帮助360堡垒机实现双因素身份认证
一、场景分析
堡垒机是一种在特定的网络环境下,为了保障网络和数据不受来自外部和内部用户的入侵和破坏,而运用各种技术手段监控和记录运维人员对网络内的服务器、网络设备、安全设备、数据库等设备的操作行为,安全级别极高!
二、问题分析
1、密码设置简单,非常容易被撞库破解;
2、密码设置复杂,非常容易忘记密码,增加网络管理员无意义工作;
3、设置统一或有规律的密码,一旦单点被破,极易引发全面危机;
4、定期更改密码,容易密码混淆,难以记住;
5、做密码本、存储位置容易泄漏,引发全面危机;
6、员工离职,需要修改密码,增加管理员工作量;
三、解决方法
采用CKEY DAS做密码加固,登录时需要做二次身份认证。实现效果如下:
“ 用户名 + 静态密码 + 动态密码 = 成功登录 ”
四、堡垒机认证流程
认证前提:
1、在堡垒机上找到并启用Radius模块;
2、和CKEY DAS认证服务器完成Radius对接;
登录流程:
1、用户输入“用户名+静态密码+动态密码”访问目标主机;
2、目标主机通过Radius Client同时将用户名+静态密码发送到企业用户源做静态认证、将用户名+动态密码发送到CKEY DAS认证服务器做动态认证;
3、用户源和CKEY DAS分别对认证做反馈;
4、当且仅当用户源认证和CKEY DAS认证同时通过时,才能成功访问,否则登录失败;
四、CKEY DAS介绍
CKEY DAS(中科恒伦双因素认证系统)基于标准的Radius协议和TACACS+协议,为网络设备、业务系统、操作系统提供身份认证、授权和审计,同时支持API、SDK对接方式,满足所有主流场景。
六、产品架构
七、接入方法
八、认证方式
认证方式 | 动态密码认证 | 扫码认证 | 指纹认证 | 人脸认证 | Ukey证书认证 |
呈现方式 | 短信令牌 | 扫码令牌 (软件令牌内置功能) | 指纹仪 | 人脸识别 | Ukey令牌 |
APP令牌 | |||||
PC令牌 | |||||
硬件令牌 | |||||
微信小程序令牌 | |||||
钉钉令牌 |
注:可以任选其一,也可以多种方式组合使用!
九、OTP技术原理
十、CKEY DAS八大优势
1 | 部署简单灵活 | 在不改变网络拓扑的情况下,旁路接入认证服务器,方便入网,并可以很方便的组建认证服务集群,工作状态下负载均衡,单点发生故障立即热备 |
2 | 认证方式丰富 | 支持短信认证、APP认证、小程序认证、钉钉认证、硬件令牌认证、指纹认证、人脸认证、U盘证书认证等多种认证方式,还可以多种方式组合使用 |
3 | 业务场景丰富 | 支持路由器、交换机、VPN、防火墙、网关等多种网络设备,支持OA、CRM、ERP、财务、人事、Web应用、虚拟桌面等多种业务应用、支持Linux、Windows、Unix等多种操作系统; |
4 | 用户源丰富 | 支持AD、LDAP、DataBase、等多种用户源,快速对接,减少管理成本 |
5 | 策略管理灵活 | 可以为不同用户、不同组、不同角色,设置不同的管理策略,配置灵活,管理方便 |
6 | 日志审计完善 | 详细记录系统操作日志、API认证日志、协议认证日志、终端认证日志、授权日志等,有效监管操作动态 |
7 | 对接方式丰富 | Ckey-DAS支持标准的Radius、Tacacs+协议,支持所有此协议设备,并且支持SDK、API集成方式对接,基本满足企业所有业务系统,特殊情况下还支持源代码集成。 |
8 | 自助服务强大 | 用户可以根据管理员提示,自助激活绑定认证服务,提高工作效率,降低管理成本 |
十一、适用品牌
CKEY DAS可以完美对接启明星辰、建恒信安、蓝盾、绿盟、黑盾、360、德讯、圣博润、金盾、思福迪、帕拉迪、尚思卓越、科友、齐治、极地、派拉、昂楷科技等国内外主流堡垒机厂商,获得数百家企业客户高度认证。
