1. Trang chủ
  2. Tài Chính - Ngân Hàng

TỔNG QUAN VỀ AAA (Access Control – Authentication Auditing)

15 676 2
TỔNG QUAN VỀ AAA (Access Control – Authentication Auditing)

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

Thông tin tài liệu

ĐÀO TẠO QUẢN TRỊ & AN NINH MẠNG 02 Bis Dinh Tien Hoang Street, Dakao Ward, District 1, HCMC – Tel: (848) 824 4041 – Fax: (848) 824 4041 E-mail: training@athenavn.com – URL:WWW.ATHENA.EDU.VN TỔNG QUAN VỀ AAA (Access Control – Authentication - Auditing) I II Giới thiệu Ngày mà nhu cầu trao đổi thông tin vô lớn,yêu cầu số lượng, chất lượng,thời gian cập nhật thông tin,mức độ bảo mật tông tin phải có độ tin cậy cao.Có nhiều phương thức để trao đổi thông tin,như trực tiếp gián tiếp qua phương tiện thông tin đại chúng.Và mạng máy tính phương tiện để trao đổi hữu hiệu.Từ có mạng máy tính đến lượng truy cập sử dụng mạng máy tính cho nhu cầu trao đổi thông phát triển vũ bão.Tuy nhiên gặp phải thách thức lớn việc bảo mật thông tin.Để chống lại công từ tin tặc công ty,tổ chức,chính phủ…phải có sách bảo mật riêng Và viết tìm hiểu bảo mật thông tin.Cụ thể nói giao thức điều khiển truy cập,chứng thực kiểm toán A – Access Control – Điều khiển truy cập Ở đề cập đến:MAC, DAC, RBAC  MAC :(tên tiếng Anh mandatory access control – có nghĩa điều khiển truy cập bắt buộc) sách truy cập không cá nhân sở hữu tài nguyên định, song hệ thống định MAC dùng hệ thống đa tầng cấp, hệ thống xử lý loại liệu nhạy cảm, thông tin phân hạng mức độ bảo mật phủ quân đội Một hệ thống đa tầng cấp hệ thống máy tính chịu trách nhiệm xử lý bội số phân loại nhiều tầng cấp chủ thể đối tượng  Nhãn hiệu nhạy cảm (sensitivity label): Trong hệ thống dùng điều khiển truy cập bắt buộc, hệ thống định nhãn hiệu cho chủ thể đối tượng hệ thống Nhãn hiệu nhạy cảm chủ thể xác định mức tin cẩn cần thiết để truy cập Để truy cập đối tượng đấy, chủ thể phải có mức độ nhạy cảm (tin cẩn) tương đồng cao mức độ đối tượng yêu cầu  Xuất ngoại nhập nội liệu (Data import and export): Điều khiển việc nhập nội thông tin từ hệ thống khác xuất ngoại thông tin sang hệ thống khác (bao gồm máy in) chức trọng yếu hệ thống sử dụng điều khiển truy cập bắt buộc Nhiệm vụ việc xuất nhập thông tin phải đảm TRANG ĐÀO TẠO QUẢN TRỊ & AN NINH MẠNG 02 Bis Dinh Tien Hoang Street, Dakao Ward, District 1, HCMC – Tel: (848) 824 4041 – Fax: (848) 824 4041 E-mail: training@athenavn.com – URL:WWW.ATHENA.EDU.VN bảo nhãn hiệu nhạy cảm giữ gìn cách đắn nhiệm vụ phải thực cho thông tin nhạy cảm phải bảo vệ tình Có hai phương pháp dùng phổ biến để áp dụng nguyên tắc điều khiển truy cập bắt buộc:  Điều khiển truy cập dùng sách (rule-based access control): Việc điều khiển thuộc loại định nghĩa thêm điều kiện cụ thể việc truy cập đối tượng mà yêu cầu Tất hệ thống dùng điều khiển truy cập bắt buộc thực hình thức đơn giản hóa thể loại điều khiển truy cập dùng sách, nhằm định cho phép hay từ chối yêu cầu truy cập, cách đối chiếu: - Nhãn hiệu nhạy cảm đối tượng - Nhãn hiệu nhạy cảm chủ thể  Điều khiển truy cập dùng bố trí mắt lưới (lattice-based access control): Đây phương pháp người ta sử dụng định phức tạp điều khiển truy cập với liên quan bội số đối tượng và/hay chủ thể Mô hình mắt lưới cấu trúc toán học, định nghĩa giá trị cận lớn (greatest lower-bound) cận nhỏ (least upper-bound) cho cặp nguyên tố, chẳng hạn cặp nguyên tố bao gồm chủ thể đối tượng  DAC: (tên tiếng Anh discretionary access control – có nghĩa điều khiển truy cập tùy quyền) sách truy cập mà chủ nhân tập tin hay người chủ tài nguyên tự định đoạt Chủ nhân định người phép truy cập tập tin đặc quyền (privilege) đặc quyền người phép thi hành Hai quan niệm quan trọng truy cập tùy quyền là:  Quyền sở hữu tập tin liệu (File and data ownership): Bất đối tượng hệ thống phải có chủ nhân người sở hữu Chính sách truy cập đối tượng chủ nhân tài nguyên định - tài nguyên bao gồm: tập tin, thư mục, liệu, tài nguyên hệ thống, thiết bị (devices) Theo lý thuyết, đối tượng chủ sở hữu đối tượng bị bỏ lơ, không bảo vệ Thông thường chủ nhân tài nguyên người kiến tạo nên tài nguyên (như tập tin thư mục)  Các quyền phép truy cập: Đây quyền khống chế thực thể tài nguyên mà chủ nhân tài nguyên định cho người nhóm người dùng TRANG ĐÀO TẠO QUẢN TRỊ & AN NINH MẠNG 02 Bis Dinh Tien Hoang Street, Dakao Ward, District 1, HCMC – Tel: (848) 824 4041 – Fax: (848) 824 4041 E-mail: training@athenavn.com – URL:WWW.ATHENA.EDU.VN Điều khiển truy cập tùy quyền áp dụng thông qua nhiều kỹ thuật khác nhau:  Danh sách điều khiển truy cập (Access control list - ACL) định danh quyền phép định cho chủ thể đối tượng Danh sách điều khiển truy cập cho ta phương pháp linh hoạt để áp dụng quy chế điều khiển truy cập tùy quyền  Kiểm tra truy cập sở vai trò (role-based access control) định tư cách nhóm hội viên dựa vai trò tổ chức chức vai trò Chiến lược giúp tối giảm việc điều hành quản lý quyền phép truy cập  RBAC: (tên tiếng Anh role-based access control – có nghĩa điều khiển truy cập sở vai trò) tiếp cận (phương pháp) để hạn chế người dùng hợp pháp truy cập hệ thống Nó phương pháp tiếp cận mới, dùng để thay phương pháp điều khiển truy cập tùy quyền (MAC) điều khiển truy cập bắt buộc (DAC).Thường người dùng sau nhận dạng hệ thống gắn kèm với vai trò hệ thống, vai trò thước đo cho yêu cầu người dùng hợp pháp hệ thống III A – Authentication – Xác thực Xác thực quy trình nhằm cố gắng xác minh nhận dạng số (digital identity) phần truyền gửi thông tin (sender) giao thông liên lạc chẳng hạn yêu cầu đăng nhập Phần gửi cần phải xác thực người dùng sử dụng máy tính, thân máy tính chương trình ứng dụng máy tính (computer program) Ngược lại Sự tin cậy mù quáng (blind credential) hoàn toàn không thiết lập đòi hỏi nhận dạng, song thiết lập quyền địa vị hẹp hòi người dùng chương trình ứng dụng mà Trong mạng lưới tín nhiệm, việc "xác thực" cách để đảm bảo người dùng người mà họ nói họ là, người