笔者目前所在公司是一家跨国外资企业,同时在国内亦有几十家分支机构。整个企业是在域的环境中,各分支是通过Cisco的ASA系列防火墙以IPSEC 科学的方式与位于北京的数据中心互连互通。
同时,企业的应用系统和关键业务 服务器 均位于数据中心内,均为域成员服务器。而几十台防火墙或交换机等网络设备分散在全国各地。
目前,公司使用的身份认证方式,主要是”用户名+口令”认证,但此种认证方式有以下缺点:
1.口令容易泄漏。
2.可以用”重播”方式,复制和重现认证过程。
3.维护成本较高:需要定时更新;需要有安全的方式发放口令;需要有制度禁止口令的蔓延传播。
针对公司所面临的安全问题,经衡量后,决定采取RSA SecurID双因素身份认证系统来实现对应用系统、关键业务服务器及网络设备安全访问。(图1)
一、RSA SecurID双因素认证系统组件
RSA SeucrID由认证服务器RSA AM、代理软件RSA AM/Agent、认证设备以及认证应用编程接口(API)组成(如下图所示)。(图2)
1、认证服务器(Authentication Manager)
在RSA SecurID解决方案中,RSA AM软件是网络中的认证引擎,由安全管理员或网络管理员进行维护,可以实现企业认证、访问控制、规避攻击、用户责任等。
2、RSA SecurID认证令牌
所有RSA SecurID认证令牌均使用已获专利的相同的算法来完成令牌码的散列和加密功能。(图3)
(此实验中的令牌)
3、代理软件(AM/Agent)
实现这种强大的认证功能的中间代理软件称为RSA AM/Agent。该代理软件的功能类似于保安人员,用来实施RSA AM系统建立的安全策略。
二、RSA SecurID针对域用户登录及
网络
设备认证的原因及过程
1、通过安装代理软件实现域用户登陆的双因素 安全 认证:
在WINDOWS平台机器上安装RSA AGENT软件,通过设置来实现对特定用户进行验证(此时亦应在RSA AM上添加代理用户(域用户)及被访问的服务器(又称为代理主机)。(图4)
如图所示,在”Passcode”栏后输入令牌码+PIN码,此时Passcode将被发送到RSA AM进行认证,如果是合法用户就能被授权进行下一步如输入当前用户的密码,然后就能登陆到域并访问域中资源了。
注意,此处的”Passcode”也可以只是令牌码,也就是不用使用PIN码。后文会图文展示如何实现。但安全性相对来说会降低些。
2、通过RADIUS协议实现网络设备的双因素安全认证:
配置这些网络设备通过RADIUS协议来使用SECURID实现双因素认证,当用户需要TELNET或SSH到这些网络设备时,必须输入用户名和双因素Passcode,然后由这些网络设备通过RADIUS协议将Passcode发送到认证服务器进行认证,如果是合法用户则可以访问网络资源,否则就会被拒绝在外。(图5)
如图所示,这是在Cisco ASA 5520防火墙上进行的使用RADIUS 协议进行验证,而且还配置了当RSA AM出现问题时使用本地验证。
注意,此时,需要在RSA AM上添加代理用户及代理主机(防火墙的IP地址)。如果是使用SSH登陆,需要在SSH登陆用户名和密码中输入代理用户名和令牌码(+PIN码),而且登陆输入EN后,也需要再次输入当前令牌上所显示的下一个令牌码(60秒变换一次)。(图6)
三、RSA解决方案的实施及步骤
前面部分已简要介绍了企业面临的安全访问的问题以及RSA的解决方案及实现过程。接下来介绍安装及如何配置从而实现域用户登陆的双因素身份认证的,注意,此处并没有安装RSA RADIUS服务器软件,故无法实现RADIUS的网络设备双因素身份验证。
安装拓朴描述:
A、域(rsa.com)环境中,在需要进行登录认证的应用服务器或关键业务服务器上安装代理(Netbios名字为rsamem)。FQDN:rsamem.rsa.com。
B、在一台工作组服务器(Netbios名字为rsaman)上安装RSA AM。并保证路由上此台服务器和域中的所有服务器能正常通讯。(也可以在域成员服务器上安装RSA AM)
C、以域用户(需添加到RSA AM用户中)登陆应用服务器(需添加到RSA AM代理主机中)rsamem时,会先前往rsamam这台RSA AM服务器上进行合法用户的双因素认证。成功则充许登陆。
1、RSA Authentication Manager 6.1 安装
A、RSA Authentication Manager 6.1软件安装系统需求
支持的操作系统:
Microsoft Windows 2000 Server or Advanced Server (Service Pack 4)
Microsoft Windows 2003 Standard Server or Enterprise Server
硬件需求:
Intel Pentium 733 MHz 处理器
256 MB 物理内存
NTFS 文件系统
200 MB 磁盘空间
B、RSA Authentication Manager 安装前注意事项
RSA Authentication Manager 必须安装在NTFS分区上。
将所有 RSA Authentication Manager 服务器的全名和IP地址写入所有 RSA Authentication Manager 服务器的hosts文件中(\winnt\System32\drivers\etc\hosts)。
C、一般不建议你安装在域成员服务器上,如果的确需要,安装时最好以本地管理员权限的用户进行安装。
D、满足上述条件后,安装过程相对简单,需要注意的是安装过程中需要选择好LICENSE的路径。安装完成后需要重新启动。且如果有被RSA AM的UPDATE程序,且记一定要打上。如下图为安装好的RSA Authentication Manager:(图7)
2、安装RSA Authentication Agent 6.1 for Windows
A、安装前注意事项:
安装任何RSA Authentication Agent代理软件之前,请到RSA网站下载最新的代理软件:
如果RSA Authentication Agent与RSA Authentication Manager安装在不同计算机上,需要首先复制Authentication Manager上的C:\Program Files\RSA Security\RSA Authentication Manager\data\sdconf.rec文件到RSA Authentication Agent上的\windows\system32目录。
B、选择自定义安装,需注意以下安装窗口出现时的选择:(图8)
应去除”Domain Authentication Client”选项,只保留”Local Authentication Client”。安装过程也相对简单。只需注意sdconf.rec文件一定先从RSA AM上拷到代理软件安装所在的机器C:\ \windows\system32目录下。安装完成后,需重启计算机。
以上是程序的安装,接下来就是针对RSA AM及RSA AGENT HOST代理端的配置:
三、在rsamam上配置RSA Authentication Manager
A、启动RSA Authentication Manager
选择开始’ RSA Security’RSA Authentication Manager Control Panel,点击左边栏中的”Start & Stop RSA Auth Mgr Service”,然后在右边栏中选择”Start All”来启动RSA Authentication Manager。(图9)
如果希望每次系统启动时自动启动RSA Authentication Manager,在Auto Start选项下选择 “Edit…”,在弹出的窗口中选择 “Automatically start services on system startup”。
B、选择开始’ RSA Security’RSA Authentication Manager Host Mode可以进入RSA Authentication Manager的管理界面。选择”Token’Import Token…”选择SecurID种子所在路径,选择*.xml文件导入令牌种子。(图10)
注意:此处的令牌种子文件是需要提前做好的,由供应商根据购置的授权数及ID来确定。
C、添加用户及分配令牌:在打开的”RSA Authentication Manager Host Mode”管理控制台,选择”User–〉Add User…”,输入用户名字,姓和登录名信息。此处的用户保持和域用户一致。且确保”Default Login”里输入的用户名rickyfang是域用户已存在的。(图11)
同样是此图,选择”Assign Token…”,分配令牌并选择”Yes”在RSA ACE/Server数据库中存储用户信息。输入令牌背面的序列号或者点击”Tokens…”从有效的令牌中选择为分配的令牌给当前用户(有效的令牌已包含在前面的导入的令牌种子中)。
D、添加代理软件服务器(也就是安装有代理软件的应用服务器rsamem):在打开的”RSA Authentication Manager Host Mode”管理控制台,选择”Agent Host–〉Add Agent Host…”,在”Name”字段中输入RSA ACE/Agent的计算机全名,按”Tab”键,程序会自动得到此计算机的IP地址,无法自动找到IP地址的话可以手工输入;在”Agent type”中选择”Net OS Agent”表示此计算机为Windows操作系统;选择”Open to all Locally Known Users”,所有通过令牌认证的用户均可访问此计算机。(图12)
