控制访问信息资源如何被利用,来防止资源未授权修改或泄露。
实现方法:技术性(逻辑性)、物理性、行政性
访问控制需要采用分层纵深防御的方式
5.1 访问控制概述
访问控制是一种手段,控制用户和系统如何与其他系统和资源进行通信和交互。
主体可以是通过访问客体以完成某种任务的用户、程序或进程。
客体是包含被访问信息或者所需功能的被动实体,客体可以是计算机、数据库、文件、计算机程序、目录或数据库中某个表包含的字段。
访问控制是防范计算机系统和资源被未授权访问的第一道防线。
5.2 安全原则
每一项控制措施都能实现安全原则中的至少一个
可用性:一般采用容错和恢复机制
完整性:保护数据或资源免受未授权的修改
机密性:保证消息不会泄露给未授权的个人、程序或进程;安全机制包括加密、逻辑性和物理性访问控制、传输协议、数据库视图和流量控制等。第一步是确定哪些信息是敏感的以及信息的敏感程度,然后用适当的安全机制进行保护。
5.3 身份标识、身份验证、授权与可问责性
用户能够访问资源,首先证明他是自己所声明的人,拥有必需的凭证,并且具有执行所请求动作的必要权限和特权
身份标识:描述了一种能够确保主体(用户、程序或进程)就是其所声称实体的方法。
确保可问责性的唯一方法是主体能够被唯一标识,并且主体的动作被记录在案。审计日志、监控
身份验证一般涉及两个步骤:输入公共信息(用户名ID等,身份标识步骤),输入私有信息(静态密码、智能令牌、感知密码、生物特征、一次性密码或PIN,身份验证步骤)。
主体试图访问的系统需要确定主体是否具有执行请求的动作所需的权限和特权,eg查看访问控制矩阵或比较安全标签,进行授权
竞争条件攻击的一种形式:迫使授权步骤在身份验证步骤之前发生,进而对资源进行未授权访问
?
1、身份标识与身份验证
用于身份验证的三种因素:
(1)某人知道什么(根据知识进行身份验证):密码、PIN、密码锁等;其他人也可能获得相关知识进行未授权访问。
(2)某人拥有什么(根据所有权进行身份验证):钥匙、门卡、访问卡或证件,常用于访问设施,容易丢失或被盗导致未授权访问。
(3)某人是什么(根据特征进行身份验证):基于物理特征,生物测定学
强身份验证(双因素身份验证):包含三种身份验证方法中的两种方法
创建和发布安全身份包括三个关键方面:唯一性、非描述性(任何凭证都不应当表明账户的目的)和签发(由另一个权威机构提供,用于证明身份)
身份管理IdM(Identity Management)
使用不同产品对用户进行自动化的身份标识、身份验证和授权,用户账户管理、访问控制、密码管理、单点登录SSO、管理用户账户的权限、监控
和多个云供应商对接解决IAM身份和验证管理的措施是可传递信任
身份管理解决方案和产品:目录、Web访问管理、密码管理、传统单点登录、账户管理、配置文件更新
(1)目录
目录包含公司资源和用户有关的信息,多数目录遵循一种层次化的数据库格式,基于X.500标准和轻量级目录访问协议LDAP
目录内的客体由目录服务管理,目录内的客体通过名称空间标记和标识,eg windows系统的AD(Active Directory活动目录)
缺点:无法管理许多遗留设备和应用程序
在基于X.500标准的数据库目录中,下面的规则用于组织客体:
目录采用树结构,使用父-子配置来组织条目
每个条目具有由某个特定客体的属性组成的唯一名称
目录中所使用的属性由预定义模式规定
唯一标识符称为可区分名
LDAP(Lightweight Directory Access Protocol),允许主体和应用程序与目录进行交互。
Windows下使用域控制器DC(Domain Controller),其数据库中具有层次化目录,运行目录服务AD(Active Directory),组织网络资源并执行用户访问控制功能。
目录服务使用名称空间使实体保持有序运行
元目录:从不同来源收集必要的信息,并保存在中央目录内,允许身份信息从各个地点被调用并存储在本地系统中,本地系统中的数据通过复制流程进行更新,虚拟目录使用指针指向身份数据在最初系统驻留的位置,不需要复制流程
虚拟目录:没有身份数据,IdM组件调用虚拟目录时,其指向信息所在的位置
(2)Web访问管理WAM(Web Access Management)
用于控制用户在使用web浏览器与基于web的企业资产进行交互时能够访问哪些内容
