Embed Size (px)
DESCRIPTION
网络安全设计. 第 1 章 安全设计简介 第 2 章 创建网络安全计划 第 3 章 确定网络安全威胁 第 4 章 分析安全风险 第 5 章 创建物理资源安全 设计 第 6 章 创建计算机安全设计 第 7 章 创建账户安全设计 第 8 章 创建身份验证安全 设计. 第 9 章 创建数据安全设计 第 10 章 创建数据传输安全设计 第 11 章 创建网络周边安全设计 第 12 章 设计安全事件应对措施 附录 A 可接受使用策略的设计 附录 B 网络管理策略的设计 附录 C 安全管理的运营框架 设计 - PowerPoint PPT Presentation
Citation preview
网络安全设计
第 1 章 安全设计简介第 2 章 创建网络安全计划第 3 章 确定网络安全威胁第 4 章 分析安全风险第 5 章 创建物理资源安全
设计第 6 章 创建计算机安全设计第 7 章 创建账户安全设计第 8 章 创建身份验证安全
设计
第 9 章 创建数据安全设计第 10 章 创建数据传输安全设计第 11 章 创建网络周边安全设计第 12 章 设计安全事件应对措施附录 A 可接受使用策略的设计附录 B 网络管理策略的设计附录 C 安全管理的运营框架 设计附录 D CHAP 、 MS-CHAP 和 MS- CHAP v2 中的身份验证
第 8 章 身份验证的安全设计
确定身份验证威胁并分析其风险设计身份验证的安全性
确定身份验证威胁并分析其风险
身份验证概述身份验证安全的重要性常见的身份验证漏洞课堂练习 分析身份验证的风险
8.1 确定身份验证威胁并分析其风险
身份验证概述
分支机构分支机构
公司总部公司总部
Web 服务器
Internet
服务器
局域网 (LAN)
局域网(LAN)
远程用户远程用户VPN
无线用户
本地远程通过 Internet
本地远程通过 Internet
用户身份验证的方式:
8.1.1 身份验证概述
攻击者 威胁 示例
外部 电子欺骗 攻击者使用朋友的家用计算机,并且通过使用凭据缓存获得对网络的远程访问
内部 网络监视 攻击者截取早期身份验证协议所使用的密码散列,并且对密码散列实施暴力攻击以获取密码
外部攻击者
凭据缓存凭据缓存
内部攻击者内部攻击者
AC234FFA2948404EEAC234FFA2948404EE
身份验证安全的重要性8.1.2 身份验证安全的重要性
漏洞 示例
密码 密码以明文形式传送 密码散列通过网络传送 密码被特洛伊木马程序拦截
兼容性早期软件使用弱身份验证方法和其他应用程序一起使用导致身份验证的安全性降低与非 Microsoft 操作系统不兼容
加密应用程序使用弱加密早期操作系统使用弱加密方法攻击者拦截并重放了身份验证数据包
常见的身份验证漏洞8.1.3 常见的身份验证漏洞
课堂练习 分析身份验证的风险
阅读场景
回答问题
全班一起讨论答案
阅读场景
回答问题
全班一起讨论答案
11
22
33
分析
8.1.4 课堂练习 分析身份验证的风险
第 8 章 身份验证的安全设计
确定威胁和分析身份验证的风险设计身份验证的安全性
确定身份验证需求的步骤局域网身份验证协议局域网中账户身份验证的注意事项Web 用户身份验证的注意事项RAS 用户身份验证的注意事项多要素身份验证应用程序和网络设备身份验证的注意事项课堂练习 风险和应对措施安全策略检查清单
设计身份验证的安全性8.2 设计身份验证的安全性
确定身份验证需求的步骤
为了确定身份验证需求,需要:
1.分析身份验证安全性的业务和技术需求2.确定早期操作系统的兼容性需求3. 确定应用程序的兼容性需求4. 确定第三方应用程序和操作系统的身份验证需求5. 设计身份验证的实现策略
8.2.1 确定身份验证需求的步骤
局域网身份验证协议
协议 注意事项
LAN Manager
早期的 Microsoft 操作系统使用 使用基本的质询和响应交换 不是一个安全的身份验证协议
NTLM
在 Windows NT 4.0 中,以及对 Windows 2000 及后续操作系统中的本地账户, NTLM 是默认的身份验证协议
