Bài giảng Bảo mật thông tin - Bài 9: Ứng dụng kiểm soát truy cập

Trình bày: Ths. Lương Trần Hy Hiến 1. Tổng quan về kiến trúc AAA 2. TACACS+ 3. RADIUS 2  AAA cho phép nhà quản trị mạng biết được các thông tin quan trọng về tình hình cũng như mức độ an toàn trong mạng.  Ta có thể bật các dịch vụ AAA trên router, switch, firewall, các thiết bị VPN, server,  Các dịch vụ AAA được chia thành ba phần, xác thực (authentication), cấp quyền (authorzation), tính cước (accounting) 3  Dùng để nhận dạng người dùng.  Kiểm tra username và password của người dùng so với với CSDL lưu trong AAA Server.  Một khi username và password được chấp nhận, AAA có thể dùng để định nghĩa thẩm quyền mà người dùng được phép làm trong hệ thống. 4  Những cái mà người dùng sở hữu bẩm sinh  VD: vết lăn tay, mẫu hình võng mạc mắt, chuỗi DNA, mẫu hình về giọng nói sự xác minh chữ ký, tín hiệu sinh điện đặc hữu do cơ thể sống tạo sinh (unique bio-electric signals), hoặc những biệt danh sinh trắc (biometric identifier)  Những cái gì người dùng có  VD: chứng minh thư (ID card), chứng chỉ an ninh (security token), chứng chỉ phần mềm (software token) hoặc điện thoại di động (cell phone)  Những gì người dùng biết  VD: mật khẩu, hoặc số định danh cá nhân (personal identification number - PIN))  Xác thực  Xác thực người dùng  Xác thực tiến trình  Xác thực tình huống  Cơ chế xác thực chia làm 3 loại:  What you know: mật khẩu, tên đăng nhập  What you process: thẻ bài, năng lực  Something about you: hình ảnh, dấu vân tay  Xác thực bằng mật khẩu:  Cơ chế xác thực user phổ biến, an toàn và hiệu quả  Mật khẩu phải đảm bảo: ▪ Kết hợp các ký tự, ký số ▪ Đủ dài (vd, từ 8 ký tự trở lên) ▪ Không sử dụng các ký hiệu, tên phổ biến ▪ Không được giống nhau ▪ Thay đổi thường xuyên ▪ Không lưu sẵn trên máy  Mật khẩu theo nhóm:  Nhóm user sử dụng chung tài khoản, ứng dụng  Nhóm host chung hệ thống mạng  Mật khẩu sử dụng nhiều lần:  Mỗi user có 1 mật khẩu đăng nhập hệ thống  Mật khẩu được sử dụng thường xuyên, ít thay đổi  Tiện lợi cho user, dễ bị đánh cắp  Mật khẩu sử dụng 1 lần:  Dành cho các user đăng nhập hệ thống 1 lần  Mỗi lần đăng nhập, user sẽ được cấp lại mật khẩu  Sau khi logout, password sẽ bị hủy  Thẻ bài (token):  User hợp pháp được cấp thẻ sử dụng  Chứng thực luận lý: thẻ bài + mã số thẻ  Chứng thực vật lý: thẻ bài + mã thẻ + máy đọc thẻ  Thẻ từ mã vạch (magnetic stripe credit card):  Bổ sung thông tin user, gia tăng độ an toàn của thẻ bài  Độ an toàn chưa cao (thẻ có thể bị mất, đánh cắp)  Thẻ thông minh (smart card, chip card):  Thẻ từ mã vạch sử dụng chip điện tử, vi xử lý  Độ an toàn cao, tiện dụng (user có thể sử dụng ở nhiều nơi)  Nhận dạng thông minh:  Xác thực đặc trưng user (vân tay, mống mắt) bằng máy quét  Độ chính xác cao, tuy nhiên tập đặc trưng user vẫn có thể bị đánh cắp  Cho phép nhà quản trị điều khiển việc cấp quyền trong một khoảng thời gian, hay trên từng thiết bị, từng nhóm, từng người dùng cụ thể hay trên từng giao thức.  Cho phép nhà quản trị tạo ra các thuộc tính mô tả các chức năng của người dùng được phép làm  cần phải được xác thực trước khi cấp quyền cho người đó. 10  Cho phép nhà quản trị có thể thu thập thông tin như thời gian bắt đầu, thời gian kết thúc người dùng truy cập vào hệ thống, các câu lệnh đã thực thi, thống kê lưu lượng, việc sử dụng tài nguyên và sau đó lưu trữ thông tin trong hệ thống cơ sở dữ liệu quan hệ.  Cho phép giám sát dịch vụ và tài nguyên được người dùng sử dụng.  Ví dụ: thống kê cho thấy người dùng có tên truy cập là SON đã truy cập vào SERVER bằng giao thức FTP với số lần là 5 lần.  Thông tin này có thể được dùng để tính cước khách hàng, quản lý mạng, kiểm toán sổ sách 11  TACACS (Terminal Access Controller Access Control System)  RADIUS (Remote Authentication Dial-In User Service) 12  TACACS là giao thức được chuẩn hóa sử dụng giao thức hướng kết nối (connection-oriented) là TCP trên port 49.  TACACS+ (Terminal Access controller Access- Control System Plus) là một giao thức độc quyền của Cisco, được thiết kế dùng trong kiến trúc AAA cho việc chứng thực, ủy quyền và kế toán trong môi trường mạng. 13  TACACS+ ID định nghĩa 12 bytes header xuất hiện trong tất cả các gói tin của TACACS+. Cấu trúc của giao thức TACACS+: gồm cấu trúc phần header và Data. Cấu trúc header  Data: chứa thông tin liên lạc giữa Tacacs+ client (Network Access Server) và Tacacs+ Server (AAA server). 14 15  Radius (Remote Access Dial In User Service) là một giao thức mạng cung cấp việc quản lý xác thực tập trung, ủy quyền, và kế toán ( AAA ) để cho các máy tính kết nối vào mạng và sử dụng dịch vụ mạng.  RADIUS được phát triển bởi Livingston Enterprises, Inc vào năm 1991. 16 17 Application TCP / UDP IP Link Physical RADIUS 18 RADIUS Server RADIUS Client (NAS – Network Access Server) Dial-In User LAN / WAN Dial-In 19 20  Quá trình xác thực RADIUS 21  Quá trình chứng thực trong accounting 22 23