通常是Web服务器的一个插件,将作为前端进程运行
WAM是用户与基于Web的企业资源之间的主要网关,可提供单点登录功能(即通过身份验证后,不必多次登录就能访问web上不同的应用程序和资源)
通过cookie提供凭证
如果cookie中包含任何类型的敏感信息,应当只保存在内存中,会话结束后从内存中清除
2、身份验证方法:
(1)密码管理
密码同步:降低保留不同系统的不同密码的复杂性,使用一个密码访问各种资源。优点是减少服务台收到的求助电话数量,为管理员节省时间;缺点是黑客只需要攻破一个凭证就能够获得对所有资源的未授权访问
自助式密码重设:用户以问答形式提交,用户重新设置自己的密码
辅助式密码重设:允许服务台工作人员在重设密码前对打电话的用户进行身份验证
传统单点登录SSO(Single Sign-on)
将SSO产品作为身份管理解决方案的一部分
SSO软件截获来自网络系统和应用程序的登录提示,并为用户填入信息;而密码同步是使用同一个密码登录
缺点:瓶颈或单点故障,SSO服务器崩溃,用户不能访问资源
账户管理:负责创建系统中的所有用户账户,在必要时更改账户权限,不在需要时删除账户
用户指派:为相应业务过程而创建、维护和删除,存在系统、目录或应用程序中的用户对象与属性。
总结:构建目录是保存用户和资源信息,元数据目录从网络的不同位置提取身份信息
用户管理工具在用户身份的整个生命周期中对其进行自动控制并提供指派
单点登录技术内部员工在访问企业资源时只进行一次身份验证
web访问管理工具为外部用户提供单点登录服务,控制对web资源的访问
(2)生物测定学
行为性生物测定:“你做什么”动态签名(签名产生的电信号被捕获)、动态击键
生理性生物测定:“你是什么”指纹、声纹、视网膜扫描(扫描眼球后方视网膜上血管的图案,涉及隐私问题)、虹膜扫描(瞳孔周围的一圈彩色部分,最精确,成年后保持不变)
手掌扫描、手部外形(人手以及手指的大小和宽度,手的几何特征)、手形拓扑(检查沿着整个手型及其弯曲部分的不同起伏形状 不足以进行身份验证,常与手部外形组合)
1类错误:误拒绝率FRR(False Rejection Rate),拒绝一个已获授权的个人
2类错误:误接受率FAR(False Acceptance Rate),接受本应该拒绝的人
交叉错误率CER(Crossover Error Rate)or相等错误率EER,即误拒绝率和误接受率相等的点,判断系统精确度的重要评估指标 CER3 > CER4
推广面临的障碍:用户可接受程度、特征登记时间和工作效率
从用户插入数据到其收到接受或拒绝响应的时间应在5-10s之间
(3)密码? 某人知道什么
密码 身份验证机制中最常用的方式之一,也是最脆弱的机制之一
密码生成器应当创建并不复杂的、可读出的而又不是字典单词的密码,以便帮助用户记忆
密码攻击技术:电子监控、访问密码文件、蛮力攻击、字典攻击、社会工程、彩虹表(包含已采用散列格式的密码,将捕获的散列密码与表中的密码进行比较)
确定弱密码对雇员的密码进行破解之前,需要得到管理层的批准
密码管理、密码散列与加密、密码生命期、限制登录次数(避免字典攻击和蛮力攻击)
shadow存储的是密码的散列值? 加盐提高复杂度
(4)感知密码
基于事实或观点的信息,可用于服务台
(5)一次性密码OTP(One-Time Password)? 动态密码,可防止重放攻击
一次性密码生成的令牌有两种类型:同步和异步
令牌设备是最常见的OTP实现机制,为用户生成向身份验证服务器提交的一次性密码
三种实现形式:一个专用的物理设备;一个智能手机应用程序;一个服务向手机发送短信
同步:使用时间或计数器(事件型生成器),SecurID是使用最广泛的时间型令牌之一
异步:通过挑战/响应机制对用户进行身份验证
不容易遭受电子偷听、嗅探和密码猜测
(6)密钥
通过生成数字签名来使用私有密钥,数字签名是一种使用私有密钥加密散列值的技术
(7)密码短语
一个比密码长的字符串,用户输入密码短语,应用程序将其转换为虚密码
(8)存储卡?? 保存用户的身份验证信息,不处理
存储卡+PIN值? 双因素身份验证?? eg ATM卡
(9)智能卡? 具有实际处理信息的必要硬件和软件
智能卡+PIN? 双因素
分为:接触式与非接触式?
