3.1. ĐỊNH HƢỚNG LỰA CHỌN GIẢI PHÁP, SẢN PHẨM GIẢM BỚT
3.1.3. Các sản phẩm ATAN điển hình
3.1.3.1. Định danh và Xác thực
Identification (Định danh) được hiểu như là dữ liệu để nhận dạng người sử dụng. Authentication (xác thực) là phương tiện để chứng minh tính hợp lệ, chân thực của dữ liệu nhận dạng này. Authorization (phân quyền) là quá trình hạn chế và duy trì các hành động được phép đối với từng user. Các dữ liệu định danh để phục vụ cho việc xác thực có thể là password, thiết bị (Ví dụ: token), các dấu hiệu sinh học (VD: dấu vân tay),… Các dạng cơ bản của việc xác thực bao gồm: tĩnh, động và nhiều yếu tố.
Tĩnh (static): Là cách xác thực sử dụng các yếu tố xác thực tĩnh, xác định (VD: password tĩnh). Độ an toàn tin cậy của phương pháp xác thực này phụ thuộc rất nhiều vào độ khó đoán hoặc cách giải mã của yếu tố xác thực và cả nơi lưu trữ chúng trong hệ thống
Động (dynamic): Là cách xác thực sử dụng kỹ thuật mã hoá hoặc các kỹ thuật khác để tạo ra một yếu tố xác thực. Yếu tố xác thực thay đổi giữa các lần xác thực khác nhau.
Nhiều yếu tố (multiple factor): Cách xác thực này yêu cầu từ 2 kiểu kỹ thuật xác thực trở lên. Có thể bao gồm cả xác thực tĩnh và động.
Cơ cấu phân quyền (Authorization) được chia thành 4 dạng cơ bản:
Cục bộ (Local): được thực thi tại mỗi ứng dụng, mỗi máy đối với một người dùng nào đó yêu cầu truy cập
Mạng (Network): phân quyền được thực hiện tại một trung tâm, máy phân quyền, cung cấp các quyền cho một tài khoản người dùng từ một hoặc nhiều máy trạm trong mạng. Điểm cốt lõi ở đây là quyền truy cập được gắn với một tài khoản độc lập. Nếu một người dùng yêu cầu nhiều tài khoản, thì mỗi tài khoản được phân quyền riêng rẽ khác nhau.
Single Sign-on: tận dụng 1 cơ chế xác thực trung tâm để cho phép 1 user chỉ xác thực 1 lần khi truy cập vào nhiều ứng dụng, nhiều máy, và các domain đang được điều hành bởi rất nhiều kiểu cơ cấu xác thực (VD: 1 Kerberos thi hành với 1 mạng hỗn tạp Windows 2000 và Unix).
Single Log-on: Single log-on là tương tự single sign-on chỉ khác ở chỗ cơ chế xác thực trung tâm được sử dụng bởi tất cả các ứng dụng, các máy và các domain với mỗi thứ mà người dùng cần tương tác
1/ Các dạng sản phẩm
Security Tokens: ví dụ: Personal Computer Memory Card International Association (PCMCIA) cards, flash memory, USB tokens, smart cards (thẻ thông minh), và phần mềm.
Chứng chỉ số (Certificates) sử dụng hạ tầng mã khóa công khai (PKI, bao gồm cặp khóa công khai/bí mật).
Các giao thức xác thực (Authentication Protocols):
- RADIUS. Sử dụng giao thức Remote Authentication Dial-In User Service (RADIUS), một người sử dụng từ xa có thể trao đổi: xác thực, điều khiển truy cập, accounting, và thông tin cấu hình thiết bị với một máy chủ RADIUS. Máy chủ RADIUS có thể xác thực một người dùng/thiết bị nhờ vào CSDL của nó hoặc user I&A parameters (các thông số định danh/xác thực của người dùng). - TACACS+. Terminal Access Controller Access Control System + (TACACS+)
Cho phép tài nguyên mạng chuyển gánh nặng của user administration tới một máy chủ trung tâm.
Công nghệ sinh trắc học (Biometrics)
Biometrics được sử dụng cho các điều khiển truy cập vật lý, điện tử, và các thiết bị theo dõi. Công nghệ Biometrics thường được sử dụng để định danh và xác thực các đặc điểm riêng tư độc lập. Ví dụ: dấu vân tay, khuôn mặt, võng mạc, mống mắt, giọng nói, nét chữ, bản đồ sinh học của tay, và các ven cổ tay. Biometrics có thể được dùng kèm với mật khẩu, số PIN, và các thẻ từ để tăng độ chính xác và bảo mật.
