Bài giảng Quản trị mạng và các thiết bị mạng - Chương 5: Dịch vụ truy cập từ xa và Dịch vụ Proxy

pdf 67 trang huongle 4580
Download
Bạn đang xem 20 trang mẫu của tài liệu "Bài giảng Quản trị mạng và các thiết bị mạng - Chương 5: Dịch vụ truy cập từ xa và Dịch vụ Proxy", để tải tài liệu gốc về máy bạn click vào nút DOWNLOAD ở trên

Tài liệu đính kèm:

  • pdfbai_giang_quan_tri_mang_va_cac_thiet_bi_mang_chuong_5_dich_v.pdf

Nội dung text: Bài giảng Quản trị mạng và các thiết bị mạng - Chương 5: Dịch vụ truy cập từ xa và Dịch vụ Proxy

  1.  QTSC-ITA QUẢN TRỊ MẠNG VÀ CÁC VÀ QUẢN MẠNG THIẾTTRỊ BỊMẠNG Dịch vụ truy cập từ xa và Dịch vụ vụ Proxy từxavàDịch vụ cập truy Dịch  Chương 5 Chương
  2. Objectives• Việc truy cập từ xa là nhu cầu thiết yếu mở rộng phạm vi hoạt động mạng của các tổ chức, công ty. Nội dung truy cập TA I - SC từ xa giới thiệu trong chương này là T Q truy cập qua mạng thoại PSTN. Đây là hình thức truy cập từ xa cho tốc độ truy cập thấp vừa phải nhưng lại có tính phổ biến rộng rãi và dễ thiết lập nhất. • Dịch vụ proxy trên mạng được phát triển cho các mục đích tăng cường tốc độ truy nhập cho khách hàng trong mạng, tiết kiệm được tài nguyên mạng (địa chỉ IP) và đảm bảo được an toàn cho mạng lưới khi bắt buộc phải cung cấp truy nhập ra mạng ngoài hay ra
  3. Dịch vụ truy cập từ xa và Dịch vụ Proxy TA I - SC T Q • Dịch vụ truy cập từ xa (Remote Access) • Dịch vụ Proxy - Giải pháp cho việc kết nối mạng dùng riêng ra Internet.
  4. Dịch vụ truy cập từ xa (Remote Access) TA I - SC T Q • Các khái niệm và các giao thức • An toàn trong truy cập từ xa • Triển khai dịch vụ truy cập từ xa • Bài tập thực hành
  5. Các khái niệm và các giao thức TA I - SC T Q • Tổng quan về dịch vụ truy cập từ xa • Kết nối truy cập từ xa và các giao thức sử dụng trong truy cập từ xa • Modem và các phương thức kết nối vật lý
  6. Tổng quan về dịch vụ truy cập từ xa TA I - SC • Dịch vụ truy nhập từ xa (Remote Access T Q Service) cho phép người dùng từ xa có thể truy cập từ một máy tính qua một môi trường mạng truyền dẫn (ví dụ mạng điện thoại công cộng) đến một mạng dùng riêng như thể máy tính đó được kết nối trực tiếp trong mạng đó
  7. Kết nối truy cập từ xa và các giao thức sử dụng trong truy cập từ xa TA I - • Kết nối truy cập từ xa SC T Q • Giao thức truy cập từ xa • Các giao thức mạng sử dụng trong truy cập từ xa
  8. Kết nối truy cập từ xa • Kết nối này được tạo lập bằng việc sử TA I - dụng một giao thức truy cập từ xa (ví dụ SC T Q giao thức PPP- Point to Point Protocol). Máy chủ truy cập xác thực người dùng và chấp nhận kết nối cho tới khi kết thúc bởi người dùng hoặc người quản trị hệ thống. Máy chủ truy cập đóng vai trò như một gateway bằng việc trao đổi dữ liệu giữa người dùng từ xa và mạng nội bộ.
  9. Giao thức truy cập từ xa TA I - SC T Q • SLIP (Serial Line Interface Protocol) • Microsoft RAS • PPP
  10. SLIP (Serial Line Interface Protocol) TA I - SC T Q • SLIP là các giao thức truy cập để tạo lập kết nối được sử dụng trong truy cập từ xa. SLIP là giao thức truy cập kết nối điểm-điểm và chỉ hỗ trợ sử dụng với giao thức IP, hiện nay hầu như không còn được sử dụng
  11. Microsoft RAS TA I - SC T Q • Microsoft RAS là giao thức riêng của Microsoft hỗ trợ sử dụng cùng với các giao thức NetBIOS, NetBEUI và được sử dụng trong các phiên bản cũ của Microsoft.
