CISSP官方学习指南第7版#第13章


=Start=

缘由:

备考CISSP,学习、整理在看《CISSP官方学习指南(第7版)》时的一些知识点,方便以后快速复习。

正文:

参考解答:
第13章 安全通信和网络攻击

本章中覆盖的CISSP考试大纲包含:
5 身份与访问管理
A.物理控制与资产的逻辑访问
A.1 信息
A.2 系统
A.3 设备
A.4 设施
B.管理人员和设备的身份与认证
B.1 身份管理实施(例如,SSO、LDAP)
B.2 单/多因素认证(例如,因素、强度、错误、生物特征)
B.3 可问责性
B.4 会话管理(例如,超时、屏保)
B.5 身份的注册与证明
B.6 联合身份管理(例如,SAML)
B.7 证书管理系统
C.身份整合服务(例如,云身份)
D.第二方身份整合服务(例如,内部部署)
G.管理身份与访问开通生命周期(例如,开通、审查)

身份与访问管理域关注的是授予撤消访问系统数据或执行系统操作的特权问题。主焦点是识别、认证、授权和可问责性本章和第14章”控制和监控访问”将讨论身份与访问管理域范围内的所有目标。一定要阅读和学习这两章的内容,以确保了解与该域相关的所有必要知识。

13.1 控制对资产的访问

控制对资源的访问是安全性的一个中心话题,并且你将发现许多不同的安全控制会结合在一起来提供访问控制。资产可以包括信息、系统、设备、设施和人员。
信息组织的信息包括与其相关的所有数据。这些数据可能存储在服务器、电脑和其他小型设备的简单文件夹中,也可能存储在服务器群组的巨大数据库中。访问控制试图阻止对这些信息的未授权访问。

  • 系统——组织的系统包括提供一种或多种服务的所有IT系统。比如,一个用于存储用户文件的简单文件服务器就是一个系统。再比如,与数据库服务器协同工作来提供电子商务服务的Web服务器也可以称为系统。
  • 设备——设备包括所有的计算系统,包括服务器、台式电脑、便携式笔记本电脑、平板电脑、智能手机和外部设备等,比如打印机。越来越多的组织采用自备设备(BYOD),允许员工将他们的个人设备连接到组织的网络。虽然这些设备是所有者的财产,但存储在这些设备上的组织的数据仍然属于组织的资产。
  • 设施——组织的设施包括组织拥有或租赁的所有有形场所。可能是单独的一间房、一栋建筑或几栋建筑的综合体。物理安全控制有助于保护设施。
  • 人员——为组织工作的人员也是组织的宝贵资产。保护人员的主要方法之一就是确保有足够的安全措施以防止人员受伤或死亡。

13.1.1 主体与客体的对比

访问控制所涉及的内容不仅仅是控制哪些用户可以访问哪些文件或服务,还涉及主体和客体之间的关系。从客体到主体的信息传输称作访问,理解主体和客体的定义是非常重要的。

  • 主体——主体是活动的实体,通过访问被动客体来获得客体的信息或数据。主体可以是用户、程序、进程、文件、计算机或访问资源的任何东西。通过授权后,主体就可以修改客体。
  • 客体——客体是提供信息给活动主体的被动实体。客体可以是文件、数据库、计算机、程序、进程、打印机和存储介质等。

13.1.2 访问控制的类型

一般来说,访问控制是与所有控制访问资源相关的硬件、软件或管理类策略或程序,目标是向授权主体提供访问井阻止任何未经授权的蓄意访问。访问控制的总体步骤如下:
(1)识别和认证试图访问资源的用户或其他主体。
(2)确定访问是否获得授权。
(3)基于主体身份允许或限制访问。
(4)监测和记录访问尝试。

这些步骤包含很多控制。主要的三种控制类型是预防、检测和纠正。无论何时,都可以阻止任何类型的安全问题或事件。当然,并不是总能阻止,也并非总会发生意外事件。一旦发生意外,你会希望尽快检测出该事件,如果检测到了,你会希望做出修正。

