An toàn bảo mật Mạng máy tính - Phần 1

Thảo luận trong 'Hacking - Bảo mật' bắt đầu bởi Trần Văn Cường, 15/11/16.

  1. Trần Văn Cường

    Trần Văn Cường I love CNTT Thành viên BQT Thành viên BQT

    Tham gia ngày:
    8/11/15
    Bài viết:
    3,693
    Đã được thích:
    43
    Điểm thành tích:
    48
    Giới tính:
    Nam
    Nghề nghiệp:
    Sinh Viên
    Nơi ở:
    Quảng Ninh thân yêu!
    Web:

    Giới thiệu về AAA

    Khi hệ thống mạng máy tính ra đời, nhu cầu chia sẻ tài nguyên thông tin được đặt ra. Sau một khoảng thời gian sử dụng, hệ thống mạng máy tính ngày càng được mở rộng do đó việc thực hiện các chính sách bảo mật, thiết lập các chính sách truy xuất tài nguyên mạng được đặt ra. Việc bảo đảm tính an toàn bảo mật của dữ liệu được lưu trữ trên máy tính cũng như tính bí mật và toàn vẹn của thông tin được truyền trên mạng có ý nghĩa rất lớn đối với sự tồn tại và phát triển của công nghệ thông tin.

    1. Điều khiển truy cập (Access Control)

    Điều khiển truy cập là một chính sách, được sự hỗ trợ của phần mềm hay phần cứng được dùng để cho phép hay từ chối truy cập đến tài nguyên, qui định mức độ truy xuất đến tài nguyên. Có ba mô hình được sử dụng để giải thích cho mô hình điều khiển truy cập: MAC (Mandatory Access Control), DAC (Discretionary Access Control), RBAC (Role Based Access Control)

    1.2.1 MAC (Mandatory Access Control)

    Mô hình MAC là một mô hình tĩnh sử dụng các quyền hạn truy cập đến tập tin được định nghĩa trước trên hệ thống. Người quản trị hệ thống thiết lập các tham số này và kết hợp chúng với một tài khoản, với nhiều tập tin hay tài nguyên. Mô hình MAC có thể bị hạn chế nhiều. Trong mô hình MAC người quản trị thiết lập việc truy cập và người quản trị cũng là người có thể thay đổi sự truy cấp đó. Người dùng không thể chia sẽ tài nguyên được trừ khi có một mối quan hệ với tài nguyên đã tồn tại trước.

    1.2.2. DAC (Discretionary Access Control)

    Là tập các quyền truy cập trên một đối tượng mà một người dùng hay một ứng dụng định nghĩa. Mô hình DAC cho phép người dùng chia sẻ tập tin và sử dụng tập tin do người khác chia sẻ. Mô hình DAC thiết lập một danh sách điều khiển truy cập (Access control list) dùng để nhận ra người dùng nào được quyền truy cập đến tài nguyên nào. Ngoài ra, mô hình này cho phép người dùng gán hay loại bỏ quyền truy cấp đến mỗi cá nhân hay nhóm dựa trên từng trường hợp cụ thể.

    1.2.3. RBAC (Role Based Access Control)

    Trong RBAC, việc quyết định quyền truy cập dựa trên vai trò của mỗi cá nhân và trách nhiệm của họ trong tổ chức.
    Quyền hạn dựa trên công việc và phân nhóm người dùng. Tuỳ thuộc vào từng quyền hạn của người dùng mà chúng ta sẽ phân quyền cho phù hợp.
    Ví dụ: Người quản trị có toàn quyền quản trị trên hệ thống mạng, được quyền thêm, xoá, sữa thông tin trên mạng. Những nhân viên bình thường trong mạng sẽ chỉ có quyền sử dụng máy tính.

    1.3 Xác thực (Authentication)

    Quá trình dùng để xác nhận một máy tính hay một người dùng cố gắng truy cập đến tài nguyên, cũng như cách thức đăng nhập và sử dụng hệ thống. Quá trình xác thực rất đa dạng, từ cách xác nhận thông thường như kiểm tra tên đăng nhập/ mật khẩu đến việc sử dụng các công nghệ tiên tiến như thể thông minh, thiết bị sinh học để nhận dạng người dùng.

    1.3.1. Username/ Password

    Đây là phương thức xác nhận cổ điển và được sử dụng rất phổ biến (do tính năng đơn giản và dễ quản lý). Mỗi người dùng sẽ được xác nhận bằng một tên truy cập và mật khẩu. Mật khẩu thông thường được lưu trong cơ sở dữ liệu dưới dạng mã hoá hoặc không mã hoá. Tuy nhiên mật khẩu có thể dễ dàng bị đoán bằng các phương pháp vét cạn.
    Chính sách mật khẩu:
    - Mức độ không an toàn: ít hơn 06 ký tự
    - Mức độ an toàn trung bình: 08 đến 13 ký tự
    - Mức độ an toàn cao: 14 ký tự
    Ngoài ra mật khẩu cần tuân theo một số yêu cầu sau:
    - Kết hợp giữa các ký tự hoa và thường
    - Sử dụng số, ký tự đặc biệt, không sử dụng các từ có trong tự điển.
    - Không sử dụng thông tin cá nhân để đặt mật khẩu (ngày sinh, số điện thoại,...)

