Contrôle d'accès basé sur les rôles (RBAC)

Questions and Answers

Quel élément ne fait pas partie du cycle de vie du contrôle d'accès?

• Création
• Destruction
• Utilisation
• Optimisation (correct)

Quelle menace est associée à la mystification dans les contrôles d'accès?

• Revue d'accès utilisateur
• Piratage psychologique (correct)
• Provisionnement des comptes
• Attaque par force brute

Quelle méthode peut aider à réduire les attaques par force brute?

• Utiliser des mots de passe simples
• Éviter le salage des mots de passe
• Limiter les tentatives de connexion (correct)
• Augmenter la longueur du mot de passe (correct)

Quel est l'objectif principal des revues d'accès utilisateur?

Identifier les déclencheurs de changement (D)

Quel facteur n'est pas essentiel dans la gestion des identifiants et authentifiants?

Le coût de mise en œuvre (A)

Quel composant du système Kerberos est responsable de la gestion des clés?

KDC (D)

Quel type d'authentification nécessite plusieurs facteurs de vérification?

Multi-Factor Authentication (MFA) (B)

Lors d'une attaque par dictionnaire, quel est le principal objectif de l'attaquant?

Essayer des mots de passe courants (C)

Quelle technique peut réduire le risque de compromission des informations d’identification?

Éviter l'utilisation de mots de passe communs (C)

Quelle est une conséquence d'un système compromis?

Réinitialisation des informations d'identification (B)

Qu'est-ce qui suit le processus d'authentification du client auprès d'AS?

Le client reçoit la clé de session TGS. (B)

Quelle attaque Kerberos consiste à usurper l'identité d'un utilisateur à l'aide d'un ticket?

Pass the Ticket (C)

Quel est le rôle principal du gardien de l'actif dans la gestion de la sécurité?

Gérer les accès et permissions. (A)

Quel type de données est principalement utilisé dans la traçabilité des opérations?

Fichiers journaux (B)

Quelle est une fonction clé du Security Information and Event Management (SIEM)?

L'analyse et la visualisation des données. (C)

Quel est l'objectif principal d'une gestion fédérée des identités (FIM)?

Simplifier l'accès aux services entre différentes organisations. (D)

Parmi les choix suivants, quel événement fait partie des attaques Kerberos?

Silver Ticket (D)

Comment une application web utilise-t-elle un jeton de sécurité?

En trustant un témoin de session commun pour l'authentification. (C)

Quelle pratique doit être partie intégrante d'une politique d'enregistrement et de preuve d'identité?

La fourniture de documents requis comme un certificat de naissance. (C)

Quelle méthode permet de déchiffrer les tickets accumulés dans Kerberos?

Kerberoasting. (D)

Quel est l'objectif principal de l'authentification unique (SSO)?

Permettre l'accès simultané à plusieurs services en utilisant un seul identifiant. (C)

Quel est le rôle de SAML dans les systèmes d'authentification?

Faciliter l'échange de données d'authentification et d'autorisation entre des tiers. (A)

Quelle caractéristique est propre au système OpenID?

Il permet l'authentification unique et le partage d'attributs. (A)

Quels types de partenaires peuvent bénéficier de l'authentification unique (SSO)?

Les fournisseurs, les distributeurs et les partenaires extérieurs. (D)

Quel type de langage est utilisé par SAML pour les assertions de sécurité?

XML (A)

Quel protocole est spécifiquement conçu pour la délégation d'autorisation et peut être utilisé pour l'authentification de l'utilisateur ?

OAuth (D)

Quelle est la principale différence entre RADIUS et TACACS+ concernant le type de protocole utilisé pour la livraison de paquets ?

RADIUS utilise UDP, TACACS+ utilise TCP (D)

Quel protocole crypte tout le trafic entre le client et le serveur ?

TACACS+ (A)

Quel acteur est responsable de l'authentification dans le contexte d'OpenID Connect ?

Authorization Server (D)

Quel protocole nécessiterait l'implantation du contrôle d’erreur pour être conforme ?

RADIUS (D)

Quel protocole utilise un challenge simple de réponse lors de l'authentification ?

RADIUS (D)

Quelle fonctionnalité est unique à TACACS+ par rapport à RADIUS ?

Crypte tout le trafic (D)

Quel aspect différencie RADIUS de TACACS+ concernant les réponses d'authentification ?

RADIUS utilise un challenge simple (B)

Quelle est la fonction principale d'un système d'authentification ?

Identifier l'utilisateur qui fait une demande (D)

Quel protocole est une évolution de RADIUS ?

Diameter (C)

Quelle est l'étape après l'authentification dans un système AAA ?

Autorisation (A)

Quel système conserve la trace des actions ?

Traçabilité (C)

Quel protocole de sécurité peut être utilisé pour sécuriser Diameter ?

TLS (A)

Quel terme désigne la vérification de l'identité d'un utilisateur ?

Authentification (C)

Quel est le rôle de l'autorisation dans le système AAA ?

