官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
- 关注
本文由
创作,已纳入「FreeBuf原创奖励计划」,未授权禁止转载
访问控制
检测性访问控制(Detective Access Control)
作用:用于发现和记录未经授权的活动。
方式:这类控制本身不直接阻止攻击或违规行为,而是监测、检测并记录这些事件,以便后续调查或响应。
例子:
IDS(入侵检测系统)监视流量并记录可疑行为。
SIEM(安全信息和事件管理)工具收集日志并分析异常活动。
安全审计日志,记录用户访问行为,以便发现违规操作。
预防性访问控制(Preventive Access Control)
作用:防止未经授权的活动发生。
方式:它是一个“事前”控制,目标是阻止威胁或违规行为的发生,而不是事后补救。
例子:
ACL(访问控制列表)限制某些用户访问特定文件或资源。
防火墙规则阻止恶意 IP 访问内部网络。
账户锁定策略,防止暴力破解密码。
威慑性访问控制(Deterrent Access Control)
作用:通过威慑手段让攻击者或内部人员不敢进行恶意操作。
方式:它不是直接的技术防护,而是心理上的震慑,让潜在的违规者知难而退。
例子:
监控摄像头,让员工或访客知道他们的行为在被监视。
违规警告标识,例如“未经授权的访问将被追究法律责任”。
公司的安全政策,明文规定违规行为的处罚措施。
纠正性访问控制(Corrective Access Control)
作用:在发生故障、入侵或系统被破坏后,恢复系统到正常状态。
方式:它是一种“事后”控制,目的是修复损害,并尽可能减少影响。
例子:
备份和恢复机制,在系统崩溃后恢复数据。
撤销恶意软件的影响,例如自动隔离受感染的主机并执行补救措施。
事件响应计划,当发生安全事件时采取措施修复漏洞。
强口令
难猜、不可预料,符合最低长度要求
目的:防止口令被暴力破解或社工攻击。
原因:
太短的口令容易被暴力破解(Brute Force)。
可预测的口令(如生日、“123456”)容易被字典攻击(Dictionary Attack)。
强口令通常包含大小写字母、数字、特殊字符,并且长度至少为 12-16 位。
随机生成,使用所有字母、数字和标点符号
目的:增加口令的复杂度和熵值(Entropy,衡量密码随机性的指标)。
原因:
人类容易使用有模式的密码(如“P@ssw0rd123”),但这些模式可以被智能猜测。
计算机随机生成的密码(如
Xy9@Lm!2#qR%)更难破解。结合所有字符类型,使攻击者无法通过模式匹配轻松破解。
不得写下来或与人共享
目的:防止因人为疏忽导致口令泄露。
原因:
写在纸上或存到文本文件中,容易被窃取或拍照。
与他人共享,可能会导致内部威胁(Insider Threats)。
更安全的替代方案是使用密码管理器(如 Bitwarden、Keepass)。
不得存放在可公开访问或可读的位置
目的:防止口令被意外泄露。
原因:
存放在桌面上的 TXT 文件、Excel或 浏览器自动填充中,很容易被恶意软件或入侵者读取。
代码库(如 GitHub)泄露环境变量
password="admin123",容易被黑客发现。
不得以明文传送
目的:防止**中间人攻击(MITM)**拦截口令。
原因:
通过 HTTP、电子邮件、聊天工具(如 QQ/微信)发送明文口令,容易被截获。
应使用加密传输(如 HTTPS、TLS/SSL)。
多因素认证(MFA)可以额外提供安全保障,即使密码被窃取,仍然需要额外的验证步骤。
IDS
1. 基于网络的 IDS(NIDS)
作用:监测网络流量,检测攻击尝试(包括 DoS 攻击)。
优点:
能够检测外部攻击,如 SYN Flood、UDP Flood、ICMP Flood等 DoS 攻击。
能发现持续性的入侵尝试,如暴力破解、扫描活动等。
