Introduction to Kerberos Kerberos and Domain Authentication.
KERBEROS
description
Transcript of KERBEROS
![Page 1: KERBEROS](https://reader036.fdocuments.net/reader036/viewer/2022082900/56816385550346895dd46f0b/html5/thumbnails/1.jpg)
KERBEROSJéssica VieiraJonathan Fried
Públio Lima
Graduandos Engenharia de Controle e AutomaçãoUFRJ – Escola Politécnica
![Page 2: KERBEROS](https://reader036.fdocuments.net/reader036/viewer/2022082900/56816385550346895dd46f0b/html5/thumbnails/2.jpg)
1 - INTRODUÇÃO O Problema
• Insegurança Interna• Autenticação do Usuário
Necessidade• Mais Segurança na Autenticação
![Page 3: KERBEROS](https://reader036.fdocuments.net/reader036/viewer/2022082900/56816385550346895dd46f0b/html5/thumbnails/3.jpg)
2- O QUE É KERBEROS O Protocolo
2.1 – Terminologia
Realm
Principal
Ticket
![Page 4: KERBEROS](https://reader036.fdocuments.net/reader036/viewer/2022082900/56816385550346895dd46f0b/html5/thumbnails/4.jpg)
2 – O QUE É KERBEROS KDC - Centro de Distribuição de Chave
• Banco de Dados• AS – Servidor de Autenticação• TGS – Servidor de Concessão de Ticket
Chave de Sessão
Autenticador
Chave de Repetição
![Page 5: KERBEROS](https://reader036.fdocuments.net/reader036/viewer/2022082900/56816385550346895dd46f0b/html5/thumbnails/5.jpg)
2 – O QUE É KERBEROS Cache de Credenciais
2.1.1 – Autenticação
2.1.2 – Criptografia
Chave de Encriptação
Tempero de Chave
![Page 6: KERBEROS](https://reader036.fdocuments.net/reader036/viewer/2022082900/56816385550346895dd46f0b/html5/thumbnails/6.jpg)
2 – O QUE É KERBEROS2.2 – Funcionamento
• Pedido ao AS• Resposta do AS• Pedido ao TGS• Resposta do TGS
![Page 7: KERBEROS](https://reader036.fdocuments.net/reader036/viewer/2022082900/56816385550346895dd46f0b/html5/thumbnails/7.jpg)
KDCCLIENTE KDC
A.S.
T.G.S.
APLICATIVO
AS_REQ (1)
AS_REP(2)
TGS_REQ (3)TGS_REP (4)
AP_REQ (5)
AP_REP (6)
![Page 8: KERBEROS](https://reader036.fdocuments.net/reader036/viewer/2022082900/56816385550346895dd46f0b/html5/thumbnails/8.jpg)
3- Aplicações Cross-Realm Authentication
• Caminhos por Realms Intermediários• Escalabilidade
Keytab
![Page 9: KERBEROS](https://reader036.fdocuments.net/reader036/viewer/2022082900/56816385550346895dd46f0b/html5/thumbnails/9.jpg)
4 - IMPLEMENTAÇÕES MIT Kerberos
Shishi
Heimdal
![Page 10: KERBEROS](https://reader036.fdocuments.net/reader036/viewer/2022082900/56816385550346895dd46f0b/html5/thumbnails/10.jpg)
5 – LIMITAÇÕES E FRAQUEZAS5.1 - Limitações Eficiência e Funcionalidade Ausência de Protocolo Host-to-Host
5.2 - Fraquezas Ataque de Repetição Ataque de Password Guessing Secure Time Services Spoofing Login
![Page 11: KERBEROS](https://reader036.fdocuments.net/reader036/viewer/2022082900/56816385550346895dd46f0b/html5/thumbnails/11.jpg)
6 - CONCLUSÃOO Kerberos estabelece uma relação de confiança entre dois pontos da rede. Porém, para isso, ele assume que os mesmos são confiáveis assim como assume que seu BD é inatacávelAinda assim, o protocolo é de grande utilidade e assumindo que suas premissas sejam garantidas é um sistema extremamente seguro.
![Page 12: KERBEROS](https://reader036.fdocuments.net/reader036/viewer/2022082900/56816385550346895dd46f0b/html5/thumbnails/12.jpg)
PERGUNTAS E RESPOSTAS1) Como podemos classificar os componentes
do KDC e qual a função de cada um deles?2) O que é Cache de Credenciais?3) Enumere e explique as interações entre
cliente e servidor até ele estar autenticado e pronto para usar determinado serviço
4) Enumere os dois ataques citados ao Protocolo Kerberos
5) Cite e justifique uma aplicação que permita escalabilidade ao Protocolo
![Page 13: KERBEROS](https://reader036.fdocuments.net/reader036/viewer/2022082900/56816385550346895dd46f0b/html5/thumbnails/13.jpg)
RESPOSTAS1) -Banco de Dados: No mesmo, são guardadas todas
as entradas referentes a usuários e aplicativos- Servidor de Autenticação (AS): É ele quem responde ao pedido de autenticação do usuário, quando o mesmo ainda não confirmou sua identidade. Caso o usuário prove ser quem diz ser, o AS gera um ticket de Concessão de ticket para o usuário e esse ticket pode ser usado na obtenção de outros tickets, sem a necessidade de redigitar a senha.- Servidor de Concessão de Tickets (TGS): distribui tickets de serviço para todo usuário previamente autenticado portador de um TGT
![Page 14: KERBEROS](https://reader036.fdocuments.net/reader036/viewer/2022082900/56816385550346895dd46f0b/html5/thumbnails/14.jpg)
RESPOSTAS2) É o local onde fica armazenada a
informação que torna o usuário autenticado perante uma determinada aplicação- a chave de sessão correspondente, o ticket de serviço e o TGT.
![Page 15: KERBEROS](https://reader036.fdocuments.net/reader036/viewer/2022082900/56816385550346895dd46f0b/html5/thumbnails/15.jpg)
RESPOSTAS3) -Pedido ao Servidor de Autenticação: o cliente diz ao AS que
deseja ser autenticado para que possa usar determinado serviço.-Resposta do Servidos de Autenticação: o AS pede ao cliente sua senha para decriptar o pacote com a chave de sessão e o TGT.-Pedido ao Servidor de concessão de Ticket: o cliente pede ap TGS um ticket correspondente ao serviço que ele deseja utilizar.-Resposta do Servidor de Concessão de Ticket: o cliente recebe o ticket de serviço, encriptado com a chave de serviço e uma chave de sessão entre ele e o serviço, encriptado com a antiga chave de sessão entre ele e o servidor.
![Page 16: KERBEROS](https://reader036.fdocuments.net/reader036/viewer/2022082900/56816385550346895dd46f0b/html5/thumbnails/16.jpg)
RESPOSTAS4) Ataque de Repetição e Ataque de
Password Guessing.
![Page 17: KERBEROS](https://reader036.fdocuments.net/reader036/viewer/2022082900/56816385550346895dd46f0b/html5/thumbnails/17.jpg)
RESPOSTAS5) Cross-Realm Authentication, pois
evita a criação de inúmeras chaves de sessão, que seriam necessárias caso 2 realms quisessem estabelecer uma comunicação. Ao invés disso, ela utiliza-se de comunicações já estabelecidas e confiáveis, que são os chamados "caminhos por realms intermediários".