Transcript KERBEROS - GTA

Jéssica Vieira
Jonathan Fried
Públio Lima
Graduandos Engenharia de Controle e Automação
UFRJ – Escola Politécnica
O
Problema
• Insegurança Interna
• Autenticação do Usuário
 Necessidade
• Mais Segurança na Autenticação
O
Protocolo
2.1 – Terminologia
 Realm
 Principal
 Ticket
 KDC - Centro de Distribuição de Chave
• Banco de Dados
• AS – Servidor de Autenticação
• TGS – Servidor de Concessão de Ticket
 Chave
de Sessão
 Autenticador
 Chave
de Repetição
 Cache
de Credenciais
2.1.1 – Autenticação
2.1.2 – Criptografia
 Chave
de Encriptação
 Tempero
de Chave
2.2 – Funcionamento
• Pedido ao AS
• Resposta do AS
• Pedido ao TGS
• Resposta do TGS
A.S.
KDC
T.G.S.
APLICATIV
O
 Cross-Realm
Authentication
• Caminhos por Realms Intermediários
• Escalabilidade
 Keytab
 MIT
Kerberos
 Shishi
 Heimdal
5.1 - Limitações
 Eficiência e Funcionalidade
 Ausência de Protocolo Host-to-Host
5.2 - Fraquezas
 Ataque de Repetição
 Ataque de Password Guessing
 Secure Time Services
 Spoofing Login
O Kerberos estabelece uma relação de
confiança entre dois pontos da rede.
Porém, para isso, ele assume que os
mesmos são confiáveis assim como
assume que seu BD é inatacável
Ainda assim, o protocolo é de grande
utilidade e assumindo que suas
premissas sejam garantidas é um sistema
extremamente seguro.
1)
2)
3)
4)
5)
Como podemos classificar os
componentes do KDC e qual a função de
cada um deles?
O que é Cache de Credenciais?
Enumere e explique as interações entre
cliente e servidor até ele estar autenticado
e pronto para usar determinado serviço
Enumere os dois ataques citados ao
Protocolo Kerberos
Cite e justifique uma aplicação que
permita escalabilidade ao Protocolo
1) -Banco de Dados: No mesmo, são guardadas todas
as entradas referentes a usuários e aplicativos
- Servidor de Autenticação (AS): É ele quem
responde ao pedido de autenticação do usuário,
quando o mesmo ainda não confirmou sua
identidade. Caso o usuário prove ser quem diz ser, o
AS gera um ticket de Concessão de ticket para o
usuário e esse ticket pode ser usado na obtenção de
outros tickets, sem a necessidade de redigitar a
senha.
- Servidor de Concessão de Tickets (TGS): distribui
tickets de serviço para todo usuário previamente
autenticado portador de um TGT
2) É o local onde fica armazenada a
informação que torna o usuário
autenticado perante uma determinada
aplicação- a chave de sessão
correspondente, o ticket de serviço e o
TGT.
3) -Pedido ao Servidor de Autenticação: o cliente diz ao AS
que deseja ser autenticado para que possa usar
determinado serviço.
-Resposta do Servidos de Autenticação: o AS pede ao
cliente sua senha para decriptar o pacote com a chave de
sessão e o TGT.
-Pedido ao Servidor de concessão de Ticket: o cliente pede
ap TGS um ticket correspondente ao serviço que ele deseja
utilizar.
-Resposta do Servidor de Concessão de Ticket: o cliente
recebe o ticket de serviço, encriptado com a chave de
serviço e uma chave de sessão entre ele e o serviço,
encriptado com a antiga chave de sessão entre ele e o
servidor.
4) Ataque de Repetição e Ataque de
Password Guessing.
5) Cross-Realm Authentication, pois evita a
criação de inúmeras chaves de sessão,
que seriam necessárias caso 2 realms
quisessem estabelecer uma
comunicação. Ao invés disso, ela utilizase de comunicações já estabelecidas e
confiáveis, que são os chamados
"caminhos por realms intermediários".