ĐẠI HỌC QUỐC GIA HÀ NỘI VIỆN CÔNG NGHỆ THÔNG TIN ĐỒNG QUANG VIỆT XÂY DỰNG HỆ THỐNG QUẢN LÝ TÀI NGUYÊN VÀ TRUY CẬP INTERNET CHO CÁC KÝ TÚC XÁ ĐẠI HỌC QUỐC GIA HÀ NỘI LUẬN VĂN THẠC SĨ CÔNG NGHỆ THÔNG TIN Hà Nội - 2016 ĐẠI HỌC QUỐC GIA HÀ NỘI VIỆN CÔNG NGHỆ THÔNG TIN ĐỒNG QUANG VIỆT XÂY DỰNG HỆ THỐNG QUẢN LÝ TÀI NGUYÊN VÀ TRUY CẬP INTERNET CHO CÁC KÝ TÚC XÁ ĐẠI HỌC QUỐC GIA HÀ NỘI Ngành: Công nghệ Thông tin Chuyên ngành: Quản lý Hệ thống Thông tin Mã số: Chuyên ngành đào tạo thí điểm LUẬN VĂN THẠC SĨ CÔNG NGHỆ THÔNG TIN NGƯỜI HƯỚNG DẪN KHOA HỌC: TS VŨ DUY LINH NHẬN XÉT CỦA NHẬN XÉT CỦA CÁN BỘ HƯỚNG DẪN CHỦ TICH HỘI ĐỒNG CHẤM LUẬN VĂN TS VŨ DUY LINH PGS.TS ĐỖ NĂNG TOÀN Hà Nội – 2016 Lời cảm ơn Để hoàn thành luận văn này, trước tiên, xin gửi lời cảm ơn sâu sắc đến thầy giáo TS Vũ Duy Linh, người khơi nguồn, định hướng chuyên môn, trực tiếp hướng dẫn tạo điều kiện thuận lợi cho tơi q trình thực luận văn Tôi xin chân thành gửi lời cảm ơn đến thầy cô Viện CNTT – ĐH Quốc Gia Hà Nội góp ý kiến, nhận xét quan tâm bảo, giúp đỡ tận tình trình thực đề tài Tôi xin chân thành gửi lời cám ơn đến bạn đồng nghiệp Trung tâm Ứng dụng Công nghệ Thông tin – Viện CNTT – ĐH Quốc Gia Hà Nội tạo điều kiện giúp đỡ tơi q trình thực đề tài Cuối cùng, tơi xin bày tỏ lịng kính trọng biết ơn sâu sắc đến gia đình tạo động lực điều kiện tốt để tơi hồn thành tốt cơng việc trình thực luận văn Mặc dù cố gắng q trình thực luận văn khơng thể tránh khỏi thiếu sót Tơi mong nhận góp ý thầy bạn bè để tiếp tục hoàn thiện thêm việc xây dựng hệ thống quản lý tài nguyên truy cập internet cho ký túc xá Đại học Quốc gia Hà Nội Hà Nội, ngày tháng năm 2016 Tác giả luận văn Đồng Quang Việt Lời cam đoan Tôi xin cam đoan cơng trình nghiên cứu tơi, có hỗ trợ từ Thầy hướng dẫn người cảm ơn Các nội dung nghiên cứu kết đề tài trung thực chưa công bố cơng trình Hà Nội, ngày tháng năm 2016 Tác giả luận văn Đồng Quang Việt MỤC LỤC DANH MỤC THUẬT NGỮ VÀ TỪ VIẾT TẮT DANH MỤC HÌNH DANH MỤC BẢNG .1 MỞ ĐẦU Chương 1: Tổng quan quản lý tài nguyên truy cập internet số giải pháp 1.1 Các ứng dụng dịch vụ mạng 1.1.1 DHCP 1.1.2 LDAP 1.1.3 RADIUS 1.1.4 DNS Forwarder .8 1.1.5 Squid proxy .8 1.1.6 Captive portal 1.1.7 Firewall 1.1.8 Load Balancer .11 1.2 Một số giải pháp quản lý tài nguyên truy cập internet 11 1.2.1 Giới thiệu giải pháp 11 1.2.2 So sánh giải pháp: 16 Chương 2: Thiết kế hệ thống quản lý tài nguyên truy cập internet cho ký túc xá ĐHQGHN 19 2.1 Kiến trúc hệ thống: 19 2.2 Nguyên lý hoạt động: 19 2.2.1 DHCP cho hệ thống quản lý tài nguyên truy cập internet KTXNN 19 2.2.2 Chứng thực người sử dụng cho hệ thống quản lý tài nguyên truy cập internet KTXNN .19 2.2.3 FireWall cho hệ thống quản lý tài nguyên truy cập internet KTXNN 19 2.2.4 Routing Load balancing cho hệ thống quản lý tài nguyên truy cập internet KTXNN .19 Kết luận Chương .19 Chương 3: Xây dựng hệ thống quản lý tài nguyên truy cập internet cho ký túc xá ĐHNN ĐHQGHN 19 3.1 Thực nghiệm xây dựng hệ thống quản lý tài nguyên truy cập internet cho KTXNN 19 3.2 Đánh giá hệ thống quản lý tài nguyên truy cập internet KTXNN 19 KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN 19 TÀI LIỆU THAM KHẢO .19 MỞ ĐẦU Chúng ta sống thời đại mới, thời đại phát triển rực rỡ công nghệ thông tin Công nghệ thông tin bước phát triển cao số hóa tất liệu thông tin, luân chuyển mạnh mẽ kết nối tất lại với Mọi loại thơng tin, số liệu âm thanh, hình ảnh đưa dạng kỹ thuật số để máy tính lưu trữ chuyển tiếp cho nhiều người Từ liệu số hóa trở thành tài nguyên chia sẻ chung hệ thống mạng internet Chính quản lý tài nguyên truy cập internet người sử dụng toán tổng quan phổ biến Quản lý tài nguyên truy cập internet người sử dụng cần đáp ứng nhu cầu quản lý khác đơn vị, tổ chức doanh nghiệp mà chọn giải pháp khác Quản lý tài nguyên truy cập internet người sử dụng nhằm mục đích làm cho việc sử dụng tài nguyên truy cập internet hiệu sáng Rõ ràng bạn không muốn người sử dụng truy cập internet tài nguyên không lành mạnh cần quản lý nội dung truy cập người sử dụng Và tăng hiệu làm việc khả học tập người sử dụng Quản lý tài nguyên truy cập internet phải quản lý lưu lượng sử dụng dung lượng sử dụng người sử dụng, tránh làm ảnh hưởng đến chất lượng hệ thống việc sử dụng cá nhân khác Quản lý tài nguyên truy cập internet người sử dụng việc phải bảo đảm an tồn bảo mật thơng tin người sử dụng hoạt động hệ thống Quản lý tài nguyên truy cập internet người sử dụng quản lý số người truy cập tài nguyên