TOPIC B : Authentication Methods - Các Cơ Chế Xác Thực

Trong Bài Này Chúng Ta Sẽ Thảo Luận Về Các Phương Pháp Xác Thực Sau Đây:
Giao thức xác thực Kerberos
CHAP (Challenge Handshake Authentication Protocol)
Username/Password
Phương pháp xác thực dựa trên Sinh trắc học (Biometrics)
Thẻ bài  (Token)
Multi-Factor?
Mutual Authentication?

Quá trình xác thực nhằm chứng minh một người dùng trong quá trình tiếp cận tài nguyên hệ thống như đăng nhập hay truy xuất dữ liệu. Là một phần của quá trình Nhận dạng và xác thực (Identification & authentication - I&A) Nhận dạng là phương pháp người dùng báo cho hệ thống biết họ là ai (chẳng hạn như bằng cách dùng tên người dùng). Bộ phận nhận dạng người dùng của một hệ thống điều khiển truy cập thường là một cơ chế tương đối đơn giản, hoạt động chủ yếu dựa trên một hệ thống tên người dùng (username) hoặc chỉ danh của người dùng (userID). Trong trường hợp đối với một hệ thống hoặc một quy trình (process), việc nhận dạng thường dựa vào:

• Tên máy tính (computer name)
• Địa chỉ truy cập thiết bị (Media Access Control - MAC - address)
• Địa chỉ giao thức mạng (Internet Protocol - IP - address)
• Chỉ danh của quy trình (Process ID - PID)

Những yêu cầu nhận dạng đòi hỏi các chỉ danh dùng để nhận dạng:

• Phải là một định danh duy nhất dùng để chỉ định hay nhận dạng một người dùng (không được có hai người dùng hay hai thiết bị sử dụng cùng một tên, hay cùng một chỉ danh).
• Không thể dùng để xác định địa vị hay tầm quan trọng của người dùng trong một tổ chức - chẳng hạn không được có những nhãn hiệu chỉ cho biết người này là chủ tịch / giám đốc (president) hoặc là chủ tịch hội đồng quản trị (CEO).
• Tránh việc sử dụng các trương mục chung hoặc các trương mục dùng chung bởi nhiều người dùng, như trương mục gốc (root), trương mục của người quản lý (admin), hoặc trương mục của người quản lý hệ thống (sysadmin).
• Không nên dùng các trương mục không hỗ trợ việc quy trách nhiệm và chúng có thể trở thành những đối tượng béo bở cho bọn thâm nhập hệ thống bất hợp pháp.

Xác thực là một quy trình xác minh danh hiệu của một người dùng - chẳng hạn bằng cách so sánh mật khẩu mà người dùng đăng nhập với mật khẩu được lưu trữ trong hệ thống đối với một tên người dùng cho trước nào đó.
Quy trình xác thực dựa vào một trong ba yếu tố sau đây:

• Dựa vào những chi tiết mà ta biết trước, chẳng hạn như một mật khẩu, hoặc một số nhận dạng cá nhân (personal identification number - PIN) - đấy là chúng ta cho rằng người sở hữu trương mục biết mật khẩu hoặc số nhận dạng cá nhân (PIN) cần thiết để truy cập trương mục. Thuật ngữ mô tả của yếu tố này trong Security + là Something You Know.
• Dựa vào những gì mà chúng ta đã có, chẳng hạn như một cái thẻ thông minh (smart card) hoặc một dấu hiệu nào đó - đấy là chúng ta cho rằng người sở hữu trương mục sở hữu một cái thẻ thông minh, hoặc một dấu hiệu cần thiết để mở khóa trương mục. Trong Security+ thì yếu tố này được gọi là Something you Have.
• Dựa vào những gì mình sở hữu bẩm sinh, chẳng hạn như vết lăn tay, giọng nói, võng mạc mắt, hoặc những đặc tính của tròng đen trong mắt mình.

