TỔNG QUAN VỀ AAA (Access Control – Authentication Auditing)

 Xuất ngoại và nhập nội dữ liệu Data import and export: Điều khiển việc nhập nội thông tin từ một hệ thống khác và xuất ngoại thông tin sang các hệ thống khác bao gồm cả các máy in là

TRANG 1

TỔNG QUAN VỀ AAA

(Access Control – Authentication - Auditing)

I Giới thiệu

Ngày nay khi mà nhu cầu trao đổi thông tin vô cùng lớn,yêu cầu cả về số lượng, chất lượng,thời gian cập nhật thông tin,mức độ bảo mật tông tin phải có một độ tin cậy rất cao.Có rất nhiều phương thức để trao đổi thông tin,như trực tiếp hoặc gián tiếp qua các phương tiện thông tin đại chúng.Và mạng máy tính cũng là một phương tiện để trao đổi hữu hiệu.Từ khi có mạng máy tính đến nay lượng truy cập sử dụng mạng máy tính cho nhu cầu trao đổi thông phát triển như vũ bão.Tuy nhiên nó cũng gặp phải một thách thức lớn đó là việc bảo mật thông tin.Để chống lại những sự tấn công từ các tin tặc thì mỗi công ty,tổ

chức,chính phủ…phải có một chính sách bảo mật của riêng mình

Và trong bài viết này chúng ta sẽ tìm hiểu về bảo mật thông tin.Cụ thể là nói các giao thức điều khiển truy cập,chứng thực và kiểm toán

II A – Access Control – Điều khiển truy cập

Ở đây chúng tôi đề cập đến:MAC, DAC, RBAC

 MAC :(tên tiếng Anh là mandatory access control – có nghĩa là điều

khiển truy cập bắt buộc) là một chính sách truy cập không do cá nhân sở hữu tài nguyên quyết định, song do hệ thống quyết định MAC được dùng trong các hệ thống đa tầng cấp, là những hệ thống xử lý các loại dữ liệu nhạy cảm, như các thông tin được phân hạng về mức độ bảo mật trong chính phủ và trong quân đội Một hệ thống đa tầng cấp là một hệ thống máy tính duy nhất chịu trách nhiệm xử lý bội số các phân loại dưới nhiều tầng cấp giữa các chủ thể và các đối tượng

 Nhãn hiệu nhạy cảm (sensitivity label): Trong hệ thống dùng điều

khiển truy cập bắt buộc, hệ thống chỉ định một nhãn hiệu cho mỗi chủ thể và mỗi đối tượng trong hệ thống Nhãn hiệu nhạy cảm của một chủ thể xác định mức tin cẩn cần thiết để truy cập Để truy cập một đối tượng nào đấy, chủ thể phải có một mức độ nhạy cảm

(tin cẩn) tương đồng hoặc cao hơn mức độ của đối tượng yêu cầu

 Xuất ngoại và nhập nội dữ liệu (Data import and export): Điều

khiển việc nhập nội thông tin từ một hệ thống khác và xuất ngoại thông tin sang các hệ thống khác (bao gồm cả các máy in) là một chức năng trọng yếu trong các hệ thống sử dụng điều khiển truy cập bắt buộc Nhiệm vụ của việc xuất nhập thông tin là phải đảm

TRANG 2

bảo các nhãn hiệu nhạy cảm được giữ gìn một cách đúng đắn và nhiệm vụ này phải được thực hiện sao cho các thông tin nhạy cảm phải được bảo vệ trong bất kỳ tình huống nào

Có hai phương pháp được dùng phổ biến để áp dụng nguyên tắc điều khiển truy cập bắt buộc:

 Điều khiển truy cập dùng chính sách (rule-based access control):

Việc điều khiển thuộc loại này định nghĩa thêm những điều kiện

cụ thể đối với việc truy cập một đối tượng mà chúng ta yêu cầu Tất cả các hệ thống dùng điều khiển truy cập bắt buộc đều thực hiện một hình thức đã được đơn giản hóa của thể loại điều khiển truy cập dùng chính sách, nhằm quyết định cho phép hay từ chối yêu cầu truy cập, bằng cách đối chiếu:

- Nhãn hiệu nhạy cảm của đối tượng

- Nhãn hiệu nhạy cảm của chủ thể

 Điều khiển truy cập dùng bố trí mắt lưới (lattice-based access

control): Đây là phương pháp người ta sử dụng đối với những

quyết định phức tạp trong điều khiển truy cập với sự liên quan bội

số các đối tượng và/hay các chủ thể Mô hình mắt lưới là một cấu

trúc toán học, nó định nghĩa các giá trị cận dưới lớn nhất (greatest

lower-bound) và cận trên nhỏ nhất (least upper-bound) cho những

cặp nguyên tố, chẳng hạn như cặp nguyên tố bao gồm một chủ thể

và một đối tượng

 DAC: (tên tiếng Anh là discretionary access control – có nghĩa là điều

khiển truy cập tùy quyền) là một chính sách truy cập mà chủ nhân của tập tin hay người chủ của một tài nguyên nào đấy tự định đoạt Chủ nhân của

nó quyết định ai là người được phép truy cập tập tin và những đặc quyền

(privilege) nào là những đặc quyền người đó được phép thi hành

Hai quan niệm quan trọng trong truy cập tùy quyền là:

 Quyền sở hữu tập tin và dữ liệu (File and data ownership): Bất cứ

một đối tượng nào trong một hệ thống cũng phải có một chủ nhân

là người sở hữu nó Chính sách truy cập các đối tượng là do chủ nhân tài nguyên quyết định - những tài nguyên bao gồm: các tập tin, các thư mục, dữ liệu, các tài nguyên của hệ thống, và các thiết

bị (devices) Theo lý thuyết, đối tượng nào không có chủ sở hữu

thì đối tượng đó bị bỏ lơ, không được bảo vệ Thông thường thì chủ nhân của tài nguyên chính là người đã kiến tạo nên tài nguyên (như tập tin hoặc thư mục)

 Các quyền và phép truy cập: Đây là những quyền khống chế những thực thể tài nguyên mà chủ nhân của tài nguyên chỉ định cho mỗi một người hoặc mỗi một nhóm người dùng

TRANG 3

Điều khiển truy cập tùy quyền có thể được áp dụng thông qua nhiều kỹ thuật khác nhau:

 Danh sách điều khiển truy cập (Access control list - ACL) định

danh các quyền và phép được chỉ định cho một chủ thể hoặc một đối tượng Danh sách điều khiển truy cập cho ta một phương pháp linh hoạt để áp dụng quy chế điều khiển truy cập tùy quyền

 Kiểm tra truy cập trên cơ sở vai trò (role-based access control)

chỉ định tư cách nhóm hội viên dựa trên vai trò của tổ chức hoặc chức năng của các vai trò Chiến lược này giúp tối giảm việc điều hành quản lý quyền và phép truy cập

 RBAC: (tên tiếng Anh là role-based access control – có nghĩa là điều

khiển truy cập trên cơ sở vai trò) là một tiếp cận (phương pháp) để hạn chế người dùng hợp pháp truy cập hệ thống Nó là một phương pháp tiếp cận mới, có thể dùng để thay thế phương pháp điều khiển truy cập tùy quyền (MAC) và điều khiển truy cập bắt buộc (DAC).Thường là khi người dùng sau khi được nhận dạng sẽ được hệ thống gắn kèm với vai trò trong hệ thống, vai trò này sẽ là thước đo cho mỗi yêu cầu của người dùng hợp pháp đối với hệ thống

III A – Authentication – Xác thực

Xác thực là một quy trình nhằm cố gắng xác minh nhận dạng số (digital

identity) của phần truyền gửi thông tin (sender) trong giao thông liên lạc chẳng

hạn như một yêu cầu đăng nhập Phần gửi cần phải xác thực có thể là một người dùng sử dụng một máy tính, bản thân một máy tính hoặc một chương

trình ứng dụng máy tính (computer program) Ngược lại Sự tin cậy mù quáng (blind credential) hoàn toàn không thiết lập sự đòi hỏi nhận dạng, song chỉ thiết

lập quyền hoặc địa vị hẹp hòi của người dùng hoặc của chương trình ứng dụng

mà thôi

Trong một mạng lưới tín nhiệm, việc "xác thực" là một cách để đảm bảo rằng người dùng chính là người mà họ nói họ là, và người dùng hiện đang thi hành những chức năng trong một hệ thống, trên thực tế, chính là người đã được ủy quyền để làm những việc đó

