Để trở thành một chuyên gia bảo mật Comptia SECURITY+ thì điều trước tiên chúng ta
cần nắm vững các thành phần nền tảng trong mô hình bảo mật thông tin, bao gồm các cơ
chế xác thực người dùng, phương pháp kiềm sóat truy cập và mục tiêu của an tòan thông
tin. Trong bài thi thực tế của mình, tôi gặp các câu hỏi thuộc chủ đề này trong câu 1 đến
câu 10. Điều này chứng tỏ các khái niệm cơ bản của an tòan thông tin rất quan trọng
trong ki thi chứng chỉ quốc tế Comptia SECURITY+
CÁC MỤC TIÊU CỦA AN TÕAN THÔNG TIN LÀ GÌ : ĐÓ CHÍNH LÀ C.I.A
C.I.A là 3 mục tiêu cơ bản nhất của các tiến trình bảo mật, đây cũng là những đặc trưng
thường được hỏi trong kỳ thi chứng chỉ quốc tế Comptia Security+ vì vậy các bạn cần
nắm vững 3 khái niệm này và ý nghĩa của từng ký tự trong tam giác bảo mật trên.
-C: là Confidentiality nghĩa là tính riêng tư. Một trong những mục tiêu quan trọng nhất
của bảo mật thông tin là bảo đảm sự riêng tư của dữ liệu. Điều này có nghĩa là dữ liệu
hay thông tin của người nào thì chỉ người đó được biết và những người khác không được
quyền can thiệp vào. Trong thực tế, chúng ta thường thấy khi phát lương ngoài bì thư hay
đề chữ Confidentiality nhằm không cho các nhân viên biết mức lương của nhau để tránh
sự đố kỵ, so sánh giữa họ. Hoặc trong những khu vực riêng của một cơ quan hay tổ chức
nhằm ngăn chặn người lạ xâm nhập với bảng cấm ―không phận sự miễn vào‖ cũng là một
hình thức bảo vệ tính riêng tư. Đối với dữ liệu truyền để bảo vệ tính riêng tư
(confidentiality) thì chúng thường được mã hóa hay sử dụng các giao thức truyền thông
an tòan như SSH.
-I: là Integrity nghĩa là tính tòan vẹn. Mục tiêu thứ 2 trong bảo mật thông tin là bảo vệ
tính tòan vẹn cho dữ liệu. Nhằm bảo đảm khi dữ liệu truyền đi không bị thay đổi bởi một
tác nhân khác, ví dụ khi một email quan trọng được gởi đi thì thường được áp dụng các
thuật tóan bảo vệ tính tòan vẹn như message digest (sẽ tham khảo trong chương 6) ngăn
ngừa bị một tác nhân thứ 3 thay đổi bằng cách chặn bắt thông điệp trên.
-A: là Availability nghĩa là tính khả dụng, sẳn sàng đáp ứng nhu cầu người dùng. Cần đặc
biệt lưu ý khi các câu hỏi của Security+ khi hỏi rằng chữ A có phải tượng trưng cho
Accountant hay không. Vì nếu không nắm rõ ý nghĩa của 3 mục tiêu này các bạn sẽ dễ bị
đánh lừa bởi yếu tố thứ 3 Availability, nghĩa là dữ liệu cần phải luôn luôn đáp ứng được
nhu cầu của người dùng ví dụ như dịch vụ email của doanh nghiệp phải luôn luôn có khả
năng phục vụ nhu cầu gởi và nhận email, nếu do sự cố nào đó mà quá trình trao đổi thông
tin qua email không diễn ra được thì hệ thống bảo mật của chúng ta đã bị gãy đổ do mục
tiêu A không đáp ứng được.
Non-repudiation : đây là một trong những mục tiêu thứ cấp của 3 mục tiêu chính CIA
trong quá trình bảo mật thông tin. Non-repudation là tính không thể chối bỏ, nhằm bảo
đảm và xác nhận nguồn gốc của thông điệp. Nếu như các bạn hay download các chương
trình trên mạng thì sẽ thấy nhà cung cấp hay kèm theo một chuỗi số hàm băm MD5 hay
SHA dùng để xác nhận có phải bạn đã download đúng chương trình trên từ nhà cung câp
này hay không. Vì nếu như một chương trình khác được các attacker/hacker đưa lên thì
chắc chắn có sự thay đổi về nội dung và khi đó giá trị MD5/SHA đã bị thay đổi, khác với
giá trị mà nhà cung cấp đưa ra. Còn ngược lại, nếu giá trị MD5/SHA giống như giá trị
gốc thì chương trình trên đúng là của nhà cung cấp này và khi nó gây ra các tác hại nào
đó thì họ không được quyền chối bỏ trách nhiệm bằng cách nói rằng chương trình đó
không phải do họ viết. Trong khóa học SCNP (một hệ thống bảo mật cao cấp hơn so với
Comptia Security+) có hướng dẫn phương pháp tạo giá trị hàm băm vơi thuật tóan
MD5/SHA.
CÁC NHÂN TỐ BẢO MẬT THÔNG TIN
Vậy để đạt được 3 mục tiêu CIA chúng ta cần phải thực hiện những điều gì? Đó chính là
4 nhân tố bảo mật thông tin sau đây:
- Authentication: (Xác thực) là một quá trình xác nhận đặc điểm nhận biết của người
dùng qua đó quyết định quyền truy nhập cơ sở dữ liệu và khả năng thực hiện các giao
dịch của người đó. Việc xác thực thường thông qua tên truy nhập và mật khẩu hay các
phương pháp phức tạp hơn như chứng thực số. Ví dụ khi bạn đăng nhập một hệ thống
máy tính thì tiến trình xác thực diễn ra khi bạn nhập vào tài khỏan bao gồm usernam và
password trên màn hình logon.