internet Muốn quản lý tài nguyên truy cập internet người sử dụng cần phải xây dựng hệ thống quản lý tài nguyên truy cập internet Với nhiều kỹ thuật có nhiều giải pháp đưa để quản lý tài nguyên truy cập internet người sử dụng Khiến cho toán quản lý tài nguyên truy cập internet trở nên thiết thực, phong phú áp dụng nhiều mơ hình mạng khác từ nhỏ đến lớn Có thể kể đến giải pháp như: Captive Portal [2], Firewall, DHCP tích hợp MAC filter hay giải pháp hãng như: Cisco có gói giải pháp NAC (Network Admission Control) [10], Microsoft có gói giải pháp NAP (Network Access Protection) [11], hay tổ chức phi lợi nhuận The Trusted Computing Group đưa gói giải pháp TNC (the Trusted Network Connect) [12] Nhưng để đáp ứng nhu cầu mạnh mẽ với chi phí thấp sử dụng hệ thống tích hợp mã nguồn mở PFSense [5][6], hệ thống thiết thực với toán quản lý tài nguyên truy cập internet cung cấp dịch vụ độc lập, phong phú, cho phép triển khai hệ thống mạng cỡ vừa lớn, với tập người dùng đa dạng, tập trung đến yếu tố quản lý truy xuất tài nguyên mạng người sử dụng đầu cuối quan trọng hệ thống phần mềm hồn tồn miễn phí phí triển khai thấp Từ ta có mục tiêu đặt Xây dựng hệ thống quản lý tài nguyên truy cập internet cho ký túc xá Đại học Quốc gia Hà Nội hệ thống mã nguồn mở PFSense  Nội dung phương pháp nghiên cứu Để đạt mục tiêu đề ra, trước tiên tìm hiểu ứng dụng dịch vụ cần có quản lý tài nguyên truy cập internet DHCP, LDAP, RADIUS, SQUID PROXY, CAPTIVE PORTAL, FIREWALL, LOAD BALANCER Tiếp theo tiến hành nghiên cứu thêm số giải pháp quản lý tài nguyên truy cập internet Trong tơi tìm hiểu kỹ giải pháp quản lý tài nguyên truy cập internet hệ thống mã nguồn mở PFSense Sau nghiên cứu kỹ lý thuyết tham khảo vài giải pháp tiến hành Xây dựng hệ thống quản lý tài nguyên truy cập internet cho ký túc xa Đại học Quốc gia Hà Nội Cuối đánh giá hiệu hệ thống đề xuất hướng nghiên cứu  Phạm vi nghiên cứu Luận văn nghiên cứu chế kết hợp, liên thông giao thức, dịch vụ, ứng dụng để đưa hệ thống triển khai hoàn chỉnh Tác giả sử dụng cơng cụ nghiên cứu có sẵn khơng cải tiến nghiên cứu, thuật toán lĩnh vực, công cụ  Kết đạt Với mục tiêu đề ra, đạt số kết sau: Trình bày số lý thuyết dịch vụ, ứng dụng mạng số giải pháp quản lý tài nguyên truy cập internet Tìm hiểu kỹ giải pháp quản lý tài nguyên truy cập internet hệ thống mã nguồn mở PFSense Từ thấy giải pháp quản lý tài nguyên truy cập internet hệ thống mã nguồn mở PFSense phù hợp với yêu cầu xây dựng hệ thống quản lý tài nguyên truy cập internet cho ký túc xá Đại học Quốc gia Hà Nội Trình bày việc xây dựng hệ thống quản lý tài nguyên truy cập internet cho ký túc xá Đại học Quốc gia Hà Nội mà lấy điển hình ký túc xá Đại học Ngoại Ngữ Đại học Quốc gia Hà Nội Cuối trình bày cấu hình thực nghiệm hệ thống quản lý tài nguyên truy cập internet ký túc xá Đại học Ngoại Ngữ, đưa đánh gia vá hướng Chương 1: Tổng quan quản lý tài nguyên truy cập internet số giải pháp Quản lý tài nguyên truy cập internet toán tổng quát phổ biến Tùy theo nhu cầu khác tổ chức, doanh nghiệp mà họ lựa chọn giải pháp khác nhằm đáp ứng yêu cầu quản lý gồm: Triển khai, thiết lập sách bảo mật khắc phục cố Lập kế hoạch chọn giải pháp phù hợp cho việc hợp lý hóa băng thơng Phân đoạn mạng nhằm mục tiêu hợp lý hóa băng thơng, giảm nguy lây lan virus kiểm soát truy cập tài nguyên mạng Quản trị mạng hệ thống tập trung, vân vân Cùng với việc cơng nghệ xác thực, bảo mật khác đời khiến cho toán “Quản lý tài nguyên truy cập internet” trở nên thiết thực, phong phú áp dụng nhiều mơ hình mạng khác từ nhỏ đến lớn Có thể kể đến giải pháp như: Captive Portal [2], Firewall, DHCP tích hợp MAC filter hay giải pháp hãng như: Cisco có gói giải pháp NAC (Network Admission Control) [10], Microsoft có gói giải pháp NAP (Network Access Protection) [11], hay tổ chức phi lợi nhuận The Trusted Computing Group đưa gói giải pháp TNC (the Trusted Network Connect) [12], vân vân Nội dung chương đề cập đến số giải pháp phổ biến nay, dịch vụ ứng dụng mạng cần có quản lý tài nguyên truy cập internet 1.1 Các ứng dụng dịch vụ mạng 1.1.1 DHCP DHCP (dynamic host configuration protocol): Giao thức cấu hình địa động thiết kế làm giảm thời gian chỉnh cấu hình cho mạng TCP/IP cách tự động gán địa IP cho người sử dụng họ vào mạng Dịch vụ DHCP thuận lợi lớn người điều hành mạng Nó làm yên tâm vấn đề cố hữu phát sinh phải khai báo cấu hình thủ cơng Nói cách tổng quan DHCP dịch vụ mang đến cho nhiều lợi điểm cơng tác quản trị trì mạng