TRƯỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI LUẬN VĂN THẠC SĨ Nghiên cứu kiểm soát truy cập theo vai trị thuộc tính NGUYỄN ĐỨC SƠN Ngành Mạng Máy Tính An tồn thơng tin Giảng viên hướng dẫn: PGS.TS Nguyễn Linh Giang Viện: Công nghệ thông tin truyền thông HÀ NỘI, 2021 TRƯỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI LUẬN VĂN THẠC SĨ Nghiên cứu kiểm sốt truy cập theo vai trị thuộc tính NGUYỄN ĐỨC SƠN Ngành Mạng Máy Tính An tồn thơng tin Giảng viên hướng dẫn: PGS.TS Nguyễn Linh Giang Chữ ký GVHD Viện: Công nghệ thông tin truyền thơng HÀ NỘI, 2021 CỘNG HỊA XÃ HỘI CHỦ NGHĨA VIỆT NAM Độc lập – Tự – Hạnh phúc BẢN XÁC NHẬN CHỈNH SỬA LUẬN VĂN THẠC SĨ Họ tên tác giả luận văn : Nguyễn Đức Sơn Đề tài luận văn: Nghiên cứu kiểm soát truy cập theo vai trị thuộc tính Chun ngành: Mạng máy tính an tồn thơng tin Mã số SV: CB180200 Tác giả, Người hướng dẫn khoa học Hội đồng chấm luận văn xác nhận tác giả sửa chữa, bổ sung luận văn theo biên họp Hội đồng ngày 29/04/2021 với nội dung sau: - Gộp Chương Chương thành “Chương Ứng dụng rbac vào triển khai vpn remote access thiết bị tường lửa hãng check point công ty tài cổ phần điện lực (EVNFinance)” – Từ trang 31 tới trang 58 - Rút gọn mục “3.5 Cấu hình cài đặt Remote Access VPN” - Trang 47 - Làm rõ kết tìm hiểu đơn vị triển khai ABAC Việt Nam, kinh phí triển khai ABAC “Chương Kết luận" – trang 59 - Bổ sung danh sách tài liệu tham khảo trang 60 Ngày Giáo viên hướng dẫn PGS.TS Nguyễn Linh Giang tháng năm 2021 Tác giả luận văn Nguyễn Đức Sơn CHỦ TỊCH HỘI ĐỒNG PGS.TS Trương Thị Diệu Linh LỜI CAM ĐOAN Những kiến thức trình bày luận văn tơi tìm hiểu, nghiên cứu trình bày theo kiến thức tổng hợp cá nhân Kết nghiên cứu luận văn chưa công bố cơng trình khác Trong q trình làm luận văn, tơi có tham khảo tài liệu có liên quan ghi rõ nguồn tài liệu tham khảo Tơi xin cam đoan cơng trình nghiên cứu không chép Tơi xin chịu hồn tồn trách nhiệm, sai, tơi xin chịu hình thức kỷ luật theo quy định Hà Nội, ngày tháng năm 2021 Học viên Nguyễn Đức Sơn LỜI CẢM ƠN Tôi xin chân thành cảm ơn thầy hướng dẫn luận văn tốt nghiệp, PGS.TS Nguyễn Linh Giang, Bộ mơn Mạng máy tính Truyền thơng, Trường đại học Bách khoa Hà Nội Thầy hướng dẫn, truyền đạt kiến thức cần thiết định hướng cho tơi q trình thực đề tài Trong trình thực hiện, hạn chế thời gian kiến thức, nên đề tài tránh khỏi thiếu sót, tơi mong nhận ý kiến đóng góp thầy Tơi xin chân thành cảm ơn! Tác giả luận văn Nguyễn Đức Sơn MỤC LỤC BẢNG TRA CỨU THUẬT NGỮ iii DANH MỤC CÁC HÌNH VẼ iv CHƯƠNG MỞ ĐẦU 1.1 Đặt vấn đề 1.2 Tìm hiểu về kiểm soát truy cập [11] MAC/DAC IBAC/ACL RBAC ABAC CHƯƠNG TÌM HIỂU KIỂM SỐT TRUY CẬP DỰA TRÊN VAI TRỊ VÀ KIỂM SỐT TRUY CẬP DỰA TRÊN THUỘC TÍNH 2.1 Kiểm sốt truy cập dựa vai trò (RBAC) Tổng quan truy cập dựa vai trị Mơ hình RBAC theo NIST [2] 2.2 Kiểm soát truy cập dựa thuộc tính (ABAC) [1] 