ĐỒ ÁN HỆ THỐNG MẠNG
Đề tài:
BẢO MẬT TRONG WLAN

CHƯƠNG II
BẢO MẬT MẠNG VÀ INTERNET
2.1 Tổng quan về các mô hình mạng
2.1.1 Mô hình TCP/IP
Mạng Internet ngày nay là một mạng truyền thông không thể thiếu
được trong xã hội hiện đại. Mạng Internet cho phép kết nối mọi máy tính
trên toàn cầu Mạng Internet dựa trên bộ giao thức TCP/IP. TCP/IP là bộ
giao thức cho phép máy tính và người dùng có thể liên lạc với nhau trên
mạng. Ưu điểm của Internet là có thể kết nối mọi máy tính có kích cỡ
và với mọi phương tiện khác nhau miễn máy tính đó cài đặt bộ giao thức
TCP/IP.
TCP/IP là một giao thức kết hợp giao thức TCP và giao thức IP
nhằm quản lý và điều khiển việc trao đổi thông tin giữa các mạng đảm
bảo thông tin từ hệ thống đầu cuối này đến hệ thống đầu cuối kia chính
xác.
Ta đã biết rằng Internet là liên kết các mạng máy tính lại với nhau,
là mạng của tất cả các mạng. TCP/IP là một tiêu chuẩn sử dụng trên
phạm vi toàn cầu cho Internet.
Hình 2.1 : Giao thức TCP/IP nối hai máy tính với nhau qua hai Router
TCP là giao thức end-to- end định ra nguyên tắc và thể lệ trao đổi
thông tin giữa các đối tác ở các hệ thống đầu cuối, đảm bảo giao và nhận
dữ liệu chính xác.
IP là giao thức định ra nguyên tắc và thể lệ để đảm bảo cho dữ liệu
di chuyển giữa các mạng được an toàn, nói cách khác là định tuyến giữa
các mạng để dữ liệu chuyển đến chính xác địa chỉ theo một đường ngắn
nhất. Nhiệm vụ định tuyến do các router (bộ định tuyến) thực hiện, vì
vậy router thực hiện giao thức IP.

Ngoài ra giao thức TCP/IP còn dùng để kết nối giữa LAN và WAN
hay đóng vai trò là một giao thức cho mạng LAN.
Kiến trúc phân lớp của TCP/IP
TCP/IP có kiến trúc phân tầng, bao gồm 4 tầng sau:
1) Lớp liên kết dữ liệu (DataLink): Định nghĩa kết nối vật lý đến
các phương tiện cụ thể và định dạng các khung thông tin gửi và
nhận lại từ các phương tiện truyền dẫn.
2) Lớp giao thức Internet (Internet Protocol): Chuyển tiếp các gói
tin từ nguồn tới đích. Mỗi gói tin có chứa địa chỉ đích và IP sử
dụng thông tin này để hướng gói tin tới đích của nó.
IP được chạy trên tất cả các máy chủ cũng như trong các thiết
bị chuyển mạch chuyển tiếp gọi là các Router. Lớp IP là không có
hướng kết nối (connectionless) nghĩa là không cần phải thiết lập
một đường dẫn trước khi truyền dữ liệu. IP không đảm bảo rằng tất
cả các gói tin được phát đi ở đích sẽ đến cùng một thứ tự như việc
phát đi ở nguồn nên người ta bổ sung thêm vào các cơ chế kiểm
soát lỗi và kiểm soát luồng.
Việc đánh địa chỉ IP hiện nay theo kiểu IPv4 nhưng trong
tương lai sẽ thay bằng kiểu IPv6.
3) Lớp TCP/IP: Tầng này chạy trên đỉnh của lớp IP và bao gồm hai
giao thức là TCP và IP. TCP cung cấp phương thức hướng kết nối
cung cấp các dịch vụ tin cậy còn UDP sử dụng phương thức hướng
không kết nối cung cấp các dịch vụ kém tin cậy hơn.
4) Lớp ứng dụng (Applications): Là giao diện giữa người dùng và
mạng Internet. Ví dụ như các dịch vụ Telnet, FTP, HTTP
2.1.2 Mô hình OSI
Mô hình OSI bao gồm bảy lớp, mỗi lớp thực hiện một chức năng
riêng, những chức năng này được định nghĩa bởi OSI đó là :
1. Lớp ứng dụng : Lớp ứng dụng cung cấp những dịch vụ mạng
cho ứng dụng của user.

