网络安全设计第 1章 安全设计简介第 2章 创建网络安全计划第 3章 确定网络安全威胁第 4章 分析安全风险第 5章 创建物理资源安全设计第 6章 创建计算机安全设计第 7章 创建账户安全设计第 8章 创建身份验证安全设计第 9章 创建数据安全设计第 10章 创建数据传输安全设计第 11章 创建网络周边安全设计第 12章 设计安全事件应对措施附录 A 可接受使用策略的设计附录 B 网络管理策略的设计附录 C 安全管理的运营框架设计附录 D CHAP,MS-CHAP 和 MS-
CHAP v2 中的身份验证第 8章 身份验证的安全设计确定身份验证威胁并分析其风险设计身份验证的安全性确定身份验证威胁并分析其风险身份验证概述身份验证安全的重要性常见的身份验证漏洞课堂练习 分析身份验证的风险
8.1 确定身份验证威胁并分析其风险身份验证概述分支机构公司总部
Web
服务器
Internet
服务器局域网 (LAN)
局域网
(LAN)
远程用户VPN
无线用户本地远程通过 Internet
用户身份验证的方式:
8.1.1 身份验证概述攻击者 威胁 示例外部 电子欺骗 攻击者使用朋友的家用计算机,并且通过使用凭据缓存获得对网络的远程访问内部 网络监视 攻击者截取早期身份验证协议所使用的密码散列,并且对密码散列实施暴力攻击以获取密码外部攻击者凭据缓存内部攻击者
AC234FFA2948404EE
身份验证安全的重要性 8.1.2 身份验证安全的重要性漏洞 示例密码密码以明文形式传送密码散列通过网络传送密码被 特洛伊木马程序拦截兼容性早期软件使用弱身份验证方法和其他应用程序一起使用导致身份验证的安全性降低与非 Microsoft 操作系统不兼容加密应用程序使用弱加密早期操作系统使用弱加密方法攻击者拦截并重放了身份验证数据包常见的身份验证漏洞 8.1.3 常见的身份验证漏洞课堂练习 分析身份验证的风险阅读场景回答问题全班一起讨论答案
1
2
3
分析
8.1.4 课堂练习 分析身份验证的风险第 8章 身份验证的安全设计确定威胁和分析身份验证的风险设计身份验证的安全性确定身份验证需求的步骤局域网身份验证协议局域网中账户身份验证的注意事项
Web 用户身份验证的注意事项
RAS 用户身份验证的注意事项多要素身份验证应用程序和网络设备身份验证的注意事项课堂练习 风险和应对措施安全策略检查清单设计身份验证的安全性 8.2 设计身份验证的安全性确定身份验证需求的步骤为了确定身份验证需求,需要:
1,分析身份验证安全性的业务和技术需求
2,确定早期操作系统的兼容性需求
3,确定应用程序的兼容性需求
4,确定第三方应用程序和操作系统的身份验证需求
5,设计身份验证的实现策略
8.2.1 确定身份验证需求的步骤局域网身份验证协议协议 注意事项
LAN Manager
早期的 Microsoft 操作系统使用
使用基本的质询和响应交换
不是一个安全的身份验证协议
NTLM
在 Windows NT 4.0 中,以及对 Windows 2000 及后续操作系统中的本地账户,NTLM 是默认的身份验证协议
使用基本的质询和响应交换
NTLMv2
Windows 95 及后续操作系统支持
通过增加会话安全性和加密而改进了 NTLM 的安全性
客户端和服务器双向身份验证
Kerberos
Windows 2000 及后续操作系统(在 Active Directory 域中)默认使用
客户端和服务器双向身份验证
支持智能卡
8.2.2 局域网身份验证协议
Kerberos 登录过程
Kerberos 服务请求多媒体 Kerberos 协议的工作原理局域网中账户身份验证的注意事项与基于 UNIX 的操作系统的互操作性计算机之间的时间同步使用 Kerberos 时的注意事项:
移除 LAN Manager 密码散列配置服务器和客户端的 LAN Manager Compatibility 等级设置 NTLMv2 会话安全性使用 LAN Manager 或 NTLM 时的注意事项:
8.2.3 局域网中账户身份验证的注意事项
