来源: 阅读: 2020-11-19 09:11:04
网络身份安全
开源工具
企业特权账号安全管理
商业工具
SSDLC和DevSecOps与两者的关系
网络身份安全
http://www.docin.com/p-472058725.html
网络身份认证技术简介
“互联网没有人知道你是一条狗”,互联网上很难识别身份
三种身份认证技术(多因素认证)
你所知道
你所拥有的
你唯一独特的身体特征
单因素认证是不靠谱的,要求多因素认证
身份认证技术又可以分成软件认证和硬件认证
认证需要条件:单因素认证和双因素认证
认证信息来看:静态认证和动态认证
发展来看,前者发展为后者
常用身份认证方式:
用户名/密码:你所知道的,静态的,传输过程中,存储过程中都会泄密,不安全
IC卡认证:你所拥有的,静态的,还有安全隐患
动态口令:一次一密,动态变化的,比较安全,但是用户使用有点不方便
生物特征:独一无二的生物特征,比较安全的,成本较高,同时也可以被仿冒 (黑客大会)
USB Key认证:一次一密,一是基于冲击/响应模式,二是基于PKI体系的认证模式,安全可靠,便于携带,使用方便,成本低廉,主要发展方向
可以将指纹技术/PKI技术/USB Key技术三者结合起来
身份验证与网络接入控制
https://wenku.baidu.com/view/983a5dc642323968011ca300a6c30c225801f095.html
AAA
概念:
AAA验证/授权/计费 Authentication/Authorization/Accounting
PAP 密码验证协议 Password Authentication Protocol
CHAP 盘问握手验证协议 Challenge-Handshake Authentication Protocol
NAS 网络接入服务器 Network Access Server
RADIUS 远程验证拨入用户验证服务 Remote Authentication Dial In User Service
AAA介绍:
AAA提供了认证/授权/计费功能的一致性框架
提供了一个网络访问控制安全的模型,用于用户登录设备或接入网络
解决网络安全访问控制问题
相对于其他的本地身份认证/端口安全等安全策略,AAA能够提供更高等级的保护
Authentication 验证用户是否获得访问权
Authorization 定义用户可使用哪些服务或者拥有什么权限
Accounting 记录用户使用网络资源的情况。可实现对用户使用网络资源的情况的记账/统计/跟踪
AAA模型
AAA认证的功能
本地认证
远端认证 (接AAA服务器)
AAA授权功能
本地授权
远端授权 (接Radius服务器)
AAA的计费功能
远端计费 (Radius服务器或者TACACS服务器)
RADIUS概述
RADIUS是网络接入设备与认证服务器之间进行认证授权计费和配置信息的协议
RADIUS协议的特点:
客户/服务器模型:NAS一般作为Radius服务器的客户端
安全性:使用共享密钥对敏感信息进行加密,该密钥不会在网上传输
可扩展的协议设计:使用属性-长度-值(AVP)数据封装格式,用户可以自定义其他私有属性,扩展Radius应用
灵活的鉴别机制:Radius服务器支持多种方式对用户进行认证,支持PAP,CHAP,Unix Login等多种认证方式
PAP Password Authentication Protocol,密码验证协议
本地(NAS)验证方式,用户以铭文的方式与NAS服务器传说用户名和密码
远端(Radius)认证方式,Secret Password = Password XOR (Challenge + Key)
CHAP Challenge Handshake Authentication Protocol,盘问握手协议,
本地(NAS)验证方式 Secret Password = MD5(Chap ID + Password + Challenge)
远端(Radius)认证方式 Secret Password = MD5(Chap ID + Password + Challenge)
802.1x
IEEE 802.1x 基于端口的网络控制协议,为LAN接入提供点对点式的安全接入,端口认证通过后才开放,否则默认是关闭状态,此时,只允许802.1X的认证报文EAPOL(Extensible Authentication Protocol Over LAN)通过
802.1X认证体系 是一个Client/Server结构
组件
恳求者系统 Suppliant System
认证系统 Authentication System
认证服务器系统 Authentication Server System
恳求者系统:安装802.1X客户端软件 Ruijie Suppliant, Windows XP
认证系统 对恳求者进行认证,作为恳求者系统与认证服务器系统的中介,为恳求者系统提供服务端口(物理逻辑)
非受控端口,始终打开,用于传递EAPOL消息
受控端口,认证通过才能打开
认证服务器系统:提供认证服务,通常是一个RADIUS服务器,将认证结果返回给认证系统
EAP:恳求者系统与认证系统之间使用,承载EAPoL
802.1X工作机制
在客户端和认证系统之间,EAP报文封装在LAN中 EAPoRadius
认证系统在整个认证过程中不参与,认证是Radius完成
Radius服务器通过认证后,将结果返回给交换机,认证系统根据返回结果决定受控端口状态
802.1X典型应用
PPPoE + Radius
Web Portal + Radius
802.1X + Radius
OWASP Authentication Cheat Sheet
https://cheatsheetseries.owasp.org/cheatsheets/Authentication_Cheat_Sheet.html
Authenticationis the process of verifying that an individual, entity or website is whom it claims to be. Authentication in the context of web applications is commonly performed by submitting a username or ID and one or more items of private information that only a given user should know.
Session Managementis a process by which a server maintains the state of an entity interacting with it. This is required for a server to remember how to react to subsequent requests throughout a transaction. Sessions are maintained on the server by a session identifier which can be passed back and forward between the client and server when transmitting and receiving requests. Sessions should be unique per user and computationally very difficult to predict. TheSession Management Cheat Sheetcontains further guidance on the best practices in this area.
https://cheatsheetseries.owasp.org/cheatsheets/Session_Management_Cheat_Sheet.html
特权账号管理的小秘密
https://www.sohu.com/a/210644479_490113
身份及访问管理(IAM)的基石之一,是特权账户管理(PAM)。IAM考虑的是确保正确的人能有恰当的权限,在正确的时间,以恰当的方式,访问该访问的系统,且所有牵涉其中的人都认为该访问是正确的。PAM则是将这些原则和操作,简单应用到“超级用户”账户和管理凭证上。此类凭证的例子包括:Unix和Linux系统的root账户、活动目录(AD)的Admin账户、业务关键数据库的DBA账户,以及IT运营所需的大量服务账户。
PAM的主要原则有:杜绝特权凭证共享、为特权使用赋以个人责任、为日常管理实现最小权限访问模型、对这些凭证执行的活动实现审计功能。
特权账号现状
特权账号的重要性
OpenIAM Identify Governance and Access Management
User life cycle management
集成授权的资源,自动占有资源和释放资源,多种格式(CSV,DB)
基于账号管理的终端用户UI
基于账号管理的管理员UI
基于Bulk操作的终端用户(CIAM功能)
Self-service portal 自服务
Request-approval
Web-access management
Single Sign-On (集成类似Google,微信,支付宝等登录)
OpenIAM + OTP Token MFA
(正文已结束)
免责声明及提醒:此文内容为本网所转载企业宣传资讯,该相关信息仅为宣传及传递更多信息之目的,不代表本网站观点,文章真实性请浏览者慎重核实!任何投资加盟均有风险,提醒广大民众投资需谨慎!