TCP/IP như: + Tập trung quản trị thông tin cấu hình IP + Cấu hình động máy + Cấu hình IP cho máy cách liền mạch + Sự linh hoạt + Khả mở rộng Chức năng: – Mỗi thiết bị mạng sở TCP/IP phải có địa IP để truy cập mạng tài ngun Khơng có DHCP, cấu hình IP phải thực cách thủ cơng cho máy tính mới, máy tính di chuyển từ mạng sang mạng khác, máy tính loại bỏ khỏi mạng – Bằng việc phát triển DHCP mạng, tồn tiến trình quản lý tự động tập trung DHCP server bảo quản vùng địa IP giải phóng địa với DHCP client ghi lên mạng Bởi địa IP động tĩnh, địa khơng cịn trả lại cách tự động sử dụng vùng cấp phát lại Các thuật ngữ DHCP: – DHCP Server: máy quản lý việc cấu hình cấp phát địa IP cho Client – DHCP Client: máy trạm nhận thơng tin cấu hình IP từ DHCP Server – Scope: phạm vi liên tiếp địa IP cho mạng – Exclusion Scope: dải địa nằm Scope không cấp phát động cho Clients – Reservation: Địa đặt trước dành riêng cho máy tính thiết bị chạy dịch vụ (tùy chọn thường thiết lập để cấp phát địa cho Server, Printer,… ) – Scope Options: thơng số cấu hình thêm cấp phát IP động cho Client DNS Server(006), Router(003) Phương thức hoạt động dịch vụ DHCP Dịch vụ DHCP hoạt động theo mơ hình Client / Server Theo q trình tương tác DHCP client server diễn theo bước sau Bước 1: Khi máy Client khởi động, máy gửi broadcast gói tin DHCP DISCOVER, yêu cầu Server phục vụ Gói tin chứa địa MAC client Nếu client không liên lạc với DHCP Server sau lần truy vấn khơng thành cơng tự động phát sinh địa IP riêng cho nằm dãy 169.254.0.0 đến 169.254.255.255 dùng để liên lạc tạm thời Và client trì việc phát tín hiệu Broadcast sau phút để xin cấp IP từ DHCP Server Bước 2: Các máy Server mạng nhận u cầu Nếu cịn khả cung cấp địa IP, gửi lại cho máy Client gói tin DHCP OFFER, đề nghị cho thuê địa IP khoảng thời gian định, kèm theo Subnet Mask địa Server Server không cấp phát địa IP vừa đề nghị cho client thuê trống suốt thời gian thương thuyết Bước 3: Máy Client lựa chọn lời đề nghị (DHCP OFFER) gửi broadcast lại gói tin DHCP REQUEST chấp nhận lời đề nghị Điều cho phép lời đề nghị khơng chấp nhận Server rút lại dùng để cấp phát cho Client khác Bước 4: Máy Server Client chấp nhận gửi ngược lại gói tin DHCP ACK lời xác nhận, cho biết địa IP đó, Subnet Mask thời hạn cho sử dụng thức áp dụng Ngồi server cịn gửi kèm thơng tin bổ sung địa Gateway mặc định, địa DNS Server… 1.1.2 LDAP LDAP (Lightweight Directory Access Protocol) – giao thức truy cập nhanh dịch vụ thư mục - chuẩn mở rộng cho nghi thức truy cập thư mục LDAP giao thức tìm, truy nhập thơng tin dạng thư mục server Nó dùng giao thức dạng Client/Server để truy cập dịch vụ thư mục LDAP chạy TCP/IP dịch vụ hướng kết nối khác Ngoài ra, LDAP tạo đặc biệt cho hành động "đọc" Bởi thế, xác thực người dùng phương tiện "lookup" LDAP nhanh, hiệu suất, tốn tài nguyên, đơn giản query user account CSDL Có LDAP Server như: OpenLDAP, OPENDS, Active Directory, … Phương thức hoạt động LDAP Ldap dùng giao thức giao tiếp client/server Giao thức giao tiếp client/server mơ hình giao thức chương trình client chạy máy tính gởi yêu cầu qua mạng đến cho máy tính khác chạy chương trình server (phục vụ) Chương trình server nhận lấy yêu cầu thực sau trả lại kết cho chương trình client Ý tưởng giao thức client/server cơng việc gán cho máy tính tối ưu hóa để thực cơng việc Một máy server LDAP cần có nhiều RAM (bộ nhớ) dùng để lưu trữ nội dung thư mục cho thao tác thực thi nhanh máy cần đĩa cứng vi xử lý tốc độ cao Đây tiến trình hoạt động trao đổi LDAP client/server: Hình 1.1: Mơ hình kết nối client/server Client mở kết nối TCP đến LDAP server thực thao tác bind Thao tác bind bao gồm tên directory entry, ủy nhiệm thư sử dụng trình xác thực, ủy nhiệm thư thơng thường password chứng điện tử dùng để xác thực client Sau thư mục có xác định thao tác bind, kết thao tác bind trả cho client Client phát yêu cầu tìm kiếm Server thực xử lý trả kết cho client Server gởi thơng điệp kết thúc việc tìm kiếm Client phát yêu cầu unbind, với yêu cầu server biết client muốn hủy bỏ kết nối Server đóng kết nối LDAP giao thức hướng thông điệp Do client server giao tiếp thông qua thông điệp, client tạo thông điệp (LDAP message) chứa yêu cầu gởi đến cho server Server nhận thơng điệp xử lý yêu cầu client sau gởi trả cho client thông điệp LDAP Ví dụ: Khi LDAP client muốn tìm kiếm thư mục, client tạo LDAP tìm kiếm gởi thơng điệp cho server Sever tìm sở liệu gởi kết cho client thông điệp LDAP Hình 1.2: Thao tác