2. Lớp trình diễn : Lớp này cung cấp việc trình bày dữ liệu và
định dạng mã. Nó đảm bảo dữ liệu đến từ mạng có thể sử
dụng được bởi lớp ứng dụng, và đảm bảo rằng thông tin được
gửi bởi lớp ứng dụng được truyền lên mạng.
3. Lớp phiên : Thiết lập, duy trỳ, quản lý, các phiên truyền
thông giữa các ứng dụng.
4. Lớp vận chuyển : Lớp này phân đoạn và tái thiết dữ liệu
thành dòng chảy dữ liệu. TCP là một trong các giao thức
thuộc lớp vận chuyển được dùng với IP.
5. Lớp mạng : Xác định con đường tốt nhất để dịch chuyển dữ
liệu từ nơi này sang nơi khác. Router hoạt động ở lớp này.
6. Lớp liên kết dữ liệu : Chuẩn bị gói dữ liệu cho hoạt động
truyền mang tín hiệu vật lý xuyên môi trường. Nó xử lý các
thông báo lỗi, topo mạng, điều khiển luồng dữ liệu. Lớp này
sử dụng những địa chỉ truy xuất môi trường ( MAC
addresses).
7. Lớp vật lý : Cung cấp các phương tiện điện, cơ, thủ tục, hàm
để kích hoạt và duy trì mối liên kết vật lý giữa các hệ thống.
Nó sử dụng môi trường truyền vật lý như cáp xoắn đôi, cáp
đồng trục và cáp sợi quang.
2.1.3 Các thiết bị kết nối sử dụng trong mạng
2.1.3.1 Chuyển mạch
Một mạng chuyển mạch bao gồm một dãy các trường chuyển mạch
kết nối với nhau. Trường chuyển mạch bao gồm các thiết bị phần
mềm/phần cứng có khả năng tạo các kết nối tạm thời giữa hai hay nhiều
thiết bị tới chuyển mạch. Các chuyển mạch nói chung được phân loại
thành phương thức : Chuyển mạch kênh, chuyển mạch gói, và chuyển
mạch bản tin.

Tầng ứng dụng

Tầng trình diễn
Tầng phiên
Tầng giao vận
Tầng mạng
Tầng data link
Tầng vật lý
Gateway
Router
bridge
repeater

Hình 2-2 Các thiết bị kết nối mạng
2.3.1.2 Bộ lặp
Một bộ lặp là một thiết bị điện tử chỉ hoạt động trên tầng vật lý của
mô hình OSI. Bộ lặp thực hiện tăng thế cho tín hiệu truyền dẫn từ một
phân đoạn và duy trì tín hiệu tới phân đoạn khác của mạng. Vì vậy bộ
lặp cho phép mở rộng chiều dài vật lý của mạng. Các tín hiệu mang
thông tin có thể đi qua một khoảng cách lớn trước khi giảm tính toàn vẹn
dữ liệu do nhiễu. Một bộ lặp thu tín hiệu bị suy hao, thực hiện khôi phục
lại tín hiệu ban đầu và tạo ra một bản sao tín hiệu đưa trở lại đường
truyền.
2.3.1.3 Cầu nối
Các cầu hoạt động trong cả tầng vật lý và tầng liên kết dữ liệu của
mô hình OSI. Một cầu nối đơn kết nối các loại mạng khác nhau và làm
tăng mức kết nối liên mạng. Các cầu nối chia một mạng lớn thành các
phân đoạn nhỏ hơn. Các cầu có thể phân tách các lưu lượng cho mỗi
phân đoạn.
Cầu nối có thể truy nhập địa chỉ vật lý của tất cả các trạm kết nối
với nó . Khi một khung được nhập vào cầu nối, nó thực hiện phục hồi dữ
liệu và kiểm tra địa chỉ của nó và chuyển tiếp tới phân đoạn gần với địa