Ở đây chúng tôi quan tâm đến các cơ chế xác thực sau: Kerberos, CHAP,

certificates, usernames/passwords, biometric, RADIUS/DIAMETER, EAP,

 LDAP: (tên tiếng Anh là Light Weight Directory Access Protocol – có

nghĩa là giao thức truy xuất thư mục) là một giao thức giúp thiết kế và truy xuất dữ liệu dựa trên mô hình client-server, với đặc tính dễ sử dụng

và mở rộng Directory ở đây không phải là thư mục dạng cây đơn giản khi duyệt bằng Windows Explorer, mà nó là một loại hình database có tính mô tả cao, được tối ưu cho việc tìm kiếm Trước kia các ứng dụng

TRANG 4

được phát triển độc lập với nhau, điều đó có nghĩa là người sử dụng hệ thống này không có liên hệ gì tới hệ thống khác Nếu như một tổ chức có nhiều ứng dụng, người quản trị hệ thống sẽ phải tạo account và cấp quyền truy cập cho người sửdụng trên các hệ thống khác nhau, điều này dẫn đến việc người sử dụng sẽ phải sử dụng các account và mật khẩu khác nhau cho tất cả các chương trình Điều này gây ra rắc rối cho người sử dụng, vì bản thân họ nhiều khi không nhớ hết được tất cả mọi thông tin cần thiết

để truy cập Để khắc phục bất lợi trên, nhiều ứng dụng hiện nay được thực hiện xác thực thông qua một hệ thống duy nhất, thông thường là LDAP Thông tin về người sử dụng như username và mật khẩu được chứa trong LDAP server Với việc tích hợp LDAP vào phần xác thực của ứng dụng, người sử dụng chỉ cần một username và mật khẩu duy nhất có thể truy cập được vào nhiều hệ thống khác nhau, điều này làm đơn giản hóa việc quản trị cũng như việc sử dụng các ứng dụng trên

Mô hình LDAP như sau:

Cấu trúc cây của LDAP:

Cấu trúc dạng text của một LDIF:

TRANG 5

 Username / Password : đây là cơ chế xác thực cơ bản nhất và vẫn được sử dụng hiện nay Tuy nhiên cơ chế này không còn được dùng một cách thuần nhất nữa, thay vào đó là sự kết hợp giữa nó và các phương pháp mã hóa Sự kết hợp này cho ra đời những phương thức xác thực khác nhau

 CHAP: (tên tiếng Anh là Challenge Handshake Authentication Protocol –

Nghĩa là giao thức chứng thực bắt tay thử thách) là một nguyên tắc xác minh được sử dụng bởi Point to Point Protocol (PPP) servers để xác nhận hợp lệ định danh của remote clients.CHAP định kỳ kiểm tra lại định danh của client bằng cách sử dụng 3 lần bắt tay.Điều này diễn ra lúc xác minh đường truyền và có thể được thực hiện lại nhiều lần sau khi quá trình xác minh thành công.Sự xác minh là dựa trên sự chia sẻ những sự riêng tư ( như là sử dụng password của client )

CHAP có thể bảo vệ và chống tấn công kiểu gửi lại gói tin bằng cách tăng

id và thay đổi variable challenge-value trong Challenge Packet ở mỗi lần xác minh lại.CHAP yêu cầu cả client và server đều phải sử dụng chung một password

Có 2 dạng authentication được dùng là one-way và two-way One-Way là dạng authentication mà chỉ có called device thực hiện challenge Trong khi đó Two-way là dạng authentication mà cả calling device và called device đều thực hiện challenge

Mô hình:

1.Sau khi hoàn thành việc thiết lập đường truyền, server sẽ gửi một thông điệp thử thách ( challenge message) tới remote client

2.Dựa vào những thông tin trong challenge message, remote client sẽ dùng một hàm hash để tính toán ra một giá trị hash.Sau đó sẽ gửi thông điệp có chứa giá trị hash này cho server

TRANG 6

3.Sau khi nhận giá trị hash trong gói response,server sẻ dùng những thông tin mà nó gửi trước đó và thông tin trong gói response để tính ra giá trị hash.Sau đó nó so sánh giá trị hash này với giá trị hash trong gói

response,nếu hai giá trị này giống nhau thì quá trình xác minh thành

công,nếu khác nhau tức là quá trình xác minh thất bại.Server gửi lại cho remote clients một thông điệp chứa kết quả quá trình xác minh

4.Nếu quá trình xác minh thành công thì tại một thời điểm ngẫu nhiên sau

đó servers sẽ gửi lại cho remote clients một challenge message mới và lặp lại các bước từ 1 đến 3

CHAP Packets:

Challenge Packet

1 byte 1 byte 2 bytes 1 byte variable variable Code=1 Id Length Challenge length Challenge value Username Response Packet

Code=2 Id Length Response length Response value Username Success Packet

Failure Packet

 Kerberos : là một giao thức mật mã dùng để chứng thực trong mạng máy tính hoạt động trên những đường truyền không an toàn.Nó là một bộ free software được công bố bởi Massachusetts Institute of Technology (MIT) ,đây là tổ chức đã hiện thực giao thức này Những người thiết kế chủ yếu nhắm vào mô hình client-server Nó cung cấp những cơ chế chứng thực lẫn nhau giữa client và server Giao thức Kerberos có khả năng chống lại việc nghe lén hay gửi lại gói tin cũ và đảm bảo tính toàn vẹn dữ

liệu.Kerberos được xây dựng dựa trên mật mã hóa khóa đối xứng và cần đến bên thứ ba mà cả hai bên tham gia giao dịch đều tin tưởng.Windows

2000, Windows XP, Windows Server 2003, Windows Vista và Windows Server 2008 sử dụng Kerberos như là phương thức chứng thực mặc định

Mô hình:

+

AS (Authentication Server) : Máy chủ chứng thực

TGS (Ticket Granting Server) : Máy chủ cấp vé

SS (Service Server) : Máy chủ dịch vụ Nguyên tắc hoạt động tổng quát:

Người sử dụng chứng thực mình với máy chủ chứng thực AS, sau

đó chứng minh với máy chủ cấp vé TGS rằng mình đã được chứng thực

để cấp vé, cuối cùng chứng minh với máy chủ dịch vụ SS rằng mình đã được chấp thuận để sử dụng dịch vụ

Các bước thực hiện chi tiết:

Người sử dụng logon trên máy client:

1 Người dùng nhập username và password trên máy client

TRANG 7

2 Phần mềm sử dụng trên máy khách thực hiện hàm băm một chiều trên password đã nhận được.Và kết quả nhân được trở thành khóa bí mật của client

Các bước chứng thực client:

1 Client gửi một thông điệp chưa được mã hóa tới AS để yêu cầu dịch vụ.Nội dung tương tự như: “Người dùng XYZ muốn sử dụng dịch vụ”.Cần chú ý là khóa bí mật và password không được gửi tới AS

2 AS sẽ kiểm tra nhận dạng người sử dụng có tồn tại trong cơ sở

dữ liệu của mình hay không Nếu có AS sẽ gửi hai thông điệp cho client:

Thông điệp A: "Khóa phiên TGS/máy khách" đã được mật mã hóa với khóa bí mật của người sử dụng

Thông điệp B: “Vé chấp thuận” (Bao gồm định danh của người sử dụng,địa chỉ mạng của máy client, thời hạn của vé và khóa phiên