tìm kiếm Nếu client tìm kiếm thư mục nhiều kết tìm thấy, kết gởi đến client nhiều thơng điệp Hình 1.3: Những thơng điệp Client gửi cho server Do nghi thức LDAP giao thức hướng thông điệp nên client phép phát nhiều thông điệp yêu cầu đồng thời lúc Trong LDAP, message ID dùng để phân biệt yêu cầu client kết trả server Hình 1.4: Nhiều kết tìm kiếm trả Việc cho phép nhiều thông điệp xử lý đồng thời làm cho LDAP linh động nghi thức khác Ví dụ HTTP, với yêu cầu từ client phải trả lời trước yêu cầu khác gởi đi, HTTP client program Web browser muốn tải xuống lúc nhiều file Web browser phải thực mở kết nối cho file, LDAP thực theo cách hoàn toàn khác, quản lý tất thao tác kết nối 1.1.3 RADIUS RADIUS giao thức Remote Authentication Dial-In User Service định nghĩa RFC 2865 Với khả cung cấp xác thực tập trung, cấp phép điều khiển truy cập (Authentication, Authorization, Access Control – AAA) cho phiên làm việc với SLIP PPP Dial-up – việc cung cấp xác thực nhà cung cấp dịch vụ Internet (ISP) dựa giao thức để xác thực người dùng họ truy cập Internet Nó cần thiết tất Network Access Server (NAS) để làm việc với danh sách username password cho việc cấp phép, RADIUS Access-Request chuyển thông tin tới Authentication Serve, thông thường AAA Server (AAA Authentication, Authorization, Accounting) Trong kiến trúc hệ thống tạo khả tập trung liệu thông tin người dùng, điều kiện truy cập điểm (single point), có khả cung cấp cho hệ thống lớn, cung cấp giải pháp NAS Khi user kết nối, NAS gửi message dạng RADIUS Access-Request tới máy chủ AAA Server, chuyển thông tin username password, thông qua port xác định, NAS identify, message Authenticator Sau nhận thông tin máy chủ AAA sử dụng gói tin cung cấp như, NAS identify, Authenticator thẩm định lại việc NAS có phép gửi u cầu khơng Nếu có khả năng, máy chủ AAA tìm kiểm tra thơng tin username password mà người dùng yêu cầu truy cập sở liệu Nếu trình kiểm tra mang thơng tin Access-Request định q trình truy cập user chấp nhận Khi trình xác thực bắt đầu sử dụng, máy chủ AAA trả RADIUS Access – Challenge mang số ngẫu nhiên NAS chuyển thông tin đến người dùng từ xa (với ví dụ sử dụng CHAP) Khi người dùng phải trả lời yêu cầu xác nhận (trong ví dụ này, đưa lời đề nghị mã hóa password), sau NAS chuyển tới máy chủ AAA message RADIUS Access-Request Nếu máy chủ AAA sau kiểm tra thông tin người dùng hoàn toàn thỏa mãn cho phép sử dụng dịch vụ, trả message dạng RADIUS Access-Accept Nếu không thỏa mãn máy chủ AAA trả tin RADIUS Access-Reject NAS ngắt kết nối vớ user Khi gói tin Access-Accept nhận RADIUS Accounting thiết lập, NAS gửi gói tin ReRADIUS Accounting-Request (Start) tới máy chủ AAA Máy chủ thêm thơng tin file Log nó, với việc NAS cho phép làm việc với user bắt đầu nào, kết thúc nào, RADIUS Accounting làm nhiệm vụ ghi lại xác thực user hệ thống, kết thúc phiên làm việc NAS gửi thông tin RADIUS Accounting-Request (Stop) RADIUS giao thức sử dụng rộng rãi cho phép xác thực tập trung, ủy quyền kiểm soát truy cập cho mạng Ban đầu phát triển cho thiết lập kết nối từ xa RADIUS hỗ trợ cho máy chủ VPN, điểm truy cập không dây, chứng thực chuyển mạch internet, truy cập DSL, loại truy cập mạng khác RADIUS mô ta RFC 2865, “Remote Authentication Dial-in User Service” (RADIUS), (IETF Draft Standard) and RFC 2866, “RADIUS Accounting” (Informational) 1.1.4 DNS Forwarder DNS Forwarder (Trình chuyển tiếp) máy chủ DNS thực truy vấn DNS thay cho nhiều máy chủ DNS khác DNS Forwarder sử dụng để gỡ bỏ tác vụ xử lý khỏi máy chủ DNS thực chuyển tiếp truy vấn sang Forwarder, tăng lưu lượng nhớ đệm DNS DNS Forwarder Một chức khác DNS Forwarder ngăn cản máy chủ DNS chuyển tiếp yêu cầu tương tác với máy chủ DNS Internet Đây chức đặc biệt quan trọng máy chủ DNS chứa tài nguyên bên miền DNS Thay cho phép máy chủ DNS nội tự thực gọi lại lệnh liên lạc với máy chủ DNS khác, cấu hình cho máy chủ DNS nội sử dụng Forwader cho tất miền không phân quyền 1.1.5 Squid proxy Squid proxy một giải pháp proxy phần mềm mã nguồn mở tự sử dụng nhiều giải pháp Proxy cộng đồng mạng Squid proxy làm nhiệm vụ chuyển tiếp yêu cầu từ phía client đồng thời đóng vai trị kiểm sốt tạo an tồn cho việc truy cập Internet client Chức Squid proxy Squid xác định yêu cầu từ client định đáp ứng hay không đáp ứng, yêu cầu đáp ứng, kết nối với server thật thay cho client tiếp tục chuyển tiếp đến yêu cầu từ client đến server, đáp ứng yêu cầu server đến client Vì squid proxy giống cầu nối trung gian server