شهادة Security Plus الفصل 7 : تنفيذ ضوابط المصادقة (Implementing Authenticatation Controls)

sparrow
0

 

 

الفصل : 7


العنوان : تنفيذ ضوابط المصادقة (Implementing  Authenticatation  Controls)





Identity & Access Management


Access Control System (ACS):مصطلح مهم 

وهي بعض التحكمات عشان ال Adminstrator يقدر يتحكم او يسيطر على ال Subject وال Object ولكن في البداية نريد التعرف عليهم :


Subject:

وهو شخص طلب الحصول على access لشئ معين


Objects : 

وهو الشي اللي يريده ال Subject 


مثال للتوضيح

لو انا اريد اخذ access على السيرفر هذا شئ يسمى subject بحيث الشخص طلب , فقام السيرفر بالرد عليا باني يجب ان ادخل ال pass وال user مثلا , هذا يسمى ال object , هذه العملية تسمى ACS , بحيث تقوم بجعل ال object لايذهب الا لم تتاكد من انه ال Subject الصحيح اللي هو صاحب الشئ ,بحيث ال ACS تقوم بعمل control كامل لمنع اي شخص اخر بالدخول واتخاذ الاجراء ,وهذا يعتبر اساس المؤسسات الكبيرة والصغيرة ايضا 


identity and access management (IAM)

وهو نزام يكون بداخل ال ACS ويعتبر هو اهم شئ  بحيث هو من يقوم بفعل كل التحكمات والصلاحيات , ولكنه مهما كان فهو جزء من ال ACS وليس هو ال ACS 


مسؤليات ال IAM


Identification

ينشئ حساب لشخص او ال Subject بمعنى ادق عشان يسمح لك بالدخول للسيرفر او الشبكة او لل Object , بحيث هذا يسمى نحكم , وهنا اصبح الشخص لديه الهوية 


Authentication

اثبات الشخصية ال IAM بياخذ الاثبات من خلال ال عملية ال Idenification العملية الاولى  , وكده اسمها المصادقة او هوية الاثبات 


Authorization

صلاحياته ال Subject وهو اللي يقوم بتحديده ال IAM لل Subject بحيث بعد ما يعمل عملية اثبات الشخصية اللي بيطلبها ال object منه يقوم ال IAM بتحديد صلاحيات له في الخدمة سعتها 


Accounting

التسجيل , وال IAM سيقوم بعمل تسجيل لكل شئ يقوم به ال Subject من اول ما دخل الى ما خرج , ويتم خفظها في ال Audit.log ومش بيقدر انه حد يمسحها او يغير فيها 


الاربع اشياء اللي ذكرناهم هم اساس ACS ويقوم بهم ال IAM 



Authentication Factors : انواع اثبات الهوية 

حيث تكلمنا فوق فقط عن ال id والاثبات فقط , ولكن يوجد انواع للاثاتات وهي


Some Thing You Know Authentication:

وهوي الاثباتات المفروض تكون عرفها مثل ال password او ال pin.او ال user

 

Some Thing You have Authentication : 

وهو الاثباتات المفروض تكون نعاك فيزيائيا ,مثل البطاقة او المفتاح مثلا مثل ال fob key عشان تطلع المصعد , وده بيكون معك انت فقط , وطبعا مثل ال Access card وايضا لدينا شئ كان موجود زمان دعى باسم ال Hard Token Key وهي حاجة بيجي عليها ال code او ال pin ولكن حاليا تم استبدالها بالهاتف وكل شئ صار من خلاله


Something you Are Do Authentication : 

وتكون حاجة فيك انت شخصيا مثلا بصمة الاصبع او حركة حتى مشيك حاجة فيك من تصرفات او اشياء تميز كل انسان عن بعض , وهي من اصعب انواع الاثباتات 



Authentication Design

بحيث ازاي ان احنا نختار اي واحد من الاثباتات اللي ذكرناها او ما هي المعايير : 


Confidentiality :

السرية , وهي من معايير امن المعلومات , بحيث لا بد من ان تقوم بحفظ البيانات الخاصة بك , مثل كلمة المرور او هويتك لابد من ان تكون سرية بالكامل 


Integrity : 

عدم تعديل عليها , يعني وهي بترسل كده ان لا يتم التلاعب في البيانات 


Availability: 

