univerdidad popa
Páginas: 8 (1770 palabras)
Publicado: 3 de enero de 2014
Kerberos
Conceptos
• Protocolo [DRAE]:
– 4. m. Secuencia detallada de un proceso de actuación científica, técnica,
médica, etc.
– 5. m. Inform. Conjunto de reglas que se establecen en el proceso de
comunicación entre dos sistemas
Especifica orden temporal y formato de intercambio de información entre
partes
• Protocolo de seguridad:http://www.lsv.ens-cachan.fr/Software/spore/index.html
– Protocolos que usan mecanismos (criptográficos) para proporcionar
servicios de seguridad a partes implicadas
– Partes que actúan honradamente consiguen objetivo de protocolo
• Ej., establecer una clave, autenticar una de ellas o mutuamente, ...
– Atacantes no pueden evitar objetivo
• Ej., haciéndose pasar por una de las partes
– Presupone que objetivo está claro
– Tambiénfuera del ámbito de comunicación: ej., para copia de seguridad
Autenticación. Kerberos
Mas conceptos
• Consideraciones sobre protocolos de seguridad
– Diseñar protocolos es fácil
– Diseñar protocolos seguros es difícil
• Cómo usar mecanismos criptográficos en el diseño de protocolos
– Algunos estandarizados
•
•
•
•
•
•
ISO/IEC 11770-2, ISO/IEC 9798-2, …
Estándares basados enX.509
S/MIME
TLS
IPsec
...
Autenticación. Kerberos
Más conceptos
• Participantes en un protocolo de seguridad
– Partes que se comunican
– Opcional: tercera parte en la que confían partes que se comunican
• Dependiendo de protocolo y aplicación se confía en que:
– No descubra claves que comparte con otras partes
– No use esas claves para suplantar alguna parte
– No escuchecomunicación entre esas partes
• Posibilidades:
– Intermediario con el que comunicantes comparten clave a priori
• Centro de distribución de claves (CDC o KDC): proporciona
clave de sesión
• Centro de transferencia de claves (CTC o KTC): clave elegida
por uno pasada a otro (comunicación cifrada)
– Intermediario como notario: autoridad de certificación (AC o CA)
Autenticación. Kerberos
Repaso deautenticación
Recordar:
• Qué es
• Enfoques
Para qué es necesaria
• Motivos de autenticación
– Acceder a recursos de servidores
– Saber con quién se está comunicando uno
– Controlar acceso a comunicación y recursos en redes potencialmente
inseguras
• A qué servicios puede acceder
• A qué datos puede acceder
• Cómo se puede establecer y mantener comunicación segura con esa parte
•Algunos ataques
– Usuario finge ser otro usuario
– Usuario altera la dirección de estación de trabajo
– Usuario “escucha” intercambios y usa un ataque de repetición
Autenticación. Kerberos
Imagen de [The New Yorker, 1993]
Posibilidades de autenticación en sistema C/S
Cada usuario con cada servidor
• N usuarios y M servidores
N*M contraseñas
• Nuevo usuario o cambio de
contraseñade usuario
actualización en M servidores
Servidor de autenticacion centralizado
• N usuarios y M servidores
N+M contraseñas
• Nuevo usuario o cambio de
contraseña de usuario
actualización en 1 servidor (de aut.)
Usuarios
Usuarios
Kerberos
Clientes
Servicios
Servidor de correo
Clientes
Servicios
Servidor de archivos
…
Servidor de correo
Servidor dearchivos
Servidor de autenticación
Autenticación. Kerberos
¿Protocolo de seguridad adecuado?
Adaptado de [Stevems, 2006]
…
Características
• Origen en proyecto Athena de MIT, 1987
– Código gratuito: http://web.mit.edu/kerberos (04 Aug 2010: krb5-1.8.3 )
– Versión 5: RFC 4120 (2005), con varias extensiones
•
•
•
•
4212: API
4537: Negociación de criptografía
5021: Extensiónrelacionada con CDC
...
• Sistema de autenticación para sistemas distribuidos / en red
– Protocolo específico que emplea
– Software que lo implementa y que lo ejecuta
• Usa
– Cifrado simétrico: DES, 3DES, AES
– MAC: CBC, MD4, MD5, SHA-1
– Cifrado asimétrico en intercambio inicial de autenticación (RFC 4556)
• Suposición: máquinas seguras (pero redes inseguras)
Autenticación....
