الفصل : 7
العنوان : تنفيذ ضوابط المصادقة (Implementing Authenticatation Controls)
Identity & Access Management
Access Control System (ACS):مصطلح مهم
وهي بعض التحكمات عشان ال Adminstrator يقدر يتحكم او يسيطر على ال Subject وال Object ولكن في البداية نريد التعرف عليهم :
Subject:
وهو شخص طلب الحصول على access لشئ معين
Objects :
وهو الشي اللي يريده ال Subject
مثال للتوضيح
لو انا اريد اخذ access على السيرفر هذا شئ يسمى subject بحيث الشخص طلب , فقام السيرفر بالرد عليا باني يجب ان ادخل ال pass وال user مثلا , هذا يسمى ال object , هذه العملية تسمى ACS , بحيث تقوم بجعل ال object لايذهب الا لم تتاكد من انه ال Subject الصحيح اللي هو صاحب الشئ ,بحيث ال ACS تقوم بعمل control كامل لمنع اي شخص اخر بالدخول واتخاذ الاجراء ,وهذا يعتبر اساس المؤسسات الكبيرة والصغيرة ايضا
identity and access management (IAM)
وهو نزام يكون بداخل ال ACS ويعتبر هو اهم شئ بحيث هو من يقوم بفعل كل التحكمات والصلاحيات , ولكنه مهما كان فهو جزء من ال ACS وليس هو ال ACS
مسؤليات ال IAM
Identification
ينشئ حساب لشخص او ال Subject بمعنى ادق عشان يسمح لك بالدخول للسيرفر او الشبكة او لل Object , بحيث هذا يسمى نحكم , وهنا اصبح الشخص لديه الهوية
Authentication
اثبات الشخصية ال IAM بياخذ الاثبات من خلال ال عملية ال Idenification العملية الاولى , وكده اسمها المصادقة او هوية الاثبات
Authorization
صلاحياته ال Subject وهو اللي يقوم بتحديده ال IAM لل Subject بحيث بعد ما يعمل عملية اثبات الشخصية اللي بيطلبها ال object منه يقوم ال IAM بتحديد صلاحيات له في الخدمة سعتها
Accounting
التسجيل , وال IAM سيقوم بعمل تسجيل لكل شئ يقوم به ال Subject من اول ما دخل الى ما خرج , ويتم خفظها في ال Audit.log ومش بيقدر انه حد يمسحها او يغير فيها
الاربع اشياء اللي ذكرناهم هم اساس ACS ويقوم بهم ال IAM
Authentication Factors : انواع اثبات الهوية
حيث تكلمنا فوق فقط عن ال id والاثبات فقط , ولكن يوجد انواع للاثاتات وهي
Some Thing You Know Authentication:
وهوي الاثباتات المفروض تكون عرفها مثل ال password او ال pin.او ال user
Some Thing You have Authentication :
وهو الاثباتات المفروض تكون نعاك فيزيائيا ,مثل البطاقة او المفتاح مثلا مثل ال fob key عشان تطلع المصعد , وده بيكون معك انت فقط , وطبعا مثل ال Access card وايضا لدينا شئ كان موجود زمان دعى باسم ال Hard Token Key وهي حاجة بيجي عليها ال code او ال pin ولكن حاليا تم استبدالها بالهاتف وكل شئ صار من خلاله
Something you Are Do Authentication :
وتكون حاجة فيك انت شخصيا مثلا بصمة الاصبع او حركة حتى مشيك حاجة فيك من تصرفات او اشياء تميز كل انسان عن بعض , وهي من اصعب انواع الاثباتات
Authentication Design
بحيث ازاي ان احنا نختار اي واحد من الاثباتات اللي ذكرناها او ما هي المعايير :
Confidentiality :
السرية , وهي من معايير امن المعلومات , بحيث لا بد من ان تقوم بحفظ البيانات الخاصة بك , مثل كلمة المرور او هويتك لابد من ان تكون سرية بالكامل
