kerberos iván camilo vásquez Ángel camelo. agenda problemas seguridad que es kerberos elementos...
TRANSCRIPT
Kerberos
Iván Camilo VásquezÁngel Camelo
Agenda
• Problemas seguridad
• Que es kerberos• Elementos• Funcionamiento• Conclusiones
Problemas seguridad
• Contraseñas no encriptadas
• Se confía en la honestidad del usuario.
• Firewalls asumen que los atacantes están afuera.
Problemas autenticación
• Contraseñas no encriptadas.
• Autenticación por aserción.
• Por otro lado, no se puede solicitar una contraseña por cada vez que se requiere un servicio de red.
Que es Kerberos
• Desarrollado por el MIT.
• Esta disponible gratuitamente.
• Es un servicio de autenticación.
• Utiliza un esquema de Trusted third party.
Funcionamiento
• Funciona como la vida real. Ej.: Cedula de ciudadanía
• Es el gobierno quien certifica que usted es quien dice ser.
Elementos
• Servidor de autenticación (AS)
• Servidor de otorgamiento de tiquetes (TGS)
• Base de datos kerberos
• Estación de trabajo.• Servidor que ofrece
el servicio a utilizar.
Authentication server
• Todos los usuarios y todos los servicios (servidor) tienen una contraseña.
• El AS conoce todas las contraseñas de los usuarios y servicios.
• Estas contraseñas se introducen manualmente.
Llaves (Secret keys)
• Se halla encriptando la contraseña del usuario.
• Dado que el AS tiene las claves de todos, también tiene sus llaves.
Tickets
• Son otorgados por el TGS.
• El TGS también posee todas las llaves.
• Mediante estos se puede acceder a los servers.
• Están encriptados con la llave del servidor, por tanto el contenido de ticket es ilegible para el cliente.
Tickets
Poseen:• Autenticador• Llave de sesión
Llave de sesión
• Es un numero aleatorio generado por el TGS que identifica una sesión.
• Se utiliza para encriptar los mensajes del cliente.
Autenticador
• Prueban la identidad del cliente.
• Contiene:- Nombre de usuario- Dirección de red del
cliente- timestamp• Son encriptados con la
llave de sesión.
FUNCIONAMIENTO
A.S
TGS
Server
1
Database
2
3
4
5
Cliente
1. Solicitar TGT
Mensaje sin encriptar.
-Login
-Nombre TGSCliente AS
2. Respuesta del AS
Ticket TGS
Llave de sesión del TGS.
Cliente AS
El mensaje se encripta con la llave del usuario.
3. Solicitud de Ticket
-Ticket TGS
-Autenticador del cliente
-nombre del serverCliente TGS
El mensaje se encripta con la llave de sesión.
4. Respuesta del TGS
-Ticket Server
-Llave de sesión del server
Cliente AS
El mensaje se encripta con llave de sesión.
5. Acceso al server
-Ticket Server
-Autenticador del cliente
Cliente Server
Los mensajes se encriptan con la llave de sesión.
Problema:
Y si la organización es muy grande?
Solución:
Dividir la red en “reinos” (realms)
Se requiere un RTGS (remote TGS) en el reino donde esta el servidor
Bibliografía
• Tung, Brian. Moron’s guide to Kerberos, v1.2.2 & v2.0. http://www.isi.edu/gost/brian/security/kerberos.html
• MIT – The Kerberos homepage. http://web.mit.edu/Kerberos/
• Neuman, Clifford. IETF’s RFC 1510 & 4120. http://tools.ietf.info/html/rfc4120http://tools.ietf.info/html/rfc1510