14 Tổng quan kiểm soát truy cập dựa thuộc tính 14 Lợi ích phương pháp ABAC 20 Mô hình ABAC doanh nghiệp theo NIST 22 2.3 So sánh RBAC ABAC [3][9] 27 2.3.1 Truy cập dựa vai trò so với dựa thuộc tính 27 2.3.2 Mối quan hệ mật thiết 28 2.3.3 Một kết hợp đắn 29 CHƯƠNG ỨNG DỤNG RBAC VÀO TRIỂN KHAI VPN REMOTE ACCESS TRÊN THIẾT BỊ TƯỜNG LỬA HÃNG CHECK POINT CỦA CÔNG TY TÀI CHÍNH CỔ PHẦN ĐIỆN LỰC (EVNFINACE) 31 3.1 Nhu cầu sử dụng truy cập từ xa EVN Finance 31 3.2 Tìm hiều IPsec VPN 31 Tổng quan VPN 31 Virtual Private Network – VPN 32 IPsec VPN [7] [8] 33 i IPsec VPN Workflow 34 3.3 Kiểm sốt truy cập dựa vai trị (RBAC) triển khai Remote Access VPN thiết bị tường lửa Check Point 37 Giới thiệu thiết bị tường lửa hãng Check Point 37 Quy trình triển khai Remote Access VPN thiết bị Check Point [6] 39 Bước 1: Tạo Gateway định nghĩa tham số Gateway Properties 40 Bước 2: Quản lý User 40 Bước 3: Định nghĩa User Group 41 Bước 4: Định nghĩa VPN Conmunity and Paticipants 42 3.3.7 Bước 5: Định nghĩa quyền truy cập nhóm người dùng 43 Bước 6: Tiến hành cài đặt Policy 43 3.4 Mơ hình mạng triển khai Remote Access VPN EVNFinance 44 Phần cứng 45 Phần mềm 45 3.5 Cấu hình cài đặt Remote Access VPN 47 3.6 Ứng dụng phân quyền truy cập theo vai trò vào Remote Access VPN 47 3.7 Thực kiểm thử đánh giá 52 Người dùng sử dụng tài khoản LDAP 52 Người dụng tài khoản thuộc nhóm Cơng nghệ ngân hàng 53 Người dụng tài khoản thuộc nhóm Hạ tầng An tồn thơng tin 55 Bản tổng hợp kết kiểm thử 57 3.8 Đánh giá thực 58 CHƯƠNG KẾT LUẬN 59 TÀI LIỆU THAM KHẢO 60 ii BẢNG TRA CỨU THUẬT NGỮ THUẬT NGỮ AC RBAC ABAC MAC DAC IBAC KHÁI NIỆM Access Controll - Kiểm soát truy cập Role-based access control – điều khiển truy cập sở vai trò Attribute-Based Access Control - điều khiển truy cập sở thuộc tính Mandatory access control – điều khiển truy cập bắt buộc Discretionary access control – điều khiển truy cập tùy quyền Identity-based access control – điều khiển truy cập dựa theo danh tính ACL Access control list – Danh sách điều khiển truy cập User Người sử dụng Role Vai trò Permission Session Quyền hạn Phiên làm việc ACM Access Control Mechanism - Cơ chế kiểm soát truy cập NPE Non-person entity - Một thực thể phi cá nhân NIST National Institute of Standards and Technology - Viện Tiêu chuẩn Công nghệ Quốc gia Mỹ UA User-role assignment - Gán vai trò người dùng UP Permission-role assigment - Gán vai trò quyền RH Role Hierachy – Phân cấp vai trò iii DANH MỤC CÁC HÌNH VẼ Hình 2-1: RBAC phẳng Hình 2-2: RBAC phân cấp 10 Hình 2-3: RBAC ràng buộc — SOD tĩnhsss 11 Hình 2-4: RBAC ràng buộc — SOD động 11 Hình 2-5: Ví dụ Thừa kế có giới hạn 12 Hình 2-6: Diễn tiến ABAC 16 Hình 2-7: Cơ chế ABAC cốt lõi 17 Hình 2-8: Phương thức truy cập đa tổ chức truyền thống (khơng thuộc ABAC) 21 Hình 2-9: ABAC doanh nghiệp 22 Hình 2-10: Các điểm chức ACM 25 Hình 3-1: Mơ hình mạng riêng ảo VPN 32 Hình 3-2: Security Accross OSI Layers 33 Hình 3-3: IPsec Framework 34 Hình 3-4: IPsec Site-to-Site VPN Workflow 34 Hình 3-5: Access Control Policy 36 Hình 3-6: Check Point Remote Access VPN Workflow 39 Hình 3-7: Các giai đoạn triển khai Check Point Remote Access VPN 40 Hình 3-8: VPN Conmunity 42 Hình 4-1: EVNFinance - VPN traffic flow 44 Hình 4-2: EVN Finance – Physical Connectivity 44 Hình 4-3: Integrate Connection 45 Hình 4-4: Logical Group Permissions flow 51 iv CHƯƠNG MỞ ĐẦU 1.1 Đặt vấn đề Khi số lượng người sử dụng hệ thống thông tin ngày nhiều doanh nghiệp, việc kiểm soát quyền truy cập vào tài nguyên sử dụng sách bảo mật ngày gặp thách thức lớn Các nhà nghiên cứu phát triển hệ thống đơn giản hóa quy trình quản trị cách sử dụng nhóm người dùng có quyền truy cập Nhóm người dùng tiền thân mơ hình điều khiển truy cập dựa vai trị (RBAC) Mơ hình RBAC nhóm quyền truy cập thành vai trò yêu cầu tất quyền truy cập phải thực thơng qua hệ thống RBAC Sau đó, người dùng cấp nhóm quyền cách dễ dàng thông qua thao tác đơn giản định vai trò Các vai trò doanh nghiệp phải thiết kế giúp hỗ trợ bảo mật quy tắc kinh doanh Theo thời gian, doanh nghiệp nhận thấy nhu cầu ngồi nhóm người dùng quyền truy cập RBAC Họ cần thuộc tính thời gian ngày vị trí người dùng cho hệ thống phân phối, thay đổi động Trong thời kỳ này, việc điều khiển truy cập dựa thuộc tính (ABAC) xem thay bổ trợ cho RBAC Mơ hình ABAC sử dụng đối tượng gắn nhãn thuộc tính người dùng thay quyền truy cập để kiểm sốt việc truy cập cách linh hoạt Có ý kiến cho mơ hình ABAC mang đến linh hoạt cần thiết kiểm soát truy cập và, muốn, mơ hình RBAC tồn với ABAC đơn giản cách coi vai trị thuộc tính khác Vì ABAC khơng sử dụng vai trị với quyền truy cập, nên khơng cần phải thiết kế vai trò với quyền truy cập Các nhà nghiên cứu mơ hình RBAC đưa số phương án cung cấp thành phần thuộc tính — ví dụ sử dụng vai trị ràng buộc 1.2 Tìm hiểu về kiểm soát truy cập [11] Access Control (AC) hay kiểm soát truy cập, chia thành thành phần Access Control Access biết đến việc truy cập tài nguyên chủ thể (Subject) tới đối tượng (Object), Control biết đến hành Trong khn khổ luận văn trình bày kết nối Integrate Connection (1): Cấu hình Firewall kết nối với AD server có domain:evnfc.vn o Tính năng: LDAP o Mô Tả: Firewall phép truy cập vào Cơ Sở Dữ Liệu LDAP dùng để đăng nhập vào Quản Trị Thiết Bị Tường Lửa, Chứng thực Username / Password kết nối VPN Remote Access từ bên Internet vào hệ thống EVNFinance o Cấu hình: - Trong giao diện SmartDashboard truy cập theo đường dẫn "Policy > Global Properties > User Directory" bật tính "Use User Directory” - Truy cập Objects > Servers > LDAP Account Units > R.Click > New LDAP Account Unit Khai báo thông số: 46 3.5 Cấu hình cài đặt Remote Access VPN • Bước 1: Tại giao diện R80.40 SmartConsole, chọn Gateways & Server double-clic vào Security Gateway Cửa sổ gateway mở hiển thị trang General Properties • Bước 2: Trong danh mục chọn IPsec VN Trang thi mục VPN communities • Bước 3: Thêm Security Gateway vào Community • Bước 4: Trong danh mục chọn Network Management > VPN Domain • Bước 5: Cấu hình Vistor Mode • Bước 6: Trong danh mục chọn VPN Clients > Office Mode Cấu hình Office Mode • Bước 7: Chọn OK 3.6 Ứng dụng phân quyền truy cập theo vai trò vào Remote Access VPN Các bước triển khai: • Bước 1: Tạo User LDAP User local database • Bước 2: Tạo Group theo phịng ban/ chức vụ / chức • Bước 3: Thêm User vào Group tương ứng • Bước 4: Tạo Policy phân quyền theo nhóm cho phép / không cho phép Group truy xuất tới server / dịch vụ công ty Bản phân quyền mơ tả bảng bên • Bước 5: Cài đặt Policy 47 Bảng phân quyền truy cập người dùng nhóm người dùng User Type GROUP Mô tả Quyền hạn Truy xuất thông tin, kết nối tới dịch vụ nghiệp vụ thông thường LDAP USR-{DES}- Người dùng thơng Cụ thể truy cập tới vùng VPN thường mạng DMZ số server Internal Server Farm để xác thực ID, truy cập DNS, mail server, sharefile Bộ phận phụ trách Local CNTT-CSHT database quản trị sở hạ tầng an toàn thơng tin Tồn quyền truy cập vào hệ thống thông tin doanh nghiệp bao gồm vùng mạng DMZ Zone, Internal Server Farm, Audit, Core Bank Có quyền tương tác với với Bộ phận phụ trách Local database CNTT-CNNH nghiệp vụ Công nghệ ngân hàng (ITCOREBANK) máy chủ , dịch vụ Corebank Có quyền truy cập, truy xuất thông tin kết nối tới nghiệp vụ thông thường Khơng có quyền truy cập vào vùng mạng Audit Cụ thể bước ❖ Bước 1: - Add User thuộc LDAP Server vào gateway tường lửa Check Point - Tạo User Local Database thiết bị tường lửu Check Point ❖ Bước 2: Tạo Group theo phòng ban/ chức vụ / chức - Tạo nhóm CNTT-CSHT (Nhóm Cơ sở hạ tầng an tồn thơng tin) nhóm CNTT-CNNH (Nhóm Cơng nghệ ngân hàng) local database thiết bị Check Point 48 - Tạo nhóm cho user thơng thường sử dụng xác thực LDAP server: - Thêm user phụ trách Hạ tầng An tồn thơng tin vào nhóm CNTTCSHT 49 - Thêm user phụ trách Công nghệ ngân hàng vào nhóm CNTT-CNNH - Thêm User thuộc LDAP Server vào nhóm truy cập thơng thường 50 ❖ Bước 4: Tạo Policy phân quyền/ nhóm quyền theo nhóm cho phép / không cho phép User truy cập từ xa thực tương tác tới server / dịch vụ công ty Sơ đồ logic mô tả kết nối từ nhóm Hạ tầng an tồn thơng tin, nhóm Cơng nghệ ngân hàng nhóm người dùng bình thường truy cập vùng mạng cho phép Hình 4-4: Logical Group Permissions flow 51 Danh sách policy thực tế thiết bị Check Point 6600: ❖ Bước 5: Tiến hành cài đặt Policy 3.7 Thực kiểm thử đánh giá Người dùng sử dụng tài khoản LDAP Kết nối Remote access VPN tới tường lửa với tài khoản người dùng thông thường xác thực từ LDAP server Kết quả: - Có thể truy cập vào dịch vụ vùng mạng DMZ: https://eoffice.evnfc.vn - Không truy cập