chỉ dữ liệu hơn.
2.3.1.4 Router
Router hoạt động trong các tầng vật lý, tầng liên kết dã liệu, và
tầng mạng của mô hình OSI. Mạng Internet là một sự kết hợp các kết nối
các mạng bằng các Router. Khi một Datagram đi từ một nguồn tới một
đích, có thể nó sẽ đi qua nhiều Router cho đến khi nó tìm router thấy gắn
với mạng đích. Các router quyết định đường dẫn cho gói tin, sắp xếp các
gói tin vào một liên kết nối mạng. Router sử dụng địa chỉ đích trên một
Datagram để lựa chọn một next-hop chuyển tiếp datagram.
2.3.1.5 Gateway
Gateway hoạt động trên tất cả các tầng của mô hình OSI. Một
gateway là một bộ chuyển đổi giao thức kết nối hai hay nhiều hệ thống
khác nhau và thông dịch cho mỗi thành viên. Vì thế, gateway gắn với
một thiết bị thực hiện việc thông dịch giao thức giữa các thiết bị. Một
gateway có thể nhận một khuôn dạng gói tin từ một giao thức và chuyển
đổi nó thành khuôn dạng gói tin giao thức khác trước khi chuyển tiếp.
2.2 Những nguy hiểm từ môi trường ngoài tới hoạt động của
mạng
Trong quá trình hoạt động, mạng luôn phải chịu sự tác động mạnh
mẽ từ môi trường ngoài với những hành động truy nhập trái phép để can
thiệp vào các tài nguyên trong mạng.
Những đe dọa về an ninh mạng có thể do một cá nhân, đối tượng
nào đó khi thực hiện có thể làm hỏng LAN, như cố ý sửa đổi thông tin,
gây ra lỗi trong tính toán, hay có thể ngẫu nhiên xóa bỏ các tệp tin trong
mạng…Những nguy hiểm có thể cũng xảy ra do các hoạt động trong tự
nhiên…
Những hành động can thiệp vào một mạng LAN có thể liệt kê như
sau:
 Truy nhập LAN trái phép : Được thực hiện do một cá nhân
trái phép tìm được cách truy nhập LAN

 Không thích hợp truy nhập tài nguyên LAN : Do cá nhân
được phép hoặc không được phép truy nhập LAN gây ra. Cố
tình truy nhập tài nguyên LAN trong các trường hợp không
được phép.
 Làm lộ dữ liệu : Do một các nhân đọc thông tin và có thể để
lộ thông tin, do vô tình hoặc có chủ ý.
 Thay đổi trái phép dữ liệu và phần mềm : Là hành động
sửa đổi, xóa hay phá hủy dữ liệu LAN và phần mềm trong
trường hợp trái phép hoặc do ngẫu nhiên.
 Làm lộ lưu lượng LAN
 Giả mạo lưu lượng : Xuất hiện một bản tin và được gửi một
cách hợp phát, tên người gửi, trong đó thực tế bản tin đã
không được thực hiện
 Phá hỏng các chức năng LAN
2.3 Bảo mật mạng
Trước những nguy cơ mà một mạng gặp phải, đã đặt ra yêu cầu
bảo mật mạng. Bảo mật mạng là nhân tố vô cùng quan trọng trong hoạt
động mạng. Yêu cầu cho các hoạt động bảo mật mạng là bất kỳ bản tin
nào được gửi cũng phải đến đúng địa chỉ đích. Thực hiện điều khiển truy
nhập trên toàn mạng, tất cả các thiết bị kết nối như các đầu cuối, chuyển
mạch, modem, gateway, cầu nối, router… Bảo vệ thông tin được phát,
cảnh báo hoặc loại bỏ các cá nhân hoặc thiết bị trái phép. Mọi vi phạm
bảo mật xuất hiện trên mạng phải được phát hiện, báo cáo và nhận trả lời
thích hợp. Có kế hoạch khôi phục lại kênh liên lạc ban đầu cho người sử
dụng khi gặp phải sự cố an ninh mạng. Bảo mật mạng được xem xét
theo các khía cạnh sau.
2.3.1 Chính sách bảo mật
Một chính sách bảo mật là một thông báo rõ ràng các nguyên tắc
mà theo nó người được truy nhập tới công nghệ của một tổ chức và các
tài sản thông tin phải tuân theo.