  12. PPP TA I - SC T Q • PPP giao thức truy cập kết nối điểm- điểm với khá nhiều tính năng ưu việt, là một giao thức chuẩn được hầu hết các nhà cung cấp hỗ trợ.
  13. PPP (tt) TA I - • Ghép nối với các giao thức lớp mạng SC T Q • Lập cấu hình liên kết • Kiểm tra chất lượng liên kết • Nhận thực • Nén các thông tin tiếp đầu • Phát hiện lỗi • Thỏa thuận các thông số liên kết
  14.  QTSC-ITA Các giao thức Các giaothức mạngdụng sử trong truy từ xa cập • là giao thức TCP/IP, IPX, NETBEUI. IPX, là giaothứcTCP/IP, đượcsử dụng thườnggiao thức mạng từvụ xa,các truytriển khaidịchcập Khi
  15.  QTSC-ITA Modem và các phương thức kết nối vật vật kết lý nối phươngthức và các Modem • • Các phương thức kết nối vật lý cơ bản vậtlý cơ kết nốithứcCác phương Modem
  16.  QTSC-ITA Modem
  17. Các phương thức kết nối vật lý cơ bản TA I - SC T Q • Một phương thức phổ biến và sẽ được dùng nhiều đó là kết nối qua mạng điện thoại công cộng (PSTN). • Máy tính được nối qua một modem lắp đặt bên trong (Internal modem) hoặc qua cổng truyền số liệu nối tiếp COM port
  18.  QTSC-ITA An toàn trong truy cập cập trongtruytừ xa An toàn • • Các phương thức mã hóa dữ liệu hóa dữ mã thứcCác phương kết nốixác thựcthứcCác phương
  19. Các phương thức xác thực kết nối TA I - SC T Q • Qúa trình nhận thực • Giao thức xác thực PAP • Giao thức xác thực CHAP • Giao thức xác thực mở rộng EAP
  20. Qúa trình nhận thực • Phương thức xác thực có thể được sử TA I - dụng với các hình thức kiểm tra cơ sở SC T Q dữ liệu địa phương (lưu trữ các thông tin về username và password ngay trên máy chủ truy cập) xem các thông tin về username và password được gửi đến có trùng với trong cơ sở dữ liệu hay không. Hoặc là gửi các yêu cầu xác thực tới một server khác để xác thực thường sử dụng là các RADIUS server
  21. Giao thức xác thực PAP TA I - SC T Q • PAP là một phương thức xác thực kết nối không an toàn, nếu sử dụng một chương trình phân tích gói tin trên đường kết nối ta có thể nhìn thấy các thông tin về username và password dưới dạng đọc được.
  22. Giao• Sau thức khi xác thỏa thực thuận CHAP giao thức xác thực CHAP trên liên kết PPP giữa các đầu TA cuối, máy chủ truy cập gửi một I - SC T “challenge” tới người dùng từ xa. Q Người dùng từ xa phúc đáp lại một giá trị được tính toán sử dụng tiến trình xử lý một chiều (hash). • Máy chủ truy cập kiểm tra và so sánh thông tin phúc đáp với giá trị hash mà tự nó tính được. Nếu các giá trị này bằng nhau việc xác thực là thành công, ngược lại kết nối sẽ bị hủy bỏ.
  23. Giao thức xác thực mở rộng EAP • Sử dụng các card vật lý dùng để cung TA cấp mật khẩu. Các card này dùng một I - SC T số các phương thức xác thực khác Q nhau như sử dụng các đoạn mã thay đổi theo mỗi lượt sử dụng. • Hỗ trợ MD5-CHAP • Hỗ trợ sử dụng cho các thẻ thông minh. Thẻ thông minh bao gồm thẻ và thiết bị đọc thẻ. Các thông tin xác thực về cá nhân người dùng được ghi lại trong các thẻ này.
