CARRERA: LICENCIATURA EN SISTEMAS COMPUTACIONALES MATERIA: TEMAS SELECTOS DE SISTEMAS PROFESOR: M.C. JUANA CANUL REICH EXPOSICION: CONFIGURACION DE KERBEROS.

Slides:



Advertisements
Presentaciones similares
Certificados X.509 Federico García
Advertisements

Internet y tecnologías web
Sistemas de Información
CUPS Configuración y Uso de Paquetes de Software
Jorge de Nova Segundo UD4: Instalación y administración de servicios Web Seguridad del protocolo HTTP.
Introducción a servidores
PROTOCOLO DE SAMBA Es una implementación libre del protocolo de archivos compartidos de Microsoft Windows de 1 docena de servicios, 1 docena de protocolos.
Kerberos Practica sobre Kerberos
DIRECT ACCESS.
Servicio de terminal remoto
SERVICIO DE TERMINAL REMOTO. Se trata de un servicio desde un equipo acceder a otra máquina para manejarla remotamente como si estuviéramos sentados delante.
Telnet y SSH Integrantes: Carlos Parra José Isabel
Tema 5 SRI Vicente Sánchez Patón I.E.S Gregorio Prieto
Servicios SFTP/SCP. Gabriel Montañés León.
Que es el protocolo “SSL”
Kerberos Servicio de autentificación desarrollado en el Massachusetts Institute of Technology (MIT) Perro de tres cabezas y cola de serpiente según mitología.
Iván Camilo Vásquez Ángel Camelo
PROTOCOLOS Un protocolo es un conjunto de reglas que hacen que la comunicación en una red sea más eficiente.
Almacenamiento virtual de sitios web: «Hosts» virtuales Gustavo Antequera Rodríguez.
Seguridad del protocolo HTTP
KERBEROS Luis Iñaki García Galicia Hugo Lázaro Mora Erich David López Goldberg Mario Sánchez Ramírez.
DÍAZ OSCAR IVÁN HOYOS ANDRÉS FELIPE ORDOÑEZ JOSÉ LUIS INFORMÁTICA, SEMESTRE II.
SAMBA LINUX & WINDOWS.
(VIRTUAL PRIVATE NETWORK)
Universidad de La Coruña Escuela Universitaria Politécnica Control de Procesos por Computador Diego Cabaleiro 24 de Noviembre 2009.
LISTAS DE CONTROL DE ACCESO ACL Semestre 2 Capítulo 11
HOL – FOR07. ► VPN define una “Virtual Private Network” o Red Privada Virtual. ► Básicamente una VPN establece una conexión segura a través de un medio.
POP3 UCLV Mapas Conceptuales para la enseñanza de Redes de Computadoras.
VPN - Red privada virtual
LISTAS DE CONTROL DE ACCESO (ACL)
Instalación y configuración de servidores. 2 de 9 Servicios Internet (I) “El proyecto Apache es un esfuerzo conjunto para el desarrollo de software orientado.
Es una herramienta que nos permite automatizar tareas de tipo rutinario de nuestro sistema. Por medio de una página de diseño tipo Web, Webmin nos permite.
Teoría de Sistemas Operativos
© 2014 Cisco Systems, Inc. Todos los derechos reservados.Información confidencial de Cisco Presentation_ID 1 Capítulo 11: Traducción de direcciones de.
Introducción a los Sistemas Operativos
Almacenamiento virtual de sitios web “HOST VIRTUALES” Tema 4 SRI Vicente Sánchez Patón I.E.S Gregorio Prieto.
JOSE LUIS ALFONSO ANDRES HIDALGO EDGARDO PANZA
Sustentante: Francis Ariel Jiménez Zapata Matricula: Grupo: 2 Profesora: Jose Doñe Asignatura: Sistema Operativo 2.
Servicios en Red UT5. Servicios FTP.