dùng thi hành chức hệ thống, thực tế, người ủy quyền để làm việc Ở quan tâm đến chế xác thực sau: Kerberos, CHAP, certificates, usernames/passwords, biometric, RADIUS/DIAMETER, EAP, LDAP, Two-factor  LDAP: (tên tiếng Anh Light Weight Directory Access Protocol – có nghĩa giao thức truy xuất thư mục) giao thức giúp thiết kế truy xuất liệu dựa mô hình client-server, với đặc tính dễ sử dụng mở rộng Directory thư mục dạng đơn giản duyệt Windows Explorer, mà loại hình database có tính mô tả cao, tối ưu cho việc tìm kiếm Trước ứng dụng TRANG ĐÀO TẠO QUẢN TRỊ & AN NINH MẠNG 02 Bis Dinh Tien Hoang Street, Dakao Ward, District 1, HCMC – Tel: (848) 824 4041 – Fax: (848) 824 4041 E-mail: training@athenavn.com – URL:WWW.ATHENA.EDU.VN phát triển độc lập với nhau, điều có nghĩa người sử dụng hệ thống liên hệ tới hệ thống khác Nếu tổ chức có nhiều ứng dụng, người quản trị hệ thống phải tạo account cấp quyền truy cập cho người sửdụng hệ thống khác nhau, điều dẫn đến việc người sử dụng phải sử dụng account mật khác cho tất chương trình Điều gây rắc rối cho người sử dụng, thân họ nhiều không nhớ hết tất thông tin cần thiết để truy cập Để khắc phục bất lợi trên, nhiều ứng dụng thực xác thực thông qua hệ thống nhất, thông thường LDAP Thông tin người sử dụng username mật chứa LDAP server Với việc tích hợp LDAP vào phần xác thực ứng dụng, người sử dụng cần username mật truy cập vào nhiều hệ thống khác nhau, điều làm đơn giản hóa việc quản trị việc sử dụng ứng dụng Mô hình LDAP sau: Cấu trúc LDAP: Cấu trúc dạng text LDIF: TRANG ĐÀO TẠO QUẢN TRỊ & AN NINH MẠNG 02 Bis Dinh Tien Hoang Street, Dakao Ward, District 1, HCMC – Tel: (848) 824 4041 – Fax: (848) 824 4041 E-mail: training@athenavn.com – URL:WWW.ATHENA.EDU.VN  Username / Password : chế xác thực sử dụng Tuy nhiên chế không dùng cách nữa, thay vào kết hợp phương pháp mã hóa Sự kết hợp cho đời phương thức xác thực khác  CHAP: (tên tiếng Anh Challenge Handshake Authentication Protocol – Nghĩa giao thức chứng thực bắt tay thử thách) nguyên tắc xác minh sử dụng Point to Point Protocol (PPP) servers để xác nhận hợp lệ định danh remote clients.CHAP định kỳ kiểm tra lại định danh client cách sử dụng lần bắt tay.Điều diễn lúc xác minh đường truyền thực lại nhiều lần sau trình xác minh thành công.Sự xác minh dựa chia sẻ riêng tư ( sử dụng password client ) CHAP bảo vệ chống công kiểu gửi lại gói tin cách tăng id thay đổi variable challenge-value Challenge Packet lần xác minh lại.CHAP yêu cầu client server phải sử dụng chung password Có dạng authentication dùng one-way two-way One-Way dạng authentication mà có called device thực challenge Trong Two-way dạng authentication mà calling device called device thực challenge Mô hình: 1.Sau hoàn thành việc thiết lập đường truyền, server gửi thông điệp thử thách ( challenge message) tới remote client 2.Dựa vào thông tin challenge message, remote client dùng hàm hash để tính toán giá trị hash.Sau gửi thông điệp