6/29/2011
1
CHNG 9
QUN LÝ TRUY CP: CHNG
THC & CP QUYN
ThS. Trn Bá Nhim
Website:
sites.google.com/site/tranbanhiem
Email: tranbanhiem@gmail.com
Ni dung
Gii thiu
Các k thut chng thc
Chng thc Microsoft .NET Passport
Hashing - Bm
SSL
Chng ch - Certificates
Server certificates
Client certificates
Cp quyn trong .NET
Bo mt mng doanh nghip
29/06/2011 Chương 9: Qun lý truy cp 2
6/29/2011
2
Gii thiu
Cho n hin nay, chúng ta vn tha nhn
hacker dùng phn mm nghe trm d liu,
nguy him hơn na là gi mo hoc ánh
la
Chương này trình bày nhng vn  phc
tp v vn  xác nhn ngư i ng
Các h th!ng chng thc phi có kh nng
kim tra h"p l chng ch và thông ip
không b# làm gi trưc, trong, sau khi n
29/06/2011 Chương 9: Qun lý truy cp 3
Gii thiu
Chương ư"c trình bày thành 4 phn:
Các h th!ng chng thc Microsoft như:
NTLM và .NET Passport
Các k thut phát hin gi mo
Cơ ch chng thc SSL cho d liu Web
Mt s! cơ ch chng thc có liên quan: phân
quyn .NET và tha k chng thc
29/06/2011 Chương 9: Qun lý truy cp 4
6/29/2011
3
Các k thut chng thc
$ bo m xác minh 1 client, ta cn phi
tin cy vào mt mnh thông tin là duy nht
xác #nh client ó và chúng không th d%
dàng xác #nh hoc gi mo (ví d&: IP,
Windows username/password, hoc mt
s! chng ch khác)
Các h th!ng chng thc ngn chn gi
mo chng ch nhưng không th bo v
ngư i dùng thiu c'n mt
29/06/2011 Chương 9: Qun lý truy cp 5
Các k thut chng thc
Vi m(i ng cnh s) có mt s! kiu chng
thc khác nhau.
Nu ta phát trin mt gii pháp cho 1 ISP thì
ISP có th xác #nh chính xác client nào da
trên #a ch IP và như vy dùng IP làm chng
ch.
Khi phát trin ng d&ng intranet trên
Windows ta có th tin cy vào quá trình ng
nhp Windows
Vi các d#ch v& Internet có th dùng t* h"p
tùy ch+n chng thc IIS hoc username/
password
29/06/2011 Chương 9: Qun lý truy cp 6
6/29/2011
4
Các k thut chng thc
Dng cơ bn và ph* bin là chng thc
b,ng cách kim tra h"p l IP, cho truy xut
thông tin nu IP thuc vùng nào ó
Cơ ch trên ư"c các ISP áp d&ng
IP spoofing (gi mo IP) có th làm tht
bi kiu chng thc này, nhưng c-ng
không phi d% dàng
29/06/2011 Chương 9: Qun lý truy cp 7
Chng thc IIS
Mc dù chúng ta tp trung vào các phn
mm c lp, tuy nhiên IIS luôn luôn là
mt la ch+n t!t
Dùng IIS s) giúp loi bt các vn  phc
tp, nht là ư"c dùng các cơ ch mã hóa
và chng thc do Microsoft cung cp
IIS5 cung cp 5 loi chng thc:
Anonymous, Basic, NT
challenge/response (NTLM), Integrated
Windows (Kerberos), Digest
29/06/2011 Chương 9: Qun lý truy cp 8
6/29/2011
5
Chng thc IIS
Dng cơ bn c.a chng thc IIS là
Anonymous. Client không có bt k/ chng
ch nào và ư"c t ng cp quyn IUSR
(guest): +c và ghi file
Basic: b0t buc client phi cung cp
chng ch 1 dng vn bn thô. Như"c
im:  bo mt thp. Tuy nhiên nu kt
h"p vi SSL thì ây là mt gii pháp
tương !i t!t
29/06/2011 Chương 9: Qun lý truy cp 9
Chng thc IIS
NTLM khá an toàn và không th b2 khóa
nu không có n( lc áng k
NTLM b1i mt vài nhân t! xác #nh
NTLM ư"c h( tr" trong IIS4 và tt c các
phiên bn Internet Explorer
Chng ch cung cp b1i client s) tương
ng vi mt tài khon c&c b trên server
29/06/2011 Chương 9: Qun lý truy cp 10