局限:
无法确认攻击是否成功,因为它仅分析网络流量,而不检查主机系统状态。
无法精准定位受影响的资源,无法知道具体哪个用户、文件或应用程序被破坏。
可能被加密流量(如 HTTPS)绕过,需要配合解密技术或基于主机的检测。
示例:
Snort、Suricata(开源 NIDS)
Zeek(Bro)(分析网络流量的 IDS)
2. 基于主机的 IDS(HIDS)
作用:监测特定主机上的活动,如文件变更、异常进程、日志分析等。
优点:
能够检测是否成功入侵,如攻击者是否篡改了系统文件、修改了权限等。
监测特定用户、进程和应用程序的异常行为,提供详细的入侵痕迹。
局限:
无法高效检测网络级别的 DoS 攻击,因为它关注的是主机行为,而不是网络流量。
如果攻击直接导致主机瘫痪(如 CPU 资源耗尽、磁盘写满),HIDS 可能失效。
示例:
OSSEC(开源 HIDS)
Wazuh(支持 SIEM 的 HIDS)
Tripwire(监测文件完整性的 HIDS)
3. 漏洞扫描器
作用:扫描系统和应用程序的已知漏洞,并提供修复建议。
优点:
能识别可能被攻击利用的漏洞,如未打补丁的服务、弱口令等。
有助于提前预防 DoS 漏洞,但不会实际执行攻击。
局限:
不会主动检测 DoS 攻击,只能发现潜在的 DoS 漏洞。
不能判断漏洞是否已经被利用,仅提供可能存在的安全风险。
示例:
Nessus(商业漏洞扫描器)
OpenVAS(开源漏洞扫描器)
Qualys(云端漏洞扫描)
4. 渗透测试
作用:模拟攻击者,主动测试系统的安全性,包括 DoS 相关漏洞的利用。
优点:
可以验证是否存在可被利用的 DoS 漏洞,并测试系统的抗攻击能力。
提供真实的攻击视角,比漏洞扫描更具针对性。
局限:
不属于检测工具,它是主动测试而不是被动监测。
可能会导致实际 DoS 攻击,影响业务运行,因此需要事先授权并做好应急措施。
示例:
Kali Linux(提供 DoS 渗透测试工具,如 hping3、slowloris)
Metasploit(可以测试 DoS 漏洞)
LOIC、HOIC(用于 DoS 测试)
| 工具类型 | 是否能检测 DoS 攻击? | 作用 | 局限性 |
|---|---|---|---|
| NIDS(网络 IDS) | 可以检测 | 发现 DoS 攻击流量 | 不能确认攻击是否成功,无法定位受影响系统 |
| HIDS(主机 IDS) | 难以检测 | 监测主机行为 | 不能检测网络层 DoS 攻击,主机崩溃时可能失效 |
| 漏洞扫描器 | 不能检测 | 发现潜在 DoS 漏洞 | 不能判断攻击是否发生,仅提供预防建议 |
| 渗透测试 | 可执行 DoS 攻击 | 发现 DoS 漏洞,验证系统防御 | 不是检测工具,可能会影响业务 |
DOS
1. 非恶意 DoS 事件
DoS 并非总是黑客刻意发动的攻击,某些软件或系统设计缺陷也可能引发 DoS,例如:
CPU 资源占用问题
某些进程可能因为死循环或线程锁定,导致 CPU 资源耗尽,影响系统其他任务的执行。
例如:某个应用程序不断请求资源但从不释放,导致整个系统变慢或崩溃。
内存泄漏
某些应用程序未正确管理内存,导致 RAM 被不断消耗,最终导致系统宕机。
例如:一个 Web 服务器在每次处理请求时分配新内存,但从不释放它,最终耗尽所有可用内存。
不合理的资源消耗
某些服务的资源消耗与处理的请求量不成比例,导致服务器无法处理正常流量。
例如:某个数据库查询请求占用过多 CPU 或 I/O 资源,即使请求量不大,系统仍然崩溃。
实际案例:
1990 年代 Windows 95 的“死亡蓝屏”(BSOD):某些应用程序可以导致整个系统崩溃,迫使用户重启电脑。
2010 年 iPhone 4 信号问题:用户握住手机特定区域,导致信号严重下降,影响正常通话(这虽然不是典型的 DoS,但类似的设计缺陷可能导致某些服务不可用)。
