“ Add your company slogan ”

COMPTIA
SECURITY+ SY0-601

Lecturers: Đào Thương Hưởng

(CCNP, CISA, Comptia Security+,

Network+, CHFI, Data Analyst)

LOGO
1.Kích hoạt xác thực đa yếu tố

*Identification and AAA

- Các nhận biết
- Xác thực
- Uỷ quyền
- Kế toán
Kiểm toán
*QUICK REVIEW

- Nhận dạng và xác thực cho phép

uỷ quyền trên hệ thống
- Kế toán là quá trình kiểm tra hoặc
hạch toán các hoạt động của người
dùng khi họ đang ở trên 1 hệ thống
- Xác thực đa yếu tố (MFA) an toàn
hơn xác thực đơn yếu tố
2. Authorization (cho phép, uỷ quyền)

*Uỷ quyền, cấp phép

- Tài nguyên
Các mục tiêu có quyền được áp
dụng cho chúng
Example: files database rows, Web
app
2. Authorization (cho phép, uỷ quyền)

*Kế toán / Kiểm toán

- Theo dõi việc sử dụng quyền cho
các mục đích trách nhiệm
- Ai hoặc cái gì đã truy cập tài
nguyên nào, trong bao lâu, vào ngày
nào?
QUICK REVIEW

- Uỷ quyền dựa trên các quyền được

cấp cho người dung hoặc tổ chức
- Việc uỷ quyền chỉ có thể xảy ra sau
khi được xác thực
- Kế toán gắn liền với xác thực trong
đó hoạt động của người dung được
kiểm tra dựa trên những gì người
dung có quyền thực hiện trên hệ thống
3.Accounting

- Thường được gọi là kiểm toán

- Theo dõi hoạt động
- Phải có tài khoản người dung riêng
biệt cho từng người dùng
- Các hình thức kiểm toán
Quyền truy cập tài nguyên
Lần đăng nhập không thành công
Các thay đổi đối với tệp / bản ghi cơ
sở dữ liệu
*QUICK REVIEW

- Kế toán (hoặc kiểm toán) là quá

trình theo dõi hoạt động của người
dung trên một hệ thống
- Các tài khoản người dùng riêng
biệt rất quan trọng để đảm bảo tính
toán chính xác
- Nhật ký sự kiện (hoặc kế toán) có
thể được sử dụng để xác định hoạt
động bất thường hoặc độc hại
4. Authentication Methods (Phương pháp xác thực)

- Tên người dùng/mật khẩu

Rủi ro bảo mật vì chúng đều là thứ
bạn biết và có thể đoán được
Cũng là một rủi ro bảo mật vì mật
khẩu phổ biến vẫn được sử dụng rộng
rãi
- Giảm thiểu là sử dụng các mật khẩu
khác nhau cho mỗi tài nguyên
4. Authentication Methods (Phương pháp xác thực)

- Kho mật khẩu

Còn được gọi là “Trình quản lý mật
khẩu”
Example: LastPass, Cloud-based
vaults to store password keys (Dựa trên
đám mây để lưu trữ khoá mật khẩu)
Một khoá chính bảo vệ kho tiền
.Đừng quên nó !
One-Time Password (OTP)

- Mật khẩu (mã) duy nhất được tạo để

sử dụng một lần
Mã tĩnh được gửi qua Email hoặc tin
nhắn SMS
- OTP dựa trên thời gian (TOTP)
Mã chỉ có hiệu lực trong một khoảng
thời gian ngắn
Example: OTP-demo
One-Time Password (OTP)

- Phương thức thông báo phần mềm

(thông báo đẩy)
Gọi điện
Dịch vụ tin nhắn ngắn (SMS) văn
bản
E-mail
One-Time Password (OTP)

- Mật khẩu một lần dựa trên HMAC

(HOTP)
HMAC mã hoá hàm băm để đảm
bảo tính xác thực
Xác thực dựa trên chứng chỉ

- Chứng chỉ PKI được cấp bởi một cơ

quan đáng tin cậy cho một tổ chức cá
nhân
Thiết bị, VPN, quyền truy cập ứng dụng
Có thể được lưu trữ trên thẻ thông minh
.Gọi là thẻ xác minh danh tính cá nhân
(PIV)
.Thẻ truy cập phổ biến(CAC) có thể xác
thực mọi thứ
SSH Xác thực khoá công khai

