Embed Size (px)
DESCRIPTION
KERBEROS. Jéssica Vieira Jonathan Fried Públio Lima. Graduandos Engenharia de Controle e Automação UFRJ – Escola Politécnica. 1 - INTRODUÇÃO. O Problema Insegurança Interna Autenticação do Usuário Necessidade Mais Segurança na Autenticação. 2- O QUE É KERBEROS. O Protocolo - PowerPoint PPT Presentation
Citation preview
KERBEROSJéssica VieiraJonathan Fried
Públio Lima
Graduandos Engenharia de Controle e AutomaçãoUFRJ – Escola Politécnica
1 - INTRODUÇÃO O Problema
• Insegurança Interna• Autenticação do Usuário
Necessidade• Mais Segurança na Autenticação
2- O QUE É KERBEROS O Protocolo
2.1 – Terminologia
Realm
Principal
Ticket
2 – O QUE É KERBEROS KDC - Centro de Distribuição de Chave
• Banco de Dados• AS – Servidor de Autenticação• TGS – Servidor de Concessão de Ticket
Chave de Sessão
Autenticador
Chave de Repetição
2 – O QUE É KERBEROS Cache de Credenciais
2.1.1 – Autenticação
2.1.2 – Criptografia
Chave de Encriptação
Tempero de Chave
2 – O QUE É KERBEROS2.2 – Funcionamento
• Pedido ao AS• Resposta do AS• Pedido ao TGS• Resposta do TGS
KDCCLIENTE KDC
A.S.
T.G.S.
APLICATIVO
AS_REQ (1)
AS_REP(2)
TGS_REQ (3)TGS_REP (4)
AP_REQ (5)
AP_REP (6)
3- Aplicações Cross-Realm Authentication
• Caminhos por Realms Intermediários• Escalabilidade
Keytab
4 - IMPLEMENTAÇÕES MIT Kerberos
Shishi
Heimdal
5 – LIMITAÇÕES E FRAQUEZAS5.1 - Limitações Eficiência e Funcionalidade Ausência de Protocolo Host-to-Host
5.2 - Fraquezas Ataque de Repetição Ataque de Password Guessing Secure Time Services Spoofing Login
6 - CONCLUSÃOO Kerberos estabelece uma relação de confiança entre dois pontos da rede. Porém, para isso, ele assume que os mesmos são confiáveis assim como assume que seu BD é inatacávelAinda assim, o protocolo é de grande utilidade e assumindo que suas premissas sejam garantidas é um sistema extremamente seguro.
PERGUNTAS E RESPOSTAS1) Como podemos classificar os componentes
do KDC e qual a função de cada um deles?2) O que é Cache de Credenciais?3) Enumere e explique as interações entre
cliente e servidor até ele estar autenticado e pronto para usar determinado serviço
4) Enumere os dois ataques citados ao Protocolo Kerberos
5) Cite e justifique uma aplicação que permita escalabilidade ao Protocolo
RESPOSTAS1) -Banco de Dados: No mesmo, são guardadas todas
as entradas referentes a usuários e aplicativos- Servidor de Autenticação (AS): É ele quem responde ao pedido de autenticação do usuário, quando o mesmo ainda não confirmou sua identidade. Caso o usuário prove ser quem diz ser, o AS gera um ticket de Concessão de ticket para o usuário e esse ticket pode ser usado na obtenção de outros tickets, sem a necessidade de redigitar a senha.- Servidor de Concessão de Tickets (TGS): distribui tickets de serviço para todo usuário previamente autenticado portador de um TGT
RESPOSTAS2) É o local onde fica armazenada a
informação que torna o usuário autenticado perante uma determinada aplicação- a chave de sessão correspondente, o ticket de serviço e o TGT.
RESPOSTAS3) -Pedido ao Servidor de Autenticação: o cliente diz ao AS que
deseja ser autenticado para que possa usar determinado serviço.-Resposta do Servidos de Autenticação: o AS pede ao cliente sua senha para decriptar o pacote com a chave de sessão e o TGT.-Pedido ao Servidor de concessão de Ticket: o cliente pede ap TGS um ticket correspondente ao serviço que ele deseja utilizar.-Resposta do Servidor de Concessão de Ticket: o cliente recebe o ticket de serviço, encriptado com a chave de serviço e uma chave de sessão entre ele e o serviço, encriptado com a antiga chave de sessão entre ele e o servidor.
RESPOSTAS4) Ataque de Repetição e Ataque de
Password Guessing.
RESPOSTAS5) Cross-Realm Authentication, pois
evita a criação de inúmeras chaves de sessão, que seriam necessárias caso 2 realms quisessem estabelecer uma comunicação. Ao invés disso, ela utiliza-se de comunicações já estabelecidas e confiáveis, que são os chamados "caminhos por realms intermediários".
