管理身份与身份验证
控制对资产的访问:信息、系统、设备、设施、人员
主体、客体
CIA三性和访问控制
CIA:保密性、完整性、可用性
访问控制类型
预防性访问控制:栅栏、锁、生物识别、陷阱
检测访问控制:在事后发生、并且在发生后才能发现活动
纠正访问控制
威慑、恢复、指示、补偿、管理、逻辑/技术、物理控制
比较身份识别和身份验证
身份识别、身份验证
授权和问责
身份验证因素:你知道什么、你拥有什么、你做了什么
密码:创建强密码、密码历史(两种密码换来换去),密码短语、认知密码(生日是什么时候)
智能卡和令牌:智能卡、令牌(令牌设备或硬件令牌)、两步身份验证(HOTP:基于hmac的一次性密码,TOTP:基于时间的一次性密码标准)
生物识别技术
指纹、面部扫描
视网膜扫描(眼睛后部的血管模式)
虹膜扫描(聚焦于瞳孔周围的彩色区域)
手掌扫描、手部几何图形、心脏/脉冲模式、语音识别模式、签名动态(笔画图案)、击键模式
生物特征因素误差等级:
错误拒绝率:1型错误
错误接受率:2型错误
生物识别登记
多因素身份验证:
设备验证:
服务身份验证:
实施身份管理:
身份管理技术通常分为两类:集中式和分散式/分布式
集中式:意味着所有授权验证都由系统内的单个实体执行
分散式:意味着位于整个系统中的各种实体执行授权验证
单点登录:
1、LDAP和集中访问控制:集中数据库包含主体和客体信息
2、LDAP和PKI
3、Kerberos:
使用aes对称加密、保护完整性和保密性,有助于防止窃听和重放
秘钥分发中心(KDC):使用对称加密验证客户端到服务器、所有客户端和服务器都在kdc进行注册
kerberos身份验证服务器:托管KDC的功能:票据授予服务(TGS)(可在另一台服务器上托管)、和身份验证服务(AS)
票据授予票据(TGT)
票据:一种加密消息,提供主体有权访问客体的证据
kerberos登录过程如下:
1、用户在客户端输入用户名和密码
2、客户端使用AES对称加密用户名传输到KDC(秘钥分发中心)
3、KDC根据已知凭据的数据库验证用户名
4、KDC生成将由客户端和kerberos服务端使用的对称秘钥,使用用户密码的散列,并且对此加密,同时生成带时间戳的TGT
5、然后、KDC将加密的对称秘钥和加密的时间戳的TGT发送到客户端
6、客户端安装TGT以供使用直到过期,客户端使用用户密码的散列来解密对称秘钥
客户端访问客体时:
1、客户端将其TGT发送回KDC,并且请求访问该资源
2、KDC验证TGT是否有效,并且检查其访问控制矩阵,以验证用户是否有权限访问所请求的资源
3、KDC生成服务票据并将其发送客户端
4、客户端将票据发送到托管资源的服务器或者服务
5、托管资源的服务器验证服务票据的有效性
6、验证身份和授权后,kerberos活动即完成
联合身份管理:和SSO
联合身份管理主要解决的是不同的公司之间进行身份验证的问题,比如不同的公司的应用系统具有不同的操作系统不同的编程语言,但他门仍然需要进行共享共同语言:
超文本标记语言:HTML
可扩展标记语言:XML
安全断言标记语言:SAML
服务配置标记语言
可扩展访问控制标记语言(XACML):
OAuth2.0
OpenID
OPenID连接
联合身份管理(FIM)这是一种SSO形式
联合身份系统通常使用安全断言标记语言(SAML)/服务配置标记语言(SPML)
凭据管理系统:为用户提供存储空间、以便SSO不可用时保留其凭据
集成身份服务:身份即服务(IDAAS)是提供身份和访问管理的第三方服务,有效的为云提供SSO
管理会话:使用任何类型的身份验证系统时,管理会话以防止未经授权的访问都非常重要(台式电脑的屏幕保护程序)