التوافقية ,وهو ان المفروض النظام نفسه او ال Object يكون موجود 


Multifactor Authentication : 


2-factor-Authentication (2FA): 

وهي انت بتستخدم اكثر من نوع في الاثبات , وكده انت بتقوم بعمل زيادة في الامان 


3 Factor Authentication : 

وهي انك تدمج ثلاث اشياء وكده سيكون لديك. امان شبه خارق 


Local , Network & Remote Authentication 

في المؤسسة بنستخدم انظمة لينكس او ويندوز , ست=نرى ما هي الفروقات اللي بينهم في عملية ال Login 


في اي نظام بيتم حفظ فيه كلمة سر في قاعدة البيانات او الملفات اللي بتكون في النظام بيتم حفظها على طريقة ال Hash  , وهذه المعلومة اخذناها في ال lesson السابق 


Windows Authentication : انواع اثبات الويندورز 


Windows Local-Sign-in: 

وهي ال normal بتدخل كلمة الرور وفقط. , وطبعا عي بتخزن على طريقة الهاش في ملف في النظام وبيكون اسمه ,SAM DB وهي اختصار ل Security Accounts Manager Data Base  بحيث هو اللي بيكون فيها مكان حفظ كلمات المرور الخاصة بالويندز 


Windows Network Sign-in : 

وهو دخولك للشبكة او النظام يكون من خلال network نفسها بنستخدم في هذا الموضوع بروتكول يسمة NTLM


Remote Sign-in : 

وهي بتدخل من خلال البعد , يعني انت مش بجانب الجهاز وبنقوم باستخدام تقنية مشهورة وهي ال VPN الا ان عمل ال VPN هو ان يقوم بتغيير جهازك او ان يجعلك تسطيع الدخول الى جهاز اخر بالكامل واستخدام الجهاز كانه معك , ولا بد من ان يكون ال VPN في كلا الطرفين 



Linux Authentication : 

بحيث يتم تخزين كلمة الكرم في مسار /etc/passwd  هذا بيكون مكان التخزين ,ولكن مكان المقارنة بالهاش يكون في مسار /etc/shadows 


Single sign-on(SSO) : 

وهي عبارة عن خدمة في لينكس تجعلك عندما تقوم بتسجيل الدخول للنظام من خلال كتابة كلمة المرور الخاصة بالنظام ,بعد كده لو في برنامج او شئ يحتاج ال pass هيدخل عادي من غير شئ , لانه اعتمد على التسجيل الاول وخلاص 


ولو انت في ال Windows نستخدم kerberos frame work وهو يعتبر بروتكول وبيكون موجود في ال Windows server


PAP , CHAP & CHAP Authentication :

 

Password Authentication Protocol (PAP): 

وهو بروتكول لو احنا نريد ارسال المعلومات الهوية للاثبات لما نكون نريد ارساله للسيرفر لاخذ ال object اللي احنا ال subject نريده , وهو اول بروتوكول يختص في هذه العملية ,ولكن هو غير مشفر , لذلك مهدد بهجمات ال MITM 


Challenge Handshake Authentication Protocol (CHAP): 

نفس ال PAP ولكن بيتعامل مع التشفير وهو الامان , وبنقوم باستخدام مع اي نظام يعني ممكن من linux الى win او ال win الى win او linux الى linux شغال مع الكل عادي 


Ms-ChapV2 : 

وهو خاص فقط بانظمة ويندوز 


Password Attacks: هجمات كشف الهوية 


Plaintext/Unencrypted Attack : 

وهو انه بيستغل ان الباسورد غير مشفر زي البروتوكولات ال PAP او ال Telnet 


Online Attack :

وهو يروح للحاجة بطريقة مباشرة للسيرفر وابدا اني اخمن بقا عليه , وانا اكون بالفعل في السيرفر اكون في ارض المعركة 

وبيكون كل فترة يتم تسريب بيانات الناس وكده , ويوجد موقع باسم  haveibeenpwned  وهو يشوف هل ايميلك تم تسريبه ولا لا , وهل تم فك ال hash الخاص به ولا لا 


Offline Attack : 

