Đồ án môn học: An toàn thông tin trên mạng máy tính
Đề tài: Kiểm soát truy nhập
TRƯỜNG ………………….
KHOA…………………
----------
BÁO CÁO TỐT NGHIỆP
Đề tài:
AN TOÀN THÔNG TIN TRÊN MẠNG MÁY TÍNH
Nhóm 8 – M01
Trang 1
Đồ án môn học: An toàn thông tin trên mạng máy tính
Đề tài: Kiểm soát truy nhập
MỤC LỤC
Lời mở đầu........................................................................................................................................3
I. Hiện trạng:..................................................................................................................................7
+ Phòng hành chính tổng hợp...........................................................................................7
II. Yêu cầu:.....................................................................................................................................7
III. Đề xuất phương án:..................................................................................................................8
IV. Triển khai:...............................................................................................................................14
Preferred DNS: 10.0.0.1...............................................................................................................15
V. Nguy cơ và giải pháp:...............................................................................................................15
B. PHẦN RIÊNG: Kiểm soát truy nhập..............................................................................................18
Lời mở đầu
Ngày nay, mạng máy tính là một khái niệm đã trở nên quen thuộc với
hầu hết tất cả mọi người, đặc biệt chiếm vị trí hết sức quan trọng với các
doanh nghiệp. Với xu thế phát triển mạnh mẽ của hệ thống mạng như: mạng
internet, hệ thống thương mại điện tử, hệ thống thông tin trong các cơ quan,
doanh nghiệp,… vấn đề quản trị và an ninh mạng trở nên hết sức cần thiết.
Đó có thể là virus, sâu máy tính, các chương trình do thám, ăn cắp thông
tin, thư rác, các hành động tấn công hay xâm nhập trái phép. Tác giả của
những cuộc tấn công cũng muôn hình vạn trạng, từ các cậu thanh niên lấy tấn
công, phá hoại là cơ hội thể hiện mình, đến các hacker chuyên nghiệp, gián
điệp công nghiệp, chính phủ nước ngoài, thậm chí người bên trong công ty…
Thiệt hại không chỉ về tài sản, dữ liệu, mà lớn hơn là sự thất thoát niềm tin
vào hệ thống mạng, vào chất lượng dịch vụ, uy tín của doanh nghiệp. Cùng
với các ứng dụng Internet ngày càng nhiều, số vụ xâm phạm an ninh máy tính
lại tăng theo cấp số nhân. Các lỗ hổng bảo mật được công bố ngày càng tăng,
trong khi các hacker chỉ cần sử dụng các công cụ tấn công thô sơ cũng đã
thành công khiến cho tình hình ngày một tồi tệ hơn. An ninh vì vậy lẽ dĩ
nhiên là mối quan tâm số một của CNTT.
Do đó, việc xây dựng “vành đai” để phòng thủ và ngăn chặn các truy cập
trái phép là một nhu cầu cấp thiết.
Nhóm 8 – M01
Trang 3
Đồ án môn học: An toàn thông tin trên mạng máy tính
Đề tài: Kiểm soát truy nhập
Nhóm 8 – M01
Trang 4
Đồ án môn học: An toàn thông tin trên mạng máy tính
Đề tài: Kiểm soát truy nhập
các thiết bị không được bảo an hoặc được bảo an kém có thể vô tình mang các
nguy cơ an ninh vào mạng như virus, Trojan, sâu máy tính và nhiều thứ khác
nữa mà không hề biết về sự tồn tại của chúng. Bất kỳ nguy cơ nào trong số
những nguy cơ trên đều có thể phát tán nhanh chóng và gây gián đoạn hoạt
động của mạng. Một khu vực khác với những lỗ hổng an ninh tiềm năng là
trung tâm dữ liệu. Những tài nguyên quan trong thường được bảo vệ bằng
tường lửa là những thiết bị không hề có thông tin về những người sử dụng
hoặc điểm đầu cuối khách hàng đang tìm kiếm những cách thức khác nhau để
truy nhập vào trung tâm dữ liệu. Khi tiếp xúc với những điểm đầu cuối đã bị
khai thác, những máy chủ nội bộ nhạy cảm sẽ gặp rủi ro.