client Bên cạnh việc chuyển tiếp yêu cầu từ phía client, đồng thời lưu lại đĩa liệu trả từ Internet Server – gọi caching (thường nội dung trang Web, tập tin…) Nếu thời gian hiệu lực mà hay nhiều client yêu cầu nội dung squid proxy đáp ứng lại yêu cầu từ phía client Lợi ích Squid proxy Hiệu cao tối ưu cấu hình Squid chạy Linux Khả cân tải nhiều máy chủ chạy Squid Hỗ trợ khả xác thực người dùng theo nhiều CSDL khác nhau: LDAP, MySQL, PostgreSQL Khơng chi phí quyền phần mềm mã nguồn mở tự Được dùng nhiều doanh nghiệp lớn, trường đại học lớn nước (các trường đại học có tới 50 ngàn sinh viên) Quản lý sách QoS tốt (giới hạn download phim/ảnh theo giờ, hạn chế băng thông địa IP, giới hạn số phiên kết nối đồng thời …) Hỗ trợ tốt cho dịch vụ đa phương tiện (video, audio) Khả Caching thơng tin tốt Có thể thiết lập tích hợp máy chủ Squid Proxy chi nhánh công ty khác qua mạng WAN Cho phép thoải mái tùy biến có khả tích hợp với phần mềm hỗ trợ khác Bảo mật ứng dụng Iptables miễn phí tích hợp sẵn Linux nên gọn nhẹ, đơn vị khơng có khả tài không cần mua thêm firewall cứng firewall mềm 1.1.6 Captive portal Chúng ta tìm hiểu khái niệm Captive Portal thông qua cách thức hoạt động chúng Công nghệ Captive Portal bắt buộc máy muốn sử dụng Internet mạng trước tiên phải sử dụng trình duyệt để chuyển tới trang đặc biệt (thường dùng cho mục đích xác thực) Captive Portal chuyển hướng trình duyệt tới thiết bị xác thực an ninh Điều thực cách bắt tất gói tin, kể địa cổng, đến người dùng mở trình duyệt thử truy cập Internet Tại thời điểm đó, trình duyệt chuyển hướng tới trang web đặc biệt yêu cầu xác thực (đăng nhập) toán, đơn giản bảng thông báo quy định mà người dùng phải tuân theo yêu cầu người dùng phải chấp nhận quy định trước truy cập Internet Captive Portal thường triển khai hầu hết điểm truy nhập WiFi dùng để điều khiển mạng có dây Do trang web đăng nhập phải truy cập từ trình duyệt máy khách, trang web cần phải đặt gateway web server nằm “danh sách trắng” nghĩa truy cập mà khơng cần q trình xác thực Ngồi việc có danh sách trắng địa URL, vài loại gateway cịn có danh sách trắng vài cổng TCP 1.1.7 Firewall Firewall thuật ngữ dùng mô tả thiết bị hay phần mềm có nhiệm vụ lọc thơng tin vào hay hệ thống mạng hay máy tính theo quy định cài đặt trước Mục tiêu việc sử dụng tường lửa tạo kết nối an toàn từ vùng mạng bên bên hệ thống, đảm bảo khơng có truy cập trái phép từ bên vào máy chủ thiết bị bên hệ thống mạng Để có tường lửa tốt hệ thống, địi hỏi bạn phải có hệ thống tường lửa phần cứng hay phần mềm mạnh mẽ, uyển chuyển, với kỹ kiến thức chun sâu để kiểm sốt chúng Hình 1.5: Tường lửa làm nhiệm vụ bảo vệ Cấu trúc FireWall FireWall bao gồm: Một nhiều hệ thống máy chủ kết nối với định tuyến (router) có chức router Các phần mềm quản lí an ninh chạy hệ thống máy chủ Thông thường hệ quản trị xác thực (Authentication), cấp quyền (Authorization) kế toán (Accounting) Các thành phần FireWall Một FireWall bao gồm hay nhiều thành phần sau: + Bộ lọc packet (packet- filtering router) + Cổng ứng dụng (Application-level gateway hay proxy server) + Cổng mạch (Circuit level gateway) FireWall bảo vệ gì? Nhiệm vụ FireWall bảo vệ vấn đề sau: + Dữ liệu: Những thông tin cần bảo vệ u cầu sau: - Bảo mật - Tính tồn vẹn - Tính kịp thời + Tài nguyên hệ thống + Danh tiếng đơn vị, doanh nghiệp sở hữu thông tin cần bảo vệ FireWall bảo vệ chống lại gì? FireWall bảo vệ chống lại cơng từ bên ngồi + Tấn cơng trực tiếp: Cách thứ dùng phương pháp dò mật trực tiếp Thơng qua chương trình dị tìm mật với số thông tin người sử dụng ngày sinh, tuổi, địa v.v…và kết hợp với thư viện người dùng tạo ra, kẻ cơng dị mật bạn Trong số trường hợp khả thành cơng lên tới 30% Ví dụ chương trình dị tìm mật chạy hệ điều hành Unix có tên Crack 10 Cách thứ hai sử dụng lỗi chương trình ứng dụng thân hệ điều hành sử dụng từ vụ công để chiếm quyền truy cập (có quyền người quản trị hệ thống) + Nghe trộm: Có thể biết tên, mật khẩu, thông tin chuyển qua mạng thông qua chương trình cho phép đưa vào giao tiếp mạng (NIC) vào chế độ nhận tồn thơng tin lưu truyền qua mạng + Giả mạo địa IP + Vô hiệu hóa chức hệ thống (deny service) Đây kiểu cơng nhằm làm tê liệt tồn hệ thống khơng cho thực chức mà thiết kế Kiểu cơng ngăn chặn phương tiện tổ chức cơng phương tiện để làm việc truy nhập thông tin mạng + Lỗi người quản trị hệ thống + Yếu tố người với tính cách chủ quan khơng hiểu rõ tầm quan trọng việc bảo mật hệ thống nên dễ dàng để lộ thông tin