JOSE LUIS ALFONSO ANDRES HIDALGO EDGARDO PANZA KERBEROS JOSE LUIS ALFONSO ANDRES HIDALGO EDGARDO PANZA
Agenda Introducción Que es y como trabaja Kerberos? Origen Que es y como trabaja Kerberos? Niveles de protección Supuestos V4 vs. V5 Desventajas Conclusiones
INTRODUCCION Varios mecanismos han sido desarrollados con el propósito de evitar los posibles ataques a los que se expone la información al viajar en una red abierta. La segmentación la red y el uso de passwords obstruyen el paso no solo a los usuarios no autorizados sino también a los usuarios legítimos.
ORIGEN DE KERBEROS Proteger los servicios de red proporcionados por el proyecto Athena. Recibió el nombre debido al personaje mitológico griego Kerberos (o Can Cerberos), el perro guardián de tres cabezas de Hades. En la década de los 80, se crearon 4 versiones. Por mas de 5 años fue utilizado en varias organizaciones para autenticar el acceso de los usuarios. En 1993 se origino la versión 5 de Kerberos
OBJETIVOS Exigir autenticación a los usuarios para la utilización del sistema y en particular para cada servicio ofrecido. Exigir autenticación a los servicios
QUE ES? KERBEROS es un servicio de autenticación. Usa una criptografía de claves simétricas para validar usuarios con los servicios de red. evitando así tener que enviar contraseñas a través de la red.[1]
Características básicas Utiliza solo clave simétrica Passwords nunca viajan por la red, Protocolo de Needham-Schroeder Se utiliza control de accesos individualizando para cada servicio, introduce password una vez por sesión Red se espera en diferentes dominios físicos de seguridad Versión 4 utiliza algoritmo DES, versión 5 utiliza cualquier algoritmo simétrico
Protocolo de Needham-Schroeder Evitar reenvíos de viejos mensajes capturados en la red o la reutilización de viejos tickets obtenidos de zonas de memoria del usuario autorizado Poder revocar a los usuarios los derechos al cabo de un tiempo.
ELEMENTOS Intervienen los siguientes elementos: Usuario. Servidor de servicios. Servidor de autenticación (SA). Servidor de concesión de tickets (TGS).
Servidor de Servicios (Kerberos Distribution Center) Autenticación (AS, Authentication Service) autenticar inicialmente a los clientes y proporcionarles un ticket para comunicarse con el segundo Tickets (TGS, Ticket Granting Service) Proporcionará a los clientes las credenciales necesarias para comunicarse con un servidor final que es quien realmente ofrece un servicio
SERVIDOR DE AUTENTICACION Todos los usuarios y todos los servicios (servidor) tienen una contraseña. El AS conoce todas las contraseñas de los usuarios y servicios. Estas contraseñas se introducen manualmente.
SERVIDOR DE CONCESIÓN DE TICKETS Un servidor que emite tickets para un servicio deseado El TGS también posee todas las llaves. Mediante estos se puede acceder a los servers. Están encriptados con la llave del servidor, por tanto el contenido de ticket es ilegible para el cliente.
TICKETS Autenticador Llave de sesión Prueban la identidad del cliente. Son encriptados con la llave de sesión. Contiene: Nombre de usuario, Dirección de red del cliente, Timestamp. Autenticador Es un numero aleatorio generado por el TGS que identifica una sesión. Se utiliza para encriptar los mensajes del cliente.[3] Llave de sesión
COMO TRABAJA? [2]
KAS El cliente envía un mensaje al KAS, que contiene su identidad(c), y solicita un ticket para usarlo con el servidor de tickets(TGS).
RESPUESTA DEL KAS Busca el nombre del cliente y el nombre del servicio y obtiene una llave de encriptación para cada uno de ellos. Da una respuesta al cliente. Esta respuesta contiene un ticket inicial que garantiza al cliente acceso al servidor solicitado. El KAS también genera una llave aleatoria de encriptación.
SOLICITUD DE TICKET El cliente lo desencripta usando su llave secreta. Se comprueba su solicitud y se envía a continuación un mensaje al TGS. Este mensaje contiene el ticket inicial.
