【CISSP备考】第五章-身份与访问管理

管理身份与身份验证

控制对资产的访问：信息、系统、设备、设施、人员

主体、客体

CIA三性和访问控制

CIA：保密性、完整性、可用性

访问控制类型

预防性访问控制：栅栏、锁、生物识别、陷阱

检测访问控制：在事后发生、并且在发生后才能发现活动

纠正访问控制

威慑、恢复、指示、补偿、管理、逻辑/技术、物理控制

比较身份识别和身份验证

身份识别、身份验证

授权和问责

身份验证因素：你知道什么、你拥有什么、你做了什么

密码：创建强密码、密码历史（两种密码换来换去），密码短语、认知密码（生日是什么时候）

智能卡和令牌：智能卡、令牌（令牌设备或硬件令牌）、两步身份验证（HOTP：基于hmac的一次性密码，TOTP：基于时间的一次性密码标准）

生物识别技术

指纹、面部扫描

视网膜扫描（眼睛后部的血管模式）

虹膜扫描（聚焦于瞳孔周围的彩色区域）

手掌扫描、手部几何图形、心脏/脉冲模式、语音识别模式、签名动态（笔画图案）、击键模式

生物特征因素误差等级：

错误拒绝率：1型错误

错误接受率：2型错误

生物识别登记

多因素身份验证：

设备验证：

服务身份验证：

实施身份管理：

身份管理技术通常分为两类：集中式和分散式/分布式

集中式：意味着所有授权验证都由系统内的单个实体执行

分散式：意味着位于整个系统中的各种实体执行授权验证

单点登录：

1、LDAP和集中访问控制：集中数据库包含主体和客体信息

2、LDAP和PKI

3、Kerberos：

使用aes对称加密、保护完整性和保密性，有助于防止窃听和重放

秘钥分发中心（KDC）：使用对称加密验证客户端到服务器、所有客户端和服务器都在kdc进行注册

kerberos身份验证服务器：托管KDC的功能：票据授予服务（TGS）（可在另一台服务器上托管）、和身份验证服务（AS）

票据授予票据（TGT）

票据：一种加密消息，提供主体有权访问客体的证据

kerberos登录过程如下：

1、用户在客户端输入用户名和密码

2、客户端使用AES对称加密用户名传输到KDC（秘钥分发中心）

3、KDC根据已知凭据的数据库验证用户名

4、KDC生成将由客户端和kerberos服务端使用的对称秘钥，使用用户密码的散列，并且对此加密，同时生成带时间戳的TGT

5、然后、KDC将加密的对称秘钥和加密的时间戳的TGT发送到客户端

6、客户端安装TGT以供使用直到过期，客户端使用用户密码的散列来解密对称秘钥

客户端访问客体时：

1、客户端将其TGT发送回KDC，并且请求访问该资源

2、KDC验证TGT是否有效，并且检查其访问控制矩阵，以验证用户是否有权限访问所请求的资源

3、KDC生成服务票据并将其发送客户端

4、客户端将票据发送到托管资源的服务器或者服务

5、托管资源的服务器验证服务票据的有效性

6、验证身份和授权后，kerberos活动即完成

联合身份管理：和SSO

联合身份管理主要解决的是不同的公司之间进行身份验证的问题，比如不同的公司的应用系统具有不同的操作系统不同的编程语言，但他门仍然需要进行共享共同语言：

超文本标记语言：HTML

可扩展标记语言：XML

安全断言标记语言：SAML

服务配置标记语言

可扩展访问控制标记语言（XACML）：

OAuth2.0

OpenID

OPenID连接

联合身份管理（FIM）这是一种SSO形式

联合身份系统通常使用安全断言标记语言（SAML）/服务配置标记语言（SPML）

凭据管理系统：为用户提供存储空间、以便SSO不可用时保留其凭据

集成身份服务：身份即服务（IDAAS）是提供身份和访问管理的第三方服务，有效的为云提供SSO

管理会话：使用任何类型的身份验证系统时，管理会话以防止未经授权的访问都非常重要（台式电脑的屏幕保护程序）