Cuentas de usuarios y grupos en windows 2008 server
Trabajo realizado por: Rosa Fernández Extremera Virginia Sánchez López.
Alumno: Israel Espinosa Jiménez Matricula: Licenciatura: TIC Asignatura: Derecho Informático Cuatrimestre: 5 Página 1 de 6.
Almacenamiento virtual de sitios web “HOSTS VIRTUALES”
CONCEPTOS DE REDES Y PUERTOS MAS CONOCIDOS
Protocolo DHCP.. DHCP es un protocolo estándar propuesto. Su estado es electivo. Las especificaciones actuales de DHCP se pueden encontrar en el RFC 1541.
Almacenamiento virtual de sitios web: «Hosts» virtuales. Jesús Torres Cejudo.
Técnicas de cifrado. Clave pública y clave privada:
La administración de dominios
S ERVICIOS DE RED E I NTERNET T EMA 4 : I NSTALACIÓN Y ADMINISTRACIÓN DE SERVICIOS W EB Nombre: Adrián de la Torre López.
Seguridad del protocolo HTTP:
File Transfer Protocol.
Cuentas de usuarios y grupos en windows 2008 server
Jorge De Nova Segundo. SSH File Transfer Protocol (también conocido como SFTP o Secure File Transfer Protocol) es un protocolo del nivel de aplicación.
INSTITUTO TECNOLÓGICO SUPERIOR DE LIBRES Organismo Público Descentralizado del Gobierno del Estado de Puebla INGENIERÍA EN SISTEMAS COMPUTACIONALES INTEGRACIÓN.
Luis Villalta Márquez Servicios SFTP/SCP. SFTP SSH File Transfer Protocol (también conocido como SFTP o Secure File Transfer Protocol) es un protocolo.
Análisis de las principales vulnerabilidades de un sistema informático. Gabriel Montañés León.
Jorge De Nova Segundo. Clientes DNS Se puede considerar que un resolver es cualquier software capaz de preguntar a un servidor DNS e interpretar sus respuestas.
Protocolo ssl. Introducción El protocolo SSL (Secure Sockets Layer) fue diseñado con el objeto de proveer privacidad y confiabilidad a la comunicación.
Técnicas de cifrado. Clave pública y clave privada:
Integración de Smartcards a Kerberos V5
Almacenamiento virtual de sitios web: «Hosts» virtuales
¿Qué es un ? El correo electrónico o fue una de las primeras aplicaciones creadas para Internet y de las que más se utilizan. Éste medio.
Unidad 4. Servicios de acceso remoto
SEGURIDAD EN LA CONEXIÓN CON REDES PÚBLICAS. Técnicas de Cifrado: El cifrado es un método que permite aumentar la seguridad de un mensaje o de un archivo.
UD09 Sergio Lucas Madrid. Es un protocolo de Internet para sincronizar los relojes de los sistemas informáticos a través del ruteo de paquetes en redes.
El protocolo SSL (Secure Sockets Layer) fue diseñado con el objeto de proveer privacidad y confiabilidad a la comunicación entre dos aplicaciones. Este.
UD 2: “Instalación y administración de servicios de configuración automática de red” Protocolo DHCP Luis Alfonso Sánchez Brazales.
Introducción a los servicios de nombres de dominio.
Planificación Curso UNIDAD 1. INTRODUCCIÓN A LOS SERVICIOS EN RED UNIDAD 2. SERVICIOS DHCP UNIDAD 3. SERVICIOS DNS UNIDAD 4. SERVICIOS DE ACCESO REMOTO.
Configuración de DNS y WINS en Windows 2003 Server. Presentado por: Francis Zamata Condori.
Transcripción de la presentación:

CARRERA: LICENCIATURA EN SISTEMAS COMPUTACIONALES MATERIA: TEMAS SELECTOS DE SISTEMAS PROFESOR: M.C. JUANA CANUL REICH EXPOSICION: CONFIGURACION DE KERBEROS ALUMNAS: IDALIA LEON CONTRERAS JENIRETH CASTILLO JIMENEZ SEMESTRE Y GRUPO: DECIMO B CUNDUACAN TABASCO, OCTUBRE DE 2003

INTRODUCCION ¿ QUE ES Y QUE HACE KERBEROS ? METAS A LA HORA DEL DISE Ñ O TERMINOLOGIA KERBEROS FUNCIONAMIENTO DE KERBEROS SERVICIOS OFRECIDOS LIMITACIONES DE KERBEROS ADMINISTRACION DE KERBEROS CONFIGURACION DE KERBEROS EN RED HAT LINUX 7.1 CONCLUSIONES BIBLIOGRAFIA I N D I C E

INTRODUCCION Kerberos surge porque algunas aplicaciones Cliente/Servidor asumen que el cliente proveerá su identificación correctamente, y otras confian en que el cliente restringirá sus actividades a aquellas que están autorizadas sin ningun otro esfuerzo del servidor. Algunos sitios utilizan firewalls para solucionar los problemas de seguridad en redes. Pero los firewalls asumen que las personas que desean hacer daño están del lado de afuera, cuando en realidad esta aseveración suele ser falsa. Según el Gran Diccionario del Diablo("Enlarged Devil's Dictionary(Ambrose Bierce)"), Kerberos es "el perro guardián del Hades, un personaje de la mitología griega cuyo deber era custodiar las puertas del infierno, representa seguridad; se sabe que Kerberos tenía tres cabezas". Se podría decir que como servicio de autenticación, ahora cuida las puertas de la red, impidiendo que entren personas indeseadas.

APLICACIONES DE AUTENTIFICACION ¿QUÉ ES Y QUÉ HACE KERBEROS? Kerberos es un protocolo que ofrece un servicio de autentificación en arquitecturas Cliente / Servidor. Kerberos provee tres niveles distintos de protección: Autentificación Integridad de Datos Privacidad de Datos Kerberos utiliza dos tipos de credenciales en el modulo de autentificación: TICKEST AUTENTIFICADOR

APLICACIONES DE AUTENTIFICACION METAS A LA HORA DEL DISEÑO Las siguientes fueron metas de Kerberos a la hora del diseño del sistema: Que fuera suficientemente fuerte para no constituir el punto débil del sistema Athena Todo servicio que usa Kerberos para autentificación depende totalmente de su confiabilidad, por lo tanto esta debe ser alta. Debe permitir que un servidor respalde a otro. Con excepción de pedirle una contraseña, el sistema debe ser transparente para el usuario. Debe ser capaz de soportar grandes números de clientes, usuarios y servidores. Esto sugiere una arquitectura modular y distribuida.

APLICACIONES DE AUTENTIFICACION TERMINOLOGIA KERBEROS Cliente Clave Servicio Texto cifrado Texto sin retocar o texto plano Ticket

TERMINOLOGIA KERBEROS Ticket Granting Service (TGS) Emite tickets para un servicio deseado que usa el usuario para ganar acceso al servicio. Ticket Granting Ticket (TGT) Ticket especial que permite al cliente obtener tickets adicionales sin aplicarlos desde KDC. Centro de Distribución de Claves (KDC) Un servicio que emite tickets Kerberos, que habitualmente se ejecutan en el mismo host como un Ticket Granting Server. Dominio Red que usa Kerberos, compuesto de uno o varios servidores (también conocidos como KDCs) y un número potencial de clientes. Principal Usuario o servicio que puede autentificar mediante el uso de Kerberos.

