270 likes | 500 Views
KERBEROS. JOSE LUIS ALFONSO ANDRES HIDALGO EDGARDO PANZA. Agenda. Introducción Origen Que es y como trabaja Kerberos? Niveles de protección Supuestos V4 vs. V5 Desventajas Conclusiones. INTRODUCCION.
E N D
KERBEROS JOSE LUIS ALFONSO ANDRES HIDALGO EDGARDO PANZA
Agenda • Introducción • Origen • Que es y como trabaja Kerberos? • Niveles de protección • Supuestos • V4 vs. V5 • Desventajas • Conclusiones
INTRODUCCION • Varios mecanismos han sido desarrollados con el propósito de evitar los posibles ataques a los que se expone la información al viajar en una red abierta. • La segmentación la red y el uso de passwords obstruyen el paso no solo a los usuarios no autorizados sino también a los usuarios legítimos.
Protocolo de Needham-Schroeder • Evitar reenvíos de viejos mensajes capturados en la red o la reutilización de viejos tickets obtenidos de zonas de memoria del usuario autorizado • Poder revocar a los usuarios los derechos al cabo de un tiempo.
ELEMENTOS • Intervienen los siguientes elementos:
Servidor de Servicios • (Kerberos Distribution Center)
SERVIDOR DE AUTENTICACION • Todos los usuarios y todos los servicios (servidor) tienen una contraseña. • El AS conoce todas las contraseñas de los usuarios y servicios. • Estas contraseñas se introducen manualmente.
SERVIDOR DE CONCESIÓN DE TICKETS • Un servidor que emite tickets para un servicio deseado • El TGS también posee todas las llaves. • Mediante estos se puede acceder a los servers. • Están encriptados con la llave del servidor, por tanto el contenido de ticket es ilegible para el cliente.
COMO TRABAJA? [2]
KAS El cliente envía un mensaje al KAS, que contiene su identidad(c), y solicita un ticket para usarlo con el servidor de tickets(TGS).
RESPUESTA DEL KAS Busca el nombre del cliente y el nombre del servicio y obtiene una llave de encriptación para cada uno de ellos. Da una respuesta al cliente. Esta respuesta contiene un ticket inicial que garantiza al cliente acceso al servidor solicitado. El KAS también genera una llave aleatoria de encriptación.
SOLICITUD DE TICKET El cliente lo desencripta usando su llave secreta. Se comprueba su solicitud y se envía a continuación un mensaje al TGS. Este mensaje contiene el ticket inicial.
RESPUESTA DEL TGS Descifra primero el ticket, después obtiene la llave de sesión para TGS del ticket descifrado, y la emplea a su vez para descifrar el autentificador sellado. Finalmente, chequea la hora actual en el autentificador para cerciorarse de que el mensaje es reciente.
ACCESO AL SERVER Autenticador del cliente. Una vez que el servidor ha validado a un cliente, el cliente tiene la opción de validar a su vez al servidor. Esto evita que un intruso suplante al servidor.
SUPUESTOS • El entorno que lo usará incluirá: estaciones de trabajo públicas y privadas que estarán localizadas en áreas con seguridad física mínima. • Los datos confidenciales o las operaciones de alto riesgo tales como transacciones bancarias no pueden formar parte de este entorno sin seguridad adicional. • Uno de los sistemas de encriptación utilizados es el DES("Data Encryption Standard”).[2]
DESVENTAJAS • Una migración de contraseñas de usuarios de un sistema a otro puede ser muy tediosa. • No hace uso de PAM(PluggableAuthentication Modules). • Kerberos supone que cada usuario es de confianza pero que está utilizando una máquina no fiable en una red no fiable. • Para que una aplicación use Kerberos, el código debe ser modificado para hacer las llamadas apropiadas a las librerías de Kerberos.[2]
REFERENCIAS [1] http://web.mit.edu/rhel-doc/4/RH-DOCS/rhel-rg-es-4/ch-kerberos.html [2] http://ditec.um.es/laso/docs/tut-tcpip/3376c413.html [3] http://www.zeroshell.net/eng/kerberos/Kerberos-definitions/#1.3.5 [4] KERBEROS Un Sistema de Autenticación para Redes. ANDREA PAOLA ALONSO DE ARMIÑO. [5] http://www.zeroshell.net/eng/kerberos/ [6] http://ditec.um.es/laso/docs/tut-tcpip/3376c413.html [7] http://www.wikilearning.com/tutorial/control_de_accesos-autenticacion_kerberos/3394-4 [8] http://web.mit.edu/rhel-doc/4/RH-DOCS/rhel-rg-es-4/s1-kerberos-server.html [9] http://web.mit.edu/rhel-doc/OldFiles/4/RH-DOCS/rhel-rg-es-4/s1-kerberos-clients.html [10] http://www.freebsd.org/doc/es/books/handbook/kerberos5.html [11] http://web.mit.edu/Kerberos/dist/#kfw-3.2 [12] http://www.dartmouth.edu/comp/resources/downloads/using-kerberos.html [13] http://www.stanford.edu/services/ess/pc/kfw.html
GLOSARIO PARA NOSOTROS • Athena = El proyecto Athena era un proyecto en conjunto entre el MIT, Digital Equipment Corporation, e IBM para producir un ambiente de computación distribuida para el uso educativo a todo lo ancho del campus universitario. • Clave simétrica = servidor y cliente comparten una llave común que es usada para encriptar y descifrar la comunicación de la red. • Pluggable Authentication Modules (PAM) es un mecanismo de autenticación flexible que permite abstraer las aplicaciones y otro software del proceso de identificación.