智能卡可编程,检测到对该卡有篡改攻击时,智能卡上存储的信息会被自动擦除
对智能卡的攻击:故障生成攻击(改变输入电压、时钟频率、温度波动)
旁路攻击:不利用任何形式的缺陷的情况下找出与组件运作方式相关的敏感信息,非入侵式攻击,eg差分功率分析、电磁分析、计时(完成特定过程所需的时间)
入侵式攻击有微区探查,使用针头和超声振动取出智能卡电路上的外部保护材料,通过直接连接智能卡的ROM芯片访问和操纵数据
3、授权:
身份验证成功后,系统确认用户已被授权访问特定资源以及被许可对该资源执行的操作
(1)访问准则
“知其所需”准则
对各种角色、组、位置、时间和事务处理类型(在特定功能作用期间)实施不同的访问准则
(2)默认为拒绝访问
从零开始,基于“知其所需”添加特权
决定用户安全需求以及如何授权访问是管理层的工作,安全管理员配置满足安全需求的安全机制
授权蠕动:雇员长期工作,从一个部门调用到另一个部门,被赋予越来越多的访问权限和许可
(3)单点登录技术
为了解决管理不同网络环境、安全考虑和用户习惯带来的高成本以及用户需记住一系列凭证的问题
输入一次凭证可访问指定域内的所有授权资源
缺点:互操作性问题
(4)Kerberos? 分布式环境单点登录的示例,不涉及可用性
实现要求:透明、可扩展(异构环境运行)、可靠的(使用分布式服务器架构确保不会出现单点故障)、安全(提供身份验证和机密性)
一个身份验证协议,在客户端/服务器模型中工作、基于对称密钥密码学,提供端对端的安全性,消除了通过网络传输密码,使用共享的秘密密钥
主要组件:
密钥分发中心KDC(Key Distribution Center):提供身份验证服务和密钥分发,为委托人(用户、应用程序或网络服务)提供安全服务,为每个委托人提供账户,并与之共享一个秘密密钥,用于在委托人和KDC之间发送敏感信息,进行用户身份验证。
KDC的票证由票证授予服务TGS(Ticket Granting Service)生成,用于生成服务的票证,票证使一个委托人能够对另一个委托人进行身份验证
身份验证服务AS(Authentication Service),用于对委托人进行身份验证
用户与KDC共享一个秘密密钥,服务与KDC共享另一个秘密密钥,用户对服务进行身份验证后,它们就共享一个对称密钥即会话密钥
身份验证过程:
1.用户向KDC的AS进行身份认证,AS向用户发送使用他和KDC共享的秘密密钥加密的票证授予票证TGT(Ticket Granting Ticket)
(TGT是为了让用户不必在每次需要与另一个委托人通信时都输入自己的密码)
2.TGT解密
3.请求使用打印服务器,系统将TGT发送给KDC的TGS
4.TGS生成新的票证,包含相同会话密钥(用户和打印服务器共享,会话结束时销毁)的两个实例,一个使用 用户的秘密密钥加密,一个使用打印服务器的秘密密钥加密
5.用户收到票证,解密提取会话密钥,添加相应身份验证,发送给打印服务器
6.打印服务器解密提取会话密钥,然后再解密身份验证信息验证用户身份,若匹配则通过
防重放攻击:时间戳、序列号
弱点:
KDC是单一故障点;KDC应能处理大量请求;秘密密钥临时存储在用户工作站上;会话密钥解密后存在用户的缓存中,可能会被入侵者获取;容易遭受密码猜测攻击(OS提供了保护机制);时钟同步
(5)安全域
在相同安全策略下运行的资源,由相同的组管理
不同的域由逻辑边界分隔,采用层次化结构
适用于网络设备和区段,用户和进程
单点登录技术总结:
Kerberos:使用KDC和票证的身份验证协议,基于对称密码学
SESAME:使用PAS和PAC的身份验证协议,基于对称和非对称密码学
安全域:在相同安全策略下运行的资源,由相同的组管理
目录服务:运行资源以标准化方式命名和允许访问控制被集中维护的一种技术
瘦客户端:依赖一台中央服务器进行访问控制、处理和存储的终端
KryptoKnight
4、联合身份
便携身份以及与之相关联的权利,可以在整个业务范围内使用,eg航空公司和酒店使用联合身份管理系统,预定机票时可进入酒店的web站点预定酒店
集成到基于web的身份管理过程和产品的常用身份验证方法:
(1)访问控制和标记语言
超文本标记语言HTML源于标准通用标记语言SGML,SGML源自通用标记语言GML
可扩展标记语言XML:一种通用的基础性标准语言,为其他语言提供了构建基础,提供互操作性
服务供应标记语言SPML:允许位于不同平台上的服务供应请求集成和互操作,允许在不同应用系统和应用程序上建立管理账户(账户创建、修改和撤销)。
安全断言标记语言SAML(Security Assertion Markup Language):用户登录一次可以访问各自独立的不同的web应用程序,在存有那些web应用程序数据的系统之间以标准化方式安全共享身份验证数据,允许在安全域之间交换身份验证和授权数据
SAML数据可通过不同类型协议传输,常用协议是简单对象访问协议SOAP(规定了如何以结构化方式交换与web服务有关的信息)
eg你需要与公司的顾客关系系统交互,该系统由其他供应商托管和维护,登录公司网站点击链接,公司门户网站接受请求和身份验证数据,然后以SAML形式打包,把数据封装到一个SOAP消息,这个消息通过HTTP连接发送给供应商网站
可扩展访问控制标记语言(XACML):用来向web服务提供的资产表述安全策略和访问权限,一个访问控制策略语言,一个以标准方式解释和执行策略的处理模型,应用程序安全策略可与其他应用程序共享来确保双方遵循相同的安全原则
(2)OpenID
由第三方进行用户身份验证的开发标准
eg登录网站,提供了用你的谷歌身份登录的选项(身份提供者即为OpenID提供者)
OpenID定义三个角色:
终端用户:为了使用资源而希望被验证的用户
资源方:拥有终端用户试图访问的资源的服务器
OpenID提供者:在系统中,终端用户已经有一个账户,资源方通过这一账户来验证用户的身份
(3)OAuth开放授权
对第三方的一个开放授权标准(非身份验证),可授权一个网站使用你在另一个网站上控制的东西eg 全民k歌查找微信好友
5、身份即服务IDaaS(Identity as a Service)是一种软件即服务SaaS,通常联合IdM和密码管理系统,并配置用于提供SSO。(云服务商提供身份识别服务)
6、集成身份识别服务,基本方法:内部采购或外包
注意事项:建立连通性(确保组件之间安全通信)、建立信任(节点之间用于身份识别服务的流量要加密)、渐增测试
5.4 访问控制模型? 规定主体如何访问客体的一种架构,使用访问控制技术和安全机制来实现模型的规则和目标
3种:自主访问控制、强制访问控制、非自主访问控制(也称为角色访问控制)
内置在操作系统内核或应用程序中
(1)自主访问控制DAC
资源所有者指定哪些主体可以访问资源,对访问的控制基于所有者的自主决定
最常见实现方式:访问控制列表ACL,由所有者规定和设置,由操作系统实施
可应用于目录树结构及其包含的文件