IIS 身份验证协议 注意事项匿名?使用同一个账户?不需要用户提供凭据基本
以明文形式发送用户名和密码
所有浏览器都支持
如果和 SSL 或 TLS 联合使用则是安全的摘要
使用用户名、密码和 nonce 来创建散列
所有 Web 浏览器都支持
引入了其他漏洞集成 Windows
只与 Internet Explorer 兼容
不能和代理服务器或防火墙一起使用
内部网 Web 站点使用基于证书?需要 PKI?不要求用户输入密码
Web 用户身份验证的注意事项
8.2.4 Web 用户身份验证的注意事项远程身份验证协议 注意事项
CHAP
要求密码使用可逆的加密方法进行保存
与 Macintosh 和基于 UNIX 的 RAS 客户端兼容
不允许数据加密
MS-CHAP? Windows 95 客户端使用?仅支持 Microsoft 客户端
MS-CHAP v2?执行双向身份验证? Windows 2000 及后续操作系统默认安装该协议
EAP-TLS?需要 PKI?启用多要素身份验证
RAS 用户身份验证的注意事项
8.2.5 RAS 用户身份验证的注意事项希望不是只通过密码来验证用户身份安全性对机构至关重要要素 示例口令?用户名和密码?PIN
物理设备?智能卡?硬件或软件令牌用户的个人特征?指纹?声音使用多要素身份验证的场合:
多要素身份验证 8.2.6 多要素身份验证用户账户和密码的保存方式身份验证协议如何和基于 Windows 的计算机集成凭据在网络中的传输方式如何才能审核身份验证为了给应用程序和网络设备设计身份验证,需确定:
考虑下列软件或硬件的身份验证方式:
应用程序路由器、交换机和网络连接设备网络打印机和应用设备应用程序和网络设备身份验证的注意事项
8.2.7 应用程序和网络设备身份验证的注意事项课堂练习 风险和应对措施场景阅读每个场景选择最佳风险处理策略确定适当安全应对措施全班一起讨论答案
1
2
3
4
8.2.8 课堂练习 风险和应对措施创建策略和步骤以验证:
本地用户和计算机
Web 用户
RAS用户
网络应用程序
网络设备安全策略检查清单 8.2.9 安全策略检查清单实验 A 身份验证的安全设计实验 A 身份验证的安全设计回顾学习完本章后,将能够:
确定身份验证面临的威胁并分析其风险设计身份验证的安全性
CHAP v2 中的身份验证第 8章 身份验证的安全设计确定身份验证威胁并分析其风险设计身份验证的安全性确定身份验证威胁并分析其风险身份验证概述身份验证安全的重要性常见的身份验证漏洞课堂练习 分析身份验证的风险
8.1 确定身份验证威胁并分析其风险身份验证概述分支机构公司总部
Web
服务器
Internet
服务器局域网 (LAN)
局域网
(LAN)
远程用户VPN
无线用户本地远程通过 Internet
用户身份验证的方式:
8.1.1 身份验证概述攻击者 威胁 示例外部 电子欺骗 攻击者使用朋友的家用计算机,并且通过使用凭据缓存获得对网络的远程访问内部 网络监视 攻击者截取早期身份验证协议所使用的密码散列,并且对密码散列实施暴力攻击以获取密码外部攻击者凭据缓存内部攻击者
AC234FFA2948404EE
身份验证安全的重要性 8.1.2 身份验证安全的重要性漏洞 示例密码密码以明文形式传送密码散列通过网络传送密码被 特洛伊木马程序拦截兼容性早期软件使用弱身份验证方法和其他应用程序一起使用导致身份验证的安全性降低与非 Microsoft 操作系统不兼容加密应用程序使用弱加密早期操作系统使用弱加密方法攻击者拦截并重放了身份验证数据包常见的身份验证漏洞 8.1.3 常见的身份验证漏洞课堂练习 分析身份验证的风险阅读场景回答问题全班一起讨论答案
1
2
3
分析
8.1.4 课堂练习 分析身份验证的风险第 8章 身份验证的安全设计确定威胁和分析身份验证的风险设计身份验证的安全性确定身份验证需求的步骤局域网身份验证协议局域网中账户身份验证的注意事项
Web 用户身份验证的注意事项
