MIT Kerbers V5 Dig Dias Jã Sares
Objectiv Case Study de uma pssível utilizaçã d Kerbers Verificaçã das ferramentas existentes Estad da tecnlgia (nmeadamente, Open Surce) Alguma aplicaçã na rede FEUPNET
Kerbers Implementaçã d prtcl de Needham- Schreder para chaves simétricas Usa um servidr cnfiável pr tds s nós da cmunicaçã para frnecer autenticaçã e cnfidencialidade Tem s prblemas de eavesdrpping e replayattacks reslvids. Frnece autenticaçã mútua: cliente e servidr sã verificads
Kerbers Criad para prteger s serviçs d Prject Athena Durante ans fi cnsiderad muniçã pels EUA, nã pdend ser exprtad Prque utilizava DES Mtivu uma implementaçã independente
Kerbers A versã 1 a 3 só fram lançadas e utilizadas dentr d própri MIT A versã 4 fi a primeira pública Fi cnsiderada insegura depis de se verificarem errs n prtcl e depis de DES ser dad cm insegur
Kerbers Para clmatar essas falhas, fi lançada em 1993 a versã 5 (Jhn Khl e Cliffrd Neuman) Algritms suprtads: DES cbc mde with CRC-32 (frac) DES cbc mde with RSA-MD4 (frac) DES cbc mde with RSA-MD5 (frac) DES cbc mde raw (frac) Triple DES cbc mde raw (frac) Triple DES cbc mde with HMAC/sha1 DES with HMAC/sha1 (frac) AES-256 CTS mde with 96-bit SHA-1 HMAC AES-128 CTS mde with 96-bit SHA-1 HMAC RC4 with HMAC/MD5 Exprtable RC4 with HMAC/MD5 (frac)
Kerbers O MIT tem uma implementaçã de referência dispnibilizada livremente (Liçensa BSD) Existem utras implementações livres Heimdal Shishi (GNU) E utras prprietárias Ex.: Windws SSPI usad ns Windws a partir d 2000
Prtcl
Prtcl
Prtcl
Prtcl
Prtcl
Prtcl
Prtcl
Prtcl
Prtcl
Prtcl
Limitações Apntadas Pnt únic de falha - se KDC falhar, a autenticaçã falha, mitigad cm slave servers Requisits de temp (timestamps) - se temp estiver alg desfasad, a autenticaçã falha; requer utilizaçã de servidres de sincrnizaçã de temp O prtcl de administraçã nã está standardizad, varia entre implementações
Limitações Apntadas Já que KDC é centr da autenticaçã, cmprmenter KDC permite a atacante fazer-se passar pr qualquer utilizadr Pssibilidade de s utilizadres usarem passwrds fracas, que pde ser mitigad através da utilizaçã de plicies. Necessidade de partilha prévia da senha cm KDC
Cnfiguraçã Utilizada
Live Dem
Dificuldades Encntradas Fully-Qualified Dmain Names (FQDN)
Dificuldades Encntradas Sftware Cmpatível cm GSSAPI Filezilla 3 Filezilla 2 Versã 3 abandnu suprte a GSSAPI PuTTY Reslvid n Develpment Snapsht Ainda nã fi incrprad na Release ficial
Dificuldades Encntradas Apache 2 Kerbers Mdule Puc explícit na descriçã ds errs Minr cdes (descriçã ds errs) pr vezes nã apareciam Também nã apresentava códig de err (seria expectável)
Cnclusões Sistemas Single Sign-n (SSO) sã facilitadres, já que evitam multipls lg-ins Manutençã das passwrds é mais fácil, já que é centralizad Existe uma dependência imprtante de DNS e de FQDN Numa rede crprativa bem instalada, nã seria prblema
Cnclusões Existem algumas ferramentas que funcinam ns sistemas perativs mais usads Develpers de sftware estã a abandnar suprte à GSSAPI Pssibilidade de integraçã cm Windws Active Directry Mesm usand KDC de utr sistema perativ (Nã fi bject de estud)
Cnclusões Na rede FEUPNET: Permitiria SSO para acess as diverss serviçs dispníveis (SAMBA, GNOMO, YODA, ) tant a partir de Linux cm de Windws Permitia que lg-in n própri sifeup u webmail fsse feit autmaticamente