Bài 6: Kiến thức sở điều khiển truy cập Củng cố lại Quản trị mạng bảo mật Các giao thức mạng phổ biến Các nguyên tắc quản trị mạng Bảo mật cho ứng dụng mạng (SV tự đọc) Bảo mật mạng không dây Tấn công vào mạng không dây Các điểm yếu bảo mật 802.1x Các giải pháp bảo mật mạng không dây Bài - Kiến thức sở điều khiển truy cập Mục tiêu học Định nghĩa điều khiển truy cập liệt kê bốn mơ hình điều khiển truy cập Mô tả phương pháp điều khiển truy cập lơ gíc Giải thích kiểu điều khiển truy cập vật lý khác Định nghĩa dịch vụ xác thực Bài - Kiến thức sở điều khiển truy cập Giới thiệu Những sở quan trọng lĩnh vực bảo mật thông tin Kiểm tra người dùng chấp thuận Điều khiển việc truy cập họ Chương giới thiệu nguyên tắc phương pháp điều khiển truy cập thực tiễn Thuật ngữ liên quan tới điều khiển truy cập Bốn mơ hình điều khiển truy cập tiêu chuẩn Phương pháp điều khiển truy cập thực tiễn tốt Chương đề cập tới dịch vụ xác thực Bài - Kiến thức sở điều khiển truy cập Điều khiển truy cập gì? Cấp phép từ chối phê duyệt sử dụng tài nguyên xác định Cơ chế hệ thống thông tin cho phép hạn chế truy cập đến liệu thiết bị Bốn mơ hình tiêu chuẩn Các phương pháp thực tiễn để thực thi điều khiển truy cập Bài - Kiến thức sở điều khiển truy cập Các thuật ngữ điều khiển truy cập (1/2) Trình diện Xuất trình ủy quyền Ví dụ: người vận chuyển hàng xuất trình thẻ nhân viên Xác thực Kiểm tra, xác minh ủy quyền Ví dụ: kiểm tra thẻ người vận chuyển hàng Ủy quyền Cấp quyền để thực hành động Ví dụ: cho phép người vận chuyển hàng chất kiện hàng lên xe Bài - Kiến thức sở điều khiển truy cập Các bước điều khiển truy cập Hành động Mơ tả Ví dụ tình Q trình máy tính Nhận diện Xem xét ủy quyền Người vận chuyển hàng xuất trình thẻ nhân viên Người dùng nhập tên đăng nhập Xác thực Xác minh ủy Mia đọc thông tin Người dùng cung quyền có thực thẻ để xác định cấp mật xác hay khơng thơng tin có thực hay khơng Ủy quyền Cấp quyền cho phép Mia mở cửa cho phép người vận chuyển hàng vào Người dùng đăng nhập hợp lệ Truy cập Quyền phép truy cập tới tài nguyên xác định Người dùng phép truy cập tới liệu cụ thể Bài - Kiến thức sở điều khiển truy cập Người vận chuyển hàng lấy hộp cạnh cửa Các thuật ngữ liên quan tới điều khiển truy cập (2/2) Đối tượng Tài nguyên cụ thể Ví dụ: file thiết bị phần cứng Chủ thể Người dùng trình hoạt động đại diện cho người dùng Ví dụ: người dùng máy tính Thao tác Hành động chủ thể gây đối tượng Ví dụ: xóa file Bài - Kiến thức sở điều khiển truy cập Các vai trị điều khiển truy cập Vai trị Mơ tả Trách nhiệm Ví dụ Chủ sở hữu Người chịu trách nhiệm thông tin Xác định mức bảo mật cần thiết liệu giao phó nhiệm vụ bảo mật cần Xác định người quản lý quan đọc file SALARY.XLSX Người giám sát Cá nhân mà hành động thường ngày chủ sở hữu quy định Thường xuyên rà soát thiết lập bảo mật trì ghi truy cập người dùng Thiết lập rà soát thiết lập bảo mật cho file SALARY.XLSX Người dùng Người truy cập thông tin phạm vi trách nhiệm giao phó Tuân thủ dẫn bảo mật tổ chức không cố ý vi phạm bảo mật Mở file SALARY.XSLX Bài - Kiến thức sở điều khiển truy cập Quá trình điều khiển truy cập thuật ngữ liên quan Bài - Kiến thức sở điều khiển truy cập 10 Giới hạn thời gian ngày hệ điều hành Bài - Kiến thức sở điều khiển truy cập 35 Giới hạn điểm truy cập không dây Bài - Kiến thức sở điều khiển truy cập 36 Giới hạn tài khoản (2/3) Các khuyến cáo xử lý tài khoản “mồ côi” tài khoản “ngủ đông” Thiết lập qui trình thức Chấm dứt truy cập Quản lý nhật ký (file log) Các tài khoản “mồ côi” vấn đề nan giải đối tổ chức Account expiration (thời gian hiệu lực tài khoản) Thiết lập hết hạn cho tài khoản người dùng (hết hiệu lực) Bài - Kiến thức sở điều khiển truy cập 37 Giới hạn tài khoản (3/3) Password expiration (thời gian hiệu lực mật khẩu) thiết lập khoảng thời gian mà người dùng phải thay đổi mật Khác với account expiration (thời gian hiệu lực tài khoản) Account expiration thiết lập số ngày mà người dùng khơng có hành động