Các bạn cần ghi nhớ các thuật ngữ liên quan đến quá trình xác thực, cũng như những phương pháp được áp dụng cho tiến trình này ví dụ xác thực dựa trên Usernam / Password, phương pháp xác thực Password Authentication Protocol (PAP), Challenge Handshake Authentication Protocol (CHAP), Certificates, Security Tokens. Ở đây chúng ta sẽ thảo luận về những kỹ thuật xác thực quan trọng đó là Username/password, Kerberos, CHAP và Certificate, Biometric, Multifactor.

Username/Password
Phương pháp xác thực dựa trên username/password là cách thông dụng nhất để kiểm tra một người dùng có được quyền đăng nhập hoặc có quyền sử dụng hệ thống hay không. Các ứng dụng thực tế của co chế này có rất nhiều như việc đăng nhập máy tính trên màn hình logon, đăng nhập hộp thư điện tử…

Theo cơ chế này thì khi người dùng cung cấp định danh, thông tin tài khỏan của họ sẽ được chuyển đến một cơ sở dữ liệu để tìm và so sanh vơi các bản ghi hay record trên hệ thống, nếu có sự trùng lắp xảy ra thì đây là người dùng hợp lệ và được đăng nhập hệ thống. Trong trường hợp ngược lạ sẽ bị tùy chối truy cập. Những thuận lợi của phương pháp này là cơ chế họat động đơn giản, dễ ứng dụng. Nhưng đôi khi kém an tòan vì các thông tin như Username & Password gởi đi theo các giao thức không mã hóa như telnet, ftp, pop3 dễ dàng bị băt lấy và xem trộm.

Kerberos
Một trong những điểm yếu của việc xác thực thông tin đăng nhập không mã hóa (cleartext) là thông tin nhạy cảm dễ dàng  bị đánh cắp bằng các phương pháp sniffer, replay attack hay man in the miidle, vì vậy một hệ thống xác thực mạnh mẽ và an tòan đã được nghiên cứu bởi học viện MIT trong dự án Athena và ứng dụng thành công là Kerberos trên các hệ thống Windows 2000/2003, Linux, Unix. Mặc dù đây là một hệ thống họat động độc lập không phụ thuộc vào paltform nhưng cần có những sự tinh chỉnh riêng để có thể tương thích giữa các hệ thống ví dụ muốn áp dụng Kerberos để chứng thực cho hệ thống bao gồm Windows và Linux thì chúng ta cần có các dịch vụ hổ trợ chẳng hạn SAMBA.
Kerberos là giải pháp chứng thực tập trung với phần nhân là Key Distribution Center (KDC) có nhiệm vụ xác nhận định danh của người dùng và cấp phát quyền hạn truy cập thích hợp thông qua các ticket và cơ chế mã hóa thông tin an tòan.
Giải pháp xác thực third party Kerberos có độ tin cậy cao vì nó đóng vai trò trung gian giữa client / server, nếu client và server cùng được ủy quyền (trust) bởi KDC thì client và server cũng có thể trust nhau.
Security365 cũng nhắc lại một lần nữa, một trong những đặc tính quan trọng của Kerberos và rất hay được đề cập trong kỳ thi của Security+ hay các kỳ thi chứng chỉ bảo mật quốc tế khác là tính năng Single Sign On (SSO).  Với đặc tính  này, người dùng chỉ cần chứng thực một làn với KDC và sau đó có thể sử dụng tất cả các dịch vụ khác đã được trust theo những quyền hạn thích hợp mà không cần phải tiến hành chứng thực lại với máy chủ hay dịch vụ mà mình sử dụng. Ví dụ trong mô hình Windows Server 2003 Active Directory, sau khi join và log in domain các domain user có thể sử dụng các dịch vụ chia sẽ trên mạng như File hay Print Server mà không cần phải cung cấp username và password khi kết nối đến các máy chủ này như khi họat động trong môi trường WorkGroup. Đây là một ưu điểm lớn của việc ứng dụng Kerberos nói chúng hay mô hình mạng sử dụng Active Directory nói riêng.

