Tài liệu CÁC MỤC TIÊU CỦA AN TÕAN THÔNG TIN LÀ GÌ : ĐÓ CHÍNH LÀ C.I.A pptx

Trong khi dịch vụ nhận dạng và xác minh nhằm xác định ai là người được đăng nhập vào một hệ thống, thì dịch vụ ủy quyền xác định những gì mà một người dùng đã được xác thực có thể thi hà

Để trở thành một chuyên gia bảo mật Comptia SECURITY+ thì điều trước tiên chúng ta cần nắm vững các thành phần nền tảng trong mô hình bảo mật thông tin, bao gồm các cơ chế xác thực người dùng, phương pháp kiềm sóat truy cập và mục tiêu của an tòan thông tin Trong bài thi thực tế của mình, tôi gặp các câu hỏi thuộc chủ đề này trong câu 1 đến câu 10 Điều này chứng tỏ các khái niệm cơ bản của an tòan thông tin rất quan trọng

trong ki thi chứng chỉ quốc tế Comptia SECURITY+

CÁC MỤC TIÊU CỦA AN TÕAN THÔNG TIN LÀ GÌ : ĐÓ CHÍNH LÀ C.I.A

C.I.A là 3 mục tiêu cơ bản nhất của các tiến trình bảo mật, đây cũng là những đặc trưng thường được hỏi trong kỳ thi chứng chỉ quốc tế Comptia Security+ vì vậy các bạn cần nắm vững 3 khái niệm này và ý nghĩa của từng ký tự trong tam giác bảo mật trên

-C: là Confidentiality nghĩa là tính riêng tư Một trong những mục tiêu quan trọng nhất của bảo mật thông tin là bảo đảm sự riêng tư của dữ liệu Điều này có nghĩa là dữ liệu hay thông tin của người nào thì chỉ người đó được biết và những người khác không được quyền can thiệp vào Trong thực tế, chúng ta thường thấy khi phát lương ngoài bì thư hay

đề chữ Confidentiality nhằm không cho các nhân viên biết mức lương của nhau để tránh

sự đố kỵ, so sánh giữa họ Hoặc trong những khu vực riêng của một cơ quan hay tổ chức nhằm ngăn chặn người lạ xâm nhập với bảng cấm ―không phận sự miễn vào‖ cũng là một hình thức bảo vệ tính riêng tư Đối với dữ liệu truyền để bảo vệ tính riêng tư

(confidentiality) thì chúng thường được mã hóa hay sử dụng các giao thức truyền thông

an tòan như SSH

-I: là Integrity nghĩa là tính tòan vẹn Mục tiêu thứ 2 trong bảo mật thông tin là bảo vệ tính tòan vẹn cho dữ liệu Nhằm bảo đảm khi dữ liệu truyền đi không bị thay đổi bởi một tác nhân khác, ví dụ khi một email quan trọng được gởi đi thì thường được áp dụng các thuật tóan bảo vệ tính tòan vẹn như message digest (sẽ tham khảo trong chương 6) ngăn ngừa bị một tác nhân thứ 3 thay đổi bằng cách chặn bắt thông điệp trên

-A: là Availability nghĩa là tính khả dụng, sẳn sàng đáp ứng nhu cầu người dùng Cần đặc biệt lưu ý khi các câu hỏi của Security+ khi hỏi rằng chữ A có phải tượng trưng cho Accountant hay không Vì nếu không nắm rõ ý nghĩa của 3 mục tiêu này các bạn sẽ dễ bị đánh lừa bởi yếu tố thứ 3 Availability, nghĩa là dữ liệu cần phải luôn luôn đáp ứng được nhu cầu của người dùng ví dụ như dịch vụ email của doanh nghiệp phải luôn luôn có khả năng phục vụ nhu cầu gởi và nhận email, nếu do sự cố nào đó mà quá trình trao đổi thông tin qua email không diễn ra được thì hệ thống bảo mật của chúng ta đã bị gãy đổ do mục tiêu A không đáp ứng được

Non-repudiation : đây là một trong những mục tiêu thứ cấp của 3 mục tiêu chính CIA

trong quá trình bảo mật thông tin Non-repudation là tính không thể chối bỏ, nhằm bảo đảm và xác nhận nguồn gốc của thông điệp Nếu như các bạn hay download các chương trình trên mạng thì sẽ thấy nhà cung cấp hay kèm theo một chuỗi số hàm băm MD5 hay SHA dùng để xác nhận có phải bạn đã download đúng chương trình trên từ nhà cung câp này hay không Vì nếu như một chương trình khác được các attacker/hacker đưa lên thì chắc chắn có sự thay đổi về nội dung và khi đó giá trị MD5/SHA đã bị thay đổi, khác với giá trị mà nhà cung cấp đưa ra Còn ngược lại, nếu giá trị MD5/SHA giống như giá trị gốc thì chương trình trên đúng là của nhà cung cấp này và khi nó gây ra các tác hại nào

đó thì họ không được quyền chối bỏ trách nhiệm bằng cách nói rằng chương trình đó không phải do họ viết Trong khóa học SCNP (một hệ thống bảo mật cao cấp hơn so với Comptia Security+) có hướng dẫn phương pháp tạo giá trị hàm băm vơi thuật tóan

MD5/SHA

CÁC NHÂN TỐ BẢO MẬT THÔNG TIN

Vậy để đạt được 3 mục tiêu CIA chúng ta cần phải thực hiện những điều gì? Đó chính là

4 nhân tố bảo mật thông tin sau đây:

- Authentication: (Xác thực) là một quá trình xác nhận đặc điểm nhận biết của người

dùng qua đó quyết định quyền truy nhập cơ sở dữ liệu và khả năng thực hiện các giao dịch của người đó Việc xác thực thường thông qua tên truy nhập và mật khẩu hay các phương pháp phức tạp hơn như chứng thực số Ví dụ khi bạn đăng nhập một hệ thống máy tính thì tiến trình xác thực diễn ra khi bạn nhập vào tài khỏan bao gồm usernam và password trên màn hình logon

-Authorization : (Ủy quyền) là tiến trình kiểm tra quyền hạn của người dùng sau khi

đăng nhập hệ thống Ví dụ một người dùng sau khi đăng nhập hệ thống cần phải trải qua tiến trình Authorization, sau đó người dùng này được phép truy cập vào máy chủ hay dữ liệu nào thì tùy thuộc vào quyền hạn mà anh ta có được do tiến trình

-Access control : là quá trình kiểm sóat truy cập có chức năng gán quyền cho người dùng

hay xác nhận quyền hạn của người dùng Khi các bạn tạo một tập tin thư mục và chia sẽ

nó cho các nhân viên khác thì chúng ta thường gán các quyền như được phép đọc, ghi

…Quá trình này được gọi là kiểm sóat truy cập (Access control)

-Auditing hay Accounting: (kiểm tóan) đây là quá trình ghi nhật ký hệ thống để lưu giữ

lại các hành động diễn ra đối với các đối tượng hay dữ liệu Thông thường chúng ta

thường hay ghi log file các lần user đăng nhập thành công hay thất bại hệ thống của mình, hoặc sau khi đăng nhập anh ta có những thao tác gì, quá trình này được gọi là

Auditing hay Accounting

Security365 Tip : Đây là 4 yếu tố mà các bạn không được phép quên cùng với 3 mục tiêu C.I.A

CÁC PHƯƠNG PHÁP KIỂM SÓAT TRUY CẬP:

Theo nội dung do Comptia đề xuất thì phần này có tên là‖ Nhận Dạng Và Giải Thích Các

Mô Hình Điều Khiển Truy Cập‖ Vậy mô hình điều khiển truy cập là gì? Đó chính là

phương pháp hay các kỹ thuật dùng để cho phép hay không cho phép người dùng sử dụng

một dịch vụ hay dữ liệu nào đó trên hệ thống Ví dụ với mô hình điều khiển truy cập DAC, các bạn có thể gán quyền cho người dùng thuộc nhóm Sale được phép Read/Write đối với thư mục dữ liệu Sale Info, còn những người khác trong công ty thì chỉ có thể Read mà không được phép thay đổi Điều khiển truy cập là bước tiếp theo sau khi tiến trình xác thực (authentication) hòan tất Điều này cũng giống như trong một ngôi nhà có những tiện ích sử dụng như các phòng ngủ 1,2,3 Một người dùng muốn sử dụng phòng ngủ X của họ (access control) thì trước tiên họ phải được phép vào ngôi nhà đó ví dụ phải

có thẻ ra vào, hay có các chìa khóa để vào nhà – quá trình này gọi là xác thực Và mục tiêu chính của quá trình xác thực & điều khiển truy cập chính là ngăn ngừa những trường hợp truy cập, sử dụng trái phép tài nguyên hệ thống, đó chính là yếu tố cơ bản của bảo mật thông tin