Mục đích chính của chính sách bảo mật là dành cho người sử dụng,
các nhân viên, và các nhà quản lý với những nhu cầu bắt buộc cần bảo
vệ công nghệ và các tài sản thông tin. Chính sách bảo mật chỉ rõ các cơ
chế mà qua đó phù hợp với yêu cầu. Một mục đích khác là cung cấp một
đường cơ sở từ đó định cấu hình và đánh giá các hệ thống máy tính và
các mạng tuân thủ chính sách.
Một chính sách sử dụng thích hợp (AUP) cũng có thể là một phần
của chính sách bảo mật. Nó giải thích rõ ràng những gì mà người sử
dụng sẽ và không được làm đối với các thành phần khác nhau của hệ
thống, bao gồm loại lưu lượng đã cho phép trên mạng. AUP phải trình
bày đơn giản, rõ ràng tránh sự tối nghĩa hay hiểu lầm.
Đặc trưng của một chính sách bảo mật hiệu quả là:
1. Nó phải được thực hiện qua các thủ tục quản lý hệ thống, công
bố sử dụng
2. Các nguyên tắc, hoặc các phương thức phù hợp khác.
3. Nó phải được thi hành với các công cụ bảo mật.
4. Nó phải định nghĩa rõ ràng trách nhiệm người sử dụng, nhà
quản trị, và các nhà quản lý.
Các thành phần của một chính sách bảo mật hiệu quả bao
gồm :
1. Các nguyên tắc lựa chọn công nghệ máy tính : Chỉ rõ nhu cầu,
ưu tiên, các đặc trưng bảo mật. Bổ sung các các chính sách lựa
chọn hiện có và các nguyên tắc.
2. Một chính chính sách bảo mật xác định hợp lý những nhu cầu
bảo mật như tạo ra cơ chế quản lý thư điện tử, đăng nhập nhấn
phím, và truy nhập các tệp tin người sử dụng.
3. Một chính sách truy nhập định nghĩa các quyền truy nhập và các
đặc quyền để bảo vệ khỏi mất hoặc bị lộ bằng việc chấp nhận sử
dụng các nguyên tắc cho người sử dụng, các nhân viên vận hành
và các nhà quản lý. Nó có thể cung cấp các nguyên tắc cho các

kết nối bên ngoài, truyền thông số liệu, kết nối các thiết bị tới
mạng, bổ xung các phần mềm mới cho hệ thống. Vì vậy, nó
phải chỉ rõ mọi thông điệp khai báo. (các thông điệp kết nối
phải cung cấp hoặc ủy quyền sử dụng và quản lý tuyến, và
không nói đơn giản là “Welcome”).
4. Một chính sách giải trình (Accountability Policy) định nghĩa
trách nhiệm của người sử dụng, các nhân viên hoạt động, và các
nhà quản lý. Nó chỉ rõ khả năng đánh giá, và cung cấp các
nguyên tắc xử lý các việc xảy ra. (phải làm gì và tiếp xúc ai khi
việc xâm nhập có thể được phát hiện).
5. Một chính sách nhận thực thiết lập sự tin cậy thông qua một
chính sách mật khẩu có hiệu lực, và bằng việc tạo các nguyên
tắc cho nhận thực vị trí từ xa và sử dụng các thiết bị nhận thực
(các mật khẩu và các thiết bị tạo ra chúng).
6. Một khai báo có hiệu lực sắp xếp các nhu cầu của người sử
dụng cho tính sẵn sàng của tài nguyên. Nó nên đánh địa chỉ dư
và khôi phục phát hành, cũng như chỉ rõ thời gian hoạt động,
khoảng thời gian ngừng hoạt động để bảo dưỡng. Nó cũng bao
gồm thông tin tương tác để báo cáo tình trạng xấu của mạng và
hệ thống.
7. Một chính sách bảo dưỡng mạng và hệ thống công nghệ thông
tin mô tả cách bảo trì cho cả bên trong và bên ngoài cho những
người được phép thao tác và truy nhập công nghệ. Một chủ đề
quan trọng là đánh địa chỉ ở đây là bảo trì từ xa được cho phép
và truy nhập được điều khiển.
8. Chính sách thông báo vi phạm phải chỉ ra loại vi phạm, phải báo
cáo và tới người nào.
9. Thông tin hỗ trợ cung cấp cho người sử dụng, nhân viên, và nhà
quản lý cùng với thông tin tương tác cho mỗi loại vi phạm chính
sách các nguyên tắc dựa trên hướng dẫn thao tác các truy vấn

bến ngoàn vể một xâm phạm an ninh.
2.3.1 Các cơ chế và dịch vụ bảo mật
Một dịch vụ bảo mật là tập hợp các cơ chế, thủ tục và các điều
khiển khác được thi hành để giúp giảm bớt những rủi ro và những mối
nguy hiểm có thể xảy ra. Ví dụ, dịch vụ nhận dạng và nhận thực giúp
giảm bớt sự nguy hiểm đối với người sử dụng trái phép. Một số dịch vụ
cung cấp sự bảo vệ tránh khỏi những đe dọa, đôi khi các dịch vụ khác
cung cấp việc dò tìm các sự kiện dẫn tới nguy hiểm.
Nhận dạng và nhận thực : là dịch vụ bảo mật giúp đảm bảo rằng
mạng LAN chỉ được truy nhập bởi những người được trao quyền.
Điều khiển truy nhập : là dịch vụ bảo mật giúp đảm bảo rằng cá
tài nguyên LAN được sử dụng theo một loại ủy quyền.