  24.  QTSC-ITA Các phương thức mã hóa dữ liệu mãhóadữ phươngthức Các • • Phương pháp mã hoá phi đối xứngphimã hoá đối pháp Phương đốimã hoá xứng thức Phương
  25. • Kết nối gọi vào và kết nối gọi ra Triển• Kết khai nối dịch sử vụdụng truy đa cập luồng(Multilink) từ xa • Các chính sách thiết lập cho dịch vụ TA I - truy nhập từ xa SC T Q • Sử dụng dịch vụ gán địa chỉ động DHCP cho truy cập từ xa • Sử dụng Radius server để xác thực kết nối cho truy cập từ xa • Mạng riêng ảo và kết nối sử dụng dịch vụ truy cập từ xa • Sử dụng Network and Dial-up Connection • Một số vấn đề xử lý sự cố trong truy cập
  26. Kết nối gọi vào và kết nối gọi ra TA I - SC T Q • Nối tới mạng dùng riêng • Nối tới Internet • Tạo lập kết nối VPN • Tạo lập kết nối trực tiếp với máy tính khác
  27.  QTSC-ITA Kết nối sử dụng đa luồng(Multilink) sử dụng đaluồng(Multilink) Kết nối • nhằm gia tăng băng thông cho kết nốithôngbăngcho kếtgia tăngnhằm logic duyliên kết nhấtmộtlý trong là liên kếtvậtkết hợpnhiềuMultilink sự
  28. Các chính sách thiết lập cho dịch vụ truy nhập từ xa TA I - SC T Q • Các điều kiện (Conditions) • Sự cho phép (Permission): • Profile
  29. Sử dụng dịch vụ gán địa chỉ động DHCP cho truy cập từ xa TA I - • Máy chủ truy cập có thể gán động một SC T Q địa chỉ IP cho các máy truy cập từ xa. Địa chỉ IP này thuộc trong khoảng địa chỉ mà ta đã cấu hình trên máy chủ truy cập. Sử dụng phương pháp này ta cần phải đảm bảo rằng khoảng địa chỉ IP này được dành riêng để cấp phát cho các máy truy cập từ xa.
  30. Sử dụng Radius server để xác thực kết nối cho truy cập từ xa. TA I - SC T Q • Hoạt động của Radius server • Nhận thực và cấp quyền • Tính cước
  31. Hoạt động của Radius server TA I - SC T Q • RADIUS là một giao thức làm việc theo mô hình client/server. RADIUS cung cấp dịch vụ xác thực và tính cước cho mạng truy nhập gián tiếp.
  32. Hoạt• Người động sử của dụng Radius từ xa server khởi tạo (tt) quá trình xác thực PPP tới máy chủ truy cập TA I • Máy chủ truy cập yêu cầu người dùng cung - SC T cấp thông tin về username và password bằng Q các giao thức PAP hoặc CHAP. • Người dùng từ xa phúc đáp và gửi thông tin username và password tới máy chủ truy cập. • Máy chủ truy cập (Radius client) gửi chuyển tiếp các thông tin username và password đã được mã hóa tới Radius server • Radius server trả lời với các thông tin chấp nhận hay từ chối. Radius client thực hiện theo các dịch vụ và các thông số dịch vụ đi cùng với các phúc đáp chấp nhận hay từ chối từ
  33. Nhận thực và cấp quyền • Khi Radius server nhận yêu cầu truy cập TA I - từ Radius client, Radius server tìm kiếm SC T Q trong cơ sở dữ liệu các thông tin về yêu cầu này. Nếu username không có trong cơ sở dữ liệu này thì hoặc một profile mặc định được chuyển hoặc một thông báo từ chối truy cập được chuyển tới Radius client.
  34. Tính cước • Các vấn đề về xử lý cước của RADIUS TA I - SC hoạt động độc lập với nhận thực và cấp T Q quyền. Chức năng tính cước cho phép ghi lại dữ liệu được gửi tại thời điểm bắt đầu và kết thúc của một phiên làm việc và đưa ra các con số về mặt sử dụng tài nguyên như (thời gian, số gói, số byte ) được sử dụng trong phiên làm việc đó.
  35. Mạng riêng ảo và kết nối sử dụng dịch vụ truy cập từ xa TA I - SC T Q • VPN (Virtual Private Network) là một mạng riêng được xây dựng trên nền tảng hạ tầng mạng công cộng (ví dụ mạng Internet), sử dụng mạng công cộng cho việc truyền thông riêng tư.