四、在rsamem配置和测试RSA Authentication Agent安装
A、选择开始’ RSA Security’RSA Security Center进入客户端管理界面。在左边栏中选择Authentication Test,然后选择右边栏中的”Test…”测试安装是否正确。
在认证窗口中输入用户名和令牌上显示的当前令牌码:(图13)
B、第一次成功登录以后,系统提示用户必须创建PIN码,选择”I Will Create PIN”自己创建PIN码;如果选择”RSA ACE/Server Will Generate PIN”的话,RSA ACE/Server会自动产生4到8位的PIN码。在这里我们选择”I Will Create PIN”。(图14)
成功创建完PIN码以后,RSA Authentication Agent软件提示PIN码创建成功。
C、以后正常登录时,必须在”PASSCODE”字段中先输入4到8位的PIN码,然后紧接着输入六位的令牌码(必须等到令牌跳到下一个号码时输入才有效);显示”Authentication successful.”时表示通过认证测试。(图15)
D、实现SecurID认证:进入RSA Security Center,选择local,在”challenge setting”中指定users in=RSA\Domain Users(此处的rsa为rsa.com)。(图16)
选择后如下图所示,值得注意的是图中的”Reserver Password”选项,无法实现passcode认证后需要输入此中的密码才能正常登陆系统。(图17)
设置好后,重启计算机。
五、用户登陆验证实现
A、选定rsamem服务器,并且按ctl+alt+del打开登录窗口。
B、因为是使用令牌认证的用户,必须输入windows用户名和passcode(PIN+令牌码)登录系统:(图18)
C、Passcode成功后,需要输入此域用户在域控制器存储的密码(也就是没有实现认证之前的密码)。便可以成功登陆此台服务器啦。(图19)
同时, 可以在rsaman这台RSA AM服务器上可以通过查看详细的日志来实时了解账号登陆成功或失败的情况。(图20)
至此,基本上完成了在域环境中实现RSA SecurID的双因素身份验证。至于如何实现网络设备的双因素身份验证,此处并没有做出实验步骤。有条件的朋友不防安装RSA RADIUS服务器测试下。同时,还有许多丰富的功能在此文中并没有提及,但愿能和各位交流。
附加:在登陆域成员服务器时的”Passcode”是使用的令牌+PIN码的双因素方式,亦可以通过在RSA AM管理控制台进行设置成只使用令牌。(图21)
如上图所示,在”Edit Token”窗口,改为选择绿色标记的”Tokencode Only”,并”OK”。就可以实现只使用令牌进行认证。虽简单了些,不过安全性上就差了些啦,所谓有得有失吧。
PGP软件的使用操作,怎么加密文件!
接下来启动你的TheBat!选择工具菜单的OpenPGP项的“选择OpenPGP版本”命令,如下图:出来“选择OpenPGP执行”对话框,如下图:确定之后,再选择工具菜单的OpenPGP项的“OpenPGP键管理器”,如下图:出现“Key Generation Wizard”(如果你是重装系统,恢复的PGP里已经有密钥了,那么这一步会直接出现PGP的密钥管理器,如果你要新加密钥可以选择“Keys”菜单下的“New Key...”命令,否则,跳过该步。 ),选择下一步,出现下图:如图操作,再下一步:一般来说,使用RSA算法的属于是比较通用的,建议选用,下一步一般来说,2048位的RSA是比较安全的了...... 下一步:再下一步:密码最长是128位,只要你能记住,越长越好,而且最好是字母和数字混合的,单纯的数字作为密码并不可靠。 中间的密码质量的指示条清楚的展现了的你的密码长度和安全性。 如果你的主板不是Intel的810/815等系列,在你点击下一步之前,最好做好运动鼠标的准备,点击下一步后,就可以开始运动鼠标了:^_^这下终于知道了Intel为什么在8XX系列主板芯片组的固件中心(其实就是BIOS)里面加入硬件的随机数发生器了吧,呵呵,完成后,点击下一步:最后,下一步:完成了,呵呵,点击“完成”,看看成果吧:等等:?!老老实实备份吧......公钥无所谓,下面的私钥可是你的命根子:好了,这个最关键的搞成了,下面还有几个参数看看,打开The Bat!工具菜单的OpenPGP项的“OprePGP参数选择”命令:出来对话框:OK了,确定......过我们知道,PGP是对称加密,别人要发给你加密邮件,必需得有你的公钥才行,反过来,你要给别人发加密邮件,也得有别人的公钥才行,那么如何获得别人的公钥呢?