CISSP All-in-One(二十九)

TACACS+

TACACS+(Terminal Access Controller Access-Control System Plus)是一种用于网络身份验证、授权和审计(AAA)的网络协议。它是TACACS(Terminal Access Controller Access-Control System)协议的升级版本,用于提供更强大的身份验证和授权功能。TACACS+通常用于管理和维护网络设备、服务器和应用程序的访问控制。

以下是TACACS+的主要功能和特点:

  1. 身份验证(Authentication): TACACS+用于验证用户的身份,确保只有授权用户能够访问网络设备或应用程序。它支持多种身份验证方法,包括基于用户名和密码的身份验证、基于密钥的身份验证以及其他强化的身份验证方法。

  2. 授权(Authorization): TACACS+用于确定用户被授权执行哪些操作或访问哪些资源。它允许管理员定义用户角色和权限,以便精确控制用户的操作范围。

  3. 审计(Accounting): TACACS+可以记录用户的操作和活动,以便审计和监控。这有助于跟踪谁在何时访问了系统,并提供了对网络安全事件的记录和分析。

  4. 分布式和可伸缩性: TACACS+支持分布式架构,允许将认证、授权和审计功能分散到不同的服务器上,以提高可伸缩性和可用性。

  5. 安全性: TACACS+提供了对通信的加密和身份验证的强化支持,以确保传输的数据是安全的。这有助于防止恶意用户或攻击者的未经授权访问。

  6. 灵活性: TACACS+的配置和策略非常灵活,允许管理员根据组织的需求进行自定义设置,以满足不同的安全要求。

TACACS+常用于网络设备(如路由器、交换机)、远程访问服务器和其他网络基础设施的身份验证和授权,以确保网络资源的安全和合规性。它是一种强大的AAA协议,被广泛用于企业和组织的网络管理和安全控制中。

TACACS+和RADIUS架构的区别

TACACS+(Terminal Access Controller Access-Control System Plus)和RADIUS(Remote Authentication Dial-In User Service)都是用于网络身份验证、授权和审计(AAA)的协议,但它们在架构和功能上有一些重要的区别:

  1. 架构

    • TACACS+:TACACS+采用了分离的认证和授权架构。它将身份验证(Authentication)和授权(Authorization)分开,通常将它们发送到不同的服务器进行处理。这种分离允许更精细的控制和更灵活的配置。
    • RADIUS:RADIUS采用了集中式认证和授权架构。通常,RADIUS服务器负责同时处理身份验证和授权请求。这种集中式方法可以简化配置,但在某些情况下可能限制了精细的授权控制。

  2. 安全性

    • TACACS+:TACACS+提供了对通信的加密支持,包括身份验证和授权请求的加密。这使得它在安全性方面更强大。
    • RADIUS:RADIUS最初设计时并没有内置加密支持,虽然后来的扩展(如RADIUS加密)可以增加安全性,但仍然不如TACACS+那么强大。

  3. 灵活性

    • TACACS+:TACACS+通常更灵活,允许管理员定义更复杂的策略和角色,以控制用户的访问和权限。
    • RADIUS:RADIUS通常更简单,适用于一般的身份验证和访问控制需求,但可能不够灵活以满足某些复杂场景。

  4. 用途

    • TACACS+:TACACS+最初设计用于终端设备的访问控制,如路由器和交换机,以及管理对这些设备的访问。它在这些方面表现出色。
    • RADIUS:RADIUS最初设计用于远程用户的身份验证,通常用于拨号服务器和无线接入点等地方,以允许用户远程连接到网络。

总的来说,TACACS+通常更适合用于对网络设备的访问控制,它提供了更高级的安全性和灵活性。而RADIUS更适合用于用户的远程身份验证,尤其是在拨号和无线接入等场景中。组织可以根据其具体的需求和网络架构来选择适合的协议。在某些情况下,也可以同时使用两种协议以满足不同方面的需求。