Độ tin cậy bản tin thông điệp và dữ liệu : là một dịch vụ bảo mật
giúp đảm bảo rằng dữ liệu LAN, phần mềm và các message không bị lộ
cho các tổ chức không được trao quyền.
Tính toàn vẹn bản tin và dữ liệu : Là dịch vụ bảo mật giúp đảm
bảo rằng dữ liệu LAN, phần mềm và các message không bị sửa đổi bởi
các tổ chức trái phép.
Không được phủ nhận : Là dịch vụ đảm bảo rằng các thực thể
liên quan trong một truyền thông không thể phủ nhận đã tham gia. Cụ
thể là thực thể phát không thể phủ nhận đã gửi bản tin và thực thể nhận
không thể phủ nhận đã nhận một bản tin.
Đăng nhập và giám sát : Là dịch vụ bảo mật bằng việc sử dụng
các tài nguyên LAN, có thể dò tìm trên toàn LAN. Quyết định các điều
khiển thích hợp và các thủ tục sử dụng trong bất kỳ môi trường LAN
nào.
2.3.2 Bảo mật môi trường vật lý
Các điều khiển bảo mật vật lý và môi trường bao gồm ba phạm vi
lớn như sau:

1. Môi trường vật lý thường là tòa nhà, cấu trúc khác hay nơi để xe
cộ, hệ thống và các thành phần mạng. Các hệ thống có thể được
mô tả, dựa trên vị trí hoạt động, như là tĩnh, di động, hay linh
động. Các hệ thống tĩnh được lắp đặt trong các cấu trúc ở những vị
trí cố định. Các hệ thống di động được lắp đặt trong các xe cộ thực
hiện chức năng của một cấu trúc, nhưng nó không ở một vị trí cố
định. Các hệ thống linh động không được lắp đặt trong các vị trí
hoạt động cố định. Chúng có thể hoạt động trong nhiều vị trí khác
nhau, bao gồm tòa nhà, xe cộ… Những đặc trưng vật lý của cấu
trúc này quyết định mức độ đe dọa vật lý như cháy, truy nhập trái
phép….
2. Các điều khiển bảo mật môi trường và vật lý được thi hành để bảo
vệ hiệu quả các tài nguyên hệ thống, và sử dụng hiệu quả các tài
nguyên để hỗ trợ cho hoạt động của chúng.
3. Vị trí địa lý quyết định các đặc trưng của các mới đe dọa từ tự
nhiên, bao gồm động đất, ngập lụt… những đe dọa từ phía con
người như trộm cắp, mất an ninh, hoặc các việc ngăn chặn truyền
thông và các hoạt động gây thiệt hại, bao gồm việc đổ các chất độc
hóa học, cháy nổ và nhiễu điện từ do các rada…
4. Để hỗ trợ hiệu quả các dịch vụ này (cả về mặt kỹ thuật và con
người) củng cố hoạt động hệ thống. Quá trình hoạt động của hệ
thống thường phụ thuộc vào khả năng hỗ trợ từ các thành phần như
nguồn điện, điều kiện không khí và nhiệt độ, và môi trường viễn
thông. Việc phải hoạt động trong điều kiện dưới mức bình thường
có thể dẫn tới ngưng hoạt động của hệ thống và có thể dẫn tới phá
hủy phần cứng hệ thống và cơ sở dữ liệu.
5. Gián đoạn trong việc cung cấp các dịch vụ máy tính: Một đe dọa từ
xa có thể làm gián đoạn chương trình hoạt động của hệ thống. Mức
độ nghiêm trọng thời gian tồn tại và định thời của ngắt dịch vụ và
các đặc trưng hoạt động cuối cùng của người sử dụng.