- Đăng nhập bằng tên người dung

và mật khẩu (cụm mật khẩu) cũng
như khoá riêng tư
- Khoá công khai được lưu trữ trên
máy chủ
- Khoá cá nhân được lưu trữ trên
thiết bị quản trị
Sinh trắc học

- Vân tay
- Võng mạc
- Mống mặt
- Mặt
- Giọng nói
- Tĩnh mạch
- Phân tích hành trình
Sinh trắc học

- Tỷ lệ hiệu quả
Chấp nhận sai
Từ chối sai
Tỷ lệ lỗi chối
QUICK REVIEW

- Kho mật khẩu cung cấp khả năng lưu trữ mật
khẩu tập trung và được bảo vệ bằng khoá
chính
- Mật khẩu dung một lần (OTP) là mã sử dụng
một lần được sử dụng để tang cường xác
thực
- OTP dựa trên thời gian được gọi là TOTP
- OTP dựa trên HMAC (HOTP) sử dụng mã
hoá để xác thực thêm
- Xác thực sinh trắc học sử dụng các đặc điểm
vật lý để xác thực mọi người.
05. Access Control Schemes (Kiểm soát truy cập)

*Chính sách thông tin xác thực

- Xác định ai có quyền truy cập vào
những gì
Người lao động
Nhà thầu
Thiết bị
Tài khoản dịch vụ
Tài khoản quản trị viên/gốc
.Quản lý truy cập đặc quyền (PAM)
Kiểm soát truy cập dựa trên thuộc tính(ABAC)

- Sử dụng các thuộc tính để xác định

quyền
Example: ngày sinh hoặc loại thiết bị
Kiểm soát truy cập dựa trên vai trò (RBAC)

- Vai trò là một tập hợp các quyền liên

quan
- Những người đóng vai trò nhận được
quyền của vai trò
Kiểm soát truy cập dựa trên quy tắc (RBAC)

- Sử dụng chính sách truy cập có điều

kiện
- Examples
MFA (Xác thực đa yếu tố)
Loại thiết bị
Vị trí
Kiểm soát truy cập bắt buộc (MAC)

- Tài nguyên được gắn nhãn

Thiết bị, tệp, cơ sở dữ liệu, cổng mạng,
v.v.
- Việc chỉ định quyền dựa trên nhãn tài
nguyên và giải phóng mặt bằng bảo mật
Kiểm soát truy cập tuỳ ý (DAC)

- Người quản lý dữ liệu đặt quyền theo

quyết định của họ
Kiểm soát truy cập vật lý

- Quyền truy cập cơ sở hạn chế

- Examples
Tiền đình kiểm soát ra vào, khoá cửa,
thẻ tiệm cận, chìa khoá,v.v.
QUICK REVIEW

- Chính sách thông tin xác thực xác định cách

quản lý và sử dụng thông tin đăng nhập để truy
cập tài nguyên
- Quyền tài nguyên có thể dựa trên thuộc tính
người dung và thiết bị (ABAC), quy tắc (RBAC)
hoặc vai trò (RBAC)
- Quyền tài nguyên cũng có thể được kiểm soát
thông qua nhãn và mức xoá bảo mật (MAC)
hoặc do người quản lý tài nguyên (DAC) thiết lập
- Các phương pháp kiểm soát truy cập vật lý bao
gồm tuyến kiểm soát truy cập, khoá cửa, truy
cập cơ sở hạn chế
06. Quản lý tài khoản

* Tài khoản người dùng

- Tài khoản duy nhất cho mỗi người dùng
- Phân quyền cho các nhóm
- Nguyên tắc đặc quyền ít nhất
- Kiểm tra tài khoản người dùng
- Khuyến tật
Quản lý tài khoản

- Quyền/Đặc quyền
- Các loại tài khoản
Người dùng, thiết bị, dịch vụ
Quản trị viên/ người chủ (root)
Đặc quyền
Khách mời
Chính sách tài khoản