2. 社会工程与 DoS 之间的区别
社会工程(Social Engineering)
主要指通过欺骗、伪装、心理操纵等方式获取敏感信息或访问权限。
例如:黑客假装是 IT 主管,欺骗客服人员重置管理员密码。
与 DoS 的区别:社会工程主要针对人,而 DoS 攻击是针对系统资源,使其无法正常运行。
示例:
假装是 IT 技术人员,骗取员工的 VPN 账号密码(社会工程)。
发送大量垃圾邮件,让用户邮箱爆满,难以找到正常邮件(DoS)。
3. 嗅探(Sniffing)与 DoS 的区别
嗅探(Sniffing)
指拦截网络流量,分析数据包内容,以便窃取用户名、密码、敏感信息等。
例如:使用 Wireshark 监听未加密的 HTTP 传输,获取登录凭据。
与 DoS 的区别:嗅探的目的是窃取信息,而 DoS 的目的是使服务瘫痪。
示例:
黑客在开放 Wi-Fi(如咖啡店)进行嗅探,窃取用户的登录凭证(嗅探)。
黑客向服务器发送大量垃圾流量,导致网络堵塞(DoS)。
4. 发送骚扰信息 vs. DoS
垃圾邮件(Spam)
发送大量垃圾邮件(如广告、诈骗邮件)可能影响收件人的邮箱正常使用。
但如果邮件量不够大,仅仅是骚扰行为,不能算 DoS。
当垃圾邮件变成 DoS
邮件炸弹(Email Bombing):向某人邮箱发送大量邮件,导致邮件服务器超载,从而阻止收件人收到其他邮件(这就属于 DoS)。
例如:有人向受害者的邮箱发送百万封邮件,导致邮箱满溢,影响正常通信。
示例:
黑客用脚本每天向某用户邮箱发送 2~3 封威胁邮件(骚扰,不是 DoS)。
黑客用 botnet 向服务器发送数百万封邮件,导致邮件服务器宕机(DoS)。
总结
| 概念 | 是否属于 DoS 攻击? | 解释 |
|---|---|---|
| CPU 资源耗尽 | 可能是 | 若进程因编程错误锁定 CPU,可能导致系统无法响应 |
| 内存泄漏导致崩溃 | 可能是 | 应用程序不释放内存,导致系统宕机 |
| 社会工程(假装 IT 主管骗密码) | 不是 | 目标是欺骗人员,而非使系统不可用 |
| 嗅探(拦截网络流量) | 不是 | 目标是窃取信息,而非让系统崩溃 |
| 垃圾邮件(Spam) | 不是 | 除非邮件量极大,影响服务器运行 |
| 邮件炸弹(Email Bombing) | 是 | 大量邮件导致邮件服务器瘫痪 |
安全建议
防止非恶意 DoS 事件:
开发人员应做好资源管理(如避免内存泄漏、优化 CPU 计算)。
系统管理员应设置资源配额,防止单个应用程序独占资源。
防止社会工程攻击:
培训员工,不随意相信电话或邮件要求提供密码。
启用多因素认证(MFA),即使密码被盗也能防止入侵。
防止嗅探攻击:
强制使用 HTTPS/TLS保护数据传输。
使用 VPN 加密网络流量,避免被监听。
防止垃圾邮件 DoS:
部署垃圾邮件过滤器,如 SPF、DKIM、DMARC 机制。
使用邮件速率限制,防止邮件服务器被滥用。
OSI 七层模型
OSI 模型分为 7 层,每一层都有特定的功能,并对应不同类型的设备和协议。
| 层级 | 名称 | 功能 | 常见设备/协议 |
|---|---|---|---|
| 第 7 层 | 应用层(Application) | 提供网络服务给应用程序 | HTTP、FTP、SMTP、DNS |
| 第 6 层 | 表示层(Presentation) | 负责数据格式转换和加密 | SSL/TLS、JPEG、MP3 |
| 第 5 层 | 会话层(Session) | 负责建立、管理和终止会话 | NetBIOS、RPC |
| 第 4 层 | 传输层(Transport) | 端到端通信,提供可靠或不可靠的数据传输 | TCP、UDP、防火墙 |
| 第 3 层 | 网络层(Network) | 负责 IP 地址寻址和路由选择 | 路由器、IP、ICMP |