(2)强制访问控制MAC? 基于多级安全策略(Bell-LaPadula是多级安全策略的第一个算术模型)
MAC型系统多由政府使用,保护最高机密的信息,用户不能安装软件
基于安全标签系统,主体和客体都赋予安全标签(敏感度标签),包含一个分类和不同的类别,分类表明敏感度级别(eg绝密、秘密等),类别实施“知其所需”原则。
军事分类:绝密、秘密secret、机密confidential、未分类
商业机构:机密、私有、公共、敏感
MAC中,系统通过比较主体和安全标签的许可和知其所需级别做出访问决策,DAC实现中,系统需要比较主体的身份和资源的ACL
(3)角色访问控制RBAC(Role-Based Access Control)
使用集中管理的控制方式来决定主体和客体如何交互
允许用户基于在公司内的角色访问资源,雇员流动性高的公司最适合
RBAC支持三个著名的安全原则:最小权限原则、责任分离原则、数据抽象原则
隐私意识角色访问控制
(4)规则性访问控制
使用特定的规则规定主体和客体的行为,基于RBAC? 强制型控制,规则由管理员制定,用户不能更改规则
eg电子邮件附件不能超过xMB
总结:
DAC 数据所有者决定谁能访问资源,ACL用于实施安全策略
MAC 操作系统通过使用安全标签来实施系统安全策略
RBAC 访问决策基于主体的角色
5.5 访问控制方法和技术?? 用于支持访问控制模型
(1)限制性用户接口
不允许使用某种功能、信息或访问特定的系统资源,限制用户的访问能力
主要有菜单和外壳、数据库视图(限制用户访问数据库数据的一种安全机制)、物理限制接口(只在键盘上提供某些键或只在屏幕上提供某些按钮)
(2)访问控制矩阵
一个包含主体和客体的表,规定每个主体对每个客体所能执行的动作
功能表:指定主体对特定客体进行操作的访问权限,与主体绑定在一起
功能可采用令牌、票证或密钥形式
访问控制列表ACL:与客体绑定在一起,一些主体被授权访问特定客体的权限列表
ACL对应访问控制矩阵中的列,功能表对应访问控制矩阵中的行
(3)内容相关访问控制
对客体的访问取决于客体的内容(数据敏感度),eg数据库视图
(4)上下文相关访问控制
基于一组信息的上下文做出访问决策,eg状态防火墙
5.6 访问控制管理
身份验证协议称为AAA协议,代表身份验证、授权和审计
密码身份验证协议PAP
挑战握手身份验证协议CHAP
可扩展身份验证协议EAP
1、集中式访问控制管理:
一个实体负责监督对所有企业资源的访问,配置实施访问控制的机制,对用户的访问控制资料进行必要的修改
集中式远程访问控制技术的例子:
(1)RADIUS远程身份验证拨号用户服务(Remote Authentication Dial-In Service)
一种网络协议,提供客户端/服务器身份验证和授权,并且审计远程用户。
RADIUS是为网络访问服务器产品开发的协议,随后作为标准公布
访问服务器请求远程用户的登录凭证,并将其传递回驻留用户名和密码值的RADIUS服务器,远程用户是访问服务器的客户端,而访问服务器又是RADIUS服务器的客户端
RADIUS服务器 用于拨号服务器、VPN、无线AP都可是RADIUS客户端
使用UDP作为传输协议,仅加密RADIUS客户端与服务端传送的密码,其他信息(用户名、问责和已授权服务)都以明文传送(可能存在重放攻击),在PPP连接上工作
(2)TACACS终端访问控制器访问控制系统? 思科
TACACS:将身份验证和授权过程组合在一起,使用固定密码进行身份验证
XTACACS:将身份验证、授权和审计过程分隔开
