Đồ án môn học: An toàn thông tin mạng máy tính Đề tài: Kiểm soát truy nhập TRƯỜNG ………………… KHOA………………… - - BÁO CÁO TỐT NGHIỆP Đề tài: AN TOÀN THÔNG TIN TRÊN MẠNG MÁY TÍNH Nhóm – M01 Trang Đồ án môn học: An toàn thông tin mạng máy tính Đề tài: Kiểm soát truy nhập MỤC LỤC Lời mở đầu I Hiện trạng: + Phòng hành tổng hợp II Yêu cầu: III Đề xuất phương án: IV Triển khai: .14 Preferred DNS: 10.0.0.1 .15 V Nguy giải pháp: .15 B PHẦN RIÊNG: Kiểm soát truy nhập 18 I Tổng quan: 18 II Các phương pháp: 18 II.1 ĐIỀU KHIỂN TRUY CẬP: 18 II.1.1 Mandatory Access Control – MAC: .19 II.1.2 DISCRETIONARY ACCESS CONTROL 22 II.1.3 ROLE-BASED ACCESS CONTROL 23 II.2.1 Tổng quan: 24 II.2.2.Username – Password: 25 II.2.3 Challenge Handshake Authentication Protocol (CHAP) 27 II.2.4 Kerberos: 28 II.2.5 Token: 33 II.2.6 One time password (OTP) - Password dùng lần: 38 II.2.7 Certificate: 40 II.2.8 Biometrics - Sinh trắc học: 42 II.2.9 Multi Factor Authentication – Sử dụng nhiều phương pháp: .44 II.2.10 Mutual Authentication - Xác thực hai chiều: 45 II.3 CÁC PHƯƠNG PHÁP CẤP QUYỀN 45 II.3.1 Tổng quan: 45 Nhóm – M01 Trang Đồ án môn học: An toàn thông tin mạng máy tính Đề tài: Kiểm soát truy nhập II.3.2 Các phương pháp 46 II.4 GIÁM SÁT THỐNG KÊ HỆ THỐNG MẠNG: 51 III Áp dụng vào hệ thống mạng trên: 52 TÀI LIỆU THAM KHẢO 61 Lời mở đầu Ngày nay, mạng máy tính khái niệm trở nên quen thuộc với hầu hết tất người, đặc biệt chiếm vị trí quan trọng với doanh nghiệp Với xu phát triển mạnh mẽ hệ thống mạng như: mạng internet, hệ thống thương mại điện tử, hệ thống thông tin quan, doanh nghiệp,… vấn đề quản trị an ninh mạng trở nên cần thiết Đó virus, sâu máy tính, chương trình thám, ăn cắp thông tin, thư rác, hành động công hay xâm nhập trái phép Tác giả công muôn hình vạn trạng, từ cậu niên lấy công, phá hoại hội thể mình, đến hacker chuyên nghiệp, gián điệp công nghiệp, phủ nước ngoài, chí người bên công ty… Thiệt hại không tài sản, liệu, mà lớn thất thoát niềm tin vào hệ thống mạng, vào chất lượng dịch vụ, uy tín doanh nghiệp Cùng với ứng dụng Internet ngày nhiều, số vụ xâm phạm an ninh máy tính lại tăng theo cấp số nhân Các lỗ hổng bảo mật công bố ngày tăng, hacker cần sử dụng công cụ công thô sơ thành công khiến cho tình hình ngày tồi tệ An ninh lẽ dĩ nhiên mối quan tâm số CNTT Do đó, việc xây dựng “vành đai” để phòng thủ ngăn chặn truy cập trái phép nhu cầu cấp thiết Nhóm – M01 Trang Đồ án môn học: An toàn thông tin mạng máy tính Đề tài: Kiểm soát truy nhập Mặt khác, mà truy nhập đến tài nguyên mạng trở nên đa dạng phương thức số lượng, việc làm cho tài nguyên luôn khả dụng trì mức độ an ninh mạng cao trở nên khó khăn Mặc dù máy tính xách tay di động máy để bàn không tương thích nhạy cảm với nguy an ninh mạng Internet, chúng cho phép truy nhập vào mạng công ty tài nguyên kinh doanh quan trọng Yêu cầu kinh doanh đòi hỏi thiết bị phải truy nhập đến tài nguyên ứng dụng, cung cấp truy nhập mà khả kiểm soát an ninh phù hợp đồng nghĩa với việc mở cửa