Theo định nghĩa được đăng trên bộ bách khoa tòan thư http://vi.wikipedia.org thi nhiệm

vụ điều khiển truy cập được mô tả như sau ―Nhiệm vụ điều khiển truy cập trong an ninh máy tính (computer security access control) bao gồm các nhiệm vụ xác thực

(authentication), ủy quyền (authorization) và kiểm toán (audit) Nhiệm vụ này còn bao gổm cả việc sử dụng những phương pháp bổ xung như phươ ng pháp sử dụng các thiết bị phần cứng - chẳng hạn như các máy quét lướt sinh trắc học (biometric scans) và bằng cách dùng các khóa bằng kim loại (metal locks) - hoặc các phương pháp xử lý phần mềm như việc sử dụng "đường dẫn ẩn" (hidden path), chữ ký điện tử (digital signatures), mã hóa (encryption), các rào cản (social barriers), và theo dõi hoạt động của hệ thống bằng sức người hoặc bằng các hệ thống tự động Sự ủy quyền có thể được thực thi dùng

phương pháp điều khiển truy cập trên cơ sở vai trò (role based access control), hay bằng cách dùng các danh sách điểu khiển truy cập (access control list)

Điều khiển truy cập tạo nên khả năng cho chúng ta có thể ban phép hoặc từ chối một chủ thể - một thực thể chủ động, chẳng hạn như một người hay một quy trình nào đó - sử dụng một đối tượng - một thực thể thụ động, chẳng hạn như một hệ thống, một tập tin - nào đấy trong hệ thống

Các hệ thống điều khiển truy cập cung cấp những dịch vụ thiết yếu như dịch vụ nhận dạng và xác minh (identification and authentication - I&A), dịch vụ ủy quyền

(authorization) và dịch vụ quy trách nhiệm (accountability) đối với người dùng hoặc đối với quy trình Trong khi dịch vụ nhận dạng và xác minh nhằm xác định ai là người được đăng nhập vào một hệ thống, thì dịch vụ ủy quyền xác định những gì mà một người dùng

đã được xác thực có thể thi hành, và dịch vụ quy trách nhiệm nhận dạng và chứng thực những hành vi hay hoạt động mà người dùng đã thi hành trong khi họ sử dụng hệ thống.‖

Đối với các thí sinh tham dự kỳ thi chứng chỉ Comptia Security + các bạn cần nằm vững các mô hình điều khiển truy cập sau

1 Mandatory Access Control (MAC)

2 Discretionary Access Control (DAC

3 Role Based Access Control (RBAC)

Các mô hình này thường được phối hợp sử dụng trong một hệ thống để gia tăng mức độ

an tòan

Mandatory Access Control (MAC) – Điều Khiển Truy Cập Bắt Buộc

Điều khiển truy cập bắt buộc (mandatory access control - MAC) là một chính sách truy cập không do cá nhân sở hữu tài nguyên quyết định, mà do hệ thống quyết định MAC

được dùng trong các hệ thống đa tầng cấp, là những hệ thống xử lý các loại dữ liệu nhạy cảm, như các thông tin được phân hạng về mức độ bảo mật trong chính phủ và trong quân đội Một hệ thống đa tầng cấp là một hệ thống máy tính duy nhất chịu trách nhiệm

xử lý bội số các phân loại dưới nhiều tầng cấp giữa các chủ thể và các đối tượng

Nhãn hiệu nhạy cảm (sensitivity label): Trong hệ thống dùng điểu khiển truy cập bắt buộc, hệ thống chỉ định một nhãn hiệu cho mỗi chủ thể và mỗi đối tượng trong

hệ thống Nhãn hiệu nhạy cảm của một chủ thể xác định mức tin cẩn cần thiết để truy cập Để truy cập một đối tượng nào đấy, chủ thể phải có một mức độ nhạy cảm (tin cẩn) tương đồng hoặc cao hơn mức độ của đối tượng yêu cầu

Xuất và nhập dữ liệu (Data import and export): Điều khiển việc nhập nội thông tin

từ một hệ thống khác và xuất ngoại thông tin sang các hệ thống khác (bao gồm cả các máy in) là một chức năng trọng yếu trong các hệ thống sử dụng điều khiển truy cập bắt buộc Nhiệm vụ của việc xuất nhập thông tin là phải đảm bảo các nhãn hiệu nhạy cảm được giữ gìn một cách đúng đắn và nhiệm vụ này phải được thực hiện sao cho các thông tin nhạy cảm phải được bảo vệ trong bất kỳ tình

o Nhãn hiệu nhạy cảm của đối tượng

o Nhãn hiệu nhạy cảm của chủ thể

Điều khiển truy cập dùng bố trí mắt l ưới (lattice-based access control): Đây là phương pháp người ta sử dụng đối với những quyết định phức tạp trong điều khiển truy cập với sự liên quan bội số các đối tượng và/hay các chủ thể Mô hình mắt

lưới là một cấu trúc toán học, nó định nghĩa các giá trị cận dưới lớn nhất (greatest lower-bound) và cận trên nhỏ nhất (least upper-bound) cho những cặp nguyên tố, chẳng hạn như cặp nguyên tố bao gồm một chủ thể và một đối tượng

Security365 Tip: Đối với Comptia Security+ thì các bạn cần nhớ kỹ các thuật ngữ base access control và lattice-based acecess control thuộc dạng điều khiển truy cập bắt buộc (MAC)

rule-Lưu ý: các bạn cần phân biệt thuật ngữ MAC (Mandatory Access Control ) và thuật ngữ MAC (địa chỉ vật lý card mạng)

Các bạn có thể tham khảo một số hệ thống thực thi cơ chế điều khiển truy cập bắt buộc trên các hệ điều hành như:

Một đề án nghiên cứu của NSA gọi là SELinux (Linux với nâng cấp về an ninh

(Security-Enhanced Linux)) xây dựng thêm kiến trúc điều khiển truy cập bắt buộc vào trong bộ điều hành trung tâm của hệ thống điều hành Linux Trong phiên bản

4 của Linux cấp kinh doanh của Red Hat (Red Hat Enterprise Linux - viết tắt là RHEL) và cả trong những phiên bản sau này, các nhân viên sản xuất phần mềm đã cho biên dịch SELinux vào trong bộ điều hành trung tâm của nó Bộ mã nguồn tiêu chuẩn của bộ điều hành trung tâm tại kernel.org đều có chứa mã nguồn của SE Linux trong nội dung của nó SE Linux có khả năng hạn chế tất cả các quy trình trong hệ thống, song do muốn đảm bảo tính sử dụng dễ dàng của hệ điều hành, RHEL chỉ hạn chế những chương trình ứng dụng dễ bị tấn công nhất mà thôi

Hệ điều hành Trusted Solaris (Solaris Tin cẩn) của công ty Sun sử dụng một cơ

chế điều khiển truy cập bắt buộc và được thi hành ở cơ sở hạ tầng của hệ thống (mandatory and system-enforced access control mechanism - MAC), trong đó sự cho phép sử dụng thông tin bí mật (clearance) và các nhãn hiệu được dùng để đảm bảo hiệu lực của chính sách an ninh Những chương trình ứng dụng mà người dùng vận hành được phối hợp với mức độ an ninh của phiên giao dịch mà người dùng đang làm việc Truy cập vào thông tin, vào chương trình ứng dụng, và vào các thiết bị đều được quản lý và chỉ có thể được ban phép cho tầng cấp an ninh tương đồng hoặc thấp hơn mà thôi MAC ngăn chặn người dùng quyền viết vào các tập tin ở các tầng thấp hơn (writing to files at lower levels) và đảm bảo hiệu lực của việc này bằng các chính sách an ninh tại cơ sở, địa điểm Không ai có quyền vượt qua trừ khi họ được ủy quyền đặc biệt hoặc có những đặc quyền.‖

Discretionary Access Control (DAC) - Điều Khiển Truy Cập Tùy Quyền

Định nghĩa những chính sách điều khiển truy cập cơ bản đối với các đối tượng trong một

hệ thống tập tin (filesystem) Một ví dụ thực tế của DAC là việc phân quyền cho người dùng trên hệ thống tập tin của hệ điều hành Windows dựa trên danh sách đều khiển truy cập (Access Control List – ACL) , với mục đích hạn chế truy cập các đối tượng trên cơ sở

nhận dạng (identity) và nhu cầu cần biết (need-to-know) của nhiều người dùng hay của

các nhóm mà đối tượng trực thuộc Phương pháp điều khiển được coi là 'tuỳ quyền' vì lý

do một chủ thể với một phép truy cập nào đấy có thể chuyển nhượng phép truy cập (trực tiếp hay gián tiếp) sang bất cứ một chủ thể nào khác trong hệ thống."

