Bài giảng Bảo mật thông tin - Bài 9: Ứng dụng kiểm soát truy cập
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (1.63 MB, 23 trang )
Trình bày:
Ths. Lương Trần Hy Hiến
o/hutech/baomatthongtin
1.
Tổng quan về kiến trúc AAA
2.
TACACS+
3.
RADIUS
2
AAA cho phép nhà quản trị mạng biết được các
thông tin quan trọng về tình hình cũng như mức
độ an toàn trong mạng.
Ta có thể bật các dịch vụ AAA trên router,
switch, firewall, các thiết bị VPN, server, …
Các dịch vụ AAA được chia thành ba phần, xác
thực (authentication), cấp quyền (authorzation),
tính cước (accounting)
3
Dùng để nhận dạng người dùng.
Kiểm tra username và password của người
dùng so với với CSDL lưu trong AAA Server.
Một khi username và password được chấp
nhận, AAA có thể dùng để định nghĩa thẩm
quyền mà người dùng được phép làm trong hệ
thống.
4
Những cái mà người dùng sở hữu bẩm sinh
VD: vết lăn tay, mẫu hình võng mạc mắt, chuỗi DNA,
mẫu hình về giọng nói sự xác minh chữ ký, tín hiệu
sinh điện đặc hữu do cơ thể sống tạo sinh (unique
bio-electric signals), hoặc những biệt danh sinh trắc
(biometric identifier)
Những cái gì người dùng có
VD: chứng minh thư (ID card), chứng chỉ an ninh
(security token), chứng chỉ phần mềm (software
token) hoặc điện thoại di động (cell phone)
Những gì người dùng biết
VD: mật khẩu, hoặc số định danh cá nhân (personal
identification number - PIN))
Xác thực
Xác thực người dùng
Xác thực tiến trình
Xác thực tình huống
Cơ chế xác thực chia làm 3 loại:
What you know: mật khẩu, tên đăng nhập…
What you process: thẻ bài, năng lực…
Something about you: hình ảnh, dấu vân tay…
Xác thực bằng mật khẩu:
Cơ chế xác thực user phổ biến, an toàn và hiệu quả
Mật khẩu phải đảm bảo:
▪
▪
▪
▪
▪
▪
Kết hợp các ký tự, ký số…
Đủ dài (vd, từ 8 ký tự trở lên)
Không sử dụng các ký hiệu, tên phổ biến
Không được giống nhau
Thay đổi thường xuyên
Không lưu sẵn trên máy
Mật khẩu theo nhóm:
Nhóm user sử dụng chung tài khoản, ứng dụng…
Nhóm host chung hệ thống mạng
Mật khẩu sử dụng nhiều lần:
Mỗi user có 1 mật khẩu đăng nhập hệ thống
Mật khẩu được sử dụng thường xuyên, ít thay đổi
Tiện lợi cho user, dễ bị đánh cắp
Mật khẩu sử dụng 1 lần:
Dành cho các user đăng nhập hệ thống 1 lần
Mỗi lần đăng nhập, user sẽ được cấp lại mật khẩu
Sau khi logout, password sẽ bị hủy
Thẻ bài (token):
User hợp pháp được cấp thẻ sử dụng
Chứng thực luận lý: thẻ bài + mã số thẻ
Chứng thực vật lý: thẻ bài + mã thẻ + máy đọc thẻ
Thẻ từ mã vạch (magnetic stripe credit card):
Bổ sung thông tin user, gia tăng độ an toàn của thẻ bài
Độ an toàn chưa cao (thẻ có thể bị mất, đánh cắp…)
Thẻ thông minh (smart card, chip card):
Thẻ từ mã vạch sử dụng chip điện tử, vi xử lý
Độ an toàn cao, tiện dụng (user có thể sử dụng ở nhiều nơi)
Nhận dạng thông minh:
Xác thực đặc trưng user (vân tay, mống mắt) bằng máy quét
Độ chính xác cao, tuy nhiên tập đặc trưng user vẫn có thể bị đánh cắp
Cho phép nhà quản trị điều khiển việc cấp
quyền trong một khoảng thời gian, hay trên từng
thiết bị, từng nhóm, từng người dùng cụ thể hay
trên từng giao thức.
Cho phép nhà quản trị tạo ra các thuộc tính mô
tả các chức năng của người dùng được phép
làm cần phải được xác thực trước khi cấp
quyền cho người đó.
10
Cho phép nhà quản trị có thể thu thập thông tin như thời
gian bắt đầu, thời gian kết thúc người dùng truy cập vào
hệ thống, các câu lệnh đã thực thi, thống kê lưu lượng,
việc sử dụng tài nguyên và sau đó lưu trữ thông tin
trong hệ thống cơ sở dữ liệu quan hệ.
Cho phép giám sát dịch vụ và tài nguyên được người
dùng sử dụng.
Ví dụ: thống kê cho thấy người dùng có tên truy cập là
SON đã truy cập vào SERVER bằng giao thức FTP với
số lần là 5 lần.
Thông tin này có thể được dùng để tính cước khách
hàng, quản lý mạng, kiểm toán sổ sách
11
TACACS (Terminal Access Controller Access
Control System)
RADIUS (Remote Authentication Dial-In User
Service)
12
TACACS là giao thức được chuẩn hóa sử dụng
giao thức hướng kết nối (connection-oriented) là
TCP trên port 49.
TACACS+ (Terminal Access controller AccessControl System Plus) là một giao thức độc
quyền của Cisco, được thiết kế dùng trong kiến
trúc AAA cho việc chứng thực, ủy quyền và kế
toán trong môi trường mạng.
13
TACACS+ ID định nghĩa 12 bytes header xuất hiện trong tất
cả các gói tin của TACACS+. Cấu trúc của giao thức
TACACS+: gồm cấu trúc phần header và Data.
Cấu trúc header
Data: chứa thông tin liên lạc giữa Tacacs+ client (Network
Access Server) và Tacacs+ Server (AAA server).
14
15
Radius (Remote Access Dial In User Service) là
một giao thức mạng cung cấp việc quản lý xác
thực tập trung, ủy quyền, và kế toán ( AAA ) để
cho các máy tính kết nối vào mạng và sử
dụng dịch vụ mạng.
RADIUS được phát triển bởi Livingston
Enterprises, Inc vào năm 1991.
16
Application
TCP / UDP
RADIUS
IP
Link
Physical
17
RADIUS Server
LAN / WAN
RADIUS Client
(NAS – Network Access Server)
Dial-In
Dial-In User
18
19
20
Quá trình xác thực RADIUS
21
Quá trình chứng thực trong accounting
22
23