doanh nghiệp cho số nguy kinh doanh an ninh mạng khó khăn đáp ứng yêu cầu tuân thủ quy định pháp lý Một phần khó khăn việc bảo đảm an ninh cho mạng chỗ mạng xây dựng nên từ nhiều phần tử có nhiều tình truy nhập mạng Xét tổng thể, doanh nghiệp có tình truy nhập – mạng LAN doanh nghiệp, doanh nghiệp phân tán doanh nghiệp kéo dài – hai phận nhạy cảm an ninh – cổng WAN/Internet Trung tâm liệu Một lĩnh vực truy nhập nơi nguy an ninh biểu doanh nghiệp kéo dài với người làm việc từ xa, người làm việc di động độc lập, đối tác kinh doanh khách hàng truy nhập thông qua mạng VPN truy nhập từ xa Thông qua sử dụng thiết bị VPN với tính đánh giá điểm đầu cuối phức tạp tính tăng cường an ninh kiểm soát nguy an ninh mức độ cao Tuy nhiên, nhiều nguy an ninh hữu, nguy áp đặt thách thức định Các điểm đầu cuối không quản lý quản lý mạng LAN doanh nghiệp doanh nghiệp phân tán, đặc biệt thiết bị di động tiếp tục gây rủi ro họ truy nhập thông qua VPN điểm điểm kết nối trực tiếp vào mạng LAN mà qua thiết bị an ninh đặt biên mạng Cổng mạng WAN nơi chứa lỗ hổng an ninh Người sử dụng Nhóm – M01 Trang Đồ án môn học: An toàn thông tin mạng máy tính Đề tài: Kiểm soát truy nhập thiết bị không bảo an bảo an vô tình mang nguy an ninh vào mạng virus, Trojan, sâu máy tính nhiều thứ khác mà tồn chúng Bất kỳ nguy số nguy phát tán nhanh chóng gây gián đoạn hoạt động mạng Một khu vực khác với lỗ hổng an ninh tiềm trung tâm liệu Những tài nguyên quan thường bảo vệ tường lửa thiết bị thông tin người sử dụng điểm đầu cuối khách hàng tìm kiếm cách thức khác để truy nhập vào trung tâm liệu Khi tiếp xúc với điểm đầu cuối bị khai thác, máy chủ nội nhạy cảm gặp rủi ro Thách thức doanh nghiệp họ phải tìm kiếm cách thức để sử dụng sở hạ tầng mạng có nhiều tốt, cung cấp phương thức truy nhập đơn giản, an toàn vào tài nguyên ứng dụng cho nhiều đối tượng khác Các nhà phân tích hàng đầu nói mục tiêu họ đạt cân hạn chế người sử dụng, cải thiện mở rộng đường biên an ninh đảm bảo tính tương thích dài hạn thông qua sử dụng giao diện mở Phải đạt mục tiêu đảm bảo việc cung cấp dịch vụ ứng dụng phương thức mà doanh nghiệp hoàn toàn an tâm phó thác Để thực mục tiêu này, mạng doanh nghiệp phải có khả kiểm soát tổng thể bao gồm kiểm soát truy nhập, kiểm soát nguy kiểm soát cung cấp Kiến trúc cho phép doanh nghiệp chuyển từ phản ứng thụ động trước biến cố sang phản ứng chủ động tạo nên mạng có độ tương thích cao khả tăng cường an ninh Huống chi, Công an vấn đề đảm bảo an ninh lại quan trọng Chỉ thị số 58/CT/TW ngày 17/10/2000 Bộ Chính trị rõ: “Tin học hóa hoạt động quan Đảng Nhà nước phận hữu quan trọng cải cách hành quốc gia, nhiệm vụ thường xuyên quan nhằm tăng cường lực quản lý, nâng cao suất, chất lượng, hiệu quả” Vì nhóm chúng em lựa chọn đề tài Nhóm – M01 Trang Đồ án môn học: An toàn thông tin mạng máy tính Đề tài: Kiểm soát truy nhập “KIỂM SOÁT TRUY NHẬP” để làm đồ án cho môn học “AN TOÀN THÔNG TIN TRÊN MẠNG MÁY TÍNH” Nhiệm vụ thành viên nhóm: Trần Hữu Trí – Thiết kế mô hình mạng phần chung Lê Thị Ngọc Ngân – Cơ sở lý thuyết phần riêng Hoàng Thanh Thanh – Áp dụng vào mô hình thực tế Trong trình thực đồ án nhóm chúng em cố gắng, thời gian kiến thức hạn chế số lĩnh vực nên tránh khỏi việc mắc phải thiếu sót trình tìm hiểu đề tài, kính mong Thầy thông cảm nhận xét góp ý thêm chúng em để đồ án hoàn thiện Cuối chúng em xin gửi lời cảm ơn chân thành đến thầy giáo Nguyễn Văn Trung hướng dẫn chúng em tận tình, giúp chúng em nắm vững lý thuyết môn học “AN TOÀN THÔNG TIN TRÊN MẠNG MÁY TÍNH” Cũng lời cảm ơn đến thầy cô giáo môn tin học giúp chúng em hoàn thành đồ án môn học Chúng em chân thành cảm ơn! Hà Nội, tháng 01/2010 Nhóm học viên thực hiện: Trần Hữu Trí Lê Thị Ngọc Ngân Hoàng Thanh Thanh Nhóm – M01 Trang Đồ án môn học: An toàn thông tin mạng máy tính Đề tài: Kiểm soát truy nhập A PHẦN CHUNG: Thiết kế mô hình I Hiện trạng: - Xây dựng hệ thống mạng đơn vị công an - Đơn vị có phòng chức năng: + Phòng An ninh kinh tế + Phòng trinh sát + Phòng hành tổng hợp + Phòng họp giao ban + Phòng máy chủ - Có PC, Server, Access Point - Đơn vị dùng đường truyền Internet nhà cung cấp dịch vụ FPT - Việc tiến hành xây dựng chia làm giai đoạn: + Lắp đặt thiết bị phần cứng + Cấu hình thiết bị cần thiết - Đề xuất thêm thiết bị gồm: + Server dùng cài đặt Firewall mềm ISA 2004 + modem ADSL, router + switch + Cáp mạng UTP Cat (6), hạt mạng RJ45 II Yêu cầu: - Có khả mở rộng, đáp ứng phát triển quy mô đặc thù công việc phòng ban - Dễ dàng truy cập, nâng cấp phần mềm phần cứng Nhóm – M01 Trang Đồ án môn học: An toàn thông tin mạng máy tính Đề tài: Kiểm soát truy nhập - Đảm bảo yếu tố: bí mật (confidentialyti), toàn vẹn (integrity), sẵn sàng (availability) - Xây dựng hệ thống mạng LAN cho đơn vị, xây dựng tảng công nghệ truyền dẫn tốc độ cao 10/100/1000Mbps - Hệ thống sử dụng mô hình quan lí tập trung - Triển khai File Server, Mail Server, Web Server - Cán công tác kết nối vào đơn vị VPN - Thiết lập thư mục dùng chung thư mục dùng riêng cho phòng, máy trạm - Tài liệu cập nhật hàng ngày lên File Server - Tạo đường kết nối an toàn cho máy trạm Internet, đồng thời kiểm soát việc truy cập Internet - Cấm tất truy cập bất hợp pháp từ bên - Phòng máy chủ: + Quản lí web, mail đơn vị + Lưu trữ tài liệu File server + Thiết lập máy chủ quản lí vùng nhằm cấp quyền sử dụng tài nguyên cho client III Đề xuất phương án: III.1 Giải thích mô hình: - Dùng Modem ADSL tiếp nhận Internet từ nhà cung cấp dịch vụ ISP - Để lọc gói tin, tránh tắc nghẽn xác định đường an toàn cho gói tin nên gắn Router phía sau Modem Router làm nhiệm vụ NAT (Network Address Translation) public IP - Chúng ta chia thành vùng mạng để đảm bảo an toàn cho hệ thống: Nhóm – M01 Trang Đồ án môn học: An toàn thông tin mạng máy tính Đề tài: Kiểm soát truy nhập External (mạng ngoài), Internal (mạng trong), DMZ (vùng phi quân sự) - Vùng Internal chia thành nhóm: + Nhóm 1: Mail server, Web server + Nhóm 2: File server máy trạm (Client) nội - Firewall: sử dụng phần mềm Internet Security & Acceleration Server 2004 (ISA 2004) Thiết lập ISA server làm vành đai bảo vệ mạng nội bộ, vị trí tiếp xúc với mạng nên xây dựng rule để kiểm soát user Internet qua Proxy (ISA 2004) - ISA server có card mạng: + Card 1: nối với vùng External + Card 2: nối với nhóm + Card 3: nối với nhóm - File server kiêm máy chủ điều khiển vùng (Domain Controller), số lượng Client nên việc kiêm nhiệm không ảnh hưởng nhiều - Tại phòng gắn switch để kết nối máy tính với - Các Client chịu quản lí máy chủ điều khiển vùng - Access Point nối trực tiếp với Router, tránh để hacker lợi dụng công vào mạng nội - Publish web, mail ISA 2004 - Default gateway máy chủ ISA - Thiết lập VPN server ISA để cán công tác kết nối đơn vị Nhóm – M01 Trang Đồ án môn học: An toàn thông tin mạng máy tính Đề tài: Kiểm soát truy nhập III.2 Sơ đồ tổng thể - Hoạch định đia chỉ: - Địa Internet: ISP cung cấp (ví dụ: FPT: 53.113.8.5) - Router: IP Address: 192.168.1.1 Subnet Mask: 255.255.255.0 - ISA Server: External IP Address: 192.168.1.2 Subnet Mask: 255.255.255.0 Default Gateway: 192.168.1.1 DMZ IP Address: 172.16.1.2 Subnet Mask: 255.255.0.0 Preferred DNS: 10.0.0.1 Internal IP Address: 10.0.0.2 Subnet Mask: 255.0.0.0 Preferred DNS: 10.0.0.1 - Domain Controller: IP Address: 10.0.0.1 Subnet Mask: 255.0.0.0 Default Gateway: 10.0.0.2 Preferred DNS: 10.0.0.1 - Phòng An ninh kinh tế: Nhóm – M01 Trang 10 Đồ án môn học: An toàn thông tin mạng máy tính Đề tài: Kiểm soát truy nhập - Phải lên tiêu chuẩn tạo nhóm phân quyền Bằng cách này, dễ dàng thêm vào nhiều người dùng dễ dàng loại bỏ phân quyền người dùng - Không phải nhiệm vụ phân quyền Do cần lập danh sách phân quyền phép Chúng ta tạo danh sách sau công cụ nơi thiết lập phân quyền Ngay có danh sách phân quyền dễ dàng nhiều để chọn quyền bạn muốn Đối với phân quyền đối tượng, cần nắm bạn phân quyền Bạn muốn người khác kiểm soát toàn tài khoản người dùng hay số thuộc tính tài khoản người dùng? Bạn chọn từ nhiều nhóm, máy tính, đơn vị tổ chức hay đối tượng Group policy Một số nhiều khái niệm quan trọng biết vị trí cấu hình phân quyền Có công cụ thực điều Cuối cùng, kích hoạt công cụ muốn phân quyền, quản trị viên cần biết "lựa chọn hộp thoại" thực mục đích Một số phân quyền dễ dàng, số khác lại yêu cầu người phân quyền thực số kiểm tra đánh giá trước đảm bảo phân quyền Active Directory người dùng máy tính (ADUC) Active Directory có thành phần phân quyền đầy đủ toàn diện Nếu bạn không sử dụng phân quyền AD bỏ lỡ lý quan trọng sử dụng AD Phân quyền bên AD cho phép quản trị viên cấu hình nhóm người dùng truy cập vào nhiệm vụ định Lợi ích điều nhiệm vụ chi tiết giảm điều khiển quản trị hạn chế nhiệm vụ thừa nhận với nhóm người dùng Chìa khóa để hiểu phân quyền AD nắm khả Microsoft thêm số tùy chọn Server 2003, có số tùy chọn bị giới hạn điều khiển phân quyền quản trị Dưới danh sách đối tượng cấu hình với điều khiển phân quyền: Nhóm – M01 Trang 47 Đồ án môn học: An toàn thông