لو ال online فشل , بيروح باخذ ال password وهو على الهاش الخاص به , طبعا ياخذهم من ال database اللي موجودة في السيرفر, وابدا استخدم اداوت فك ال hash مثل اداة Cracking tool ,وبيحاول انه يطبع ال clear ولكن لا ننسى انه يوجد ن يقوم بعمل ال Accounting  او تسجيل كل شئ وهو ال IAM ويتم حفظها في ال audit log فبيكون تم تسجيل من دخل , وممكن العملية ده يتم تكريرها مع ال victim بحيث يسرق من ال pass من ملف ال SAM ولكن معلومة ملف ال SAM يعمل في ال RAM فلا بد من ان يقوم بالدخول اليها , ويقوم بعمل Dump لها للحصول عليها 


Brute-Force Attack القوة الغاشمة :

بيعمل تجريب لكل كلمة , يحولها الى ال hash حى يفكه ولو الخوارزمية المستخدمة صعبة زي ال SHA256 وطبعا هذا بيصعب العملية اكثر , وهذا ممكن يقعد لشهور او سنين او قرون حتى ويعتمد هذا ايضا على قوة الجهاز اللي معك ولكن هذا الهجوم لن ينتهي الا لما انت توقف اصلا او لما هو ينتهي , ولكن هنا المسألة تكون مسأئلة الوقت  


Dictionary & Rainbow Table Attack : 


Dictionary : وهو عبارة عن قاموس كبير يتم مقارنه تحويلها الى هاش ومقارنتها 


Rainbow Table Attack :

بيكون جدول ايضا ولكن مع كلمات اخرى معمول لها الهاش , ويبدا التخمين بالعمل مثل ال Brute Force ولكن بشكل محدود او انت بتتحكم في الموضوع اكثر مش زي ال brute force 


لدينا تكنيك يتم استخدامه في انظمة linux فقط و وصراحة الفكرة حلوة وبسيطة جدا , ويسمى التكنيك باسم ال Salt او الملح , بحيث قبل ان يقوم الجهاز بحفظ الهاش الخاصة بكلمة المرور الجديدة التي تم وضعها , يقوم بادخال كم حرف مختلف في اماكن مختلفة في الهاش , ويحفظها عليها  ولما يريد ان يقوم بمقارنتها , يقوم بعمل نفس المهمة , انه يضع نفس الملح على كلمة المرور اللي هو وضعها لتسجيل الدخول ومقارنتها بالمحفوظة , وهذا التكنيك يساعد انه لو الشخص حتى قام باخذ الهاش وبدا يقارن وكان معاه ال password الصحيح والهاش الخاص به , ولكن سيظهر له انه هاش غير تماما عن المطلوب لان الملوب اصلا تم اللعب عليه وتم تغييره  لذلك لن يسطيع المخمن الحصول عليها

 

Hybrid Attack: 

وهو من اسمه فيقوم باستخدام اكثر من تكنيك للتخمين , وهناك اداوت مثل الhush cat من تقوم بالمهمة 


■ النهاية 

نكون هنا انتهينا من الفصل 7 من شهادة security plus المقدمة من CompTIA ما زال لدينا الكثير ولكن الموضوع سيكون سهل وسريع وممتع جدا

واذا واجهتك اي مشكلة في الفهم او ما شابه , يمكنك على الفور الذهاب الى المجتمع الخاص بنا في Telegram للمناقشة والتواصل معنا من هنا  


او اذا واجهتك مشكلة في الموقع او تريد اجابة سريعة يمكنك الذهاب الى اخر صفحة في الموقع ستجد صفحة اتصل بنا موجودة يمكنك ارسالة لنا مشكلتك , وسيتم الرد عليها بسرعة جدا ان شاء الله 


ويمكنك الأنضمام الى المجتمع Hidden Lock بالكامل مع جميع قنواته للأستفادة في اخر الأخبار في عالم التقنية وايضا الكتب بالمجان والكورسات والمقالات من خلال الرابط التالي لمجموعة القنوات من     هنا 


يمكنك ايضا متابعتنا في منصات X او Twitter سابقا , لمشاهدة الاخبار والمقالات السريعة والمهمة من  

هنا


وفقط كان معكم sparrow مقدم هذه الشهادة من فريق Hidden Lock







إرسال تعليق

0تعليقات

إرسال تعليق (0)

#buttons=(موافق!) #days=(20)

يستخدم موقعنا ملفات تعريف الارتباط لتحسين تجربتك. تاكد الان
Ok, Go it!