FUNCIONAMIENTO DE KERBEROS FASES DE AUTENTIFICACION

FUNCIONAMIENTO DE KERBEROS

APLICACIONES DE AUTENTIFICACION SERVICIOS OFRECIDOS a) AUTENTIFICACION MUTUA: El cliente puede querer que el servidor pruebe su identidad, por lo tanto le suma uno al sello de tiempo que el cliente le envió en el autenticador, encripta el resultado con la clave de sesiçon y nuevamente envía el resultado al cliente. b) CONFIANZA TRANSITIVA: Sean dos empresas A y B confían en C, entonces A confía implícitamente en B. Las confianzas directas reducen el tráfico generado por la autentificación entre dominios, así como la cantidad de billetes Kerberos emitidos. c) AUTENTIFICACION DELEGADA: En Kerberos, este proceso de delegación consiste en que un usuario A envía un ticket a una máquina intermediaria B y ésta utiliza el ticket del usuario A para autentificarse ante el servidor de aplicaciones C.

APLICACIONES DE AUTENTIFICACION LIMITACIONES DE KERBEROS Si un usuario elige una contraseña pobre y un atacante la consigue al tratar de adivinarla, este puede hacerse pasar por él. Requiere un camino seguro para introducir las contraseñas. No hay lugar seguro donde guardar las claves de sesión. El protocolo liga los tickets a las direcciones de red y esto es un problema en hosts con más de una dirección IP. Para que Kerberos sea útil debe integrarse con otras partes del sistema.

LIMITACIONES Tiempo de vida de un ticket. La elección del tiempo de vida de los tickets no es trivial. Manejo de proxies. Todavía no esta claro cómo permitir autenticación mediante proxies, es decir que un servidor utilice servicios de otros servidores en nombre de un usuario autenticado. Estados Unidos no permite exportar criptografía, por lo que Kerberos no se puede distribuir en otros países tal como fue creado. APLICACIONES DE AUTENTIFICACION

ADMINISTRACION DE KERBEROS A la hora de administrar Kerberos, habrá que tener en cuenta dos tipos de administración: a) ADMINISTRACION GENERAL: El administrador debe de iniciar la Base de Datos de Kerberos al instalarlo, y si se tiene la BD replicada tiene que sincronizar la BD replicada con la BD principal cada cierto tiempo. b) ADMINISTRACION ENTRE SISTEMAS KERBEROS: Cada sistema Kerberos contiene como parte de su nombre el realm (dominio) asociado. Un usuario se autentifica a un realm especifico y este puede obtener credenciales de otros realms aparte del local siempre que se autentifique con el sistema local. Por ello tanto el sistema local como el remoto deben ponerse de acuerdo para brindar las credenciales necesarias en el sistema remoto.

CONFIGURACION DE KERBEROS RED HAT LINUX CONFIGURACION DE UN SERVIDOR KERBEROS 5 Instalar Servidor Checar que existe una sincronización de reloj y DNS funcionando en el Servidor antes de instalar Kerberos 5. Instale los paquetes krb5-libs, krb5-server y krb5-workstation en el ordenador que ejecutará su KDC. Modifique los ficheros de configuración /etc/krb5.conf y /var/kerberos/krb5kdc/kdc.conf para reflejar su nombre de entorno y sus mapas de entorno a dominio. Cree la base de datos usando la utilidad kdb5_util desde el intérprete de comandos de la shell: /usr/kerberos/sbin/kdb5_util create –s

APLICACIONES DE AUTENTIFICACION El comando create crea la base de datos que será usada para guardar las claves de su entornos Kerberos. La opción -s fuerza la creación de un fichero stash en el que se guarda la clave del servidor maestro. Modifique el fichero /var/kerberos/krb5kdc/kadm5.acl. kadmind usa este fichero para determinar qué principals tienen acceso a la base de datos Kerberos y su nivel de acceso. La mayoría de las organizaciones podrán estar en una sola línea: * La mayoría de usuarios están representados en la base de datos por un sólo principal (con un NULL, o vacío, instance, como Una vez que kadmind esté iniciado en un servidor, algunos usuarios podrán acceder a sus servicios ejecutando kadmin o gkadmin en cualquiera de los clientes o servidores en el entorno.