另外4种访问控制类型通常是制止、恢复、指引和补偿访问控制。

13.1.3 CIA三要素

组织施行访问控制机制的一个主要原因就是预防损失。IT损失主要有三种:机密性损失、可用性损失以及完整性损失。预防这些损失的发生对IT安全性而言是不可或缺的,它们经常被称为CIA三要素(有时也被称为CIA三元素或安全三元素)。

  • 机密性——访问控制能帮助确保只有被授权的主体可以访问客体。当未被授权的实体成功访问了系统或数据时,就导致了机密性损失。
  • 完整性——完整性确保数据或系统配置在未经授权的情况下不会被修改,或者如果发生了未经授权的更改,安全控制能够检测出发生的变化。如果客体发生了未被授权或不希望发生的改变,就导致了完整性损失。
  • 可用性——可用性给予主体对客体的授权请求必须在合理的时间范围内。换句话说,系统和数据应在用户和其他主体需要时能为它们所用。如果系统不能进行操作或无法访问数据,就导致了可用性损失。
13.2 比较身份标识与认证

身份标识是主体声称或自称某个身份的过程。主体必须向系统提供身份标识,才能够启动身份认证、授权和可问责过程。提供的身份标识可以是输入用户名、刷卡、出示令牌设备、说一段话,也可以是将脸、手掌或手指靠近照相机或扫描设备。认证的一条核心原则就是所有的主体必须有唯一的身份。

通过与有效身份数据库中的一个或多个因素进行比对,身份认证能够认证主体的身份,如用户账户。用于核实身份的身份认证信息属于私人信息,需要保护。例如,密码很少以明文存储在数据库中。相反,身份认证系统把密码以散列形式存储在认证数据库内。主体和系统对身份认证信息的保密能力直接反映了系统的安全级别。

身份标识和认证总是被放在一起成为单一的双步过程。第一步是提供身份,第二步是提供身份认证因素。如果缺少这两步,主体就不能获得访问系统的能力。

每种认证技术或因子都有各自的优缺点。因此,在系统使用环境中进行机制评估十分重要。例如,存储绝密资料的设施需要非常强大的认证机制。相比之下,课堂环境的身份认证设施要明显弱一占

提示:
身份识别和认证可以简化为只要用户名和密码。用户凭借自己的用户名可以进行识别,凭借密码进行认证(或证明其身份)。当然,还有很多识别认证方法,简化形式相对而言更加清晰。

13.2.1 身份的注册和证明

用户首次获得身份的过程就是注册过程。

13.2.2 授权与可问责性

访问控制系统的两个额外安全元素是授权和可问责性。

  • 授权依据主体的证明身份授予其客体访问权限。例如,管理员基于用户的证明身份授予用户访问文件的权限。
  • 可问责性在执行审计时用户和其他主体要对自己的行为负责。审计负责追踪主体并且记录他们对主体的访问,需要在单个或多个审计日志中创建审计跟踪。例如,当用户阅读、修改或删除文件时审计会进行记录。审计具有可问责性。

有效的访问控制系统除了满足授权和可问责性外,还需要强大的身份识别和认证机制。主体有独特的身份并能通过认证证明自己的身份。管理员基于主体的身份给予他们访问的权限。基于认证后的身份进行用户行为的记录具有可问责性。
相比之下,如果用户登录不需要凭据,那么所有用户都是匿名用户。这种情况不可能对特定用户进行授权限制。日志仍然可以记录事件,但是无法识别是哪些用户做了何种操作。

13.2.3 认证因素

认证的三种基本方法也被称为类型或因素。它们是:

  1. 类型1——类型1身份认证因素是”你知道什么”。这些内容示例包括密码、个人标识码σ时)或密码短语。
  2. 类型2——类型2身份认证因素是”你拥有什么”。用户拥有能够帮助他们提供身份认证的物理设备,示例包括智能卡、硬令牌、记忆卡和USB驱动器。
  3. 类型3——类型3身份认证因素是”你是什么或者你做什么”。这里指的是某个身体部分或人的生物行为特征。”你是什么”的示例包括指纹、语音波纹、视网膜样本、虹膜样本、脸部形状、掌纹和手型等。”你做什么”的示例包括签名和击键力度,也称为生物行为特征。

