160 likes | 248 Views
Mecanismos de Segurança e sua integração com o Kerberos. Jorge Granjal, Edmundo Monteiro {jgranjal,edmundo}@dei.uc.pt Serviços de Informática e Comunicações Departamento de Engenharia Informática Universidade de Coimbra, Portugal. Sumário. Necessidades e mecanismos de Segurança.
E N D
Mecanismos de Segurança e sua integração com o Kerberos Jorge Granjal, Edmundo Monteiro {jgranjal,edmundo}@dei.uc.pt Serviços de Informática e Comunicações Departamento de Engenharia Informática Universidade de Coimbra, Portugal
Sumário • Necessidades e mecanismos de Segurança. • Firewall na Rede do DEI. • Kerberos na Rede do DEI. • Novo módulo de autenticação. • Implementação. • Conclusões e futuro.
Necessidades e mecanismos de Segurança • Necessidades de Segurança. • Alguns mecanismos de Segurança: • Encriptação. • Garantia de integridade. • Auditorias periódicas. • Controlo de acessos. • Protecção contra ataques externos.
Necessidades de Segurança Ernest & Young 1996 Information Security Survey
Dilemas da Segurança • Difícil de implementar. • Conectividade exterior aumenta riscos. • Reais necessidades da Organização. • Definir política de Segurança. • Compromisso entre a facilidade de acesso e a segurança.
Alguns mecanismos de Segurança • Encriptação: • PGP. • Verificações da integridade de ficheiros: • Tripwire. • Auditorias Periódicas: • Cops, Satan e Crack. • Acessos Seguros a Servidores: • SSH, Kerberos. • Filtragem de Acessos: • TCP-Wrappers, SOCKS.
Firewall na Rede do DEI • Configuração em Screened Subnet. • Proxies de nível de aplicação: • TIS FW-TK (www.tis.com) originalmente com: • Registo de todos os acessos. • Autenticações SecurID, SNK, S/Key ou Reusable Passwords (difíceis de gerir para muitos utilizadores). • Load-balancing por DNS. • Recepção de e-mail em modo seguro (SMAP). • Serviços públicos na zona exposta: • {www,ftp,news,proxy,…}.dei.uc.pt. • Squid em modo “inverso”.
O Kerberos na Rede do DEI • Autenticação e controlo de acessos. • Dois realms: • STUDENT.DEI.UC.PT e DEI.UC.PT • Autorizações de acesso inter-realm. • Migração de Serviços para o Kerberos (telnet, rsh, rlogin, rcp, ssh, scp, ftp, pop, imap, xdm, tacacs+).
Funcionamento básico • 1 - Pedido de ticket para Serviço. • 2 - Resposta com chave de sessão. • 3 - Envio de autenticador e ticket. • 4 - Confirmação. • 5 - Comunicações encriptadas com chave de sessão.
Novo módulo de autenticações para a Firewall do DEI • Problema: Integração das bases de autenticação Kerberos nos Proxies de Aplicação do FW-TK: • Gestão de autenticações facilitada. • Comunicações via ProxiesTN-GW, RLOGIN-GW e FTP-GW encriptadas. • Solução: Desenvolvimento de um novo módulo de autenticações Kerberos, adaptação do Authsrv e dos Proxies TN-GW, RLOGIN-GW e FTP-GW.
Adaptação do Authsrv e Proxies • Definição de utilizadores com autenticações Kerberos no Authsrv. • Ligações com ticket atribuído autenticadas automaticamente. • Ligações inter-realms e entre LANs. • Acessos externos: Máquinas com suporte Kerberos ou SSH via Plug-GW.
Conclusões e Futuro • A Integração de tecnologias de Segurança oferece vantagens: • Funcionais. • Administrativas. • Exemplo apresentado: Integração do TISFW-TK com o Kerberos. • Extender realms a máquinas Windows. • Construção de ferramentas de gestão para Proxies da Firewall e bases de autenticação.