vào trang nghiệp vụ nhóm Cơng nghệ ngân hàng thuộc vùng mạng Corebank 52 - Không thể remote desktop 10.31.0.94 thuộc vùng mạng Audit Người dụng tài khoản thuộc nhóm Cơng nghệ ngân hàng Kết nối Remote access VPN tới tường lửa với tài khoản người dùng sonndcnnh thuộc nhóm Cơng nghệ ngân hàng Kết quả: - Có thể truy cập vào trang eOffice thuộc vùng mạng DMZ 53 - Có thể truy cập vào trang nghiệp vụ nhóm Cơng nghệ ngân hàng thuộc vùng mạng Corebank: - Không thể remote desktop vào server 10.31.0.94 thuộc vùng mạng Audit 54 Người dụng tài khoản thuộc nhóm Hạ tầng An tồn thông tin Kết nối Remote access VPN tới tường lửa với tài khoản người dùng sonndcsht thuộc nhóm Hạ tầng an tồn thơng tin Kết quả: - Có thể truy cập vào trang eOffice vùng mạng D - Có thể truy cập vào trang nghiệp vụ nhóm Công nghệ ngân hàng thuộc vùng mạng Corebank: 55 - Có thể thể truy cập vào server 10.31.0.94 thuộc vùng mạng Audit 56 Bản tổng hợp kết kiểm thử Kiểm tra khả truy cập tới vùng mạng Vùng mạng DMZ: Nhóm Mơ tả Thực mở website eOffice: https://eoffice.evnfc.vn/ Vùng mạng Internal Server: Kiểm tra kết nối dịch vụ AD, DNS, Sharefile Vùng mạng Corebank: Thực truy cập vào wedsite nghiệp vụ Corebank: https://cb.evnfc.vn/t24live/servlet/BrowserServlet Vùng mạng Audit: Thực remote desktop tới máy chủ 10.31.0.94 Nhóm Hạ CNTT- tầng an CSHT tồn thông OK OK OK OK OK OK OK FAIL OK OK FAIL FAIL tin CNTTCNNH USR{DES}VPN Nhóm Cơng nghệ ngân hàng Nhóm người dùng thơng thường 57 3.8 Đánh giá thực - Thực triển khai tính Remote Access VPN thiết bị tường lửa Check Point 6600 công ty EVN Finance thành công - Thực kết nối Remote Access Gateway tới máy chủ LDAP Server thành công để lấy thông tin user thuộc AD domain: evnfc.vn - Thực tạo User người dùng theo nhóm theo phịng ban chức nhiệm vụ khác - Thực tạo user nhóm theo phịng ban nhóm có chức nghiệp vụ khác - Thực thành công phân nhóm quyền truy cập khác cho nhóm user/group có phân cơng, nhiệm vụ, chức năng… khác doanh nghiệp 58 CHƯƠNG KẾT LUẬN Đối với đề tài này, tác giả hướng tới mục đích tìm hiểu nghiên cứu biện pháp kiểm soát truy cập ❖ Về mặt lý thuyết: - Nắm kiến thức phương pháp kiểm soát truy cập - Nắm kiến thức kiểm soát truy cập theo vai trò - Nắm kiến thức kiểm sốt truy cập theo thuộc tính ❖ Về mặt thực Luận văn đưa giải pháp triển khai hệ thống cung cấp tính truy cập từ xa ứng dụng kiểm soát truy cập theo vai cho người dùng truy cập vào hệ thống thông tin doanh nghiệp theo chức năng, phân cơng nhiệm vụ ❖ Hạn chế Do có hạn chế mặt thời gian, tài nguyên công nghệ, thiết bị cơng nghệ có chưa thể ứng dụng Kiểm sốt truy cập dựa theo thuộc tính (ABAC) vào hệ thống thông tin doanh nghiệp Qua tìm hiểu tác giả biết chưa có tổ chức, doanh nghiệp Việt Nam thực triển khai áp dụng kiểm sốt truy cập theo thuộc tính (ABAC) nên chưa có thơng tin thực nghiệm triển khai chi phí triển khai ❖ Hướng phát triển tương lai - Tác giả tìm hiểu để ứng dụng nhiều RBAC vào hệ thống công nghệ thông tin EVN Finance - Đánh giá khả xây dựng ABAC doanh nghiệp: khả đáp ứng hệ thống, tính khả thi, hiệu suất, chi phí phát triển bảo trì, chi phí chuyển đổi, tác động lên hệ thống công nghệ, tác động tới sách & ảnh hưởng tới tình hình kinh doanh doanh nghiệp - Đánh giá khả kết hợp RBAC ABAC vận hành doanh nghiệp 59 TÀI LIỆU THAM KHẢO [1] Chung Tong Hu, David F Ferraiolo, David R Kuhn, Adam Schnitzer, Kenneth Sandlin, Robert Miller, Karen Scarfone, Guide to Attribute Based Access Control (ABAC) Definition and Considerations, NIST Special Publication 800-162, NIST, 2019 [2] R Sandhu, David F Ferraiolo, David R Kuhn, The NIST Model for RoleBased Access Control: Towards a Unified Standard, Fifth ACM Workshop on Role-Based Access Control, NIST, 2000 [3] Ed Coyne, Timothy R Weil, ABAC and RBAC: Scalable, Flexible, and Auditable Access Management, IT Professional, Vol 15, No 3, May-June 2013, Pp.14 - 16, IEEE, 2013 [4] Role-based Access Control vs Attribute-based Access Control: How to Choose, Feb 04, 2019, https://www.ekransystem.com/en/blog/rbac-vs-abac [5] David Ferraiolo, Janet Cugini , Richard Kuhn, Role-Based Access Control (RBAC): Features and Motivations", Proceedings of the 11th Annual Computer Security Applications Conference, pp 241-248, NIST, 1995 [6] VPN Pre-R80 Security Gateways with R80 Security Management Administration Guide”, 31 March 2016, http://downloads.checkpoint.com/dc/download.htm?ID=46536 [7] Elaine Barker, Quynh Dang, Sheila Frankel, Karen Scarfone, Paul Wouters, Guide to IPsec VPNs, NIST Special Publication 800-77, NIST, 2020 [8] Zhi Fu1, S Felix Wu, He Huang, Kung Loh,Fengmin Gong, Ilia Baldine and Chong Xu , IPSec/VPN Security Policy: Correctness, Conflict Detection and Resolution, Technical Report, Computer Science Department, NCSU, 2001 https://www.cs.ucdavis.edu/~wu/publications/ipsecpolicy.PDF [9] RBAC vs ABAC: What’s the Difference?, 31 October 2019, https://www.dnsstuff.com/rbac-vs-abac-access-control [10] Bùi Văn Tâm, Nghiên cứu kiểm soát truy cập dựa phân vai ứng dụng, Luận văn thạc sĩ, Học viện CNBCVT, 2012 [11] Nguyễn Khanh Văn, Giáo trình Cơ sở An tồn Thơng tin, NXB Bách Khoa, 2014 60 ... CHƯƠNG TÌM HIỂU KIỂM SỐT TRUY CẬP DỰA TRÊN VAI TRỊ VÀ KIỂM SỐT TRUY CẬP DỰA TRÊN THUỘC TÍNH 2.1 Kiểm sốt truy cập dựa vai trò (RBAC) Tổng quan truy cập dựa vai trị Kiểm sốt truy cập dựa vai trị (RBAC):... TÌM HIỂU KIỂM SỐT TRUY CẬP DỰA TRÊN VAI TRỊ VÀ KIỂM SỐT TRUY CẬP DỰA TRÊN THUỘC TÍNH 2.1 Kiểm sốt truy cập dựa vai trị (RBAC) Tổng quan truy cập dựa vai trò Mơ hình RBAC theo NIST... truy cập thực hiện, Thuộc tính Quy tắc kiểm soát truy cập đánh giá Cơ chế kiểm sốt truy cập dựa thuộc tính để đưa định kiểm soát truy cập Ở dạng ABAC, Cơ chế kiểm soát truy cập chứa Điểm định