2 Các sách thiết lập cho dịch vụ truy nhập từ xa Chính sách truy nhập từ xa tập hợp điều kiện thiết đặt cho phép người quản trị mạng gán cho người dùng từ xa quyền truy cập mức độ sử dụng nguồn tài nguyên mạng Ta dùng sách để có nhiều lựa chọn phù hợp với mức độ người dùng, tăng tính mềm dẻo, tính động cấp quyền truy nhập cho người dùng Một sách truy nhập từ xa thông thường bao gồm ba thành phần nhằm cung cấp truy nhập an tồn có kiểm sốt đến máy chủ truy cập Các điều kiện (Conditions): danh sách tham số ngày tháng, nhóm người dùng, mã người gọi, địa IP phù hợp với máy trạm nối đến máy chủ truy cập Bộ sách điều kiện tương ứng với thông số yêu cầu kết nối gọi đến xử lý cho phép truy cập cấu hình Chương 7: DỊCH VỤ TRUY CẬP TỪ XA (REMOTE ACCESS) TRIỂN KHAI DỊCH VỤ TRUY CẬP TỪ XA 4.2 Các sách thiết lập cho dịch vụ truy nhập từ xa Sự cho phép (Permission): Các kết nối truy nhập từ xa cho phép gán trực tiếp tới người dùng thiết đặt sách truy nhập từ xa Ví dụ sách gán tất người dùng nhóm quyền truy cập làm việc hành từ 8:00 A.M đến 5:00 P.M, hay đồng thời gán cho nhóm người dùng khác quyền truy cập liên tục 24/24 Profile: Mỗi sách bao gồm thiết đặt profile áp dụng cho kết nối thủ tục xác thực hay mã hóa Các thiết đặt profile thi hành tới kết nối Ví dụ: profile thiết đặt cho kết nối mà người dùng phép sử dụng 30 phút lần người dùng bị ngắt kết nối tới máy chủ truy cập sau 30 phút Quá trình thực thi sách truy cập từ xa mơ tả hình Chương 7: DỊCH VỤ TRUY CẬP TỪ XA (REMOTE ACCESS) TRIỂN KHAI DỊCH VỤ TRUY CẬP TỪ XA 4.2 Các sách thiết lập cho dịch vụ truy nhập từ xa Chương 7: DỊCH VỤ TRUY CẬP TỪ XA (REMOTE ACCESS) TRIỂN KHAI DỊCH VỤ TRUY CẬP TỪ XA 4.2 Các sách thiết lập cho dịch vụ truy nhập từ xa Các điều kiện gửi tới để tạo kết nối, điều kiện gửi tới khơng thích hợp truy cập bị từ chối, thích hợp điều kiện sử dụng để xác định truy cập Tiếp theo máy chủ truy cập kiểm tra cho phép quay số vào người dùng bị từ chối thiết đặt Deny phép truy cập Allow, thiết đặt sử dụng sách truy cập để xác định quyền truy cập cho phép sách định quyền truy cập người dùng Nếu sách từ chối truy cập người dùng bị ngắt kết nối, cho phép chuyển tới để kiểm tra sách profile bước cuối để xác định quyền truy cập người dùng  ... thức truy cập từ xa Tất dịch vụ nguồn tài nguyên mạng người dùng từ xa sử dụng thông qua kết nối truy cập từ xa Chương 7: DỊCH VỤ TRUY CẬP TỪ XA (REMOTE ACCESS) KẾT NỐI TRUY CẬP TỪ XA Giao thức truy. .. chủ truy cập sau 30 phút Q trình thực thi sách truy cập từ xa mơ tả hình Chương 7: DỊCH VỤ TRUY CẬP TỪ XA (REMOTE ACCESS) TRIỂN KHAI DỊCH VỤ TRUY CẬP TỪ XA 4.2 Các sách thiết lập cho dịch vụ truy. .. quản lý kết nối Chương 7: DỊCH VỤ TRUY CẬP TỪ XA (REMOTE ACCESS) TRIỂN KHAI DỊCH VỤ TRUY CẬP TỪ XA 4.2 Các sách thiết lập cho dịch vụ truy nhập từ xa Chính sách truy nhập từ xa tập hợp điều kiện