có chứa giá trị hash cho server TRANG ĐÀO TẠO QUẢN TRỊ & AN NINH MẠNG 02 Bis Dinh Tien Hoang Street, Dakao Ward, District 1, HCMC – Tel: (848) 824 4041 – Fax: (848) 824 4041 E-mail: training@athenavn.com – URL:WWW.ATHENA.EDU.VN 3.Sau nhận giá trị hash gói response,server sẻ dùng thông tin mà gửi trước thông tin gói response để tính giá trị hash.Sau so sánh giá trị hash với giá trị hash gói response,nếu hai giá trị giống trình xác minh thành công,nếu khác tức trình xác minh thất bại.Server gửi lại cho remote clients thông điệp chứa kết trình xác minh 4.Nếu trình xác minh thành công thời điểm ngẫu nhiên sau servers gửi lại cho remote clients challenge message lặp lại bước từ đến CHAP Packets: Challenge Packet byte byte bytes Code=1 Id Length Response Packet Code=2 Id Length Success Packet Code=3 Id Length Failure Packet Code=4 Id Length byte Challenge length variable variable Challenge value Username Response length Response value Username Message Message  Kerberos : giao thức mật mã dùng để chứng thực mạng máy tính hoạt động đường truyền không an toàn.Nó free software công bố Massachusetts Institute of Technology (MIT) ,đây tổ chức thực giao thức Những người thiết kế chủ yếu nhắm vào mô hình client-server Nó cung cấp chế chứng thực lẫn client server Giao thức Kerberos có khả chống lại việc nghe hay gửi lại gói tin cũ đảm bảo tính toàn vẹn liệu.Kerberos xây dựng dựa mật mã hóa khóa đối xứng cần đến bên thứ ba mà hai bên tham gia giao dịch tin tưởng.Windows 2000, Windows XP, Windows Server 2003, Windows Vista Windows Server 2008 sử dụng Kerberos phương thức chứng thực mặc định Mô hình: + AS (Authentication Server) : Máy chủ chứng thực TGS (Ticket Granting Server) : Máy chủ cấp vé SS (Service Server) : Máy chủ dịch vụ Nguyên tắc hoạt động tổng quát: Người sử dụng chứng thực với máy chủ chứng thực AS, sau chứng minh với máy chủ cấp vé TGS chứng thực để cấp vé, cuối chứng minh với máy chủ dịch vụ SS chấp thuận để sử dụng dịch vụ Các bước thực chi tiết: Người sử dụng logon máy client: Người dùng nhập username password máy client TRANG ĐÀO TẠO QUẢN TRỊ & AN NINH MẠNG 02 Bis Dinh Tien Hoang Street, Dakao Ward, District 1, HCMC – Tel: (848) 824 4041 – Fax: (848) 824 4041 E-mail: training@athenavn.com – URL:WWW.ATHENA.EDU.VN Phần mềm sử dụng máy khách thực hàm băm chiều password nhận được.Và kết nhân trở thành khóa bí mật client Các bước chứng thực client: Client gửi thông điệp chưa mã hóa tới AS để yêu cầu dịch vụ.Nội dung tương tự như: “Người dùng XYZ muốn sử dụng dịch vụ”.Cần ý khóa bí mật password không gửi tới AS AS kiểm tra nhận dạng người sử dụng có tồn sở liệu hay không Nếu có AS gửi hai thông điệp cho client: Thông điệp A: "Khóa phiên TGS/máy khách" mật mã hóa với khóa bí mật người sử dụng Thông điệp B: “Vé chấp thuận” (Bao gồm định danh người sử dụng,địa mạng máy client, thời hạn vé khóa phiên TGS/máy khách) mật mã hóa với khóa bí mật TGS Khi client nhận thông điệp A B,nó giải mã thông điệp A để nhận “khóa phiên TGS/máy khách” Khóa phiên sử dụng để lien lạc với TGS.