2013年11月5日 星期二
Cisco ISE Install & Setup
關於利用VMWare進行ISE安裝步驟的模擬,可以詳見思科網站的連結。
請務必注意,硬碟大小建議200GB與RAM不得低於4GB,使用RedHat 5 64位元進行模擬安裝作業。
主要設定項目步驟
Enter hostname[]: ise-server-1 輸入主機名稱
Enter IP address[]: 10.1.1.10 輸入IP位址
Enter Netmask[]: 255.255.255.0 輸入子網路遮罩
Enter IP default gateway[]: 172.10.10.10 輸入預設閘道
Enter default DNS domain[]: cisco.com 輸入網域名稱
Enter Primary nameserver[]: 200.150.200.150 輸入DNS伺服器
Add/Edit another nameserver? Y/N: n 是否設定額外的DNS伺服器
Enter primary NTP domain[]: clock.cisco.com 輸入NTP伺服器位址
Add/Edit another NTP domain? Y/N: n 是否輸入額外的NTP伺服器
Enter system time zone[]: UTC 輸入時區,台灣請輸入Asia/Taipei
Enter username [admin]: admin 輸入登入帳號
Enter password: 輸入登入密碼[隱碼]
Enter password again: 再次輸入登入密碼[隱碼]
---以下開始進行安裝作業(時間非常漫長)---
Bringing up the network interface...
Pinging the gateway...
Pinging the primary nameserver...
Do not use `Ctrl-C' from this point on...
Virtual machine detected, configuring VMware tools...
Appliance is configured
Installing applications...
Installing ISE...
Application bundle (ise) installed successfully
===Initial Setup for Application: ise===
Welcome to the ISE initial setup. The purpose of this setup is to provision the
internal ISE database. This setup requires you to create database administrator
password and also create a database user password.
Please follow the prompts below to create the database administrator password.
Enter new database admin password:
Confirm new database admin password:
Successfully created database administrator password.
Please follow the prompts below to create the database user password.
Enter new database user password:
Confirm new database user password:
Successfully created database user password.
Running database cloning script...
Generating configuration...
Rebooting...
Welcome to the ISE initial setup. The purpose of this setup is to provision the
internal database. This setup is non-interactive and will take roughly 15
minutes to complete. Please be patient.
Running database cloning script...
Running database network config assistant tool...
Extracting ISE database contents...
Starting ISE database processes...
...
CISSP領域重要名詞釋疑 - Least Privilege and Need to know
Least Privilege and Need to know
最低權限意指使用者應被授予最小的存取(授權)去執行工作,但沒有其他額外的權限。需要知道沒有更小的低於最低權限:使用者在存取前必須具體知道他的資訊範圍。
Sebastion是一個護士,他工作在藥品工廠提供多種訓練。她的實習有四個醫生,她和此四個醫生合作治療。因此他的最小權限為與此四名醫生的相關資料,但是他不能存取其他醫生的治療資訊。
必須知道的是Sebastion可以存取這些資訊只有在他執行商業行為時必須去做這些事。如果有一個病人正在接受Sebastion的治療,但是他不是Sebastion本人,最小權限可能會允許存取,但是實際上則不需要。
Learn by example: real-world least privilege
藉由案例去學習:真實世界的最小權限
一間大型的健康照護中心提供商擁有60個IT員工職責是4000個運行在Microsoft Windows上的系統。該公司的員工並不具有最小權限:每個IT員工均被授予網域管理者存取權限。此類存取員工具有桌面協助、備份管理者與其他權限。所有的60個網域管理者均具有超級使用者的權限在4000台Windows系統上。
此等級的權限執行會衍生許多問題。很難藉由CIA去界定操作錯誤。因為太多人能做的工作太多,記錄會有損害。造成資料遺失,授權改變發生,系統損毀,而且難以釐清問題點。