2/ Các đặc tính sản phẩm
Các đặc tính sau cần có trong một sản phẩm định danh/xác thực chất lượng: - Có khả năng yêu cầu người dùng định danh họ trước khi cho phép thực hiện bất
kỳ hành động nào
- Có khả năng duy trì các định dạng người dùng và có khả năng liên hệ người dùng cụ thể với các phương thức bảo mật liên quan
- Có các đặc tính công nghệ cao, ví dụ chống giả mạo, cho phép sử dụng các token ví dụ như các loại thẻ từ
- Có khả năng quản lý định danh/xác thực, có thể lưu trữ và truyền dữ liệu dưới dạng mã hóa
- Có khả năng lưu các sự kiện về bảo mật và gửi thông báo tới người quản lý bảo mật
3/Các câu hỏi về điều kiện
(Trong việc lựa chọn thẻ từ)
Đối với tổ chức:
- Bao nhiêu cá nhân trong cơ quan/tổ chức sẽ sử dụng sản phẩm? - Cơ quan/tổ chức sẽ phát hành thẻ như thế nào?
- Cơ quan/tổ chức sẽ nhập dữ liệu người dùng theo kiểu thủ công hay theo lối tự động sử dụng một CSDL tự động? CSDL sẽ đặt ở đâu?
- Ai sẽ điều khiển các thẻ này?
- Có phải thẻ là cách xác thực chính trong cơ quan/tổ chức không?
- Cơ quan/tổ chức có quy trình, thủ tục nào để đối phó với các thẻ bị mất hoặc đánh cắp không?
- Các thẻ này có hoạt động tốt, tương thích với các sản phẩm và cơ chế xác thực khác trong cơ quan/tổ chức không?
Đối với sản phẩm:
- Các chức năng chính mà thẻ có thể làm được là gì? - Dạng dữ liệu gì sẽ được lưu trong thẻ?
- Yêu cầu về bộ nhớ đối với thẻ là gì?
3.1.3.2. Kiểm soát truy cập (Access Control)
Quản lý truy cập đảm bảo các tài nguyên phải được xác thực trước khi cho phép truy cập. Quản lý truy cập giúp bảo vệ tính toàn vẹn, tích hợp, tính sẵn sàng cho các tài nguyên.
Các hệ thống quản lý truy cập gán quyền truy cập vào các tài nguyên trong hệ thống thông tin cho các người dùng, các chương trình, hoặc các hệ thống khác. Hệ thống có thể sắp xếp thông tin vào các file với các quyền truy cập khác nhau.
Việc điều hành quản lý truy cập có thể dựa trên từng yếu tố hoặc sự kết hợp của nhiều yếu tố sau:
- Định danh người dùng. - Các quan hệ theo vai trò. - Các quan hệ theo nhóm.
- Các thông tin khác liên quan đến hệ thống.
Việc bảo vệ dữ liệu sẽ dựa trên việc xác định xem ai có quyền sử dụng ứng dụng, các bản ghi dữ liệu, các file. Các người dùng có trách nhiệm xác định xem các ứng dụng đã quản lý tốt các truy cập đến các dữ liệu mà họ đang quản lý.
Quản lý truy cập dựa trên định danh: Chính sách bảo mật dựa trên định danh của đối tượng đưa ra yêu cầu truy cập với quyền của đối tượng này với tài nguyên định truy cập.
Điều khiển dựa trên luồng thông tin: Xác định xem thông tin có được phép di chuyển từ một thực thể sang thực thể khác không. Việc điều khiển dựa trên một số đặc trưng của thông tin và các đặc trưng này có thể không có trong định danh của thực thể.
1/ Các dạng sản phẩm
Việc phân loại các sản phẩm dựa trên chính sách lưu trữ các thông tin về điều khiển truy cập:
- Đặt ngay trong mỗi tài nguyên được bảo vệ. - Đặt tại một trung tâm quản lý chung.
Dựa trên các danh sách điều khiển truy cập:
Các danh sách điều khiển truy cập trên router hay các thiết bị mạng dựa trên các chiến lược sau:
Lọc các giao thông qua lại trên thiết bị: Can thiệp đến từng gói chuyển qua. Một bộ lọc có thể cấm tất cả các gói tin không phù hợp với các quy tắc bảo mật. Việc lọc dựa trên nhiều yếu tố khác nhau: Luồng vào, luồng ra, địa chỉ nguồn, địa chỉ đích, giao thức, nội dung chứa trong gói tin…
Lọc theo chính sách: Can thiệp đến bảng định tuyến của thiết bị. Chiến lược này cho phép xác định các router, mạng nào sẽ được cập nhật vào trong bảng định tuyến.
loại này có ưu điểm là cho phép người quản trị hệ thống gán các vai trò khác nhau cho từng ngưòi dùng khác nhau.