| 第 2 层 | 数据链路层(Data Link) | 负责 MAC 地址寻址和帧传输 | 交换机、桥接器、ARP |
| 第 1 层 | 物理层(Physical) | 传输比特流,定义物理接口 | 网线、光纤、中继器、集线器 |
防火墙分类
防火墙主要分为两大类:
无状态防火墙(Stateless Firewall)
静态数据包过滤防火墙(Packet Filtering Firewall)
应用层网关防火墙(Application-Level Gateway)
电路级网关防火墙(Circuit-Level Gateway)
有状态防火墙(Stateful Firewall)
状态检测防火墙(Stateful Packet Inspection, SPI)
1. 状态检测防火墙(Stateful Firewall / SPI)
定义:
动态包过滤防火墙(Dynamic Packet Filtering Firewall)是 有状态的,它会跟踪网络连接的状态和上下文,例如:
连接是否已建立?
这个包属于哪个会话?
这个连接是否是合法的?
通过维护 状态表(State Table),它能智能地决定是否允许数据包通过。
工作方式:
当一个主机(A)向服务器(B)发起 TCP 连接时,防火墙会记录该连接的状态,如:
A → B [SYN]B → A [SYN-ACK]A → B [ACK]
之后,该连接上的所有数据包都会被允许通过。
如果防火墙未看到三次握手(SYN-SYN-ACK-ACK),则可能会丢弃可疑的数据包!
优点:
能够理解上下文:可以动态调整过滤规则,阻止异常或未授权的连接。
更安全:能够阻止 TCP SYN Flood 等攻击。
减少规则维护工作量:不需要为每个端口单独创建规则。
示例:
iptables的
-m state --state ESTABLISHED,RELATED规则:iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT允许已经建立的连接继续通信,而不必显式允许所有数据包。
2. 无状态防火墙(Stateless Firewall)
无状态防火墙不能记住先前的数据包状态,每个数据包都独立处理,不考虑前后的通信上下文。
2.1 静态数据包过滤防火墙(Packet Filtering Firewall)
基于 IP 地址、端口号、协议(TCP/UDP/ICMP)等静态规则进行过滤。
不跟踪连接状态,所有数据包都按固定规则匹配,例如:
iptables -A INPUT -p tcp --dport 80 -j ACCEPT允许所有 TCP 端口 80 的流量,无论它属于哪个会话。
优点:
速度快,占用资源少。
缺点:
不能检测非法连接(如 SYN Flood 攻击)。
规则管理复杂,需要手动为每个端口设置规则。
2.2 电路级网关防火墙(Circuit-Level Gateway)
基于 TCP/UDP 端口和连接建立过程进行过滤。
不检查具体数据内容,只检查 TCP 三次握手是否完成。
优点:
速度较快,适合用于 NAT、VPN 等场景。
缺点:
不能检测应用层攻击,如 SQL 注入、XSS 等。
2.3 应用层网关防火墙(Application-Level Gateway, ALG)
代理流量,检查应用层协议(如 HTTP、FTP)。
例如:HTTP 代理服务器可以检查请求 URL、过滤恶意流量。
优点:
能够检测应用层攻击(如 SQL 注入)。
缺点:
速度较慢,因为需要深入分析数据包内容。
总结:防火墙比较
| 防火墙类型 | 是否有状态? | 主要特点 | 优缺点 |
|---|---|---|---|
| 静态数据包过滤(Packet Filtering) | 无状态 | 仅基于 IP、端口进行过滤 | 规则简单但缺乏灵活性 |
