Bài 6: Kiến thức cơ sở về điều khiển truy cập - Giáo trình FPT
-
Upload
hoc-lap-trinh-web -
Category
Documents
-
view
3.693 -
download
1
description
Transcript of Bài 6: Kiến thức cơ sở về điều khiển truy cập - Giáo trình FPT
Bài 6:Kiến thức cơ sở về điều khiển truy cập
Củng cố lại bài 5
Quản trị một mạng bảo mậtCác giao thức mạng phổ biếnCác nguyên tắc quản trị mạngBảo mật cho các ứng dụng mạng (SV tự đọc)
Bảo mật mạng không dâyTấn công vào mạng không dâyCác điểm yếu trong bảo mật 802.1xCác giải pháp bảo mật mạng không dây
Quản trị một mạng bảo mậtCác giao thức mạng phổ biếnCác nguyên tắc quản trị mạngBảo mật cho các ứng dụng mạng (SV tự đọc)
Bảo mật mạng không dâyTấn công vào mạng không dâyCác điểm yếu trong bảo mật 802.1xCác giải pháp bảo mật mạng không dây
Bài 6 - Kiến thức cơ sở về điều khiển truy cập 2
Mục tiêu của bài học
Định nghĩa điều khiển truy cập và liệt kê bốn mô hình điềukhiển truy cập
Mô tả các phương pháp điều khiển truy cập lô gíc
Bài 6 - Kiến thức cơ sở về điều khiển truy cập 3
Giải thích các kiểu điều khiển truy cập vật lý khác nhau
Định nghĩa các dịch vụ xác thực
Giới thiệu
Những cơ sở quan trọng trong lĩnh vực bảo mật thôngtin
Kiểm tra người dùng được chấp thuậnĐiều khiển việc truy cập của họ
Chương này sẽ giới thiệu các nguyên tắc và phươngpháp điều khiển truy cập thực tiễn
Thuật ngữ liên quan tới điều khiển truy cậpBốn mô hình điều khiển truy cập tiêu chuẩnPhương pháp điều khiển truy cập thực tiễn tốt nhất
Chương này cũng đề cập tới các dịch vụ xác thực
Những cơ sở quan trọng trong lĩnh vực bảo mật thôngtin
Kiểm tra người dùng được chấp thuậnĐiều khiển việc truy cập của họ
Chương này sẽ giới thiệu các nguyên tắc và phươngpháp điều khiển truy cập thực tiễn
Thuật ngữ liên quan tới điều khiển truy cậpBốn mô hình điều khiển truy cập tiêu chuẩnPhương pháp điều khiển truy cập thực tiễn tốt nhất
Chương này cũng đề cập tới các dịch vụ xác thực
Bài 6 - Kiến thức cơ sở về điều khiển truy cập 4
Điều khiển truy cập là gì?
Cấp phép hoặc từ chối phê duyệt sử dụng các tàinguyên xác địnhCơ chế của hệ thống thông tin cho phép hoặc hạn chếtruy cập đến dữ liệu hoặc các thiết bịBốn mô hình tiêu chuẩnCác phương pháp thực tiễn để thực thi điều khiển truycập
Cấp phép hoặc từ chối phê duyệt sử dụng các tàinguyên xác địnhCơ chế của hệ thống thông tin cho phép hoặc hạn chếtruy cập đến dữ liệu hoặc các thiết bịBốn mô hình tiêu chuẩnCác phương pháp thực tiễn để thực thi điều khiển truycập
Bài 6 - Kiến thức cơ sở về điều khiển truy cập 5
Các thuật ngữ vềđiều khiển truy cập (1/2)
Trình diệnXuất trình các ủy quyềnVí dụ: người vận chuyển hàng xuất trình thẻ nhân viên
Xác thựcKiểm tra, xác minh các ủy quyềnVí dụ: kiểm tra thẻ của người vận chuyển hàng
Ủy quyềnCấp quyền để thực hiện hành độngVí dụ: cho phép người vận chuyển hàng được chất kiệnhàng lên xe
Trình diệnXuất trình các ủy quyềnVí dụ: người vận chuyển hàng xuất trình thẻ nhân viên
Xác thựcKiểm tra, xác minh các ủy quyềnVí dụ: kiểm tra thẻ của người vận chuyển hàng
Ủy quyềnCấp quyền để thực hiện hành độngVí dụ: cho phép người vận chuyển hàng được chất kiệnhàng lên xe
Bài 6 - Kiến thức cơ sở về điều khiển truy cập 6
Hành động Mô tả Ví dụ tình huống Quá trình trênmáy tính
Nhận diện Xem xét các ủyquyền
Người vận chuyểnhàng xuất trình thẻnhân viên
Người dùng nhậptên đăng nhập
Xác thực Xác minh các ủyquyền có thực sựchính xác hay không
Mia đọc thông tintrên thẻ để xác địnhnhững thông tin đócó thực hay không
Người dùng cungcấp mật khẩu
Các bước điều khiểntruy cập cơ bản
Bài 6 - Kiến thức cơ sở về điều khiển truy cập 7
Xác minh các ủyquyền có thực sựchính xác hay không
Mia đọc thông tintrên thẻ để xác địnhnhững thông tin đócó thực hay không
Người dùng cungcấp mật khẩu
Ủy quyền Cấp quyền cho phép Mia mở cửa chophép người vậnchuyển hàng đi vào
Người dùng đăngnhập hợp lệ
Truy cập Quyền được phéptruy cập tới các tàinguyên xác định
Người vận chuyểnhàng chỉ có thể lấycác hộp ở cạnh cửa
Người dùng đượcphép truy cập tớicác dữ liệu cụ thể
Các thuật ngữ liên quan tớiđiều khiển truy cập (2/2)
Đối tượngTài nguyên cụ thểVí dụ: file hoặc thiết bị phần cứng
Chủ thểNgười dùng hoặc quá trình hoạt động đại diện cho mộtngười dùngVí dụ: người dùng máy tính
Thao tácHành động do chủ thể gây ra đối với một đối tượngVí dụ: xóa một file
Đối tượngTài nguyên cụ thểVí dụ: file hoặc thiết bị phần cứng
Chủ thểNgười dùng hoặc quá trình hoạt động đại diện cho mộtngười dùngVí dụ: người dùng máy tính
Thao tácHành động do chủ thể gây ra đối với một đối tượngVí dụ: xóa một file
Bài 6 - Kiến thức cơ sở về điều khiển truy cập 8
Vai trò Mô tả Trách nhiệm Ví dụ
Chủ sở hữu Người chịu tráchnhiệm về thông tin
Xác định mức bảomật cần thiết đối vớidữ liệu và giao phócác nhiệm vụ bảomật khi cần.