AAA协议:有几种协议提供身份验证、授权和问责,称为AAA协议,他们通过远程访问系统(如VPN和其他类型的网络访问服务器)提供集中访问控制:
常见AAA协议:
RADIUS协议(远程身份验证拨入用户服务集中了远程连接的身份验证、使用UDP)
TACACS+:终端访问控制器访问控制系统,加密所有身份信息,比上面的更严格,使用TCP传输
Diameter:增强版radius,支持多种协议。IP、移动Ip和VoIP,使用TCP传输
管理身份和访问配置生命周期:
身份和访问配置生命周期是指账户的创建、管理和删除
三个主要职责:访问配置(创建新账户并且为其配置适当的权限),账户审核(定期审核账户确保正在执行安全策略),账户撤销(员工处于任何原因离开组织时,应当尽快停用账户)
控制和监控访问:
访问控制模型
权限:通常指授予对客体的访问权限、并且确定你可对其执行的操作
权利:主要指对某个客体采取行动的能力
特权:是权限和权利的组合(如计算机管理员拥有完全特权)
理解授权机制:
隐式拒绝(访问控制的基本原则是隐士拒绝,大多数授权机制使用它)
访问控制矩阵(包含主体、客体和分配的权限的表格)
能力表(是识别分配给主体权限的另一种方式,能力表主要关注主体如用户、组或角色)
约束接口、依赖内容的控制(数据库视图)、依赖上下文的控制(在线销售数字产品的交易的数据流)、知其所需、最小特权、职责和责任分离
使用安全策略定义需求
实施纵深防御
纵深防御的重点:
1、组织的安全策略是管理访问控制之一、它通过定义安全要求为资产提供了一层防御
2、人员是防御的关键组成部分
3、管理、技术和物理访问控制的组合提供了更强大的防御
访问控制模型总结:
自主访问控制
自主访问控制(DAC):每个客体都有一个所有者,所有者可授予或者拒绝其他任何主体的访问,使用客体访问控制列表(ACL)来实现
非自主访问控制
基于角色的访问控制(RBAC):关键特征是角色或者组的使用、用户放置在角色当中,管理员为角色赋予权限、强制执行最小特权原则
基于规则的访问控制:关键特征是采用适用于所有主体的全局规则,例如防火墙
基于属性的访问控制(ABAC):关键特征是它使用包含多个属性的规则,将规则平等的应用于所有主体,可以应用于定义网络,例如管理员定义ABAC策略允许管理员使用平板电脑或者是收集访问wan网络
强制访问控制(MAC):关键特征是使用应用于主体和客体的标签,例如用户如果具备绝密标签,那么可以被授予绝密文档的访问权、依赖于分类标签的使用,使用环境:分层环境、分区环境(区分安全域)、混合环境
访问控制攻击:
风险要素:识别资产、识别威胁(高级持续性威胁、威胁建模(专注资产、专注攻击者、专注软件))、识别漏洞
1、访问聚合攻击:收集多条非敏感信息并将它们组合以获得敏感信息
2、密码攻击:密码是最弱的身份验证形式,并且存在许多密码攻击
3、字典攻击:使用预定义的数据库来发现密码
4:、暴力攻击:尝试所有可能的字母数字和符号的组合来发现用户账户的密码
5、生日攻击:寻找碰撞,如md5
6、彩虹表攻击:通过预先计算散列值的大型数据库来与有效密码的散列值进行比对,从而得出明文密码
7、嗅探器攻击:捕获通过网络发送的数据包
8、欺骗攻击:电子邮件欺骗,电话号码欺骗
9、社会工程攻击
10、网络钓鱼
11、鱼叉式网络钓鱼:针对特定群体的网络钓鱼形式
12、网络钓鲸:网络钓鱼的变体,针对高级管理人员
13、语音网络钓鱼
14、智能卡攻击:如侧信道攻击(被动式的非侵入性攻击、观察设备的操作)
访问控制攻击保护方法
控制对系统的物理访问、控制对电子文件的访问、创建强密码策略、散列和加盐密码、使用密码屏蔽(即密码加密)、部署多因素身份验证、使用账户锁定控制、使用上次登录通知、用户安全培训