在正确实施了这些类型的控制后,访问控制也逐渐增强,其中类型1最弱,类型3最强。换句话说,密码(类型1)是最弱的,指纹(类型3)要比密码强一些。然而,攻击者仍然可以绕过类型3的身份认证因素。例如,攻击者可以用熊软糖制作指纹以欺骗指纹阅读器。

13.2.4 密码

最常见的身份认证技术是使用类型1认证方式(“你知道什么”)的密码(用户输入的一串字符)。密码是静态的。静态密码在一段时间(例如,30天川呆持不变,因此静态密码是最弱的认证方式。
1.创建强密码;2.密码短语;3.认知密码

13.2.5 智能卡和令牌

智能卡和硬令牌,或者你持有的一些东西都属于身份认证类型2。这一类型通常会和另一种认证因素结合使用,很少单独使用,从而能够提供多因素的身份认证。

13.2.6 生物识别

另一种常用的身仇呗证和身份标识技术是使用生物识别。生物识别因素属于类型3身份认证类别,即”你是什么”。生物识别因素可以用于识别或认证技术,或两者兼而有之。

  • 视网膜扫描视网膜扫描关注的是眼睛后方血管的图案。虽然视网膜扫描是最精确的生物识别身份认证形式(能够区分同卵双胞胎),但却最不被人接受,原因在于会泄露个人医疗状况,如高血压与妊娠。
  • 虹膜扫描作为第二精确的生物测定学身份认证形式,虹膜扫描关注的是睦孔周围的有色区域。不过,虹膜扫描无法对同卵双胞胎进行区分。

#生物识别因素的错误率
因为大多数人基本类似,生物识别方法通常导致负面的和不正确的认证。生物识别设备通过检查他们生产的不同类型错误来衡量执行情况。
类型1错误——类型1错误发生在当一个正确的主体没有被认证时,这也被称为错误的身份认证。
例如,当Dawn用她的指纹来认证自己时,系统不正确地拒绝她。对于正确用户的类型l错误率被称为错误拒绝率(FalseRejectionRate,FRR)。
类型2错误——类型2错误发生在当无效认证发生时,这也被称为假正确身份认证。例如,如果黑客Joe没有账户,但他用自己的指纹进行身份认证并且系统承认了他,这就是假正确身份认证。类型2错误率被称为错误接受率(FalseAcceptanceRate,FAR)。
可以通过交叉错误率(CrossoverErrorRate,CER)比较生物识别设备的整体质量,交叉错误率也被称为相等错误率EqualErrorRate,ERR)。

13.2.7 多因素身份认证

多因素认证是使用两个或多个因素进行认证。双因素身份认证需要使用两个不同的因素来提供身份认证。例如,在杂货店用支票付账时,通常需要提供驾照(“你拥有什么”)和PIN码(“你知道什么”)。类似地,智能卡通常需要用户插入卡片到读卡器中并且也要输入PIN码。一般情况下,使用不同类型的因素,身份认证就更安全。

13.2.8 设备认证

……

13.3 实施身份管理

身份管理技术分为两类:集中式和分散式(或分布式)。
•集中式访问控制意味着所有的授权认证都由系统内的单个实体执行。
•分散式访问控制或分布式访问控制意味着授权认证由位于系统中的不同实体执行。
集中式与分散式访问控制具有所有集中式或分散式系统的优缺点。集中式访问控制可以由小型团队或个人进行管理。由于所有的更改都在单个位置进行,因此管理开销较小。此时,单个更改就可以影响整个系统。
分散式访问控制常常需要几个团队或多个人参与。由于更改必须在许多地方实现,因此管理开销较大随着访问控制点的增加,系统的一致性维护工作变得越来越困难。对任何个人接入控制点所做的更改,需要在每个接入点进行多次重复更改。