Xác định rằng chỉnhững người quảnlý của cơ quan mớicó thể đọc đượcfile SALARY.XLSX
Người giámsát
Cá nhân mà mọihành động thườngngày của anh ta dochủ sở hữu quy định
Thường xuyên ràsoát các thiết lậpbảo mật và duy trìcác bản ghi truy cậpcủa người dùng
Thiết lập và rà soátcác thiết lập bảomật cho fileSALARY.XLSX
Các vai trò trongđiều khiển truy cập
Bài 6 - Kiến thức cơ sở về điều khiển truy cập 9
Người giámsát
Cá nhân mà mọihành động thườngngày của anh ta dochủ sở hữu quy định
Thường xuyên ràsoát các thiết lậpbảo mật và duy trìcác bản ghi truy cậpcủa người dùng
Thiết lập và rà soátcác thiết lập bảomật cho fileSALARY.XLSX
Người dùng Người truy cậpthông tin trongphạm vi trách nhiệmđược giao phó
Tuân thủ đúng cácchỉ dẫn bảo mật củatổ chức và khôngđược cố ý vi phạmbảo mật
Mở fileSALARY.XSLX
Quá trình điều khiển truy cậpvà các thuật ngữ liên quan
Bài 6 - Kiến thức cơ sở về điều khiển truy cập 10
Các mô hình điềukhiển truy cập (1/2)
Các tiêu chuẩn cung cấp nền tảng cơ sở (framework)được định trước cho các nhà phát triển phần cứng hoặcphần mềmĐược sử dụng để thực thi điều khiển truy cập trong thiếtbị hoặc ứng dụngNgười giám sát có thể cấu hình bảo mật dựa trên yêucầu của chủ sở hữu
Các tiêu chuẩn cung cấp nền tảng cơ sở (framework)được định trước cho các nhà phát triển phần cứng hoặcphần mềmĐược sử dụng để thực thi điều khiển truy cập trong thiếtbị hoặc ứng dụngNgười giám sát có thể cấu hình bảo mật dựa trên yêucầu của chủ sở hữu
Bài 6 - Kiến thức cơ sở về điều khiển truy cập 11
Các mô hình điềukhiển truy cập (2/2)
Bốn mô hình điều khiển truy cập chínhĐiều khiển truy cập bắt buộc(Mandatory Access Control - MAC)Điều khiển truy cập tùy ý(Discretionary Access Control - DAC)Điều khiển truy cập dựa trên vai trò(Role Based Access Control - RBAC)Điều khiển truy cập dựa trên quy tắc(Rule Based Access Control - RBAC)
Bốn mô hình điều khiển truy cập chínhĐiều khiển truy cập bắt buộc(Mandatory Access Control - MAC)Điều khiển truy cập tùy ý(Discretionary Access Control - DAC)Điều khiển truy cập dựa trên vai trò(Role Based Access Control - RBAC)Điều khiển truy cập dựa trên quy tắc(Rule Based Access Control - RBAC)
Bài 6 - Kiến thức cơ sở về điều khiển truy cập 12
Điều khiển truy cập bắt buộc- MAC (1/4)
Điều khiển truy cập bắt buộc(Mandatory Access Control - MAC)
Là mô hình điều khiển truy cập nghiêm ngặt nhấtThường bắt gặp trong các thiết lập của quân độiHai thành phần: Nhãn và Cấp độ
Mô hình MAC cấp quyền bằng cách đối chiếu nhãn củađối tượng với nhãn của chủ thể
Nhãn cho biết cấp độ quyền hạnĐể xác định có mở một file hay không:
So sánh nhãn của đối tượng với nhãn của chủ thểChủ thể phải có cấp độ tương đương hoặc cao hơn:đối tượng được cấp phép truy cập
Điều khiển truy cập bắt buộc(Mandatory Access Control - MAC)
Là mô hình điều khiển truy cập nghiêm ngặt nhấtThường bắt gặp trong các thiết lập của quân độiHai thành phần: Nhãn và Cấp độ
Mô hình MAC cấp quyền bằng cách đối chiếu nhãn củađối tượng với nhãn của chủ thể
Nhãn cho biết cấp độ quyền hạnĐể xác định có mở một file hay không:
So sánh nhãn của đối tượng với nhãn của chủ thểChủ thể phải có cấp độ tương đương hoặc cao hơn:đối tượng được cấp phép truy cập
Bài 6 - Kiến thức cơ sở về điều khiển truy cập 13
Điều khiển truy cập bắt buộc- MAC (2/4)
Hai mô hình thực thi của MACMô hình mạng lưới (Lattice model)Mô hình Bell-LaPadula
Mô hình mạng lướiCác chủ thể và đối tượng được gán một “cấp bậc” trongmạng lướiNhiều mạng lưới có thể được đặt cạnh nhau
Mô hình Bell-LaPadulaTương tự mô hình mạng lướiCác chủ thể không thể tạo một đối tượng mới hay thựchiện một số chức năng nhất định đối với các đối tượng cócấp thấp hơn
Hai mô hình thực thi của MACMô hình mạng lưới (Lattice model)Mô hình Bell-LaPadula