tin mạng máy tính o Tài khoản người dùng o Tài khoản nhóm o Đơn vị tổ chức o Tài khoản máy tính Đề tài: Kiểm soát truy nhập Mặc dù có liệt kê tất đối tượng kiểm soát, quan trọng phải nắm hạn chế phân quyền cho đối tượng Đặc biệt phân quyền phù hợp với tài khoản người dùng, tài khoản nhóm tài khoản máy tính o Đặt lại mật o Quản lý tài khoản người dùng o Quản lý nhóm o Thay đổi thành viên nhóm o Thêm o Các máy tính vào OU máy tính có quyền điều khiển sử dụng quyền thông qua GPO Một số phân quyền hiển thị hình Hình 1: Uỷ nhiệm ADUC Điều khiển quản lý Group Policy (GPMC) Nhóm – M01 Trang 48 Đồ án môn học: An toàn thông tin mạng máy tính Đề tài: Kiểm soát truy nhập PMC cung cấp môi trường cho phép quản trị viên GPO, mà bảo vệ quản lý GPO Cùng với xuất GPMC toàn quản lý phân quyền GPO tích hợp vào công cụ Tôi muốnCó điều rõ ràng GPMC cung cấp phân quyền quản lý GPO, phân quyền quản lý AD khác Vì thế, tương tự kiểm soát OU, người dùng, nhóm… phải thực ADUC Đối với phân quyền với GPMC bạn có tùy chọn sau: o Tạo GPO o Sửa GPO o Xóa quản lý bảo mật GPO o Liên kết GPO o Đọc thiết lập GPO Một số phân quyền hiển thị hình Hình 2: Phân quyền GPMC điều khiển quản lý GPO Một tạo thành GPO thực cho "miền", chế kiểm soát OU Tuy nhiên, bạn uỷ quyền cho người liên kết GPO với OU, đem lại cho bạn điều khiển nhiệm vụ bạn muốn uỷ quyền mức cao Liên kết GPO phân quyền miền, OU, hay trang Quá trình chỉnh sửa, quản lý, xóa đọc GPO phân quyền GPO giúp bạn dễ dàng điều khiển chúng Quản lý sách nhóm cao cấp (AGPM) Nhóm – M01 Trang 49 Đồ án môn học: An toàn thông tin mạng máy tính Đề tài: Kiểm soát truy nhập Mô hình phân quyền AD GPO cuối AGPM Công cụ cung cấp đoạn cuối quan trọng cho quản lý GPO GPMC chương trình hay nhiên thiếu đặc tính quản lý chìa khóa AGPM AGPM cung cấp đặc tính sau qua GPMC: o Soạn thảo GPO ngoại tuyến o Thay đổi quản lý soạn thảo GPO o Lưu trữ GPO o Tự động lưu dự phòng GPO Một số phân quyền hiển thị hình Hình 3: Các tùy chọn quản lý phân quyền AGPM Với AGPM bạn phân quyền nhiệm vụ tới công ty Giao diện AGPM cung cấp giải pháp hoàn hảo cho phép quản trị viên soạn thảo GPO mà không ảnh hưởng đến máy tính hay quản trị viên khác Tổng kết giải pháp đề cập công cụ cần thiết để bạn phân quyền nhiệm vụ trách nhiệm đối tượng AD GPO ADUC cung cấp giải pháp cho nhiệm vụ liên quan tới AD không bao gồm quản lý GPO Cả GPMC AGPM quản lý GPO Kết hợp công cụ Nhóm – M01 Trang 50 Đồ án môn học: An toàn thông tin mạng máy tính Đề tài: Kiểm soát truy nhập cung cấp giải pháp hữu hiệu để quản lý toàn diện GPO Ngay thực phân quyền công cụ bạn thu mô hình quản lý hiệu đảm bảo quản trị viên có quyền sửa đổi thứ quyền hạn họ II.4 GIÁM SÁT THỐNG KÊ HỆ THỐNG MẠNG: Smart Monitor Ngày nay, nhu cầu Internet ngày phát triển mạnh mẽ, băng thông rộng, Internet ngày rẻ, nhu cầu truy xuất mạng, Internet trở thành điều thiếu doanh nghiệp Bên cạnh lợi ích thiết thực phủ nhận, việc truy xuất Internet tìm ẩn nguy khác như: nhân viên lãng làm việc, phung