Các bạn có thể tham khảo sơ đồ chứng thực dựa trên Kerberos sau đây:

1. Subject (người dùng) cung cấp thông tin đăng nhập ví dụ username và password.
2. Hệ thống Kerberos client tiến hành mã hóa password với thuật tóan Data Encryption Standard (DES) sau đó truyền các thông tin đã được mã hóa đến KDC.
3. KDC sẽ xác nhận thông tin đăng nhập này và tạo một Ticket Granting Ticket (TGT— là giá trị hash của password do người dùng (subject)  cung cấp với giá trị timestamp chỉ định thời gian sống (lifetime) của phiên truy cập. Giá trị TGT này sẽ được mã hóa và gởi về cho client.
4. Client nhận TGT. Tại thời điểm này, người dùng (subject) xem như đã được chứng thực trong mô hình Kerberos realm.
5. Khi người dùng có nhu cầu truy cập đến tài nguyên trên mạng, thì một yêu cầu Service Ticket (ST) sẽ được gởi đến KDC.
6. KDC xác nhận giá trị TGT của client xem có còn hợp lệ không, nếu hợp lệ KDC sẽ cấp ST cho client, giá trị ST này cũng kèm theo một timestame quy định thời gian sử dụng.
7. Client nhận ST từ KDC.
8. Client gởi ST đến network server cung cấp các dịch vụ cần truy cập, ví dụ printe server.
9. Network server (ex. Print server) se xác nhận ST. Nếu hợp lệ, một kênh truyền thông sẽ được khởi tạo với client. Tại thời điểm này Kerberos sẽ không can thiệp vào quá trình họat động của client và server nữa.

Dưới đây là hình minh họa quá trình xác thự và truy cậo tài nguyên với Kerberos.

Quá trình chứng thự bằng kerberos.

Với cơ chế quản lý chứng thực tập trung và có khả năng mở rộng, Kerberos mang lại hiệu quả cao cho các mô hình mạng lớn. Trên hệ thống Windows OS, các bạn có thể áp dụng Kerberos cho tổ chức của mình bằng cách triển khai hệ thống Active Directory. Các bạn có thể tham khảo video demo quá trình cài đặt Domain Controller trên Windows Server 2003 tại địa chỉ www.security365.biz

Challenge Handshake Authentication Protocol (CHAP)
CHAP là giao thức chứng thực được dùng chủ yếu trong các kết nối dial-up (thường là PPP) với mục đích cung cấp một cơ chế truyền thông an tòan cho quá trình đăng nhập của người dùng. CHAP sử dụng one-way hash để bảo vệ passwords và tiến hành reauthenticates với các client một cách định kỳ.

                                                        Mô hình xác thực CHAP             

Để hổ trợ quá trình đăng nhập và giúp cho client/server có thể xác thực lẫn nhau CHAP khởi tạo một tiến trình xác thực của riêng nó theo trình tư như mô tả dưới đây:

(Security365 Tip: các bạn cần nắm vững 6 bước trong quá trình chứng thực của CHAP, đây là câu hỏi thường gặp trong kỳ thi chính thực của Comptia SECURIY+)

1. Sau khi người dùng nhập các thông tin đăng nhập và gởi đến server (client / server đều sử dụng CHAP) , CHAP sẽ tiến hành  chức năng one-way hash (MD5) dựa trên password được cung cấp của người dùng (subject). Sau đó sẽ chuyển username và giá trị hash đến authentication server.
2. Authentication server so sánh username với cơ sở dữ liệu chứa tài khỏan cùng với giá trị hash để xác nhận người dùnh có hợp lệ hay không.
3. Nếu quá trình so sánh có sự trùng khớp giữa thông tin được gởi từ client với cơ sở dữ liệu trên server thì server sẽ truyền một chuổi challenge (thử thách) đến client.
4. Client đáp ứng dựa trên chalenge strinh và phản hồi đền server.
5. Server phản hồi lại client.
6. Server so sánh các đáp ứng mà nó nhận từ client.
7. Nếu  tất cả đều trùng khớp người dùng sẽ được chứng thực và cho phép truyền thông với server

Hình minh họa quá trình xác thực của CHAP

Một khi client đã được chứng thực, CHAP sẽ gởi các chuổi ký tự thử thách với thời gian ngẫu nhiên và client có nhiệm vụ phản hồi lại các chuỗi này với các đáp ứng thích hợp nếu không kết nối sẽ tự động ngắt. Việc kiểm tra kết nối thông qua các challenge string này giúp cho quá trình truyền thông không bị ảnh hưởng bởi các dạng tấn công Session Hijacking.