RAS 用户身份验证的注意事项多要素身份验证应用程序和网络设备身份验证的注意事项课堂练习 风险和应对措施安全策略检查清单设计身份验证的安全性 8.2 设计身份验证的安全性确定身份验证需求的步骤为了确定身份验证需求,需要:
1,分析身份验证安全性的业务和技术需求
2,确定早期操作系统的兼容性需求
3,确定应用程序的兼容性需求
4,确定第三方应用程序和操作系统的身份验证需求
5,设计身份验证的实现策略
8.2.1 确定身份验证需求的步骤局域网身份验证协议协议 注意事项
LAN Manager
早期的 Microsoft 操作系统使用
使用基本的质询和响应交换
不是一个安全的身份验证协议
NTLM
在 Windows NT 4.0 中,以及对 Windows 2000 及后续操作系统中的本地账户,NTLM 是默认的身份验证协议
使用基本的质询和响应交换
NTLMv2
Windows 95 及后续操作系统支持
通过增加会话安全性和加密而改进了 NTLM 的安全性
客户端和服务器双向身份验证
Kerberos
Windows 2000 及后续操作系统(在 Active Directory 域中)默认使用
客户端和服务器双向身份验证
支持智能卡
8.2.2 局域网身份验证协议
Kerberos 登录过程
Kerberos 服务请求多媒体 Kerberos 协议的工作原理局域网中账户身份验证的注意事项与基于 UNIX 的操作系统的互操作性计算机之间的时间同步使用 Kerberos 时的注意事项:
移除 LAN Manager 密码散列配置服务器和客户端的 LAN Manager Compatibility 等级设置 NTLMv2 会话安全性使用 LAN Manager 或 NTLM 时的注意事项:
8.2.3 局域网中账户身份验证的注意事项
IIS 身份验证协议 注意事项匿名?使用同一个账户?不需要用户提供凭据基本
以明文形式发送用户名和密码
所有浏览器都支持
如果和 SSL 或 TLS 联合使用则是安全的摘要
使用用户名、密码和 nonce 来创建散列
所有 Web 浏览器都支持
引入了其他漏洞集成 Windows
只与 Internet Explorer 兼容
不能和代理服务器或防火墙一起使用
内部网 Web 站点使用基于证书?需要 PKI?不要求用户输入密码
Web 用户身份验证的注意事项
8.2.4 Web 用户身份验证的注意事项远程身份验证协议 注意事项
CHAP
要求密码使用可逆的加密方法进行保存
与 Macintosh 和基于 UNIX 的 RAS 客户端兼容
不允许数据加密
MS-CHAP? Windows 95 客户端使用?仅支持 Microsoft 客户端
MS-CHAP v2?执行双向身份验证? Windows 2000 及后续操作系统默认安装该协议
EAP-TLS?需要 PKI?启用多要素身份验证
RAS 用户身份验证的注意事项
8.2.5 RAS 用户身份验证的注意事项希望不是只通过密码来验证用户身份安全性对机构至关重要要素 示例口令?用户名和密码?PIN
物理设备?智能卡?硬件或软件令牌用户的个人特征?指纹?声音使用多要素身份验证的场合:
多要素身份验证 8.2.6 多要素身份验证用户账户和密码的保存方式身份验证协议如何和基于 Windows 的计算机集成凭据在网络中的传输方式如何才能审核身份验证为了给应用程序和网络设备设计身份验证,需确定:
考虑下列软件或硬件的身份验证方式:
应用程序路由器、交换机和网络连接设备网络打印机和应用设备应用程序和网络设备身份验证的注意事项
8.2.7 应用程序和网络设备身份验证的注意事项课堂练习 风险和应对措施场景阅读每个场景选择最佳风险处理策略确定适当安全应对措施全班一起讨论答案
1
2
3
4
8.2.8 课堂练习 风险和应对措施创建策略和步骤以验证:
本地用户和计算机
Web 用户
RAS用户
网络应用程序
网络设备安全策略检查清单 8.2.9 安全策略检查清单实验 A 身份验证的安全设计实验 A 身份验证的安全设计回顾学习完本章后,将能够:
确定身份验证面临的威胁并分析其风险设计身份验证的安全性