phí thời gian việc lướt web đen, chơi games online, tán ngẫu (chat), đặt biệt việc rò rĩ thông tin nhạy cảm Trước nhu cầu cần phải có chương trình, công cụ giúp cho việc kiểm soát, theo dõi nội dung thông tin truy xuất người dùng, Smart Monitor biết đến công cụ thẩm tra, giám sát mạnh mẽ, trực quan hiệu Với công cụ Smart Monitor, người quản trị, chủ doanh nghiệp biết người dùng sử dụng Internet vào mục đích gì, biết họ chat với ai, nội dung chat gi, xem người dùng email cho ai, nội dung email gì, lướt trang web nào, download file gì, theo thời gian cụ thể, rõ ràng Tóm gọn, Smart Monitor “bắt gọn” nội dung thông tin truy xuất người dùng Đối tượng người dùng Smart monitor ai? Đa phần doanh nghiệp, trọng bảo mật, tránh rò rĩ thông tin, ngăn chặn kịp thời vấn đề tội phạm thương mại, IT cần thông tin để hạn chế người dùng, phụ huynh cần xem dùng Internet để hướng dẫn em Ngoài người dùng truy cập vào chương trình Smart Monitor để xem thống kê mình, từ chủ động điều tiết hợp lý cách thức truy cập làm việc Nhóm – M01 Trang 51 Đồ án môn học: An toàn thông tin mạng máy tính Đề tài: Kiểm soát truy nhập Thiết bị sử dụng với tất công nghệ truyền dẫn Dialup, ADSL, Cable Quang, Leasline, ISDN III Áp dụng vào hệ thống mạng trên: Lý thuyết: - Bảo vệ tốt an ninh nội (Vì 70% công nội gây ra) - Xác thực (authenticaion): + Sử dụng Username/Password để chứng thực người dùng - Ủy quyền (authorization): + Áp dụng mô hình RBAC + Thiết lập quyền hạn user: Admin, Power user, User, Guest… - Cấp quyền (Permission): + Có chức gán quyền cho người dùng hay xác nhận quyền hạn user + Thực NTFS Permision để định cho có quyền đọc, ghi, thay đổi nội dung thư mục + Cấp quyền sử dụng tài nguyên cho phòng ban - Kiểm toán (auditing): + Áp dụng chế giám sát ISA + Ghi file log lần user đăng nhập vào hệ thống thành công hay thất bại sau người dùng có thao tác khác Thực hiện: Tạo chứng thực: Tạo OU cho phòng ban: - Trên máy DC r.click vào tên domain -> new -> organizational unit -> nhập tên OU -> OK Nhóm – M01 Trang 52 Đồ án môn học: An toàn thông tin mạng máy tính Đề tài: Kiểm soát truy nhập Tạo tài khoản người dùng cho phòng ban: - r.click tên OU -> new -> user Nhóm – M01 Trang 53 Đồ án môn học: An toàn thông tin mạng máy tính Đề tài: Kiểm soát truy nhập - Nhập tên tài khoản -> Next - Nhập pasword -> Next -> Finish Nhóm – M01 Trang 54 Đồ án môn học: An toàn thông tin mạng máy tính Đề tài: Kiểm soát truy nhập Cấp quyền sử dụng thư mục dùng chung cho tài khoản: - Tạo thư mục dùng chung: Chọn ổ đĩa muốn tạo (ở chọn ổ C) File -> new -> Folder Đặt tên thư mục (ở đặt “Dungchung”) Nhóm – M01 Trang 55 Đồ án môn học: An toàn thông tin mạng máy tính Đề tài: Kiểm soát truy nhập Cấp quyền Cấp quyền sử dụng cho tài khoản (ở cấp quyền cho tài khoản PC01 đọc (read)) r.click Dungchung -> Sharing and Securiy Tab Sharing -> Share this folder -> Permissions Nhóm – M01 Trang 56 Đồ án môn học: An toàn thông tin mạng máy tính Đề tài: Kiểm soát truy nhập Xuất hôp