bài 6: kiến thức cơ sở về điều khiển truy cập - giáo trình fpt

Bài 6:Kiến thức cơ sở về điều khiển truy cập

Củng cố lại bài 5

Quản trị một mạng bảo mậtCác giao thức mạng phổ biếnCác nguyên tắc quản trị mạngBảo mật cho các ứng dụng mạng (SV tự đọc)

Bảo mật mạng không dâyTấn công vào mạng không dâyCác điểm yếu trong bảo mật 802.1xCác giải pháp bảo mật mạng không dây

Quản trị một mạng bảo mậtCác giao thức mạng phổ biếnCác nguyên tắc quản trị mạngBảo mật cho các ứng dụng mạng (SV tự đọc)

Bảo mật mạng không dâyTấn công vào mạng không dâyCác điểm yếu trong bảo mật 802.1xCác giải pháp bảo mật mạng không dây

Bài 6 - Kiến thức cơ sở về điều khiển truy cập 2

Mục tiêu của bài học

Định nghĩa điều khiển truy cập và liệt kê bốn mô hình điềukhiển truy cập

Mô tả các phương pháp điều khiển truy cập lô gíc


Giải thích các kiểu điều khiển truy cập vật lý khác nhau

Định nghĩa các dịch vụ xác thực

Giới thiệu

Những cơ sở quan trọng trong lĩnh vực bảo mật thôngtin

Kiểm tra người dùng được chấp thuậnĐiều khiển việc truy cập của họ

Chương này sẽ giới thiệu các nguyên tắc và phươngpháp điều khiển truy cập thực tiễn

Thuật ngữ liên quan tới điều khiển truy cậpBốn mô hình điều khiển truy cập tiêu chuẩnPhương pháp điều khiển truy cập thực tiễn tốt nhất

Chương này cũng đề cập tới các dịch vụ xác thực

Những cơ sở quan trọng trong lĩnh vực bảo mật thôngtin

Kiểm tra người dùng được chấp thuậnĐiều khiển việc truy cập của họ

Chương này sẽ giới thiệu các nguyên tắc và phươngpháp điều khiển truy cập thực tiễn

Thuật ngữ liên quan tới điều khiển truy cậpBốn mô hình điều khiển truy cập tiêu chuẩnPhương pháp điều khiển truy cập thực tiễn tốt nhất

Chương này cũng đề cập tới các dịch vụ xác thực


Điều khiển truy cập là gì?

Cấp phép hoặc từ chối phê duyệt sử dụng các tàinguyên xác địnhCơ chế của hệ thống thông tin cho phép hoặc hạn chếtruy cập đến dữ liệu hoặc các thiết bịBốn mô hình tiêu chuẩnCác phương pháp thực tiễn để thực thi điều khiển truycập

Cấp phép hoặc từ chối phê duyệt sử dụng các tàinguyên xác địnhCơ chế của hệ thống thông tin cho phép hoặc hạn chếtruy cập đến dữ liệu hoặc các thiết bịBốn mô hình tiêu chuẩnCác phương pháp thực tiễn để thực thi điều khiển truycập


Các thuật ngữ vềđiều khiển truy cập (1/2)

Trình diệnXuất trình các ủy quyềnVí dụ: người vận chuyển hàng xuất trình thẻ nhân viên

Xác thựcKiểm tra, xác minh các ủy quyềnVí dụ: kiểm tra thẻ của người vận chuyển hàng

Ủy quyềnCấp quyền để thực hiện hành độngVí dụ: cho phép người vận chuyển hàng được chất kiệnhàng lên xe

Trình diệnXuất trình các ủy quyềnVí dụ: người vận chuyển hàng xuất trình thẻ nhân viên

Xác thựcKiểm tra, xác minh các ủy quyềnVí dụ: kiểm tra thẻ của người vận chuyển hàng

Ủy quyềnCấp quyền để thực hiện hành độngVí dụ: cho phép người vận chuyển hàng được chất kiệnhàng lên xe


Hành động Mô tả Ví dụ tình huống Quá trình trênmáy tính

Nhận diện Xem xét các ủyquyền

Người vận chuyểnhàng xuất trình thẻnhân viên

Người dùng nhậptên đăng nhập

Xác thực Xác minh các ủyquyền có thực sựchính xác hay không

Mia đọc thông tintrên thẻ để xác địnhnhững thông tin đócó thực hay không

Người dùng cungcấp mật khẩu

Các bước điều khiểntruy cập cơ bản


Xác minh các ủyquyền có thực sựchính xác hay không

Mia đọc thông tintrên thẻ để xác địnhnhững thông tin đócó thực hay không

Người dùng cungcấp mật khẩu

Ủy quyền Cấp quyền cho phép Mia mở cửa chophép người vậnchuyển hàng đi vào

Người dùng đăngnhập hợp lệ

Truy cập Quyền được phéptruy cập tới các tàinguyên xác định

Người vận chuyểnhàng chỉ có thể lấycác hộp ở cạnh cửa

Người dùng đượcphép truy cập tớicác dữ liệu cụ thể

Các thuật ngữ liên quan tớiđiều khiển truy cập (2/2)