RESPUESTA DEL TGS Descifra primero el ticket, después obtiene la llave de sesión para TGS del ticket descifrado, y la emplea a su vez para descifrar el autentificador sellado. Finalmente, chequea la hora actual en el autentificador para cerciorarse de que el mensaje es reciente.
ACCESO AL SERVER Autenticador del cliente. Una vez que el servidor ha validado a un cliente, el cliente tiene la opción de validar a su vez al servidor. Esto evita que un intruso suplante al servidor.
NIVELES DE PROTECCIÓN Autenticación Prueba que el usuario es quien dice ser. Puede ser que la autenticidad se establezca al inicio de la conexión de red y luego se asuma que los siguientes mensajes de una dirección de red determinada se originan desde la parte autenticada. Integridad de datos Asegura que los datos no se modifican en tránsito. Se requiere autenticación de cada mensaje, sin importar el contenido del mismo. Esto se denomina mensaje seguros. Privacidad de datos Asegura que los datos no son leídos en tránsito. En este caso, no sólo se autentica cada mensaje, sino que también se cifra. Éstos mensajes son privados. [4]
SUPUESTOS El entorno que lo usará incluirá: estaciones de trabajo públicas y privadas que estarán localizadas en áreas con seguridad física mínima. Los datos confidenciales o las operaciones de alto riesgo tales como transacciones bancarias no pueden formar parte de este entorno sin seguridad adicional. Uno de los sistemas de encriptación utilizados es el DES("Data Encryption Standard”).[2]
V4 vs. V5 (Kerberos)
DESVENTAJAS Una migración de contraseñas de usuarios de un sistema a otro puede ser muy tediosa. No hace uso de PAM(Pluggable Authentication Modules). Kerberos supone que cada usuario es de confianza pero que está utilizando una máquina no fiable en una red no fiable. Para que una aplicación use Kerberos, el código debe ser modificado para hacer las llamadas apropiadas a las librerías de Kerberos.[2]
La autenticación es una parte crítica de los Sistemas de Computadoras, donde es necesario conocer la identidad de un principal para decidir responder a una operación o no. Los métodos de autenticación tradicionales no son útiles en redes de computadoras, ya que los atacantes pueden estar monitoreando el tráfico de la red e interceptar passwords, para luego enmascararse como un usuario legítimo. Kerberos es un sistema de autenticación especialmente diseñado pensado en éstos ambientes. Kerberos es totalmente transparente para el usuario a no ser que la autenticación falle. Sigue adaptándose a las necesidades y requerimientos de los usuarios.
REFERENCIAS [1] http://web.mit.edu/rhel-doc/4/RH-DOCS/rhel-rg-es-4/ch-kerberos.html [2] http://ditec.um.es/laso/docs/tut-tcpip/3376c413.html [3] http://www.zeroshell.net/eng/kerberos/Kerberos-definitions/#1.3.5 [4] KERBEROS Un Sistema de Autenticación para Redes. ANDREA PAOLA ALONSO DE ARMIÑO. [5] http://www.zeroshell.net/eng/kerberos/ [6] http://ditec.um.es/laso/docs/tut-tcpip/3376c413.html [7] http://www.wikilearning.com/tutorial/control_de_accesos- autenticacion_kerberos/3394-4 [8] http://web.mit.edu/rhel-doc/4/RH-DOCS/rhel-rg-es-4/s1-kerberos-server.html [9] http://web.mit.edu/rhel-doc/OldFiles/4/RH-DOCS/rhel-rg-es-4/s1-kerberos- clients.html [10] http://www.freebsd.org/doc/es/books/handbook/kerberos5.html [11] http://web.mit.edu/Kerberos/dist/#kfw-3.2 [12] http://www.dartmouth.edu/comp/resources/downloads/using-kerberos.html [13] http://www.stanford.edu/services/ess/pc/kfw.html
GLOSARIO PARA NOSOTROS Athena = El proyecto Athena era un proyecto en conjunto entre el MIT, Digital Equipment Corporation, e IBM para producir un ambiente de computación distribuida para el uso educativo a todo lo ancho del campus universitario. Clave simétrica = servidor y cliente comparten una llave común que es usada para encriptar y descifrar la comunicación de la red. Pluggable Authentication Modules (PAM) es un mecanismo de autenticación flexible que permite abstraer las aplicaciones y otro software del proceso de identificación.