Integrity :
عدم تعديل عليها , يعني وهي بترسل كده ان لا يتم التلاعب في البيانات
Availability:
التوافقية ,وهو ان المفروض النظام نفسه او ال Object يكون موجود
Multifactor Authentication :
2-factor-Authentication (2FA):
وهي انت بتستخدم اكثر من نوع في الاثبات , وكده انت بتقوم بعمل زيادة في الامان
3 Factor Authentication :
وهي انك تدمج ثلاث اشياء وكده سيكون لديك. امان شبه خارق
Local , Network & Remote Authentication
في المؤسسة بنستخدم انظمة لينكس او ويندوز , ست=نرى ما هي الفروقات اللي بينهم في عملية ال Login
في اي نظام بيتم حفظ فيه كلمة سر في قاعدة البيانات او الملفات اللي بتكون في النظام بيتم حفظها على طريقة ال Hash , وهذه المعلومة اخذناها في ال lesson السابق
Windows Authentication : انواع اثبات الويندورز
Windows Local-Sign-in:
وهي ال normal بتدخل كلمة الرور وفقط. , وطبعا عي بتخزن على طريقة الهاش في ملف في النظام وبيكون اسمه ,SAM DB وهي اختصار ل Security Accounts Manager Data Base بحيث هو اللي بيكون فيها مكان حفظ كلمات المرور الخاصة بالويندز
Windows Network Sign-in :
وهو دخولك للشبكة او النظام يكون من خلال network نفسها بنستخدم في هذا الموضوع بروتكول يسمة NTLM
Remote Sign-in :
وهي بتدخل من خلال البعد , يعني انت مش بجانب الجهاز وبنقوم باستخدام تقنية مشهورة وهي ال VPN الا ان عمل ال VPN هو ان يقوم بتغيير جهازك او ان يجعلك تسطيع الدخول الى جهاز اخر بالكامل واستخدام الجهاز كانه معك , ولا بد من ان يكون ال VPN في كلا الطرفين
Linux Authentication :
بحيث يتم تخزين كلمة الكرم في مسار /etc/passwd هذا بيكون مكان التخزين ,ولكن مكان المقارنة بالهاش يكون في مسار /etc/shadows
Single sign-on(SSO) :
وهي عبارة عن خدمة في لينكس تجعلك عندما تقوم بتسجيل الدخول للنظام من خلال كتابة كلمة المرور الخاصة بالنظام ,بعد كده لو في برنامج او شئ يحتاج ال pass هيدخل عادي من غير شئ , لانه اعتمد على التسجيل الاول وخلاص
ولو انت في ال Windows نستخدم kerberos frame work وهو يعتبر بروتكول وبيكون موجود في ال Windows server
PAP , CHAP & CHAP Authentication :
Password Authentication Protocol (PAP):
وهو بروتكول لو احنا نريد ارسال المعلومات الهوية للاثبات لما نكون نريد ارساله للسيرفر لاخذ ال object اللي احنا ال subject نريده , وهو اول بروتوكول يختص في هذه العملية ,ولكن هو غير مشفر , لذلك مهدد بهجمات ال MITM
Challenge Handshake Authentication Protocol (CHAP):
نفس ال PAP ولكن بيتعامل مع التشفير وهو الامان , وبنقوم باستخدام مع اي نظام يعني ممكن من linux الى win او ال win الى win او linux الى linux شغال مع الكل عادي
Ms-ChapV2 :
وهو خاص فقط بانظمة ويندوز
Password Attacks: هجمات كشف الهوية
Plaintext/Unencrypted Attack :
وهو انه بيستغل ان الباسورد غير مشفر زي البروتوكولات ال PAP او ال Telnet
Online Attack :
وهو يروح للحاجة بطريقة مباشرة للسيرفر وابدا اني اخمن بقا عليه , وانا اكون بالفعل في السيرفر اكون في ارض المعركة