| 电路级网关(Circuit-Level) | 无状态 | 检查 TCP/UDP 连接 | 不检查数据内容 |
| 应用层网关(ALG) | 无状态 | 代理应用层流量 | 安全性高但性能较低 |
| 状态检测防火墙(Stateful Firewall) | 有状态 | 维护会话状态表,智能调整规则 | 更安全,能防止 SYN Flood |
VPN
1. VPN 可运行在各种网络连接上
VPN 本质上是一个 加密的隧道,用于在不安全的网络上建立安全的通信。它可以运行在以下 各种网络通信连接之上:
| 网络类型 | 描述 | VPN 适用性 |
|---|---|---|
| 有线局域网(LAN) | 例如办公室或家庭的以太网 | 可用于员工访问内部资源 |
| 无线局域网(WLAN) | Wi-Fi 网络,如咖啡店、机场、酒店 | 防止公共 Wi-Fi 中的数据被嗅探 |
| 拨号连接(Dial-up) | 通过电话线连接 ISP | 速度较慢,但仍可使用 VPN |
| 广域网(WAN) | 例如公司不同办公室之间的 MPLS 连接 | 企业级 VPN 典型应用 |
| 互联网(Internet) | 用户通过 ISP 访问远程资源 | 远程办公的主要方式 |
2. VPN 的工作原理
VPN 通过 加密和隧道协议在公共网络上创建安全的通信路径:
数据加密:使用 AES、ChaCha20、3DES等加密算法,确保数据不会被窃听。
隧道封装:数据被封装在 VPN 协议的数据包中,然后在公网上传输。
远程访问:VPN 服务器解密数据并将其发送到目标网络。
3. VPN 的主要类型
根据用途,VPN 主要分为 远程访问 VPN和 站点到站点 VPN。
(1) 远程访问 VPN(Remote Access VPN)
适用于 个人用户或员工远程访问公司网络,常见于远程办公。
使用场景:
在家办公时访问公司内网资源。
连接公共 Wi-Fi 时保护隐私。
协议:
OpenVPN(最常见)
WireGuard(性能优秀)
L2TP/IPSec
IKEv2/IPSec
(2) 站点到站点 VPN(Site-to-Site VPN)
用于 连接公司不同办公室的网络,类似于“企业内部专线”。
使用场景:
连接总部与分公司网络。
通过 MPLS 或 SD-WAN进行企业级网络优化。
协议:
IPSec
GRE over IPSec
DMVPN(Cisco 动态多点 VPN)
4. VPN 可运行在任何类型的互联网连接上
你可以通过 4G/5G 移动数据连接 VPN,确保流量不会被运营商或中间人监视。
即使在 防火墙严格的国家,也可以使用 Shadowsocks、V2Ray、Trojan等协议绕过封锁。
CIA
C - 机密性(Confidentiality)
确保信息 不被未授权访问或泄露。
主要措施:加密、访问控制(ACL)、多因素认证(MFA)。
I - 完整性(Integrity)
确保数据的准确性和完整性,防止篡改或未授权修改。
主要措施:哈希(SHA-256)、数字签名、访问权限管理。
A - 可用性(Availability)
确保系统和数据在需要时可访问,避免中断或拒绝服务(DoS)。
主要措施:DDoS 防护、冗余(RAID)、备份和灾难恢复。
WPA3
1. WPA3 的主要认证方式
WPA3 主要有两种模式:
WPA3-Personal(个人模式)
采用 SAE(对等同步身份认证),取代 WPA2 的 PSK(Pre-Shared Key 预共享密钥)。
防御离线字典攻击:攻击者无法通过嗅探握手包离线破解 Wi-Fi 密码。
使用蜻蜓密钥交换(Dragonfly Key Exchange),基于 Diffie-Hellman 密钥交换,提供更强的安全性。
WPA3-Enterprise(企业模式)
