Embed Size (px)
DESCRIPTION
Kerberos. Servicio de autentificación desarrollado en el Massachusetts Institute of Technology (MIT). Perro de tres cabezas y cola de serpiente según mitología griega, guardián de la entrada del Templo de Hades. - PowerPoint PPT Presentation
Citation preview
Seguridad en Sistemas: AutentificaciónSeguridad en Sistemas: Autentificación
1
KerberosKerberos
Perro de tres cabezas y cola de serpiente según mitología griega, guardián de la entrada del Templo de Hades.
Tres componentes guardarán la puerta: Autentificación, Contabilidad y Auditoría. Las dos últimas cabezas nunca han sido implementadas.
Servicio de autentificación desarrollado en el Massachusetts Institute of Technology (MIT)
Seguridad en Sistemas: AutentificaciónSeguridad en Sistemas: Autentificación
2
Kerberos: Introducción (1)Kerberos: Introducción (1)
• Proyecto Athena. MIT 1980.
• Basado en el protocolo de clave compartida basado en el protocolo de Needham y Schroeder.
• Los usuarios necesitan acceder a servicios remotos.
• Existen tres tipos de amenazas:
• Un usuario se hace pasar por alguien más.
• Un usuario altera la dirección de red de un host.
• Usuario usa técnicas de eavesdrop y replay attack.
Seguridad en Sistemas: AutentificaciónSeguridad en Sistemas: Autentificación
3
Kerberos: Introducción (2)Kerberos: Introducción (2)
• Provee un server (centralizado) de autentificación para autentificar usuarios en servers y servers a usuarios.
• Utiliza criptografía convencional.
• 2 versiones: 4 y 5.
• La versión 4 utiliza DES.
Seguridad en Sistemas: AutentificaciónSeguridad en Sistemas: Autentificación
4
Notación:– C = cliente– AS = servidor de autentificación– V = servidor– IDc = identificador del usuario en C– IDv = identificador de V– Pc = password del usuario en C– ADc = dirección de red de C– Kv = clave secreta de encripción compartida por AS y V– TS = estampilla de tiempo– || = concatenación
Kerberos v. 4Kerberos v. 4
Seguridad en Sistemas: AutentificaciónSeguridad en Sistemas: Autentificación
5
(1) C AS: IDc || Pc || IDv
(2) AS C: Ticket
(3) C V: IDc || Ticket
Ticket = EKv[IDc || Pc || IDv]
Diálogo de Autentificación simpleDiálogo de Autentificación simple
Seguridad en Sistemas: AutentificaciónSeguridad en Sistemas: Autentificación
6
• Problemas:– El tiempo de vida asociado con los tickets.
– Si es muy corto: se deberá entrar el password repetidas veces.
– Si es muy largo: mayor oportunidad de replay.
• La amenaza:– Que el atacante robe el ticket y lo use antes de que
expire.
– Denial of Service: clock o TGS
Diálogo de Autentificación v. 4Diálogo de Autentificación v. 4
Seguridad en Sistemas: AutentificaciónSeguridad en Sistemas: Autentificación
7
Authentication Service Exhange: Para obtener Ticket-Granting Ticket
(1) C AS: IDc || IDtgs ||TS1
(2) AS C: EKc [Kc,tgs|| IDtgs || TS2 || Lifetime2 || Tickettgs]
Ticket-Granting Service Echange: Para obtener Service-Granting Ticket
(3) C TGS: IDv ||Tickettgs ||Authenticatorc
(4) TGS C: EKc [Kc,¨v|| IDv || TS4 || Ticketv]
Client/Server Authentication Exhange: Para obtener Service
(5) C V: Ticketv || Authenticatorc
(6) V C: EKc,v[TS5 +1]
Diálogo de Autentificación v. 4Diálogo de Autentificación v. 4
Seguridad en Sistemas: AutentificaciónSeguridad en Sistemas: Autentificación
8
Kerberos: Vista GeneralKerberos: Vista General
Kerberos
AS
TGS
DBPedido de ticket-granting ticket
Ticket +session key
Pedido de service-granting ticket
Ticket +session keyPedido de servicio
Seguridad en Sistemas: AutentificaciónSeguridad en Sistemas: Autentificación
10
Pedido de servicio en otro RealmPedido de servicio en otro Realm
Seguridad en Sistemas: AutentificaciónSeguridad en Sistemas: Autentificación
11
• Dependencia del sistema de encripción (V.4 DES)
• Dependencia del protocolo de red
• Orden de los bytes en el mensaje
• Tiempo de vida de los tickets
• Forwarding de autentificación
• Autentificación interrealm
Diferencias entre las versiones 4 y 5Diferencias entre las versiones 4 y 5
Seguridad en Sistemas: AutentificaciónSeguridad en Sistemas: Autentificación
12
Encripción en KerberosEncripción en Kerberos
Seguridad en Sistemas: AutentificaciónSeguridad en Sistemas: Autentificación
13
Modo PCBCModo PCBC
Seguridad en Sistemas: AutentificaciónSeguridad en Sistemas: Autentificación
14
• Dos versiones de Kerberos:
• 4 : un solo realm
• 5 : permite inter-realm
• Kerberos v5 es un Internet standard
• RFC1510, utilizado por muchas aplicaciones
• Para usar Kerberos:
• Necesita tener un KDC en su red
• Necesita aplicaciones kerberizadas
• Exportación fuera de US!
Kerberos en la PrácticaKerberos en la Práctica
Seguridad en Sistemas: AutentificaciónSeguridad en Sistemas: Autentificación
15
• MS adopta y extiende kerberos para su Win2K.
• Extensión: criptografía pública para proteger los mensajes cliente/AS (en lugar de passwords que protegen claves).
• Esto permite smartcards.
• Otra extensión: incluye la transmisión de privilegios de acceso (data auth field (en gral. vacío)).
• Extensión no convencional hace que no sea compatible con aplicaciones no MS.
• Raro?
Autentificación en Windows 2000Autentificación en Windows 2000
Seguridad en Sistemas: AutentificaciónSeguridad en Sistemas: Autentificación
16
• http://www.google.com (buscar kerberos)
• Bryant, W. Designing an Authentication System: A Dialogue in Four Scenes. http://web.mit.edu/kerberos/www/dialogue.html
• Kohl, J.; Neuman, B. “The Evolution of the Kerberos Authentication Service” http://web.mit.edu/kerberos/www/papers.html
• http://www.isi.edu/gost/info/kerberos/
• Capítulo 4 Stallings.
Kerberos en la WWWKerberos en la WWW