Thách thức đối với các doanh nghiệp là họ phải tìm kiếm những cách
thức để sử dụng cơ sở hạ tầng mạng hiện có càng nhiều càng tốt, trong khi
vẫn cung cấp một phương thức truy nhập đơn giản, an toàn vào các tài nguyên
và các ứng dụng cho rất nhiều đối tượng khác nhau. Các nhà phân tích hàng
đầu đã nói rằng mục tiêu của họ là đạt được sự cân bằng giữa hạn chế người
sử dụng, cải thiện và mở rộng những đường biên an ninh hiện tại và đảm bảo
tính tương thích trong dài hạn thông qua sử dụng các giao diện mở. Phải đạt
được mục tiêu này trong khi vẫn đảm bảo việc cung cấp các dịch vụ và ứng
dụng bằng những phương thức mà doanh nghiệp có thể hoàn toàn an tâm phó
thác. Để có thể thực hiện được mục tiêu này, mạng doanh nghiệp phải có khả
Cuối cùng chúng em xin gửi lời cảm ơn chân thành đến thầy giáo
Nguyễn Văn Trung đã hướng dẫn chúng em tận tình, giúp chúng em nắm
vững những lý thuyết căn bản nhất về môn học “AN TOÀN THÔNG TIN
TRÊN MẠNG MÁY TÍNH”. Cũng như lời cảm ơn đến các thầy cô giáo trong
bộ môn tin học đã giúp chúng em hoàn thành đồ án môn học này.
Chúng em chân thành cảm ơn!
Hà Nội, tháng 01/2010
Nhóm học viên thực hiện:
Trần Hữu Trí
Lê Thị Ngọc Ngân
Hoàng Thanh Thanh
Nhóm 8 – M01
Trang 6
Đồ án môn học: An toàn thông tin trên mạng máy tính
Đề tài: Kiểm soát truy nhập
A. PHẦN CHUNG: Thiết kế mô hình
I. Hiện trạng:
- Xây dựng hệ thống mạng tại một đơn vị công an.
- Đơn vị có 5 phòng chức năng:
+ Phòng An ninh kinh tế.
+ Phòng trinh sát.
+ Phòng hành chính tổng hợp.
+ Phòng họp giao ban.
+ Phòng máy chủ.
- Cán bộ đi công tác có thể kết nối vào đơn vị bằng VPN.
- Thiết lập thư mục dùng chung và thư mục dùng riêng cho từng phòng,
từng máy trạm.
- Tài liệu được cập nhật hàng ngày lên File Server.
- Tạo đường kết nối an toàn cho các máy trạm ra Internet, đồng thời
kiểm soát việc truy cập Internet đó.
- Cấm tất cả các truy cập bất hợp pháp từ bên ngoài.
- Phòng máy chủ:
+ Quản lí web, mail của đơn vị.
+ Lưu trữ tài liệu trên File server.
+ Thiết lập máy chủ quản lí vùng nhằm cấp quyền sử dụng tài nguyên
cho các client.
III. Đề xuất phương án:
III.1. Giải thích mô hình:
- Dùng Modem ADSL tiếp nhận Internet từ nhà cung cấp dịch vụ ISP.
- Để lọc gói tin, tránh tắc nghẽn và xác định đường đi an toàn cho gói tin
chúng ta nên gắn một Router phía sau Modem. Router còn làm nhiệm vụ
NAT (Network Address Translation) ra public IP.
- Chúng ta sẽ chia thành 3 vùng mạng để đảm bảo an toàn cho hệ thống:
Nhóm 8 – M01
Trang 8
Đồ án môn học: An toàn thông tin trên mạng máy tính
Đề tài: Kiểm soát truy nhập
External (mạng ngoài), Internal (mạng trong), DMZ (vùng phi quân sự).