Mô hình mạng lướiCác chủ thể và đối tượng được gán một “cấp bậc” trongmạng lướiNhiều mạng lưới có thể được đặt cạnh nhau
Mô hình Bell-LaPadulaTương tự mô hình mạng lướiCác chủ thể không thể tạo một đối tượng mới hay thựchiện một số chức năng nhất định đối với các đối tượng cócấp thấp hơn
Bài 6 - Kiến thức cơ sở về điều khiển truy cập 14
Điều khiển truy cập bắt buộc- MAC (3/4)
Ví dụ về việc thực thi mô hình MACWindows 7/Vista có bốn cấp bảo mậtCác thao tác cụ thể của một chủ thể đối với phân hạngthấp hơn phải được sự phê duyệt của quản trị viên
Hộp thoại User Account Control (UAC) trong Windows
Bài 6 - Kiến thức cơ sở về điều khiển truy cập 15
Điều khiển truy cậptùy ý (DAC) (1/3)
Điều khiển truy cập tùy ý (DAC)Mô hình ít hạn chế nhấtMọi đối tượng đều có một chủ sở hữuChủ sở hữu có toàn quyền điều khiển đối với đối tượngcủa họChủ sở hữu có thể cấp quyền đối với đối tượng của mìnhcho một chủ thể khácĐược sử dụng trên các hệ điều hành như MicrosoftWindows và hầu hết các hệ điều hành UNIX
Điều khiển truy cập tùy ý (DAC)Mô hình ít hạn chế nhấtMọi đối tượng đều có một chủ sở hữuChủ sở hữu có toàn quyền điều khiển đối với đối tượngcủa họChủ sở hữu có thể cấp quyền đối với đối tượng của mìnhcho một chủ thể khácĐược sử dụng trên các hệ điều hành như MicrosoftWindows và hầu hết các hệ điều hành UNIX
Bài 6 - Kiến thức cơ sở về điều khiển truy cập 16
Điều khiển truy cậptùy ý (DAC) (2/3)
Nhược điểm của DACPhụ thuộc vào quyết định của người dùng để thiết lập cấpđộ bảo mật phù hợp
Việc cấp quyền có thể không chính xácQuyền của chủ thể sẽ được “thừa kế” bởi các chương trìnhmà chủ thể thực thiTrojan là một vấn đề đặc biệt của DAC
Nhược điểm của DACPhụ thuộc vào quyết định của người dùng để thiết lập cấpđộ bảo mật phù hợp
Việc cấp quyền có thể không chính xácQuyền của chủ thể sẽ được “thừa kế” bởi các chương trìnhmà chủ thể thực thiTrojan là một vấn đề đặc biệt của DAC
Bài 6 - Kiến thức cơ sở về điều khiển truy cập 17
Điều khiển truy cậptùy ý (DAC) (3/3)
Bài 6 - Kiến thức cơ sở về điều khiển truy cập 18
Điều khiển truy cậpdựa trên vai trò (RBAC)
Điều khiển truy cập dựa trên vai trò(Role Based Access Control – RBAC)
Còn được gọi là Điều khiển Truy cập không tùy ýQuyền truy cập dựa trên chức năng công việc
RBAC gán các quyền cho các vai trò cụ thể trong tổ chứcCác vai trò sau đó được gán cho người dùng
Điều khiển truy cập dựa trên vai trò(Role Based Access Control – RBAC)
Còn được gọi là Điều khiển Truy cập không tùy ýQuyền truy cập dựa trên chức năng công việc
RBAC gán các quyền cho các vai trò cụ thể trong tổ chứcCác vai trò sau đó được gán cho người dùng
Bài 6 - Kiến thức cơ sở về điều khiển truy cập 19
Điều khiển truy cậpdựa trên quy tắc (RBAC)
Điều khiển truy cập dựa trên quy tắc(Rule Based Access Control - RBAC)
Tự động gán vai trò cho các chủ thể dựa trên một tập quytắc do người giám sát xác địnhMỗi đối tượng tài nguyên chứa các thuộc tính truy cập dựatrên quy tắcKhi người dùng truy cập tới tài nguyên, hệ thống sẽ kiểmtra các quy tắc của đối tượng để xác định quyền truy cậpThường được sử dụng để quản lý truy cập người dùng tớimột hoặc nhiều hệ thống
Những thay đổi trong doanh nghiệp có thể làm cho việc ápdụng các quy tắc thay đổi
Điều khiển truy cập dựa trên quy tắc(Rule Based Access Control - RBAC)
Tự động gán vai trò cho các chủ thể dựa trên một tập quytắc do người giám sát xác địnhMỗi đối tượng tài nguyên chứa các thuộc tính truy cập dựatrên quy tắcKhi người dùng truy cập tới tài nguyên, hệ thống sẽ kiểmtra các quy tắc của đối tượng để xác định quyền truy cậpThường được sử dụng để quản lý truy cập người dùng tớimột hoặc nhiều hệ thống
Những thay đổi trong doanh nghiệp có thể làm cho việc ápdụng các quy tắc thay đổi
Bài 6 - Kiến thức cơ sở về điều khiển truy cập 20
Tên Hạn chế Mô tả
Điều khiển truy cập bắtbuộc (MAC)
Người dùng không thểthiết lập điều khiển