-Authorization : (Ủy quyền) là tiến trình kiểm tra quyền hạn của người dùng sau khi
đăng nhập hệ thống. Ví dụ một người dùng sau khi đăng nhập hệ thống cần phải trải qua
tiến trình Authorization, sau đó người dùng này được phép truy cập vào máy chủ hay dữ
liệu nào thì tùy thuộc vào quyền hạn mà anh ta có được do tiến trình
-Access control : là quá trình kiểm sóat truy cập có chức năng gán quyền cho người dùng
hay xác nhận quyền hạn của người dùng. Khi các bạn tạo một tập tin thư mục và chia sẽ
nó cho các nhân viên khác thì chúng ta thường gán các quyền như được phép đọc, ghi
…Quá trình này được gọi là kiểm sóat truy cập (Access control)
-Auditing hay Accounting: (kiểm tóan) đây là quá trình ghi nhật ký hệ thống để lưu giữ
lại các hành động diễn ra đối với các đối tượng hay dữ liệu. Thông thường chúng ta
thường hay ghi log file các lần user đăng nhập thành công hay thất bại hệ thống của
mình, hoặc sau khi đăng nhập anh ta có những thao tác gì, quá trình này được gọi là
Auditing hay Accounting.
Security365 Tip : Đây là 4 yếu tố mà các bạn không được phép quên cùng với 3 mục tiêu
C.I.A
CÁC PHƢƠNG PHÁP KIỂM SÓAT TRUY CẬP:
Theo nội dung do Comptia đề xuất thì phần này có tên là‖ Nhận Dạng Và Giải Thích Các
Mô Hình Điều Khiển Truy Cập‖. Vậy mô hình điều khiển truy cập là gì? Đó chính là
phương pháp hay các kỹ thuật dùng để cho phép hay không cho phép người dùng sử dụng
một dịch vụ hay dữ liệu nào đó trên hệ thống. Ví dụ với mô hình điều khiển truy cập
DAC, các bạn có thể gán quyền cho người dùng thuộc nhóm Sale được phép Read/Write
đối với thư mục dữ liệu Sale Info, còn những người khác trong công ty thì chỉ có thể
Read mà không được phép thay đổi. Điều khiển truy cập là bước tiếp theo sau khi tiến
trình xác thực (authentication) hòan tất. Điều này cũng giống như trong một ngôi nhà có
những tiện ích sử dụng như các phòng ngủ 1,2,3. Một người dùng muốn sử dụng phòng
ngủ X của họ (access control) thì trước tiên họ phải được phép vào ngôi nhà đó ví dụ phải
có thẻ ra vào, hay có các chìa khóa để vào nhà – quá trình này gọi là xác thực. Và mục
tiêu chính của quá trình xác thực & điều khiển truy cập chính là ngăn ngừa những trường
hợp truy cập, sử dụng trái phép tài nguyên hệ thống, đó chính là yếu tố cơ bản của bảo
mật thông tin.
Theo định nghĩa được đăng trên bộ bách khoa tòan thư thi nhiệm
vụ điều khiển truy cập được mô tả như sau ―Nhiệm vụ điều khiển truy cập trong an ninh
máy tính (computer security access control) bao gồm các nhiệm vụ xác thực
(authentication), ủy quyền (authorization) và kiểm toán (audit). Nhiệm vụ này còn bao
gổm cả việc sử dụng những phương pháp bổ xung như phương pháp sử dụng các thiết bị
phần cứng - chẳng hạn như các máy quét lướt sinh trắc học (biometric scans) và bằng
cách dùng các khóa bằng kim loại (metal locks) - hoặc các phương pháp xử lý phần mềm
như việc sử dụng "đường dẫn ẩn" (hidden path), chữ ký điện tử (digital signatures), mã
hóa (encryption), các rào cản (social barriers), và theo dõi hoạt động của hệ thống bằng
sức người hoặc bằng các hệ thống tự động. Sự ủy quyền có thể được thực thi dùng
phương pháp điều khiển truy cập trên cơ sở vai trò (role based access control), hay bằng
cách dùng các danh sách điểu khiển truy cập (access control list).
Điều khiển truy cập tạo nên khả năng cho chúng ta có thể ban phép hoặc từ chối một chủ
thể - một thực thể chủ động, chẳng hạn như một người hay một quy trình nào đó - sử
dụng một đối tượng - một thực thể thụ động, chẳng hạn như một hệ thống, một tập tin -
nào đấy trong hệ thống.
Các hệ thống điều khiển truy cập cung cấp những dịch vụ thiết yếu như dịch vụ nhận
dạng và xác minh (identification and authentication - I&A), dịch vụ ủy quyền
(authorization) và dịch vụ quy trách nhiệm (accountability) đối với người dùng hoặc đối
với quy trình. Trong khi dịch vụ nhận dạng và xác minh nhằm xác định ai là người được
đăng nhập vào một hệ thống, thì dịch vụ ủy quyền xác định những gì mà một người dùng
đã được xác thực có thể thi hành, và dịch vụ quy trách nhiệm nhận dạng và chứng thực
những hành vi hay hoạt động mà người dùng đã thi hành trong khi họ sử dụng hệ thống.‖
Đối với các thí sinh tham dự kỳ thi chứng chỉ Comptia Security + các bạn cần nằm vững
các mô hình điều khiển truy cập sau
1. Mandatory Access Control (MAC)
2. Discretionary Access Control (DAC
3. Role Based Access Control (RBAC).
Các mô hình này thường được phối hợp sử dụng trong một hệ thống để gia tăng mức độ
an tòan.
Mandatory Access Control (MAC) – Điều Khiển Truy Cập Bắt Buộc
Điều khiển truy cập bắt buộc (mandatory access control - MAC) là một chính sách truy
cập không do cá nhân sở hữu tài nguyên quyết định, mà do hệ thống quyết định. MAC
được dùng trong các hệ thống đa tầng cấp, là những hệ thống xử lý các loại dữ liệu nhạy
cảm, như các thông tin được phân hạng về mức độ bảo mật trong chính phủ và trong
quân đội. Một hệ thống đa tầng cấp là một hệ thống máy tính duy nhất chịu trách nhiệm
xử lý bội số các phân loại dưới nhiều tầng cấp giữa các chủ thể và các đối tượng.