AAA协议：有几种协议提供身份验证、授权和问责，称为AAA协议，他们通过远程访问系统（如VPN和其他类型的网络访问服务器）提供集中访问控制：

常见AAA协议：

RADIUS协议（远程身份验证拨入用户服务集中了远程连接的身份验证、使用UDP）

TACACS+：终端访问控制器访问控制系统，加密所有身份信息，比上面的更严格，使用TCP传输

Diameter：增强版radius，支持多种协议。IP、移动Ip和VoIP，使用TCP传输

管理身份和访问配置生命周期：

身份和访问配置生命周期是指账户的创建、管理和删除

三个主要职责：访问配置（创建新账户并且为其配置适当的权限），账户审核（定期审核账户确保正在执行安全策略），账户撤销（员工处于任何原因离开组织时，应当尽快停用账户）

控制和监控访问：

访问控制模型

权限：通常指授予对客体的访问权限、并且确定你可对其执行的操作

权利：主要指对某个客体采取行动的能力

特权：是权限和权利的组合（如计算机管理员拥有完全特权）

理解授权机制：

隐式拒绝（访问控制的基本原则是隐士拒绝，大多数授权机制使用它）

访问控制矩阵（包含主体、客体和分配的权限的表格）

能力表（是识别分配给主体权限的另一种方式，能力表主要关注主体如用户、组或角色）

约束接口、依赖内容的控制（数据库视图）、依赖上下文的控制（在线销售数字产品的交易的数据流）、知其所需、最小特权、职责和责任分离

使用安全策略定义需求

实施纵深防御

纵深防御的重点：

1、组织的安全策略是管理访问控制之一、它通过定义安全要求为资产提供了一层防御

2、人员是防御的关键组成部分

3、管理、技术和物理访问控制的组合提供了更强大的防御

访问控制模型总结：

自主访问控制

自主访问控制（DAC）：每个客体都有一个所有者，所有者可授予或者拒绝其他任何主体的访问，使用客体访问控制列表（ACL）来实现

非自主访问控制

基于角色的访问控制（RBAC）：关键特征是角色或者组的使用、用户放置在角色当中，管理员为角色赋予权限、强制执行最小特权原则

基于规则的访问控制：关键特征是采用适用于所有主体的全局规则，例如防火墙

基于属性的访问控制（ABAC）：关键特征是它使用包含多个属性的规则，将规则平等的应用于所有主体，可以应用于定义网络，例如管理员定义ABAC策略允许管理员使用平板电脑或者是收集访问wan网络

强制访问控制（MAC）：关键特征是使用应用于主体和客体的标签，例如用户如果具备绝密标签，那么可以被授予绝密文档的访问权、依赖于分类标签的使用，使用环境：分层环境、分区环境（区分安全域）、混合环境

访问控制攻击：

风险要素：识别资产、识别威胁（高级持续性威胁、威胁建模（专注资产、专注攻击者、专注软件））、识别漏洞

1、访问聚合攻击：收集多条非敏感信息并将它们组合以获得敏感信息

2、密码攻击：密码是最弱的身份验证形式，并且存在许多密码攻击

3、字典攻击：使用预定义的数据库来发现密码

4:、暴力攻击：尝试所有可能的字母数字和符号的组合来发现用户账户的密码

5、生日攻击：寻找碰撞，如md5

6、彩虹表攻击：通过预先计算散列值的大型数据库来与有效密码的散列值进行比对，从而得出明文密码

7、嗅探器攻击：捕获通过网络发送的数据包

8、欺骗攻击：电子邮件欺骗，电话号码欺骗

9、社会工程攻击

10、网络钓鱼

11、鱼叉式网络钓鱼：针对特定群体的网络钓鱼形式

12、网络钓鲸：网络钓鱼的变体，针对高级管理人员

13、语音网络钓鱼

14、智能卡攻击：如侧信道攻击（被动式的非侵入性攻击、观察设备的操作）

访问控制攻击保护方法

控制对系统的物理访问、控制对电子文件的访问、创建强密码策略、散列和加盐密码、使用密码屏蔽（即密码加密）、部署多因素身份验证、使用账户锁定控制、使用上次登录通知、用户安全培训