Là mô hình nghiêm ngặtnhất
Điều khiển truy cập tùy ý(DAC)
Chủ thể có toàn quyềnđối với các đối tượng
Là mô hình cởi mở nhất
Tóm tắt các mô hìnhđiều khiển truy cập
Bài 6 - Kiến thức cơ sở về điều khiển truy cập 21
Điều khiển truy cập dựatrên vai trò (RBAC)
Gán quyền cho các vaitrò cụ thể trong tổ chức,sau đó người dùng sẽđược chỉ định vai trò
Được coi là phương phápthực tế hơn
Điều khiển truy cập dựatrên quy tắc (RBAC)
Tự động gán vai trò chocác chủ thể dựa trên tậpcác quy tắc do ngườigiám sát qui định
Được sử dụng để quản lýtruy cập người dùng tớimột hoặc nhiều hệ thống
Các bài thực hành tốt nhấtđối với điều khiển truy cập
Thiết lập các thủ tục tối ưu để hạn chế truy cậpCó thể giúp đảm bảo an toàn cho hệ thống và dữ liệu
Các ví dụ về phương pháp tối ưuTách nhiệm vụ (separation of duties)Luân chuyển công việc (job rotation)Đặc quyền tối thiểu (least privilege)Từ chối ngầm định (implicit deny)Các ngày nghỉ lễ bắt buộc (mandatory vacation)
Thiết lập các thủ tục tối ưu để hạn chế truy cậpCó thể giúp đảm bảo an toàn cho hệ thống và dữ liệu
Các ví dụ về phương pháp tối ưuTách nhiệm vụ (separation of duties)Luân chuyển công việc (job rotation)Đặc quyền tối thiểu (least privilege)Từ chối ngầm định (implicit deny)Các ngày nghỉ lễ bắt buộc (mandatory vacation)
Bài 6 - Kiến thức cơ sở về điều khiển truy cập 22
Tách nhiệm vụ
Hành vi gian lận có thể bắt nguồn từ việc tin cậy vàomột cá nhân và cho phép họ toàn quyền điều khiển mộtquá trìnhYêu cầu phải có ít nhất hai người chịu trách nhiệm chocác hoạt động liên quan tới quản lý tiềnGiúp hệ thống không bị xâm hại do hành vi của một cánhân đơn lẻ
Hành vi gian lận có thể bắt nguồn từ việc tin cậy vàomột cá nhân và cho phép họ toàn quyền điều khiển mộtquá trìnhYêu cầu phải có ít nhất hai người chịu trách nhiệm chocác hoạt động liên quan tới quản lý tiềnGiúp hệ thống không bị xâm hại do hành vi của một cánhân đơn lẻ
Bài 6 - Kiến thức cơ sở về điều khiển truy cập 23
Luân chuyển công việc
Luân chuyển công việcLuân chuyển trách nhiệm công việc của các cá nhân theođịnh kỳCác nhân viên có thể được thuyên chuyển công việc ngaytrong phòng ban của họ hoặc giữa các phòng ban với nhau
Ưu điểm của việc luân chuyển công việcHạn chế thời gian tại vị của các cá nhân để họ không thểthao túng các cấu hình bảo mậtGiúp vạch trần các con đường tiềm ẩn dẫn đến gian lận
Mỗi cá nhân có một quan điểm khác nhau và điều đó có thểgiúp phát hiện ra các lỗ hổng
Giảm bớt căng thẳng mệt mỏi cho nhân viên
Luân chuyển công việcLuân chuyển trách nhiệm công việc của các cá nhân theođịnh kỳCác nhân viên có thể được thuyên chuyển công việc ngaytrong phòng ban của họ hoặc giữa các phòng ban với nhau
Ưu điểm của việc luân chuyển công việcHạn chế thời gian tại vị của các cá nhân để họ không thểthao túng các cấu hình bảo mậtGiúp vạch trần các con đường tiềm ẩn dẫn đến gian lận
Mỗi cá nhân có một quan điểm khác nhau và điều đó có thểgiúp phát hiện ra các lỗ hổng
Giảm bớt căng thẳng mệt mỏi cho nhân viên
Bài 6 - Kiến thức cơ sở về điều khiển truy cập 24
Ưu tiên ít nhất
Giới hạn truy cập tới thông tin dựa trên nguyên tắc chỉđược biết những gì phục vụ cho công việcGiúp giảm thiểu bề mặt tấn công thông qua việc loại bỏcác đặc quyền không cần thiếtNên áp dụng cho người dùng và tiến trình trên hệthốngCác tiến trình nên hoạt động ở cấp độ bảo mật tối thiểucần thiết để hoạt động chính xácCám dỗ gán các mức ưu tiên cao hơn cũng rất lớn
Giới hạn truy cập tới thông tin dựa trên nguyên tắc chỉđược biết những gì phục vụ cho công việcGiúp giảm thiểu bề mặt tấn công thông qua việc loại bỏcác đặc quyền không cần thiếtNên áp dụng cho người dùng và tiến trình trên hệthốngCác tiến trình nên hoạt động ở cấp độ bảo mật tối thiểucần thiết để hoạt động chính xácCám dỗ gán các mức ưu tiên cao hơn cũng rất lớn