一個新任的安全主管,而她的首要任務就是確定最小權限。基礎角色的帳號被建立:一個協助桌面的角色被同意存取系統;一個備份的角色被同意進行被份與還原,其他工作也是。網域管理者的角色被削減到只剩下所需授權的人員。
許多的前往與管理者抱怨少了超級使用者的授權,但他們都擁有足夠的存取權限做他們的工作。這是項直接且令人印象深刻的改善:運作上未經授權的改變已經停止,系統崩潰的情況也不常發生。操作上仍會發生錯誤,但是這些錯誤的影響較少。
最低權限意指使用者應被授予最小的存取(授權)去執行工作,但沒有其他額外的權限。需要知道沒有更小的低於最低權限:使用者在存取前必須具體知道他的資訊範圍。
Sebastion是一個護士,他工作在藥品工廠提供多種訓練。她的實習有四個醫生,她和此四個醫生合作治療。因此他的最小權限為與此四名醫生的相關資料,但是他不能存取其他醫生的治療資訊。
必須知道的是Sebastion可以存取這些資訊只有在他執行商業行為時必須去做這些事。如果有一個病人正在接受Sebastion的治療,但是他不是Sebastion本人,最小權限可能會允許存取,但是實際上則不需要。
Learn by example: real-world least privilege
藉由案例去學習:真實世界的最小權限
一間大型的健康照護中心提供商擁有60個IT員工職責是4000個運行在Microsoft Windows上的系統。該公司的員工並不具有最小權限:每個IT員工均被授予網域管理者存取權限。此類存取員工具有桌面協助、備份管理者與其他權限。所有的60個網域管理者均具有超級使用者的權限在4000台Windows系統上。
此等級的權限執行會衍生許多問題。很難藉由CIA去界定操作錯誤。因為太多人能做的工作太多,記錄會有損害。造成資料遺失,授權改變發生,系統損毀,而且難以釐清問題點。
一個新任的安全主管,而她的首要任務就是確定最小權限。基礎角色的帳號被建立:一個協助桌面的角色被同意存取系統;一個備份的角色被同意進行被份與還原,其他工作也是。網域管理者的角色被削減到只剩下所需授權的人員。
許多的前往與管理者抱怨少了超級使用者的授權,但他們都擁有足夠的存取權限做他們的工作。這是項直接且令人印象深刻的改善:運作上未經授權的改變已經停止,系統崩潰的情況也不常發生。操作上仍會發生錯誤,但是這些錯誤的影響較少。
2013年11月1日 星期五
CISSP 領域重要名詞釋疑 - AAA 與 Nonrepudiation
Identity and Authentication, Authorization, and Accountability
單詞AAA也經常被使用,描述了 驗證、授權、記錄 的概念。跳脫AAA縮寫指的就是 身分確認 ,身分驗證之前會要求這三個A被落實。
Identity and Authentication (身分確認與驗證)
驗證身分的聲稱:假如你的名字叫做X,你聲稱你自己叫做X。此種身分單一確認是薄弱的,因為並未加以證實。你可以同時聲稱你自己是Y。證實一個身分稱之為驗證,你可以驗證你自己的身分,通常會提供額外資訊或是獨有的物件,例如:密碼以及護照。
通常在機場做通關時,登機員會問你的名字(身分)。你可以說你喜歡的任何事情,但是你對於近期相貌的說謊會產生問題:登機原會要求出示駕照或是護照。換句話說,他們想要藉此驗證你的身分。
有一個使用者Deckard想要在ericconrad.com登入他的電子郵件帳號。他鍵入了”deckard”在使用者名稱欄位上;這代表他在此系統上的身分。需要注意的是Deckard可以輸入任何東西在使用者欄位框上,但此一識別是薄弱的。如果他需要證實身分,則需要驗證。Deckard之後輸入了密碼”R3plicant”。這在ericconard.com系統上是一個正確的密碼,所以Deckard的身分可以被證實並且讓他進行登入。
Authorization (授權)
授權描述了你可以在系統上所執行的動作,當你已驗證與已授權。動作包含了 讀取、寫入、執行檔案與程式。
假設你是公司裏面的一個資訊主管管理人力資源資料庫,你需要授權你自己與少數的員工去查閱資料庫(例如:病假與請假資訊)。你不應該被授權去看CIO的薪資。
使用者Deckard身分驗證與授權自己,並且登入該系統。他使用Linux的Cat指令去查看sebastion-address.txt檔案。Deckard是被受全去檢視該份檔案,所以具該權限是理所當然的。Deckard接著試著去看/etc/shadow,這裡存放著使用者的加密密碼。Deckard沒有被授權去檢視該檔案,因此拒絕存取。
Accountability (記錄稽核)
記錄掌握使用者所有可記錄的行動。這通常藉由登入及分析稽核資料。強制執行記錄可以幫助維持誠實者誠實。對某些使用者而言,了解資訊蒐集並不足以提供記錄;他們總是知道資料是被搜集且被稽核的,制裁可能導致違反政策。
一間健全的公司Kaiser Permanente在2009年針對違反政策(違反HIPPA條款《健康保險可攜與責任法》)的員工,開除並影響了超過20名員工後(他們非法檢視了Nadya Suleman好萊塢演員的用藥紀錄),執行強制記錄。詳見http://www.scmagazineus.
com/octomoms-hospital-records-accessed-15-workers-fired/article/129820/
光是蒐集資料是不足的,查明侵犯與制裁違法者也是必須的。
Nonrepudiation (不可否認性)
不可否認性意指使用者不能否認已執行過的交易。它包含了授權以及完整性:不可否認性授權一個驗證身分的使用者執行交易,並且確保交易的完整性。你必須同時具有授權與完整性才具有不可否認特質:證實你簽署了一份汽車購買合約(驗證身分就是購買者)是沒有用的,如果你的汽車經銷商能夠更改價錢從20,000到40,000(合約違反資料完整性)。
2013年10月29日 星期二
CISSP 領域重要名詞釋疑 - CIA 三元素
 |
CIA Tried (CIA三元素) |
Confidentiality 保密性/機密性
保密性主要在保護未經授權的資訊洩漏。
保密性主要在保護未經授權的資訊洩漏。
換句話說,保密性主要在於防止未經授權的讀取資料。
舉個攻擊保密性的例子,例如盜竊個人資訊(Personally
Identifiable Information, PII),例如個人信用卡資訊。
關於機密性的關鍵詞
Data encryption 加密數據存取(Disk, Databasre, Storage...)