Nhãn hiệu nhạy cảm (sensitivity label): Trong hệ thống dùng điểu khiển truy cập
bắt buộc, hệ thống chỉ định một nhãn hiệu cho mỗi chủ thể và mỗi đối tượng trong
hệ thống. Nhãn hiệu nhạy cảm của một chủ thể xác định mức tin cẩn cần thiết để
truy cập. Để truy cập một đối tượng nào đấy, chủ thể phải có một mức độ nhạy
cảm (tin cẩn) tương đồng hoặc cao hơn mức độ của đối tượng yêu cầu.
Xuất và nhập dữ liệu (Data import and export): Điều khiển việc nhập nội thông tin
từ một hệ thống khác và xuất ngoại thông tin sang các hệ thống khác (bao gồm cả
các máy in) là một chức năng trọng yếu trong các hệ thống sử dụng điều khiển
truy cập bắt buộc. Nhiệm vụ của việc xuất nhập thông tin là phải đảm bảo các
nhãn hiệu nhạy cảm được giữ gìn một cách đúng đắn và nhiệm vụ này phải được
thực hiện sao cho các thông tin nhạy cảm phải được bảo vệ trong bất kỳ tình
huống nào.
Có hai phương pháp được dùng phổ biến để áp dụng nguyên tắc điều khiển truy cập bắt
buộc:
Điều khiển truy cập dùng chính sách (rule-based access control): Việc điều khiển
thuộc loại này định nghĩa thêm những điều kiện cụ thể đối với việc truy cập một
đối tượng mà chúng ta yêu cầu. Tất cả các hệ thống dùng điều khiển truy cập bắt
buộc đều thực hiện một hình thức đã được đơn giản hóa của thể loại điều khiển
truy cập dùng chính sách, nhằm quyết định cho phép hay từ chối yêu cầu truy cập,
bằng cách đối chiếu:
o Nhãn hiệu nhạy cảm của đối tượng
o Nhãn hiệu nhạy cảm của chủ thể
Điều khiển truy cập dùng bố trí mắt lưới (lattice-based access control): Đây là
phương pháp người ta sử dụng đối với những quyết định phức tạp trong điều khiển
truy cập với sự liên quan bội số các đối tượng và/hay các chủ thể. Mô hình mắt
lưới là một cấu trúc toán học, nó định nghĩa các giá trị cận dưới lớn nhất (greatest
lower-bound) và cận trên nhỏ nhất (least upper-bound) cho những cặp nguyên tố,
chẳng hạn như cặp nguyên tố bao gồm một chủ thể và một đối tượng.
Security365 Tip: Đối với Comptia Security+ thì các bạn cần nhớ kỹ các thuật ngữ rule-
base access control và lattice-based acecess control thuộc dạng điều khiển truy cập bắt
buộc (MAC)
Lưu ý: các bạn cần phân biệt thuật ngữ MAC (Mandatory Access Control ) và thuật ngữ
MAC (địa chỉ vật lý card mạng).
Các bạn có thể tham khảo một số hệ thống thực thi cơ chế điều khiển truy cập bắt buộc
trên các hệ điều hành như:
Một đề án nghiên cứu của NSA gọi là SELinux (Linux với nâng cấp về an ninh
(Security-Enhanced Linux)) xây dựng thêm kiến trúc điều khiển truy cập bắt buộc
vào trong bộ điều hành trung tâm của hệ thống điều hành Linux. Trong phiên bản
4 của Linux cấp kinh doanh của Red Hat (Red Hat Enterprise Linux - viết tắt là
RHEL) và cả trong những phiên bản sau này, các nhân viên sản xuất phần mềm đã
cho biên dịch SELinux vào trong bộ điều hành trung tâm của nó. Bộ mã nguồn
tiêu chuẩn của bộ điều hành trung tâm tại kernel.org đều có chứa mã nguồn của SE
Linux trong nội dung của nó. SE Linux có khả năng hạn chế tất cả các quy trình
trong hệ thống, song do muốn đảm bảo tính sử dụng dễ dàng của hệ điều hành,
RHEL chỉ hạn chế những chương trình ứng dụng dễ bị tấn công nhất mà thôi.
Hệ điều hành Trusted Solaris (Solaris Tin cẩn) của công ty Sun sử dụng một cơ
chế điều khiển truy cập bắt buộc và được thi hành ở cơ sở hạ tầng của hệ thống
(mandatory and system-enforced access control mechanism - MAC), trong đó sự
cho phép sử dụng thông tin bí mật (clearance) và các nhãn hiệu được dùng để đảm
bảo hiệu lực của chính sách an ninh. Những chương trình ứng dụng mà người
dùng vận hành được phối hợp với mức độ an ninh của phiên giao dịch mà người
dùng đang làm việc. Truy cập vào thông tin, vào chương trình ứng dụng, và vào
các thiết bị đều được quản lý và chỉ có thể được ban phép cho tầng cấp an ninh
tương đồng hoặc thấp hơn mà thôi. MAC ngăn chặn người dùng quyền viết vào
các tập tin ở các tầng thấp hơn (writing to files at lower levels) và đảm bảo hiệu
lực của việc này bằng các chính sách an ninh tại cơ sở, địa điểm. Không ai có
quyền vượt qua trừ khi họ được ủy quyền đặc biệt hoặc có những đặc quyền.‖
Discretionary Access Control (DAC) - Điều Khiển Truy Cập Tùy Quyền
Định nghĩa những chính sách điều khiển truy cập cơ bản đối với các đối tượng trong một
hệ thống tập tin (filesystem). Một ví dụ thực tế của DAC là việc phân quyền cho người
dùng trên hệ thống tập tin của hệ điều hành Windows dựa trên danh sách đều khiển truy
cập (Access Control List – ACL) , với mục đích hạn chế truy cập các đối tượng trên cơ sở
nhận dạng (identity) và nhu cầu cần biết (need-to-know) của nhiều người dùng hay của
các nhóm mà đối tượng trực thuộc. Phương pháp điều khiển được coi là 'tuỳ quyền' vì lý
do một chủ thể với một phép truy cập nào đấy có thể chuyển nhượng phép truy cập (trực
tiếp hay gián tiếp) sang bất cứ một chủ thể nào khác trong hệ thống."
