Trang 2 Giới thiệu• Cho đến hiện nay, chúng ta vẫn thừa nhận hacker dùng phần mềm nghe trộm dữ liệu, nguy hiểm hơn nữa là giả mạo hoặc đánh lừa• Chương này trình bày những vấn đề phức tạ
6/29/2011 CHƯƠNG QUẢN LÝ TRUY CẬP: CHỨNG THỰC & CẤP QUYỀN ThS Trần Bá Nhiệm Website: sites.google.com/site/tranbanhiem Email: tranbanhiem@gmail.com Nội dung • Giới thiệu • Các kỹ thuật chứng thực • Chứng thực Microsoft NET Passport • Hashing - Băm • SSL • Chứng - Certificates • Server certificates • Client certificates • Cấp quyền NET • Bảo mật mạng doanh nghiệp 29/06/2011 Chương 9: Quản lý truy cập 6/29/2011 Giới thiệu • Cho đến nay, thừa nhận hacker dùng phần mềm nghe trộm liệu, nguy hiểm giả mạo đánh lừa • Chương trình bày vấn đề phức tạp vấn đề xác nhận người dùng • Các hệ thống chứng thực phải có khả kiểm tra hợp lệ chứng thông điệp không bị làm giả trước, trong, sau đến 29/06/2011 Chương 9: Quản lý truy cập Giới thiệu • Chương trình bày thành phần: – Các hệ thống chứng thực Microsoft như: NTLM NET Passport – Các kỹ thuật phát giả mạo – Cơ chế chứng thực SSL cho liệu Web – Một số chế chứng thực có liên quan: phân quyền NET thừa kế chứng thực 29/06/2011 Chương 9: Quản lý truy cập 6/29/2011 Các kỹ thuật chứng thực • Để bảo đảm xác minh client, ta cần phải tin cậy vào mảnh thơng tin xác định client chúng dễ dàng xác định giả mạo (ví dụ: IP, Windows username/password, số chứng khác) • Các hệ thống chứng thực ngăn chặn giả mạo chứng bảo vệ người dùng thiếu cẩn mật 29/06/2011 Chương 9: Quản lý truy cập Các kỹ thuật chứng thực • Với ngữ cảnh có số kiểu chứng thực khác • Nếu ta phát triển giải pháp cho ISP ISP xác định xác client dựa địa IP dùng IP làm chứng • Khi phát triển ứng dụng intranet Windows ta tin cậy vào q trình đăng nhập Windows • Với dịch vụ Internet dùng tổ hợp tùy chọn chứng thực IIS username/ password 29/06/2011 Chương 9: Quản lý truy cập 6/29/2011 Các kỹ thuật chứng thực • Dạng phổ biến chứng thực cách kiểm tra hợp lệ IP, cho truy xuất thông tin IP thuộc vùng • Cơ chế ISP áp dụng • IP spoofing (giả mạo IP) làm thất bại kiểu chứng thực này, dễ dàng 29/06/2011 Chương 9: Quản lý truy cập Chứng thực IIS • Mặc dù tập trung vào phần mềm độc lập, nhiên IIS luôn lựa chọn tốt • Dùng IIS giúp loại bớt vấn đề phức tạp, dùng chế mã hóa chứng thực Microsoft cung cấp • IIS5 cung cấp loại chứng thực: Anonymous, Basic, NT challenge/response (NTLM), Integrated Windows (Kerberos), Digest 29/06/2011 Chương 9: Quản lý truy cập 6/29/2011 Chứng thực IIS • Dạng chứng thực IIS Anonymous Client khơng có chứng tự động cấp quyền IUSR (guest): đọc ghi file • Basic: bắt buộc client phải cung cấp chứng dạng văn thô Nhược điểm: độ bảo mật thấp Tuy nhiên kết hợp với SSL giải pháp tương đối tốt 29/06/2011 Chương 9: Quản lý truy cập Chứng thực IIS • NTLM an tồn khơng thể bẻ khóa khơng có nỗ lực đáng kể • NTLM vài nhân tố xác định • NTLM hỗ trợ IIS4 tất phiên Internet Explorer • Chứng cung cấp client tương ứng với tài khoản cục server 29/06/2011 Chương 9: Quản lý truy cập 10 6/29/2011 Chứng thực IIS • Chứng thực kiểu Digest giới thiệu từ IIS5 • Chưa thấy có cơng bố bẻ khóa kiểu mã hóa • Tương thích với phần lớn phiên Internet Explorer • Chứng cung cấp client tương ứng với tài khoản cục server 29/06/2011 Chương 9: Quản lý truy cập 11 Chứng thực IIS • Kerberos cung cấp mức độ bảo mật cao cho chứng thực thơng qua Internet • u