- •Управление доступом и мониторинг
- •Сравнение прав, разрешений и привилегий
- •Понимание механизмов авторизации
- •Понимание механизмов авторизации
- •Понимание механизмов авторизации
- •Понимание механизмов авторизации
- •Определение требований с помощью политики безопасности
- •Модели контроля доступа
- •Модели контроля доступа
- •Модели контроля доступа
- •Модели контроля доступа
- •Классификации MAC модели:
- •Классификации MAC модели:
- •Реализация систем аутентификации
- •Реализация систем аутентификации
- •Реализация систем аутентификации
- •Identity Provider (IdP)
- •Реализация систем аутентификации
- •Реализация систем аутентификации
- •Реализация систем аутентификации
- •Реализация SSO во внутренних сетях
- •Реализация SSO во внутренних сетях
- •Реализация SSO во внутренних сетях
- •Реализация SSO во внутренних сетях
- •Реализация SSO во внутренних сетях
- •Реализация SSO во внутренних сетях
- •Реализация SSO во внутренних сетях
- •Реализация SSO во внутренних сетях
- •Избежание атак
- •Контроль физического доступа
- •Контроль электронного доступа к файлам
- •Хеширование и соление паролей
- •Маскировка паролей
- •Многофакторная аутентификация
- •Ограничение числа попыток входа
- •Уведомления о последнем входе
- •Обучение пользователей безопасности
Реализация SSO во внутренних сетях
Для внутренних сетей часто используется решение SSO, и Kerberos — наиболее распространённый стандарт. Для удалённого доступа к внутренним сетям (например, из дома) часто используются протоколы RADIUS и TACACS+, которые, помимо поддержки SSO, обеспечивают аутентификацию, авторизацию и учёт.
Протоколы AAA (Authentication, Authorization, and Accounting)
предоставляют централизованный контроль доступа для удалённых сетевых сервисов, таких как VPN. Они защищают системы аутентификации локальных сетей и другие серверы от удалённых атак. В случае атаки на систему удалённого доступа, атакующий не получит доступ к внутренним учетным записям. Эти протоколы обеспечивают аутентификацию, авторизацию и учёт, проверяя права пользователя и отслеживая использование сетевых ресурсов (например, для целей биллинга).
Реализация SSO во внутренних сетях
Kerberos — это система аутентификации, использующая механизм билетов и третью сторону для подтверждения идентификации и аутентификации пользователей. Основная цель Kerberos — это аутентификация. После того как пользователь проходит аутентификацию, Kerberos выдаёт «билеты», которые предоставляются при доступе к ресурсам.
Kerberos использует симметричное шифрование с протоколом AES и защищает логин и данные аутентификации от перехвата. Он предоставляет решение SSO для пользователей и защищает учетные данные для входа.
Реализация SSO во внутренних сетях
В Kerberos имеется несколько ключевых компонентов:
Key Distribution Center (KDC) — это третья сторона, которая предоставляет аутентификационные услуги и хранит секретные ключи всех пользователей и серверов сети.
Authentication Server (AS) — предоставляет службы аутентификации и выдачи билетов.
Ticket (Билет) — зашифрованное сообщение, которое подтверждает авторизацию пользователя для доступа к ресурсам.
Ticket-Granting Ticket (TGT) — билет, подтверждающий, что пользователь аутентифицирован и может запрашивать другие билеты для доступа к ресурсам.
Kerberos Principal — объект, которому может быть выдан билет, обычно это пользователь.
Kerberos Realm — логическая область (например, домен), контролируемая Kerberos, в которой пользователи могут запрашивать билеты.
Реализация SSO во внутренних сетях
Процесс входа в Kerberos:
1.Пользователь вводит имя пользователя и пароль
2.Клиент шифрует имя пользователя с помощью алгоритма AES и отправляет его в Центр распределения ключей (KDC).
3.KDC проверяет и удостоверяется в подлинности.
4.KDC генерирует симметричный ключ для клиента и сервера, шифрует его с хешем пароля пользователя. Затем создается зашифрованный TGT (Ticket-Granting Ticket) с временной меткой.
5.KDC отправляет клиенту зашифрованный симметричный ключ и TGT.
6.Клиент сохраняет TGT и использует его до истечения срока действия. Он также расшифровывает симметричный ключ с использованием хеша пароля пользователя для дальнейшего использования.
Реализация SSO во внутренних сетях
Процесс запроса доступа к ресурсу, когда клиент хочет получить доступ к объекту, например сайт :
1.Клиент отправляет TGT в KDC с запросом на доступ.
2.KDC проверяет доступ пользователя и генерирует сервисный билет. 3.Клиент отправляет билет серверу.
4.Сервер проверяет билет с помощью KDC.
5.После проверки идентификации и авторизации устанавливается сессия между клиентом и сервером.
Kerberos имеет ограничение, которое заключается в его зависимости от KDC: если KDC будет скомпрометирован или выйдет из строя, все системы в сети окажутся уязвимыми, и аутентификация станет невозможной.
Реализация SSO во внутренних сетях
RADIUS (Remote Authentication Dial-in User Service) — это протокол для централизованной аутентификации удаленного доступа, таких как VPN или модемные подключения. Он используется, когда в организации есть несколько серверов для доступа в сеть. Пользователь может подключиться к любому серверу, который передает учетные данные на сервер RADIUS для проверки аутентификации и авторизации, а также для учета использования.
Реализация SSO во внутренних сетях
RADIUS используется для:
•Подключений к интернет-поставщикам и для доступа из разных точек сети.
•Внедрения локальной безопасности, например, с использованием геолокации для определения местоположения пользователя.
•Дополнительной защиты через функцию callback, когда после аутентификации сервер RADIUS разрывает соединение и перезванивает на заранее определенный номер телефона пользователя.
RADIUS использует UDP (User Datagram Protocol) по умолчанию, и шифрует только пароль при обмене. Для полной защиты сессии можно использовать другие протоколы для шифрования.
Реализация SSO во внутренних сетях
TACACS+ (Terminal Access Controller Access Control System Plus) — это протокол, разработанный Cisco, который улучшает предыдущие версии и RADIUS. Он разделяет процессы аутентификации, авторизации и учета, что позволяет их разместить на разных серверах.
Основные особенности TACACS+:
•Разделяет аутентификацию, авторизацию и учет в отдельные процессы.
•Шифрует всю информацию об аутентификации, а не только пароль, как это делает RADIUS.
•Использует TCP порт 49, что обеспечивает более высокую надежность передачи данных.
Избежание атак
Избежание атак направленных на получение доступа включает:
1.Контроль физического доступа.
2.Контроль электронного доступа к файлам.
3.Хеширование и соление паролей.
4.Маскировка паролей.
5.Многофакторная аутентификация.
6.Ограничение числа попыток входа.
7.Уведомления о последнем входе.
8.Обучение пользователей безопасности.
Контроль физического доступа
Физический доступ к системам важен для безопасности. Если злоумышленник получает неограниченный физический доступ, он может украсть важные данные, такие как файлы паролей, с сервера аутентификации. Получив файл паролей, злоумышленник может взломать пароли офлайн. Если файл паролей был скачан, все пароли считаются скомпрометированными.