CONFIGURACION DE UN SERVIDOR Teclee el siguiente comando kadmin.local en el terminal KDC para crear el primer principal: Inicie /usr/kerberos/sbin/kadmin.local -q "addprinc username/admin Kerberos utilizando los siguientes comandos: /sbin/service krb5kdc start /sbin/service kadmin start /sbin/service krb524 start Añada principals para sus usuarios utilizando el comando addprinc con kadmin o usando la opción del menú Principal => Añadir en gkadmin. kadmin (y kadmin.local en el maestro KCD) es una interfaz de línea de comandos para el sistema de administración de Kerberos. Verifique que su servidor emite los tickets. En primer lugar, ejecute kinit para obtener un ticket y guardarlo en un fichero de caché credencial. A continuación use klist para ver la lista de credenciales en su caché y use kdestroy para destruir el caché y los credenciales que contiene.

CONFIGURACION DE UN CLIENTE Necesitará instalar los paquetes de Clientes y proveer a sus Clientes con un fichero de configuración válido krb5.conf. Las versiones Kerberizadas de rsh y rlogin también requieren algunos cambios en la configuración. Asegúrese de que la sincronización del tiempo se encuentra entre el cliente de Kerberos y KDC. DNS debería funcionar correctamente en el cliente Kerberos antes de instalar los porgramas de cliente Kerberos. Instale los paquetes krb5-libs y krb5-workstation en todos los clientes de su entorno. Deberá proporcionar su versión de /etc/krb5.conf para sus estaciones de trabajo de clientes; normalmente esto puede ser el mismo krb5.conf usado por el KDC.

CONFIGURACION DE UN CLIENTE Antes de que una estación de trabajo de su entorno en particular pueda permitir a los usuarios conectar rsh y rlogin, la estación de trabajo necesitará tener instalado el paquete xinetd y tener su propio host principal en la base de datos Kerberos. Los programas de servidor kshd y klogind también necesitan las claves para el principal de sus servicios. Es necesario iniciar otros servicios de red kerberizados. Para usar telnet kerberizado, debe habilitar krb5-telnet. Use los programas ntsysv o chkconfig para configurar el servicio krb5-telnet para iniciar su sistema. Para proporcionar acceso FTP, cree y extraiga una clave para un principal con un root de ftp y el instance fijado para el nombre del host del servidor FTP. Use ntsysv o chkconfig para habilitar gssftp.

CONCLUSION Si se decide usar Kerberos en la red, se debe tener en cuenta de que es una elección de todo o nada. Si alguno de los servicios que transmite las contraseñas de texto sin retocar permanece en uso, las contraseñas pueden todavía estar comprometidas y su red no se beneficiará del uso de Kerberos. Para asegurar su red con Kerberos, se debe kerberizar (hacer trabajar con Kerberos) todas las aplicaciones que mandan las contraseñas en texto sin retocar o para el uso de estas aplicaciones en la red. Además, a diferencia de los sistemas de autenticación basados en clave pública, Kerberos no produce firmas digitales. Realmente está diseñado para autenticar peticiones de servicio de un determinado recurso en red, más que para autenticar la autoría de mensajes. Así pues, se considera que Kerberos es un sistema adecuado dentro de dominios administrativos, ya que entre distintos dominios son más fiables los sistemas de seguridad basados en criptografía de clave pública. APLICACIONES DE AUTENTIFICACION

B I B L I O G R A F I A web.mit.edu/kerberos/www/dialogue.html Working Group) Amparo Fúster Sabater, Dolores de la Guía Martinez. Técnicas Criptográficas de Protección de Datos. 2ª Edición, Ed. Alfa Omega

Feedback: Política de privacidad Feedback
Do Not Sell My Personal Information
Sobre el proyecto: SlidePlayer Condiciones de uso

© 2024 SlidePlayer.es Inc. All rights reserved.