Role-Based Access Control (RBAC) - Điều Khiển Truy Cập Trên Cơ Sở Vai Trò
Trong an ninh đối với các hệ thống máy tính, điều khiển truy cập trên cơ sở vai trò là một
trong số các phương pháp điều khiển và đảm bảo quyền sử dụng cho người dùng. Đây là
một phương pháp có thể thay thế Điề u khiển truy cập tùy quyền (discretionary access
control - DAC) và Điều khiển truy cập bắt buộc (mandatory access control - MAC).
Điều khiển truy cập trên cơ sở vai trò (RBAC) khác với hình thức MAC và DAC truyền
thống. MAC và DAC trước đây là hai mô hình duy nhất được phổ biến trong điều khiển
truy cập. Nếu một hệ thống không dùng MAC thì người ta chỉ có thể cho rằng hệ thống
đó dùng DAC, hoặc ngược lại. Song cuộc nghiên cứu trong những năm 1990 đã chứng
minh rằng RBAC không phải là MAC hoặc DAC.
Trong nội bộ một tổ chức, các vai trò (roles) được kiến tạo để đảm nhận các chức năng
công việc khác nhau. Mỗi vai trò được gắn liền với một số quyền hạn cho phép nó thao
tác một số hoạt động cụ thể ('permissions'). Các thành viên trong lực lượng cán bộ công
nhân viên (hoặc những người dùng trong hệ thống) được phân phối một vai trò riêng, và
thông qua việc phân phối vai trò này mà họ tiếp thu được một số những quyền hạn cho
phép họ thi hành những chức năng cụ thể trong hệ thống.
Vì người dùng không được cấp phép một cách trực tiếp, song chỉ tiếp thu được những
quyền hạn thông qua vai trò của họ (hoặc các vai trò), việc quản lý quyền hạn của người
dùng trở thành một việc đơn giản, và người ta chỉ cần chỉ định những vai trò thích hợp
cho người dùng mà thôi. Việc chỉ định vai trò này đơn giản hóa những công việc thông
thường như việc cho thêm một người dùng vào trong hệ thống, hay đổi ban công tác
(department) của người dùng.
RBAC khác với các danh sách điểu khiển truy cập (access control list - ACL) được dùng
trong hệ thống điều khiển truy cập tùy quyền (DAC), ở chỗ, nó chỉ định các quyền hạn
tới từng hoạt động cụ thể với ý nghĩa trong cơ quan tổ chức, thay vì tới các đối tượng dữ
liệu hạ tầng. Lấy ví dụ, một danh sách điều khiển truy cập có thể được dùng để cho phép
hoặc từ chối quyền truy cập viết một tập tin hệ thống (system file), song nó không nói
cho ta biết phương cách cụ thể để thay đổi tập tin đó. Trong một hệ thống dùng RBAC,
một thao tác có thể là việc một chương trình ứng dụng tài chính kiến tạo một giao dịch
trong 'tài khoản tín dụng' (credit account transaction), hay là việc một chương trình ứng
dụng y học khởi thủy một bản ghi 'thử nghiệm nồng độ đường trong máu' (blood sugar
level test). Việc chỉ định quyền hạn cho phép thi hành một thao tác nhất định là một việc
làm đầy ý nghĩa, vì các thao tác đã được phân định tinh tế và mỗi cá nhân thao tác có một
ý nghĩa riêng trong chương trình ứng dụng.
Security365 Tip:
- Mandatory Access Control (MAC) họat động dựa trên các sự phân lọai các quy tắc
(classification rule). Những object (đối tượng) được gán các nhãn nhạy cảm (sensitivity
label) còn các subject (chủ thể) được gán các clearance label, và người dùng truy cập
dựa trên các quyền mà học được gán cho một tài nguyên cụ thể và quá trình phân lọai
này họat động theo cơ chế phân cấp.
Một số hệ thống MAC thông dụng như các bộ máy hành chính hay quân sự MAC sử dụng
các mức phân lọai: unclassified, sensitive but unclassified, confidential, secret, và top
secret. Hay mô hình MAC trong các tổ chức kinh tế sử áp dụng cơ chế phân lọai dựa
trên: public, sensitive, private, và confidential.
- Discretionary Access Control (DAC) họat động trên định danh của người dùng (user
identity), trong mô hình này người dùng được gán quyền truy cập đối tượng (object) như
file, folder thông qua danh sách truy cập (ACL) , dựa trên sự phân quyền của chủ thể
(owner) hay người tạo ra đối tượng (creator).
- Role-Based Access Control (RBAC) : RBAC họat động dựa trên công việc của người
dùng. Người dùng được cấp quyền tùy theo vai trò và công việc. đây là mô hình rất thích
hợp cho các môi trường làm việc mà nhân sự có nhiều thay đổi.
Privilege Management :
Quản trị phân quyền là tiến trình sử dụng các kỹ thuật authentication and authorization
để tạo nên các mô hình quả lý phân tán hay tập trung đối với người dùng hay một nhóm
người dùng. Quá trình này cũng có thể bao gồm cả việc ghi nhật ký hệ thống
(Audit.Accounting) hoặc cung cấp những cơ chế xác thực SSO (Single Sign On).
Quá trình quản lý phân quyền
-SSO là một thuật ngữ và đặc điểm mà bất kỳ thí sinh chuẩn bị thi Security+ nào cũng
không được quyền quên. SSO là gì? Là Single Sign On : nghĩa là người dùng chỉ cần xác
nhận một lần nhưng vẫn có thể sử dụng được nhiều dịch vụ khác nhau. Giống như khi các
bạn đăng nhập hệ thống ứng dụng Google với 1 tài khỏan duy nhất nhưng vẫn có thể sử
dụng được mail, docs hay calendar, webmaster tool…Trên hệ thống Windows chúng ta
triển khai SSO bằng cách xây dựng các hệ thống Domain Controller.