(Chú ý: client giải mã thông điệp B mã hóa với khóa bí mật của TGS).Tại thời điểm client chứng thực với TGS Các bước cấp quyền sử dụng dịch vụ cho client: Khi yêu cầu dịch vụ,client gửi hai thông điệp tới cho TGS Thông điệp C: Bao gồm vé chấp thuận từ gói tin B định danh ID dịch vụ Thông điệp D: Phần chứng thực (gồm định danh ID client thời điểm yêu cầu ) mật mã hóa với “khóa phiên TGS/máy khách” Khi nhận hai thông điệp trên,TGS lấy lại thông điệp B từ thông điệp C Nó sử dụng khóa bí mật TGS để giải mã gói tin B để lấy “khóa phiên TGS/máy khách”.Sau sử dụng khóa để giải mã thông điệp D gửi hai thông điệp tới client: Thông điệp E: “Vé client tới server” (bao gồm định danh client,địa mạng client, thời gian sử dụng “khóa phiên Client/Server”) mật mã hóa với khóa bí mật của server Thông điệp F: Khóa phiên Client/Server mật mã hóa với khóa phiên client/TGS Các bước client yêu cầu dịch vụ: Sau nhận hai thông điệp E F từ TGS,client có đủ thông tin để chứng thực với SS.Client kết nối với SS gửi hai thông điệp: Thông điệp E: mà client nhận từ TGS bước trước Thông điệp G: phần chứng thực bao gồm định danh client,thời điểm yêu cầu mật mã hóa với khóa phiên client/server TRANG ĐÀO TẠO QUẢN TRỊ & AN NINH MẠNG 02 Bis Dinh Tien Hoang Street, Dakao Ward, District 1, HCMC – Tel: (848) 824 4041 – Fax: (848) 824 4041 E-mail: training@athenavn.com – URL:WWW.ATHENA.EDU.VN SS giải mã vé khóa bí mật gửi thông điệp sau tới client để xác nhận định danh khẳng định đồng ý cung cấp dịch vụ: Thông điệp H: Thời điểm gói tin yêu cầu dịch vụ cộng thêm 1,mật mã hóa với "Khóa phiên client/server" Client giải mã thông tin khóa phiên client/server kiểm tra thời gian có cập nhật xác Nếu người sử dụng tin tưởng vào máy chủ SS bắt đầu gửi yêu cầu sử dụng dịch vụ Máy chủ cung cấp dịch vụ cho người sử dụng Nhược điểm: Nếu máy chủ trung tâm ngừng hoạt động hoạt động ngừng lại.Điểm yếu hạn chế cách sử dụng nhiều máy chủ Kerberos Giao thức đòi hỏi đồng hồ tất máy tính liên quan phải đồng bộ(mặc định đòi hỏi đồng hồ không sai lệch 10 phút) Nếu không đảm bảo điều này, chế chứng thực giựa thời hạn sử dụng không hoạt động Khi tất khóa bí mật người sử dụng lưu server trung tâm,một thỏa hiệp server làm hại đến khóa bí mật người sử dụng  Digital Certificate (nghĩa chứng thực số): tập tin liệu dùng để thiết lập định danh người tài sản điện tử Internet Chúng cho phép thực giao tiếp trực tuyến bảo mật thường dùng để bảo vệ giao dịch trực tuyến Khi chứng nhận CA (Certification Authority) ký kỹ thuật số, người sở hữu dùng giấy thông hành điện tử để chứng minh định danh (nhân thân) Nó xuất trình cho web site, mạng hay cá nhân có yêu cầu truy cập bảo mật Thông tin định danh nhúng chứng nhận gồm tên địa email người sở hữu, tên CA, số hiệu liệu quyền thời gian sử dụng chứng nhận Khi định danh người dùng CA xác nhận, dùng khóa công