Seguridad en Sistemas: Autentificacin

Kerberos
Servicio de autentificacin desarrollado en el Massachusetts Institute of Technology (MIT) Perro de tres cabezas y cola de serpiente segn mitologa griega, guardin de la entrada del Templo de Hades.

Tres componentes guardarn la puerta: Autentificacin, Contabilidad y Auditora. Las dos ltimas cabezas nunca han sido implementadas.
1

Seguridad en Sistemas: Autentificacin

Kerberos: Introduccin (1)

Proyecto Athena. MIT 1980.
Basado en el protocolo de clave compartida basado en el protocolo de Needham y Schroeder.

Los usuarios necesitan acceder a servicios remotos.

Existen tres tipos de amenazas: Un usuario se hace pasar por alguien ms.

Un usuario altera la direccin de red de un host.

Usuario usa tcnicas de eavesdrop y replay attack.
2

Seguridad en Sistemas: Autentificacin

Kerberos: Introduccin (2)

Provee un server (centralizado) de autentificacin para autentificar usuarios en servers y servers a usuarios. Utiliza criptografa convencional. 2 versiones: 4 y 5. La versin 4 utiliza DES.

Seguridad en Sistemas: Autentificacin

Kerberos v. 4
Notacin:
C = cliente AS = servidor de autentificacin V = servidor IDc = identificador del usuario en C IDv = identificador de V Pc = password del usuario en C ADc = direccin de red de C Kv = clave secreta de encripcin compartida por AS y V TS = estampilla de tiempo || = concatenacin
4

Seguridad en Sistemas: Autentificacin

Dilogo de Autentificacin simple

(1) C AS: (2) AS C: (3) C V: IDc || Pc || IDv Ticket IDc || Ticket

Ticket = EKv[IDc || Pc || IDv]

Seguridad en Sistemas: Autentificacin

Dilogo de Autentificacin v. 4
Problemas:
El tiempo de vida asociado con los tickets. Si es muy corto: se deber entrar el password repetidas veces. Si es muy largo: mayor oportunidad de replay.

La amenaza:
Que el atacante robe el ticket y lo use antes de que expire. Denial of Service: clock o TGS
6

Seguridad en Sistemas: Autentificacin

Dilogo de Autentificacin v. 4
Authentication Service Exhange: Para obtener Ticket-Granting Ticket

(1)
(2)

C AS:
AS C:

IDc || IDtgs ||TS1

EKc [Kc,tgs|| IDtgs || TS2 || Lifetime2 || Tickettgs]

Ticket-Granting Service Echange: Para obtener Service-Granting Ticket

(3) C TGS:
(4) TGS C:

IDv ||Tickettgs ||Authenticatorc

EKc [Kc,v|| IDv || TS4 || Ticketv]

Client/Server Authentication Exhange: Para obtener Service

(5) C V: (6) V C: Ticketv || Authenticatorc EKc,v[TS5 +1]
7

Seguridad en Sistemas: Autentificacin

Kerberos: Vista General

Kerberos
Pedido de ticket-granting ticket

AS
Ticket +session key Pedido de service-granting ticket

DB

Pedido de servicio

Ticket +session key

TGS

Seguridad en Sistemas: Autentificacin

Pedido de servicio en otro Realm

10

Seguridad en Sistemas: Autentificacin

Diferencias entre las versiones 4 y 5

Dependencia del sistema de encripcin (V.4 DES) Dependencia del protocolo de red Orden de los bytes en el mensaje Tiempo de vida de los tickets Forwarding de autentificacin Autentificacin interrealm

11

Seguridad en Sistemas: Autentificacin

Encripcin en Kerberos

12

Seguridad en Sistemas: Autentificacin

Modo PCBC

13

Seguridad en Sistemas: Autentificacin

Kerberos en la Prctica
Dos versiones de Kerberos: 4 : un solo realm 5 : permite inter-realm Kerberos v5 es un Internet standard RFC1510, utilizado por muchas aplicaciones Para usar Kerberos: Necesita tener un KDC en su red Necesita aplicaciones kerberizadas Exportacin fuera de US!

14

Seguridad en Sistemas: Autentificacin

Autentificacin en Windows 2000

MS adopta y extiende kerberos para su Win2K. Extensin: criptografa pblica para proteger los mensajes cliente/AS (en lugar de passwords que protegen claves). Esto permite smartcards. Otra extensin: incluye la transmisin de privilegios de acceso (data auth field (en gral. vaco)). Extensin no convencional hace que no sea compatible con aplicaciones no MS. Raro?
15

Seguridad en Sistemas: Autentificacin

Kerberos en la WWW
http://www.google.com (buscar kerberos) Bryant, W. Designing an Authentication System: A Dialogue in Four Scenes. http://web.mit.edu/kerberos/www/dialogue.html Kohl, J.; Neuman, B. The Evolution of the Kerberos Authentication Service http://web.mit.edu/kerberos/www/papers.html http://www.isi.edu/gost/info/kerberos/ Captulo 4 Stallings.

16