Role-Based Access Control (RBAC) - Điều Khiển Truy Cập Trên Cơ Sở Vai Trò

Trong an ninh đối với các hệ thống máy tính, điều khiển truy cập trên cơ sở vai trò là một trong số các phương pháp điều khiển và đảm bảo quyền sử dụng cho người dùng Đây là một phương pháp có thể thay thế Điề u khiển truy cập tùy quyền (discretionary access control - DAC) và Điều khiển truy cập bắt buộc (mandatory access control - MAC) Điều khiển truy cập trên cơ sở vai trò (RBAC) khác với hình thức MAC và DAC truyền thống MAC và DAC trước đây là hai mô hình duy nhất được phổ biến trong điều khiển truy cập Nếu một hệ thống không dùng MAC thì người ta chỉ có thể cho rằng hệ thống

đó dùng DAC, hoặc ngược lại Song cuộc nghiên cứu trong những năm 1990 đã chứng minh rằng RBAC không phải là MAC hoặc DAC

Trong nội bộ một tổ chức, các vai trò (roles) được kiến tạo để đảm nhận các chức năng công việc khác nhau Mỗi vai trò được gắn liền với một số quyền hạn cho phép nó thao tác một số hoạt động cụ thể ('permissions') Các thành viên trong lực lượng cán bộ công nhân viên (hoặc những người dùng trong hệ thống) được phân phối một vai trò riêng, và thông qua việc phân phối vai trò này mà họ tiếp thu được một số những quyền hạn cho phép họ thi hành những chức năng cụ thể trong hệ thống

Vì người dùng không được cấp phép một cách trực tiếp, song chỉ tiếp thu được những quyền hạn thông qua vai trò của họ (hoặc các vai trò), việc quản lý quyền hạn của người dùng trở thành một việc đơn giản, và người ta chỉ cần chỉ định những vai trò thích hợp cho người dùng mà thôi Việc chỉ định vai trò này đơn giản hóa những công việc thông thường như việc cho thêm một người dùng vào trong hệ thống, hay đổi ban công tác (department) của người dùng

RBAC khác với các danh sách điểu khiển truy cập (access control list - ACL) được dùng trong hệ thống điều khiển truy cập tùy quyền (DAC), ở chỗ, nó chỉ định các quyền hạn tới từng hoạt động cụ thể với ý nghĩa trong cơ quan tổ chức, thay vì tới các đối tượng dữ liệu hạ tầng Lấy ví dụ, một danh sách điều khiển truy cập có thể được dùng để cho phép hoặc từ chối quyền truy cập viết một tập tin hệ thống (system file), song nó không nói cho ta biết phương cách cụ thể để thay đổi tập tin đó Trong một hệ thống dùng RBAC, một thao tác có thể là việc một chương trình ứng dụng tài chính kiến tạo một giao dịch trong 'tài khoản tín dụng' (credit account transaction), hay là việc một chương trình ứng dụng y học khởi thủy một bản ghi 'thử nghiệm nồng độ đường trong máu' (blood sugar level test) Việc chỉ định quyền hạn cho phép thi hành một thao tác nhất định là một việc làm đầy ý nghĩa, vì các thao tác đã được phân định tinh tế và mỗi cá nhân thao tác có một

ý nghĩa riêng trong chương trình ứng dụng

Security365 Tip:

- Mandatory Access Control (MAC) họat động dựa trên các sự phân lọai các quy tắc (classification rule) Những object (đối tượng) được gán các nhãn nhạy cảm (sensitivity label) còn các subject (chủ thể) được gán các clearance label, và người dùng truy cập dựa trên các quyền mà học được gán cho một tài nguyên cụ thể và quá trình phân lọai này họat động theo cơ chế phân cấp

Một số hệ thống MAC thông dụng như các bộ máy hành chính hay quân sự MAC sử dụng các mức phân lọai: unclassified, sensitive but unclassified, confidential, secret, và top secret Hay mô hình MAC trong các tổ chức kinh tế sử áp dụng cơ chế phân lọai dựa trên: public, sensitive, private, và confidential

- Discretionary Access Control (DAC) họat động trên định danh của người dùng (user identity), trong mô hình này người dùng được gán quyền truy cập đối tượng (object) như file, folder thông qua danh sách truy cập (ACL) , dựa trên sự phân quyền của chủ thể (owner) hay người tạo ra đối tượng (creator)

- Role-Based Access Control (RBAC) : RBAC họat động dựa trên công việc của người dùng Người dùng được cấp quyền tùy theo vai trò và công việc đây là mô hình rất thích hợp cho các môi trường làm việc mà nhân sự có nhiều thay đổi

Privilege Management :

Quản trị phân quyền là tiến trình sử dụng các kỹ thuật authentication and authorization

để tạo nên các mô hình quả lý phân tán hay tập trung đối với người dùng hay một nhóm người dùng Quá trình này cũng có thể bao gồm cả việc ghi nhật ký hệ thống

(Audit.Accounting) hoặc cung cấp những cơ chế xác thực SSO (Single Sign On)

Quá trình quản lý phân quyền -SSO là một thuật ngữ và đặc điểm mà bất kỳ thí sinh chuẩn bị thi Security+ nào cũng không được quyền quên SSO là gì? Là Single Sign On : nghĩa là người dùng chỉ cần xác nhận một lần nhưng vẫn có thể sử dụng được nhiều dịch vụ khác nhau Giống như khi các bạn đăng nhập hệ thống ứng dụng Google với 1 tài khỏan duy nhất nhưng vẫn có thể sử dụng được mail, docs hay calendar, webmaster tool…Trên hệ thống Windows chúng ta

triển khai SSO bằng cách xây dựng các hệ thống Domain Controller

Lệnh nào dùng để nâng cấp một máy tính bình thường (standalone server thành domain

controller trên Windows 2000/2003? Đó chính là lệnh dcpromo!

Các câu hỏi của Topic 1A:

- Lưu ý là chúng tôi sẽ không dịch các câu hỏi sang tiếng Việt, vì điều này sẽ không có lợi cho các bạn do trong các kỳ thi các câu hỏi hoàn toàn bằng tiếng Anh Cho nên việc hiểu các câu hỏi và trang bị cho mình một vốn từ cần và đủ là yêu cầu bắt buộc đối với tất cả các bạn

1 The three common goals of computer security are:

morning, she places her hand on a scanning device in her building’s lobby, which reads

her handprint and compares it to a master record of her handprint in a databas e to verify her identity This is an example of:

a) Mandatory access control

b) Discretionary access control

c) Role-based access control

d) Rule-based access control

5 At the end of the day, security personnel can view electronic log files that record the

identities of everyone w ho entered and exited the building along with the time of day

This is an example of:

Đáp án gởi về cho các giảng viên của Security365 tại địa chỉ

Instructor@HocTrucTuyen.Org, tất cả các học viên phải hòan tất những câu hỏi này trước khi chuyển qua bài tiếp theo

Trong Bài Này Chúng Ta Sẽ Thảo Luận Về Các Phương Pháp Xác Thực Sau Đây:

Quá trình xác thực nhằm chứng minh một người dùng trong quá trình tiếp cận tài nguyên

hệ thống như đăng nhập hay truy xuất dữ liệu Là một phần của quá trình N hận dạng và

xác thực (Identification & authentication - I&A) Nhận dạng là phương pháp người dùng

báo cho hệ thống biết họ là ai (chẳng hạn như bằng cách dùng tên người dùng) Bộ phận nhận dạng người dùng của một hệ thống điều khiển truy cập thường là một cơ chế tương

đối đơn giản, hoạt động chủ yếu dựa trên một hệ thống tên người dùng (username) hoặc chỉ danh của người dùng (userID) Trong trường hợp đối với một hệ thống hoặc một quy

trình (process), việc nhận dạng thường dựa vào:

Tên máy tính (computer name)

Địa chỉ truy cập thiết bị (Media Access Control - MAC - address)

Địa chỉ giao thức mạng (Internet Protocol - IP - address)

Chỉ danh của quy trình (Process ID - PID)

Những yêu cầu nhận dạng đòi hỏi các chỉ danh dùng để nhận dạng:

Phải là một định danh duy nhất dùng để chỉ định hay nhận dạng một người dùng (không được có hai người dùng hay hai thiết bị sử dụng cùng một tên, hay cùng một chỉ danh)

Không thể dùng để xác định địa vị hay tầm quan trọng của người dùng trong một

tổ chức - chẳng hạn không được có những nhãn hiệu chỉ cho biết người này là chủ

tịch / giám đốc (president) hoặc là chủ tịch hội đồng quản trị ( CEO)

Tránh việc sử dụng các trương mục chung hoặc các trương mục dùng chung bởi

nhiều người dùng, như trương mục gốc (root), trương mục của người quản lý (admin), hoặc trương mục của người quản lý hệ thống (sysadmin)

Không nên dùng các trương mục không hỗ trợ việc quy trách nhiệm và chúng có thể trở thành những đối tượng béo bở cho bọn thâm nhập hệ thống bất hợp pháp Xác thực là một quy trình xác minh danh hiệu của một người dùng - chẳng hạn bằng cách

so sánh mật khẩu mà người dùng đăng nhập với mật khẩu được lưu trữ trong hệ thống đối với một tên người dùng cho trước nào đó

Quy trình xác thực dựa vào một trong ba yếu tố sau đây:

Dựa vào những chi tiết mà ta biết trước, chẳng hạn như một mật khẩu, hoặc một

số nhận dạng cá nhân (personal identification number - PIN) - đấy là chúng ta cho

rằng người sở hữu trương mục biết mật khẩu hoặc số nhận dạng cá nhân (PIN) cần thiết để truy cập trương mục Thuật ngữ mô tả của yếu tố này trong Security + là Something You Know

Dựa vào những gì mà chúng ta đã có, chẳng hạn như một cái thẻ thông minh (smart card) hoặc một dấu hiệu nào đó - đấy là chúng ta cho rằng người sở hữu

trương mục sở hữu một cái thẻ thông minh, hoặc một dấu hiệu cần thiết để mở khóa trương mục Trong Security+ thì yếu tố này được gọi là Something you Have

Dựa vào những gì mình sở hữu bẩm sinh, chẳng hạn như vết lăn tay, giọng nói,

võng mạc mắt, hoặc những đặc tính của tròng đen trong mắt mình

Các bạn cần ghi nhớ các thuật ngữ liên quan đến quá trình xác thực, cũng như những phương pháp được áp dụng cho tiến trình này ví dụ xác thực dựa trên Usernam /

Password, phương pháp xác thực Password Authentication Protocol (PAP), Challenge Handshake Authentication Protocol (CHAP), Certificates, Security Tokens Ở đây chúng

ta sẽ thảo luận về những kỹ thuật xác thực quan trọng đó là Username/password,

Kerberos, CHAP và Certificate, Biometric, Multifactor

Username/Password

Phương pháp xác thực dựa trên username/password là cách thông dụng nhất để kiểm tra một người dùng có được quyền đăng nhập hoặc có quyền sử dụng hệ thống hay không Các ứng dụng thực tế của co chế này có rất nhiều như việc đăng nhập máy tính trên màn

hình logon, đăng nhập hộp thư điện tử…

Theo cơ chế này thì khi người dùng cung cấp định danh, thông tin tài khỏan của họ sẽ được chuyển đến một cơ sở dữ liệu để tìm và so sanh vơi các bản ghi hay record trên hệ thống, nếu có sự trùng lắp xảy ra thì đây là người dùng hợp lệ và được đăng nhập hệ thống Trong trường hợp ngược lạ sẽ bị tùy chối truy cập Những thuận lợi của phương pháp này là cơ chế họat động đơn giản, dễ ứng dụng Nhưng đôi khi kém an tòan vì các thông tin như Username & Password gởi đi theo các giao thức không mã hóa như telnet,

ftp, pop3 dễ dàng bị băt lấy và xem trộm

Kerberos

Một trong những điểm yếu của việc xác thực thông tin đăng nhập không mã hóa (cleartext) là thông tin nhạy cảm dễ dàng bị đánh cắp bằng các phương pháp sniffer, replay attack hay man in the miidle, vì vậy một hệ thống xác thực mạnh mẽ và an tòan đã được nghiên cứu bởi học viện MIT trong dự án Athena và ứng dụng thành công là Kerberos trên các hệ thống Windows 2000/2003, Linux, Unix Mặc dù đây là một hệ thống họat động độc lập không phụ thuộc vào paltform nhưng cần có những sự tinh chỉnh riêng để có thể tương thích giữa các hệ thống ví dụ muốn áp dụng Kerberos để chứng thực cho hệ thống bao gồm Windows và Linux thì chúng ta cần có các dịch vụ hổ trợ

chẳng hạn SAMBA

Kerberos là giải pháp chứng thực tập trung với phần nhân là Key Distribution Center (KDC) có nhiệm vụ xác nhận định danh của người dùng và cấp phát quyền hạn truy cập

thích hợp thông qua các ticket và cơ chế mã hóa thông tin an tòan

Giải pháp xác thực third party Kerberos có độ tin cậy cao vì nó đóng vai trò trung gian giữa client / server, nếu client và server cùng được ủy quyền (trust) bởi KDC thì client và

server cũng có thể trust nhau

Security365 cũng nhắc lại một lần nữa, một trong những đặc tính quan trọng của Kerberos và rất hay được đề cập trong kỳ thi của Security+ hay các kỳ thi chứng chỉ bảo

mật quốc tế khác là tính năng Single Sign On (SSO) Với đặc tính này, người dùng chỉ

cần chứng thực một làn với KDC và sau đó có thể sử dụng tất cả các dịch vụ khác đã được trust theo những quyền hạn thích hợp mà không cần phải tiến hành chứng thực lại với máy chủ hay dịch vụ mà mình sử dụng Ví dụ trong mô hình Windows Server 2003 Active Directory, sau khi join và log in domain các domain user có thể sử dụng các dịch

vụ chia sẽ trên mạng như File hay Print Server mà không cần phải cung cấp username và password khi kết nối đến các máy chủ này như khi họat động trong môi trường WorkGroup Đây là một ưu điểm lớn của việc ứng dụng Kerberos nói chúng hay mô hình

mạng sử dụng Active Directory nói riêng

Các bạn có thể tham khảo sơ đồ chứng thực dựa trên Kerberos sau đây:

1 Subject (người dùng) cung cấp thông tin đăng nhập ví dụ username và password

2 Hệ thống Kerberos client tiến hành mã hóa password với thuật tóan Data Encryption

Standard (DES) sau đó truyền các thông tin đã được mã hóa đến KDC

3 KDC sẽ xác nhận thông tin đăng nhập này và tạo một Ticket Granting Ticket (TGT—

là giá trị hash của password do người dùng (subject) cung cấp với giá trị timestamp chỉ định thời gian sống (lifetime) của phiên truy cập Giá trị TGT này sẽ được mã hóa và gởi

về cho client

4 Client nhận TGT Tại thời điểm này, người dùng (subject) xem như đã được chứng

thực trong mô hình Kerberos realm

5 Khi người dùng có nhu cầu truy cập đến tài nguyên trên mạng, thì một yêu cầu Service

Ticket (ST) sẽ được gởi đến KDC

6 KDC xác nhận giá trị TGT của client xem có còn hợp lệ không, nếu hợp lệ KDC sẽ cấp

ST cho client, giá trị ST này cũng kèm theo một timestame quy định thời gian sử dụng

7 Client nhận ST từ KDC

8 Client gởi ST đến network server cung cấp các dịch vụ cần truy cập, ví dụ printe

server

9 Network server (ex Print server) se xác nhận ST Nếu hợp lệ, một kênh truyền thông

sẽ được khởi tạo với client Tại thời điểm này Kerberos sẽ không can thiệp vào quá trình họat động của client và server nữa

Dưới đây là hình minh họa quá trình xác thự và truy cậo tài nguyên với Kerberos

Quá trình chứng thự bằng kerberos

Với cơ chế quản lý chứng thực tập trung và có khả năng mở rộng, Kerberos mang lại hiệu quả cao cho các mô hình mạng lớn Trên hệ thống Windows OS, các bạn có thể áp dụng Kerberos cho tổ chức của mình bằng cách triển khai hệ thống Active Directory Các bạn

có thể tham khảo video demo quá trình cài đặt Domain Controller trên Windows Serve r

2003 tại địa chỉ www.security365.biz

Challenge Handshake Authentication Protocol (CHAP)

CHAP là giao thức chứng thực được dùng chủ yếu trong các kết nối dial-up (thường là PPP) với mục đích cung cấp một cơ chế truyền thông an tòan cho quá trình đăng nhậ p của người dùng CHAP sử dụng one-way hash để bảo vệ passwords và tiến hành

reauthenticates với các client một cách định kỳ

1 Sau khi người dùng nhập các thông tin đăng nhập và gởi đến server (client / server

đều sử dụng CHAP) , CHAP sẽ tiến hành chức năng one-way hash (MD5) dựa trên password được cung cấp của người dùng (subject) Sau đó sẽ chuyển username và giá trị hash đến authentication server

2 Authentication server so sánh username với cơ sở dữ liệu chứa tài khỏan cùng với giá

trị hash để xác nhận người dùnh có hợp lệ hay không

3 Nếu quá trình so sánh có sự trùng khớp giữa thông tin được gởi từ client với cơ sở dữ

liệu trên server thì server sẽ truyền một chuổi challenge (thử thách) đến client

4 Client đáp ứng dựa trên chalenge strinh và phản hồi đền server

5 Server phản hồi lại client

6 Server so sánh các đáp ứng mà nó nhận từ client

7 Nếu tất cả đều trùng khớp người dùng sẽ được chứng thực và cho phép truyền thông

với server

Hình minh họa quá trình xác thực của CHAP

Một khi client đã được chứng thực, CHAP sẽ gởi các chuổi ký tự thử thách với thời gian ngẫu nhiên và client có nhiệm vụ phản hồi lại các chuỗi này với các đáp ứng thích hợp nếu không kết nối sẽ tự động ngắt Việc kiểm tra kết nối thông qua các challenge string này giúp cho quá trình truyền thông không bị ảnh hưởng bởi các dạng tấn công Session Hijacking

