堡垒机(360)双因素身份认证解决方案 – 作者:FreeAdrian

一、场景分析

堡垒机是一种在特定的网络环境下,为了保障网络和数据不受来自外部和内部用户的入侵和破坏,而运用各种技术手段监控和记录运维人员对网络内的服务器、网络设备、安全设备、数据库等设备的操作行为,安全级别极高!

二、问题分析

1、密码设置简单,非常容易被撞库破解;

2、密码设置复杂,非常容易忘记密码,增加网络管理员无意义工作;

3、设置统一或有规律的密码,一旦单点被破,极易引发全面危机;

4、定期更改密码,容易密码混淆,难以记住;

5、做密码本、存储位置容易泄漏,引发全面危机;

6、员工离职,需要修改密码,增加管理员工作量;

三、解决方法

采用CKEY DAS做密码加固,登录时需要做二次身份认证。实现效果如下:

“ 用户名 + 静态密码 + 动态密码 = 成功登录

1600913911_5f6c01f72c0f8a19bbce5.png!small

四、堡垒机认证流程

1600913922_5f6c02020e9bc81eb75d3.png!small

认证前提:

  1. 在堡垒机上找到并启用Radius模块;
  2. 和CKEY DAS认证服务器完成Radius对接;

登录流程:

  1. 用户输入“用户名+静态密码+动态密码”访问目标主机;
  2. 目标主机通过Radius Client同时将用户名+静态密码发送到企业用户源做静态认证、将用户名+动态密码发送到CKEY DAS认证服务器做动态认证;
  3. 用户源和CKEY DAS分别对认证做反馈;
  4. 当且仅当用户源认证和CKEY DAS认证同时通过时,才能成功访问,否则登录失败;

四、CKEY DAS介绍

CKEY DAS(中科恒伦双因素认证系统)基于标准的Radius协议和TACACS+协议,为网络设备、业务系统、操作系统提供身份认证、授权和审计,同时支持API、SDK对接方式,满足所有主流场景。

六、产品架构

1600913939_5f6c0213ccc99e5cb4980.png!small

七、接入方法

1600913944_5f6c0218b804bddc25d31.png!small

八、认证方式

认证方式

动态密码认证

扫码认证

指纹认证

人脸认证

Ukey证书认证

呈现方式

短信令牌

扫码令牌

(软件令牌内置功能)

指纹仪

人脸识别

Ukey令牌

APP令牌

PC令牌

硬件令牌

微信小程序令牌

钉钉令牌

注:可以任选其一,也可以多种方式组合使用!

1600913975_5f6c0237a7b9e9494354c.png!small

九、OTP技术原理

1600913982_5f6c023ecafbab3b64841.png!small

十、CKEY DAS八大优

1

部署简单灵活

在不改变网络拓扑的情况下,旁路接入认证服务器,方便入网,并可以很方便的组建认证服务集群,工作状态下负载均衡,单点发生故障立即热备

2

认证方式丰富

支持短信认证、APP认证、小程序认证、钉钉认证、硬件令牌认证、指纹认证、人脸认证、U盘证书认证等多种认证方式,还可以多种方式组合使用

3

业务场景丰富

支持路由器、交换机、VPN、防火墙、网关等多种网络设备,支持OA、CRM、ERP、财务、人事、Web应用、虚拟桌面等多种业务应用、支持Linux、Windows、Unix等多种操作系统;

4

用户源丰富

支持AD、LDAP、DataBase、等多种用户源,快速对接,减少管理成本

5

策略管理灵活

可以为不同用户、不同组、不同角色,设置不同的管理策略,配置灵活,管理方便

6

日志审计完善

详细记录系统操作日志、API认证日志、协议认证日志、终端认证日志、授权日志等,有效监管操作动态

7

对接方式丰富

Ckey-DAS支持标准的Radius、Tacacs+协议,支持所有此协议设备,并且支持SDK、API集成方式对接,基本满足企业所有业务系统,特殊情况下还支持源代码集成。

8

自助服务强大

用户可以根据管理员提示,自助激活绑定认证服务,提高工作效率,降低管理成本

十一、适用品牌

CKEY DAS可以完美对接启明星辰、建恒信安、蓝盾、绿盟、黑盾、360、德讯、圣博润、金盾、思福迪、帕拉迪、尚思卓越、科友、齐治、极地、派拉、昂楷科技等国内外主流堡垒机厂商,获得数百家企业客户高度认证。

来源:freebuf.com 2020-09-24 10:29:05 by: FreeAdrian

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论