IDM产品

IDM 是 “Identity Management” 的缩写,指的是身份管理。IDM产品是一类用于管理和控制用户身份、访问权限和认证的软件产品或解决方案。这些产品通常用于组织和企业内部,以确保只有授权用户能够访问系统、应用程序和资源,同时提供对身份和权限的管理和监控。

IDM产品通常包括以下功能和特点:

  1. 用户身份管理: 允许组织创建、管理和维护用户身份信息,包括用户名、密码、角色、属性等。

  2. 访问控制和权限管理: 提供对系统、应用程序和资源的访问控制,以确保用户只能访问其授权的内容。这包括基于角色的访问控制和策略管理。

  3. 身份验证和单点登录(SSO): 提供多种身份验证方法,包括用户名/密码、多因素身份验证、单点登录等,以提高安全性和用户体验。

  4. 自服务密码重置: 允许用户自行重置密码,减少了对IT支持的依赖。

  5. 审计和监控: 记录和跟踪用户活动,以便审计、合规性和安全性监控。

  6. 集成和互操作性: 可以与现有的身份存储、目录服务、单点登录系统等进行集成,以便与现有IT基础设施无缝协作。

  7. 自动化和工作流程: 支持自动化身份管理和访问控制的工作流程,以提高效率和减少人工干预。

一些知名的IDM产品和解决方案包括Microsoft Identity Manager(MIM)、Oracle Identity Manager、IBM Security Identity Manager、Okta、Ping Identity等。这些产品旨在帮助组织实现有效的身份和访问管理,以增强安全性、提高生产力并遵守合规性要求。不同的产品可能在功能、规模和部署选项方面有所不同,组织可以根据其具体需求选择适合的IDM产品。

[6/15]

  1. C
  2. B

[C]23. A
web访问管理是多数idm产品的组件,可以对身份管理进行集成和集中管理。

  1. A

[D]25. A
联合身份允许公司和合作伙伴共享顾客身份验证信息。
当一个顾客在合作伙伴的网站登陆后,那么该零售公司也能够得到该登录信息。
于是就不需要重复繁琐的登陆身份验证过程。

[A]26. D
服务供应标记语言SPML允许公司接口传递服务请求,接收公司允许对这些服务进行访问。
发送和接收公司需要遵循XML标准,从而可以进行互操作。
当使用可扩展访问控制标记语言XACMAL时,应用程序安全策略可与其他应用程序共享来确保双方都遵循相同的安全规则。
开发人员需要集成这两种语言从而允许合作伙伴员工可与他们的库存系统交互,
而无须进行第二次身份验证。使用这种语言能降低在两个不同公司之间进行库存控制的复杂性。

  1. A

[C]28. A
Diameter协议拓展了RADIUS协议,允许通过不同技术来进行不同类型身份验证(PPP,VoIP,Ethernet等)
它非常灵活,可以对访问控制进行集中管理。

  1. C

[A]30. C
功能型访问控制系统指的是用户必须提交一些东西,它表明了他能够访问什么。
如一个票证,令牌或者密钥。主体绑定一个“能力”来实现访问控制目的。不会使用同步令牌,因为这个情景指出的是挑战响应机制(是一个异步令牌)。

[B]31. A
提供强制访问控制MAC和多级安全的系统非常有针对性,需要大量管理工作,价格昂贵,且减少了用户将拥有的功能。
实施这类系统并非是所有选项中最容易的方法。由于没有PKI的预算,所以不能用于数字签名,因为数字签名需要PKI。
在多数环境中可以使用访问控制列表,以通过修改访问控制列表来提供更严格的访问控制ACL。
ACL与客体绑定,说明特定主体能够对这些客体执行哪些操作。

[B]32. C
此场景已经能说明PKI不能被使用。

[B]33. A
面型服务体系结构允许Harry的团队创建一个集中Web门户,并能提供不同的服务满足内外部需求。

  1. C

[D]35. A
安全断言标记语言允许身份验证和授权数据在安全域之间共享。
它是在基于Web的环境下进行单一登录功能时最常用的方法之一。

6/15