25Kiến thức cơ sở về điều khiển truy cập
Thử thách Giải thích
Các ứng dụng kế thừa Nhiều ứng dụng được phát triển trong nội bộ tổchức và không còn được bảo trì hoặc là ứng dụngcủa một bên thứ ba không còn được hỗ trợ. Việcxây dựng lại các ứng dụng này có thể mất chi phílớn; một cách thay thế là chạy các ứng dụng đó trênmột môi trường ảo
Những thử thách củaphương pháp ưu tiên ít nhất
26
Nhiều ứng dụng được phát triển trong nội bộ tổchức và không còn được bảo trì hoặc là ứng dụngcủa một bên thứ ba không còn được hỗ trợ. Việcxây dựng lại các ứng dụng này có thể mất chi phílớn; một cách thay thế là chạy các ứng dụng đó trênmột môi trường ảo
Các nhiệm vụ quản trịchung
Những công việc quản trị hệ thống cơ bản đượcthực hiện bởi người dùng; nếu không có đặc quyềncao, người dùng phải liên hệ với trợ lý kỹ thuật đểthực hiện những nhiệm vụ này
Cài đặt/Nâng cấp phầnmềm
Việc cập nhật phần mềm không được triển khai tậptrung có thể đòi hỏi đặc quyền cao, nghĩa là cần tớisự hỗ trợ từ trợ lý kỹ thuật; điều này thường dẫn tớilàm giảm năng suất và tăng chi phí hỗ trợ
Bài 6 - Kiến thức cơ sở về điều khiển truy cập
Từ chối ngầm
Nếu một điều kiện không đáp ứng rõ ràng, yêu cầu truycập sẽ bị từ chốiVí dụ: bộ định tuyến mạng từ chối các truy cập ngoại trừkhi điều kiện phù hợp với các quy tắc giới hạn
Nếu một điều kiện không đáp ứng rõ ràng, yêu cầu truycập sẽ bị từ chốiVí dụ: bộ định tuyến mạng từ chối các truy cập ngoại trừkhi điều kiện phù hợp với các quy tắc giới hạn
27Bài 6 - Kiến thức cơ sở về điều khiển truy cập
Các kỳ nghỉ bắt buộc
Hạn chế gian lận vì thủ phạm phải có mặt hàng ngày đểche dấu hành vi gian lận của mìnhLên kế hoạch kiểm tra hành vi của nhân viên giữ chứcvụ nhạy cảm trong suốt thời gian nghỉ
Hạn chế gian lận vì thủ phạm phải có mặt hàng ngày đểche dấu hành vi gian lận của mìnhLên kế hoạch kiểm tra hành vi của nhân viên giữ chứcvụ nhạy cảm trong suốt thời gian nghỉ
28Bài 6 - Kiến thức cơ sở về điều khiển truy cập
Thực thi điều khiển truy cập
Danh sách điều khiển truy cập(Access Control List - ACL)Chính sách nhóm (Group Policy)Giới hạn tài khoản
Danh sách điều khiển truy cập(Access Control List - ACL)Chính sách nhóm (Group Policy)Giới hạn tài khoản
29Bài 6 - Kiến thức cơ sở về điều khiển truy cập
Danh sách điềukhiển truy cập (1/2)
Tập các quyền gắn với một đối tượngXác định chủ thể nào có thể truy cập tới đối tượng vàcác thao tác nào mà chủ thể có thể thực hiệnKhi chủ thể yêu cầu thực hiện một thao tác:
Hệ thống kiểm tra danh sách điều khiển truy cập đối vớimục đã được duyệt
Danh sách điều khiển truy cập thường được xem xéttrong mối liên hệ với các file của hệ điều hành
Tập các quyền gắn với một đối tượngXác định chủ thể nào có thể truy cập tới đối tượng vàcác thao tác nào mà chủ thể có thể thực hiệnKhi chủ thể yêu cầu thực hiện một thao tác:
Hệ thống kiểm tra danh sách điều khiển truy cập đối vớimục đã được duyệt
Danh sách điều khiển truy cập thường được xem xéttrong mối liên hệ với các file của hệ điều hành
30Bài 6 - Kiến thức cơ sở về điều khiển truy cập
File chứa các quyềntruy cập trong UNIX
31Bài 6 - Kiến thức cơ sở về điều khiển truy cập
Danh sách điềukhiển truy cập (2/2)
Mỗi một mục trong bảng danh sách điều khiển truy cậpđược gọi là một mục điều khiển (ACE)Cấu trúc ACE (trong Windows)
Nhận dạng bảo mật (Access identifier) cho tài khoản ngườidùng hoặc tài khoản nhóm hoặc phiên đăng nhậpMặt nạ truy cập (access mask) xác định quyền truy cập doACE điều khiểnCờ (Flag) cho biết kiểu của ACETập các cờ (Set of flags) xác định đối tượng có thể kế thừacác quyền hay không
Mỗi một mục trong bảng danh sách điều khiển truy cậpđược gọi là một mục điều khiển (ACE)Cấu trúc ACE (trong Windows)