khai người sở hữu để bảo vệ liệu này.Khóa công khai dùng chứng thực mà Web Server dùng để xác thực web site cho trình duyệt người dùng người dùng muốn gởi thông tin mật đến Web server, chẳng hạn số thẻ tín dụng cho giao dịch trực tuyến, trình duyệt họ truy cập khóa công khai chứng thực số server để kiểm tra định danh Mô hình: TRANG ĐÀO TẠO QUẢN TRỊ & AN NINH MẠNG 02 Bis Dinh Tien Hoang Street, Dakao Ward, District 1, HCMC – Tel: (848) 824 4041 – Fax: (848) 824 4041 E-mail: training@athenavn.com – URL:WWW.ATHENA.EDU.VN  RADIUS: (tên tiếng Anh Remote Authentication Dial In User Service – có nghĩa dịch vụ xác thực người dùng truy cập từ xa): Với khả cung cấp xác thực tập trung, cấp phép điều khiển truy cập - AAA cho phiên làm việc với SLIP PPP Dial-up – việc cung cấp xác thực nhà cung cấp dịch vụ Internet (ISP) dựa giao thức để xác thực người dùng họ truy cập Internet Nó cần thiết tất Network Access Server (NAS) để làm việc với danh sách username password cho việc cấp phép, RADIUS Access-Request chuyển thông tin tới Authentication Server, thông thường AAA Server Trong kiến trúc hệ thống tạo khả tập trung trường thông tin người dùng, điều kiện truy cập điểm nhất, có khả cung cấp cho hệ thống lớn, cung cấp giải pháp NASs (Network Access Servers) Khi user kết nối, NAS gửi thông điệp (message) dạng RADIUS Access-Request tới máy chủ AAA Server, chuyển thông tin username password, thông qua port xác định, NAS identify, message Authenticator Sau nhận thông tin máy chủ AAA sử dụng gói tin cung cấp như, NAS identify, Authenticator thẩm định lại việc NAS có phép gửi yêu cầu không Nếu có khả năng, máy chủ AAA tìm kiểm tra thông tin username password mà người dùng yêu cầu truy cập sở lệu Nếu trình kiểm tra mang thông tin Access-Request định trình truy cập user chấp nhận Khi trình xác thực bắt đầu sử dụng, máy chủ AAA TRANG ĐÀO TẠO QUẢN TRỊ & AN NINH MẠNG 02 Bis Dinh Tien Hoang Street, Dakao Ward, District 1, HCMC – Tel: (848) 824 4041 – Fax: (848) 824 4041 E-mail: training@athenavn.com – URL:WWW.ATHENA.EDU.VN trả RADIUS Access-Challenge mang số ngẫu nhiên NAS chuyển thông tin đến người dùng từ xa (ví dụ sử dụng CHAP) Khi người dùng phải trả lời yêu cầu xác nhận (trong CHAP, đưa lời đề nghị mã hoá password), sau NAS chuyển tới máy chủ AAA message RADIUS Access-Request Nếu máy chủ AAA sau kiểm tra thông tin người dùng hoàn toàn thoả mãn cho phép sử dụng dịch vụ, trả message dạng RADIUS Access-Accept Nếu không thoả mãn máy chủ AAA trả tin RADIUS AccessReject NAS ngắt kết nối với user.Khi gói tin Access-Accept nhận RADIUS Accounting thiết lập, NAS gửi gói tin RADIUS Accounting-Request (Start) tới máy chủ AAA Máy chủ thêm thông tin vào file Log (ghi kiện) nó, với việc NAS cho phép phiên làm việc với user bắt đầu nào, kết thúc nào, RADIUS Accouting làm nhiệm vụ ghi lại trình xác thực user vào hệ thống, kết thúc phiên làm việc NAS gửi thông tin RADIUS Accounting-Request (stop) Mô hình làm