6. Làm hỏng vật lý : Nếu phần cứng hệ thống bị làm hỏng hay bị phá
hủy, thông thường nó phải được sửa chữa và thay thế. Dữ liệu có
thể bị phá hủy do một hành động phá hoại bằng một tấn công vật
lý lên phương tiện lưu trữ dữ liệu. Do đó dữ liệu phải được lưu trữ
dự phòng trong một hệ thống luôn sẵn sàng hoạt động khi hệ thống
hoạt động bị phá hủy. Dữ liệu sẽ được khôi phục từ các bản sao
của nó.
7. Làm lộ thông tin trái phép : Môi trường vật lý có thể phải chập
nhận một kẻ đột nhập truy nhập cả từ phương tiện ngoài tới phần
cứng hệ thống và tới các phương tiện bên trong các thành phần hệ
thống, các đường truyền dẫn hay các màn hình hiển thị. Tất cả điều
này dẫn đến tổn thất thông tin.
8. Tổn thất điều khiển đối với tính toàn vẹn hệ thống: Nếu người truy
nhập được vào khối xử lý trung tâm, nó có thể thực hiện khởi
động lại hệ thống bỏ qua các điều khiển truy nhập logic. Điều này
có thể dẫn đến lộ thông tin, gian lận, thay các phần mềm hệ thống
và ứng dụng, như là chương trình con ngựa thành toroa.
Bảy loại điều khiển bảo mật môi trường và vật lý cơ bản:
 Các điều khiển khiển truy nhập vật lý
 An toàn cháy nổ
 Hỗ trợ các tiện ích
 Giảm cấu trúc
 plumbing leaks
 Ngăn chặn dữ liệu
 Các hệ thống di động và linh động
Các điều khiển truy nhập vật lý
Các điều khiển truy nhập vật lý giới hạn việc nhập và thoát của các
thiết bị (thường là các thiết bị và phương tiện) từ mộ khu vực, như một
tòa nhà văn phòng, trung tâm dữ liệu, hoặc các phòng có server LAN.
Các điều khiển dựa trên truy nhập vật lý tới các phần tử của hệ

thống có thể bao gồm điều khiển các khu vực, các chướng ngại vật ngăn
cách mỗi khu vực. Thêm vào đó các nhân viên làm việc trong khu vực
giới hạn phục vụ một nhiệm vụ quan trọng trong việc cung cấp bảo mật
vật lý.
Các điều khiển truy nhập vật lý không nên chỉ đánh địa chỉ khu
vực bao gồm phần cứng hệ thống, nhưng ngoài ra cả các địa điểm được
sử dụng kết nối các phần tử của hệ thống, dịch vụ năng lượng điện tử,
điều hòa không khí, điện thoại và các tuyến dữ liệu, sao chép dự phòng
các tài liệu nguồn và phương tiện. Điều này nghĩa là tất cả các khu vực
trong một kiến trúc bao gồm các phần tử hệ thống phải được nhận dạng.
Một điều cũng rất quan trọng là việc xem xet lại hiệu quả hoạt
động của các điều khiển vật lý trong mỗi khu vực, cả thời gian tồn tại
hoạt động bình thường và ở mỗi thời điểm khác nhau khi một khu vực
có thể không bị chiếm. Hiệu quả hoạt động phục thuộc vào cả các đặc
trưng của các thiết bị điều khiển đã sử dụng và sự thi hành và hoạt động.
Tính khả thi của sự đăng nhập gian lận cũng cần được nghiên cứu.
Tạo thêm một chướng ngại vật để giảm sự rủi ro cho các khu vực
sau chướng ngại vật. Tăng cường màn chắn ATM ở một điểm nhập có
thể giảm một số sự xâm nhập.
2.3.3 Nhận dạng và nhận thực
Bước đầu tiên hướng tới bảo mật tài nguyên LAN là là khả năng
kiểm tra việc nhận dạng người sử dụng. Quá trình kiểm tra một nhận
dạng người sử dụng được đề cập là nhận thực. Nhận thực cung cấp cơ sở
cho năng lực của các điều khiển sử dụng trên LAN. Ví dụ, cơ chế
logging cung cấp cách sử dụng thông tin dựa trên ID người sử dụng. Cơ
chế điều khiển truy nhập cho phép truy nhập tài nguyên LAN dựa trên
ID người sử dụng. Cả hai điều khiển này chỉ hiệu quả khi chắc chắn rằng
người sử dụng được gán ID rõ ràng và hợp lý.
Nhận dạng yêu cầu người sử dụng phải được LAN nhận biết theo
một vài cách. Thông thường, điều này dựa trên việc gán ID người sử