Lệnh nào dùng để nâng cấp một máy tính bình thường (standalone server thành domain
controller trên Windows 2000/2003? Đó chính là lệnh dcpromo!
Các câu hỏi của Topic 1A:
- Lưu ý là chúng tôi sẽ không dịch các câu hỏi sang tiếng Việt, vì điều này sẽ không có lợi
cho các bạn do trong các kỳ thi các câu hỏi hoàn toàn bằng tiếng Anh. Cho nên việc
hiểu các câu hỏi và trang bị cho mình một vốn từ cần và đủ là yêu cầu bắt buộc đối với
tất cả các bạn.
1. The three common goals of computer security are:
a) Confidentiality
b) Auditing
c) Integrity
d) Independence
e) Availability
2. Katie works in a high-security government facility. When she comes to work in
the
morning, she places her hand on a scanning device in her building’s lobby, which
reads
her handprint and compares it to a master record of her handprint in a database to
verify her identity. This is an example of:
a) Authentication
b) Authorization
c) Access control
d) Auditing
3. Once Katie’s identity is verified, the system checks and confirms that she is
allowed to
leave the lobby and enter the secure areas of the facility. The electronic door lock is
released. This is an example of:
a) Authentication
b) Authorization
c) Access Control
d) Auditing
4. Katie’s handprint is matched against a record in the system that indicates that
she has
been assigned clearance to view the contents of Secret documents. Later, at her
desk,
she tries to connect to a folder that is marked Top Secret, and her access is denied.
This is an example of:
a) Mandatory access control.
b) Discretionary access control.
c) Role-based access control.
d) Rule-based access control.
5. At the end of the day, security personnel can view electronic log files that record
the
identities of everyone who entered and exited the building along with the time of
day.
This is an example of:
a) Authentication
b) Authorization
c) Access control
d) Auditing
6. An administrator of a large multinational company has the ability to assign object
access rights and track users’ resource access from a central administrative console.
Users throughout the organization can gain access to any system after providing a
single user name and password. This is an example of:
a) Auditing
b) Security labels
c) Privilege management
d) Confidentiality
Câu hỏi của Security365: Các bạn hãy giải thích một cách ngắn gọn và đầy đủ về khái
niệm need-to-know, và cho biết khái niệm tương tự của need-to-know mà Security+ hay
đề cập là gì?
Đáp án gởi về cho các giảng viên của Security365 tại địa chỉ
, tất cả các học viên phải hòan tất những câu hỏi này
trước khi chuyển qua bài tiếp theo.
Trong Bài Này Chúng Ta Sẽ Thảo Luận Về Các Phương Pháp Xác Thực Sau Đây:
Giao thức xác thực Kerberos
CHAP (Challenge Handshake Authentication Protocol)
Username/Password
Phương pháp xác thực dựa trên Sinh trắc học (Biometrics)
Thẻ bài (Token)
Multi-Factor?
Mutual Authentication?
Quá trình xác thực nhằm chứng minh một người dùng trong quá trình tiếp cận tài nguyên
hệ thống như đăng nhập hay truy xuất dữ liệu. Là một phần của quá trình Nhận dạng và
xác thực (Identification & authentication - I&A) Nhận dạng là phương pháp người dùng
báo cho hệ thống biết họ là ai (chẳng hạn như bằng cách dùng tên người dùng). Bộ phận
nhận dạng người dùng của một hệ thống điều khiển truy cập thường là một cơ chế tương
đối đơn giản, hoạt động chủ yếu dựa trên một hệ thống tên người dùng (username) hoặc
chỉ danh của người dùng (userID). Trong trường hợp đối với một hệ thống hoặc một quy
trình (process), việc nhận dạng thường dựa vào:
Tên máy tính (computer name)
Địa chỉ truy cập thiết bị (Media Access Control - MAC - address)
Địa chỉ giao thức mạng (Internet Protocol - IP - address)
Chỉ danh của quy trình (Process ID - PID)
Những yêu cầu nhận dạng đòi hỏi các chỉ danh dùng để nhận dạng:
Phải là một định danh duy nhất dùng để chỉ định hay nhận dạng một người dùng
(không được có hai người dùng hay hai thiết bị sử dụng cùng một tên, hay cùng
một chỉ danh).
Không thể dùng để xác định địa vị hay tầm quan trọng của người dùng trong một
tổ chức - chẳng hạn không được có những nhãn hiệu chỉ cho biết người này là chủ
tịch / giám đốc (president) hoặc là chủ tịch hội đồng quản trị (CEO).
Tránh việc sử dụng các trương mục chung hoặc các trương mục dùng chung bởi
nhiều người dùng, như trương mục gốc (root), trương mục của người quản lý
(admin), hoặc trương mục của người quản lý hệ thống (sysadmin).
Không nên dùng các trương mục không hỗ trợ việc quy trách nhiệm và chúng có
thể trở thành những đối tượng béo bở cho bọn thâm nhập hệ thống bất hợp pháp.
Xác thực là một quy trình xác minh danh hiệu của một người dùng - chẳng hạn bằng cách
so sánh mật khẩu mà người dùng đăng nhập với mật khẩu được lưu trữ trong hệ thống đối
với một tên người dùng cho trước nào đó.
Quy trình xác thực dựa vào một trong ba yếu tố sau đây:
Dựa vào những chi tiết mà ta biết trước, chẳng hạn như một mật khẩu, hoặc một
số nhận dạng cá nhân (personal identification number - PIN) - đấy là chúng ta cho
rằng người sở hữu trương mục biết mật khẩu hoặc số nhận dạng cá nhân (PIN) cần
thiết để truy cập trương mục. Thuật ngữ mô tả của yếu tố này trong Security + là
Something You Know.
Dựa vào những gì mà chúng ta đã có, chẳng hạn như một cái thẻ thông minh
(smart card) hoặc một dấu hiệu nào đó - đấy là chúng ta cho rằng người sở hữu
trương mục sở hữu một cái thẻ thông minh, hoặc một dấu hiệu cần thiết để mở
khóa trương mục. Trong Security+ thì yếu tố này được gọi là Something you
Have.