Đối tượngTài nguyên cụ thểVí dụ: file hoặc thiết bị phần cứng

Chủ thểNgười dùng hoặc quá trình hoạt động đại diện cho mộtngười dùngVí dụ: người dùng máy tính

Thao tácHành động do chủ thể gây ra đối với một đối tượngVí dụ: xóa một file

Đối tượngTài nguyên cụ thểVí dụ: file hoặc thiết bị phần cứng

Chủ thểNgười dùng hoặc quá trình hoạt động đại diện cho mộtngười dùngVí dụ: người dùng máy tính

Thao tácHành động do chủ thể gây ra đối với một đối tượngVí dụ: xóa một file


Vai trò Mô tả Trách nhiệm Ví dụ

Chủ sở hữu Người chịu tráchnhiệm về thông tin

Xác định mức bảomật cần thiết đối vớidữ liệu và giao phócác nhiệm vụ bảomật khi cần.

Xác định rằng chỉnhững người quảnlý của cơ quan mớicó thể đọc đượcfile SALARY.XLSX

Người giámsát

Cá nhân mà mọihành động thườngngày của anh ta dochủ sở hữu quy định

Thường xuyên ràsoát các thiết lậpbảo mật và duy trìcác bản ghi truy cậpcủa người dùng

Thiết lập và rà soátcác thiết lập bảomật cho fileSALARY.XLSX

Các vai trò trongđiều khiển truy cập


Người giámsát

Cá nhân mà mọihành động thườngngày của anh ta dochủ sở hữu quy định

Thường xuyên ràsoát các thiết lậpbảo mật và duy trìcác bản ghi truy cậpcủa người dùng

Thiết lập và rà soátcác thiết lập bảomật cho fileSALARY.XLSX

Người dùng Người truy cậpthông tin trongphạm vi trách nhiệmđược giao phó

Tuân thủ đúng cácchỉ dẫn bảo mật củatổ chức và khôngđược cố ý vi phạmbảo mật

Mở fileSALARY.XSLX

Quá trình điều khiển truy cậpvà các thuật ngữ liên quan


Các mô hình điềukhiển truy cập (1/2)

Các tiêu chuẩn cung cấp nền tảng cơ sở (framework)được định trước cho các nhà phát triển phần cứng hoặcphần mềmĐược sử dụng để thực thi điều khiển truy cập trong thiếtbị hoặc ứng dụngNgười giám sát có thể cấu hình bảo mật dựa trên yêucầu của chủ sở hữu

Các tiêu chuẩn cung cấp nền tảng cơ sở (framework)được định trước cho các nhà phát triển phần cứng hoặcphần mềmĐược sử dụng để thực thi điều khiển truy cập trong thiếtbị hoặc ứng dụngNgười giám sát có thể cấu hình bảo mật dựa trên yêucầu của chủ sở hữu


Các mô hình điềukhiển truy cập (2/2)

Bốn mô hình điều khiển truy cập chínhĐiều khiển truy cập bắt buộc(Mandatory Access Control - MAC)Điều khiển truy cập tùy ý(Discretionary Access Control - DAC)Điều khiển truy cập dựa trên vai trò(Role Based Access Control - RBAC)Điều khiển truy cập dựa trên quy tắc(Rule Based Access Control - RBAC)

Bốn mô hình điều khiển truy cập chínhĐiều khiển truy cập bắt buộc(Mandatory Access Control - MAC)Điều khiển truy cập tùy ý(Discretionary Access Control - DAC)Điều khiển truy cập dựa trên vai trò(Role Based Access Control - RBAC)Điều khiển truy cập dựa trên quy tắc(Rule Based Access Control - RBAC)


Điều khiển truy cập bắt buộc- MAC (1/4)

Điều khiển truy cập bắt buộc(Mandatory Access Control - MAC)

Là mô hình điều khiển truy cập nghiêm ngặt nhấtThường bắt gặp trong các thiết lập của quân độiHai thành phần: Nhãn và Cấp độ

Mô hình MAC cấp quyền bằng cách đối chiếu nhãn củađối tượng với nhãn của chủ thể

Nhãn cho biết cấp độ quyền hạnĐể xác định có mở một file hay không:

So sánh nhãn của đối tượng với nhãn của chủ thểChủ thể phải có cấp độ tương đương hoặc cao hơn:đối tượng được cấp phép truy cập

Điều khiển truy cập bắt buộc(Mandatory Access Control - MAC)

