Nhận dạng và nhận thực

Một phần của tài liệu bảo mật mạng và internet (Trang 52 - 55)

2.3 Bảo mật mạng

2.3.3 Nhận dạng và nhận thực

Bước đầu tiên hướng tới bảo mật tài nguyên LAN là là khả năng kiểm tra việc nhận dạng người sử dụng. Quá trình kiểm tra một nhận dạng người sử dụng được đề cập là nhận thực. Nhận thực cung cấp cơ sở cho năng lực của các điều khiển sử dụng trên LAN. Ví dụ, cơ chế logging cung cấp cách sử dụng thông tin dựa trên ID người sử dụng. Cơ chế điều khiển truy nhập cho phép truy nhập tài

Đồ án tốt nghiệp Đại học Chương 2. Bảo mật mạng và Internet

nguyên LAN dựa trên ID người sử dụng. Cả hai điều khiển này chỉ hiệu quả khi chắc chắn rằng người sử dụng được gán ID rõ ràng và hợp lý.

Nhận dạng yêu cầu người sử dụng phải được LAN nhận biết theo một vài cách. Thông thường, điều này dựa trên việc gán ID người sử dụng. Tuy nhiên LAN không thể tin cậy hoàn toàn vào người sử dụng trong thực tế.

Nhận thực được thực hiện bằng việc cung cấp cho người sử dụng cái gì đó mà chỉ người sử dụng có như một thẻ, hoặc chỉ người sử dụng biết, như là một mật khẩu, hoặc tạo ra một cái duy nhất chỉ liên quan đến người sử dụng như là một dấu vân tay. Những điều này sẽ giảm thiểu những nguy hiểm khi một ai đó giả mạo là người sử dụng hợp pháp.

Một thủ tục chỉ rõ sự cần thiết của nhận thực nên tồn tại trong hầu hết các chính sách LAN. Thủ tục có thể được hướng dẫn hồn tồn trong một chính sách mức chương trình nhấn mạnh sự cần thiết điều khiển truy nhập thông tin và tài nguyên LAN một cách hiệu quả, hoặc có thể thơng báo rõ ràng trong một LAN chỉ rõ chính sách mà các thơng báo nói rõ với tất cả người sử dụng được nhận dạng và nhận thực một cách duy nhất.

Trong hầu hết các LAN, cơ chế nhận dạng và nhận thực là sự sắp xếp theo hệ thống userID/mật khẩu. Thật ra hệ thống mật khẩu chỉ hiệu quả nếu quản lý đúng đắn, nhưng thường ít được như vậy. Nhận thực chỉ dựa trên mật khẩu thường gặp thất bại trong việc cung cấp bảo vệ thỏa đáng cho hệ thống vì một số lý do. Những người sử dụng luôn nghĩ tới việc tạo một mật khẩu dễ nhớ và vì thế dễ đốn. Mặt khác khi mà người sử dụng phải sử dụng các mật khẩu đã tạo ra từ các kí tự ngẫu nhiên, sẽ khó khăn để đốn và cũng khó khăn để nhớ lại. Lựa chọn một mật khẩu đúng đắn (tạo cân bằng giữa dễ nhớ cho người sử dụng nhưng khó khăn để đốn đối với những người khác ) luôn luôn là một vấn đề.

Cơ chế mật khẩu duy nhất, đặc biệt là cơ chế này truyền mật khẩu đơn giản (trong điều kiện khơng mã hóa) nên dễ bị giám sát và đánh cắp. Điều này trở nên nghiêm trọng nếu LAN cho phép mọi kết nối từ ngoài mạng.

Đồ án tốt nghiệp Đại học Chương 2. Bảo mật mạng và Internet

Do cơ chế mật khẩu duy nhất vẫn tồn tại khả năng bị xâm phạm, nên có thêm các cơ chế có thể sử dụng. Một cơ chế sử dụng Card thông minh hoặc sử dụng thẻ bài yêu cầu một người sử dụng phải có thẻ (token) và có thể yêu cầu thêm việc biết một PIN hoặc mật khẩu. Các thiết bị này thực hiện một cơ chế nhận thực Yêu cầu/Trả lời sử dụng các tham số thời gian thực. Sử dụng các tham số thời gian thực giúp ngăn chặn một người đột nhập truy nhập lại trái phép qua việc phát lại phiên đăng nhập. Các thiết bị này cũng có thể mã hóa phiên nhận thực, ngăn chặn việc ảnh hưởng tới thông tin nhận thực qua việc theo dõi và bắt giữ.

Các cơ chế khóa cho các thiết bị LAN, các trạm làm việc, hoặc các PC yêu cầu nhận thực người sử dụng để mở khóa có thể có ích cho người sử dụng phải rời khỏi nơi khu vực làm việc thường xuyên. Các khóa này cho phép người sử dụng duy trì đăng nhập vào LAN và rời khỏi phạm vi làm việc của họ mà không lộ mục nhập điểm vào LAN. Các modem cung cấp truy nhập LAN cho người sử dụng có thể u cầu thêm sự bảo vệ. Bởi vì kẻ xâm nhập có thể truy nhập modem và thành cơng trong việc đốn mật khẩu người sử dung. Tính sẵn sàng của modem sử dụng cho những người sử dụng hợp pháp cũng có thể trở thành một vấn đề nếu một kẻ đột nhập được cho phép tiếp tục truy nhập vào modem. Các cơ chế cung cấp cho người sử dụng với thông tin sử dụng tài khoản của anh ta (cơ ta) có thể cảnh báo người sử dụng rằng tài khoản đã được sử dụng trong một trường hợp khơng bình thường (nhiều đăng nhập lỗi). Các cơ chế này bao gồm thơng báo như ngày, thời gian, và vị trí lần cuối cùng đăng nhập thành công, và số lần đăng nhập thất bại ngay trước đó. Loại cơ chế bảo mật có thể được thi hành để cung cấp các dịch vụ nhận dạng và nhận thực được liệt kê như sau:

 Cơ chế sử dụng mật khẩu

 Cơ chế sử dụng smartCard/ thẻ bài thông minh

 Cơ chế sử dụng sinh trắc học

 Tạo mật khẩu

 Khóa khóa mật khẩu

Đồ án tốt nghiệp Đại học Chương 2. Bảo mật mạng và Internet

 Khóa bàn phím

 Khố PC hoặc trạm

 Kết thúc kết nối sau khi nhiêu đăng nhập thất bại

 Sử dụng thông báo “đăng nhập thành công lần cuối cùng”

và “số lần đăng nhập thất bại”

 Cơ chế xác minh người sử dụng thời gian thực

 Mật mã với các khóa người sử dụng duy nhất.

Một phần của tài liệu bảo mật mạng và internet (Trang 52 - 55)

Tải bản đầy đủ (DOC)

(111 trang)
w