  36. Mạng riêng ảo và kết nối sử dụng dịch vụ truy cập từ xa (tt) TA I • Các hình thức kết nối: kết nối VPN truy - SC T Q cập từ xa và kết nối Site-to-site. • Tunnel: L2TP và PPTP có mục đích là cung cấp các đường hầm dữ liệu thông qua mạng truyền dữ liệu công cộng. • Đóng gói dữ liệu • Xác thực • Mã hóa dữ liệu
  37. Sử dụng Network and Dial-up Connection. TA I - SC T Q • Network and Dial-up Connection (NDC) là một công cụ được Microsoft phát triển để hỗ trợ việc tạo lập các kết nối trong đó bao gồm các kết nối cho truy cập từ xa.
  38. Một số vấn đề xử lý sự cố trong truy cập từ xa TA I - SC T • Giám sát truy cập từ xa Q • Theo dõi các kết nối truy cập từ xa • Xử lý các sự cố về phần cứng • Xử lý các sự cố về đường truyền thông • Xử lý các thiết đặt về cấu hình
  39. Bài tập thực hành TA I - SC T • Bài 1 Q • Bài 2 • Bài 3
  40. Dịch vụ Proxy - Giải pháp cho việc kết nối mạng dùng riêng ra Internet TA I - SC T Q • Các khái niệm • Triển khai dịch vụ proxy • Các tính năng của phần mềm Microsoft ISA server 2000 • Bài tập thực hành
  41. Các khái niệm TA I - SC T Q • Mô hình client server và một số khả năng ứng dụng • Socket • Phương thức hoạt động và đặc điểm của dịch vụ Proxy • Cache và các phương thức cache
  42. Mô hình client server và một số khả năng ứng dụng TA I - • Mô hình chuẩn cho các ứng dụng trên SC T Q mạng là mô hình client-server. Trong mô hình này máy tính đóng vai trò là một client là máy tính có nhu cầu cần phục vụ dịch vụ và máy tính đóng vai trò là một server là máy tính có thể đáp ứng được các yêu cầu về dịch vụ đó từ các client.
  43. Socket TA I - SC T Q • Một kết nối được định nghĩa như là một liên kết truyền thông giữa các tiến trình, như vậy để xác định một kết nối cần phải xác định các thành phần sau: {Protocol, local-addr, local-process, remote-addr, remote-process}
  44.  QTSC-ITA Phương thức hoạt độngvà điểmdịch vụ đặc Proxy của • • Đặc điểm hoạtthức động Phương
  45. Phương thức hoạt động • Client yêu cầu một đối tượng trên mạng TA I - Internet SC T Q • Proxy server tiếp nhận yêu cầu, kiểm tra tính hợp lệ cũng như thực hiện việc xác thực client nếu thỏa mãn proxy server gửi yêu cầu đối tượng này tới server trên Internet. • Server trên Internet gửi đối tượng yêu cầu về cho proxy server. • Proxy server gửi trả đối tượng về cho client
  46. Đặc điểm • Proxy Server kết nối mạng dùng riêng TA I - với mạng Internet toàn cầu và cũng cho SC T Q phép các máy tính trên mạng internet có thể truy cập các tài nguyên trong mạng dùng riêng. • Ngoài ra proxy server còn có khả năng bảo mật và kiểm soát truy cập Internet của các máy tính trong mạng dùng riêng.
  47. Cache và các phương thức cache TA I - SC T Q • Nhằm tăng cường khả năng truy cập Internet từ các máy tính trạm trong mạng sử dụng dịch vụ proxy ta sử dụng các phương thức cache.
  48. mạng Internet Cache• Proxy và cácserver phương kiểm thức tra xem cache đối (tt) tượng có trong cache hay không. Nếu đối tượng TA I không có trong cache của proxy server - SC T thì proxy server gửi yêu cầu đối tượng Q tới server trên Internet. • Server trên Internet gửi đối tượng yêu cầu về cho proxy server. • Proxy server gĩư bản copy của đối tượng trong cache của nó và trả đối tượng về cho client1 • Client 2 gửi một yêu cầu về đối tượng tương tự • Proxy server gửicho client 2 đối tượng
  49. Triển khai dịch vụ proxy TA I - SC T Q • Các mô hình kết nối mạng • Thiết lập chính sách truy cập và các qui tắc • Proxy client và các phương thức nhận thực • NAT và proxy server
  50. Các mô hình kết nối mạng TA I - SC T Q • Đối tượng phục vụ của proxy server khá rộng, từ mạng văn phòng nhỏ, mạng văn phòng vừa tới mạng của các tập đoàn lớn.