việc RADIUS: Cấu trúc gói liệu Access (Request / Reply): TRANG 10 ĐÀO TẠO QUẢN TRỊ & AN NINH MẠNG 02 Bis Dinh Tien Hoang Street, Dakao Ward, District 1, HCMC – Tel: (848) 824 4041 – Fax: (848) 824 4041 E-mail: training@athenavn.com – URL:WWW.ATHENA.EDU.VN Diameter: (nghĩa giao thức đường kính) xây dựng sở RADIUS truyền thống  EAP: (có tên tiếng Anh Extensible Authentication Protocol – nghĩa giao thức xác thực mở rộng) phần mở rộng cho Point-toPoint (PPP) giao thức tổ chức IETF (International Erectile Function Test) định nghĩa RFC 2284 EAP cho phép phương pháp xác thực tùy ý sử dụng để truyền thông tin ủy nhiệm trao đổi thông tin có chiều dài tùy ý EAP tạo nhằm phản hồi lại yêu cầu phương pháp xác thực mạnh mẽ hơn, phương pháp lưu dự phòng thiết bị bảo mật bổ sung, chẳng hạn chứng nhận smart card tổ hợp tên người dùng password chuẩn Bây EAP phương pháp theo tiêu chuẩn công nghiệp để sử dụng phương pháp xác thực bổ sung với PPP Khi bạn sử dụng EAP, Windows XP hỗ trợ phương pháp xác thực cụ thể gọi loại EAP Các loại EAP chuẩn bao gồm thẻ token, password sử dụng lần, xác thực khóa công khai (public key) smart card, chứng nhận thứ khác(NAK, notification, MD5 challenge) EAP với loại EAP mạnh thành phần công nghệ quan trọng cho nối kết VPN an toàn Các loại EAP mạnh, chẳng hạn loại dựa vào chứng nhận mang lại bảo mật tốt nhằm ngăn công có sức ép công dictionary việc đoán password so với giao thức xác thực dựa vào password, chẳng hạn CHAP MS-CHAP Windows XP có hỗ trợ cho hai loại EAP: EAP-MSD CHAP (gần tương đương giao thức xác thực CHAP) EAP-TLS mà bạn sử dụng cho việc xác thực dựa vào chứng nhận người dùng (bao gồm chứng nhận lưu trữ smart card) EAP-MD5 CHAP phương pháp xác thực tên user password đơn giản, phương pháp tương đương giao thức xác thực CHAP EAPMD5 CHAP không hỗ trợ mã hóa, loại EAP ưu tiên EAP-TLS phương pháp xác thực hai chiều client server phải chứng minh định danh cho Trong suốt trình trao đổi EAP-TLS, client gửi chứng nhận user server truy cập từ xa server RADIUS gửi chứng nhận máy tính Nếu hai chứng nhận không gửi chứng nhận không hợp lệ, kết nối bị kết thúc Trong suốt trình xác thực EAP-TLS, mã hóa yêu cầu, khóa mã hóa bí mật chia xẻ để sử dụng với Microsoft Point-to-Point (MPPE) tạo MPPE cho phép mã hóa liệu PPP dial-up networking (DUN) VPN EAP-TLS TRANG 11 ĐÀO TẠO QUẢN TRỊ & AN NINH MẠNG 02 Bis Dinh Tien Hoang Street, Dakao Ward, District 1, HCMC – Tel: (848) 824 4041 – Fax: (848) 824 4041 E-mail: training@athenavn.com – URL:WWW.ATHENA.EDU.VN ưu tiên cung cấp hỗ trợ cho MPPE xác thực dựa vào chứng nhận, kể chứng nhận dựa vào smart card EAP-MD5 EAP-TLS hỗ trợ cho xác thực 802.1x Mô hình hoạt động EAP: Cấu trúc gói tin EAP:  Biometric: (nghĩa sinh trắc học): Hệ thống sinh trắc học ghi nhận mẫu vân tay người dùng lưu trữ tất liệu đặc biệt thành mẫu nhận diện số hoá toàn phần Có hai phương pháp để lấy dấu vân tay Cách thứ (cổ điển) chép lại hình dạng vân tay (như lăn tay, hay chạm vào vật đó) thông qua máy quét ghi nhận xử lý Cách thứ hai xem “đọc” dòng điện ngón tay thông qua hệ thống khuếch đại xung điện, chuyển thành vân tay Cách giúp TRANG 12 ĐÀO TẠO QUẢN TRỊ & AN NINH MẠNG 02 Bis Dinh Tien Hoang Street, Dakao Ward, District 1, HCMC – Tel: (848) 824 4041 – Fax: (848) 824 4041 E-mail: training@athenavn.com – URL:WWW.ATHENA.EDU.VN giảm thiểu khả giả mạo vân tay, lại đòi hỏi trình độ công nghệ cao chi phí sử dụng lớn nhiều so với phương pháp cổ điển Đây cách thiết bị kỹ thuật số điện thoại, máy tính xách tay (laptop), ổ cứng USB sử dụng để làm cổng mã hoá bảo vệ liệu  Two-Factor Authentication: phương pháp xác thực yếu tố phương pháp xác thực mạnh, phương pháp xác thực yêu cầu yếu tố phụ thuộc vào để chứng minh tính đắn danh tính xác thực yếu tố dựa trênnhững thông tin mà người dùng biết (số PIN, mật khẩu) với mà người dùng có(SmartCard, USB, Token, Grid Card…) để chứng minh danh tính Với yếu tố kết hợp đồng thời, tin tặc gặp nhiều khó khăn để đánh cắp đầy đủ thông tin Nếu yếu tố bị đánh cắp chưa đủ để tin tặc sử dụng Phương pháp đảm bảo an toàn nhiều so với phương pháp xác thực truyền thống dựa yếy tố Mật khẩu/Số Pin Mô hình : I A – Auditing – Kiểm Toán Kiểm toán ghi lại trình hoạt động hệ thống,giúp cho biết điều xảy với hệ thống TRANG 13 ĐÀO TẠO QUẢN TRỊ & AN NINH MẠNG 02 Bis Dinh Tien Hoang Street, Dakao Ward, District 1, HCMC – Tel: (848) 824 4041 – Fax: (848) 824 4041 E-mail: training@athenavn.com – URL:WWW.ATHENA.EDU.VN Sự kiểm toán làm giản nguy an ninh, cung cấp thông tin có giá trị cách dùng tài nguyên, phục vụ giúp đỡ việc tìm hư hỏng hệ thống  Network Auditing: (Kiểm toán mạng) Sự kiểm toán mạng cung cấp thông tin vô giá hệ thống mạng tới người kiểm toán người quản trị mạng Quá trình xử lí: Ở cấp quản lý cấp cao lựa chọn cá nhân gán tình trạng người kiểm toán.Và xác định mục đích hướng tới việc kiểm toán mạng Ở cấp quản trị mạng thiết lập môi trường cá nhân chọn để kiểm toán.Cho phép kiểm toán.Đưa mật kiểm toán tới cho người định kiểm toán Ở cấp người kiểm toán thiết lập kiểm toán việc thay đổi password cấu hình môi trường kiểm toán.Lựa chọn kiện để kiểm toán.Tạo báo cáo.Bảo quản file kiểm toán Quá trình xử lí kiểm toán bao gồm việc tạo file kiểm toán hệ thống.Khi người quản trị mạng cho phép kiểm toán,quá trình tự động tạo file ghi kiện kiểm toán hành động người kiểm toán II Tổng Kết Bài viết viết giao thức điều khiển truy cập,chứng thực,kiểm toán cách tổng quát để giúp cho hiểu khái niệm cở TRANG 14 ĐÀO TẠO QUẢN TRỊ & AN NINH MẠNG 02 Bis Dinh Tien Hoang Street, Dakao Ward, District 1, HCMC – Tel: (848) 824 4041 – Fax: (848) 824 4041 E-mail: training@athenavn.com – URL:WWW.ATHENA.EDU.VN giao thức ,chúng dùng để làm gì,cũng số mô hình hoạt động lý thuyết chúng TRANG 15

Ngày đăng: 14/08/2016, 09:17

Xem thêm: TỔNG QUAN VỀ AAA (Access Control – Authentication Auditing)

Tài liệu cùng người dùng

Tài liệu liên quan