thoại Permissions for Dungchung -> Add (để nhập tài khoản muốn cấp quyền) Tìm tài khoản (ở PC01) -> OK Nhóm – M01 Trang 57 Đồ án môn học: An toàn thông tin mạng máy tính Đề tài: Kiểm soát truy nhập Chọn quyền đọc (read) -> allow -> read -> OK Giám sát - Sử dụng chức monitor ISA 2004 để kiểm soát việc vào Internet user Nhóm – M01 Trang 58 Đồ án môn học: An toàn thông tin mạng máy tính Đề tài: Kiểm soát truy nhập - Thiết lập luật sau: Kiểm soát tài khoản log on, log off tạo kết nối mạng (Audit account logon events) Ghi nhận việc truy cập dịch vụ thư mục (Audit directory service access) Ghi nhận việc truy cập tập tin, thư mục máy in (Audit object access) Nhóm – M01 Trang 59 Đồ án môn học: An toàn thông tin mạng máy tính Nhóm – M01 Đề tài: Kiểm soát truy nhập Trang 60 Đồ án môn học: An toàn thông tin mạng máy tính Đề tài: Kiểm soát truy nhập TÀI LIỆU THAM KHẢO - Chỉ thị số 58/CT/TW ngày 17/10/2000 Đẩy mạnh Phát triển ứng dụng CNTT nước ta giai đoạn 2000-2010 - Quyết định số 112/2001/QĐ-TTg ngày 25/7/2001 phê duyệt Đề án Tin học hoá Quản lý Hành Nhà nước giai đoạn 2001-2005 - Microsoft Windows 2000 Kerberos Change Password and Set Password Protocols - www.wikipedia.com - www.kythuatvien.com Nhóm – M01 Trang 61 [...]... Trang 16 Đồ án môn học: An toàn thông tin trên mạng máy tính Nhóm 8 – M01 Đề tài: Kiểm soát truy nhập Trang 17 Đồ án môn học: An toàn thông tin trên mạng máy tính Đề tài: Kiểm soát truy nhập B PHẦN RIÊNG: Kiểm soát truy nhập I Tổng quan: Như chúng ta đã biết, bảo vệ hệ thống mạng khỏi sự xâm nhập trái phép đang là một thách thức đối với các nhà quản trị mạng hiện nay trước tình trạng tấn công máy tính. .. của mình và gửi gói tin sau tới người sử dụng để xác nhận định danh của mình và khẳng định sự đồng ý cung cấp dịch vụ: Nhóm 8 – M01 Trang 31 Đồ án môn học: An toàn thông tin trên mạng máy tính Đề tài: Kiểm soát truy nhập - Gói tin H: Thời điểm trong gói tin yêu cầu dịch vụ cộng thêm 1, mã hóa với "Khóa phiên máy chủ /máy khách" 10 Máy khách giải mã gói tin xác nhận và kiểm tra thời gian có được cập nhật... dẫn đến một loạt thiệt hại với an ninh quốc gia Nhóm 8 – M01 Trang 19 Đồ án môn học: An toàn thông tin trên mạng máy tính Đề tài: Kiểm soát truy nhập - Mật (Confidential - C): Được áp dụng với thông tin mà nếu bị lộ có thể dẫn đến thiệt hại với an ninh quốc gia - Không phân loại (Unclassified - U): Những thông tin không gây thiệt hại Sự phân loại mức bảo mật cho thông tin tuỳ thuộc vào chính sách Người... Trang 32 Đồ án môn học: An toàn thông tin trên mạng máy tính Đề tài: Kiểm soát truy nhập Giao thức đuợc mã hóa theo các chuẩn mã hóa cao cấp nhu Triple DES, RC4, AES nên rất an toàn Theo cơ chế Single-Sign-on, đăng nhập một lần, hạn chế việc tấn công làm mất dữ liệu Vé bị đánh cắp rất khó tái sử dụng Thay vì gởi các thông tin gốc và mật khẩu trên mạng, Kerberos sử dụng vé đã mã hóa dể chứng minh danh... Trang 27 Đồ án môn học: An toàn thông tin trên mạng máy tính Đề tài: Kiểm soát truy nhập