采用 IEEE 802.1X认证机制,通过 RADIUS 服务器进行身份验证。
使用 EAP(可扩展身份认证协议)进行身份验证,支持多种方式:
EAP-TLS(基于证书)
EAP-TTLS(基于 TLS 隧道)
PEAP(受保护的 EAP)
适用于公司、学校等场景,比 WPA3-Personal 更安全。
2. 相关协议解析
(1) IEEE 802.1X(企业级 Wi-Fi 认证)
基于端口的网络访问控制协议,确保未经身份认证的客户端无法访问网络资源。
采用 EAP(Extensible Authentication Protocol,可扩展身份认证协议)。
主要用于 WPA3-Enterprise认证。
(2) SAE(对等同步身份认证)
适用于 WPA3-Personal,替代传统的 PSK 预共享密钥。
采用 零知识证明(Zero-Knowledge Proof),不直接传输密码。
防御离线字典攻击,提高安全性。
(3) IEEE 802.1Q(VLAN 标签)
定义 VLAN(虚拟局域网),用于在同一物理网络上划分多个逻辑网络。
与 Wi-Fi 认证无关,但在企业网络环境中常与 WPA3-Enterprise 结合使用,将不同认证级别的用户划分到不同 VLAN。
(4) EAP-FAST
Cisco 专有协议,提供 安全隧道身份认证。
用于取代 LEAP(Lightweight EAP),因为 LEAP 存在安全漏洞。
WPA3 不支持 EAP-FAST,企业模式主要使用 EAP-TLS、PEAP 等认证方式。
3. WPA3 安全优势
| 安全特性 | WPA2 | WPA3 |
|---|---|---|
| 认证方式 | PSK(个人) 802.1X(企业) | SAE(个人) 802.1X(企业) |
| 离线字典攻击防御 | 不支持(可能被捕获握手包后破解) | 支持(SAE 防止离线破解) |
| 前向保密(Forward Secrecy) | 不支持(PSK 可用于解密历史流量) | 支持(SAE 生成唯一密钥,不影响历史流量) |
| 设备保护 | 不支持(IOT 设备弱密码易受攻击) | 支持(WPA3-Easy Connect 提供更安全配对) |
| 加密强度 | 128-bit | 192-bit(企业级) |
权限控制
1. 账户类型解析
| 账户类型 | 描述 | 适用场景 |
|---|---|---|
| 普通用户账户(User Account) | 仅具有基本访问权限,不能更改系统设置或安装软件 | 适用于普通员工或访客 |
| 访客账户(Guest Account) | 受限账户,无法访问敏感数据 | 适用于短期访问 |
| 服务账户(Service Account) | 由应用或后台进程使用,通常没有交互式登录权限 | 适用于数据库、Web 服务器、自动任务等 |
| 特权账户(Privileged Account) | 具有管理员级别权限,可进行系统配置、安装软件等 | 适用于 IT 维护人员、维修技师、安全管理员 |
| 域管理员账户(Domain Admin Account) | 在 Windows AD(Active Directory)环境中,具有管理整个域的权限 | 适用于企业 IT 基础设施管理 |
| 根账户(Root Account) | Linux/Unix 最高权限账户 | 适用于服务器运维 |
2. 为什么维修技师需要特权账户?
执行系统维护(如 Windows 更新、磁盘检查、修复损坏的系统文件)。
安装/卸载软件(可能涉及驱动程序或关键系统组件)。
访问受限系统文件(如
C:\Windows\System32或/etc/目录)。修改用户权限(如调整 ACL 访问控制列表)。
执行诊断命令(如
chkdsk、sfc /scannow、netstat、tasklist)。
3. 如何安全管理特权账户?