TACACS+:采用扩展双因素用户身份验证的XTACACS,允许使用一次性密码;基于TCP协议,加密客户端和服务器端的所有数据;纯粹的AAA体系,单独处理身份验证、授权和问责/审计功能,允许网络管理员更灵活地对远程用户进行身份验证;支持其他协议,egAppleTalk、NetBIOS、IPX(与TACACS和XTACACS不兼容)
总结:RADIUS可用在当用户名或密码身份验证特别简单并且用户只需要一个接受或拒绝就能获得访问时,eg ISP
TACACS+ 环境需要更加复杂的身份验证步骤并且对复杂的身份验证行为需要更严格的控制,eg公司网络中
(3)Diameter? RADIUS升级版
一种提供与RADIUS和TACACS+相同功能的AAA协议,具有更大的灵活性和功能
由两部分组成,基本协议,提供Diameter实体之间安全通信、特性发现和版本协商,第二部分是扩展协议,建立在基本协议之上,允许各种技术使用Diameter进行身份验证
可进行扩展,连接其他服务,如VoIP、移动、无线身份验证,适用于所有不同用途的AAA协议
Diameter是对等协议,允许任何一端发起通信,不能向后兼容RADIUS,,使用TCP和AVP,提供代理服务器支持,更强大的错误检测和纠正功能、更高的网络可靠性
属性值对Attribute Value Pairs,AVP是描述两个实体如何通信的构造。Diameter有更多的AVP,这使得协议具有更多的功能,更多的AVP可在系统间通信时提供更多功能和服务
提供的AAA功能:
身份验证:PAP、CHAP、EAP;端对端保护;重放攻击保护
授权:重定向、安全代理、中继和转接;状态调节;主动中断链接;重新授权
问责:
2、分散式访问控制管理:
将访问控制权交给资源附近的人员
缺点:内部可能没有统一性、会重叠、缺乏适当的连贯性
5.7 访问控制方法
行政管理性控制:策略和措施;人员控制;监管控制;安全意识培训;测试(所有安全控制机制措施需要周期性测试)
管理层的责任构造安全策略
物理性控制:网络分段;周边安全;计算机控制;工作区分隔;数据备份;布线;控制区(根据每个区域所发生活动的敏感程序分为不同的区域)
技术性控制:系统访问(一种能够实现访问控制目标的技术性控制,可以是密码组合、kerberos、生物测定学、PKI、RADIUS、TACSCS+等);网络架构(墙和位置、IP子网等进行隔离);网络访问;加密和协议;审计工具是一种跟踪网络内部、网络设备或计算机活动的技术性控制
5.8 可问责性
记录用户、系统和应用程序的活动跟踪可问责性,包含与操作系统、应用程序事件和用户动作相关的信息;还可用于提供有关任何可疑活动的报警
日志必须不被未授权修改,应包含所有高权限账户的活动
系统级事件、应用程序级事件、用户级事件
入侵检测系统IDS持续扫描审计日志,以检测可疑活动
审计简约工具减少审计日志内的数量,记录有用的系统性能、安全和用户功能信息。
安全信息和事件管理系统SIEM
情景意识是你了解当前复杂的、动态的且看似不相关的数据点构成的环境
击键控制:一种能够检查和记录用户在操作过程中的键盘输入的监控行为(涉及隐私问题)
5.9 访问控制实践
信息的未授权泄漏?? 社会工程、隐蔽通道、恶意代码、电子嗅探
客体重用:将先前包含一个或多个客体的介质重新分配给主体(应在分配前确认没有残留信息)
发射安全:对计算机发出的电磁辐射进行截获