Nhận dạng bảo mật (Access identifier) cho tài khoản ngườidùng hoặc tài khoản nhóm hoặc phiên đăng nhậpMặt nạ truy cập (access mask) xác định quyền truy cập doACE điều khiểnCờ (Flag) cho biết kiểu của ACETập các cờ (Set of flags) xác định đối tượng có thể kế thừacác quyền hay không
32Bài 6 - Kiến thức cơ sở về điều khiển truy cập
Chính sách nhóm
Tính năng của Microsoft WindowsCho phép sử dụng Active Directory (AD) để quản lý vàcấu hình tập trung cho các máy tính và người dùng từ xaThường được sử dụng trong các môi trường doanhnghiệpCác thiết lập được lưu trữ trong các GPO (Group PolicyObjects – Đối tượng chính sách nhóm)
Local Group PolicyCó ít tùy chọn hơn so với Group PolicyĐược sử dụng để cấu hình các thiết lập cho các hệ thốngkhông phải là một phần của AD
Tính năng của Microsoft WindowsCho phép sử dụng Active Directory (AD) để quản lý vàcấu hình tập trung cho các máy tính và người dùng từ xaThường được sử dụng trong các môi trường doanhnghiệpCác thiết lập được lưu trữ trong các GPO (Group PolicyObjects – Đối tượng chính sách nhóm)
Local Group PolicyCó ít tùy chọn hơn so với Group PolicyĐược sử dụng để cấu hình các thiết lập cho các hệ thốngkhông phải là một phần của AD
33Bài 6 - Kiến thức cơ sở về điều khiển truy cập
Giới hạn tài khoản (1/3)
Giới hạn thời gian trong ngày (time of day restriction)Giới hạn số lần người dùng đăng nhập vào hệ thốngtrong một ngàyCho phép chọn khối thời gian chặn đối với các truy cậpđược cho phépCó thể được thiết lập trên từng hệ thống riêng lẻ
Hạn sử dụng tài khoản (account expiration)Các tài khoản “mồ côi” (orphaned account): tài khoảnvẫn còn hoạt động sau khi một nhân viên rời khỏi tổ chứcTài khoản không hoạt động (dormant account): khôngtruy cập trong một khoảng thời gian dàiCả hai kiểu tài khoản trên là những nguy cơ đối với bảomật
Giới hạn thời gian trong ngày (time of day restriction)Giới hạn số lần người dùng đăng nhập vào hệ thốngtrong một ngàyCho phép chọn khối thời gian chặn đối với các truy cậpđược cho phépCó thể được thiết lập trên từng hệ thống riêng lẻ
Hạn sử dụng tài khoản (account expiration)Các tài khoản “mồ côi” (orphaned account): tài khoảnvẫn còn hoạt động sau khi một nhân viên rời khỏi tổ chứcTài khoản không hoạt động (dormant account): khôngtruy cập trong một khoảng thời gian dàiCả hai kiểu tài khoản trên là những nguy cơ đối với bảomật
34Bài 6 - Kiến thức cơ sở về điều khiển truy cập
Giới hạn thời gian trongngày của hệ điều hành
35Bài 6 - Kiến thức cơ sở về điều khiển truy cập
Giới hạn đối với điểmtruy cập không dây
36Bài 6 - Kiến thức cơ sở về điều khiển truy cập
Giới hạn tài khoản (2/3)
Các khuyến cáo xử lý đối với tài khoản “mồ côi” và tàikhoản “ngủ đông”
Thiết lập một qui trình chính thứcChấm dứt truy cập ngay lập tứcQuản lý nhật ký (file log)
Các tài khoản “mồ côi” vẫn là một vấn đề nan giải đốicác tổ chức hiện nayAccount expiration (thời gian hiệu lực của tài khoản)
Thiết lập hết hạn cho một tài khoản người dùng (hết hiệulực)
Các khuyến cáo xử lý đối với tài khoản “mồ côi” và tàikhoản “ngủ đông”
Thiết lập một qui trình chính thứcChấm dứt truy cập ngay lập tứcQuản lý nhật ký (file log)
Các tài khoản “mồ côi” vẫn là một vấn đề nan giải đốicác tổ chức hiện nayAccount expiration (thời gian hiệu lực của tài khoản)
Thiết lập hết hạn cho một tài khoản người dùng (hết hiệulực)
37Bài 6 - Kiến thức cơ sở về điều khiển truy cập
Giới hạn tài khoản (3/3)
Password expiration (thời gian hiệu lực của mật khẩu)thiết lập khoảng thời gian mà người dùng phải thay đổimột mật khẩu mới
Khác với account expiration (thời gian hiệu lực của tàikhoản)
Account expiration có thể được thiết lập bằng số ngàymà người dùng không có bất cứ hành động truy cập nào
Password expiration (thời gian hiệu lực của mật khẩu)thiết lập khoảng thời gian mà người dùng phải thay đổimột mật khẩu mới
Khác với account expiration (thời gian hiệu lực của tàikhoản)
