Kerberos

Iván Camilo VásquezÁngel Camelo

Agenda

• Problemas seguridad

• Que es kerberos• Elementos• Funcionamiento• Conclusiones

Problemas seguridad

• Contraseñas no encriptadas

• Se confía en la honestidad del usuario.

• Firewalls asumen que los atacantes están afuera.

Problemas autenticación

• Contraseñas no encriptadas.

• Autenticación por aserción.

• Por otro lado, no se puede solicitar una contraseña por cada vez que se requiere un servicio de red.

Que es Kerberos

• Desarrollado por el MIT.

• Esta disponible gratuitamente.

• Es un servicio de autenticación.

• Utiliza un esquema de Trusted third party.

Funcionamiento

• Funciona como la vida real. Ej.: Cedula de ciudadanía

• Es el gobierno quien certifica que usted es quien dice ser.

Elementos

• Servidor de autenticación (AS)

• Servidor de otorgamiento de tiquetes (TGS)

• Base de datos kerberos

• Estación de trabajo.• Servidor que ofrece

el servicio a utilizar.

Authentication server

• Todos los usuarios y todos los servicios (servidor) tienen una contraseña.

• El AS conoce todas las contraseñas de los usuarios y servicios.

• Estas contraseñas se introducen manualmente.

Llaves (Secret keys)

• Se halla encriptando la contraseña del usuario.

• Dado que el AS tiene las claves de todos, también tiene sus llaves.

Tickets

• Son otorgados por el TGS.

• El TGS también posee todas las llaves.

• Mediante estos se puede acceder a los servers.

• Están encriptados con la llave del servidor, por tanto el contenido de ticket es ilegible para el cliente.

Tickets

Poseen:• Autenticador• Llave de sesión

Llave de sesión

• Es un numero aleatorio generado por el TGS que identifica una sesión.

• Se utiliza para encriptar los mensajes del cliente.

Autenticador

• Prueban la identidad del cliente.

• Contiene:- Nombre de usuario- Dirección de red del

cliente- timestamp• Son encriptados con la

llave de sesión.

FUNCIONAMIENTO

A.S

TGS

Server

1

Database

2

3

4

5

Cliente

1. Solicitar TGT

Mensaje sin encriptar.

-Login

-Nombre TGSCliente AS

2. Respuesta del AS

Ticket TGS

Llave de sesión del TGS.

Cliente AS

El mensaje se encripta con la llave del usuario.

3. Solicitud de Ticket

-Ticket TGS

-Autenticador del cliente

-nombre del serverCliente TGS

El mensaje se encripta con la llave de sesión.

4. Respuesta del TGS

-Ticket Server

-Llave de sesión del server

Cliente AS

El mensaje se encripta con llave de sesión.

5. Acceso al server

-Ticket Server

-Autenticador del cliente

Cliente Server

Los mensajes se encriptan con la llave de sesión.

Problema:

Y si la organización es muy grande?

Solución:

Dividir la red en “reinos” (realms)

Se requiere un RTGS (remote TGS) en el reino donde esta el servidor

Bibliografía

• Tung, Brian. Moron’s guide to Kerberos, v1.2.2 & v2.0. http://www.isi.edu/gost/brian/security/kerberos.html

• MIT – The Kerberos homepage. http://web.mit.edu/Kerberos/

• Neuman, Clifford. IETF’s RFC 1510 & 4120. http://tools.ietf.info/html/rfc4120http://tools.ietf.info/html/rfc1510