Dựa vào những gì mình sở hữu bẩm sinh, chẳng hạn như vết lăn tay, giọng nói,
võng mạc mắt, hoặc những đặc tính của tròng đen trong mắt mình.
Các bạn cần ghi nhớ các thuật ngữ liên quan đến quá trình xác thực, cũng như những
phương pháp được áp dụng cho tiến trình này ví dụ xác thực dựa trên Usernam /
Password, phương pháp xác thực Password Authentication Protocol (PAP), Challenge
Handshake Authentication Protocol (CHAP), Certificates, Security Tokens. Ở đây chúng
ta sẽ thảo luận về những kỹ thuật xác thực quan trọng đó là Username/password,
Kerberos, CHAP và Certificate, Biometric, Multifactor.
Username/Password
Phương pháp xác thực dựa trên username/password là cách thông dụng nhất để kiểm tra
một người dùng có được quyền đăng nhập hoặc có quyền sử dụng hệ thống hay không.
Các ứng dụng thực tế của co chế này có rất nhiều như việc đăng nhập máy tính trên màn
hình logon, đăng nhập hộp thư điện tử…
Theo cơ chế này thì khi người dùng cung cấp định danh, thông tin tài khỏan của họ sẽ
được chuyển đến một cơ sở dữ liệu để tìm và so sanh vơi các bản ghi hay record trên hệ
thống, nếu có sự trùng lắp xảy ra thì đây là người dùng hợp lệ và được đăng nhập hệ
thống. Trong trường hợp ngược lạ sẽ bị tùy chối truy cập. Những thuận lợi của phương
pháp này là cơ chế họat động đơn giản, dễ ứng dụng. Nhưng đôi khi kém an tòan vì các
thông tin như Username & Password gởi đi theo các giao thức không mã hóa như telnet,
ftp, pop3 dễ dàng bị băt lấy và xem trộm.
Kerberos
Một trong những điểm yếu của việc xác thực thông tin đăng nhập không mã hóa
(cleartext) là thông tin nhạy cảm dễ dàng bị đánh cắp bằng các phương pháp sniffer,
replay attack hay man in the miidle, vì vậy một hệ thống xác thực mạnh mẽ và an tòan đã
được nghiên cứu bởi học viện MIT trong dự án Athena và ứng dụng thành công là
Kerberos trên các hệ thống Windows 2000/2003, Linux, Unix. Mặc dù đây là một hệ
thống họat động độc lập không phụ thuộc vào paltform nhưng cần có những sự tinh chỉnh
riêng để có thể tương thích giữa các hệ thống ví dụ muốn áp dụng Kerberos để chứng
thực cho hệ thống bao gồm Windows và Linux thì chúng ta cần có các dịch vụ hổ trợ
chẳng hạn SAMBA.
Kerberos là giải pháp chứng thực tập trung với phần nhân là Key Distribution Center
(KDC) có nhiệm vụ xác nhận định danh của người dùng và cấp phát quyền hạn truy cập
thích hợp thông qua các ticket và cơ chế mã hóa thông tin an tòan.
Giải pháp xác thực third party Kerberos có độ tin cậy cao vì nó đóng vai trò trung gian
giữa client / server, nếu client và server cùng được ủy quyền (trust) bởi KDC thì client và
server cũng có thể trust nhau.
Security365 cũng nhắc lại một lần nữa, một trong những đặc tính quan trọng của
Kerberos và rất hay được đề cập trong kỳ thi của Security+ hay các kỳ thi chứng chỉ bảo
mật quốc tế khác là tính năng Single Sign On (SSO). Với đặc tính này, người dùng chỉ
cần chứng thực một làn với KDC và sau đó có thể sử dụng tất cả các dịch vụ khác đã
được trust theo những quyền hạn thích hợp mà không cần phải tiến hành chứng thực lại
với máy chủ hay dịch vụ mà mình sử dụng. Ví dụ trong mô hình Windows Server 2003
Active Directory, sau khi join và log in domain các domain user có thể sử dụng các dịch
vụ chia sẽ trên mạng như File hay Print Server mà không cần phải cung cấp username và
password khi kết nối đến các máy chủ này như khi họat động trong môi trường
WorkGroup. Đây là một ưu điểm lớn của việc ứng dụng Kerberos nói chúng hay mô hình
mạng sử dụng Active Directory nói riêng.
Các bạn có thể tham khảo sơ đồ chứng thực dựa trên Kerberos sau đây:
1. Subject (người dùng) cung cấp thông tin đăng nhập ví dụ username và password.
2. Hệ thống Kerberos client tiến hành mã hóa password với thuật tóan Data Encryption
Standard (DES) sau đó truyền các thông tin đã được mã hóa đến KDC.
3. KDC sẽ xác nhận thông tin đăng nhập này và tạo một Ticket Granting Ticket (TGT—
là giá trị hash của password do người dùng (subject) cung cấp với giá trị timestamp chỉ
định thời gian sống (lifetime) của phiên truy cập. Giá trị TGT này sẽ được mã hóa và gởi
về cho client.
4. Client nhận TGT. Tại thời điểm này, người dùng (subject) xem như đã được chứng
thực trong mô hình Kerberos realm.
5. Khi người dùng có nhu cầu truy cập đến tài nguyên trên mạng, thì một yêu cầu Service
Ticket (ST) sẽ được gởi đến KDC.
6. KDC xác nhận giá trị TGT của client xem có còn hợp lệ không, nếu hợp lệ KDC sẽ cấp
ST cho client, giá trị ST này cũng kèm theo một timestame quy định thời gian sử dụng.
7. Client nhận ST từ KDC.
8. Client gởi ST đến network server cung cấp các dịch vụ cần truy cập, ví dụ printe
server.
9. Network server (ex. Print server) se xác nhận ST. Nếu hợp lệ, một kênh truyền thông
sẽ được khởi tạo với client. Tại thời điểm này Kerberos sẽ không can thiệp vào quá trình
họat động của client và server nữa.
Dưới đây là hình minh họa quá trình xác thự và truy cậo tài nguyên với Kerberos.
Quá trình chứng thự bằng kerberos.
Với cơ chế quản lý chứng thực tập trung và có khả năng mở rộng, Kerberos mang lại hiệu
quả cao cho các mô hình mạng lớn. Trên hệ thống Windows OS, các bạn có thể áp dụng
Kerberos cho tổ chức của mình bằng cách triển khai hệ thống Active Directory. Các bạn
có thể tham khảo video demo quá trình cài đặt Domain Controller trên Windows Server
2003 tại địa chỉ www.security365.biz
Challenge Handshake Authentication Protocol (CHAP)
CHAP là giao thức chứng thực được dùng chủ yếu trong các kết nối dial-up (thường là
PPP) với mục đích cung cấp một cơ chế truyền thông an tòan cho quá trình đăng nhập
của người dùng. CHAP sử dụng one-way hash để bảo vệ passwords và tiến hành
reauthenticates với các client một cách định kỳ.
Mô hình xác thực CHAP
Để hổ trợ quá trình đăng nhập và giúp cho client/server có thể xác thực lẫn nhau CHAP
khởi tạo một tiến trình xác thực của riêng nó theo trình tư như mô tả dưới đây:
(Security365 Tip: các bạn cần nắm vững 6 bước trong quá trình chứng thực của CHAP,
đây là câu hỏi thường gặp trong kỳ thi chính thực của Comptia SECURIY+)
1. Sau khi ngƣời dùng nhập các thông tin đăng nhập và gởi đến server (client / server
đều sử dụng CHAP) , CHAP sẽ tiến hành chức năng one-way hash (MD5) dựa trên
password được cung cấp của người dùng (subject). Sau đó sẽ chuyển username và giá trị
hash đến authentication server.
2. Authentication server so sánh username với cơ sở dữ liệu chứa tài khỏan cùng với giá
trị hash để xác nhận người dùnh có hợp lệ hay không.
3. Nếu quá trình so sánh có sự trùng khớp giữa thông tin được gởi từ client với cơ sở dữ
liệu trên server thì server sẽ truyền một chuổi challenge (thử thách) đến client.
4. Client đáp ứng dựa trên chalenge strinh và phản hồi đền server.
5. Server phản hồi lại client.
6. Server so sánh các đáp ứng mà nó nhận từ client.
7. Nếu tất cả đều trùng khớp người dùng sẽ được chứng thực và cho phép truyền thông
với server
Hình minh họa quá trình xác thực của CHAP
Một khi client đã được chứng thực, CHAP sẽ gởi các chuổi ký tự thử thách với thời gian
ngẫu nhiên và client có nhiệm vụ phản hồi lại các chuỗi này với các đáp ứng thích hợp
nếu không kết nối sẽ tự động ngắt. Việc kiểm tra kết nối thông qua các challenge string
này giúp cho quá trình truyền thông không bị ảnh hưởng bởi các dạng tấn công Session
Hijacking.
Token
Token hay thẻ bài là một thành phần vật lý như smartcard lưu giữ các thông tin xác thực
của người dùng. Trong các thẻ bài này sẽ chứa các thông tin như mã PIN của người dùng,
thông tin và mật mã đăng nhập.
Biometrics
Nếu như các bạn thấy những câu hỏi trong kỳ thi chứng chỉ quốc tế của mình là phương
pháp xác thực nào là an tòan nhất nhưng cũng tôn kém nhất thì đáp án chính là
Biometrics, phương pháp xác thực dựa trên sinh trắc học. Phương pháp này sẽ xác thực
người dung dựa trên dầu vân tay, mắt, giọng nó hay khuôn mặt của người dùng
Multi-Factor Authentication
Multi-Factor Authentiaction hay xác thực đa yếu tố là một phương pháp xác thực dựa
trên 2 hay nhiều yếu tố của đối tượng.
Một ví dụ điển hình của cơ chế xác thực này là khi các bạn muốn rút tiền từ các trạm
ATM thì chúng ta cần có ít nhất 2 thành phần để máy ATM xác thực đo là thẻ ATM và
mã PIN đăng nhập của bạn
Mutual Authentication
Mutua Authentication là một kỹ thuật xác thực mà cả hai phía đều có thể xác nhận lẫn
nhau , đầu tiên một dịch vụ hay tài nguyên sẽ xác nhận các thông tin của client hay người
dùng, máy trạm sau đó client sẽ xác nhận các đặc tính của máy chủ hay nơi cung cấp dịch
vụ. Mục đích của việc làm này là ngăn ngừa các client cung cấp thông tin nhạy cảm của
mình cho các dịch vụ thiếu tin cậy.
Như vậy, trong phần này các bạn cần nắm rõ các phương pháp xác thực như CHAP,
Kerberos hay Biometric, Token,…Đây là những chủ để mà các chuyên gia bảo mật hệ
thống mạng cần nắm vững. Ngoài ra các khái niệm như Who you are? What you have?
Và What you know? Cũng thường được đề cập. Trước khi qua bài tiếp theo các bạn hãy
trả lời các câu hỏi sau đây và gởi về cho các Instructor.
ACTIVITY 1-2
1. Chuck works at a bank. To access the vault containing safe-deposit boxes, he
inserts
his employee ID card into a special card reader. This is an example of:
a) CHAP
b) Biometrics
c) Token-based authentication
d) Mutual authentication
2. To access the main bank vault, Chuck places his index finger on a fingerprint
reader.
This is an example of:
a) Password authentication
b) Token-based authentication
c) Biometrics
d) Multi-factor authentication
3. To withdraw money from an automatic teller machine, Nancy inserts a card and
types
a four-digit PIN. This incorporates what types of authentication?
a) Token-based
b) Password
c) Biometrics
d) Multi-factor
e) Mutual
4. What is the best description of Kerberos authentication?
a) A scheme that relies on a central server to authenticate users and provide service
tickets.
b) A scheme that relies on transmission of password hash values between the client and
server.
c) A scheme that relies on a user’s physical characteristics.
d) A scheme that requires a supplemental numeric value generated by a special device.