13.3.1 单点登录

单点登录(Single Sigh-On,SSO)是一种集中式访问控制技术,允许主体只在系统上认证一次并且可以不用认证身份而访问多个资源。例如,用户可以在网络上进行一次认证,然后就可以访问整个网络资源,不用被提示进行再次认证。
SSO对用户来说非常方便,但在安全性上也有所加强。当用户需要记住多个用户名和密码时,他们经常会写下来,最终反而降低了安全性。如果只有一个密码,用户是不太可能写下来的。SSO还通过降低主体需要的账户数量,让管理也更加容易。
SSO的主要缺点是:一旦账户被破解,恶意主体就会拥有不受限制的访问权限。但是,大多数SSO系统含有保护用户凭据的方法。

13.3.2 LDAP和集中式访问控制

单个组织经常使用集中式的访问控制系统。

13.3.3 LDAP和PKI

在整合数字证书以便传输时,公钥基础设施(PKI)使用LDAP。

13.3.4 Kerberos

票证身份认证这种机制采用第三方实体证实身份并提供身份认证。最常用的,也是最知名的票证系统是Kerberos。

13.3.5 联合身份管理和sso

在相当长一段时间内,sso在内部网络上是常见的,但在互联网上不常见。然而,随着基于云的应用程序的爆发式增长,用户访问互联网资源渐渐开始需要sso解决方案。联合身份管理是一种能够满足这一需求的sso形式。

安全声明标记语言——安全声明标记语言(SAML)是一种基于XML的语言,普遍用于联合组织之间交换认证和授权(AA)信息,常为浏览器访问提供单点登录(SSO)功能。
服务配置标记语言——服务配置标记语言(SPML)是基于XML的新框架,但是出于联合身份单点登录目的,专门设计用于用户信息交换。SPML基于目录服务标记语言(DSML),而DSML能够以XML格式显示基于轻量级目录访问协议(LDAP)的目录服务信息。
访问控制标记语言——访问控制标记语言(XACML)用于在XML格式内定义访问控制策略,并且通常实现基于角色的访问控制。XACML有助于给联盟中的所有成员提供保证,保证他们向不同角色授权相同级别的访问。

提示:
SAML是互联网上流行的SSO语言。XACML已经成为流行的软件定义网络应用。

13.3.6 其他单点登录的例子

美国麻省理工学院开发的安全认证系统(Kerberos)也许是组织内单点登录最为广泛认可和部署的形式,但并不是同类中的唯一。在本节中,我们总结了你也许会遇到的其他单点登录系统。

在登录会话开始时,脚本访问或登录脚本通过自动化处理发送登录凭证,从而建立通信连接装置。即使环境仍需要单独的身份认证过程来连接每个服务器或资源,脚本访问通常也可以模拟单点登录访问。单点登录技术不可用时,脚本在环境中可实现单点登录。脚本和批处理文件通常包含明文形式的访问凭证,所以应被存储在受保护的区域内。

  • 欧洲安全多环境应用系统(SESAME)是一个基于邀请的认证系统,它被开发出来是为了解决Kerberos的缺点。然而,SESAME并没有解决Kerberos的所有问题。新一代的Kerberos和多家供应商的实施都绕过了SESAME,最终解决了Kerberos最初版本的所有问题。在安全行业,SESAME己不再被认为是一款可行的产品。
  • KryptoKnight是IBM开发的一个基于邀请的认证系统。它与Kerberos相似,但是使用对等认证而非第三方认证。KryptoKnight被纳入NetSP产品。SESAME、KryptoKnight和NetSP从未盛行,并且再也不会被广泛使用。
  • OAuth(意为公开认证)和OpenID是应用于网络单点登录的较新的例子。OAuth是一个开放标准,它与HTTP协作,允许用户以单一账户登录。例如,用户可登录他们的谷歌账户,并用同一账户登录Facebook和Twitter。谷歌支持OAuth2.0,而OAu2.0不向后兼容OAuth1.00OAuth2.0被编号为RFC67490OpenID也是一个开放标准,但是它由电脑软件公司OpenIDFoundation维护,而非作为IETF RFC标准。OpenID可与OAuth连同使用,也可单独使用。

13.3.7 证书管理系统

当单点登录不可用时,证书管理系统为用户的凭证保存存储空间。用户可为需要一套不同凭证的网站和网络资源存储凭证。证书管理系统确保这些凭证己加密,从而防止未经授权的访问。