  51. Thiết lập chính sách truy cập và các qui tắc TA I - SC T Q • Các qui tắc • Xử lý các yêu cầu đi • Xử lý các yêu cầu đến
  52. Các qui tắc TA I - SC T Q • Các qui tắc của chính sách truy nhập • Qui tắc băng thông • Các qui tắc về chính sách quảng bá • Đặc tính lọc gói • Qui tắc định tuyến và cấu hình chuỗi proxy (chaining)
  53. Xử lý các yêu cầu đi • Một trong các chức năng chính của TA I - proxy server là khả năng kết nối mạng SC T Q dùng riêng ra Internet trong khi bảo vệ mạng khỏi những nội dung có ác ý. Để thuận tiện cho việc kiểm soát kết nối này, ta dùng proxy server để tạo ra một chính sách truy cập cho phép các client truy cập tới các server trên Internet cụ thể, chính sách truy cập cùng với các qui tắc định tuyến quyết định các client truy cập Internet như thế nào.
  54. Xử lý các yêu cầu đến • Proxy server có thể được thiết lập để các Server bên trong có thể truy cập an TA I - SC toàn đến từ các client ngoài. Ta có thể T Q sử dụng proxy server để thiết lập một chính sách quảng bá an toàn cho các Server trong mạng. Chính sách quảng bá (bao gồm các bộ lọc gói IP, các qui tắc quảng bá Web, hoặc qui tắc quảng bá Server, cùng với các qui tắc định tuyến) sẽ quyết định các Server được quảng bá như thế nào.
  55. Proxy client và các phương thức nhận thực TA I - • Phương pháp nhận thực cơ bản SC T Q • Phương pháp nhận thực Digest. • Phương pháp nhận thực tích hợp. • Chứng thực client và chứng thực server • Nhận thực pass-though • SSL Tunneling • SSL bridging
  56. NAT và proxy server TA I - SC T Q • Khái niệm NAT (Network Addresss Tranlation) • Proxy và NAT
  57. Khái niệm NAT (Network Addresss Tranlation) TA I - SC T • NAT chuyển đổi các địa chỉ IP trên mạng Q dùng riêng thành các địa chỉ IP được đăng ký hợp lệ trước khi chuyển các gói từ mạng dùng riêng tới Internet hoặc tới mạng ngoài khác.
  58. Proxy và NAT TA I - • Dịch vụ proxy cho khả năng thi hành và SC T Q tốc độ cao hơn nhờ tính năng cache • NAT không có tính năng cache. • Dịch vụ proxy phải được triển khai đối với từng ứng dụng, trong khi NAT là một tiến trình trong suốt hơn. Hầu hết các ứng dụng đều có thể làm việc được với NAT. NAT dễ cài đặt và vận hành, dường như không phải làm gì nhiều với NAT sau khi cài đặt.
  59. Các tính năng của phần mềm Microsoft ISA server 2000 TA I - SC T Q • Các phiên bản • Lợi ích • Các chế độ cài đặt • Các tính năng của mỗi chế độ cài đặt
  60.  QTSC-ITA Các phiên phiên bản Các • • ISA server Enterprise Edition Enterprise serverISA Edition Standard serverISA
  61. Lợi ích TA I • Truy cập Web nhanh với cache hiệu - SC T Q suất cao. • Kết nối Internet an toàn nhờ Firewall nhiều lớp • Quản lý thống nhất với sự quản trị tích hợp. • Khả năng mở rộng
  62. Các chế độ cài đặt TA I - SC T Q • Chế độ cache • Chế độ firewall • Chế độ tích hợp
  63.  QTSC-ITA Các tính năng của mỗi chế độ cài đặt chế độ cài mỗi tínhnăngcủa Các
  64.  QTSC-ITA Các tính năng của mỗi chế độ cài đặt chế (tt) độ cài mỗi tínhnăngcủa Các
  65. Bài tập thực hành • Bài 1: TA I - – Các bước cài đặt cơ bản phần mềm ISA SC T Q server 2000. • Bài 2: – Cấu hình ISA Server 2000 cho phép một mạng nội bộ có thể truy cập, sử dụng các dịch vụ cơ bản trên Internet qua 01 modem kết nối qua mạng PSTN • Bài 3: – Thiết đặt các chính sách cho các yêu cầu truy cập và sử dụng các dịch vụ trên mạng internet.
  66.  QTSC-ITA Question &Answer Question
  67. QTSC-ITA