truy cập Bài - Kiến thức sở điều khiển truy cập 38 Các dịch vụ xác thực Xác thực (Authentication) Q trình xác minh thơng tin Các dịch vụ xác thực cung cấp mạng Máy chủ xác thực chuyên dụng Còn gọi máy chủ AAA thực đồng thời nhiệm vụ ủy quyền (authorization) kế toán (accounting) Các kiểu xác thực máy chủ AAA thông dụng RADIUS Kerberos TACACS LDAP Bài - Kiến thức sở điều khiển truy cập 39 RADIUS (1/2) RADIUS (Remote Authentication Dial In User Service Bộ quay số xác thực từ xa dịch vụ người dùng) Được giới thiệu vào năm 1992 Trở thành tiêu chuẩn công nghiệp Phù hợp cho ứng dụng kiểm soát dịch vụ cỡ lớn Ví dụ truy cập quay số tới mạng doanh nghiệp Hiện xẫn sử dụng RADIUS client Thường thiết bị điểm truy cập khơng dây (AP) Có nhiệm vụ gửi thông tin người dùng với tham số kết nối tới máy chủ RADIUS Bài - Kiến thức sở điều khiển truy cập 40 Xác thực RADIUS Bài - Kiến thức sở điều khiển truy cập 41 RADIUS (2/2) Hồ sơ người dùng RADIUS lưu trữ sở liệu trung tâm Tất máy chủ từ xa chia sẻ thơng tin Ưu điểm dịch vụ trung tâm Tăng cường bảo mật có điểm quản lý mạng Dễ dàng theo dõi truy vết việc sử dụng để toán lưu giữ số liệu thống kê mạng Bài - Kiến thức sở điều khiển truy cập 42 Kerberos Hệ thống xác thực phát triển MIT Sử dụng mã hóa xác thực để đảm bảo tính bảo mật Thường sử dụng cài đặt thiết lập giáo dục phủ Hoạt động giống việc sử dụng giấy phép lái xe để toán séc Vé Kerberos Chứa thơng tin liên quan tới người dùng Người dùng trình diện vé vào mạng cho dịch vụ Rất khó để chép Hết hiệu lực sau vài sau ngày Bài - Kiến thức sở điều khiển truy cập 43 TACACS TACACS (Terminal Access Control Access Control Systems - Hệ thống điều khiển truy cập điều khiển truy cập thiết bị đầu cuối) Dịch vụ xác thực tương tự RADIUS Do Cisco Systems phát triển Thường sử dụng thiết bị UNIX Giao tiếp cách chuyển tiếp thông tin xác thực người dùng tới máy chủ trung tâm Phiên TACACS+ Bài - Kiến thức sở điều khiển truy cập 44 So sánh RADIUS TACACS+ Bài - Kiến thức sở điều khiển truy cập 45 LDAP (1/2) LDAP (Lightweight Directory Access Control - Giao thức truy cập thư mục hạng nhẹ) Dịch vụ thư mục Cơ sở liệu lưu mạng Chứa thông tin người dùng thiết bị mạng Lưu vết theo dõi tài nguyên mạng đặc quyền người dùng tài nguyên Cho phép từ chối truy cập dựa thông tin lưu trữ Tiêu chuẩn cho dịch vụ thư mục X.500 DAP (Directory Access Protocol - Giao thức truy cập thư mục ) Bài - Kiến thức sở điều khiển truy cập 46 LDAP (2/2) LDAP Một tập đơn giản DAP Được thiết kế để hoạt động giao thức TCP/IP Có chức đơn giản Mã hóa thành phần giao thức theo cách đơn giản so với X.500 Là giao thức mở Nhược điểm LDAP Có thể mục tiêu công tiêm nhiễm LDAP Tương tự công tiêm nhiễm SQL Xảy liệu người dùng cung cấp không lọc cách Bài - Kiến thức sở điều khiển truy cập 47 Tổng kết (1/2) Điều khiển truy cập q trình tài ngun bị từ chối cấp phép truy cập Có bốn mơ hình điều khiển truy cập Các thực hành tốt để thực thi điều khiển truy cập bao gồm Tách nhiệm vụ Luân chuyển cơng việc Ưu tiên Từ chối ngầm Kỳ nghỉ bắt buộc Bài - Kiến thức sở điều khiển truy cập 48 Tổng kết (2/2) Thực thi phương pháp điều khiển truy cập bao gồm Danh sách điều khiển truy cập Chính sách nhóm Giới hạn tài khoản Các dịch vụ xác thực server AAA chuyên biệt server xác thực cung cấp mạng RADIUS Kerberos TACACS LDAP Bài - Kiến thức sở điều khiển truy cập 49 ... tới điều khiển truy cập Bốn mơ hình điều khiển truy cập tiêu chuẩn Phương pháp điều khiển truy cập thực tiễn tốt Chương đề cập tới dịch vụ xác thực Bài - Kiến thức sở điều khiển truy cập Điều khiển. .. file SALARY.XSLX Bài - Kiến thức sở điều khiển truy cập Quá trình điều khiển truy cập thuật ngữ liên quan Bài - Kiến thức sở điều khiển truy cập 10 Các mơ hình điều khiển truy cập (1/2) Các tiêu... Kiến thức sở điều khiển truy cập 11 Các mơ hình điều khiển truy cập (2/2) Bốn mơ hình điều khiển truy cập Điều khiển truy cập bắt buộc (Mandatory Access Control - MAC) Điều khiển truy cập tùy ý