Buổi 1: AAA: Access Control (PI)
AAA được viết tắt từ các chữ: Access Control, Authentication và Accounting (Auditing). Đây là thành phần được sử dụng triển khai phục vụ cho C.I.A.
Phần này doraemon nói về Access Control (kiểm soát truy cập). Cái này nói nôm na là hạn chế người khác truy cập trái phép, phân định các dạng truy cập hệ thống....
Các dạng kiểm soát truy cập:
1. Dạng ngăn cản (Preventative): ở dạng này sẽ hạn chế người lạ xâm nhập vào hệ thống, cách thức này thường được sử dụng nhất, chẳng hạn trong Domain, phải là User của Domain mới có thể truy cập FileServer, còn máy in thì vô tư.
Dạng này nếu xét theo phương diện Physical bao gồm các dạng sau: khóa cửa, kiếm bảo vệ, chuông báo động,...
Về phương diện Logical: sử dụng các việc kiểm chứng tài khoản người dùng như Users Domain, cách hạn chế truy cập tài nguyên bằng 802.1x, NAP (Network Access Protection) của Windows 2008 hoặc NAC (Network Admission Control) của Cisco
Về phương diện quản lý thì các thư ký ngồi sẽ ghi lại thời gian truy cập chẳng hạn ... :);)
Vì có thể sẽ có nhiều người ra vào (như ngân hàng, máy rút tiền ATM...) nên đôi khi cách thức ngăn cản không phải là giải pháp, do đó sẽ có những giải pháp tiếp theo.
2. Giải pháp kiểm soát truy cập gián tiếp, tức là không có bất kỳ báo động nào sẽ ngăn cản nhưng sẽ được ghi lại à. Giải pháp này bao gồm các hành động hoặc các thiết bị hoặc ... (không biết ghi là gì) sẽ làm việc:
Về phương diện Physical: sử dụng các máy ghi hình nè, các thiết bị cảm ứng ... để ghi nhận lại các hành động của người dùng và có thể đem làm bằng chứng đấy nhé, (chú ý khi đi rút tiền nhớ che mặt cẩn thận đó...:D:p)
Về phương diện quản lý và Logical: sử dụng các hình thức ghi sự kiện, ghi nhận lại thời gian và tên, việc này cũng quan trọng lắm đó nha, đừng xem thường các cô tiếp tân xinh đẹp, coi chừng bị dính ráng chịu à....
3. Giải pháp kiểm soát truy cập thu thập (Detective): giống như là truyện Conan vậy mà, dựa trên các hành động đã xảy ra, lùng các dấu vết để suy luận hung thủ vậy. Dĩ nhiên cái này cần nguồn cung cấp từ rất nhiều nơi để tìm cho được bằng chứng đó nhé. Bao gồm: giấy tờ ghi chú, các chính sách, người truy cập cuối ..... Song song với Detective là Recovery tức là khôi phục lại các tình trạng xâm nhập, mô phỏng và so sánh với hoạt động, đừng nói là nó không quan trọng nhé, nó sẽ giúp ích rất nhiều cho việc quản lý và hoàn thiện hệ thống.
4. Giải pháp Admin và môi trường làm việc: trước hết Admin là tên chỉ có thể thua chút xíu hoặc bằng với tổng giám đốc thôi, người bán được cả công ty chỉ có thể là Admin. Tuy nhiên việc giới hạn kiểm soát truy cập của Admin cũng có đó nhé, các công tác làm và ghi chú, những hành động gây nguy hại vẫn được nằm trong Policy; mặc dù Admin có thể xóa Log nhưng vẫn có cách làm ra. Nói thế thôi, Admin sẽ kiểm soát những tài nguyên và phân quyền hợp lý, tạo môi trường làm việc Physical dựa trên Logical cho tốt và các quyền hạn cần thiết của Users. Còn môi trường làm việc thì cái đó miễn bàn nhé, môi trường nào Admin và người dùng được vào, nơi nào không, truy cập những gì, chỗ nào có thể copy được, ai được cắm USB vào và copy cái gì .... Admin ơi, anh giúp làm dùm nhé....
AAA: Authentication (Part 2)
Authentication tức là kiểm chứng, xác thực người dùng. Bởi vì hệ thống máy tính của chúng ta làm việc khá là khách quan nên chỉ xác thực dựa trên những gì nó biết và thông báo là Accept hoặc là Access Denied đơn giản thế thôi. Vậy thì để chứng thực được và nhận diện thì phải cần cái ID để định danh, ví dụ như như username và password chẳng hạn, hoặc là các SID trên máy tính của nữa đó, trùng SID mà Join Domain thế nào cũng có chuyện ....Tính cước (Accounting):o
Authentication được xây dựng dựa trên một số yếu tố căn bản sau:
1. Những gì bạn biết (something you know): passwords là cái phổ biến nhất2. Những gì bạn có (something you have): tức là các thành phần như thẻ OTP (ai chơi võ lâm và mua thẻ này thì biết), thẻ từ nữa nè ....3. Những gì của riêng bạn: tức là sinh trắc học đó mà, vân tay, võng mạc, giọng nói ....Đó là hình thức được sử dụng để kiểm chứng bạn, bạn phải có ít nhất một trong các thành phần trên để máy chứng thực là đúng còn không thì chịu khó làm Guest đi nhé...
Điểm yếu nhất trong vấn đề này có lẽ là password nên nó được xây dựng rất nhiều cơ chế bảo mật, mã hóa để đảm bảo password này. Chắc bạn biết trong Windows xài các mã hóa NTLM (học xong là là mờ luôn), NTLM2, MS-CHAP, CHAP, Kerberos....
Accounting cho phép nhà quản trị có thể thu thập thông tin như thời gian bắt đầu, thời gian kết thúc người dùng truy cập vào hệ thống, các câu lệnh đã thực thi, thống kê lưu lượng, việc sử dụng tài nguyên và sau đó lưu trữ thông tin trong hệ thống cơ sở dữ liệu quan hệ. Nói cách khác, accounting cho phép giám sát dịch vụ và tài nguyên được người dùng sử dụng. Ví dụ: thống kê cho thấy người dùng có tên truy cập là THIEN đã truy cập vào VNLABPRO_SERVER bằng giao thức FTP với số lần là 5 lần. Điểm chính trong Accounting đó là cho phép người quản trị giám sát tích cực và tiên đoán được dịch vụ và việc sử dụng tài nguyên. Thông tin này có thể được dùng để tính cước khách hàng, quản lý mạng, kiểm toán sổ sách
Không có nhận xét nào:
Đăng nhận xét