Đề tài: Kiểm soát truy nhập
III.2. Sơ đồ tổng thể - Hoạch định đia chỉ:
- Địa chỉ Internet: do ISP cung cấp (ví dụ: FPT: 53.113.8.5)
- Router:
IP Address:
192.168.1.1
Subnet Mask:
255.255.255.0
- ISA Server:
External
IP Address:
192.168.1.2
Subnet Mask:
255.255.255.0
Default Gateway:
192.168.1.1
DMZ
IP Address:
255.0.0.0
Default Gateway:
10.0.0.2
Preferred DNS:
10.0.0.1
- Phòng An ninh kinh tế:
Nhóm 8 – M01
Trang 10
Đồ án môn học: An toàn thông tin trên mạng máy tính
IP Address:
10.0.1.1 -> 254
Subnet Mask:
255.0.0.0
Default Gateway:
10.0.0.2
255.0.0.0
Default Gateway:
10.0.0.2
Preferred DNS:
10.0.0.1
- Phòng họp giao ban:
IP Address:
192.168.2.1 ->254
Subnet Mask:
255.255.255.0
Default Gateway:
192.168.1.1
- Phòng máy chủ:
+ Web server:
IP Address:
172.168.1.3
Subnet Mask:
172.168.1.2
Preferred DNS:
10.0.0.1
Nhóm 8 – M01
Trang 12
Đồ án môn học: An toàn thông tin trên mạng máy tính
Đề tài: Kiểm soát truy nhập
Internet
53.113.8.5
192.168.1.1
Web server
172.16.1.3
192.168.1.2
172.16.1.2
Mail server
10.0.0.2
III.3. Duy trì khả năng sẵn sàng:
- Theo dõi hệ thống bằng system monitor.
- Backup: lưu dữ liệu dự phòng ra file hay tape.
- Phần mềm backup là Ntbackup cho sẵn trong windows.
- Chiều thứ 6 full backup, hàng ngày backup difference.
IV. Triển khai:
IV.1. Lắp đặt phần cứng:
- Di chuyển các máy đến nơi qui định.
- Kết nối vật lý các máy với nhau.
IV.2. Cài đặt phần mềm:
IV.2.1. Cài đặt HĐH:
- Các máy Server cài hệ điều hành Window 2003 Server.
- Các máy Client cài hệ điều hành Window XP.
IV.2.2.Cài đặt DC:
- Sử dụng chương trình Dcpromo (start\run\dcpromo)
- Cấu hình DNS server.
- Cầu hình DHCP server.
- Join tất cả các máy client vào domain.
IV.2.3. Cài đặt Mail Server:
- Cài đặt Mdeamon
IV.2.4. Cài đặt WEB:
- Cài đặt IIS.
IV.2.5. Đặt IP:
Nhóm 8 – M01
Trang 14
Đồ án môn học: An toàn thông tin trên mạng máy tính
+ Giải pháp:
1. Bạn có thể dùng Policy để cấm chạy chương trình đó.
2. Add file chạy của chương trình đó vào (vd: firefox.exe)
Nhóm 8 – M01
Trang 16
Đồ án môn học: An toàn thông tin trên mạng máy tính
Nhóm 8 – M01
Đề tài: Kiểm soát truy nhập
Trang 17
Đồ án môn học: An toàn thông tin trên mạng máy tính
Đề tài: Kiểm soát truy nhập
B. PHẦN RIÊNG: Kiểm soát truy nhập
I. Tổng quan:
Như chúng ta đã biết, bảo vệ hệ thống mạng khỏi sự xâm nhập trái phép
đang là một thách thức đối với các nhà quản trị mạng hiện nay trước tình
trạng tấn công máy tính. Những nhà quản trị không chỉ phải thiết lập và thúc
đẩy việc thực hiện các chính sách bảo mật mà còn phải giữ được tính linh
động cho việc vận hành, nối kết trong và ngoài hệ thống mạng...
đích của việc xác thực và điều khiển truy cập là nhằm ngăn ngừa những hành
động truy cập trái phép, bất hợp pháp vào tài nguyên hệ thống, đó chính là
một yếu tố cơ bản của bảo mật thông tin.
Điều khiển truy cập tạo nên khả năng cho chúng ta có thể cho phép hoặc
không cho phép một chủ thể nào đó như một người hay một quy trình nào đó
sử dụng một đối tượng nào đó chẳng hạn như một tập tin trong hệ thống. Các
hệ thống điều khiển truy cập cung cấp những dịch vụ thiết yếu như dịch vụ
nhận dạng và xác minh (indentification and authentication), dịch vụ uỷ quyền
(authenrization) và dịch vụ quy trách nhiệm (accountability) đối với người
dùng hoặc đối với một quy trình.
II.1.1. Mandatory Access Control – MAC:
Điều khiển truy cập bắt buộc có tên Tiếng Anh là Mandatory Access
Control, viết tắt là MAC.