TGS/máy khách) đã được mật mã hóa với khóa bí mật của TGS

3 Khi client nhận được thông điệp A và B,nó giải mã thông điệp A

để nhận được “khóa phiên TGS/máy khách” Khóa phiên này được sử dụng để lien lạc với TGS.(Chú ý: client không thể giải mã được thông điệp B vì nó được mã hóa với khóa bí mật của của TGS).Tại thời điểm này client có thể chứng thực mình với TGS

Các bước cấp quyền sử dụng dịch vụ cho client:

1 Khi yêu cầu dịch vụ,client gửi hai thông điệp tới cho TGS

Thông điệp C: Bao gồm vé chấp thuận từ gói tin B và định danh ID của dịch vụ

Thông điệp D: Phần chứng thực (gồm định danh ID của client và thời điểm yêu cầu ) mật mã hóa với “khóa phiên TGS/máy khách”

2 Khi nhận được hai thông điệp trên,TGS lấy lại được thông điệp

B từ thông điệp C Nó sử dụng khóa bí mật của TGS để giải mã gói tin B

để lấy được “khóa phiên TGS/máy khách”.Sau đó nó sử dụng khóa này để giải mã thông điệp D và gửi hai thông điệp tới client:

Thông điệp E: “Vé client tới server” (bao gồm định danh của client,địa chỉ mạng client, thời gian sử dụng và “khóa phiên Client/Server”) đã được mật mã hóa với khóa bí mật của của server

Thông điệp F: Khóa phiên Client/Server mật mã hóa với khóa phiên

client/TGS

Các bước client yêu cầu dịch vụ:

1 Sau khi nhận hai thông điệp E và F từ TGS,client đã có đủ thông tin để chứng thực với SS.Client kết nối với SS và gửi hai thông điệp: Thông điệp E: mà client nhận từ TGS ở bước trước

Thông điệp G: phần chứng thực mới bao gồm định danh của client,thời điểm yêu cầu và được mật mã hóa với khóa phiên client/server

TRANG 8

2 SS giải mã vé bằng khóa bí mật của mình và gửi thông điệp sau tới client để xác nhận định danh của mình và khẳng định sự đồng ý cung cấp dịch vụ:

Thông điệp H: Thời điểm trong gói tin yêu cầu dịch vụ cộng thêm 1,mật

mã hóa với "Khóa phiên client/server"

3 Client giải mã thông tin trên bằng khóa phiên client/server và kiểm tra thời gian có được cập nhật chính xác Nếu đúng thì người sử dụng có thể tin tưởng vào máy chủ SS và bắt đầu gửi yêu cầu sử dụng dịch vụ

4 Máy chủ cung cấp dịch vụ cho người sử dụng

Nhược điểm:

Nếu máy chủ trung tâm ngừng hoạt động thì mọi hoạt động sẽ ngừng lại.Điểm yếu này có thể được hạn chế bằng cách sử dụng nhiều máy chủ Kerberos

Giao thức đòi hỏi đồng hồ của tất cả những máy tính liên quan phải được đồng bộ(mặc định đòi hỏi các đồng hồ không được sai lệch quá 10 phút) Nếu không đảm bảo điều này, cơ chế chứng thực giựa trên thời hạn

sử dụng sẽ không hoạt động

Khi tất cả các khóa bí mật của người sử dụng được lưu trên server trung tâm,một sự thỏa hiệp của server sẽ làm hại đến khóa bí mật của người sử dụng

 Digital Certificate (nghĩa là chứng thực số): là những tập tin dữ liệu được dùng để thiết lập định danh của người và tài sản điện tử trên Internet Chúng cho phép thực hiện những giao tiếp trực tuyến bảo mật và thường được dùng để bảo vệ những giao dịch trực tuyến Khi chứng nhận được

CA (Certification Authority) ký bằng kỹ thuật số, người sở hữu có thể dùng nó như một giấy thông hành điện tử để chứng minh định danh (nhân thân) của mình Nó có thể được xuất trình cho các web site, mạng hay những cá nhân có yêu cầu truy cập bảo mật

