KERBEROSJOSE LUIS ALFONSO

ANDRES HIDALGOEDGARDO PANZA

Introducción◦ Origen

Que es y como trabaja Kerberos? Niveles de protección Supuestos V4 vs. V5 Desventajas Conclusiones

Agenda

Varios mecanismos han sido desarrollados con el propósito de evitar los posibles ataques a los que se expone la información al viajar en una red abierta.

La segmentación la red y el uso de passwords obstruyen el paso no solo a los usuarios no autorizados sino también a los usuarios legítimos.

INTRODUCCION

Proteger los servicios de red

proporcionados por el proyecto Athena.

Recibió el nombre debido al personaje mitológico griego Kerberos (o Can Cerberos), el perro guardián de tres

cabezas de Hades.

En la década de los 80, se crearon

4 versiones.

Por mas de 5 años fue utilizado en varias

organizaciones para autenticar el acceso de

los usuarios.

En 1993 se origino la versión

5 de Kerberos

ORIGEN DE KERBEROS

Exigir autenticación a los usuarios para la utilización del sistema y en particular para cada servicio ofrecido.

Exigir autenticación a los servicios

OBJETIVOS

Usa una criptografía de claves simétricas para validar usuarios con los servicios de red.

evitando así tener que enviar contraseñas a través de la red.[1]

QUE ES?

Utiliza solo clave simétrica

Passwords nunca viajan por la red

Se utiliza control de accesos individualizando para cada servicio, introduce password una vez por sesión

Red se espera en diferentes dominios físicos de seguridad

Versión 4 utiliza algoritmo DES, versión 5 utiliza cualquier algoritmo simétrico

Características básicas

Evitar reenvíos de viejos mensajes capturados en la red o la reutilización de viejos tickets obtenidos de zonas de memoria del usuario autorizado

Poder revocar a los usuarios los derechos al cabo de un tiempo.

Protocolo de Needham-Schroeder

Intervienen los siguientes elementos:

ELEMENTOS

Usuario.

Servidor de servicios.

Servidor de autenticación (SA).

Servidor de concesión de tickets (TGS).

(Kerberos Distribution Center)

Servidor de Servicios

Autenticación (AS, Authentication Service)

• autenticar inicialmente a los clientes y proporcionarles un ticket para comunicarse con el segundo

Tickets (TGS, Ticket Granting Service)

• Proporcionará a los clientes las credenciales necesarias para comunicarse con un servidor final que es quien realmente ofrece un servicio

Todos los usuarios y todos los servicios (servidor) tienen una contraseña.

El AS conoce todas las contraseñas de los usuarios y servicios.

Estas contraseñas se introducen manualmente.

SERVIDOR DE AUTENTICACION

Un servidor que emite tickets para un servicio deseado

El TGS también posee todas las llaves. Mediante estos se puede acceder a los

servers. Están encriptados con la llave del servidor,

por tanto el contenido de ticket es ilegible para el cliente.

SERVIDOR DE CONCESIÓN DE TICKETS

TICKETS• Prueban la identidad del cliente.• Son encriptados con la llave de sesión.• Contiene: Nombre de usuario, Dirección

de red del cliente, Timestamp.

Autenticador

• Es un numero aleatorio generado por el TGS que identifica una sesión.

• Se utiliza para encriptar los mensajes del cliente.[3]

Llave de sesión

COMO TRABAJA?

[2]

KAS

El cliente envía un mensaje al KAS, que contiene su identidad(c), y solicita un ticket para usarlo con el servidor de tickets(TGS).

RESPUESTA DEL KAS

Busca el nombre del cliente y el nombre del servicio y obtiene una llave de encriptación para cada uno de ellos. Da una respuesta al cliente. Esta respuesta contiene un ticket inicial que garantiza al cliente acceso al servidor solicitado. El KAS también genera una llave aleatoria de encriptación.

SOLICITUD DE TICKET

El cliente lo desencripta usando su llave secreta. Se comprueba su solicitud y se envía a continuación un mensaje al TGS. Este mensaje contiene el ticket inicial.

RESPUESTA DEL TGS

Descifra primero el ticket, después obtiene la llave de sesión para TGS del ticket descifrado, y la emplea a su vez para descifrar el autentificador sellado.Finalmente, chequea la hora actual en el autentificador para cerciorarse de que el mensaje es reciente.