Account expiration có thể được thiết lập bằng số ngàymà người dùng không có bất cứ hành động truy cập nào
38Bài 6 - Kiến thức cơ sở về điều khiển truy cập
Các dịch vụ xác thực
Xác thực (Authentication)Quá trình xác minh thông tin
Các dịch vụ xác thực được cung cấp trên một mạngMáy chủ xác thực chuyên dụng
Còn gọi là máy chủ AAA nếu nó thực hiện đồng thời cảnhiệm vụ ủy quyền (authorization) và kế toán (accounting)
Các kiểu xác thực và máy chủ AAA thông dụngRADIUSKerberosTACACSLDAP
Xác thực (Authentication)Quá trình xác minh thông tin
Các dịch vụ xác thực được cung cấp trên một mạngMáy chủ xác thực chuyên dụng
Còn gọi là máy chủ AAA nếu nó thực hiện đồng thời cảnhiệm vụ ủy quyền (authorization) và kế toán (accounting)
Các kiểu xác thực và máy chủ AAA thông dụngRADIUSKerberosTACACSLDAP
39Bài 6 - Kiến thức cơ sở về điều khiển truy cập
RADIUS (1/2)
RADIUS (Remote Authentication Dial In User Service -Bộ quay số xác thực từ xa trong dịch vụ người dùng)
Được giới thiệu vào năm 1992Trở thành một tiêu chuẩn công nghiệpPhù hợp cho các ứng dụng kiểm soát dịch vụ cỡ lớn
Ví dụ như truy cập quay số tới mạng doanh nghiệpHiện nay xẫn đang được sử dụng
RADIUS clientThường là một thiết bị như điểm truy cập không dây (AP)
Có nhiệm vụ gửi các thông tin về người dùng cùng với cáctham số kết nối tới máy chủ RADIUS
RADIUS (Remote Authentication Dial In User Service -Bộ quay số xác thực từ xa trong dịch vụ người dùng)
Được giới thiệu vào năm 1992Trở thành một tiêu chuẩn công nghiệpPhù hợp cho các ứng dụng kiểm soát dịch vụ cỡ lớn
Ví dụ như truy cập quay số tới mạng doanh nghiệpHiện nay xẫn đang được sử dụng
RADIUS clientThường là một thiết bị như điểm truy cập không dây (AP)
Có nhiệm vụ gửi các thông tin về người dùng cùng với cáctham số kết nối tới máy chủ RADIUS
40Bài 6 - Kiến thức cơ sở về điều khiển truy cập
Xác thực RADIUS
41Bài 6 - Kiến thức cơ sở về điều khiển truy cập
RADIUS (2/2)
Hồ sơ người dùng RADIUS được lưu trữ trong cơ sở dữliệu trung tâm
Tất cả các máy chủ từ xa đều có thể chia sẻ thông tinƯu điểm của dịch vụ trung tâm
Tăng cường bảo mật do chỉ có duy nhất một điểm quản lýtrên mạngDễ dàng theo dõi và truy vết việc sử dụng để thanh toánvà lưu giữ các số liệu thống kê mạng
Hồ sơ người dùng RADIUS được lưu trữ trong cơ sở dữliệu trung tâm
Tất cả các máy chủ từ xa đều có thể chia sẻ thông tinƯu điểm của dịch vụ trung tâm
Tăng cường bảo mật do chỉ có duy nhất một điểm quản lýtrên mạngDễ dàng theo dõi và truy vết việc sử dụng để thanh toánvà lưu giữ các số liệu thống kê mạng
42Bài 6 - Kiến thức cơ sở về điều khiển truy cập
Kerberos
Hệ thống xác thực được phát triển tại MITSử dụng mã hóa và xác thực để đảm bảo tính bảo mật
Thường được sử dụng cài đặt trong các thiết lập giáodục và chính phủHoạt động giống như việc sử dụng giấy phép lái xe đểthanh toán séc.Vé Kerberos
Chứa các thông tin liên quan tới người dùngNgười dùng trình diện vé vào mạng cho một dịch vụRất khó để sao chépHết hiệu lực sau một vài giờ hoặc sau một ngày
Hệ thống xác thực được phát triển tại MITSử dụng mã hóa và xác thực để đảm bảo tính bảo mật
Thường được sử dụng cài đặt trong các thiết lập giáodục và chính phủHoạt động giống như việc sử dụng giấy phép lái xe đểthanh toán séc.Vé Kerberos
Chứa các thông tin liên quan tới người dùngNgười dùng trình diện vé vào mạng cho một dịch vụRất khó để sao chépHết hiệu lực sau một vài giờ hoặc sau một ngày
43Bài 6 - Kiến thức cơ sở về điều khiển truy cập
TACACS
TACACS (Terminal Access Control Access ControlSystems - Hệ thống điều khiển truy cập điều khiển truycập thiết bị đầu cuối)Dịch vụ xác thực tương tự như RADIUSDo Cisco Systems phát triểnThường được sử dụng trên các thiết bị UNIXGiao tiếp bằng cách chuyển tiếp thông tin xác thựcngười dùng tới một máy chủ trung tâmPhiên bản hiện tại là TACACS+.