使用基本的质询和响应交换
NTLMv2
Windows 95 及后续操作系统支持 通过增加会话安全性和加密而改进了 NTLM 的安
全性 客户端和服务器双向身份验证
Kerberos
Windows 2000 及后续操作系统(在 Active Directory 域中)默认使用
客户端和服务器双向身份验证 支持智能卡
8.2.2 局域网身份验证协议
Kerberos 登录过程
Kerberos 服务请求
多媒体 Kerberos 协议的工作原理
局域网中账户身份验证的注意事项
与基于 UNIX 的操作系统的互操作性计算机之间的时间同步与基于 UNIX 的操作系统的互操作性计算机之间的时间同步
使用 Kerberos 时的注意事项:
移除 LAN Manager 密码散列配置服务器和客户端的 LAN Manager Compatibility 等级设置 NTLMv2 会话安全性
移除 LAN Manager 密码散列配置服务器和客户端的 LAN Manager Compatibility 等级设置 NTLMv2 会话安全性
使用 LAN Manager 或 NTLM 时的注意事项:
8.2.3 局域网中账户身份验证的注意事项
IIS 身份验证协议 注意事项
匿名 使用同一个账户 不需要用户提供凭据
基本 以明文形式发送用户名和密码 所有浏览器都支持 如果和 SSL 或 TLS 联合使用则是安全的
摘要 使用用户名、密码和 nonce 来创建散列 所有 Web 浏览器都支持 引入了其他漏洞
集成 Windows
只与 Internet Explorer 兼容 不能和代理服务器或防火墙一起使用 内部网 Web 站点使用
基于证书 需要 PKI 不要求用户输入密码
Web 用户身份验证的注意事项8.2.4 Web 用户身份验证的注意事项
远程身份验证协议 注意事项
CHAP
要求密码使用可逆的加密方法进行保存 与 Macintosh 和基于 UNIX 的 RAS 客户端兼容 不允许数据加密
MS-CHAP Windows 95 客户端使用 仅支持 Microsoft 客户端
MS-CHAP v2 执行双向身份验证 Windows 2000 及后续操作系统默认安装该协议
EAP-TLS 需要 PKI 启用多要素身份验证
RAS 用户身份验证的注意事项8.2.5 RAS 用户身份验证的注意事项
希望不是只通过密码来验证用户身份安全性对机构至关重要希望不是只通过密码来验证用户身份安全性对机构至关重要
要素 示例
口令 用户名和密码 PIN
物理设备 智能卡 硬件或软件令牌
用户的个人特征 指纹 声音
使用多要素身份验证的场合:
多要素身份验证8.2.6 多要素身份验证
用户账户和密码的保存方式身份验证协议如何和基于 Windows 的计算机集成凭据在网络中的传输方式如何才能审核身份验证
用户账户和密码的保存方式身份验证协议如何和基于 Windows 的计算机集成凭据在网络中的传输方式如何才能审核身份验证
为了给应用程序和网络设备设计身份验证,需确定:
考虑下列软件或硬件的身份验证方式:
应用程序路由器、交换机和网络连接设备网络打印机和应用设备
应用程序路由器、交换机和网络连接设备网络打印机和应用设备
应用程序和网络设备身份验证的注意事项8.2.7 应用程序和网络设备身份验证的注意事项
课堂练习 风险和应对措施
场景
阅读每个场景
选择最佳风险处理策略
确定适当安全应对措施
全班一起讨论答案
阅读每个场景
选择最佳风险处理策略
确定适当安全应对措施
全班一起讨论答案
11
22
33
44
8.2.8 课堂练习 风险和应对措施
创建策略和步骤以验证:本地用户和计算机Web 用户RAS 用户网络应用程序网络设备
创建策略和步骤以验证:本地用户和计算机Web 用户RAS 用户网络应用程序网络设备
安全策略检查清单8.2.9 安全策略检查清单
实验 A 身份验证的安全设计实验 A 身份验证的安全设计
回顾
学习完本章后,将能够:确定身份验证面临的威胁并分析其风险设计身份验证的安全性