Thông tin định danh được nhúng trong chứng nhận này gồm tên và địa chỉ email của người sở hữu, tên của CA, số hiệu và dữ liệu về quyền cũng như thời gian sử dụng chứng nhận Khi định danh người dùng được CA xác nhận, sẽ dùng khóa công khai của người sở hữu để bảo vệ dữ liệu này.Khóa công khai cũng được dùng trong những chứng thực mà các Web Server dùng để xác thực một web site nào đó cho trình duyệt của người dùng khi người dùng muốn gởi thông tin mật đến một Web server, chẳng hạn số thẻ tín dụng cho giao dịch trực tuyến, trình duyệt của họ sẽ truy cập khóa công khai trong chứng thực số của server này để kiểm tra định danh của nó

Mô hình:

TRANG 9

 RADIUS: (tên tiếng Anh là Remote Authentication Dial In User Service –

có nghĩa là dịch vụ xác thực người dùng truy cập từ xa): Với khả năng cung cấp xác thực tập trung, cấp phép và điều khiển truy cập - AAA cho các phiên làm việc với SLIP và PPP Dial-up – như việc cung cấp xác thực của các nhà cung cấp dịch vụ Internet (ISP) đều dựa trên giao thức này để xác thực người dùng khi họ truy cập Internet Nó cần thiết trong tất cả các Network Access Server (NAS) để làm việc với danh sách các username

và password cho việc cấp phép, RADIUS Access-Request sẽ chuyển các thông tin tới một Authentication Server, thông thường nó là một AAA Server Trong kiến trúc của hệ thống nó tạo ra khả năng tập trung các trường thông tin của người dùng, các điều kiện truy cập trên một điểm duy nhất, trong khi có khả năng cung cấp cho một hệ thống lớn, cung cấp giải pháp NASs (Network Access Servers)

Khi một user kết nối, NAS sẽ gửi một thông điệp (message) dạng RADIUS Access-Request tới máy chủ AAA Server, chuyển các thông tin như username và password, thông qua một port xác định, NAS identify,

và một message Authenticator Sau khi nhận được các thông tin máy chủ AAA sử dụng các gói tin được cung cấp như, NAS identify, và

Authenticator thẩm định lại việc NAS đó có được phép gửi các yêu cầu

đó không Nếu có khả năng, máy chủ AAA sẽ tìm và kiểm tra thông tin username và password mà người dùng yêu cầu truy cập trong cơ sở dữ lệu Nếu quá trình kiểm tra là đúng thì nó sẽ mang một thông tin trong Access-Request quyết định quá trình truy cập của user đó là được chấp nhận Khi quá trình xác thực bắt đầu được sử dụng, máy chủ AAA có thể

TRANG 10

sẽ trả về một RADIUS Access-Challenge mang một số ngẫu nhiên NAS

sẽ chuyển thông tin đến người dùng từ xa (ví dụ sử dụng CHAP) Khi đó người dùng sẽ phải trả lời đúng các yêu cầu xác nhận (trong CHAP, đưa

ra lời đề nghị mã hoá password), sau đó NAS sẽ chuyển tới máy chủ AAA một message RADIUS Access-Request Nếu máy chủ AAA sau khi kiểm tra các thông tin của người dùng hoàn toàn thoả mãn sẽ cho phép sử dụng dịch vụ, nó sẽ trả về một message dạng RADIUS Access-Accept Nếu không thoả mãn máy chủ AAA sẽ trả về một tin RADIUS Access-Reject và NAS sẽ ngắt kết nối với user.Khi một gói tin Access-Accept được nhận và RADIUS Accounting đã được thiết lập, NAS sẽ gửi một gói tin RADIUS Accounting-Request (Start) tới máy chủ AAA Máy chủ

sẽ thêm các thông tin vào file Log (ghi sự kiện) của nó, với việc NAS sẽ cho phép phiên làm việc với user bắt đầu khi nào, và kết thúc khi nào, RADIUS Accouting làm nhiệm vụ ghi lại quá trình xác thực của user vào

hệ thống, khi kết thúc phiên làm việc NAS sẽ gửi một thông tin RADIUS Accounting-Request (stop)

Mô hình làm việc của RADIUS:

Cấu trúc gói dữ liệu của Access (Request / Reply):