CHAP là dạng xác nhận three-way handshake Sau khi tạo liên kết, router sẽ gửi thông điệp “challenge” cho router đầu xa Router đầu xa sẽ gửi lại một giá trị được tính toán dựa trên password và thông điệp “challenge” cho router Khi nhận được giá trị này, router sẽ kiểm tra lại xem có giống với giá trị của nó đã tính. .. Nếu có thì AS gửi 2 gói tin sau tới người sử dụng: - Gói tin A: "Khóa phiên TGS /máy khách" được mật mã hóa với khóa bí mật của người sử dụng Nhóm 8 – M01 Trang 30 Đồ án môn học: An toàn thông tin trên mạng máy tính Đề tài: Kiểm soát truy nhập - Gói tin B: "Vé chấp thuận" (bao gồm chỉ danh người sử dụng (ID), địa chỉ mạng của người sử dụng, thời hạn của vé và "Khóa phiên TGS /máy khách") được mã hóa... (PINs), thông tin về user, hoặc password Các thông tin trên token chỉ có thể được đọc và xử lý bởi các thiết bị đặc dụng, ví dụ như thẻ smart card được đọc bởi đầu đọc smart card gắn trên Computer, sau đó thông tin này được gửi đến authenticating server Token chứa chuỗi text hoặc giá trị số duy nhất, thông thường mỗi giá trị này chỉ sử dụng một lần Nhóm 8 – M01 Trang 33 Đồ án môn học: An toàn thông tin trên. .. hệ thống an ninh đa tầng cấp (multilevel security systems) Một hệ thống đa tầng cấp là một hệ thống máy tính duy nhất chịu trách nhiệm xử lý bội số các phân loại dưới nhiều tầng cấp giữa các chủ thể và các đối tượng Xuất và nhập dữ liệu (Data import and export): Điều khiển việc nhập Nhóm 8 – M01 Trang 20 Đồ án môn học: An toàn thông tin trên mạng máy tính Đề tài: Kiểm soát truy nhập thông tin từ một... thông minh Thẻ thông minh (Smart card) USB token Cả thẻ thông minh và USB token đều có chip đi kèm theo Chip này cần phải có một bộ vi xử lý 32 bit và thông thường có EEPROM (Electrically Erasable Programmable Read-only Memory) cỡ khoảng 32KB hoặc 64KB, chip RAM được nhúng trên thẻ thông minh hoặc USB token Ngày nay cũng Nhóm 8 – M01 Trang 34 Đồ án môn học: An toàn thông tin trên mạng máy tính Đề tài:... là 15 Nhóm 8 – M01 Trang 26 Đồ án môn học: An toàn thông tin trên mạng máy tính Đề tài: Kiểm soát truy nhập - Phải có những ký tự đặc biệt, số, chữ hoa, chữ thường trong một mật khẩu - Không sử dụng bất kỳ từ khóa nào trong từ điển English hay tên nước - Không sử dụng Password giống tên Username, và phải thay đổi thường xuyên mỗi tháng 1 lần - Đừng bao giờ chứa Password trên máy tính của bạn – nhiều ... người sử dụng gửi gói tin sau tới TGS: - Gói tin C: Bao gồm "Vé chấp thuận" từ gói tin B danh (ID) yêu cầu dịch vụ - Gói tin D: Phần chứng thực (bao gồm danh người sử dụng thời điểm yêu cầu), mã... muốn uỷ quyền mức cao Liên kết GPO phân quyền miền, OU, hay trang Quá trình chỉnh sửa, quản lý, xóa đọc GPO phân quyền GPO giúp bạn dễ dàng điều khiển chúng Quản lý sách nhóm cao cấp (AGPM) Nhóm... hoàn toàn an tâm phó thác Để thực mục tiêu này, mạng doanh nghiệp phải có khả kiểm soát tổng thể bao gồm kiểm soát truy nhập, kiểm soát nguy kiểm soát cung cấp Kiến trúc cho phép doanh nghiệp chuyển