quan trọng cho hacker 1.1.8 Load Balancer Load Balancer phương pháp phân phối khối lượng tải nhiều máy tính cụm máy tính để sử dụng tối ưu nguồn lực, tối đa hóa thơng lượng, giảm thời gian đáp ứng tránh tình trạng tải máy chủ Các lợi ích sử dụng phương pháp cân tải: Tăng khả đáp ứng, tránh tình trạng tải máy chủ, đảm bảo tính linh hoạt mở rộng cho hệ thống Tăng độ tin cậy khả dự phòng cho hệ thống: Sử dụng cân tải giúp tăng tính HA (High Availability) cho hệ thống, đồng thời đảm bảo cho người dùng không bị gián đoạn dịch vụ xảy lỗi cố lỗi điểm cung cấp dịch vụ Tăng tính bảo mật cho hệ thống: Thơng thường người dùng gửi yêu cầu dịch vụ đến hệ thống, yêu cầu xử lý cân tải, sau thành phần cân tải chuyển tiếp yêu cầu cho máy chủ bên Quá trình trả lời cho khách hàng thơng qua thành phần cân tải, mà người dùng khơng thể biết xác máy chủ bên phương pháp phân tải sử dụng Bằng cách ngăn chặn người dùng giao tiếp trực tiếp với máy chủ, ẩn thông tin cấu trúc mạng nội bộ, ngăn ngừa công mạng dịch vụ không liên quan hoạt động cổng khác 1.2 Một số giải pháp quản lý tài nguyên truy cập internet 1.2.1 Giới thiệu giải pháp 1.2.1.1 Giải pháp quản lý tài nguyên truy cập internet phân tán Giải pháp quản lý cấp phát địa phân tán ứng dụng phổ biến mạng cỡ nhỏ, việc triển khai tương đối dễ dàng, xây dựng cho mạng cỡ vừa lớn, đòi hỏi chia tách thành nhiều mạng yêu cầu bảo mật, quản lý băng thông, quản lý truy cập tài nguyên, định tuyến, vân vân… Một số đặc điểm chúng như: 11  Khả xác thực hạn chế thiết bị access point, khơng hỗ trợ việc lưu cấu hình xác thực  Khả quản lý truy cập thiếu tính qn việc kiểm sốt truy cập độc lập thiết bị khác  Cấu hình thiết bị phần cứng hạn chế dẫn đến việc hệ thống mạng trở nên phức tạp, khó kiểm soát số lượng người sử dụng đầu cuối lớn 1.2.1.2 Giải pháp quản lý tài nguyên truy cập internet NAC Cisco Cisco hãng đặt móng cho khái niệm NAC (Network Access Control) sau này, kiến trúc NAC Cisco tập trung vào mục tiêu kiểm soát thiết bị đầu cuối trước kết nối mạng như: Antivirus, Health Agent, Patch Agent Giải pháp NAC Cisco dựa chế độ hoạt động Agent-based, Cisco định nghĩa số khái niệm Posture Validation Server (PVS), PVS phần sách truy cập mạng người sử dụng cuối cho phép người quản trị thiết lập sách truy cập tập trung Tuy nhiên giải pháp NAC Cisco thất bại việc không quản lý vấn đề phát sinh thiết bị đầu cuối, sau chế hoạt động Agent phụ thuộc vào chương trình anti-virus, antimalware, patch, v.v hãng thứ ba, gây khó khăn việc thiết lập kết nối mạng cho người sử dụng đầu cuối không cập nhật kịp thời vá lỗi, update Hình 1.6: Mơ hình xác thực NAC Cisco (nguồn [9]) Một số lợi ích giải pháp NAC cisco Như Network Access Control giải pháp tương đối an toàn cho việc quản lý tài nguyên truy cập, tập trung vào việc kiểm soát vấn đề an ninh thiết bị đầu cuối Mặc dù nhiều vấn đề triển khai NAC thực tế lựa chọn mơ hình, chi phí đầu tư, sách quản lý tài nguyên truy cập tài 12 nguyên mạng, vân vân Tuy nhiên lợi ích triển khai NAC cần thiết cho nhu cầu thiết lập hệ thống mạng ngày nay, lợi ích gồm: - Kiểm soát, quản lý truy cập, quản lý khai thác tài nguyên mạng người sử dụng đầu cuối - Ngăn chặn chương trình mã độc, virus lây lan, phát tán toàn hệ thống mạng - Loại bỏ mối nguy hiểm tiềm ẩn từ thiết bị client thơng qua việc kiểm sốt thiết bị đầu cuối - Nâng cao tính sẵn sàng hệ thống mạng giảm gián đoạn cung cấp dịch vụ cho thiết bị đầu cuối - Đảm bảo thiết bị đầu cuối sử dụng chương trình diệt virus tường lửa cách, đáp ứng sách đặt - Dễ dàng tích hợp với giải pháp Endpoint Protection 1.2.1.3 Giải pháp quản lý tài nguyên truy cập internet Captive Portal Giải pháp quản lý tài nguyên truy cập dựa kỹ thuật Captive Portal thường triển khai mạng cơng cộng, việc kiểm sốt truy cập thực cửa nhất, số phần mềm phổ biến Captive Portal như: PFSense, Amigopod and ArubaOS Integration, CentOS, Chillispot, vv Hình 1.7: Mơ hình xác thực sử dụng Captive Portal Captive portal giải pháp buộc người sử dụng trước truy cập mạng phải chuyển hướng tới trang web đặc biệt Kỹ thuật Captive portal biến web browser thành công cụ chứng thực hiệu Việc thực thông qua việc ngăn chặn tất gói tin (bất kể địa IP port nào) người sử dụng vượt qua chứng thực trang web mà hệ thống chuyển hướng đến 13 1.2.1.4 Giải pháp quản lý tài nguyên truy cập internet hệ thống mã nguồn mở PFSense Hình 1.8: Mơ hình sử dụng PFSense PFSense hệ thống mạnh mẽ hồn tồn miễn phí, cho phép quản lý tài nguyên truy cập