Token

Token hay thẻ bài là một thành phần vật lý như smartcard lưu giữ các thông tin xác thực của người dùng Trong các thẻ bài này sẽ chứa các thông tin như mã PIN của người dùng, thông tin và mật mã đăng nhập

Multi-Factor Authentiaction hay xác thực đa yếu tố là một phương pháp xác thực dựa

trên 2 hay nhiều yếu tố của đối tượng

Một ví dụ điển hình của cơ chế xác thực này là khi các bạn muốn rút tiền từ các trạm ATM thì chúng ta cần có ít nhất 2 thành phần để máy ATM xác thực đo là thẻ ATM và

mã PIN đăng nhập của bạn

Mutual Authentication

Mutua Authentication là một kỹ thuật xác thực mà cả hai phía đều có thể xác nhận lẫn nhau , đầu tiên một dịch vụ hay tài nguyên sẽ xác nhận các thông tin của client hay người dùng, máy trạm sau đó client sẽ xác nhận các đặc tính của máy chủ hay nơi cung cấp dịch

vụ Mục đích của việc làm này là ngăn ngừa các client cung cấp thông tin nhạy cảm của mình cho các dịch vụ thiếu tin cậy

Và What you know? Cũng thường được đề cập Trước khi qua bài tiếp theo các bạn hãy trả lời các câu hỏi sau đây và gởi về cho các Instructor

4 What is the best description of Kerberos authentication?

a) A scheme that relies on a central server to authenticate users and provide service tickets

b) A scheme that relies on transmission of password hash values between the client and server

c) A scheme that relies on a user’s physical characteristics

d) A scheme that requires a supplemental numeric value generated by a special device

5 What is the best description of CHAP authentication?

a) A scheme that relies on a central server to authenticate users and provide service tickets

b) A scheme that relies on transmission of password hash values between the client and server

c) A scheme that relies on a user’s physical characteristics

d) A scheme that requires a supplemental numeric value generated by a special device

6 True or False? A benefit of mutual authentication is to protect clients from authenticating

to unauthorized systems

True

False

Câu hỏi từ Security365 : hãy nêu các ví dụ về những phương pháp xác thực đã nêu trong thực tế (lấy ví dụ khác với bài học)

http://hoctructuyen.org/iClass/security+/truecrypt.doc

Mã hóa là phương pháp nhằm bảo đảm tính riêng tư và tòan vẹn của dữ liệu trong quá trình lưu trữ hay truyền thông, tiến trình này thường được gọi là cyptography với các

thuật tóan mã hóa (encryption Algorithm) thích hợp Ngày từ thời xa xưa các chiến binh

La Mã đã biết cách ứng dụng mật mã học vào các bức thông điệp của mình để không cho đối phương đọc được với phương pháp mã hóa có tên là Cesar Shilf, đây cũng là một trong những phương pháp mã hóa cổ xưa nhất được thực hiện bằng cách dịch chuyển (shilf) ký tự gốc thành một ký tự khác tùy theo tham số dịch chuyển Ví dụ chuỗi ký tự ABD khi mã hóa theo phương pháp Cesar Shilf với tham số dịch chuyển là 1 sẽ cho ra kết quả là BDE, và chúng ta chỉ cần tiến hành ngược lại trên chuỗi kết quả sẽ tìm được giá trị ban đầu, công đọan này được gọi là quá trình giải mã (decryption) Nội dung của Comptia Security+ không để cập đến phương pháp mã hóa này tuy nhiên các bạn tham khảo để biết thêm (Lưu ý Cesar Shilf là một phần bắt buộc của giáo trình SCNP)

Tiến trình mã hóa

Encryption Algorithm / Key – Thuật Tóan Mã Hóa và Chìa Khóa

Qua phương pháp mã hóa đơn giản trên các bạn thấy rằng để mã hóa chúng ta cần có 2 thành phần đó là thuật tóan mã hóa (trong Cesar Shilf thì thuật tóan của nó là dịch

chuyển) và thành phần quan trọng còn lại là khóa (Key) ví dụ khóa của quá trình mã hóa ABC thành BDE là 1 (dịch chuyển sang phải 1 ký tự)

Kết hợp giữa thuật tóan và khóa để thực hiện quá trình mã hóa

Thuật tóan Hash

Thuật tóan Hash hay còn gọi là phương pháp hàm băm là phương pháp mã hóa một chiều : one-way encryption nghĩa là các dữ liệu được mã hóa và không bao giờ giả mã Kết quả của sự mã hóa được gọi là các giá trị hash (hash value) hay message digest Phương pháp mã hóa này thường được dùng để mã hóa password trong một số quá trình xác thực như khi CHAP client gởi password dùng để xác thực đến CHAP server thì password này sẽ được áp dụng các hàm hash để tiến hành mã hóa Có hai thuật tóan hash thường được đề cập trong các kỳ thì Comptia Security+ là MD5 và SHA

Message Digest 5 (MD5) : được phát minh bởi Ronald Rivest và có thể ứng dụng rộn rãi trong môi trường công cộng (không phải trả chi phí bản quyền), thuật tóan này cho ra các kết quả là các message digest có độ dài 128 bit

Secure Hash Algorithm (SHA) versions 1, 256,

384, and 512 : SHA được phát triển sau MD5 và mạnh mẽ hơn so với M D5 SHA có các phiên bản là SHA-1 (tạo ra 1 hash value có chiều dài 160 bit) và SHA-256SHA-384, SHA-512 tạo ra các giá trị hash có chiều dài tương ứng là 256 -bit, 384-bit, và 512-bit

Security365 Tip: Các bạn không cần phải biết chi tiết 2 thuật tóan đó được thực hiện như thê nào nhưng cần phải ghi nhơ rõ 2 thuật tóan hash này cùng với chiều dài của hash value trong mỗi thuật tóan, đặc biệt là đối với các phiên bản khác nhau của SHA sẽ có các hash value có độ dài khác nhau Trong đề thi chính thức của các bạn chắc chắn sẽ có câu hỏi về nhưng thuật tóan này Trong phần IPSEC hay ứng dụng thực hành True Crypt các bạn sẽ sử dụng những thuật tóan trên

Mã hóa đối xứng và bất đối xứng

Các chuyên gia bảo mật Security+ cần phải hiểu rõ hai phương pháp mã hóa đối xứng và bất đối xứng cùng những điểm thuận lợi cũng như bất lợi của chúng Các bạn phải chỉ ra được thuật toán nào là đối xứng và thuật tóan nào là bất đối xứng trong bài thi của mình Việc này cũng không quá khó khăn khi bạn ghi nhơ những thông tin trong bảng mô tả sau

Cơ chế mã hóa đối xứng (symetric) và bất đối xứng (asymetric) có các đặc điểm khác nhau sau đây:

1 Symetric Encryption : phương pháp mã hóa đối xứng còn gọi là private key tiến hành mã hóa và giải mã với cùng 1 khóa, điều này sẽ giúp cho quá trình thực thi

diễn ra nhanh chóng hơn nhưng Sender (bên gởi) sau khi mã hóa thông tin cần phải gởi kèm khóa dùng để giải mã cho Receiver (bên nhận), điều này làm cho nguy cơ bị hacker nghe lén (sniffer) khóa giải mã và dữ liệu sau đó giải mã các thông tin đã mã hóa Các thuật tóan thông dụng thuộc lọai này là DES, AES…

Mã hóa đối xứng

1 Asymetric Encryption: phương pháp mã hóa bất đối xứng còn gọi là phương pháp

mã hóa public key Các thuật tóan mã hóa bất đối xứng sử dụng 1 cặp khóa và tiến hành mã hóa thông tin bằng một khóa sau đó giải mã bằng khóa còn lại

Khóa dùng để giải mã gọi là private key không bao giờ được truyền trên mạng do

đó tính an tòan cao hơn nhiều so với các thuật tóan mã hóa đối xứng Tuy nhiên, chi phí triển khai cũng như thời gian thực hiện của mã hóa bất đối xứng sẽ nhiều hơn so với mã hóa bất đối xứng Một số thuật tóan thuộc dạng này là RSA, Diffie -Hellman

Mã hóa bất đối xứng

Các bạn có thể tham khảo bảng đưới để nắm một số thuật toán mã hóa đối xứng và bất đối xứng được đề cập trong Security+

Các Thuật Tóan Mã Hóa

Symmetric/Private

key

Symmetric encryption (mã hóa đối xứng) còn được xem

là private key encryption

tiến hành mã hóa và giải mã dựa trên một khóa duy nhất

Điều này có thuận lợi về mặt tốc độ triển khai cũng như chi phí thấp nhưng lại có tính bảo mật kém vì khi tiến hành truyền dữ liệu phải gởi kèm cả khóa dùng để giải

mã vì vậy khi khóa bị đánh cắp sẽ làm cho dữ liệu bị mất an tòan Do đó khi áp dụng cơ chế này cần có cơ chế truyền khóa an tòan