TACACS (Terminal Access Control Access ControlSystems - Hệ thống điều khiển truy cập điều khiển truycập thiết bị đầu cuối)Dịch vụ xác thực tương tự như RADIUSDo Cisco Systems phát triểnThường được sử dụng trên các thiết bị UNIXGiao tiếp bằng cách chuyển tiếp thông tin xác thựcngười dùng tới một máy chủ trung tâmPhiên bản hiện tại là TACACS+.
44Bài 6 - Kiến thức cơ sở về điều khiển truy cập
So sánh giữa RADIUSvà TACACS+
45Bài 6 - Kiến thức cơ sở về điều khiển truy cập
LDAP (1/2)
LDAP (Lightweight Directory Access Control - Giao thứctruy cập thư mục hạng nhẹ)Dịch vụ thư mục
Cơ sở dữ liệu được lưu trên mạngChứa các thông tin về người dùng và các thiết bị mạngLưu vết theo dõi các tài nguyên mạng và đặc quyền củangười dùng đối với những tài nguyên đóCho phép hoặc từ chối truy cập dựa trên thông tin lưu trữ
Tiêu chuẩn cho các dịch vụ thư mụcX.500
DAP (Directory Access Protocol - Giao thức truy cập thưmục )
LDAP (Lightweight Directory Access Control - Giao thứctruy cập thư mục hạng nhẹ)Dịch vụ thư mục
Cơ sở dữ liệu được lưu trên mạngChứa các thông tin về người dùng và các thiết bị mạngLưu vết theo dõi các tài nguyên mạng và đặc quyền củangười dùng đối với những tài nguyên đóCho phép hoặc từ chối truy cập dựa trên thông tin lưu trữ
Tiêu chuẩn cho các dịch vụ thư mụcX.500
DAP (Directory Access Protocol - Giao thức truy cập thưmục )
46Bài 6 - Kiến thức cơ sở về điều khiển truy cập
LDAP (2/2)
LDAPMột tập con đơn giản hơn của DAPĐược thiết kế để hoạt động trên bộ giao thức TCP/IPCó các chức năng đơn giản hơnMã hóa các thành phần giao thức theo cách đơn giản hơnso với X.500Là một giao thức mở
Nhược điểm của LDAPCó thể là mục tiêu của tấn công tiêm nhiễm LDAP
Tương tự như tấn công tiêm nhiễm SQLXảy ra khi dữ liệu do người dùng cung cấp không được lọcđúng cách
LDAPMột tập con đơn giản hơn của DAPĐược thiết kế để hoạt động trên bộ giao thức TCP/IPCó các chức năng đơn giản hơnMã hóa các thành phần giao thức theo cách đơn giản hơnso với X.500Là một giao thức mở
Nhược điểm của LDAPCó thể là mục tiêu của tấn công tiêm nhiễm LDAP
Tương tự như tấn công tiêm nhiễm SQLXảy ra khi dữ liệu do người dùng cung cấp không được lọcđúng cách
47Bài 6 - Kiến thức cơ sở về điều khiển truy cập
Tổng kết (1/2)
Điều khiển truy cập là quá trình trong đó các tài nguyêncó thể bị từ chối hoặc được cấp phép truy cậpCó bốn mô hình điều khiển truy cập chínhCác bài thực hành tốt nhất để thực thi điều khiển truycập bao gồm
Tách nhiệm vụLuân chuyển công việcƯu tiên ít nhấtTừ chối ngầmKỳ nghỉ bắt buộc
Điều khiển truy cập là quá trình trong đó các tài nguyêncó thể bị từ chối hoặc được cấp phép truy cậpCó bốn mô hình điều khiển truy cập chínhCác bài thực hành tốt nhất để thực thi điều khiển truycập bao gồm
Tách nhiệm vụLuân chuyển công việcƯu tiên ít nhấtTừ chối ngầmKỳ nghỉ bắt buộc
48Bài 6 - Kiến thức cơ sở về điều khiển truy cập
Tổng kết (2/2)
Thực thi các phương pháp điều khiển truy cập bao gồmDanh sách điều khiển truy cậpChính sách nhómGiới hạn tài khoản
Các dịch vụ xác thực có thể được server AAA chuyên biệthoặc server xác thực cung cấp trên mạng
RADIUSKerberosTACACSLDAP
Thực thi các phương pháp điều khiển truy cập bao gồmDanh sách điều khiển truy cậpChính sách nhómGiới hạn tài khoản
Các dịch vụ xác thực có thể được server AAA chuyên biệthoặc server xác thực cung cấp trên mạng
RADIUSKerberosTACACSLDAP
49Bài 6 - Kiến thức cơ sở về điều khiển truy cập