13.3.8 整合身份服务

身份服务为识别和认证提供了额外工具。其中一些工具是为那些基于云的应用程序具体设计的,而其他的工具是第三方身份服务,为组织内部使用而设讨(内部部署)。
身份即服务或身份和访问即服务(IDaaS),是一个第三方服务,提供身份和访问管理。IDaaS为云有效提供单点登录,并在内部客户访问那些基于云的软件即服务(SaaS)应用程序时特别有用。谷歌公司的箴言”一个谷歌账户登录所有谷歌产品”就是这一技术的体现。用户只需登录他们的谷歌账户一次,就可以访问谷歌多个基于云的应用程序,不必再次进行登录。

13.3.9 管理会话

无论使用何种认证系统,重要的是管理会话,以防止未经授权的访问。这包括与应用程序在普通电脑(如台式电脑)上的会话或网络会话。

13.3.10 协议

提供认证、授权和可问责性的协议叫作AAA协议。它们提供集中式访问控制,并且附带虚拟专用网(VPN)和其他类型的网络访问服务器的远程访问系统。它们可以保护内部局域网认证系统和其他服务器免受远程攻击。当使用一个单独的系统进行远程访问时,对系统的成功攻击只会影响远程访问用户。换句话说,攻击者不会有内部账户的访问权限。为智能手机用户提供访问的移动IP也使用AAA协议。
这些AAA协议使用的是本章前面描述的访问控制元素,包括识别、认证、授权和可问责性。它们确保用户用有效的凭据来进行身份认证,并根据己证实的身份来认证用户已被授权连接到远程访问服务器。此外,追踪元素可以跟踪用户的网络资源使用情况,并达到计费目的。一些常见的AAA协议有RADIUS、TACACS+以及Diameter。

1.RADIUS
远程认证拨号用户服务器(RADIUS)主要用于远程连接的身份认证。当组织有不止一台网络访问服务器(或远程访问服务器)时,RADIUS通常会被用到。
2.TACACS+
终端访问控制器访问控制系统(TACACS)作为RADIUS的一种替代系统被引入。思科后来推出了扩展TACACS(XTACACS),并将其作为一项专有协议。然而,TACACS和XTACACS如今都不常用。后来,又推出了TACACS+,并被作为一个开放的公开记录协议,成为三个协议中最常用的一个。
3.Diameter
基于RADIUS和TACACS+的成功应用,叉开发出了一个名为Diameter的RADIUS的增强版本。它支持多种协议,包括传统IP、移动IP和IP语音(VoIP)。因为支持许多附加的命令,所以尤其在支持漫游服务的情况下特别受欢迎,例如无线设备和智能手机。虽然Diameter是RADIUS的升级版本,但是其并不兼容RADIUS。Diameter使用的是TCP端口3868或SCTP端口3868,相比于RADIUS使用的UDP端口来说,提供了更高的可靠性。Diameter也支持IPSec和TLS加密。

13.4 管理标识和访问开通生命周期

身份信息和访问开通生命周期是指账户的创建、管理和删除。虽然这些行为看似很平凡,但对于系统的访问控制能力来说是非常重要的。如果没有正确定义和维护用户账户,系统就无法建立准确的身份信息,进行身份认证,提供授权或跟踪问责。正如前面提到的,当主体以某身仇世入服务器时,就会进行身份认证。身份通常是用户账户,但也包括计算机账户和服务账户。
访问控制管理是才旨在账户的使用过程中所涉及的任务和职责的集合,包括管理账户、访问和跟踪问责。这些任务包含在身份信息和访问开通生命周期的三个主要职责中:开通、账户审核和账户撤消。

