An toàn mạng - Security

Nét đặc trưng chủ yếu của vấn đề an toàn mạng

Authentication (chứng thật): xác nhận nhận dạng người đang truy nhập mạng nhằm ngăn cản kẻ mạo danh truy nhập mạng đánh cắp, phá hoại tài nguyên trên mạng.

Authorization (sự cho phép): cấp phép cho người đã được nhận dạng truy xuất tới tài nguyên trên mạng nhằm ngăn cản người dùng vượt quá quyền hạn truy xuất tới những tài nguyên không được phép.

Tạo cách quản lý mạng đơn giản nhưng hiệu quả.

Những khả năng mới của Windows 2000 Server trong vấn đề an toàn mạng

Lưu trữ tập trung các thông tin về tài khoản và các chính sách an toàn mạng (Security Policy).

Tự động cập nhật và đồng bộ hóa các thông tin an toàn mạng tới tất cả các Domain Controller.

Chuyển tiếp (Transition) sự ủy thác giữa các Domain.

Có nhiều cơ chế xác nhận (Authentication) cho các User trong và ngoài mạng kể cả User của Windows NT.

Các kiểu an toàn mạng

User Authentication

Cho phép người dùng đăng nhập vào hệ thống và truy nhập tài nguyên mạng

Có hai tiến trình Authentication

• Interactive Logon: xác nhận người dùng đăng nhập vào máy tính cục bộ của User hay tới Domain.
• Network Authentication: xác nhận người dùng truy xuất tới bất kỳ dịch vụ mạng nào mà người dùng đang truy xuất tới.

Trong khi cố gắng xác nhận một người dùng Windows 2000 sử dụng các loại Authentication:

• Kerberros vs Authentication: cho phép người dùng đăng nhập kiểu tương tác (Interactive Logon). đây là loại xác nhận đăng nhập mặc định của Windows 2000 Server.
• NTLM (NT Lan Manager) Authentication: Windows 2000 Server sử dụng loại xác nhận này khi xác nhận các Client hay Server sử dụng các phiên bản trước Windows 2000.
• SSL/TLS (Sercure Sockets Layer/Tran Sport Layer Sercurity): được sử dụng khi người dùng truy nhập tới các Web Server.

Access Control

Là một kiểu thực hiện an toàn mạng thông qua việc cho phép (Authorization) người đã được nhận dạng truy nhập tới các tài nguyên mạng.

Loại truy nhập được xác định dựa vào User Rights và Permission.

User Rights

Nười quản trị mạng gán cho các nhóm, hay từng người dùng một số quyền hạn để thực hiện truy nhập tài nguyên mạng. User Rights có hai loại Privilege và Logon Rights.

Privilege

Một số đặc quyền giành cho người dùng thao tác trực tiếp.

• Add workstation to domain: cho phép bổ sung Server member.
• Backup files and directory: cho phép người dùng sao lưu hệ thống bất chấp quyền truy nhập ấn định trên tệp tin và thư mục.
• Bypass traverse checking: cho phép người dùng bỏ qua thư mục khi đang di chuyển theo một đường dẫn tới đối tượng, bất chấp quyền truy nhập áp đặt lên thư mục. Đặc quyền này không cho phép người dùng liệt kê nội dung thư mục.
• Change the system time: cho phép người dùng thay đổi giờ hệ thống.
• Create a page file: cho phép người dùng tạo và thay đổi kích thước tệp tin phân trang cho bộ nhớ ảo.
• Debug programe: cho phép người dùng tìm và sửa lỗi chương trình.
• Enable user and computer account to be trusted for delegation: cho phép người dùng và máy tính thay đổi hay áp dụng xác lập ủy quyền quản trị.
• Force shutsown of remote program: cho phép người dùng tắt máy từ một điểm xa trên mạng.
• Load and unload device driver: cho phép người dùng cài đặt và gỡ bỏ các trình điều khiển các thiết bị Pug and Play.
• Manag audiling and security log: cho phép người dùng định rõ các tùy chọn kiểm toán và truy nhập nhật ký bảo mật.
• Modify firmnare environment value: cho phép người dùng và quy trình sửa đổi các biến môi trường hệ thống.
• Profile a single process: cho phép người dùng giám sát hiệu suất của các quy trình không trực thuộc hệ thống.
• Profile system performance: cho phép người dùng giám sát hiệu suất của các quy trình hệ thống.
• Remove computer from docking station: cho phép tách rời khỏi mạng máy Laptop.
• Restore files and directories: cho phép người dùng phục hồi dữ liệu đã sao.
• Shutdown the system: cho phép người dùng tắt máy tính cục bộ.
• Synchronize directory service data: cho phép người dùng cập nhật thông tin Active directory.
• Take owner ship of files or orther object: cho phép giành từ người dùng khác quyền sở hữu tệp tin, thư mục.

Một số đặc quyền của người dùng thông qua một quy trình (process).

• Act as part of the operating system: cho phép một quy trình chứng thực và truy nhập tài nguyên.
• Create token object: cho phép quy trình tạo đối tượng token dùng để truy nhập tài nguyên cục bộ.
• Create petmanent shared object: cho phép các quy trình tạo, đối tượng thư mục trong trình quản lý thư mục Windows 2000 Server.
• Generate security audits: cho phép các quy trình ghi nhận sự kiện vào nhật ký bảo mật nhằm hỗ trợ kiểm toán hoạt động truy nhập đối tượng.
• Increase quota: cho phép tăng quota của đối tượng.
• Increase sheduling priority: cho phép các quy trình tăng mức độ ưu tiên thi hành trong lịch biến cấp cho quy trình khác.
• Replace a process-level token: cho phép quy trình thay thế thể bài mặc định cho các quy trình con.

