Luận văn: Xây dựng phần mềm báo điểm tuyển sinh qua mạng

CƠ CHẾ BẢO MẬT DỮ LIỆU 3.1.Lựa chọn cổng lắng nghe. Mặc định thì slapd sẽ lắng nghe tất cả các địa chỉ IP thế hệ IV và thế hệ VI. Việc thiết lập cặp địa chỉ IP và cổng lắng nghe cho slapd là đơn giản.
Nội dung trích xuất từ tài liệu:
Luận văn: Xây dựng phần mềm báo điểm tuyển sinh qua mạng Luận ánXây dựng phần mềmbáo điểm tuyển sinh qua mạngCHƯƠNG III : CƠ CHẾ BẢO MẬT DỮ LIỆU3.1.Lựa chọn cổng lắng nghe. Mặc định thì slapd sẽ lắng nghe tất cả các địa chỉ IP thế hệ IV và thế hệ VI. Việc thiết lập cặp địa chỉ IP và cổng lắng nghe cho slapd là đơn giản. Ví dụ, chúng ta dùng lệnh sau: Slapd –h ldap://127.0.0.1 Chỉ cho phép ldap lắng nghe trên địa chỉ 127.0.0.1 (địa chỉ localhost). Việc này sẽ không cho phép việc truy cập từ xa đến các server có dịch vụ thư mục. Các server có thể được cấu hình để lắng nghe trên một địa chỉ giao diện đặc biệt. Chúng ta không cần giới hạn việc truy cập của những mạng có thể truy cập được nhờ giao diện đó đến server. Để giới hạn có lựa chọn việc truy cập từ xa, chúng ta nên sử dụng IP Firewall (Bức tường lửa IP).3.2. Cơ chế truyền dữ liệu (IP Firewall). Cơ chế truyền dữ liệu được sử dụng để giới hạn việc truy cập dựa trên điạ chỉ IP của máy khách và địa chỉ mạng được sử dụng để giao tiếp với máy khách. Mặc định slapd(8) sẽ lắng nghe trên cổng 389/TCP (cổng 389: thuần văn bản) đối với LDAP dùng giao thức TCP và cổng 636/TCP (cổng 636: SSL đã bảo mật) đối với LDAP dùng giao thức SSL. Lưu ý các phiên làm việc của LDAP dùng giao thức TCP có thể được bảo vệ bằng TLS thông qua việc sử dụng StartTLS. StartTLS là cơ chế tìm dấu vết chuẩn (Standard Track) để bảo vệ các giao dịch LDAP với TLS. ** Tài liệu phần này lấy ở trang web http://www.openldap.org mục :10. Security Considerations 10.1 Network Security Trang 49 Cấu hình của Bức tường lửa IP phụ thuộc vào từng loại bức tường lửa được sử dụng, do đó chúng tôi không cho ví dụ về vấn đề này. Để biết thêm chi tiết hãy xem tài liệu đi kèm với Bức tường lửa IP mà bạn sử dụng.  Bảo vệ tính toàn vẹn và tính riêng tư Cơ chế bảo mật tầng vận chuyển (TLS) có thể được sử dụng để bảo vệ tính toàn vẹn và tính riêng tư. Phần mềm OpenLDAP hỗ trợ cả StartTLS và ldaps://. Một số các cơ chế Xác Thực Đơn Giản và Tầng bảo mật (SASL) ví dụ như DIGEST-MD5 và GSSAPI, cũng hỗ trợ việc bảo vệ tính toàn vẹn và riêng tư. Xem chương Cách sử dụng SASL để biết thêm chi tiết.3.3 Trình bao bọc TCP. Phần mềm OpenLDAP cũng hỗ trợ trình bao bọc TCP (TCP Wrappers). Trình bao bọc TCP cung cấp một hệ thống dựa trên các nguyên tác truy cập dùng để kiểm soát các truy cập TCP/IP đến máy server. Ví dụ, nguy ên tác host_options(5): Slapd: 10.0.0.0/255.0.0.0 127.0.0.1 /etc/host.allow /etc/host.deny Nguyên tác này chỉ cho phép các kết nối đến từ mạng có địa chỉ là 10.0.0.0 và địa chỉ localhost (127.0.0.1) được phép truy cập dịch vụ thư mục. Lưu ý các địa chỉ IP được sử dụng như slapd không hỗ trợ việc truy cập ngược (có nghĩa là đổi tên miền thành địa chỉ IP). Hơn nữa, trình bao bọc TCP đòi hỏi các kết nối đã được chấp nhận. Khi quy trình đặc biệt được sử dụng chỉ để từ chối một kết nối thì nên sử dụng Bức tường lửa IP thay thế cho trình bao bọc TCP *** * Tài liệu phần này lấy ở trang web http://www.openldap.org mục10. Security Considerations 10.1 Network Security Trang 503.4. Các nhân tố tăng cường tính bảo mật (SSF) Các máy chủ sử dụng nhân tố tăng cường tính bảo mật (SSF) để chỉ ra sức mạnh tương đối của việc bảo vệ. SSF mức độ 0 có nghĩa l à không có cơ chế nào được sử dụng. SSF mức độ 1 có nghĩa là cơ chế bảo vệ tính toàn vẹn được sử dụng. SSF có mức độ lớn hơn 1 tương đương với chiều dài mã hóa khóa. Ví dụ như DES có chiều dài là 56, 3DES có chiều dài 112 và AES là 128, 192 hoặc 256. Số lượng các điều khiển hệ thống phụ thuộc vào nhân tố tăng cường tính bảo mật SSF được sử dụng cùng với TLS và SASL trong một phiên làm việc của LDAP. Các điều khiển bảo mật sẽ vô hiệu hóa các hoạt động khi không có một c ơ chế bảo vệ thích hợp được sử dụng. Ví dụ : Security ssf=1 update_ssf=112 Lệnh này đòi hỏi cơ chế bảo vệ toàn vẹn đối với tất cả các hoạt động và sự bảo vệ mã hóa. Do đó 3DES sẽ thích hợp cho các thao tác cập nhật (ví dụ như thêm, sửa và xóa). Xem file slapd.conf để biết thêm chi tiết.3.5.Các phương thức chứng thực 3.5.1.Phương thức đơn giản Phương thức chứng thực đơn giản của LDAP gồm có 3 kiểu hoạt sđộng:  Kiểu vô danh  Kiểu không chứng thực  Kiểu chứng thực tên user và ...