MAC là một phương tiện để hạn chế truy cập tới các đối tượng dựa vào
mức độ nhạy cảm ("Nhạy cảm" (sensitivity) ở đây phải hiểu là tầm quan trọng
đối với quân sự, hoặc mức độ bảo mật mà thông tin được phân hạng. Mức độ
nhạy cảm được chỉ định do ảnh hưởng lớn của nó nếu thông tin bị lọt ra
ngoài, hay rơi vào tay của một người có chức vụ thấp hơn) của dữ liệu được
chứa trong các đối tượng và quyền hạn ( ví dụ: sự cho phép sử dụng thông tin
bí mật mật - Clearance) của các chủ thể để truy cập thông tin nhạy cảm. Đồng
thời được dùng để bảo vệ và ngăn chặn các quy trình máy tính, dữ liệu, và các
thiết bị hệ thống khỏi sự lạm dụng.
Clearance là mức bảo mật để người dùng (hay phía Client) có thể truy
cập thông tin. Người ta thường chia Clearance thành 4 loại:
- Tối mật (Top Secret - T): Được áp dụng với thông tin mà nếu bị lộ có
thể dẫn đến những thiệt hại trầm trọng với an ninh quốc gia.
- Tuyệt mật (Secret - S): Được áp dụng với thông tin mà nếu bị lộ có thể
dẫn đến một loạt thiệt hại với an ninh quốc gia.
của đối tượng xác định mức độ tin cậy cần thiết để truy cập. Để truy cập một
đối tượng nhất định, chủ thể phải có một mức độ nhạy cảm bằng hoặc cao
hơn đối tượng yêu cầu).
Mac là kỹ thuật khả thi cho những hệ thống an ninh đa tầng cấp
(multilevel security systems). Một hệ thống đa tầng cấp là một hệ thống
máy tính duy nhất chịu trách nhiệm xử lý bội số các phân loại dưới nhiều tầng
cấp giữa các chủ thể và các đối tượng.
Xuất và nhập dữ liệu (Data import and export): Điều khiển việc nhập
Nhóm 8 – M01
Trang 20
Đồ án môn học: An toàn thông tin trên mạng máy tính
Đề tài: Kiểm soát truy nhập
thông tin từ một hệ thống khác và xuất thông tin sang các hệ thống khác (bao
gồm cả các máy in) là một chức năng trọng yếu trong các hệ thống sử dụng
điều khiển truy cập bắt buộc. Nhiệm vụ của việc xuất nhập thông tin là phải
đảm bảo các nhãn nhạy cảm được giữ gìn một cách đúng đắn và nhiệm vụ
này phải được thực hiện sao cho các thông tin nhạy cảm phải được bảo vệ
trong bất kỳ tình huống nào.
Có hai phương pháp được dùng phổ biến để áp dụng nguyên tắc điều
khiển truy cập bắt buộc:
- Điều khiển truy cập dùng chính sách (rule-based access control): Việc
điều khiển thuộc loại này định nghĩa thêm những điều kiện cụ thể đối với việc
truy cập một đối tượng mà chúng ta yêu cầu. Tất cả các hệ thống dùng điều
khiển truy cập bắt buộc đều thực hiện một hình thức đã được đơn giản hóa
ràng.
- Những yêu cầu của một kiến trúc trong đó đòi hỏi sự phân tách giữa dữ
liệu và các thao tác bên trong một máy tính bao gồm:
+ Không tránh né hoặc qua mắt được (non-bypassable).
+ Có thể đánh giá và so sánh được (evaluatable) (để xác định tính hữu
dụng và tính có hiệu lực của một chính sách).
+ Luôn luôn được khởi động do yêu cầu - không tự động (alwaysinvoked) (để ngăn ngừa việc tránh né những kiểm duyệt của hệ thống).
+ Chống can thiệp bên ngoài - như xáo trộn, giả mạo, quấy nhiễu v.v.
(tamper-proof).
II.1.2. DISCRETIONARY ACCESS CONTROL
- Điều khiển truy cập tùy quyền (discretionary access control - DAC) là
một chính sách truy cập mà chủ nhân của tập tin hay người chủ của một tài
nguyên nào đấy tự định đoạt. Chủ nhân của nó quyết định ai là người được
phép truy cập tập tin và những đặc quyền (privilege) nào là những đặc quyền
người đó được phép thi hành.