Accorder l'accès aux utilisateurs (D)

Quel est l'ordre correct des étapes dans un système AAA ?

Authentification, Autorisation, Traçabilité (A)

Study Notes

Contrôle d'accès basé sur les rôles (RBAC)

• Le RBAC est un modèle de contrôle d'accès qui limite l'accès aux ressources en fonction des rôles des utilisateurs.
• Il est utilisé pour simplifier la gestion des autorisations et pour améliorer la sécurité.

Le cycle de vie du contrôle d'accès

• Le cycle de vie du contrôle d'accès comprend les étapes suivantes : création, utilisation, modification, destruction et audit
• Revue d'accès utilisateur: Il est nécessaire d'identifier et d'évaluer les déclencheurs pour les situations telles que les mutations, les congés, les promotions, les vacances, les hospitalisations, les enquêtes ou les disparitions.
• Revue d'accès au compte système: Il faut réviser régulièrement l'accès au compte système.
• Provisionnement et désapprovisionnement: Il est important de gérer les comptes et les autorisations des utilisateurs, en assurant un processus efficace de provisionnement et de désapprovisionnement.

Menaces sur les contrôles d'accès

• Mystification (spoofing): Amener un utilisateur à effectuer une action qu'il ne ferait pas en temps normal.
• Piratage psychologique: Exploiter les faiblesses psychologiques des utilisateurs pour les tromper.
• Attaque par force brute: Essayer de deviner un mot de passe en essayant toutes les combinaisons possibles.
• Attaque au dictionnaire: Utiliser une liste de mots de passe courants (dictionnaire) pour casser un mot de passe.

Systèmes d'authentification

• MFA (Multi Factor Authentication): utiliser plusieurs méthodes d'authentification pour améliorer la sécurité.
• OTP (One Time Password): générer un code unique à chaque connexion.

Faiblesses et risques

• Les pirates peuvent prendre le contrôle d'un système pour devenir des initiés avec des privilèges.
• Lorsqu'un système est compromis, il faut réémettre les informations d'identification et d'authentification.
• La gestion des identifiants et des authentifiants ne peut pas être le maillon faible.

Authentification

• Kerberos: utilise une authentification à trois niveaux pour garantir la confidentialité et l'intégrité des communications.
• Attaques Kerberos: Overpass the hash, Pass the Ticket, Silver Ticket, Golden Ticket, Kerberos Brute Force, ASREPRoast et Kerberoasting.
• Domaine de sécurité: un groupe d'applications qui font confiance à un jeton de sécurité commun pour l'authentification, l'autorisation ou la gestion de session.
• Responsabilité: Le propriétaire de l'actif définit les politiques de sécurité, et le gardien de l'actif les met en œuvre.
• Gestion de session: Déconnexion automatique après un certain temps d'inactivité ou de connexion.
• Enregistrement et preuve d'identité: Fournir les documents requis pour prouver l'identité de l'utilisateur.
• Gestion fédérée des identités (FIM): Permet aux utilisateurs d'accéder à plusieurs applications avec un seul identifiant.

Traçabilité

• Fichiers journaux: Enregistrement chronologique des événements liés aux utilisateurs, aux applications et aux systèmes.
• Security information and event management (SIEM): Collecte, agrégation, corrélation, alerte, recherche, analyse, visualisation et archivage des données de sécurité.

Intégration d'identité

• Authentification fédérée: offre une expérience utilisateur transparente, une authentification unique et la gestion centralisée des responsabilités.
• Social (ex. Facebook), bancaire, chercheurs (ORCID): Permet d'accéder à des services et à des ressources externes grâce à l'authentification fédérée.

Systèmes d'authentification

• Security assertion markup language - SAML: Une norme ouverte pour l'échange de données d'authentification et d'autorisation entre des tiers.
• OpenID: Système d'authentification décentralisé permettant l'authentification unique.
• OAuth: Un protocole de délégation d'autorisation qui peut être utilisé pour l'authentification des utilisateurs.
• OpenID Connect: Construit sur OAuth 2.0 pour l'authentification et l'obtention d'informations d'identité.
• Remote Authentication Dial-In User (RADIUS): Un protocole AAA basé sur UDP.
• Terminal Access Controller Access-Control System (TACACS+): Crypte tout le trafic entre le client et le serveur.
• Diameter: Évolution de RADIUS avec un support pour SCTP.

Résumé : AAA ou IAAA

• Identification: Le sujet réclame qu'il détient une identité reconnue.
• Authentification: Le système vérifie l'identité du sujet.
• Autorisation: Le système vérifie si le sujet peut effectuer les actions demandées et l'y autorise si possible.
• Traçabilité: Le système conserve la trace des actions.

Description

Ce quiz explore le modèle de contrôle d'accès basé sur les rôles (RBAC) et son cycle de vie. Les participants apprendront les étapes essentielles du contrôle d'accès ainsi que l'importance de la gestion des autorisations pour améliorer la sécurité des ressources. Testez vos connaissances sur les menaces et les meilleures pratiques liées au RBAC.