internet tập trung PFSense mang tới nhiều dịch vụ khác hệ thống quán, đảm bảo đầy đủ tính cho hệ thống mạng cỡ lớn, đòi hỏi yêu cầu bảo mật, định tuyến, cân tải PFSense sử dụng giao diện webgui để thiết lập dịch vụ ứng dụng nên dễ dàng sử dụng Một số dịch vụ ứng dụng PFSense: - DHCP Sever: Cấp phát địa IP cho máy client máy gắn vào mạng Lan PFSense quản lý PFSense cịn cấp DHCP cho Vlan riêng biệt Hỗ trợ nhiều subnet khác (từ đến 32bit) Nó kích hoạt mặc định subnet Vlan đồng thời gán gateway địa DNS Server dịch vụ DNS forwarder kích hoạt Cho phép triển khai Mac filter tập trung, dựa vào ánh xạ 1-1 địa MAC địa IP từ gói tin ARP request phía client gửi đến Có thể ngăn chặn kết nối từ thiết bị client đến hệ thống mạng, trường hợp thiết bị client thiết lập địa tĩnh Hỗ trợ đầy đủ filelogs để người quản trị tiện theo dõi trình cấp phát địa IP động hệ thống - FreeRadius Radius Server nằm PFSense Free Radius kết hợp để làm chứng thực với Captive Portal - DNS Forwarder Nếu dịch vụ DNS Forwarder sử dụng cấp phát địa IP cho client DHCP server mặc định gán địa máy chủ DNS cho client trường bị bỏ trống DNS Forwarder kích hoạt mặc định hệ thống PFSense, sử dụng máy chủ DNS cấu hình hệ thống tự động thu từ ISP qua cấu hình WAN Interface (DHCP, PpoE, PPTP) hệ thống lưu lại nhớ đệm 14 - Squid Proxy PFSense: ngồi tính thường thấy squid proxy việc tăng khả caching PFSense giảm nhiều thời gian tìm thơng tin với yêu cầu giống - Captive Portal dịch vụ PFSense cung cấp nhằm để chứng thực người sử dụng Có thể cấu hình cho nhiều Interface Interface độc lập Captive Portal hỗ trợ xác thực với PFSense với máy chủ FreeRadius, Xác thực dựa UserName/Password voucher key Hỗ trợ Mac filter xác thực, Hỗ trợ xác thực theo thời gian thực theo phiên - FireWall tính quan trọng PFSense Cũng nhiều hệ thống firewall khác PFSense hoạt động theo nguyên tắc lọc gói tin packet filter PFSense sử dụng giao diện WebGUI để thiết lập Rule cho hầu hết giao thức TCP, UDP, ICMP v.v ngoại trừ P2P Hệ thống FireWall thực luật theo nguyên tắc từ xuống dưới, có mâu thuẫn luật ưu tiên luật bên PFSense cho phép xây dựng luật nguyên tắc luật chung bên luật riêng bên Aliases cho phép gộp nhóm port, host network thành tên sử dụng cấu hình firewall rules, NAT, traffic shaper v.v điều cho phép tạo tập quy tắc ngắn gọn, dễ dàng quản lý FireWall cung cấp Network Address Translation (NAT), cấu hình thiết lập NAT cần sử dụng cổng chuyển tiếp cho dịch vụ cấu hình NAT tĩnh (1:1) cho Host cụ thể Thiết lập mặc định NAT cho kết nối outbound automatic/dynamic, nhiên thay đổi kiểu manual cần FireWall cung cấp Traffic Shaper giúp theo dõi quản lý băng thông mạng dễ dàng hiệu hơn, điều khiển lưu lượng mạng máy tính để tối ưu hóa hiệu suất độ trễ thấp hơn, tăng băng thông cách trì hỗn, sử dụng gói liệu đáp ứng theo tiêu chí định Traffic Shaping phương pháp tối ưu hóa kết nối internet Nó tăng tối đa tốc độ đảm bảo tối thiểu thời gian trễ, sử dụng gói liệu ACK xếp thứ tự ưu tiên đường truyền tải lên, điều cho phép tiến trình tải tiếp tục với tốc độ tối đa FireWall cung cấp tính Schedules, với tính Firewall rules xếp để hoạt động vào thời điểm định cụ thể Đây tính giúp cho bạn kiểm soát thời gian làm việc, cho bạn lịch làm việc cụ thể rõ ràng - Load Balancing chức hỗ trợ cho hai hướng Inbound Outbound Hướng Outbound thực chức cách kết hợp nhiều đường WAN nhằm đáp ứng băng thông lớn cho thiết bị mạng internal Internet Hướng Inbound sử dụng nhà cung cấp dịch vụ 15 Webservice PFSense cung cấp hai tùy chọn cho chức cân tải failover load balancer Tùy chọn failover cho phép triển khai đường WAN dự phòng với thứ tự ưu tiên từ đến n Khi đường WAN thứ bị lỗi chuyển sang đường WAN có mức ưu tiên thấp Tùy chọn load balancer cho phép hệ thống tự động chia tải WAN dựa vào thời gian trả lời request yêu cầu từ phía client Nếu thời gian phản hồi yêu cầu từ WAN thứ trạm trễ yêu cầu sang đường WAN khác - Routing tính khác PFSense Chức làm công cụ định tuyến đáp ứng cho đòi hỏi hệ thống phải tách phần riêng biệt Có cách thức để triển khai: Static Routes: Thiết lập bảng định tuyến tĩnh thiết bị router với mạng Các máy cài đặt dịch vụ vân vân theo cổng khai báo hệ thống PFSense Routing Public Ips: Cấu hình định tuyến địa IP công cộng muốn cấu hình subnet cho interface mạng bên hệ thống firewall Giao thức CARP thường sử dụng cách thức triển khai Cần địa IP public gán cho địa WAN địa lại gán cho mạng bên hệ thống firewall Các giao thức định tuyến hỗ trợ PFSense gồm RIP (Routing Information Protocol), BGP (Border Gateway Protocol), OSPF (Open Shortest Path First) cài đặt package số điểm 1.2.2 So sánh giải pháp: Từ giải pháp nêu lên thấy hai giải pháp quản lý tài nguyên truy cập internet NAC Cisco PFSense có khả tương ứng với Vì đưa so sanh hai giải pháp Xem bảng 1.1 bên dưới: 16 Bảng 1.1: So sánh giải pháp quản lý tài nguyên truy cập internet PFSense NAC Cisco PFSense hồn tồn miễn phí phần mềm Giá thành cao Phí triển khai thấp Khó lựa chọn mơ hình để triển khai Kiểm sốt, quản lý truy cập, quản lý khai Tính tồn diện, cung cấp nhiều ứng thác tài nguyên mạng người sử dụng dịch vụ cho hệ thống quản lý truy dụng đầu cuối cập Firewall, dhcp, routing, DNS, Vlan, Ngăn chặn chương trình mã độc, virus load balancing, Captive Portal v.v Tất lây lan, phát tán toàn hệ thống mạng đáp ứng đầy đủ cho hệ thống Loại bỏ mối nguy hiểm tiềm ẩn từ mạng thiết bị client thơng qua việc kiểm sốt thiết bị đầu cuối Quản trị đơn giản qua giao diện WebGUI Nâng cao tính sẵn sàng hệ thống mạng Chất lượng tốt với hiệu cao, ôn định, giảm gián đoạn cung cấp dịch vụ cho kiểm soát chặt chẽ thiết bị đầu cuối Đảm bảo thiết bị đầu cuối sử dụng chương trình diệt virus tường lửa cách, đáp ứng sách đặt Dễ dàng tích hợp với giải pháp Endpoint Protection 17 Kết luận chương Nội dung chương làm rõ nội hàm khái niệm toán “Quản lý tài nguyên truy cập internet” tổng quát Bài toán “Quản lý tài nguyên truy cập internet” đóng vai trị quan trọng, thiết thực việc xậy dựng hệ thống mạng hướng người sử dụng Cũng chương tập trung giới thiệu dịch vụ, ứng dụng mạng cần có hệ thống quản lý tài nguyên truy cập internet người sử dụng Cũng thông qua chương muốn đưa đến số giải pháp quản lý tài nguyên truy cập internet người sử dụng phổ biến như: Quản lý tài nguyên truy cập internet phân tán, quản lý tài nguyên truy cập internet NAC cisco, quan lý tài nguyên truy cập internet Captive Portal, quản lý tài nguyên truy cập internet sử dụng hệ thống mã nguồn mở PFsense so sánh hai giải pháp tối ưu giải pháp Cũng chương muốn cho thấy hệ thống quản lý tài nguyên truy cập internet người sử dụng hệ thống mã nguồn mở PFSense đáp ứng hầu hết ứng dụng dịch vụ cần cho hệ thống quản lý tài nguyên truy cập internet Hệ thống phù hợp với đơn vị có lượng lớn người sử dụng mà có chi phí đầu tư thấp cho hệ thống công nghệ thông tin Tiếp đến nội dung chương nói đển việc thiết kế xây dựng hệ thống quản lý tài nguyên truy cập internet cho ký túc xá ĐHQGHN mà điển hình ký túc xá Đại học Ngoại ngữ Đại học Quốc gia Hà Nội hệ thống mã nguồn mở PFSense 18 TÀI LIỆU THAM KHẢO [1] Sergey Poznyakoff, “Gnu Radius Reference Manual”, Published by Free Software Foundation, 2003 [2] Ralph Droms, Ted Lemon, “The DHCP Handbook”, 2nd Edition, SAMS, November 2002 [3] R Droms, W Arbaugh, “Authentication for DHCP Messages”, RFC 3118, June 2001 [4] Chirag Sheth, Rajesh Thakker, “Performance Evaluation and Comparative Analysis of Network Firewalls”, 2011 IEEE [5] Christopher M Buechler, Jim Pingle, “The Definitive Guide to the PFSense Open Source Firewall and Router Distribution”, 2009 [6] Matt Williamson, “PFSense2 Cookbook”, 2011 Packt Publishing [7] The FreeRADIUS Server Project and Contributors, 2014, http://freeradius.org/doc/ [8] Benny Czarny, “Network Access Control Technologies”, OPSWAT Inc, [9] https://www.opswat.com/sites/default/files/Network_Access_Control_Technolo gies.pdf [10] http://en.wikipedia.org/wiki/Network_Admission_Control [11] http://en.wikipedia.org/wiki/Network_Access_Protection [12] http://en.wikipedia.org/wiki/Trusted_Network_Connect [13] Đinh Hồng Ngọc (2014), Nâng cao hiệu quản lý truy cập mạng cho hệ thống firewall PFSense với tập người dùng động, Luận văn Thạc sĩ, Trường Đại học Công nghệ, Đại học Quốc gia Hà Nội [14] http://cait.vnu.edu.vn/giai-phap/28/squid-proxy-cho-quan-ly-truy-cap-internet 19 ...ĐẠI HỌC QUỐC GIA HÀ NỘI VIỆN CÔNG NGHỆ THÔNG TIN ĐỒNG QUANG VIỆT XÂY DỰNG HỆ THỐNG QUẢN LÝ TÀI NGUYÊN VÀ TRUY CẬP INTERNET CHO CÁC KÝ TÚC XÁ ĐẠI HỌC QUỐC GIA HÀ NỘI Ngành: Công nghệ Thông... Trình bày việc xây dựng hệ thống quản lý tài nguyên truy cập internet cho ký túc xá Đại học Quốc gia Hà Nội mà lấy điển hình ký túc xá Đại học Ngoại Ngữ Đại học Quốc gia Hà Nội Cuối trình bày... quản lý tài nguyên truy cập internet hệ thống mã nguồn mở PFSense phù hợp với yêu cầu xây dựng hệ thống quản lý tài nguyên truy cập internet cho ký túc xá Đại học Quốc gia Hà Nội Trình bày việc xây