13.4.1 开通

身份管理的第一步是创建新账户并为其开通相应的权限。创建新的用户账户通常是一个简单的过程,但这一过程必须通过组织的安全策略来保护和保障。

13.4.2 账号审核

应定期检查账户,以确保有正在运行的安全策略。检查内容包括确保不活跃的账户被禁用以及员工没有过多的特权。

13.4.3 账号撤消

无论员工出于何种原因(包括员工休假)离开公司,及时禁用他们的用户账户十分重要。员工休假的情况也要包含在内。

13.5 本章小结
  • CISSP CBK的第5知识域的内容是身份与访问管理,包括允许和限制资产访问的操作、管理和执行等方面。资产包括信息、系统、设备、设施和人员等。访问控制将基于主体和客体间的关系对访问权限进行限制。主体是活跃实体(如用户),客体是被动实体(如文件)。
  • 访问控制主要分为三种类型:预防、检测和纠正。预防性访问控制是为了防患于未来。检测性访问控制是指在事故发生后进行检测,并尽力纠正问题。访问控制以行政管理性、逻辑性和物理性访问控制的方式实施。行政管理性访问控制也就是所说的管理控制,包括工作准则和工作规程。逻辑性访问控制也叫技术性访问控制,通过技术方式实现。物理性访问控制通过使用物理方法保护主体。
  • 访问控制的4个要素包括:识别、认证、授权和可问责性。主体(用户)需要一个身份(如用户名),然后利用认证机制(如密码)证明这一身份。主体认证后,授权机制控制其访问权限,审计跟踪记录他们的行为,这样他们就必须为其行为负责。
  • 身份认证的三种方法包括:你知道什么(如密码或PIN),你拥有什么(智能卡或令牌)以及你是什么(通过生物识别技术可以认证的某些生理或行为特征)。多因素认证即使用一种以上的认证方法,比单一认证方法更安全。
  • 单点登录用户仅需认证一次就可以访问网络上的所有资源,不必再次认证。Kerberos(麻省理工学院开发的安全认证系统)是一种流行的单点登录认证协议,采用票据进行认证。Kerberos通过主体数据库、对称加密和时间同步系统发送票据。
  • 联合身份管理可以使单点登录访问多个组织。多个公司建立或加入一个联盟,并且同意以某种方式在多公司之间共享身份。用户在自己组织内进行认证后,不需再次认证就可访问其他公司的资源。SAML是互联网上用于单点登录访问的常见协议。
  • AAA协议提供认证、授权和可问责性。广泛使用的AAA协议是RADIUS终端访问控制器访问控制系统(TACACS+)和Diameter。
  • 身份和访问开通生命周期包括为用户主体创建、管理和注销账户。服务开通的最初步骤包括创建账户并授权对客体适当的访问权限。当用户工作变化时,他们经常要求改变最初的访问权限。账户审核过程可以确保账户修改后的访问权限遵循最小化权限原则。当员工离开公司时,应及时禁用账户,不需要时应注销账户。
13.6 考试要点
  • 了解主体和客体的区别。你可能发现CISSP考题和安全文档中通常使用术语主体和客体,所以知道它们之间的区别是很重要的。主体是活跃的实体(例如,用户),他们可以访问被动客体(例如,文件)。用户是主体,在执行操作或完成一项工作任务时访问客体。
  • 了解访问控制类型。对于本章提出的几种控制类型,你应该能够加以区分。访问控制包括预防措施(阻止有害的和未经授权的活动发生)、检测措施(发现有害的和未经授权的活动)和纠正措施(在有害的和未经授权的活动发生后,使系统恢复正常)。另外还有以下几种控制措施。制止措施通过鼓励人们避免有害行动而阻止人们违反安全准则。恢复措施是指在违反安全准则的行为发生后,试图修复和恢复资源、功能和能力。指引措施通过指导、限制或控制客体的行为来执行或鼓励对安全准则的遵守。补偿措施为目前的控制方法提供其他选择,帮助执行和支持安全准则。
  • 了解访问控制的实施方法。访问控制以行政管理性访问控制、逻辑性访问控制和物理性访问控制的方式实施。行政(管理)性控制包括执行整个访问控制的准则或规程。逻辑/技术性控制包括用于管理资源和系统访问权限的硬件或软件,并对资源和系统提供保护。物理性控制包括部署物理屏障,物理屏障用于阻止与系统的直接接触,阻止访问系统或进入设备所在区域。
  • 理解识别和认证的区别。访问控制依赖于有效的识别和认证,所以了解它们之间的区别十分重要。主体需要一个身份,身份对于使用者来说可能就是用户名。主体通过认证信息来证明身份(例如,匹配用户名和密码)。
  • 理解授权和可问责性的区别。主体认证后,系统根据他们的身份来授权对客体的访问权限。审计日志和审计追踪记录的事件包括行为主体的身份。有效的识别、认证和审计构成可问责性。
  • 理解三种认证方法的细节。身份认证的三种方法包括:你知道什么(例如,密码或PIN),你拥有什么(智能卡或令牌)以及你是什么(通过生物识别技术可以认证的某些生理或行为特征)。多因素认证即包括一种以上的认证方法,比单一认证方法更安全。密码是最弱的一种认证方式,但是可以通过增强复杂程度和密保问题来提高安全性。智能卡包括微处理器和加密证书,令牌可以提供一次性密码。生物识别法通过人体特征(例如指纹)来识别用户。交叉识别率验证了生物识别法的准确性。研究显示,第一类错误(错误拒绝率)和第二类错误(错误接受率)的发生概率相同。
  • 理解单点登录。单点登录(SSO)是指主体一经授权允许即可访问多个客体,系统不必再次认证的一种机制。Kerberos是最常见的运用于组织的一种单点登录方法,使用对称加密、采用票据认证身份并提供授权。当多个公司想要使用同一单点登录系统时,他们经常会使用联合身份管理系统。在该系统中,公司联盟或公司团体通常会达成统一的授权方法。SAML(安全断言标记语言)常用于共享联合身份信息。其他的单点登录方法是脚本访问,例如SESAME和KryptoKnight。OAuth协议和OpenID协议是目前应用于网络的两种较新的单点登录技术。在很多大型公司,例如谷歌,OAuth2.0远比OAuth1.0更受欢迎。
  • 理解协议的目的。有多种协议提供了集中身份认证、授权以及可问责服务。网络访问(或远程访问)系统使用AAA协议。例如,一台网络访问服务器作为客户端使用RADIUS服务器,RADIUS服务器就提供AAA协议。RADIUS使用用户数据报协议(UDP),仅需口令加密。终端访问控制器访问控制系统(TACACS+)使用传输控制协议(TCP),以加密整个会话。Diameter协议是为了提升RADIUS协议而出现的,但是Diameter协议与RADIUS协议不兼容。Diameter协议被越来越广泛地应用于移动IP系统,例如智能手机。
  • 理解身份及访问服务开通生命周期。身份及访问服务开通生命周期是指账户的创建、管理和注销。服务开通账户要确保拥有完成任务所需的适当权限。定期审核可以确保账户不会拥有过渡特权,并且遵循最小化权限原则。撤回包括当员工离开公司时应及时禁用账户,不需要时应注销账户。
参考链接:

=END=


《 “CISSP官方学习指南第7版#第13章” 》 有 25 条评论

  1. Evercookie(永远删不掉的cookie)
    http://www.ituring.com.cn/article/35102
    https://github.com/samyk/evercookie
    https://stackoverflow.com/questions/16481097/evercookie-browser-security
    `
    Evercookie的目的是为了让该持久保存的数据持久保存。把客户端可能用到的数据保存在几个不同的地方,可以在其中某些数据丢失时(比如,用户清除了cookie)再行恢复和重用。可以把它看成永远不会被删除的cookie。Evercookie是一个JavaScript API,通过它可以在浏览器中生成极其持久的cookie。它的目标就是在用户删除了传统cookie、Flash cookie(LSO)和其他缓存数据后,仍然可以识别客户端。Evercookie是通过利用浏览器不同的存储机制,把cookie数据保存在多个不同的地方实现的。此外,如果发现用户删除了其中一些cookie,Evercookie会利用这些机制重新创建它们。
    `

  2. 企业CAS单点登录的架构思路
    https://yuerblog.cc/2018/03/05/cas-sso-arch/
    `
    整体思路
    · 使用openldap统一账号密码存储,相当于一个账号密码数据库,但是遵循LDAP标准协议,几乎所有的知名开源项目都支持基于LDAP的用户登录认证。
    · 使用cas作为单点登录(single sign-on)服务,以openldap作为认证数据库。