ACCESO AL SERVER

Autenticador del cliente. Una vez que el servidor ha validado a un cliente, el cliente tiene la opción de validar a su vez al servidor. Esto evita que un intruso suplante al servidor.

Autenticación

• Prueba que el usuario es quien dice ser. Puede ser que la autenticidad se establezca al inicio de la conexión de red y luego se asuma que los siguientes mensajes de una dirección de red determinada se originan desde la parte autenticada.

Integridad de datos

• Asegura que los datos no se modifican en tránsito. Se requiere autenticación de cada mensaje, sin importar el contenido del mismo. Esto se denomina mensaje seguros.

Privacidad de datos

• Asegura que los datos no son leídos en tránsito. En este caso, no sólo se autentica cada mensaje, sino que también se cifra. Éstos mensajes son privados. [4]

NIVELES DE PROTECCIÓN

El entorno que lo usará incluirá: estaciones de trabajo públicas y privadas que estarán localizadas en áreas con seguridad física mínima.

Los datos confidenciales o las operaciones de alto riesgo tales como transacciones bancarias no pueden formar parte de este entorno sin seguridad adicional.

Uno de los sistemas de encriptación utilizados es el DES("Data Encryption Standard”).[2]

SUPUESTOS

V4 vs. V5 (Kerberos)

Una migración de contraseñas de usuarios de un sistema a otro puede ser muy tediosa.

No hace uso de PAM(Pluggable Authentication Modules).

Kerberos supone que cada usuario es de confianza pero que está utilizando una máquina no fiable en una red no fiable.

Para que una aplicación use Kerberos, el código debe ser modificado para hacer las llamadas apropiadas a las librerías de Kerberos.[2]

DESVENTAJAS

La autenticación es una parte crítica de los Sistemas de Computadoras, donde

es necesario conocer la identidad de un principal para decidir responder a una

operación o no.

Los métodos de autenticación tradicionales no son útiles en redes de computadoras, ya que los atacantes pueden estar monitoreando el tráfico

de la red e interceptar passwords, para luego enmascararse como un usuario

legítimo.

Kerberos es un sistema de autenticación especialmente diseñado

pensado en éstos ambientes.

Kerberos es totalmente transparente para el usuario a no ser que la

autenticación falle.

Sigue adaptándose a las necesidades y requerimientos de los usuarios.

[1] http://web.mit.edu/rhel-doc/4/RH-DOCS/rhel-rg-es-4/ch-kerberos.html[2] http://ditec.um.es/laso/docs/tut-tcpip/3376c413.html[3] http://www.zeroshell.net/eng/kerberos/Kerberos-definitions/#1.3.5[4] KERBEROS Un Sistema de Autenticación para Redes. ANDREA PAOLA

ALONSO DE ARMIÑO. [5] http://www.zeroshell.net/eng/kerberos/[6] http://ditec.um.es/laso/docs/tut-tcpip/3376c413.html[7] http://www.wikilearning.com/tutorial/control_de_accesos-

autenticacion_kerberos/3394-4[8] http://web.mit.edu/rhel-doc/4/RH-DOCS/rhel-rg-es-4/s1-kerberos-server.html[9] http://web.mit.edu/rhel-doc/OldFiles/4/RH-DOCS/rhel-rg-es-4/s1-kerberos-

clients.html[10] http://www.freebsd.org/doc/es/books/handbook/kerberos5.html[11] http://web.mit.edu/Kerberos/dist/#kfw-3.2[12] http://www.dartmouth.edu/comp/resources/downloads/using-kerberos.html[13] http://www.stanford.edu/services/ess/pc/kfw.html

REFERENCIAS

Athena = El proyecto Athena era un proyecto en conjunto entre el MIT, Digital Equipment Corporation, e IBM para producir un ambiente de computación distribuida para el uso educativo a todo lo ancho del campus universitario.

Clave simétrica = servidor y cliente comparten una llave común que es usada para encriptar y descifrar la comunicación de la red.

Pluggable Authentication Modules (PAM) es un mecanismo de autenticación flexible que permite abstraer las aplicaciones y otro software del proceso de identificación.

GLOSARIO PARA NOSOTROS