Là mô hình điều khiển truy cập nghiêm ngặt nhấtThường bắt gặp trong các thiết lập của quân độiHai thành phần: Nhãn và Cấp độ

Mô hình MAC cấp quyền bằng cách đối chiếu nhãn củađối tượng với nhãn của chủ thể

Nhãn cho biết cấp độ quyền hạnĐể xác định có mở một file hay không:

So sánh nhãn của đối tượng với nhãn của chủ thểChủ thể phải có cấp độ tương đương hoặc cao hơn:đối tượng được cấp phép truy cập



Hai mô hình thực thi của MACMô hình mạng lưới (Lattice model)Mô hình Bell-LaPadula

Mô hình mạng lướiCác chủ thể và đối tượng được gán một “cấp bậc” trongmạng lướiNhiều mạng lưới có thể được đặt cạnh nhau

Mô hình Bell-LaPadulaTương tự mô hình mạng lướiCác chủ thể không thể tạo một đối tượng mới hay thựchiện một số chức năng nhất định đối với các đối tượng cócấp thấp hơn

Hai mô hình thực thi của MACMô hình mạng lưới (Lattice model)Mô hình Bell-LaPadula

Mô hình mạng lướiCác chủ thể và đối tượng được gán một “cấp bậc” trongmạng lướiNhiều mạng lưới có thể được đặt cạnh nhau

Mô hình Bell-LaPadulaTương tự mô hình mạng lướiCác chủ thể không thể tạo một đối tượng mới hay thựchiện một số chức năng nhất định đối với các đối tượng cócấp thấp hơn



Ví dụ về việc thực thi mô hình MACWindows 7/Vista có bốn cấp bảo mậtCác thao tác cụ thể của một chủ thể đối với phân hạngthấp hơn phải được sự phê duyệt của quản trị viên

Hộp thoại User Account Control (UAC) trong Windows


Điều khiển truy cậptùy ý (DAC) (1/3)

Điều khiển truy cập tùy ý (DAC)Mô hình ít hạn chế nhấtMọi đối tượng đều có một chủ sở hữuChủ sở hữu có toàn quyền điều khiển đối với đối tượngcủa họChủ sở hữu có thể cấp quyền đối với đối tượng của mìnhcho một chủ thể khácĐược sử dụng trên các hệ điều hành như MicrosoftWindows và hầu hết các hệ điều hành UNIX

Điều khiển truy cập tùy ý (DAC)Mô hình ít hạn chế nhấtMọi đối tượng đều có một chủ sở hữuChủ sở hữu có toàn quyền điều khiển đối với đối tượngcủa họChủ sở hữu có thể cấp quyền đối với đối tượng của mìnhcho một chủ thể khácĐược sử dụng trên các hệ điều hành như MicrosoftWindows và hầu hết các hệ điều hành UNIX



Nhược điểm của DACPhụ thuộc vào quyết định của người dùng để thiết lập cấpđộ bảo mật phù hợp

Việc cấp quyền có thể không chính xácQuyền của chủ thể sẽ được “thừa kế” bởi các chương trìnhmà chủ thể thực thiTrojan là một vấn đề đặc biệt của DAC

Nhược điểm của DACPhụ thuộc vào quyết định của người dùng để thiết lập cấpđộ bảo mật phù hợp

Việc cấp quyền có thể không chính xácQuyền của chủ thể sẽ được “thừa kế” bởi các chương trìnhmà chủ thể thực thiTrojan là một vấn đề đặc biệt của DAC


Điều khiển truy cậpdựa trên vai trò (RBAC)

Điều khiển truy cập dựa trên vai trò(Role Based Access Control – RBAC)

Còn được gọi là Điều khiển Truy cập không tùy ýQuyền truy cập dựa trên chức năng công việc

RBAC gán các quyền cho các vai trò cụ thể trong tổ chứcCác vai trò sau đó được gán cho người dùng

Điều khiển truy cập dựa trên vai trò(Role Based Access Control – RBAC)

Còn được gọi là Điều khiển Truy cập không tùy ýQuyền truy cập dựa trên chức năng công việc

RBAC gán các quyền cho các vai trò cụ thể trong tổ chứcCác vai trò sau đó được gán cho người dùng


Điều khiển truy cậpdựa trên quy tắc (RBAC)

Điều khiển truy cập dựa trên quy tắc(Rule Based Access Control - RBAC)

Tự động gán vai trò cho các chủ thể dựa trên một tập quytắc do người giám sát xác địnhMỗi đối tượng tài nguyên chứa các thuộc tính truy cập dựatrên quy tắcKhi người dùng truy cập tới tài nguyên, hệ thống sẽ kiểmtra các quy tắc của đối tượng để xác định quyền truy cậpThường được sử dụng để quản lý truy cập người dùng tớimột hoặc nhiều hệ thống