Token
Token hay thẻ bài là một thành phần vật lý như smartcard lưu giữ các thông tin xác thực của người dùng. Trong các thẻ bài này sẽ chứa các thông tin như mã PIN của người dùng, thông tin và mật mã đăng nhập.

Biometrics
Nếu như các bạn thấy những câu hỏi trong kỳ thi chứng chỉ quốc tế của mình là phương pháp xác thực nào là an tòan nhất nhưng cũng tôn kém nhất thì đáp án chính là Biometrics, phương pháp xác thực dựa trên sinh trắc học. Phương pháp này sẽ xác thực người dung dựa trên dầu vân tay, mắt, giọng nó hay khuôn mặt của người dùng

Multi-Factor Authentication
Multi-Factor Authentiaction hay xác thực đa yếu tố là một phương pháp xác thực dựa trên 2 hay nhiều yếu tố của đối tượng.

Một ví dụ điển hình của cơ chế xác thực này là khi các bạn muốn rút tiền từ các trạm ATM thì chúng ta cần có ít nhất 2 thành phần để máy ATM xác thực đo là thẻ ATM và mã PIN đăng nhập của bạn

Mutual Authentication
Mutua Authentication là một kỹ thuật xác thực mà cả hai phía đều có thể xác nhận lẫn nhau , đầu tiên một dịch vụ hay tài nguyên sẽ xác nhận các thông tin của client hay người dùng, máy trạm sau đó client sẽ xác nhận các đặc tính của máy chủ hay nơi cung cấp dịch vụ. Mục đích của việc làm này là ngăn ngừa các client cung cấp thông tin nhạy cảm của mình cho các dịch vụ thiếu tin cậy.

Như vậy, trong phần này các bạn cần nắm rõ các phương pháp xác thực như CHAP, Kerberos hay Biometric, Token,…Đây là những chủ để mà các chuyên gia bảo mật hệ thống mạng cần nắm vững. Ngoài ra các khái niệm như Who you are? What you have? Và What you know? Cũng thường được đề cập. Trước khi qua bài tiếp theo các bạn hãy trả lời các câu hỏi sau đây và gởi về cho các Instructor.

ACTIVITY 1-2

1. Chuck works at a bank. To access the vault containing safe-deposit boxes, he inserts
his employee ID card into a special card reader. This is an example of:
a) CHAP
b) Biometrics
c) Token-based authentication
d) Mutual authentication

2. To access the main bank vault, Chuck places his index finger on a fingerprint reader.
This is an example of:
a) Password authentication
b) Token-based authentication
c) Biometrics
d) Multi-factor authentication

3. To withdraw money from an automatic teller machine, Nancy inserts a card and types
a four-digit PIN. This incorporates what types of authentication?
a) Token-based
b) Password
c) Biometrics
d) Multi-factor
e) Mutual

4. What is the best description of Kerberos authentication?
a) A scheme that relies on a central server to authenticate users and provide service
tickets.
b) A scheme that relies on transmission of password hash values between the client and
server.
c) A scheme that relies on a user’s physical characteristics.
d) A scheme that requires a supplemental numeric value generated by a special device.

5. What is the best description of CHAP authentication?
a) A scheme that relies on a central server to authenticate users and provide service
tickets.
b) A scheme that relies on transmission of password hash values between the client and
server.
c) A scheme that relies on a user’s physical characteristics.
d) A scheme that requires a supplemental numeric value generated by a special device.

6. True or False? A benefit of mutual authentication is to protect clients from authenticating
to unauthorized systems.
True
False

Câu hỏi từ Security365 : hãy nêu các ví dụ về những phương pháp xác thực đã nêu trong thực tế (lấy ví dụ khác với bài học)