    1.3.2. CHAP

    Do điểm yếu của User/ Pass là thông tin đễ dàng bị mất khi chuyển trên mạng, do đó cần phải có một phương pháp để đảm bảo rằng dữ liệu được truyền thông an toàn trong quá trình chứng thực. CHAP là một giao thức đáp ứng được yêu cầu trên. CHAP thường được dùng để bảo vệ các thông tin xác nhận và kiểm tra kết nối đến tài nguyên hợp lệ, sử dụng một dãy các thách thức và trả lời được mã hoá. Đây là nghi thức xác nhận truy cập từ xa mà không cần gửi mật khẩu qua mạng.

    1.3.3. Chứng chỉ (Certificates)

    Trong cuộc sống chúng ta sử dụng CMND hay hộ chiếu để giao tiếp với người khác trong xã hội như sử dụng để đi du lịch, tàu xe … Trong máy tính chúng ta sử dụng chứng chỉ để xác nhận với những máy khác rằng người dùng và máy tính hợp lệ và giúp cho các máy tính truyền thông với nhau được an toàn. Chứng chỉ điện tử là một dạng dữ liệu số chứa các thông tin để xác định một thực thể (thực thể có thể là một cá nhân, một server, một thiết bị hay phần mềm…)

    1.3.4. Mutual Authentication (Xác nhận lẫn nhau)

    Đa số các cơ chế chứng thực đều thực hiện một chiều, khi đó việc xác thực rất dễ bị giả lập và dễ bị Hacker tấn công bằng phương pháp giả lập cách thức kết nối (như Reply Attack …) Trong thực tế có rất nhiều ứng dụng đòi hỏi cơ chế xác nhận qua lại. ví dụ một người dùng có một tài khoản tại Ngân hàng. Khi người dùng truy xuất để kiểm tra ngày nạp tiền vào Ngân hàng sẽ kiểm tra tính hợp lệ của Ngân hàng đang thao tác. Nếu thông tin kiểm tra là hợp lệ thì quá trình đăng nhập thành công và người dùng có thể thay đổi thông tin tài khoản của mình. Mỗi thành phần trong một giao tiếp điện tử có thể xác nhận thành phần kia. Khi đó, không chỉ xác nhận người dùng với hệ thống mà còn xác nhận tính hợp lệ của hệ thống đối với người dùng.

    1.3.5. Biometrics


    Các thiết bị sinh học có thể cung cấp một cơ chế xác nhận an toàn rất cao bằng cách sử dụng các đặc tính về vật lý cũng như hành vi của mỗi cá nhân để chứng thực, được sử dụng ở các khu vực cần sự an toàn cao.
    Cách thức hoạt động của Biometric:
    - Ghi nhận đặc điểm nhận dạng sinh học: các đặc điểm nhận dạng của đối tượng được quét và kiểm tra; các thông tin về sinh học được phân tích và lưu lại thành các mẫu.
    - Kiểm tra: đối tượng cần được kiểm tra sẽ được quét; máy tính sẽ phân tích dữ liệu quét vào và đối chiếu với dữ liệu mẫu. Nếu dữ liệu mẫu đối chiếu phù hợp thì người dùng được xác định hợp lệ và có quyền truy xuất vào hệ thống.
    Một số dạng:
    - Các đặc điểm vật lý: dấu vân tay, quét khuôn mặt, quét võng mạc mắt
    - Các đặc tính và hành vi: Chữ ký tay, giọng nói
    Hiện nay cơ chế xác nhận sinh học được xem là cơ chế mang tính an toàn rất cao. Tuy nhiên để xây dựng cơ chế xác nhận này thì chi phí rất cao.

    1.3.6. Multi – Factor

    Khi một hệ thống sử dụng hai hay nhiều phương pháp chứng thực khác nhau để kiểm tra việc User đăng nhập hợp lệ hay không thì được gọi là multi – factor. Một hệ thống vừa sử dụng thể thông minh vừa sử dụng phương pháp chứng thực bằng username và password thì được gọi là một hệ thống chứng thực two – factor. Khi đó ta có thể kết hợp hai hay nhiều cơ chế xác nhận để tạo ra một cơ chế xác nhận phù hợp với nhu cầu.
    Chỉ danh của một cá nhân được xác định sử dụng ít nhất hai trong các factors xác nhận sau:
    - Bạn biết gì (một mật khẩu hay số pin)
    - Bạn có gì (smart card hay token)
    - Bạn là ai (dấu vân tay, võng mạc …)
    - Bạn làm gì (giọng nói hay chữ ký)

    1.3.7. Kerberos

    Kerberos là một dịch vụ xác nhận bảo đảm các tính năng an toàn, xác nhận một lần, xác nhận lẫn nhau và dựa vào thành phần tin cậy thứ ba.
    An toàn: Sử dụng ticket, dạng thông điệp mã hóa có thời gian, để chứng minh sự hợp lệ của người dùng. Vì thế mật khẩu của người dùng có thể được bảo vệ tốt do không cần gửi qua mạng hay lưu trên bộ nhớ máy tính cục bộ.
    Xác nhận truy cập một lần: Người dùng chỉ cần đăng nhập một lần và có thể truy cập đến tất cả các tài nguyên trên một hệ thống hay máy chủ khác hỗ trợ nghi thức Kerberos.
    Thành phần tin cậy thứ ba: Làm việc thông qua một máy chủ xác nhận trung tâm mà tất cả các hệ thống trong mạng tin cậy.
    Xác nhận lẫn nhau: Không chỉ xác nhận người dùng đối với hệ thống mà còn xác nhận sự hợp lệ của hệ thống đối với người dùng.
     

    Bình Luận Bằng Facebook

    data-href="https://cnttqn.com/threads/an-toan-bao-mat-mang-may-tinh-phan-1.3251.html"