Những thay đổi trong doanh nghiệp có thể làm cho việc ápdụng các quy tắc thay đổi

Điều khiển truy cập dựa trên quy tắc(Rule Based Access Control - RBAC)

Tự động gán vai trò cho các chủ thể dựa trên một tập quytắc do người giám sát xác địnhMỗi đối tượng tài nguyên chứa các thuộc tính truy cập dựatrên quy tắcKhi người dùng truy cập tới tài nguyên, hệ thống sẽ kiểmtra các quy tắc của đối tượng để xác định quyền truy cậpThường được sử dụng để quản lý truy cập người dùng tớimột hoặc nhiều hệ thống

Những thay đổi trong doanh nghiệp có thể làm cho việc ápdụng các quy tắc thay đổi


Tên Hạn chế Mô tả

Điều khiển truy cập bắtbuộc (MAC)

Người dùng không thểthiết lập điều khiển

Là mô hình nghiêm ngặtnhất

Điều khiển truy cập tùy ý(DAC)

Chủ thể có toàn quyềnđối với các đối tượng

Là mô hình cởi mở nhất

Tóm tắt các mô hìnhđiều khiển truy cập


Điều khiển truy cập dựatrên vai trò (RBAC)

Gán quyền cho các vaitrò cụ thể trong tổ chức,sau đó người dùng sẽđược chỉ định vai trò

Được coi là phương phápthực tế hơn

Điều khiển truy cập dựatrên quy tắc (RBAC)

Tự động gán vai trò chocác chủ thể dựa trên tậpcác quy tắc do ngườigiám sát qui định

Được sử dụng để quản lýtruy cập người dùng tớimột hoặc nhiều hệ thống

Các bài thực hành tốt nhấtđối với điều khiển truy cập

Thiết lập các thủ tục tối ưu để hạn chế truy cậpCó thể giúp đảm bảo an toàn cho hệ thống và dữ liệu

Các ví dụ về phương pháp tối ưuTách nhiệm vụ (separation of duties)Luân chuyển công việc (job rotation)Đặc quyền tối thiểu (least privilege)Từ chối ngầm định (implicit deny)Các ngày nghỉ lễ bắt buộc (mandatory vacation)

Thiết lập các thủ tục tối ưu để hạn chế truy cậpCó thể giúp đảm bảo an toàn cho hệ thống và dữ liệu

Các ví dụ về phương pháp tối ưuTách nhiệm vụ (separation of duties)Luân chuyển công việc (job rotation)Đặc quyền tối thiểu (least privilege)Từ chối ngầm định (implicit deny)Các ngày nghỉ lễ bắt buộc (mandatory vacation)


Tách nhiệm vụ

Hành vi gian lận có thể bắt nguồn từ việc tin cậy vàomột cá nhân và cho phép họ toàn quyền điều khiển mộtquá trìnhYêu cầu phải có ít nhất hai người chịu trách nhiệm chocác hoạt động liên quan tới quản lý tiềnGiúp hệ thống không bị xâm hại do hành vi của một cánhân đơn lẻ

Hành vi gian lận có thể bắt nguồn từ việc tin cậy vàomột cá nhân và cho phép họ toàn quyền điều khiển mộtquá trìnhYêu cầu phải có ít nhất hai người chịu trách nhiệm chocác hoạt động liên quan tới quản lý tiềnGiúp hệ thống không bị xâm hại do hành vi của một cánhân đơn lẻ


Luân chuyển công việc

Luân chuyển công việcLuân chuyển trách nhiệm công việc của các cá nhân theođịnh kỳCác nhân viên có thể được thuyên chuyển công việc ngaytrong phòng ban của họ hoặc giữa các phòng ban với nhau

Ưu điểm của việc luân chuyển công việcHạn chế thời gian tại vị của các cá nhân để họ không thểthao túng các cấu hình bảo mậtGiúp vạch trần các con đường tiềm ẩn dẫn đến gian lận

Mỗi cá nhân có một quan điểm khác nhau và điều đó có thểgiúp phát hiện ra các lỗ hổng

Giảm bớt căng thẳng mệt mỏi cho nhân viên

Luân chuyển công việcLuân chuyển trách nhiệm công việc của các cá nhân theođịnh kỳCác nhân viên có thể được thuyên chuyển công việc ngaytrong phòng ban của họ hoặc giữa các phòng ban với nhau

Ưu điểm của việc luân chuyển công việcHạn chế thời gian tại vị của các cá nhân để họ không thểthao túng các cấu hình bảo mậtGiúp vạch trần các con đường tiềm ẩn dẫn đến gian lận

Mỗi cá nhân có một quan điểm khác nhau và điều đó có thểgiúp phát hiện ra các lỗ hổng