特权账户权限较高,如果管理不当,可能成为攻击目标。建议采取以下措施:
最小权限原则(PoLP):仅授予维修技师执行任务所需的最低权限。
使用临时提升权限(Just-In-Time Access):让技师在特定时间段内获得管理员权限。
使用特权访问管理(PAM)系统:如 CyberArk、BeyondTrust,监控特权账户的使用。
启用 MFA(多因素认证):防止凭据泄露导致未经授权访问。
记录和审计特权账户活动:启用 Windows 事件日志或 SIEM 监控特权账户行为。
AAA(Authentication, Authorization, and Accounting)服务
1. AAA 组件解析
| 组件 | 描述 | 作用 |
|---|---|---|
| A - 认证(Authentication) | 验证用户或设备身份 | 确保只有合法用户可以访问系统 |
| A - 授权(Authorization) | 控制用户或设备可以执行的操作 | 确保用户只能访问允许的资源 |
| A - 计费(Accounting) | 记录用户的操作日志 | 监控和审计用户行为,防止滥用 |
2. AAA 认证工作流程
用户尝试访问系统(例如 VPN、Wi-Fi、服务器)。
身份验证(Authentication):
用户输入 用户名+密码或 多因素认证(MFA)。
服务器检查凭据,使用 RADIUS、TACACS+ 或 LDAP进行验证。
授权(Authorization):
服务器决定用户是否 有权访问资源(如 SSH、数据库、文件共享)。
可能使用 角色权限(RBAC)或 ACL 访问控制。
计费(Accounting):
记录用户访问情况、执行的命令、访问时长。
可用于 日志分析、审计、安全合规。
3. AAA 相关协议
| 协议 | 用途 | 特点 |
|---|---|---|
| RADIUS(Remote Authentication Dial-In User Service) | 远程访问认证、Wi-Fi 认证 | 使用 UDP,适用于大规模用户认证 |
| TACACS+(Terminal Access Controller Access-Control System Plus) | 设备管理(如路由器、交换机) | 使用 TCP,更安全,可独立处理认证、授权 |
| LDAP(Lightweight Directory Access Protocol) | 目录服务(如 AD、OpenLDAP) | 适用于集中管理用户账户 |
| Kerberos | 服务器和用户的身份认证 | 适用于 Windows 域环境(Active Directory) |
4. AAA 在实际应用中的例子
VPN 认证(用户连接公司 VPN 时使用 AAA 进行身份验证)
Wi-Fi 企业级认证(WPA2-Enterprise 依赖 AAA 进行 802.1X 身份验证)
服务器 SSH 访问控制(运维人员登录 Linux 服务器时使用 AAA 进行认证和授权)
网络设备管理(Cisco 设备使用 TACACS+ 进行管理员权限控制)
云平台权限管理(AWS IAM、Azure AD 使用 AAA 控制云资源访问)
5. AAA vs IAM(身份与访问管理)
AAA 更偏向于网络和系统访问控制,如 VPN、Wi-Fi、SSH、路由器等设备的权限管理。
IAM(Identity and Access Management)是 更广义的身份管理,包括 SSO(单点登录)、用户生命周期管理、API 访问控制等。
令牌设备
1. TOTP vs HOTP:主要区别
| 特性 | TOTP(基于时间的 OTP) | HOTP(基于事件的 OTP) |
|---|---|---|
| 密码生成依据 | 当前时间戳 | 计数器(事件) |
| 同步方式 | 服务器和客户端 基于时间同步 | 服务器和客户端 基于计数器同步 |
| 密码有效期 | 短时间有效(如 30 秒、60 秒) | 直到被使用(不会超时) |
| 适用场景 | 动态变化快,适合短时间验证(如 Google Authenticator、Microsoft Authenticator) | 基于计数器变化,适合不受时间限制的场景(如 YubiKey) |
| 安全性 | 较高,因为密码过期后无效,防止重放攻击 | 较低,如果攻击者截获密码但未使用,仍可用于认证 |
| 常见实现 | Google Authenticator、Microsoft Authenticator、RSA SecurID | YubiKey、某些硬件令牌 |
2. TOTP(基于时间的一次性密码)
