KERBEROS

1. KERBEROS Jéssica Vieira Jonathan Fried Públio Lima Graduandos Engenharia de Controle e Automação UFRJ – Escola Politécnica

2. 1 - INTRODUÇÃO • O Problema • Insegurança Interna • Autenticação do Usuário • Necessidade • Mais Segurança na Autenticação

3. 2- O QUE É KERBEROS O Protocolo 2.1 – Terminologia Realm Principal Ticket

4. 2 – O QUE É KERBEROS • KDC - Centro de Distribuição de Chave • Banco de Dados • AS – Servidor de Autenticação • TGS – Servidor de Concessão de Ticket • Chave de Sessão • Autenticador • Chave de Repetição

5. 2 – O QUE É KERBEROS Cache de Credenciais 2.1.1 – Autenticação 2.1.2 – Criptografia Chave de Encriptação Tempero de Chave

6. 2 – O QUE É KERBEROS 2.2 – Funcionamento • Pedido ao AS • Resposta do AS • Pedido ao TGS • Resposta do TGS

7. KDC AS_REQ (1) CLIENTE A.S. AS_REP(2) TGS_REQ (3) KDC TGS_REP (4) T.G.S. AP_REQ (5) AP_REP (6) APLICATIVO

8. 3- Aplicações • Cross-Realm Authentication • Caminhos por Realms Intermediários • Escalabilidade • Keytab

9. 4 - IMPLEMENTAÇÕES MIT Kerberos Shishi Heimdal

10. 5 – LIMITAÇÕES E FRAQUEZAS 5.1 - Limitações Eficiência e Funcionalidade Ausência de Protocolo Host-to-Host 5.2 - Fraquezas Ataque de Repetição Ataque de Password Guessing Secure Time Services SpoofingLogin

11. 6 - CONCLUSÃO O Kerberos estabelece uma relação de confiança entre dois pontos da rede. Porém, para isso, ele assume que os mesmos são confiáveis assim como assume que seu BD é inatacável Ainda assim, o protocolo é de grande utilidade e assumindo que suas premissas sejam garantidas é um sistema extremamente seguro.

12. PERGUNTAS E RESPOSTAS Como podemos classificar os componentes do KDC e qual a função de cada um deles? O que é Cache de Credenciais? Enumere e explique as interações entre cliente e servidor até ele estar autenticado e pronto para usar determinado serviço Enumere os dois ataques citados ao Protocolo Kerberos Cite e justifique uma aplicação que permita escalabilidade ao Protocolo

13. RESPOSTAS 1) -Banco de Dados: No mesmo, são guardadas todas as entradas referentes a usuários e aplicativos- Servidor de Autenticação (AS): É ele quem responde ao pedido de autenticação do usuário, quando o mesmo ainda não confirmou sua identidade. Caso o usuário prove ser quem diz ser, o AS gera um ticket de Concessão de ticket para o usuário e esse ticket pode ser usado na obtenção de outros tickets, sem a necessidade de redigitar a senha.- Servidor de Concessão de Tickets (TGS): distribui tickets de serviço para todo usuário previamente autenticado portador de um TGT

14. RESPOSTAS 2) É o local onde fica armazenada a informação que torna o usuário autenticado perante uma determinada aplicação- a chave de sessão correspondente, o ticket de serviço e o TGT.

15. RESPOSTAS 3) -Pedido ao Servidor de Autenticação: o cliente diz ao AS que deseja ser autenticado para que possa usar determinado serviço.-Resposta do Servidos de Autenticação: o AS pede ao cliente sua senha para decriptar o pacote com a chave de sessão e o TGT.-Pedido ao Servidor de concessão de Ticket: o cliente pede ap TGS um ticket correspondente ao serviço que ele deseja utilizar.-Resposta do Servidor de Concessão de Ticket: o cliente recebe o ticket de serviço, encriptado com a chave de serviço e uma chave de sessão entre ele e o serviço, encriptado com a antiga chave de sessão entre ele e o servidor.

16. RESPOSTAS 4) Ataque de Repetição e Ataque de Password Guessing.

17. RESPOSTAS 5) Cross-Realm Authentication, pois evita a criação de inúmeras chaves de sessão, que seriam necessárias caso 2 realms quisessem estabelecer uma comunicação. Ao invés disso, ela utiliza-se de comunicações já estabelecidas e confiáveis, que são os chamados "caminhos por realms intermediários".