2/ Các đặc tính sản phẩm
Những đặc tính sau là cần thiết trong một sản phẩm kiểm soát truy cập: - Hỗ trợ quản trị đồng thời nhiều tính năng.
- Cho phép gán nhiều vai trò/quy tắc cho nhiều người. - Phân quyền cho mỗi người dùng.
- Ngăn chặn việc chuyển tiếp các thông tin nhạy cảm.
- Cung cấp giao diện quản trị tập trung, cài đặt các chính sách bảo mật trên các hệ thống phân tán.
- Tự bảo vệ chống các tấn công từ bên ngoài. - Hỗ trợ lọc nội dung.
- Khả năng mã hoá.
- Theo dõi tất cả các sự kiện xảy ra dựa trên log file. - Đảm bảo tính toàn vẹn của các log file.
3/ Các câu hỏi về điều kiện
Đối với tổ chức
- Mỗi tổ chức cần sử dụng các kĩ thuật đánh giá điểm yếu để xác định:
o Các tài nguyên nào cần bảo vệ và bảo vệ tới mức nào.
o Những kết nối từ xa nào cần hạn chế.
Câu trả lời sẽ giúp xác định kiểu sản phẩm điều khiển truy cập.
- Hệ thống hạ tầng gồm những gì. Một số sản phẩm yêu cầu hệ thống phải có sẵn một số sản phẩm nhất định(database, java webserver,…)
- Các hệ thống kiểm soát truy cập dựa trên vai trò sẽ hiệu quản hơn nếu nó theo sát bộ máy quản lý của tổ chức.
- Các dữ liệu nhạy cảm như mật khẩu có thể lưu trữ, truyền đi dưới dạng bản rõ hay phải mã hoá.
- Cần bảo vệ luồng vào, luồng ra hay cả hai.
- Cần một người quản trị duy nhất hay phân hoá cho nhiều người quản trị khác nhau.
- Thủ tục thêm, xoá một người dùng, một ứng dụng hay một tài nguyên trong tổ chức?
Đối với sản phẩm
Các phương thức nào sau đây cần hỗ trợ hay bắt buộc phải có:
Khả năng tích hợp.
Khả năng kiểm toán.
Độ phức tạp khi sử dụng, cài đặt.
Hỗ trợ PKI/thẻ/chứng chỉ số không?
Hỗ trợ xác thực.
Khả năng liên kết với hệ thống khác.
Hỗ trợ người dùng từ xa.
Hỗ trợ laptop/notebook, PDA, IP phone.
Khả năng tích hợp với hệ thống IDS/IPS.
Khả năng sẵn sàng.
Cung cấp các giao diện lập trình API không?
Có các tính năng mở rộng không (quét virus, …)?
Khả năng mã hoá, giải mã.
Khả năng xác thực dựa trên sinh trắc học.
3.1.3.3. Phát hiện xâm nhập (Intrusion Detection)
Phát hiện xâm nhập là quá trình giám sát các sự kiện xảy ra trong một hệ thống máy tính hoặc mạng và phân tích chúng để tìm ra các dấu hiệu của sự xâm nhập. Các dấu hiệu này được định nghĩa là việc thực hiện các hành động bất hợp pháp hoặc vượt qua những cơ chế bảo mật của máy tính hay của mạng.
Các vụ xâm nhập có thể là do kẻ tấn công truy cập vào hệ thống từ Internet, do những người dùng hợp pháp của hệ thống muốn đạt được sự truy cập vào các đặc quyền mà họ không đuợc phép, và do những người dùng hợp pháp lạm dụng đặc quyền của họ.
Các hệ thống phát hiện xâm nhập là các sản phẩm phần cứng hoặc phần mềm trợ giúp quá trình giám sát và phân tích xâm nhập.
Các tác dụng của IDS:
- Ngăn chặn các vấn đề bằng cách tăng cường khám các phá rủi ro, trừng phạt những kẻ xâm nhập hệ thống.
- Phát hiện các sự khởi đầu tấn công (các cuộc khảo sát mạng và các cuộc kiểm tra khác tìm kiếm các điểm yếu)
- Chứng minh các mối nguy cơ đang tồn tại đối với doanh nghiệp. - Kiểm soát chất lượng thiết kế và quản trị an ninh.