5. What is the best description of CHAP authentication?
a) A scheme that relies on a central server to authenticate users and provide service
tickets.
b) A scheme that relies on transmission of password hash values between the client and
server.
c) A scheme that relies on a user’s physical characteristics.
d) A scheme that requires a supplemental numeric value generated by a special device.
6. True or False? A benefit of mutual authentication is to protect clients from
authenticating
to unauthorized systems.
True
False
Câu hỏi từ Security365 : hãy nêu các ví dụ về những phương pháp xác thực đã nêu trong
thực tế (lấy ví dụ khác với bài học)
Mã hóa là phương pháp nhằm bảo đảm tính riêng tư và tòan vẹn của dữ liệu trong quá
trình lưu trữ hay truyền thông, tiến trình này thường được gọi là cyptography với các
thuật tóan mã hóa (encryption Algorithm) thích hợp. Ngày từ thời xa xưa các chiến binh
La Mã đã biết cách ứng dụng mật mã học vào các bức thông điệp của mình để không cho
đối phương đọc được với phương pháp mã hóa có tên là Cesar Shilf, đây cũng là một
trong những phương pháp mã hóa cổ xưa nhất được thực hiện bằng cách dịch chuyển
(shilf) ký tự gốc thành một ký tự khác tùy theo tham số dịch chuyển. Ví dụ chuỗi ký tự
ABD khi mã hóa theo phương pháp Cesar Shilf với tham số dịch chuyển là 1 sẽ cho ra
kết quả là BDE, và chúng ta chỉ cần tiến hành ngược lại trên chuỗi kết quả sẽ tìm được
giá trị ban đầu, công đọan này được gọi là quá trình giải mã (decryption). Nội dung của
Comptia Security+ không để cập đến phương pháp mã hóa này tuy nhiên các bạn tham
khảo để biết thêm. (Lưu ý Cesar Shilf là một phần bắt buộc của giáo trình SCNP)
Tiến trình mã hóa.
Encryption Algorithm / Key – Thuật Tóan Mã Hóa và Chìa Khóa
Qua phương pháp mã hóa đơn giản trên các bạn thấy rằng để mã hóa chúng ta cần có 2
thành phần đó là thuật tóan mã hóa (trong Cesar Shilf thì thuật tóan của nó là dịch
chuyển) và thành phần quan trọng còn lại là khóa (Key) ví dụ khóa của quá trình mã hóa
ABC thành BDE là 1 (dịch chuyển sang phải 1 ký tự).
Kết hợp giữa thuật tóan và khóa để thực hiện quá trình mã hóa.
Thuật tóan Hash
Thuật tóan Hash hay còn gọi là phương pháp hàm băm là phương pháp mã hóa một
chiều : one-way encryption nghĩa là các dữ liệu được mã hóa và không bao giờ giả mã.
Kết quả của sự mã hóa được gọi là các giá trị hash (hash value) hay message digest.
Phương pháp mã hóa này thường được dùng để mã hóa password trong một số quá trình
xác thực như khi CHAP client gởi password dùng để xác thực đến CHAP server thì
password này sẽ được áp dụng các hàm hash để tiến hành mã hóa. Có hai thuật tóan hash
thường được đề cập trong các kỳ thì Comptia Security+ là MD5 và SHA.
Message Digest 5 (MD5) : được phát minh bởi Ronald Rivest và có thể ứng dụng rộn rãi
trong môi trường công cộng (không phải trả chi phí bản quyền), thuật tóan này cho ra các
kết quả là các message digest có độ dài 128 bit.
Secure Hash Algorithm (SHA) versions 1, 256,
384, and 512. : SHA được phát triển sau MD5 và mạnh mẽ hơn so với MD5. SHA có các
phiên bản là SHA-1 (tạo ra 1 hash value có chiều dài 160 bit) và SHA-256SHA-384,
SHA-512 tạo ra các giá trị hash có chiều dài tương ứng là 256-bit, 384-bit, và 512-bit.
Security365 Tip: Các bạn không cần phải biết chi tiết 2 thuật tóan đó được thực hiện như
thê nào nhưng cần phải ghi nhơ rõ 2 thuật tóan hash này cùng với chiều dài của hash
value trong mỗi thuật tóan, đặc biệt là đối với các phiên bản khác nhau của SHA sẽ có
các hash value có độ dài khác nhau. Trong đề thi chính thức của các bạn chắc chắn sẽ có
câu hỏi về nhưng thuật tóan này. Trong phần IPSEC hay ứng dụng thực hành True Crypt
các bạn sẽ sử dụng những thuật tóan trên
Mã hóa đối xứng và bất đối xứng
Các chuyên gia bảo mật Security+ cần phải hiểu rõ hai phương pháp mã hóa đối xứng và
bất đối xứng cùng những điểm thuận lợi cũng như bất lợi của chúng. Các bạn phải chỉ ra
được thuật toán nào là đối xứng và thuật tóan nào là bất đối xứng trong bài thi của mình.
Việc này cũng không quá khó khăn khi bạn ghi nhơ những thông tin trong bảng mô tả
sau.
Cơ chế mã hóa đối xứng (symetric) và bất đối xứng (asymetric) có các đặc điểm khác
nhau sau đây:
1. Symetric Encryption : phương pháp mã hóa đối xứng còn gọi là private key tiến
hành mã hóa và giải mã với cùng 1 khóa, điều này sẽ giúp cho quá trình thực thi
diễn ra nhanh chóng hơn nhưng Sender (bên gởi) sau khi mã hóa thông tin cần
phải gởi kèm khóa dùng để giải mã cho Receiver (bên nhận), điều này làm cho
nguy cơ bị hacker nghe lén (sniffer) khóa giải mã và dữ liệu sau đó giải mã các
thông tin đã mã hóa. Các thuật tóan thông dụng thuộc lọai này là DES, AES…