dụng. Tuy nhiên LAN không thể tin cậy hoàn toàn vào người sử dụng
trong thực tế.
Nhận thực được thực hiện bằng việc cung cấp cho người sử dụng
cái gì đó mà chỉ người sử dụng có như một thẻ, hoặc chỉ người sử dụng
biết, như là một mật khẩu, hoặc tạo ra một cái duy nhất chỉ liên quan đến
người sử dụng như là một dấu vân tay. Những điều này sẽ giảm thiểu
những nguy hiểm khi một ai đó giả mạo là người sử dụng hợp pháp.
Một thủ tục chỉ rõ sự cần thiết của nhận thực nên tồn tại trong hầu
hết các chính sách LAN. Thủ tục có thể được hướng dẫn hoàn toàn trong
một chính sách mức chương trình nhấn mạnh sự cần thiết điều khiển
truy nhập thông tin và tài nguyên LAN một cách hiệu quả, hoặc có thể
thông báo rõ ràng trong một LAN chỉ rõ chính sách mà các thông báo
nói rõ với tất cả người sử dụng được nhận dạng và nhận thực một cách
duy nhất.
Trong hầu hết các LAN, cơ chế nhận dạng và nhận thực là sự sắp
xếp theo hệ thống userID/mật khẩu. Thật ra hệ thống mật khẩu chỉ hiệu
quả nếu quản lý đúng đắn, nhưng thường ít được như vậy. Nhận thực chỉ
dựa trên mật khẩu thường gặp thất bại trong việc cung cấp bảo vệ thỏa
đáng cho hệ thống vì một số lý do. Những người sử dụng luôn nghĩ tới
việc tạo một mật khẩu dễ nhớ và vì thế dễ đoán. Mặt khác khi mà người
sử dụng phải sử dụng các mật khẩu đã tạo ra từ các kí tự ngẫu nhiên, sẽ
khó khăn để đoán và cũng khó khăn để nhớ lại. Lựa chọn một mật khẩu
đúng đắn (tạo cân bằng giữa dễ nhớ cho người sử dụng nhưng khó khăn
để đoán đối với những người khác ) luôn luôn là một vấn đề.
Cơ chế mật khẩu duy nhất, đặc biệt là cơ chế này truyền mật khẩu
đơn giản (trong điều kiện không mã hóa) nên dễ bị giám sát và đánh cắp.
Điều này trở nên nghiêm trọng nếu LAN cho phép mọi kết nối từ ngoài
mạng.
Do cơ chế mật khẩu duy nhất vẫn tồn tại khả năng bị xâm phạm,
nên có thêm các cơ chế có thể sử dụng. Một cơ chế sử dụng Card thông

minh hoặc sử dụng thẻ bài yêu cầu một người sử dụng phải có thẻ
(token) và có thể yêu cầu thêm việc biết một PIN hoặc mật khẩu. Các
thiết bị này thực hiện một cơ chế nhận thực Yêu cầu/Trả lời sử dụng các
tham số thời gian thực. Sử dụng các tham số thời gian thực giúp ngăn
chặn một người đột nhập truy nhập lại trái phép qua việc phát lại phiên
đăng nhập. Các thiết bị này cũng có thể mã hóa phiên nhận thực, ngăn
chặn việc ảnh hưởng tới thông tin nhận thực qua việc theo dõi và bắt
giữ.
Các cơ chế khóa cho các thiết bị LAN, các trạm làm việc, hoặc các
PC yêu cầu nhận thực người sử dụng để mở khóa có thể có ích cho
người sử dụng phải rời khỏi nơi khu vực làm việc thường xuyên. Các
khóa này cho phép người sử dụng duy trì đăng nhập vào LAN và rời
khỏi phạm vi làm việc của họ mà không lộ mục nhập điểm vào LAN.
Các modem cung cấp truy nhập LAN cho người sử dụng có thể yêu cầu
thêm sự bảo vệ. Bởi vì kẻ xâm nhập có thể truy nhập modem và thành
công trong việc đoán mật khẩu người sử dung. Tính sẵn sàng của
modem sử dụng cho những người sử dụng hợp pháp cũng có thể trở
thành một vấn đề nếu một kẻ đột nhập được cho phép tiếp tục truy nhập
vào modem. Các cơ chế cung cấp cho người sử dụng với thông tin sử
dụng tài khoản của anh ta (cô ta) có thể cảnh báo người sử dụng rằng tài
khoản đã được sử dụng trong một trường hợp không bình thường (nhiều
đăng nhập lỗi). Các cơ chế này bao gồm thông báo như ngày, thời gian,
và vị trí lần cuối cùng đăng nhập thành công, và số lần đăng nhập thất
bại ngay trước đó. Loại cơ chế bảo mật có thể được thi hành để cung cấp
các dịch vụ nhận dạng và nhận thực được liệt kê như sau:
 Cơ chế sử dụng mật khẩu
 Cơ chế sử dụng smartCard/ thẻ bài thông minh
 Cơ chế sử dụng sinh trắc học
 Tạo mật khẩu
 Khóa khóa mật khẩu