وبيكون كل فترة يتم تسريب بيانات الناس وكده , ويوجد موقع باسم haveibeenpwned وهو يشوف هل ايميلك تم تسريبه ولا لا , وهل تم فك ال hash الخاص به ولا لا
Offline Attack :
لو ال online فشل , بيروح باخذ ال password وهو على الهاش الخاص به , طبعا ياخذهم من ال database اللي موجودة في السيرفر, وابدا استخدم اداوت فك ال hash مثل اداة Cracking tool ,وبيحاول انه يطبع ال clear ولكن لا ننسى انه يوجد ن يقوم بعمل ال Accounting او تسجيل كل شئ وهو ال IAM ويتم حفظها في ال audit log فبيكون تم تسجيل من دخل , وممكن العملية ده يتم تكريرها مع ال victim بحيث يسرق من ال pass من ملف ال SAM ولكن معلومة ملف ال SAM يعمل في ال RAM فلا بد من ان يقوم بالدخول اليها , ويقوم بعمل Dump لها للحصول عليها
Brute-Force Attack القوة الغاشمة :
بيعمل تجريب لكل كلمة , يحولها الى ال hash حى يفكه ولو الخوارزمية المستخدمة صعبة زي ال SHA256 وطبعا هذا بيصعب العملية اكثر , وهذا ممكن يقعد لشهور او سنين او قرون حتى ويعتمد هذا ايضا على قوة الجهاز اللي معك ولكن هذا الهجوم لن ينتهي الا لما انت توقف اصلا او لما هو ينتهي , ولكن هنا المسألة تكون مسأئلة الوقت
Dictionary & Rainbow Table Attack :
Dictionary : وهو عبارة عن قاموس كبير يتم مقارنه تحويلها الى هاش ومقارنتها
Rainbow Table Attack :
بيكون جدول ايضا ولكن مع كلمات اخرى معمول لها الهاش , ويبدا التخمين بالعمل مثل ال Brute Force ولكن بشكل محدود او انت بتتحكم في الموضوع اكثر مش زي ال brute force
لدينا تكنيك يتم استخدامه في انظمة linux فقط و وصراحة الفكرة حلوة وبسيطة جدا , ويسمى التكنيك باسم ال Salt او الملح , بحيث قبل ان يقوم الجهاز بحفظ الهاش الخاصة بكلمة المرور الجديدة التي تم وضعها , يقوم بادخال كم حرف مختلف في اماكن مختلفة في الهاش , ويحفظها عليها ولما يريد ان يقوم بمقارنتها , يقوم بعمل نفس المهمة , انه يضع نفس الملح على كلمة المرور اللي هو وضعها لتسجيل الدخول ومقارنتها بالمحفوظة , وهذا التكنيك يساعد انه لو الشخص حتى قام باخذ الهاش وبدا يقارن وكان معاه ال password الصحيح والهاش الخاص به , ولكن سيظهر له انه هاش غير تماما عن المطلوب لان الملوب اصلا تم اللعب عليه وتم تغييره لذلك لن يسطيع المخمن الحصول عليها
Hybrid Attack:
وهو من اسمه فيقوم باستخدام اكثر من تكنيك للتخمين , وهناك اداوت مثل الhush cat من تقوم بالمهمة
واذا واجهتك اي مشكلة في الفهم او ما شابه , يمكنك على الفور الذهاب الى المجتمع الخاص بنا في Telegram للمناقشة والتواصل معنا من هنا
او اذا واجهتك مشكلة في الموقع او تريد اجابة سريعة يمكنك الذهاب الى اخر صفحة في الموقع ستجد صفحة اتصل بنا موجودة يمكنك ارسالة لنا مشكلتك , وسيتم الرد عليها بسرعة جدا ان شاء الله
ويمكنك الأنضمام الى المجتمع Hidden Lock بالكامل مع جميع قنواته للأستفادة في اخر الأخبار في عالم التقنية وايضا الكتب بالمجان والكورسات والمقالات من خلال الرابط التالي لمجموعة القنوات من هنا
يمكنك ايضا متابعتنا في منصات X او Twitter سابقا , لمشاهدة الاخبار والمقالات السريعة والمهمة من
وفقط كان معكم sparrow مقدم هذه الشهادة من فريق Hidden Lock