【网络安全设计课件】创建身份验证安全设计.pptVIP

网络安全设计 第1章 安全设计简介 第2章 创建网络安全计划 第3章 确定网络安全威胁 第4章 分析安全风险 第5章 创建物理资源安全 设计 第6章 创建计算机安全设计 第7章 创建账户安全设计 第8章 创建身份验证安全 设计 第8章 身份验证的安全设计 确定身份验证威胁并分析其风险 设计身份验证的安全性 确定身份验证威胁并分析其风险 身份验证概述 身份验证安全的重要性 常见的身份验证漏洞 课堂练习 分析身份验证的风险 身份验证概述 课堂练习 分析身份验证的风险 第8章 身份验证的安全设计 确定威胁和分析身份验证的风险 设计身份验证的安全性 设计身份验证的安全性 确定身份验证需求的步骤 局域网身份验证协议 局域网中账户身份验证的注意事项 Web 用户身份验证的注意事项 RAS 用户身份验证的注意事项 多要素身份验证 应用程序和网络设备身份验证的注意事项 课堂练习 风险和应对措施 安全策略检查清单 确定身份验证需求的步骤 局域网身份验证协议 局域网中账户身份验证的注意事项 课堂练习 风险和应对措施 实验 A 身份验证的安全设计 回顾 学习完本章后，将能够： 确定身份验证面临的威胁并分析其风险 设计身份验证的安全性 第9章 创建数据安全设计 第10章 创建数据传输安全设计 第11章 创建网络周边安全设计 第12章 设计安全事件应对措施 附录A 可接受使用策略的设计 附录B 网络管理策略的设计 附录C 安全管理的运营框架 设计 附录D CHAP、MS-CHAP 和 MS- CHAP v2 中的身份验证 8.1 确定身份验证威胁并分析其风险 分支机构 公司总部 Web 服务器 Internet 服务器 局域网(LAN) 局域网(LAN) 远程用户 VPN 无线用户 本地 远程 通过 Internet 用户身份验 证的方式： 8.1.1 身份验证概述 示例 威胁 攻击者 网络监视 电子欺骗 攻击者截取早期身份验证协议所使用的密码散列，并且对密码散列实施暴力攻击以获取密码 内部 攻击者使用朋友的家用计算机，并且通过使用凭据缓存获得对网络的远程访问 外部 外部攻击者 凭据缓存 内部攻击者 AC234FFA2948404EE 身份验证安全的重要性 8.1.2 身份验证安全的重要性 早期软件使用弱身份验证方法 和其他应用程序一起使用导致身份验证的安全性降低 与非 Microsoft 操作系统不兼容 兼容性 密码以明文形式传送 密码散列通过网络传送 密码被特洛伊木马程序拦截 密码 示例 漏洞 应用程序使用弱加密 早期操作系统使用弱加密方法 攻击者拦截并重放了身份验证数据包 加密 常见的身份验证漏洞 8.1.3 常见的身份验证漏洞 阅读场景 回答问题 全班一起讨论答案 1 2 3 分析 8.1.4 课堂练习 分析身份验证的风险 8.2 设计身份验证的安全性 为了确定身份验证需求，需要： 分析身份验证安全性的业务和技术需求 确定早期操作系统的兼容性需求 3. 确定应用程序的兼容性需求 4. 确定第三方应用程序和操作系统的身份验证需求 5. 设计身份验证的实现策略 8.2.1 确定身份验证需求的步骤 Windows 2000 及后续操作系统（在 Active Directory 域中）默认使用 客户端和服务器双向身份验证 支持智能卡 Windows 95 及后续操作系统支持 通过增加会话安全性和加密而改进了 NTLM 的安全性 客户端和服务器双向身份验证 在 Windows NT 4.0 中，以及对 Windows 2000 及后续操作系统中的本地账户，NTLM 是默认的身份验证协议 使用基本的质询和响应交换 早期的 Microsoft 操作系统使用 使用基本的质询和响应交换 不是一个安全的身份验证协议 注意事项 NTLMv2 Kerberos 协议 NTLM LAN Manager 8.2.2 局域网身份验证协议 Kerberos 登录过程 Kerberos 服务请求 多媒体 Kerberos 协议的工作原理 与基于 UNIX 的操作系统的互操作性 计算机之间的时间同步 使用 Kerberos 时的注意事项： 移除 LAN Manager 密码散列 配置服务器和客户端的 LAN Manager Compatibility 等级 设置 NTLMv2 会话安全性 使用 LAN Manager 或 NTLM 时的注意事项： 8.2.3 局域网中账户身份验证的注意事项 需要 PKI 不要求用户输入密码 只与 Internet Explorer 兼容 不能和代理服务器或防火墙一起使用 内部网 Web 站点使用 使用用户名、密码和