Stream cipher là symmetric

- Rijndael Rivest Cipher - (RC) 4 và 5 Skipjack -

Blowfish - CAST-128 -

Asymmetric/Public

key

Asymmetricencryption (mã hóa bất đối xứng), hay còn gọi là public key encryption

là phương pháp mã hóa cao cấp hơn so với symmetric encryption và an tòan hơn

Trong cơ chế mã hóa này một cặp khóa được áp dụng gồm public key có tác dụng đối với tất cả mọi người, và

dữ liệu sẽ được mã hóa bằng public key của recipent (bên nhận) và chỉ có private key của recipientmới có thể giải

mã dữ liệu Phương pháp mã hóa bất đối xứng giải quyết được vấn đề chia sẽ private key của mã hóa đối xứng, do

đó tính an tòan cũng cao hơn

- Rivest Shamir Adelman (RSA) cryptosystem

- Diffie-Hellman

Elgamel -

Các thuật tòan mã hóa đối xứng sử dụng 1 chìa khóa để mã hóa và giải mã

Các thuật tóan mã hóa bất đối xứng dùng 1 cặp khóa cho quá trình mã hóa và giải mã

Digital Signature – Chữ kí điện tử

Một trong những công nghệ mã hóa bất đối xứng thường được ứng dụng trong các giao dịch trên môi trường Internet như các ứng dụng thương mại điện tử là công nghệ mã hóa khóa công khai PKI (Public Key Infrastructure) Trong mô hình này, Client và Server khi

truyền thông và trao đổi dữ liệu với nhau sẽ sử dụng một cặp khóa private/public key Vậy quá trình tạo và sử dụng các khóa này như thế nào? Hãy thử tưởng tượng một tình huống thật tế sau Có 2 người muốn trao đổi tài liệu mật với nhau qua đường bưu điện, để bảo đảm an tòan Sender bỏ tài liệu vào trong một chiếc hộp và chiếc hộp này chỉ có một

lổ khóa dùng để mở nắp bỏ tài liệu vào cũng như lấy tài liệu ra, điều này giống như

chúng ta thực hiện mà hóa đối xứng trên môi trường mạng Trường hợp còn lại, Sender

sử dụng một chiếc hộp với 2 lổ khóa, một dùng để mở hộp ra và bỏ tài liệu vào còn một dùng để mở hộp lấy tài liệu ra Và khi Sender gởi dữ liệu học chỉ cần một khóa dùng để

mở hộp và bỏ tài liệu vào, và khóa này là của Receiver (public key) Sau đó, Receiver nhận tài liệu và mở hộp ra bằng chìa khóa riêng của họ mà ngay cả Sender cũng không

có, vì vậy quá trình truyền thông sẽ an tòan hơn do các Private Key (khóa dùng để giải

mã hay mở hộp) không thể bị hacker bắt được vì nó không bao giờ được truyền trên mạng

Chữ kí điện tử là một ứng dụng phương pháp mã hóa công khai (PKI), bất đối xứng

Như vậy, chúng ta có thể thấy trong cơ chế mã hóa bất đối xứng các bên gởi và bên nhận đều có một cặp khóa public key/private key Trong mô hình PKI thì máy chủ Certificate Authority (CA) sẽ chịu trách nhiệm tạo các cặp khóa, quản lý các khóa (bao gồm thời gian sử dụng và các đặc tính khác), thu hồi các khóa không hợp lệ …Các User hay dịch

vụ muốn xin các khóa này phải gởi các yêu cầu cấp phát Certificate (bao gồm khóa và các thông số quản lý, thuật tóan sử dụng) đến CA Ở đây chúng ta chưa để cập sâu đến Certificate mà chỉ thảo luận chung về các thuật tóan, các cơ chế mã hóa và điểm mạnh yếu Trong chương 4 các bạn sẽ tham khảo sâu hơn về Certificate cũng như cách sử dụng

Hình mình họa quá trình cấp certificate cho client

Trong chương này chúng ta đã làm quen với các thuật toán mã hóa thông dụng và hai lọai

mã hóa đối xứng và bất đối xứng Các bạn cần nhớ rõ những thuật tóan của từng lọai mà chúng tôi đã mô tả trong bảng tóm tắt, cũng như số lượng khóa tham giá quá trình mã hóa

và giải mã Ngòai ra, các thuật toán thuộc dạng hash là những thuật tóan nào, độ dài của hash value của các thuật tóan đó là bao nhiêu các bạn cần ghi nhớ thật kỹ Bây giờ chúng

ta hãy tham khảo một số câu hỏi sau đây:

2 Alice sends a message to Bob Inside the message is a small, coded piece of

information that proves that Alice was the message sender This is an example of:

he receives it This is an example of:

Hãy gởi đáp án đến các giảnh viên hay công bố trên diễn đàn nội bộ của lớp học Comptia SECURITY+

- Gợi ý: Nghe thật kỹ bài giảng sẽ có giải đáp

Untitled Document

SECURITY365 : COMPTIA SECURITY+ FAST PASS FOR SURE

Biên sọan : Nguyễn Trần Tường Vinh

Vì vậy, mục tiêu của hệ thống chứng chỉ Comptia SECURITY + là kiểm tra các kỹ năng

cơ bản và thiết yếu của thí sinh trong việc bảo mật một máy tính đơn (stand-alone) hay một hệ thống mạng tổng thể Do đó, để vượt qua kỳ thi này cũng như để có thể đảm nhiệm công việc bảo mật hệ thống một cách hiệu quả các thí sinh cần phải hiểu rõ các khái niệm nền tảng về bảo mật thông tin Trong chương này chúng ta sẽ tập trung thảo luận vào các lĩnh vực liên quan đến công việc bảo mật thực tế của một quản trị mạng hay những chuyên gia an ninh mạng đó là các mô hình điều khiển truy cập, các phương pháp chứng thực, lọai bỏ những dịch vụ không cần thiết, nhận dạng các kiểu tấn công thông dụng của hacker, những mối nguy hiểm mà hệ thống của bạn có thể gặp như social

engineering, malicious code và các biện pháp để giảm thiểu rũi ro do sự mất an tòan gây

ra

THẾ NÀO LÀ AN TÕAN THÔNG TIN

Thuật ngữ an tòan thông tin bao hàm một chủ đề rộng lớn các họat động của một tổ chức nhằm chống lại các họat động truy cập trái phép, sự thay đổi hay xóa dữ liệu An tòan thông tin còn là các thao tác ngăn ngừa sự hư hại và mất mát dữ liệu do bị hacker/attacker tấn công hay do các sự cố về máy móc, nguồn điện hoặc do thiên tai, do sự bất cẩn của người dùng Trong vai trò một chuyên gia, các bạn cần phải tiến hành nhiều công việc để đảm bảo an tòan thông tin cho tổ chức của mình, không chỉ là cài đặt các chương trình diệt virus hay cập nhật các bản vá thường xuyên mà cần phải đề ra một quy trình họat động, các chính sách người dùng thích hợp Đôi khi, sự mất mát dữ liệu không do các tác nhân bên ngòai như hacker, virus mà là do chính những người bên trong tổ chức gây ra như nhân viên đôc trộm thông tin thư điện tử của người quản lý, hay do chính bản thân người dùng bất cẩn trong quá trình sử dụng

Trong một số công ty,các nhân viên với kiến thức nhất định đã sử dụng các kỹ thuật nghe lén để xem trộm các email của quản lý hay đồng nghiệp làm ảnh hưởng đến hiệu quả họat động của tổ chức Đây cũng là một tình huống mà các chuyên gia bảo mật hay quản

trị mạng cần đặt biệt lưu ý khi thực hiện tiến trình tăng cường bảo mật cho tổ chức của

mình Các bạn có thể tham khảo thêm ở phần man-in-the-midlle, sniffer attack và cách phòng chống (có video demo do các chuyên gia bảo mật của Security365 thực hiện)