Giảm bớt căng thẳng mệt mỏi cho nhân viên


Ưu tiên ít nhất

Giới hạn truy cập tới thông tin dựa trên nguyên tắc chỉđược biết những gì phục vụ cho công việcGiúp giảm thiểu bề mặt tấn công thông qua việc loại bỏcác đặc quyền không cần thiếtNên áp dụng cho người dùng và tiến trình trên hệthốngCác tiến trình nên hoạt động ở cấp độ bảo mật tối thiểucần thiết để hoạt động chính xácCám dỗ gán các mức ưu tiên cao hơn cũng rất lớn

Giới hạn truy cập tới thông tin dựa trên nguyên tắc chỉđược biết những gì phục vụ cho công việcGiúp giảm thiểu bề mặt tấn công thông qua việc loại bỏcác đặc quyền không cần thiếtNên áp dụng cho người dùng và tiến trình trên hệthốngCác tiến trình nên hoạt động ở cấp độ bảo mật tối thiểucần thiết để hoạt động chính xácCám dỗ gán các mức ưu tiên cao hơn cũng rất lớn

25Kiến thức cơ sở về điều khiển truy cập

Thử thách Giải thích

Các ứng dụng kế thừa Nhiều ứng dụng được phát triển trong nội bộ tổchức và không còn được bảo trì hoặc là ứng dụngcủa một bên thứ ba không còn được hỗ trợ. Việcxây dựng lại các ứng dụng này có thể mất chi phílớn; một cách thay thế là chạy các ứng dụng đó trênmột môi trường ảo

Những thử thách củaphương pháp ưu tiên ít nhất

26

Nhiều ứng dụng được phát triển trong nội bộ tổchức và không còn được bảo trì hoặc là ứng dụngcủa một bên thứ ba không còn được hỗ trợ. Việcxây dựng lại các ứng dụng này có thể mất chi phílớn; một cách thay thế là chạy các ứng dụng đó trênmột môi trường ảo

Các nhiệm vụ quản trịchung

Những công việc quản trị hệ thống cơ bản đượcthực hiện bởi người dùng; nếu không có đặc quyềncao, người dùng phải liên hệ với trợ lý kỹ thuật đểthực hiện những nhiệm vụ này

Cài đặt/Nâng cấp phầnmềm

Việc cập nhật phần mềm không được triển khai tậptrung có thể đòi hỏi đặc quyền cao, nghĩa là cần tớisự hỗ trợ từ trợ lý kỹ thuật; điều này thường dẫn tớilàm giảm năng suất và tăng chi phí hỗ trợ

Bài 6 - Kiến thức cơ sở về điều khiển truy cập

Từ chối ngầm

Nếu một điều kiện không đáp ứng rõ ràng, yêu cầu truycập sẽ bị từ chốiVí dụ: bộ định tuyến mạng từ chối các truy cập ngoại trừkhi điều kiện phù hợp với các quy tắc giới hạn

Nếu một điều kiện không đáp ứng rõ ràng, yêu cầu truycập sẽ bị từ chốiVí dụ: bộ định tuyến mạng từ chối các truy cập ngoại trừkhi điều kiện phù hợp với các quy tắc giới hạn

27Bài 6 - Kiến thức cơ sở về điều khiển truy cập

Các kỳ nghỉ bắt buộc

Hạn chế gian lận vì thủ phạm phải có mặt hàng ngày đểche dấu hành vi gian lận của mìnhLên kế hoạch kiểm tra hành vi của nhân viên giữ chứcvụ nhạy cảm trong suốt thời gian nghỉ

Hạn chế gian lận vì thủ phạm phải có mặt hàng ngày đểche dấu hành vi gian lận của mìnhLên kế hoạch kiểm tra hành vi của nhân viên giữ chứcvụ nhạy cảm trong suốt thời gian nghỉ


Thực thi điều khiển truy cập

Danh sách điều khiển truy cập(Access Control List - ACL)Chính sách nhóm (Group Policy)Giới hạn tài khoản

Danh sách điều khiển truy cập(Access Control List - ACL)Chính sách nhóm (Group Policy)Giới hạn tài khoản


Danh sách điềukhiển truy cập (1/2)

Tập các quyền gắn với một đối tượngXác định chủ thể nào có thể truy cập tới đối tượng vàcác thao tác nào mà chủ thể có thể thực hiệnKhi chủ thể yêu cầu thực hiện một thao tác:

Hệ thống kiểm tra danh sách điều khiển truy cập đối vớimục đã được duyệt

Danh sách điều khiển truy cập thường được xem xéttrong mối liên hệ với các file của hệ điều hành

Tập các quyền gắn với một đối tượngXác định chủ thể nào có thể truy cập tới đối tượng vàcác thao tác nào mà chủ thể có thể thực hiệnKhi chủ thể yêu cầu thực hiện một thao tác:

Hệ thống kiểm tra danh sách điều khiển truy cập đối vớimục đã được duyệt

Danh sách điều khiển truy cập thường được xem xéttrong mối liên hệ với các file của hệ điều hành


File chứa các quyềntruy cập trong UNIX


Danh sách điềukhiển truy cập (2/2)

Mỗi một mục trong bảng danh sách điều khiển truy cậpđược gọi là một mục điều khiển (ACE)Cấu trúc ACE (trong Windows)

Nhận dạng bảo mật (Access identifier) cho tài khoản ngườidùng hoặc tài khoản nhóm hoặc phiên đăng nhậpMặt nạ truy cập (access mask) xác định quyền truy cập doACE điều khiểnCờ (Flag) cho biết kiểu của ACETập các cờ (Set of flags) xác định đối tượng có thể kế thừacác quyền hay không

Mỗi một mục trong bảng danh sách điều khiển truy cậpđược gọi là một mục điều khiển (ACE)Cấu trúc ACE (trong Windows)

Nhận dạng bảo mật (Access identifier) cho tài khoản ngườidùng hoặc tài khoản nhóm hoặc phiên đăng nhậpMặt nạ truy cập (access mask) xác định quyền truy cập doACE điều khiểnCờ (Flag) cho biết kiểu của ACETập các cờ (Set of flags) xác định đối tượng có thể kế thừacác quyền hay không


Chính sách nhóm

Tính năng của Microsoft WindowsCho phép sử dụng Active Directory (AD) để quản lý vàcấu hình tập trung cho các máy tính và người dùng từ xaThường được sử dụng trong các môi trường doanhnghiệpCác thiết lập được lưu trữ trong các GPO (Group PolicyObjects – Đối tượng chính sách nhóm)

Local Group PolicyCó ít tùy chọn hơn so với Group PolicyĐược sử dụng để cấu hình các thiết lập cho các hệ thốngkhông phải là một phần của AD

Tính năng của Microsoft WindowsCho phép sử dụng Active Directory (AD) để quản lý vàcấu hình tập trung cho các máy tính và người dùng từ xaThường được sử dụng trong các môi trường doanhnghiệpCác thiết lập được lưu trữ trong các GPO (Group PolicyObjects – Đối tượng chính sách nhóm)

Local Group PolicyCó ít tùy chọn hơn so với Group PolicyĐược sử dụng để cấu hình các thiết lập cho các hệ thốngkhông phải là một phần của AD


Giới hạn tài khoản (1/3)

Giới hạn thời gian trong ngày (time of day restriction)Giới hạn số lần người dùng đăng nhập vào hệ thốngtrong một ngàyCho phép chọn khối thời gian chặn đối với các truy cậpđược cho phépCó thể được thiết lập trên từng hệ thống riêng lẻ

Hạn sử dụng tài khoản (account expiration)Các tài khoản “mồ côi” (orphaned account): tài khoảnvẫn còn hoạt động sau khi một nhân viên rời khỏi tổ chứcTài khoản không hoạt động (dormant account): khôngtruy cập trong một khoảng thời gian dàiCả hai kiểu tài khoản trên là những nguy cơ đối với bảomật

Giới hạn thời gian trong ngày (time of day restriction)Giới hạn số lần người dùng đăng nhập vào hệ thốngtrong một ngàyCho phép chọn khối thời gian chặn đối với các truy cậpđược cho phépCó thể được thiết lập trên từng hệ thống riêng lẻ

Hạn sử dụng tài khoản (account expiration)Các tài khoản “mồ côi” (orphaned account): tài khoảnvẫn còn hoạt động sau khi một nhân viên rời khỏi tổ chứcTài khoản không hoạt động (dormant account): khôngtruy cập trong một khoảng thời gian dàiCả hai kiểu tài khoản trên là những nguy cơ đối với bảomật


Giới hạn thời gian trongngày của hệ điều hành


Giới hạn đối với điểmtruy cập không dây



Các khuyến cáo xử lý đối với tài khoản “mồ côi” và tàikhoản “ngủ đông”

Thiết lập một qui trình chính thứcChấm dứt truy cập ngay lập tứcQuản lý nhật ký (file log)

Các tài khoản “mồ côi” vẫn là một vấn đề nan giải đốicác tổ chức hiện nayAccount expiration (thời gian hiệu lực của tài khoản)

Thiết lập hết hạn cho một tài khoản người dùng (hết hiệulực)

Các khuyến cáo xử lý đối với tài khoản “mồ côi” và tàikhoản “ngủ đông”

Thiết lập một qui trình chính thứcChấm dứt truy cập ngay lập tứcQuản lý nhật ký (file log)

Các tài khoản “mồ côi” vẫn là một vấn đề nan giải đốicác tổ chức hiện nayAccount expiration (thời gian hiệu lực của tài khoản)

Thiết lập hết hạn cho một tài khoản người dùng (hết hiệulực)