- Giới thiệu nhân viên

- Chính sách mật khẩu
Sự phức tạp
Lịch sử
Tái sử dụng
Chính sách tài khoản

- Vị trí địa lý
Vị trí của người dùng
Định vị địa lý
.Vị trí địa lý của người dùng xác định quyền truy
cập tài nguyên
Gắn thẻ địa lý
Thêm siêu dữ liệu vị trí vào tệp và bài đăng trên
mạng xã hội
- Thời gian di chuyển không thể
- Đăng nhập rủi ro
Trước tiên cần phải có 1 đường cơ bản về hoạt
động bình thường
QUICK REVIEW
- Các loại tài khoản người dung khác nhau có
thể có các chính sách tài khoản khác nhau
được áp dụng
- Mỗi người dùng phải có tài khoản riêng của
họ chỉ với các quyền cần thiết để thực hiện
các nhiệm vụ công việc
- Chính sách mật khẩu kiểm soát độ phức tạp,
lịch sử và hết hạn của mật khẩu
- Chỉ định quyền cho các nhóm có thể mở
rộng
- Định vị địa lý sử dụng vị trí thực tế của thiết
bị để xác định quyền truy cập tài nguyên
07.Network Authentication (Xác thực mạng)

*Giao thức xác thực mạng

- Giao thức xác thực mật khẩu (PAP)
Lỗi thời
Truyền văn bản rõ ràng
- Giao thức xác thực bắt tay thử thách
của Microsoft (MS-CHAPv2)
Microsoft New Technology LAN Manager (NTLM)

*Trình quản lý mạng LAN công nghệ mới

của Microsoft
- Thay thể giao thức LANMAN cũ hơn
- Được sử dụng trên máy tính nhóm làm
việc Windows
- Hàm băm mật khẩu với NTLN không bị
đầy tràn
- Mật khẩu NTLM v2 bị tràn
Kerberos

- Xác thực Active Directory của Microsoft

- Trung tâm phân phối chính của
Kerberos (KDC)
- Dịch vụ xác thực (AS)
- Ticket-Granting Service (TGS)
- Ticket-Granting Ticket (TGT)
Extensible Authentication Protocol (EAP)

*Giao thức xác thực có thể mở rộng

- Khung xác thực mạng
- Examples
Xác thực chứng chỉ PKI
Xác thực thẻ thông minh
- Sử dụng giao thức vận chuyển TLS
Áp dụng cho mạng có dây và không dây
IEEE 802.1x

- Kiểm soát truy cập dựa trên cổng

- Xác thực máy chủ RADIUS tập trung
- Thiết bị biên mạng có dây và không dây
Chuyển mạch Ethernet
Bộ định tuyến Wifi
Thiết bị VPN
Remote Access Dial-in User Service (RADIUS)

*Dịch vụ người dùng quay số truy cập từ

xa
- Xác thực tập trung
- Máy khách RADIUS
Chuyển mạng
Thiết bị VPN
Bộ phát wifi
- Hỗ trợ RADIUS
RADIUS Variations

*Các biến thể RADIUS

- Hệ thống kiểm soát truy cập bộ điều
khiển truy cập đầu cuối (TACACS)
- Hệ thống kiểm soát truy cập bộ điều
khiển truy cập đầu cuối Plus (TACACS+)
- TACACS mở rộng (XTACACS)
QUICK REVIEW

- PAP và MS-CHAPv2 là các giao thức xác thực

mạng cũ hơn
- NTLM được sử dụng để xác thực trong môi
trường nhóm làm việc Windows
- Kerberos được sử dụng để xác thực và truy
cập tài nguyên trong môi trường Active
Directory
- Giao thức xác thực mở rộng (EAP) là một
khung xác thực hỗ trợ nhiều tiêu chuẩn xác thực
- RADIUS sử dụng máy chủ xác thực thực tập
trung gian làm xác thực
08. Hệ thống quản lý danh tính

*Đăng nhập một lần (SSO)

- Thông tin đang nhập của người dùng
không được yêu cầu sau khi xác thực
ban đầu
- Giao thức
OpenID
OAuth
Liên kết danh tính

- Nhiều tài nguyên tin cậy một nguồn xác

thực duy nhất
- Nhà cung cấp danh tính đáng tin cậy
tập trung (IdP)
Được nhà cung cấp tài nguyên (RP) tin
cậy
Liên kết danh tính

- Ngôn ngữ đánh dấu xác nhận bảo mật

(SAML)
Mã thông báo SAML là mã thông báo
bảo mật kỹ thuật số chứng minh danh
tính
QUICK REVIEW

- SSO cho phép người dùng đăng nhập

một lần nhưng vẫn truy cập nhiều dịch vụ
mà không cần nhập lại thông tin đăng
nhập
- Liên kết danh tính sử dụng nhà cung
cấp danh tính tập, đáng tin cậy cung cấp
mã thông báo xác thực được sử dụng
bởi các tài nguyên khác như các trang
Web
 “ Add your company slogan ”

CHIA SẺ ĐỂ THÀNH CỒNG

LOGO