KERBEROS

KERBEROSJéssica VieiraJonathan Fried

Públio Lima

Graduandos Engenharia de Controle e AutomaçãoUFRJ – Escola Politécnica

1 - INTRODUÇÃO O Problema

• Insegurança Interna• Autenticação do Usuário

Necessidade• Mais Segurança na Autenticação

2- O QUE É KERBEROS O Protocolo

2.1 – Terminologia

Realm

Principal

Ticket

2 – O QUE É KERBEROS KDC - Centro de Distribuição de Chave

• Banco de Dados• AS – Servidor de Autenticação• TGS – Servidor de Concessão de Ticket

Chave de Sessão

Autenticador

Chave de Repetição

2 – O QUE É KERBEROS Cache de Credenciais

2.1.1 – Autenticação

2.1.2 – Criptografia

Chave de Encriptação

Tempero de Chave

2 – O QUE É KERBEROS2.2 – Funcionamento

• Pedido ao AS• Resposta do AS• Pedido ao TGS• Resposta do TGS

KDCCLIENTE KDC

A.S.

T.G.S.

APLICATIVO

AS_REQ (1)

AS_REP(2)

TGS_REQ (3)TGS_REP (4)

AP_REQ (5)

AP_REP (6)

3- Aplicações Cross-Realm Authentication

• Caminhos por Realms Intermediários• Escalabilidade

Keytab

4 - IMPLEMENTAÇÕES MIT Kerberos

Shishi

Heimdal

5 – LIMITAÇÕES E FRAQUEZAS5.1 - Limitações Eficiência e Funcionalidade Ausência de Protocolo Host-to-Host

5.2 - Fraquezas Ataque de Repetição Ataque de Password Guessing Secure Time Services Spoofing Login

6 - CONCLUSÃOO Kerberos estabelece uma relação de confiança entre dois pontos da rede. Porém, para isso, ele assume que os mesmos são confiáveis assim como assume que seu BD é inatacávelAinda assim, o protocolo é de grande utilidade e assumindo que suas premissas sejam garantidas é um sistema extremamente seguro.

PERGUNTAS E RESPOSTAS1) Como podemos classificar os componentes

do KDC e qual a função de cada um deles?2) O que é Cache de Credenciais?3) Enumere e explique as interações entre

cliente e servidor até ele estar autenticado e pronto para usar determinado serviço

4) Enumere os dois ataques citados ao Protocolo Kerberos

5) Cite e justifique uma aplicação que permita escalabilidade ao Protocolo

RESPOSTAS1) -Banco de Dados: No mesmo, são guardadas todas

as entradas referentes a usuários e aplicativos- Servidor de Autenticação (AS): É ele quem responde ao pedido de autenticação do usuário, quando o mesmo ainda não confirmou sua identidade. Caso o usuário prove ser quem diz ser, o AS gera um ticket de Concessão de ticket para o usuário e esse ticket pode ser usado na obtenção de outros tickets, sem a necessidade de redigitar a senha.- Servidor de Concessão de Tickets (TGS): distribui tickets de serviço para todo usuário previamente autenticado portador de um TGT

RESPOSTAS2) É o local onde fica armazenada a

informação que torna o usuário autenticado perante uma determinada aplicação- a chave de sessão correspondente, o ticket de serviço e o TGT.

RESPOSTAS3) -Pedido ao Servidor de Autenticação: o cliente diz ao AS que

deseja ser autenticado para que possa usar determinado serviço.-Resposta do Servidos de Autenticação: o AS pede ao cliente sua senha para decriptar o pacote com a chave de sessão e o TGT.-Pedido ao Servidor de concessão de Ticket: o cliente pede ap TGS um ticket correspondente ao serviço que ele deseja utilizar.-Resposta do Servidor de Concessão de Ticket: o cliente recebe o ticket de serviço, encriptado com a chave de serviço e uma chave de sessão entre ele e o serviço, encriptado com a antiga chave de sessão entre ele e o servidor.

RESPOSTAS4) Ataque de Repetição e Ataque de

Password Guessing.

RESPOSTAS5) Cross-Realm Authentication, pois

evita a criação de inúmeras chaves de sessão, que seriam necessárias caso 2 realms quisessem estabelecer uma comunicação. Ao invés disso, ela utiliza-se de comunicações já estabelecidas e confiáveis, que são os chamados "caminhos por realms intermediários".