Quyền đăng nhập (Logon rights)

• Access this computer from the network:  cho phép người dùng truy nhập tới máy tính từ mạng.
• Deny Access to this computer from network: từ chối yêu cầu truy nhập máy tính từ mạng.
• Deny logon an service: từ chối quyền đăng nhập.
• Deny logon locally: từ chối đăng nhập từ bàn phím.
• Logon as a batch job: đăng nhập từ tệp tin *.bat.
• Logon as a service: đăng nhập dưới dạng dịch vụ.

Permission

Đối với các đối tượng là User, Group, OU, ... gồm các Permission.

• Full controll.
• Read.
• Write.
• Create All Child Object.
• Delete All Child Object.

Tùy theo có được cho phép (Allow) hay từ chối (Deny) mà người dùng có khả năng tạo, thay đổi, quản lý đối tượng khác.

Đối với files-folder thì có hai loại Permission.

• Share Permission: cung cấp khả năng đọc (Read), thay đổi (Change), hay kiểm soát toàn bộ (Full Controll) khi thực hiện truy nhập tới thư mục được Share.
• File, directory Permission (đối với hệ thống NTFS): cung cấp khả năng thao tác trên tệp tin, thư mục.
• Full controll.
• Modify.
• Read & Execute.
• List folder contents.
• Read.
• Write.

Các kiểu an toàn mạng khác

Kiến trúc mạng

Một Domain là một nhóm các đối tượng như người dùng, nhóm và các máy tính. Tất cả các đối tượng của Domain được lưu trong Active Directory. Active Directory được đặt trong các Domain Controller của Domain.

Đặc điểm của Domain

• Có phạm vi an toàn mạng riêng (các quyền quản trị, chính sách an toàn, kiểm soát truy xuất) không ảnh hưởng tới Domain khác.
• Các chính sách an toàn mạng (Security Policy) có thể thực hiện khắp Domain.
• Các thông tin an toàn mạng được đồng bộ tới các Domain Controller.
• Các đối tượng (người dùng, nhóm, ...) được tổ chức quản lý ở cấp đơn vị ( Organization Unit).
• Có sự chuyển tiếp (Transition), sự ủy thác (Trust) giữa các Domain.

Do các đặc điểm trên của Domain, cho nên xây dựng hệ thống mạng theo kiến trúc Domain, tạo cho việc truy nhập mạng của người dùng được thuận lợi và bảo vệ an toàn cho mạng

Multi Master Domain

Trên môi trường mạng lớn, người ta thường tổ chức mạng theo kiểu nhiều Domain và mỗi Domain có Directory về tài khoản người dùng riêng. Các Domain cũng thường được tổ chức theo hai loại:

• Master Domain: chủ yếu lưu tài khoản người dùng, nhóm.
• Resources Domain: lưu tệp tin, máy in và các dịch vụ ứng dụng.

Trên môi trường mạng nhiều Domain hay còn được gọi là Multi Master Domain, thì các Resources Domain cần sự ủy thác đến tất cả các Master Domain để các User dễ dàng truy nhập tới các Resources Domain.

Chuyển tiếp sự ủy thác giữa các Domain

Đối với Windows NT 4.0 buộc người quản trị mạng phải xác lập bằng tay, sự ủy thác theo từng đôi giữa các Domain. Vì vậy tốn nhiều công trong việc xác lập sự ủy thác.

Đối với Windows 2000 Server sự ủy thác giữa các miền là tự động và ủy thác trên toàn bộ forest.

Vai trò của Server trên một Domain

Các Server trên một Domain có một trong hai vai trò sau:

Domain Controller: lưu giữ Active Directory và thực hiện dịch vụ về xác nhận người dùng, chính sách an toàn trong Domain.

Member Server: cung cấp dịch vụ, tệp tin, máy in và các dịch vụ ứng dụng khác.

Auditing

Sercurity Auditing là nét đặc trưng của Windows 2000 Server dùng để kiểm toán tất cả các sự kiện xảy ra trên mạng. Hệ thống kiểm toán cho phép nhận diện kẻ lạ mặt đang cố thử truy nhập mạng.

Thí dụ: dựa vào số lần thử truy nhập, mạng ngắt luôn sự truy nhập của tài khoản đó (treo máy buộc khởi động lại).

Các sự kiện có thể kiểm toán.

• Logon, Logoff của người dùng.
• Truy nhập tới tệp tin, thư mục.
• Thực hiện công tác quản trị người dùng, nhóm.

Chính sách an toàn mạng - Group Policy

Sự áp đặt môi trường và điều kiện làm việc cho người dùng khi đăng nhập mạng chẳng hạn như.

Thí dụ: người quản trị mạng có thể áp đặt người dùng làm việc trong điều kiện:

• Không thay đổi được Mode màn hình.
• Chỉ sử dụng được một số ứng dụng được chỉ định.
• Không sử dụng được một số chương trình (mặc dù có sẵn).
• Không cài đặt thêm được ứng dụng.
• Chấp nhận một số chương trình tự cài đặt từ Server.

Bảo vệ số liệu

• Mật mã hóa số liệu lưu trên đĩa.
• Mật mã hóa số liệu lưu thông trên mạng.