前面说的,你可以把你的公钥发布到服务器上去,让别人查询,用样,你也可以自己到服务器上去找,方法就是启动PGP密钥管理器(选择The Bat!工具菜单的OpenPGP项的“OpenPGP键管理器”),选择Server菜单的“Search...”命令:然后出现Search对话框,选择合适的条件,搜索内容,然后拨号上网,就可以Search了:找到你要的结果以后,可以在结果上面点击右键,选择“Import to Local Keyring”命令,就可以把那个公钥加入你的本地密钥库了:不过,以上对于公共邮箱的公钥,当然可以发布到服务器上,但是私人邮箱呢?当然不能发布,那么就只能手工发给人家了:启动PGP密钥管理器(选择The Bat!工具菜单的OpenPGP项的“OpenPGP键管理器”),选择你准备发送的密钥,点击右键,选择“Copy”,然后再到邮件内容编辑窗口里面“粘贴”后(注意,不要修改粘贴上去的内容 )发给对方就行了(放心,不会把你的私钥给贴出来的^_^):发是发出去了,但是收呢?如果你收到别人的内容里附有公钥的邮件,你可以直接选择The Bat!工具菜单的OpenPGP项的“输入OpenPGP键”命令,就可以直接将他的公钥导入了:至此,设置部分全部结束......好了,万事俱备了,让我们来试一把:按照正常的方法写信,彻底写完以后(不需要再改了),选择邮件编辑窗口的“秘密”菜单的“OpenPGP”项,如下图:选择一个以后,会出来对话框:好了,OK,现在看看那封信?呵呵,出效果了吧,好了,发出去吧......嗯,挺快,收到一封加密的信,怎么办?当然是解密了,呵呵,选中那封信,然后选择The Bat!工具菜单的“OpenPGP”项的“OpenPGP解码”命令,输入你的私钥口令,你会收到一个PGPLOG的对话框,告诉你结果,如果成功了,你会在你的收件箱里找到一封主题为“(PGP Decrypted)”的收发件人和原信一样的邮件,当然是解密的......(如果是签名的邮件,和前面一样,只是然后选择The Bat!工具菜单的“OpenPGP”项的“检查OpenPGP签名”命令,而不是“OpenPGP解码”命令,PGPLOG窗口会告诉你结果的,当然,也不会有解密的邮件出现):呼呼,终于结束了,呵呵,反正基本的PGP的邮件功能就这么多了。 当然,PGP的高级功能还有很多,而且PGP并不是只能用在邮件加密上,而且还能应用于加解密文本、图片,加解密其他文件,乃至于擦写磁盘等等一系列的功能,这些,就请各位自己去开发、扩展了,呵呵呵呵^_^参考:网站图文并茂,注解详细,极适合初学者
网吧网管都有高深的电脑知识吗
网吧的“网管”只有一个, 也就是需要一个技术相对好的就行了。 平时在巡查或帮客人解决问题的 那算是“打杂”,收银那些只是懂得计算机最基本的操作而已。 网管也不是说有很高深的计算机知识, 只是实战经验比较多,遇到各类问题也相对比较多, 所以就成了比较高深的电脑知识。 相对于一个计算机专业的硕士生或是博士生, 真到到网吧去做网管的话,那根本就吃不消, 毕竟没有多少实战经验, 计算机技术或网络都好, 都是靠着实战经验来的!
如何通过ssh远程登录Linux系统
1、使用用户名密码登录在命令行中输入命令:ssh username@ip_address -p port之后系统会提示输入密码,输入后即可登录如果不添加-p选项,则默认是22端口还可以使用-l选项输入用户名:ssh -l username ip_address -p port2、使用密钥登录(不使用密码)首先生成密钥,在任意目录下输入命令:ssh-keygen -t rsa -P -P表示密码,-P 表示空密码之后系统会提示输入生成的密钥文件的文件名,可以输入任意名称,比如id_rsa,回车系统会在当前目录下生成id_rsa与id_两个文件在根目录下新建文件夹,将生成的密钥文件拷贝过去mkdir -p ~/-p选项表示如果文件夹已经存在则不再新建。 然后将之前生成的两个文件都拷贝到文件夹中cp id_rsa* ~//把公钥文件id_拷贝到需要登录的服务器上用SCP命令scp -P port ~//id_ username@ip_address:~-P表示要登录服务器的端口好,不加默认为22。 之后系统会提示输入密码,输入即可完成拷贝登录远程服务器,在用户根目录下新建文件夹(如果不存在),在其中新建authorized_keys文件(如果不存在),把id_添加到authorized_keys文件中mkdir -p ~/这是在远程服务器上新建ssh文件夹cat id_ >> /authorized_keys将id_文件添加到authorized_keys文件中(如文件不存在则新建)注意:要保证与authorized_keys用户自己都有写权限退出当前远程登录,之后就可以不使用密码远程登录了
发表评论