TEMPEST一项标准,目的是阻止入侵者通过侦听设备从电磁波中获取信息,是一种采用屏蔽材料抑制信号辐射的标准化技术;TEMPEST设备具有一个法拉第笼的金属外壳,确保只释放一定的放射量。只用于需要高度保护的敏感区域。
TEMPEST两个替代技术:自噪声(使入侵者无法从电磁波传输中获取信息的方法,是具有均匀频谱的随机电子信号)和控制区(创建了一个安全边界)
5.10 访问控制监控
入侵检测系统IDS
组件:传感器、分析器、管理员界面
传感器收集流量和用户活动数据,并将它们发送给一个查找可疑活动的分析器,如果分析器检测到一个认为可疑的活动,就会向管理员界面发送报警
两种类型:
(1)网络型(监控网络通信) NIDS(Network-based IDS)具有混杂模式的网络接口卡
(2)主机型(分析特定计算机系统内的活动)HIDS? 数据来源操作系统审计跟踪和系统日志
HIDS和NIDS还可分为:
(1)知识型或特征型IDS
模式匹配(比较数据包和特征)
状态匹配
(2)异常型IDS?? 能够检测新的攻击
基于统计异常 创建一个正常的活动概述,进行匹配
基于协议异常 标识在公共边界之外使用的协议
基于流量异常? 标识不正常的网络流量
(1)知识型或特征型入侵检测:
知识是IDS供应商积累的有关攻击如何实施的信息,为如何实施攻击而开发的模型称为特征signature
特征:为如何实施攻击而开发的模型,用于检测正在发生的攻击
陆地攻击(源地址和目标地址相同)
目前最常用的IDS产品,特征必须持续更新,只能识别已被标识编写了特征的攻击,无法应对新出现的攻击
(2)状态型入侵检测:
状态是OS的值在可变的、临时的和永久的内存位置上的一个快照
初始状态和侵入状态之间发生的活动,IDS具有一些说明应对哪些状态转换序列发出报警的规则,只能标记已知的攻击
(3)统计异常型入侵检测:
行为型系统,具有学习能力
能够响应新的攻击,检测零日攻击
缺点:大量误报
确定适当的统计异常上限是关键,若太低,IDS会出现误报(将非入侵活动视为攻击);若设置过高,出现漏报
协议异常型入侵检测:
为每个协议正常用法建立一个模型
Xmas攻击:数据包的TCP报头全部以比特值1为标记
规则型或启发型IDS:较复杂,无法检测新的攻击
需要用到专家系统(由知识库、推理引擎和规则型编程组成),系统的知识以规则性编程编写
如果网络流量超过了IDS的上限,攻击会被忽略。
入侵防御系统IPS(Intrusion Prevtion System)
NIDS很难检测交换网络,因为在交换网络中,数据通过独立的虚拟电路传输,而不是像非交换环境那样通过广播传输
IPS目的是检测恶意活动,并禁止这类流量访问攻击目标
蜜罐(帮助管理员了解攻击在发生,以便提醒管理员加固系统的安全性,跟踪攻击者)
网络嗅探器:一种放在LAN网络中用于检测网络流量的程序或装置,采用混杂模式的网络适配器或捕获数据的驱动程序(嗅探器很难被检测到)
(嗅探器能够捕获网络流量,若能够理解和解释协议和相关数据,则称为协议分析器)
5.11 对访问控制的几种威胁
字典攻击
蛮力攻击:尝试每种可能的组合,直至找到正确的组合
战争拨号:使用一长串电话号码,试图找到一个调制解调器获得未授权访问
登录欺骗:假的登录界面,诱骗用户尝试登录,可获取密码
网络钓鱼:社会工程攻击
鱼叉式网络钓鱼:用来欺骗一个特定的目标而不是一群普通人群时
网站嫁接Pharming:将受害者重定向至看似合法的、其实是伪造的网站,实施DNS中毒攻击(即让DNS服务器将主机名称解析为错误的IP地址)
题目总结:
1、单点登录技术?
