--- title: 資安360 Plus進階-2 tags: 資安筆記 --- How Kerberos Works in Windows Active Directory https://www.youtube.com/watch?v=kp5d8Yv3-0c&t=165s Kerberos https://zh.wikipedia.org/wiki/Kerberos --- 1.False negatives:無害變有害 2.False positives:真的有害的沒有提出警告 --- Explain IAAA:Explain IAAA:先識別->鑑別確實是這個人->授權確認->給你該權限->有權限的人做他可以做的事 Explain Authentication types with samples:what you know/have/do What’s Multifactor Authentication (with samples)?最少要P55的5種3種 Explain Kerboros authentication process   Explain FRR, FAR? Which one is more serious from security point of view? FRR:它存在.但是誤報他不存在 FAR:它不存在.報它存在 --- 1.implicit deny:除非有明確的角色不然都拒絕 least privilege:只給最小權限 2.RADIUS:RADIUS可以在本地和漫遊狀態下工作,通常用於記賬目的。RADIUS目前在RFC28652866、2867和2868中定義。RADIUS協議使用一個相當複雜的操作(涉及消息摘要5MD5放列和一個共享密鑰)在傳輸過程中隱藏口令,甚至使用口令認證協議(PasswordAuthenticationProtocol,PAP),但數據包的其餘部分以明文形式發送。RADIUS將認證和授權結合爲一個過程。 當一個用戶被認證時,該用戶也就被授權。RADIUS使用UDP端口1645或1812認證,使用UDP端口1646或1813記賬。RADIUS被VoIP服務提供商廣泛使用。它將一個會話發起協議(SessionInitiationProtocol,SIP)的端點(例如一個寬帶電話)的登錄證書使用摘要認證發給一個SIP註冊器,然後使用RADIUS發給個RADIUS服務器。RADIUS也是8021X安全標準所使用的一種通用認證協議。 其實，我們應該知道的是Diameter協議被計劃用來替代RADIUS。Diameter使用一種名爲流控傳輸協議的新傳輸協議,並且使用TCP而非UDP封裝。 https://zh.wikipedia.org/wiki/%E8%BF%9C%E7%AB%AF%E7%94%A8%E6%88%B7%E6%8B%A8%E5%85%A5%E9%AA%8C%E8%AF%81%E6%9C%8D%E5%8A%A1 TACACS+:其實理解TACACS+和RADIUS這兩種協議間的差異非常重要。TACACS+的關鍵因素包括不兼容TACACS和KTACACS認證和權分離加密所有通信使用TCP端端口49RADIUS的關鍵因素包括:使用RADIUS代理服務器提供可擴展性將RADIUS認證和授權結合成一個過程只加密密碼;使用UD支持遠程訪問技術、802.1X和SIP。 TACACS+是Cisco對原始TACACS協議的增強。事實上,TACACS+是一個全新的協議,不兼容之前的任何TACACS版本。TACACS+得到CiCo路由器和接入服務器系列產品的支持。TACACS+提供單獨的AA服務。 將AAA服務分離出來提供了實現時的靈活性,因爲這樣就有可能在使用TACACS+進行授權和記賬,同日時使用另一種方法進行認證。對TACACS+協議的擴展提供了比原始TACACS規範更多的認證請求類型和響應碼。 TACACS+提供多協議支持,例如P和Appletalk。正常的TACACS+操作加密整個數據包以提供更安全的通信,並使用TCP端口49LivingstonEnterprises開發的RADIUS是一項開放的IETF標準AAA協議,用於網絡接入或P移動性等應用。 3.Federation identity management:联合身份管理（Federated Identity Management，FIM） 是一种可以在多个企业之间制定的方案。 该方案让用户使用同样的标识数据来获得组织中所有企业网络的进入许可。 这样一个系统的使用有时候称为身份联合。 身份联合给企业以及它们的网络用户提供经济优势和便利。 ---- 4.access control models:https://kknews.cc/zh-tw/career/mn354yz.html DAC:在計算機安全中，自由選定存取控制（英語：discretionary access control，縮寫DAC）由《可信計算機系統評估準則》[1]所定義的存取控制中的一種類型。它是根據主體（如用戶、進程或 I/O 設備等）的身份和他所屬的組限制對客體的訪問。所謂的自主，是因為擁有訪問權限的主體，可以直接（或間接）地將訪問權限賦予其他主體（除非受到強制存取控制的限制）。 自由選定存取控制常常與強制存取控制（MAC, Mandatory Access Control, 又叫非自由選定存取控制）對比。有時候，一個系統稱其整體有「自主的」或者「純自主的」存取控制的時候，意味著這個系統沒有強制存取控制。而有的時候，系統也可以同時實現自由選定存取控制和強制存取控制，其中自由選定存取控制是指一類可以在主體之間相互轉讓權限的存取控制，而強制存取控制則指的是另一類強制限制權限的存取控制。 RBAC:以角色為基礎的存取控制（英語：Role-based access control，RBAC），是資訊安全領域中，一種較新且廣為使用的存取控制機制，其不同於強制存取控制以及自由選定存取控制直接賦予使用者權限，而是將權限賦予角色。 MAC:強制存取控制（英語：mandatory access control，縮寫MAC）在電腦安全領域指一種由作業系統約束的存取控制，目標是限制主體或發起者存取或對物件或目標執行某種操作的能力。 ... 任何主體對任何物件的任何操作都將根據一組授權規則（也稱策略）進行測試，決定操作是否允許。 ABAC:顧名思義，給用戶定義角色，通過角色來控制權限。目前來說基於角色權限控制模型是應用較廣的一個。特別是2B方向SAAS領域，應用尤其常見。