公式:
[
TOTP = HOTP(K, T)
]
其中:K:共享密钥(存储在服务器和客户端)T:当前时间戳(以 30s 或 60s 为窗口)
特点:
基于 HMAC-SHA1/SHA256生成短期有效的 OTP。
常用于 Google Authenticator、微软身份认证器、Duo Security 等 2FA 方案。
防止重放攻击,因为 OTP 过期后无法再使用。
3. HOTP(基于事件的一次性密码)
公式:
[
HOTP = HMAC(K, C)
]
其中:K:共享密钥C:事件计数器(每次认证增加 1)
特点:
计数器递增,不依赖时间,OTP 直到使用后才会失效。
适用于硬件令牌(如 YubiKey、RSA SecureID),不需要时间同步。
安全性较 TOTP 低,因为如果 OTP 被截获但未使用,仍可用于认证。
4. HMAC 在 OTP 中的作用
HMAC(基于哈希的信息认证码)用于 生成 OTP,但 本身不是身份认证手段。
它是一种 单向哈希函数,结合对称密钥生成不可逆的哈希值。
常见算法:HMAC-SHA1、HMAC-SHA256、HMAC-SHA512。
HOTP 和 TOTP 都依赖 HMAC 进行 OTP 生成。
5. SAML vs OTP
SAML(安全断言标记语言)不是 OTP 认证方式,而是用于 身份联合(Federation),例如:
单点登录(SSO):允许用户在多个系统间无缝访问(如企业 Google Workspace + AWS)。
身份认证协议:用于 身份提供者(IdP)和服务提供者(SP)之间交换用户身份信息。
XML 结构,不用于 OTP 生成,而是用于 身份共享。
6. 总结
TOTP:基于时间,OTP 过期后无效,安全性更高(如 Google Authenticator)。
HOTP:基于计数器,不依赖时间,但可能被重放攻击利用(如 YubiKey)。
HMAC:用于 OTP 生成,确保一次性密码的安全性,但本身不是身份认证方法。
SAML:用于 身份联合(Federation)和 单点登录(SSO),而不是 OTP 生成方式。
CSP
1. 为什么数据保留策略最重要?
数据收集与存储:CSP 会 收集哪些数据(如用户身份、日志、交易信息)?
数据存储时长:数据会 保存多久(是否符合法规,如 GDPR、CCPA)?
数据销毁策略:数据 如何被安全删除(是否使用安全擦除技术)?
数据访问权限:谁可以访问数据?(CSP 员工、合作伙伴,是否有第三方数据共享?)
合规性要求:数据保留是否符合 ISO 27001、GDPR、HIPAA、SOC 2 等标准?
例如:
Facebook、Google、Amazon 这些公司都提供 SaaS 级别的服务,并且可以访问用户数据,所以它们的数据保留策略至关重要。
如果 CSP 发生数据泄露或保留数据过长时间,可能导致隐私合规问题或法律风险。
2. 为什么客户数量、硬件或服务种类不如数据保留重要?
| 选项 | 影响安全的程度 | 原因 |
|---|---|---|
| 数据保留策略 | 高 | 影响数据隐私、合规性、数据生命周期管理 |
| 客户数量 | 中 | 影响可扩展性,但对安全影响较小 |
| 所使用的硬件 | 中 | 硬件影响性能和基础架构安全,但不如数据策略重要 |
| CSP 提供的服务(SaaS、PaaS、IaaS) | 中 | 选择合适的服务很重要,但如果数据保留策略不安全,所有服务都有风险 |
例如:
一个 CSP 即使使用最安全的硬件(如 HSM 加密设备),但如果数据无限期存储或泄露,仍然是高风险。
选择 SaaS/PaaS/IaaS 是架构决策,但不影响数据最终如何存储或被访问。
3. CSP 的安全性如何评估?
当选择 云服务提供商(CSP) 时,应该关注以下安全因素:
数据保留策略(Retention Policy)
数据加密(Encryption at rest & in transit)
访问控制(IAM、Zero Trust、MFA)
数据合规性(GDPR、HIPAA、SOC 2、ISO 27001)
日志审计与威胁检测(SIEM、XDR 监控)
备份和恢复策略(DRP,数据泄露应急响应)
结论:
数据保留策略是 CSP 选项中最重要的安全问题,因为它直接决定了数据的生命周期、隐私合规性和访问风险。相比之下,客户数量、硬件类型、服务种类虽然重要,但不会直接影响数据安全。企业在选择 CSP 时,必须优先评估其数据处理和销毁策略。
已在FreeBuf发表 0 篇文章
如需授权、对文章有疑问或需删除稿件,请联系 FreeBuf 客服小蜜蜂(微信:freebee1024)
CISSP
- 0 文章数
- 0 关注者