Conceptos
• Protocolo [DRAE]:
– 4. m. Secuencia detallada de un proceso de actuación científica, técnica,
médica, etc.
– 5. m. Inform. Conjunto de reglas que se establecen en el proceso de
comunicación entre dos sistemas
Especifica orden temporal y formato de intercambio de información entre
partes
• Protocolo de seguridad:http://www.lsv.ens-cachan.fr/Software/spore/index.html
– Protocolos que usan mecanismos (criptográficos) para proporcionar
servicios de seguridad a partes implicadas
– Partes que actúan honradamente consiguen objetivo de protocolo
• Ej., establecer una clave, autenticar una de ellas o mutuamente, ...
– Atacantes no pueden evitar objetivo
• Ej., haciéndose pasar por una de las partes
– Presupone que objetivo está claro
– Tambiénfuera del ámbito de comunicación: ej., para copia de seguridad
Autenticación. Kerberos
Mas conceptos
• Consideraciones sobre protocolos de seguridad
– Diseñar protocolos es fácil
– Diseñar protocolos seguros es difícil
• Cómo usar mecanismos criptográficos en el diseño de protocolos
– Algunos estandarizados
•
•
•
•
•
•
ISO/IEC 11770-2, ISO/IEC 9798-2, …
Estándares basados enX.509
S/MIME
TLS
IPsec
...
Autenticación. Kerberos
Más conceptos
• Participantes en un protocolo de seguridad
– Partes que se comunican
– Opcional: tercera parte en la que confían partes que se comunican
• Dependiendo de protocolo y aplicación se confía en que:
– No descubra claves que comparte con otras partes
– No use esas claves para suplantar alguna parte
– No escuchecomunicación entre esas partes
• Posibilidades:
– Intermediario con el que comunicantes comparten clave a priori
• Centro de distribución de claves (CDC o KDC): proporciona
clave de sesión
• Centro de transferencia de claves (CTC o KTC): clave elegida
por uno pasada a otro (comunicación cifrada)
– Intermediario como notario: autoridad de certificación (AC o CA)
Autenticación. Kerberos
Repaso deautenticación
Recordar:
• Qué es
• Enfoques
Para qué es necesaria
• Motivos de autenticación
– Acceder a recursos de servidores
– Saber con quién se está comunicando uno
– Controlar acceso a comunicación y recursos en redes potencialmente
inseguras
• A qué servicios puede acceder
• A qué datos puede acceder
• Cómo se puede establecer y mantener comunicación segura con esa parte
•Algunos ataques
– Usuario finge ser otro usuario
– Usuario altera la dirección de estación de trabajo
– Usuario “escucha” intercambios y usa un ataque de repetición
Autenticación. Kerberos
Imagen de [The New Yorker, 1993]
Posibilidades de autenticación en sistema C/S
Cada usuario con cada servidor
• N usuarios y M servidores
N*M contraseñas
• Nuevo usuario o cambio de
contraseñade usuario
actualización en M servidores
Servidor de autenticacion centralizado
• N usuarios y M servidores
N+M contraseñas
• Nuevo usuario o cambio de
contraseña de usuario
actualización en 1 servidor (de aut.)
Usuarios
Usuarios
Kerberos
Clientes
Servicios
Servidor de correo
Clientes
Servicios
Servidor de archivos
…
Servidor de correo
Servidor dearchivos
Servidor de autenticación
Autenticación. Kerberos
¿Protocolo de seguridad adecuado?
Adaptado de [Stevems, 2006]
…
Características
• Origen en proyecto Athena de MIT, 1987
– Código gratuito: http://web.mit.edu/kerberos (04 Aug 2010: krb5-1.8.3 )
– Versión 5: RFC 4120 (2005), con varias extensiones
•
•
•
•
4212: API
4537: Negociación de criptografía
5021: Extensiónrelacionada con CDC
...
• Sistema de autenticación para sistemas distribuidos / en red
– Protocolo específico que emplea
– Software que lo implementa y que lo ejecuta
• Usa
– Cifrado simétrico: DES, 3DES, AES
– MAC: CBC, MD4, MD5, SHA-1
– Cifrado asimétrico en intercambio inicial de autenticación (RFC 4556)
• Suposición: máquinas seguras (pero redes inseguras)
Autenticación....
Leer documento completo
Regístrate para leer el documento completo.