    对于仅支持ldap协议的开源项目,直接对接openldap数据库完成账号密码认证即可。
    对于支持cas协议的开源项目,对接cas服务完成单点登录认证。
    `

  3. 用户认证模块安全设计
    https://xz.aliyun.com/t/2464
    `
    1 用户认证模块功能介绍
      1.1 注册
      1.2 登录
      1.3 密码找回
      1.4 会话控制
      1.5 权限控制
      1.6 日志
      1.7 账户注销
    2 用户认证模块风险
      2.1 图形验证码
      2.2 短信验证码
      2.3 注册风险
      2.4 登录风险
      2.5 密码找回风险
      2.6 会话管理风险
      2.7 个人资料管理风险
      2.8 权限控制风险
    3 认证模块安全措施
      3.1 通用安全措施
      3.2 图形验证码加固
      3.3 短信验证码加固
      3.4 安全注册流程设计
      3.5 登录安全
      3.6 密码找回安全
      3.7 会话管理安全
      3.8 个人资料管理安全
      3.9 权限管理
      3.10 日志
    4 Oauth 2.0 认证和风险
    `

  4. 如何设计相对安全的图形验证码?
    https://mp.weixin.qq.com/s/5hUS9Mbc1NHi5MEZpGcGEA
    `
    列举一些在安全测试中发现的验证码在设计和使用上的安全问题,供大家参考(欢迎大家补充,指正)

    设计或使用方法不当:
    0x01:图形验证码数值在返回包中返回前端(可通过自动化程序输入验证码,导致验证码无效,导致防护失效)
    0x02:图形验证码的值由前端生成,发送到后端形成图片
    0x03:图形验证码验证后不失效(成功或失败都应该失效),可以无限复用
    0x04:单独验证图形验证码,正确返回1,错误返回0,而认证请求却不包含图形验证码(可以绕过前端验证)
    0x05:万能图形验证码(测试环境为方便设置的万能验证码,上线后未关闭)
    0x06:验证码参数值为空时不检测图形验证码
    0x07:无验证码参数时(参数名和参数值都不存在)不检测图形验证码(一般是之前设计的时候没加图形验证码,后期添加图形验证码时保留了老接口)
    0x08:验证码大小值由前端控制,后端无大小检测(生成超大图形验证码,造成内存耗尽,拒绝服务)
    0x09:图形验证码过于简单(无扭曲,无干扰线导致,可自动化图像识别)
    0x0A:认证过程中,先验证账号密码,后验证图形验证码(逻辑顺序有误,验证码起不到防护作用)
    0x0B:验证码图片中数值不够随机,可预测导致可以猜解。
    `

  5. 一文看懂认证安全问题总结篇
    https://www.freebuf.com/articles/web/201772.html
    `
    先对这些认证相关的东东做个简单的归类:

    PKI,X509是公钥密码领域用来进行公钥认证,管理,分发的机构以及规范;
    cookie,session,JWT是web领域保持会话状态的;
    ADS是活动目录服务器系统,与LM,NTLM,kerberos一道与windows认证或windows域认证密不可分;
    Oauth和OpenID都可以作为认证需求,只不过前者多了授权的概念;

    0×01 cookie,session,JWT
    0×02 SSO单点认证
    0×03 Oauth与OpenID
    0x04 windows 认证
    `

    参考
    [1] https://tools.ietf.org/html/rfc7522
    [2] https://tools.ietf.org/html/rfc6749
    [3] https://tools.ietf.org/id/draft-ietf-oauth-security-topics-06.html
    [4] https://duo.com/blog/the-beer-drinkers-guide-to-saml
    [5] http://avfisher.win/archives/tag/saml
    [6] http://blog.intothesymmetry.com/2015/12/top-10-oauth-2-implementation.html
    [7] https://ldapwiki.com/wiki/OAuth%202.0%20Vulnerabilities
    [8] https://www.sans.org/reading-room/whitepapers/application/attacks-oauth-secure-oauth-implementation-33644
    [9] https://xz.aliyun.com/t/2445

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注