Message encryption 傳輸加密(IPSsec, SSL, PPTP, SSH)
Access Control 存取控制 (物理與技術)
Integrity 完整性
完整性主要在保護未授權的資料更改。
換句話說,完整性主要在於防止未經授權的寫入資料。
完整性分成兩種種類:資料完整性(Data Integrity) 與 系統完整性(System Integrity)。資料完整性主要在於防止未經授權的資訊再次被修改;資訊完整性主要在於保護系統,例如一套Windows 2008的作業系統未經授權的修改。
假如有一位學生入侵了大學的評分資料庫,將他未通過的分數提高,他則侵犯了資料的完整性。假如他安裝了巨集軟體在系統上並開啟了系統的後門存取,則他侵犯了系統的完整性。
關於完整性的關鍵詞
Distribution 分散式 (數據完整性)
Configuration Management 配置管理 (系統完整性)
Modify Control 變更控制 (過程完整性)
Access Control 存取控制 (物理與技術)
Digital Signature 數位簽章
Communication CRC(Cyclic redundancy check) 通訊-循環冗余檢查碼
關於完整性的關鍵詞
Distribution 分散式 (數據完整性)
Configuration Management 配置管理 (系統完整性)
Modify Control 變更控制 (過程完整性)
Access Control 存取控制 (物理與技術)
Digital Signature 數位簽章
Communication CRC(Cyclic redundancy check) 通訊-循環冗余檢查碼
Availability 可用性
可用性確定資訊被需要時是可用的。在一般商業環境中,系統必須確保可用性。舉一個攻擊可用性的例子,像是DoS(Denial of Service)攻擊,這類攻擊主要在於癱瘓系統服務。
關於可用性的關鍵詞
RAID (Redundant Array of Independent Disks) 磁碟陣列
Cluster 叢集
Load Balancing 附載平衡
Software Backup & Data Backup 軟體與資料備份
UPS (Uninterruptible Power Supply) 不斷電供應器
Disk Image 磁碟鏡像
Co-location & Remote Backup 主機代管與異地備援
Rollback 回溯
Failover 容錯移轉
Tension Between the Concept
機密性、完整性、可用性有些時候是處於對立的:當一個資料在於安全地方並遺失了鑰匙,它可能和機密性或完整性有關,但是與可用性無關。
有個錯誤的答案:我們的任務不是在於追求資訊機密性、完整性與可用性的需求平衡。
Disclosure Alteration and Destruction
CIA三元素同時也描述對立的三項:洩漏(Disclosure)、變造(Alteration)、破壞(Destruction),合併起來是DAD。洩漏是指未經授權的紕漏資料;變造是指未經授權的修改資料;而破壞指讓系統變得不可用。有些時候CIA縮寫順序會改變,DAD縮寫則會保持順序。
Key Word
肩窺(shoulder Sufing)
越過別人肩膀瀏覽未經授權的信息。
社會工程(Social Enginner)
欺騙他人共享敏感信息以獲取未經授權的訪問。
2013年10月28日 星期一
OSI 網路七層模型
|
OSI Model
|
TCP/IP Model or
DoD Model
|
TCP/IP
Protocol Suite or
DoD Protocol
Suite
|
||||||||
|
Application
Layer
|
Application
Layer or Process / Application Layer
|
HTTP(Hypertext Transfer Protocol)
|
FTP(File Transfer Protocol)
|
SMTP(Simple Message Transfer Protocol)
|
||||||
|
Presentation
Layer
|
DNS(Domain Name System)
|
TFTP(Trivial File Transfer Protocol)
|
SNMP(Simple Network Message Protocol)
|
|||||||
|
Session
Layer
|
NFS(Network File System)
|
RIP(Routing Information Protocol)
|
LPD(Line Printer Daemon)
|
|||||||
|
Telnet
|
rlogin
|
X Windows
|
||||||||
|
Transport
Layer
|
Transport
Layer or Host-to-Host Layer
|
TCP(Transmission Control Protocol)
|
UDP(User Datagram Protocol)
|
|||||||
|
Network
Layer
|
Internet
Layer
|
ICMP(Internet Control Message Protocol)
|
IGMP(Internet Group Management Protocol)
|
ARP(Address Resolution Protocol)
|
RARP(Reserve Address Resolution Protocol)
|
|||||
|
IP(Internet Protocol)
|
||||||||||
|
Data-link
Layer
|
Link
Layer or Network Access Layer
|
MAC(Media Access Control)
|
||||||||
|
LLC(Logical Link Control)
|
||||||||||
|
Physical
Layer
|
Ethernet
|
Frame
Relay
|
ATM
|
|||||||
|
Fast Ethernet
|
Token Ring
|
FDDI
|
||||||||
Application附加一個非常重要的協定:
DHCP(Dynamical Host Configuration Protocol)/BootP
訂閱:
意見 (Atom)