Password expiration (thời gian hiệu lực của mật khẩu)thiết lập khoảng thời gian mà người dùng phải thay đổimột mật khẩu mới

Khác với account expiration (thời gian hiệu lực của tàikhoản)

Account expiration có thể được thiết lập bằng số ngàymà người dùng không có bất cứ hành động truy cập nào

Password expiration (thời gian hiệu lực của mật khẩu)thiết lập khoảng thời gian mà người dùng phải thay đổimột mật khẩu mới

Khác với account expiration (thời gian hiệu lực của tàikhoản)

Account expiration có thể được thiết lập bằng số ngàymà người dùng không có bất cứ hành động truy cập nào


Các dịch vụ xác thực

Xác thực (Authentication)Quá trình xác minh thông tin

Các dịch vụ xác thực được cung cấp trên một mạngMáy chủ xác thực chuyên dụng

Còn gọi là máy chủ AAA nếu nó thực hiện đồng thời cảnhiệm vụ ủy quyền (authorization) và kế toán (accounting)

Các kiểu xác thực và máy chủ AAA thông dụngRADIUSKerberosTACACSLDAP

Xác thực (Authentication)Quá trình xác minh thông tin

Các dịch vụ xác thực được cung cấp trên một mạngMáy chủ xác thực chuyên dụng

Còn gọi là máy chủ AAA nếu nó thực hiện đồng thời cảnhiệm vụ ủy quyền (authorization) và kế toán (accounting)

Các kiểu xác thực và máy chủ AAA thông dụngRADIUSKerberosTACACSLDAP


RADIUS (1/2)

RADIUS (Remote Authentication Dial In User Service -Bộ quay số xác thực từ xa trong dịch vụ người dùng)

Được giới thiệu vào năm 1992Trở thành một tiêu chuẩn công nghiệpPhù hợp cho các ứng dụng kiểm soát dịch vụ cỡ lớn

Ví dụ như truy cập quay số tới mạng doanh nghiệpHiện nay xẫn đang được sử dụng

RADIUS clientThường là một thiết bị như điểm truy cập không dây (AP)

Có nhiệm vụ gửi các thông tin về người dùng cùng với cáctham số kết nối tới máy chủ RADIUS

RADIUS (Remote Authentication Dial In User Service -Bộ quay số xác thực từ xa trong dịch vụ người dùng)

Được giới thiệu vào năm 1992Trở thành một tiêu chuẩn công nghiệpPhù hợp cho các ứng dụng kiểm soát dịch vụ cỡ lớn

Ví dụ như truy cập quay số tới mạng doanh nghiệpHiện nay xẫn đang được sử dụng

RADIUS clientThường là một thiết bị như điểm truy cập không dây (AP)

Có nhiệm vụ gửi các thông tin về người dùng cùng với cáctham số kết nối tới máy chủ RADIUS


Xác thực RADIUS


RADIUS (2/2)

Hồ sơ người dùng RADIUS được lưu trữ trong cơ sở dữliệu trung tâm

Tất cả các máy chủ từ xa đều có thể chia sẻ thông tinƯu điểm của dịch vụ trung tâm

Tăng cường bảo mật do chỉ có duy nhất một điểm quản lýtrên mạngDễ dàng theo dõi và truy vết việc sử dụng để thanh toánvà lưu giữ các số liệu thống kê mạng

Hồ sơ người dùng RADIUS được lưu trữ trong cơ sở dữliệu trung tâm

Tất cả các máy chủ từ xa đều có thể chia sẻ thông tinƯu điểm của dịch vụ trung tâm

Tăng cường bảo mật do chỉ có duy nhất một điểm quản lýtrên mạngDễ dàng theo dõi và truy vết việc sử dụng để thanh toánvà lưu giữ các số liệu thống kê mạng


Kerberos

Hệ thống xác thực được phát triển tại MITSử dụng mã hóa và xác thực để đảm bảo tính bảo mật

Thường được sử dụng cài đặt trong các thiết lập giáodục và chính phủHoạt động giống như việc sử dụng giấy phép lái xe đểthanh toán séc.Vé Kerberos

Chứa các thông tin liên quan tới người dùngNgười dùng trình diện vé vào mạng cho một dịch vụRất khó để sao chépHết hiệu lực sau một vài giờ hoặc sau một ngày

Hệ thống xác thực được phát triển tại MITSử dụng mã hóa và xác thực để đảm bảo tính bảo mật

Thường được sử dụng cài đặt trong các thiết lập giáodục và chính phủHoạt động giống như việc sử dụng giấy phép lái xe đểthanh toán séc.Vé Kerberos

Chứa các thông tin liên quan tới người dùngNgười dùng trình diện vé vào mạng cho một dịch vụRất khó để sao chépHết hiệu lực sau một vài giờ hoặc sau một ngày


TACACS

TACACS (Terminal Access Control Access ControlSystems - Hệ thống điều khiển truy cập điều khiển truycập thiết bị đầu cuối)Dịch vụ xác thực tương tự như RADIUSDo Cisco Systems phát triểnThường được sử dụng trên các thiết bị UNIXGiao tiếp bằng cách chuyển tiếp thông tin xác thựcngười dùng tới một máy chủ trung tâmPhiên bản hiện tại là TACACS+.