- Cung cấp các thông tin hữu ích về các phương pháp được sử dụng trong xâm nhập.
Có hai phương pháp khác nhau trong việc phân tích các sự kiện để phát hiện các vụ tấn công: phát hiện dựa trên các dấu hiệu và phát hiện sự bất thường. Các sản phẩm IDS có thể sử dụng một trong hai cách hoặc sử dụng kết hợp cả hai.
- Phát hiện dựa trên dấu hiệu: Phương pháp này nhận dạng các sự kiện hoặc tập hợp các sự kiện phù hợp với một mẫu các sự kiện đã được định nghĩa là tấn công. Các mẫu này được gọi là các dấu hiệu. Các dấu hiệu có thể là các trạng thái hệ thống.
- Phát hiện sự bất thường: Dạng phát hiện đưa ra các quy tắc và các hành động xâm nhập là trái quy tắc. Thông thường các công cụ này thiết lập một hiện trạng các hoạt động bình thường và sau đó duy trì một hiện trạng hiện hành cho một hệ thống. Khi hai yếu tố này xuất hiện sự khác biệt, nghĩa là đã có sự xâm nhập.
1/ Các dạng sản phẩm
Có 3 loại sản phẩm IDS thông thường là IDS dựa trên mức mạng (Network Based IDS), IDS dựa trên mức host (Host Based IDS) và IDS dựa trên mức ứng dụng (Application Based IDS). Mỗi loại sản phẩm có khả năng phòng ngừa xâm nhập khác nhau.
IDS tầng mạng (Network Based IDS )
Các loại IDS này phát hiện các vụ tấn công bằng cách bắt và phân tích các gói tin mạng. Theo dõi một đoạn mạng hoặc switch, Network Based IDS có thể giám sát luồng thông tin mạng ảnh hưởng đến nhiều host kết nối tới đoạn mạng. IDS dựa trên mức mạng thường bao gồm một tập hợp các sensor hoặc các host được đặt tại nhiều điểm trong mạng. Các đơn vị này giám sát giao thông mạng, thực hiện phân tích cục bộ giao thông mạng này và thông báo tới trung tâm điều khiển. Do các sensor này được thiết kế chỉ để chạy IDS, rất nhiều trong số các sensor này được thiết kế để chạy trong chế độ “stealth” không có địa chỉ IP, khiến kẻ tấn công rất khó khăn khi xác định sự hiện diện và vị trí của chúng.
IDS trên các máy tính (Host Based IDS)
Hoạt động nhờ các thông tin thu thập được trong một hệ thống máy tính riêng lẻ. Điểm thuận lợi này cho phép hệ thống IDS xác định chính xác quá trình và tài khoản người dùng nào dính líu đến một cuộc tấn công thực tế trong hệ điều hành. Các IDS dựa trên host có thể dễ dàng “nhìn thấy” kết quả dự định của một tấn công, do chúng có thể trực tiếp truy cập và giám sát quá trình xử lý các file và hệ thống thường trở thành mục tiêu tấn công. IDS dựa trên mức host thường sử dụng nguồn thông tin ở hai dạng: kiểm tra hệ điều hành và file log của hệ thống. Một số IDS được thiết kế để hỗ trợ việc quản lý tập trung và ghi lại kiến trúc, cho phép trung tâm quản lý theo dõi được rất nhiều host.
IDS trên tầng ứng dụng (Application Based IDS)
Đây là một dạng đặc biệt của IDS dựa trên mức host, phân tích các sự kiện xảy ra trong một phần mềm ứng dụng. Nguồn thông tin thông dụng nhất mà IDS này sử dụng là các log file của ứng dụng. Khả năng giao tiếp trực tiếp với ứng dụng, với sự hiểu biết về ứng dụng được lưu trong máy phân tích, cho phép IDS này phát hiện các hành động đáng ngờ do những người dùng hợp pháp cố gắng vượt quá quyền của họ. Đó là nguyên nhân chính gây ra các vấn đề cho người dùng, dữ liệu và ứng dụng.
Ngăn chặn xâm nhập (Intrusion Prevention).
Các hệ thống phát hiện xâm nhập không chỉ có khả năng phát hiện các hành động xâm nhập mà còn cố gắng ngăn chặn các hành động đó, lý tưởng nhất là trước khi các hành động xâm nhập này tìm kiếm được mục tiêu. Sự ngăn ngừa xâm nhập có giá trị hơn sự phát hiện xâm nhập rất nhiều do sự phát hiện xâm nhập chỉ đơn giản là