- Hai quan niệm quan trọng trong truy cập tùy quyền là:
+ Quyền sở hữu tập tin và dữ liệu (File and data ownership): Bất cứ
một đối tượng nào trong một hệ thống cũng phải có một chủ nhân là
người sở hữu nó. Chính sách truy cập các đối tượng là do chủ nhân tài nguyên
quyết định - những tài nguyên bao gồm: các tập tin, các thư mục, dữ liệu, các
tài nguyên của hệ thống, và các thiết bị (devices). Theo lý thuyết, đối tượng
nào không có chủ sở hữu thì đối tượng đó bị bỏ lơ, không được bảo vệ. Thông
thường thì chủ nhân của tài nguyên chính là người đã kiến tạo nên tài nguyên
(như tập tin hoặc thư mục).
Nhóm 8 – M01
Trang 22
Trong nội bộ một tổ chức, các vai trò (roles) được kiến tạo để đảm nhận
các chức năng công việc khác nhau. Mỗi vai trò được gắn liền với một số
quyền hạn cho phép nó thao tác một số hoạt động cụ thể (permissions). Các
Nhóm 8 – M01
Trang 23
Đồ án môn học: An toàn thông tin trên mạng máy tính
Đề tài: Kiểm soát truy nhập
thành viên trong lực lượng cán bộ công nhân viên (hoặc những người dùng
trong hệ thống) được phân phối một vai trò riêng, và thông qua việc phân
phối vai trò này mà họ tiếp thu được một số những quyền hạn cho phép họ thi
hành những chức năng cụ thể trong hệ thống.
Vì người dùng không được cấp phép một cách trực tiếp, song chỉ tiếp thu
được những quyền hạn thông qua vai trò của họ (hoặc các vai trò), việc quản
lý quyền hạn của người dùng trở thành một việc đơn giản, và người ta chỉ cần
chỉ định những vai trò thích hợp cho người dùng mà thôi. Việc chỉ định vai
trò này đơn giản hóa những công việc thông thường như việc cho thêm một
người dùng vào trong hệ thống, hay đổi ban công tác (department) của người
dùng.
RBAC khác với các danh sách điểu khiển truy cập (access control list ACL) được dùng trong hệ thống điều khiển truy cập tùy quyền, ở chỗ, nó chỉ
định các quyền hạn tới từng hoạt động cụ thể với ý nghĩa trong cơ quan tổ
chức, thay vì tới các đối tượng dữ liệu hạ tầng. Lấy ví dụ, một danh sách điều
khiển truy cập có thể được dùng để cho phép hoặc từ chối quyền truy cập viết
một tập tin hệ thống (system file), song nó không nói cho ta biết phương cách
cụ thể để thay đổi tập tin đó. Trong một hệ thống dùng RBAC, một thao tác
nhập. Phần gửi cần phải xác thực có thể là một người dùng sử dụng một máy
tính, bản thân một máy tính hoặc một chương trình ứng dụng máy tính
(computer program).
Những nhân tố chứng thực (authentication factors) dành cho con người
nói chung được phân loại theo ba trường hợp sau:
- Bạn là ai? (Who you are) là những cái mà người dùng sở hữu bẩm sinh
(chẳng hạn, khuôn mặt, vết lăn tay hoặc mẫu hình võng mạc mắt, chuỗi DNA,
mẫu hình về giọng nói, sự xác minh chữ ký, tín hiệu sinh điện đặc hữu do cơ
thể sống tạo sinh (unique bio-electric signals), hoặc những biệt danh sinh trắc
(biometric)).
- Cái bạn có (What you have) là những cái gì người dùng có (chẳng hạn,
chứng minh thư (ID card), chứng chỉ an ninh (security token), smart card,
key, chứng chỉ phần mềm (software token) hoặc điện thoại di động (cell
phone)).
- Cái bạn biết (What you know) là những gì người dùng biết (chẳng hạn,
mật khẩu, mật khẩu ngữ (pass phrase) hoặc số định danh cá nhân (personal
identification number - PIN)).
II.2.2.Username – Password:
Sự kết hợp của một user name và password là cách xác thực cơ bản nhất.
Với kiểu xác thực này, chứng từ ủy nhiệm User được đối chiếu với chứng từ
Nhóm 8 – M01
Trang 25
Copyright: Tài liệu đại học ©