 Khóa bàn phím
 Khoá PC hoặc trạm
 Kết thúc kết nối sau khi nhiêu đăng nhập thất bại
 Sử dụng thông báo “đăng nhập thành công lần cuối cùng” và
“số lần đăng nhập thất bại”
 Cơ chế xác minh người sử dụng thời gian thực
 Mật mã với các khóa người sử dụng duy nhất.
2.3.3.1 I& A dựa trên những gì người sử dụng biết
Hầu hết mẫu chung của của I&A là một ID người sử dụng kết hợp
với một mật khẩu. Kĩ thuật này chỉ đơn thuần dựa trên những gì biết về
người sử dụng. ngoài ra còn có các kĩ thuật khác, như nhận biết một
khóa mật mã.
Mật khẩu
Nói chung, phương thức làm việc của các hệ thống mật khẩu là yêu
cầu người sử dụng nhập một ID người sử dụng và mật khẩu (hoặc cụmg
từ hay số nhận dạng cá nhân). Hệ thống so sánh mật khẩu với mật khẩu
lưu trữ trước đó. Nếu trùng khớp, người sử dụng được nhận thực và
được phép truy nhập mạng
Lợi ích của các mật khẩu :Các mật khẩu đã thành công trong việc
cung cấp bảo mật cho các hệ thống máy tính trong một thời gian dài.
Chúng được tích hợp vào trong nhiều hệ điều hành, người sử dụng và
các nhà quản lý mạng đã quen thuộc với chúng.
Những khó với các mật khẩu : An toàn của một hệ thống mật khẩu
bị phụ thuộc vào việc bảo vệ các mật khẩu. Đáng tiếc là nhiều phương
pháp bảo mật đã bị lộ. Do đó cần phải cải tiến bảo mật cho mật khẩu.
Tuy nhiên, không có gì vững chắc cho vấn đề kiểm tra điện tử, ngoại trừ
sử dụng nhận thực cao cấp hơn (có thể sử dụng các kĩ thuật mật mã hoặc
các thẻ bài).
 Đoán hoặc tìm mật khẩu : Nếu người sử dụng lựa chon mật
khẩu cho mình, mọi người muốn có một mật khẩu dễ nhớ.

Như thế nó lại thường dễ đoán ra. Như là tên một đứa trẻ, vật
nuôi quen thuộc, hay đội bóng yêu thích thường là những ví
dụ phổ biến… nếu thực hiện theo cách khác, có thể gặp khó
khăn khi nhớ ra mật khẩu.
 Cho các mật khẩu : Các người sử dụng có thể dùng chung
các mật khẩu của họ. Họ có thể cho mật khẩu của mình để
dùng chung các tệp tin. Thêm vào đó người ta có thể bị lừa
gạt để lộ mất mật khẩu của mình.
 Kiểm tra điện tử : Khi các mật khẩu được phát tới một hệ
thống máy tính, nó có thể chịu sự giám sát điện tử. Điều này
có thể xảy ra trên mạng đã phát mật khẩu hoặc trên bản thân
hệ thống máy tính. Đơn giản vì mật mã của một mật khẩu sẽ
được sử dụng lại bởi vì mật mã mật khẩu giống nhau sẽ tạo
ra văn bản mật mã giống nhau; văn bản đã được mật mã trở
thành mật khẩu.
 Truy nhập tệp tin mật khẩu : nếu như tệp tin mật khẩu không
được bảo vệ bởi các điều khiển truy nhập mạnh, tệp tin có thể
bị download. Các tệp tin mật khẩu thường được bảo vệ với
một phương pháp mật mã không sẵn có cho các nhà quản lý
hệ thống hay các hacker. Thậm chí nếu các tệp tin được mật
mã, brute force (đây là phương pháp giải bài toán khó bằng
cách lặp đi lặp lại nhiều lần) có thể được sử dụng để học các
mật khẩu nếu tệp tin bị downloaded
Sử dụng các mật khẩu như điều khiển truy nhập : Một số hệ điều
hành máy tính lớn và nhiều ứng dụng PC sử dụng các mật khẩu như một
phương tiện hạn chế truy nhập tài nguyên trong một hệ thống. Thay vì
sử dụng các cơ chế như là điều khiển truy nhập, truy nhập có thể được
thực hiện bằng cách nhập một mật khẩu. Kết quả là sự ra tăng nhanh
chóng các mật khẩu có thể giảm bớt khả năng bảo mật của hệ thống. Khi
sử dụng mật khẩu như một phương tiện điều khiển truy nhập là phổ biến,

nó có thể là một phương pháp không tối ưu và hiệu quả kinh tế không
cao.