Camare kỹ thuật số là một trong những thiết bị an ninh thông dụng ngày nay

Việc đảm bảo cho một hệ thống luôn đạt mức độ an tòan cao nhất là một điều không hề

dễ dàng Những lổ hổng bảo mật của các ứng dụng xuất hiện càng nhiều và đôi khi không được các nhà sản xuất đưa ra những giải pháp khác phục kịp thời, ví dụ hãng phần mềm lớn nhất thế giới hiện nay là Microsoft đưa ra các bản vá định kỳ vào ngày 10 hàng tháng tuy nhiên các hacker / attacker thì công bố các lỗi bảo mật vào bất cứ lúc nào như lỗi bảo

mật trong hàm thư viện vml.dll – MS Internet Explorer VML Buffer Overflow Download Exec, hay lỗi bảo mật hàm setSlice() MS Internet Explorer WebViewFolderIcon

setSlice()của trình duyệt web Internet Explorer Các kỹ thuật khai thác lổ hổng ngày càng nguy hiểm và mức độ phổ biến rộng làm cho một người sử dụng với trình độ nhất định vẫn có thể tự tìm kiếm và thực hiện các cuộc tấn công nguy hiểm của mình, đó là chưa nói đến các hacker thuộc hàng ―cao thủ‖ thì thường đi trước một bước trong quá trình nghiên cứu và khai thác lỗi bảo mật Trong khi đó, ngòai việc phải đối phó với các khiếm khuyết của những sản phẩm phần cứng / phần mềm thì một lổ hổng cực kỳ nguy hiểm đó

là khiếm khuyết từ phía người dùng, và đây chính là mối nguy hểm lớn nhất trong vấn đề

mất an tòan thông tin Mặc dù hai lĩnh vực này hòan tòan khác nhau nhưng giữa chúng có

một sự tác động qua lại rất chặt chẽ, vì lý do đó các câu hỏi của kỳ thi Security + luôn đề cập đến thao tác quan trọng nhất trong vấn đề bảo mật thông tin chính là huấn luyện cho người dùng

An toàn thông tin được chia làm 3 lĩnh vực chính, là An Tòan Vật Lý (Physical Security),

An Tòan Vận Hành (Openration Security ), Cơ Chế Quản Lý & Các Chính Sách Nhiệm

vụ của một chuyên gia bảo mật là xây dựng các chính sách và kế họach họat động sao cho cả ba lĩnh vực trên đều được bảo đảm một cách tốt nhất tạo nên một hệ thống thông tin an tòan, ba yếu tố trên kết hợp chặt chẽ với nhau tạo thành một hệ thống ―kiềng 3 chân‖ đem lại sự an ninh cho bất kỳ hệ thống nào nhưngnếu như một chân nào đó bị gãy cũng có thể làm cho tòan bộ hệ thống bị phá vỡ Sau đây chúng ta sẽ tham khảo lần luợt

các khía cạnh của 3 khái niệm bảo mật này

Tam giác bảo mật – Mô hình ―kiềng 3 chân‖

Physical Security - An Tòan Cho Môi Trường Vật Lý

Vào năm 2005, một sân bay của Úc đã bị ngưng họat động trong vòng 2 ngày do sự cố các máy chủ bị các hacker giả dạng nhân viên bảo trì thâm nhập và đánh cắp các ổ cứng chứa dữ liệu quan trọng liên quan đến việc điều hành chuyến bay Điều này cho thấy việc bảo đảm an tòan cho các thiết bị thông tin vật lý là một điều rất quan trọng, không lọai trừ việc bảo vệ chiếc máy tính xách tay chứa những thông tin khách hàng của bạn có thể

bị kẻ gian lấy cắp bất cứ lúc nào

An tòan cho môi trường vật lý (hay thường được gọi là physical security trong các câu

hỏi của kỳ thi Security +) là họat động bảo vệ và ngăn ngừa sự truy cập trái phép vào hệ thống thông tin vật lý như không cho phép người khác xem trực tiếp màn hình máy tính của mình, ngăn ngừa các thao tác trực tiếp lên hệ thống máy chủ hay đề phòng sự mất cắp, gắn các thiết bị nghe lén Để thực hiện điều này nhiều công ty / tổ chức đã cho xây dựng cá workstation (trạm làm việc) mà các nhân viên không thể nhìn thấy được màn hình máy tính của nhau mặc dù vẫn có thể giao tiếp và trao đỗi một cách bình thường Ngòai ra, các màn hình máy tính được sắp xếp một cách hợp lý, chế độ khóa mà hình khi không sự dụng được áp dụng một cách chặt chẽ Một số công ty còn thực hiện việc bảo

mật thông tin một cách chặt chẽ hơn ví dụ khi đi khỏi workstation thi các tài liệu cần phải gấp lại hay đặt úp mặt xuống bàn…

Đối với hệ thống máy chủ quan trọng trong các tổ chức lớn thường được đặt trong các phòng Server Room riêng với hệ thống khóa bảo vệ sự xâm nhập của những người không

có thẩm quyền Và đây là thành phần được quan tâm đến trước tiên trong quá trình an

ninh cho môi trường vật lý Cá biệt, có một số nơi đã áp dụng cả Phong Thủy trong việc

bố trí các máy chủ của công ty theo những vị trí thích hợp để hệ thống họat động suôn sẽ hơn mặc dù điều này không hề được đề cập đến trong bất kì tài liệu nào của Comptia hay các kỳ thi chứng chỉ bảo mật CISSP Bên cạnh đó, các chính sách người dùng như mang các túi xách vào những nơi quan trọng đều bị cấm đề phòng sự mất mát hay một số chi nhánh của công ty điện tử nổi tiếng Sam Sung không cho phép nhân viên mang điện thọai vào nơi làm việc do dung lượng có thể lên đến 4 GB của các ổ cứng trong các máy điện thọai di động ngày nay có thể là một mối nguy hiểm lớn cho việc thất thóat thông tin nhạy cảm Hoặc việc ngăn cản việc sử dụng việc sao chép dữ liệu bằng USB trong một số công ty phần mềm bằng cách dùng keo dán kín các cổng USB trên máy tính của người dùng

Tuy nhiên, nếu hệ thống sử dụng các máy tính client chạy hệ điều hành Windows XP SP2 trở lên thì các bạn có thể download chương trình ngăn không cho chép dữ liệu ra đĩa USB (vẫn có thể đọc) của Nguyễn Trần Tường Vinh tại địa chỉ

www.security365.org/security+/usbdenyread.exe hoặc tham khảo cách thức triển khai cho tòan bộ hệ thống khi sử dụng mô hình Windows Server 2k/2k3 Active Directory bằng group policy trên trang web www.security365.org (hiện link này đã bị xóa,

Security365 sẽ cung cấp lại trên trang Security365.Biz)

Thành phần được quan tâm tiếp theo trong quá trình bảo mật vật lý là có một cơ chế dự phòng để có thể khắc phụ khi xảy ra sự cố Ví dụ để đề phòng mất điện có thể làm hư hỏng máy móc, mất thông tin chúng ta thường sử dụng các bộ lưu điện UPS hay có các máy chủ thứ cấp như Backup Domain Controller đề phòng khi các máy tính Primary Domain Controller bị hư hỏng vật lý Ngòai ra, việc xác định và dò tìm các sự cố về an tòan vật lý cũng là một điều cần được quan tâm,chúng ta cần xác định các ổ cứng nào có khả năng hỏng hóc thông qua các tập tin nhật ký của nó để đưa ra các biện pháp thay thế thích hợp

Operation Security - An Tòan Cho Quá Trình Vận Hành

Operation Security là một tập hợp các họat động mang lại tính an tòan cho hệ thống, bao gồm các máy tính, hệ thống mạng và các cơ chế truyền thông cùng với các phương pháp quản lý thông tin Một chuyên gia bảo mật hệ thống sẽ là người chịu trách nhiệm chính trong quá trình thiết lập một vận hành an ninh cho tổ chức của mình

Operation security còn bao gồm các cơ chế điều khiển truy cập, xác thực người dùng và thiết lập các mô hình bảo mật sau khi hệ thống mạng được cài đặt Ngòai ra O.S còn bao gồm các họat động hàng ngay của tổ chức như kế họach backup & restore Nói tóm lại

O.S là tất cả những gì của hệ thống ngoài thành phần Physical Security, thay vì tập trung vào các thành phần vật lý như các máy chủ lưu trữ dữ liệu thì nó tập trung vào các mô hình vận hành và những liên kết mạng

Các thành phần của quá trình vận hành bảo mật

Để minh họa cho một quá trình họat động an tòan thông tin chúng ta có thể xem xét trường hợp khi hệ thống mạng của bạn cần bảo vệ tài nguyên nội bộ trước sự xâm nhập của các tác nhân bên ngoài khi kết nối internet chúng ta thường sử dụng các phần mềm / phần cứng tường lữa kiểm sóat các họat động vào/ra trên hệ thống hay khi muốn dữ liệu được quản lý một cách tập trung để dễ dàng kiểm sóat, quét virus… thì các cơ chế đều hướng dữ liệu lên các máy chủ trung tâm sẽ được áp dụng và những họat động này là các thành phần của một quá trình vận hành an ninh

Phân Lọai Các Chính Sách Cho Hệ Thống Mạng:

Cơ chế quản lý và các chính sách là những hướng dẫn, quy tắc và thủ tục cần thiết để thực hiện một môi trường an tòan thông tin Trong vai trò một chuyên viên bảo mật thông tin cho tổ chức của mình các bạn cần phải viết ra các chính sách bảo mật cùng với các bước cần thực hiện những chính sách cho tổ chức đồng thời giám sát, hổ trợ trong quá trình thực hiện vì chính bản thân họ mới hiểu rõ các ý nghĩa cũng như thực hiện như thế nào để mang lại hiệu quả cao nhất Tuy nhiên, một chính sách bảo mật cần phải phù hợp với như cầu và văn hóa của một tổ chức, cần phải được sự chấp thuận của cấp trên và người dùng để không nảy sinh những xung đột trong quá trình họat động Một ví dụ về chính sách bảo mật là yêu cầu đòi hỏi các người dùng phải đặt mật mã trên 8 kí tự khi đăng nhập máy tính, và sau 24 ngày sẽ phải thay đổi mật mã mới hay ngăn cấm không cho phép truy cập vào những web site nhạy cảm Để thực hiện những điều này chúng ta

cần phải hiểu rõ văn hóa của công ty cũng như các quyền mà pháp luật nêu ra Có một trường hợp một công ty ở Mỹ đã bị các nhân viên kiện vì đã vi phạm quyền tự do cá nhân khi thực hiện chính sách giám sát các thông điệp tin nhắn của họ để phòng ngừa các thông tin nội bộ quan trọng bị lộ ra ngoài

Các Chính Sách Trên Áp Dụng Cho Một Hệ Thống Mạng Đƣợc Phân Lọai Nhƣ Sau

Administrative polices

Software design requirements Disaster recovery plans Information policies Security policies Usage policies User management polices

nhữngchính sách thuộc về quản trị là việc ghi nhật ký (audit) tất cả các trường hợp

nhập/xuất hệ thống thành công hay thất bại hoặc giám sát khi nào người dùng sử dụng tài khỏan nội bộ để đăng nhập vào máy tính của mình (local account)

Software Design Requirement – Các Chính Sách Liên Quan Đến Việc Thiết Kế Và Sử Dụng Phần Mềm : Các yêu cầu trong việc thiết kế và sử dụng phần mềm là một nhân tố cần thiết trong quá trình bảo đảm an ninh cho hệ thống, vì vậy trong các trườ ng hợp này chúng ta cần nêu rõ những yêu cầu một cách cụ thể để tránh các lổ hổng do những phần mềm gây ra hay những xung đột mang tính pháp lý như bản quyền của phần mềm trong quá trình thiết kế, có sử dụng các chương trình mã nguồn mỡ với bản quyền GPL h ay không Ví dụ thực tế, nếu một phần mềm không có bản quyền hợp lệ thì trong quá trình họat động nếu có những khiếm khiết về bảo mật thì chúng ta không thể tải các bản vá lỗi

từ web site của nhà sản xuất, điều này khiên cho hệ thống bị đặt trứơc các mối n guy hiểm

do hacker/ attacker hay virus / worm gây nên đó là chưa kể đến trường hợp vi phạm bản quyền thì có thể bị cơ quan chức năng tiến hành kiểm tra và phạt hành chính gây tổn hại

uy tín của công ty như một số trường hợp của các công ty lắp ráp và mua bán máy tính vừa qua Còn nếu như cong ty sử dụng những sản phẩm được phát truển từ mã nguồn mở thì cần phải tuân thủ theo các quy định của mã nguồn mở là GPL để tránh có những sự thay đổi vi phạm bản quyền, một trong những ví dụ là khi các bạn sử dụng Hệ q uản trị thông tin mã nguồnmở như Mambo / Joomla các bạn có thể bỏ dòng chữ Power by nhưng không được thay đổi và đặt lại thông tin về bản quyền của sản phẩm

Disater Recovery Plan (DRP) – Kế Hoặch Phục Hồi Khi Xảy Ra Thảm Họa : DRP là một trong những yếy tố gây nhức đầu nhất cho các chuyên gia bảo mật hay những người chịu

trách nhiệm an ninh cho tổ chức Bởi vì thiết lập các nguyên tắt hay chính sách cho môi trường đang họat động mà chúng ta có thể thấy và đánh giá được dễ hơn nhiều việc lập

kế họach cho những việc chưa xảy ra, và cũng chưa hình dung được những tác động khi xảy ra sự cố như thế nào Chính vì vậy trong quá trình này chúng ta cần tham khảo và nghiên cứu kỹ, học hỏi từ những người kinh nghệm để có thể lập nên một kế họach chính xác và hiệu quả nhất, nhanh chóng phục hồi hệ thống khi xảy ra thảm họa Trong quá trình giảng dạy về quản trị hệ thống mạng và bảo mật các học viên thường đề cập đên các trường hợp người dùng bị mất mát dữ liệu hay các máy chủ mạng quan trọng như Domain Controller, DHCP Server bị hư hỏng thì giải quýêt như thế nào? Nếu như chúng

ta không có một DRP để đánh giá mức dộ rũi ro do các tình huống nay mang lại thì việc triển khai các giải pháp khắc phục sẽ không mang lại hiệu quả cao Ví dụ với hệ thống mạng khỏang vài máy tính thì một DHCP Server không nói lên tầm quan trọng của nó và tác động của nó đến người dùng khi có sự cố cũng sẽ thấp hơn do đó mức độ quan tâm sẽ

ít hơn so với khi công ty có hàng trăm máy tính mà sự cố về việc không nhận được địa chỉ IP có thể làm rối lọan tòan bộ họat động Ngòai ra, các kế họach về phục hồi khi xảy

ra thảm học còn tùy thuộc vào vị trí địa lý của hệ thống, như một công ty có chi nhánh đặt tại TpHCM không thể lên kế họach phòng chống hỏa họan cho chi nhánh của mình ở

Security Policy – Chính Sách Bảo Mật : Các chính sách bảo mật sẽ tạo ra một bộ khung bao gồm những quy tắc về việc cấu hình một hệ thống mạng, cài đặt các phần mềm, phần cứng, các liên kết mạng Chính sách bảo mật sẽ định nghĩa cách thức mà quá trình nhận dạng và xác thực được tiến hành như thê nào (I & A) Ngoài ra chúng còn quy định các

mô hình điều khiển truy cập, kiểm tóan Trong trường hợp bạn muốn triển khai các

chương trình diệt virus hay mã hóa thì cũng đưa chúng vào trong các chính sách bảo mật của mình Một ví dụ đơn giản về chính sách bảo mật đó là nhắc nhở người dùng nhớ quét virus cẩn thận khi tải các dữ liệu từ Internet hay cần phải sao lưu dữ liệu quan trọng lên máy chủ sau khi làm việc Trên hệ thống Windows Server 2k/2k3 có khá nhiều chính sách bảo mật được xây dựng sẳn để người dùng dễ dàng lựa chọn cho hệ thống của mình Trong kỳ thi của Security + các thí sinh cần phân biệt được sự khác nhau của các chính sách bảo mật trên hệ thống Windows, chính sách nào có khả năng bảo mật cao nhất, thấp nhất…

Usage Policy : Chính Sách Sử Dụng Tài Nguyên: Trong quá trình ôn thi cho học viên, chúng tôi đã gặp khá nhiều câu hỏi mẫu của TestKing, RealExam đề cập đến chính sách

sử dụng tài nguyên Để quản lý tài nguyên một cách hiệu quả chúng ta cần phải xác định

được nhu cầu của người dùng và tổ chức để có thể đưa ra các chính sách một cách thuyết phục nhằm tránh gây sự ức chế đối với nhân viên, làm giảm hiệu suất làm việc Và một chính sách như vậy cần thiết phải có sự phê duyệt của các cấp quản lý, ví dụ việc ngăn ngừa không cho các nhân viên sử dụng đia mềm hay ổ CD Rom là một chính sách mang lại độ an tòan cao nhưng cũng dễ nhận được sự chống đối kịch liệt nếu không có một sự giải thích rõ ràng, thuyết phục

User Management Policies – Chính Sách Quản Lý Người Dùng : Trong công việc quản trị hệ thống, các SysAdmin thường gặp các tình huống nhân viên thuyên chuyển công tác

từ bộ phận nay sang bộ phận khác, hay các nhân viên nghĩ việc tạm thời hoặc nghĩ hẳn, hay khi có một nhân viên mới vừa được tuyển dụng…tất cả những điều này đều phải được lên kế họach rõ ràng thông qua các chính sách quản lý người dùng để khi có sự thay đổi mọi việc diễn ra một cách dễ dàng và nhanh chóng Ví dụ khi một nhân viên chuyển công tác sang bộ phận khác họ sẽ có những quyền hạn mới tuy nhiên các quản trị mạng cần phải gỡ bỏ những quyền hạn cũ mà nhân viên này đang giữ để tránh xảy ra trường hợp gán quá nhiều quyền trên mức cần thiết cho người dùng, điều này thường được gọi là priviledge creep Tương tự, khi một nhân viên nghĩ phép các cạn nên tạm thời khóa account này lại để bảo đảm mức độ an tòan cao nhất cho tổ chức Vì vậy trong các đáp án đúng cho những câu hỏi của Security + về chính sách quản lý người dùng luôn là chỉ trao

đủ quyền (least privileged) cho người dùng để đảm bảo các công việc của họ như truy cập tài nguyên, đăng nhập hệ thống …diễn ra suôn sẽ, không nên gán quyền vượt mức cần thiết nhằm tránh những rũi ro có thể xảy ra