TACACS (Terminal Access Control Access ControlSystems - Hệ thống điều khiển truy cập điều khiển truycập thiết bị đầu cuối)Dịch vụ xác thực tương tự như RADIUSDo Cisco Systems phát triểnThường được sử dụng trên các thiết bị UNIXGiao tiếp bằng cách chuyển tiếp thông tin xác thựcngười dùng tới một máy chủ trung tâmPhiên bản hiện tại là TACACS+.


So sánh giữa RADIUSvà TACACS+


LDAP (1/2)

LDAP (Lightweight Directory Access Control - Giao thứctruy cập thư mục hạng nhẹ)Dịch vụ thư mục

Cơ sở dữ liệu được lưu trên mạngChứa các thông tin về người dùng và các thiết bị mạngLưu vết theo dõi các tài nguyên mạng và đặc quyền củangười dùng đối với những tài nguyên đóCho phép hoặc từ chối truy cập dựa trên thông tin lưu trữ

Tiêu chuẩn cho các dịch vụ thư mụcX.500

DAP (Directory Access Protocol - Giao thức truy cập thưmục )

LDAP (Lightweight Directory Access Control - Giao thứctruy cập thư mục hạng nhẹ)Dịch vụ thư mục

Cơ sở dữ liệu được lưu trên mạngChứa các thông tin về người dùng và các thiết bị mạngLưu vết theo dõi các tài nguyên mạng và đặc quyền củangười dùng đối với những tài nguyên đóCho phép hoặc từ chối truy cập dựa trên thông tin lưu trữ

Tiêu chuẩn cho các dịch vụ thư mụcX.500

DAP (Directory Access Protocol - Giao thức truy cập thưmục )


LDAP (2/2)

LDAPMột tập con đơn giản hơn của DAPĐược thiết kế để hoạt động trên bộ giao thức TCP/IPCó các chức năng đơn giản hơnMã hóa các thành phần giao thức theo cách đơn giản hơnso với X.500Là một giao thức mở

Nhược điểm của LDAPCó thể là mục tiêu của tấn công tiêm nhiễm LDAP

Tương tự như tấn công tiêm nhiễm SQLXảy ra khi dữ liệu do người dùng cung cấp không được lọcđúng cách

LDAPMột tập con đơn giản hơn của DAPĐược thiết kế để hoạt động trên bộ giao thức TCP/IPCó các chức năng đơn giản hơnMã hóa các thành phần giao thức theo cách đơn giản hơnso với X.500Là một giao thức mở

Nhược điểm của LDAPCó thể là mục tiêu của tấn công tiêm nhiễm LDAP

Tương tự như tấn công tiêm nhiễm SQLXảy ra khi dữ liệu do người dùng cung cấp không được lọcđúng cách


Tổng kết (1/2)

Điều khiển truy cập là quá trình trong đó các tài nguyêncó thể bị từ chối hoặc được cấp phép truy cậpCó bốn mô hình điều khiển truy cập chínhCác bài thực hành tốt nhất để thực thi điều khiển truycập bao gồm

Tách nhiệm vụLuân chuyển công việcƯu tiên ít nhấtTừ chối ngầmKỳ nghỉ bắt buộc

Điều khiển truy cập là quá trình trong đó các tài nguyêncó thể bị từ chối hoặc được cấp phép truy cậpCó bốn mô hình điều khiển truy cập chínhCác bài thực hành tốt nhất để thực thi điều khiển truycập bao gồm

Tách nhiệm vụLuân chuyển công việcƯu tiên ít nhấtTừ chối ngầmKỳ nghỉ bắt buộc


Tổng kết (2/2)

Thực thi các phương pháp điều khiển truy cập bao gồmDanh sách điều khiển truy cậpChính sách nhómGiới hạn tài khoản

Các dịch vụ xác thực có thể được server AAA chuyên biệthoặc server xác thực cung cấp trên mạng

RADIUSKerberosTACACSLDAP

Thực thi các phương pháp điều khiển truy cập bao gồmDanh sách điều khiển truy cậpChính sách nhómGiới hạn tài khoản

Các dịch vụ xác thực có thể được server AAA chuyên biệthoặc server xác thực cung cấp trên mạng

RADIUSKerberosTACACSLDAP


bài 6: kiến thức cơ sở về điều khiển truy cập - giáo trình fpt

Documents