???? Kerberos、活动目录联合服务(ADFS)和中央身份验证服务(CAS)都是SSO实现。
2、访问控制方法和技术
????? 功能表与主体绑定
????? ACL与客体绑定
3、Kerberos的弱点 过程
????? Kerberos使用域,为需要连接到K5域的Active Directory环境设置的适当信任类型是域信任。快捷信任是域树或林之间缩短信任路径的传递信任,林信任是两个林根域之间的传递信任,外部信任是不同林中的AD域之间的非传递信任。
(1)Kerberos客户机在将用户名和密码发送给KDC之前使用AES加密用户名和密码。
(2)KDC使用用户的密码生成散列,然后使用该散列加密对称密钥。它将加密的对称密钥和一个加密的带有时间戳的TGT传输给客户端。
(3)Kerberos依赖于连接到函数的每一端的正确同步时间。
如果本地系统时间不同步超过5分钟,有效的tgt将无效,系统将不会收到任何新的票据。
(4)Windows使用Kerberos进行身份验证。
4、联合 SAML OAuth
? OAuth用于使用现有凭证登录第三方网站。
???? SAML是一种标记语言,不能满足AAA的全部需求。
?? 服务配置标记语言(SPML)是一种基于xml的语言,旨在允许平台生成和响应配置请求。SAML用于生成授权和身份验证数据,而XACML用于描述访问控制。SOAP或简单对象访问协议(Simple Object Access Protocol)是一种消息传递协议,可以用于任何XML消息传递,但它本身不是一种标记语言。SOAP是异步的,支持有关路亩的元请求,支持远程过程调用
5、限制性接口:菜单和外壳、数据库视图、物理限制接口
6、暴力攻击、字典攻击、彩虹表攻击区别
???? 彩虹表攻击是在攻击者已经拥有密码哈希并且不会在日志中显示的时候使用的
???? TearDrop是Dos攻击
7、AAA协议
???? RADIUS是一种AAA协议,用于提供认证和授权;它通常用于调制解调器、无线网络和网络设备。它使用网络访问服务器向中心RADIUS服务器发送访问请求。缺省情况下,RADIUS采用UDP协议,只对密码进行加密。RADIUS支持TCP和TLS,但这不是默认设置。RADIUS支持TLS over TCP。RADIUS不支持基于UDP的TLS模式。
Kerberos是基于票据的身份验证协议;
OAuth是一个开放的认证标准,允许在第三方网站上使用一个网站的证书;
EAP是可扩展认证协议,一种经常用于无线网络的认证框架。
OAuth主要用于web应用程序。TACACS+用于网络设备。
8、访问控制模型
? Biba模型 强制访问控制
?? MAC所有的主体和对象都有一个标签。
??? 基于资源的访问控制匹配资源(如存储卷)的权限。基于资源的访问控制在作为服务环境的云基础设施中越来越普遍。
9、身份认证类型
????? 密码、PIN属于一类
??? 储存的生物特征因子样本称为参考剖面或参考模板。生物因子 FRR误拒绝率 FAR误接受率
??? 带外身份验证依赖于另一种渠道,比如电话或短信。
??? 基于时间的控件是上下文相关访问控制的例子。
? 同步软令牌,如谷歌Authenticator,使用基于时间的算法生成不断变化的代码系列。异步令牌通常需要在令牌上输入一个挑战,以允许它计算响应,服务器将其与期望的响应进行比较。
? 手掌扫描将手掌的静脉模式与数据库进行比较,以验证用户的身份,静脉模式是唯一的。
10、LDAP
????? 专有名称由0个或多个逗号分隔的组件组成,这些组件称为相对专有名称。
????? “636”端口是LDAP- s的默认端口,LDAP- s通过SSL或TLS提供LDAP,表示服务器支持加密连接。不安全的LDAP服务使用389,不安全的全局目录服务使用3268。安全全局编目服务的默认端口3269。
?? LDAP的简单身份验证和安全层(SASL)提供了对一系列身份验证类型的支持,包括安全方法。匿名身份验证不需要或不提供安全性,简单身份验证可以通过SSL或TLS进行隧道化,但它本身并不提供安全性。S-LDAP不是LDAP协议。