cầu truy cập vào domain controller • Chỉ làm việc IIS5 phiên gần Internet Explorer • Tinh chỉnh lựa chọn: Start→ControlPanel→Administrative Tools→Internet Information Services 29/06/2011 Chương 9: Quản lý truy cập 12 6/29/2011 Chứng thực IIS 29/06/2011 Chương 9: Quản lý truy cập 13 Chứng thực IIS • Khi chấp nhận kết nối anonymous, máy tính quản lý 860 request/s, với Basic 780 request/s - chế chứng thực nhanh bảo mật thấp • NTLM cịn 99 request/s • Digest cịn 96 request/s • Kerberos cịn 55 request/s • Với SSL request/s 29/06/2011 Chương 9: Quản lý truy cập 14 6/29/2011 Microsoft NET Passport • Chứng thực Passport dùng với người định danh họ nhờ địa Hotmail • Dạng chứng thực khơng có ý nghĩa truyền thông thương mại, tốt cho cá nhân • Thuận lợi hệ thống phục vụ cho gia đình 29/06/2011 Chương 9: Quản lý truy cập 15 Microsoft NET Passport • Chứng thực Passport có biến thể: – Preproduction: miễn phí, có lượng giới hạn thơng tin cá nhân khai thác từ Passport – Production: khắc phục nhược điểm Preproduction 29/06/2011 Chương 9: Quản lý truy cập 16 6/29/2011 Hashing • Hashing giải thuật chiều liệu băm thành giá trị giá trị băm chuyển ngược thành liệu ban đầu • Được dùng kết hợp với mã hóa để bảo đảm thơng điệp khơng bị làm giả đường truyền • Hệ thống hashing đại gồm: Message Digest (MD5) Secure Hash Algorithm (SHA-1) 29/06/2011 Chương 9: Quản lý truy cập 17 Hashing • Khi giá trị băm sinh từ khối văn gốc, khó để tính tốn sinh khối văn khác có giá trị băm • Đặc tính quan trọng giải thuật băm thay đổi nhỏ văn đầu vào tạo thay đổi lớn với giá trị băm 29/06/2011 Chương 9: Quản lý truy cập 18 6/29/2011 Hashing • Các giải thuật băm ln ln sinh giá trị có độ dài số lượng văn đầu vào • Trong ứng dụng, giá trị băm sinh từ thơng điệp cho sau thơng điệp với mã băm mã hóa với 29/06/2011 Chương 9: Quản lý truy cập 19 Hashing • Khi giải mã thơng điệp sinh giá trị băm phải trùng với thơng điệp đó, cịn ngược lại có nghĩa thơng điệp bị làm giả • Ứng dụng khác cách lưu trữ an toàn username / password Nếu lưu trữ văn gốc hacker đột nhập khai thác thông tin này, băm họ khơng thể biết 29/06/2011 Chương 9: Quản lý truy cập 20 10 6/29/2011 Chứng client • Chứng server chứng thực website với trình duyệt, ngược lại chứng client chứng thực trình duyệt với server • Chứng client dùng muốn tối ưu hóa bảo mật website dịch vụ ngân hàng trực tuyến • Chứng client cho dùng miễn phí từ Thawte 29/06/2011 Chương 9: Quản lý truy cập 37 Chứng client • Chứng client dùng để gửi nhận email mã hóa chứng thực địa email bạn với người nhận • Chứng client sở chứng thực địa email khơng phải người gửi email • Xem chứng IE: Tools→Internet Options→Content→Certificates 29/06/2011 Chương 9: Quản lý truy cập 38 19 6/29/2011 Các dịch vụ Microsoft Certificate • Một số tổ chức cần bảo mật nội bộ, tốn bỏ tiền mua chứng cho server, Microsoft Certificate Services (MSCS) giải pháp lựa chọn • MSCS sinh chứng X.509 • MSCS hoạt động root CA subordinate CA 29/06/2011 Chương 9: Quản lý truy cập 39 Đọc chứng • Dùng phương thức / thuộc tính lớp X509Certificate Phương thức / Thuộc tính Mô tả GetCertHashString Trả giá trị băm chứng dạng chuỗi GetEffectiveDateString thập lục phân Trả ngày hiệu lực chứng GetExpirationDateString Trả ngày hết hạn chứng GetFormat Trả tên format chứng GetIssuerName Trả tên công ty phát hành chứng 29/06/2011 Chương 9: Quản lý truy cập 40 20