Sistema de autenticação Uma visão geral do funcionamento do protocolo Kerberos

Documentos relacionados
Kerberos. Lucas C. Ferreira. Jun

AULA 5: Criptografia e Esteganografia

Segurança e Auditoria de Sistemas. Autenticação

Protocolo Kerberos. JML

RADIUS. Porque utilizar o RADIUS

Simulado Aula 01 INSS INFORMÁTICA. Prof. Márcio Hunecke

TYTEC - Tecnologias de Integração, Comunicações e Segurança, SA Contribuinte Rua Vasco Santana, lote 24, Loja A Dto.

Layout de integração com webservices de clientes. Serviço de autenticação do cooperado

Sistemas e Plataformas Seguras

Graduação Tecnológica em Redes de Computadores. Redes Sem Fio

Exercícios de Revisão Redes de Computadores Edgard Jamhour. SSL, VPN PPTP e IPsec

Petter Anderson Lopes Arbitragem, Desenvolvimento Seguro, Segurança Ofensiva e Forense Computacional

TRIBUNAL SUPERIOR ELEITORAL

SISTEMAS DE LOG, TRATAMENTO DE ATAQUES E ERROS PROF.: PAULO RICARDO LISBOA DE ALMEIDA

Manual do Acesso.IFPE

INE5680 SEGURANÇA DA INFORMAÇÃO E DE REDES Prova 1 04/10/2013 Turmas A e B Prova A NOME : MATRÍCULA :

Segurança e Auditoria de Sistemas. Confiança Mútua Assinatura Digital Certificado Digital

POLÍTICA DE PRIVACIDADE

e-financeira Manual para Compactação e Criptografia de dados

INSTITUTO FEDERAL Catarinense DISCENTE SISTEMA ACADÊMICO ORIENTAÇÕES INICIAIS

Configurar ajustes do e personalize notificações de na ponta de prova da rede de FindIT

Configurar ajustes do no roteador do RV34x Series

Configuração do gateway ao gateway VPN no Roteadores RV016, RV042, RV042G e RV082 VPN

1. Acesso Portal do Discente Atualizar Foto e Perfil Meus Dados Pessoais Minhas Notas... 7

LEIC/LERC 2008/09 2º Teste de Sistemas Distribuídos

Cadastro do novo Bilhete Único - SPTRANS

Virtual Private Network (VPN)

Este item do documento apresenta o AuthSnet, protocolo de autenticação usado para acessar os recursos privados (protected resource) da ServiceNet.

Padrão IEEE 802.1x/FreeRadius

Rede de computadores Cliente- servidor. Professor Carlos Muniz

Para cadastramento e liberação de usuário para acessar o sistema serão utilizados dois sistemas:

MANUAL DE USO DO SISTEMA SIPAC - INFRAESTRUTURA

CONCAFÉ. Manual do Usuário Dúvidas frequentes

Formação em Segurança Cibernética. Sessão 8 Criptografia II

A integração da versão de ACS 5.4 com Motorola voa (AP) o exemplo de configuração 5.X

Segurança conceitos básicos. Sistemas Distribuídos

Segurança em Redes de Computadores

Administração de Sistemas (ASIST)

CARTILHA SIPAC COMPRAS SISTEMA DE REGISTRO DE PREÇO

Proposta Comercial Integração com Operadora de Saúde

Sistemas de Arquivos Distribuídos. Bruno M. Carvalho Sala: 3F2 Horário: 35M34

Orientações Gerais sobre o Novo Autorizador

Manual do Módulo do Fabricante

Manual One Pass. Thomson Reuters. Agosto Manual One Pass

COMO SOLICITAR VISTO PARA EXECUÇÃO DE OBRAS OU SERVIÇOS SISTEMA CREAÁGIL

ATENÇÃO O TCP/IP não é um protocolo. TCP/IP é um conjunto de diversos protocolos em 04 camadas próprias que se relaciona com o modelo OSI.

CONTEÚDO Acesso ao sistema...2 Controle de Aplicação Tela de Autenticação...3 MENU DE OPÇÕES DO SISTEMA Cadastro do Colaborador...

Web Solution. Manual do Usuário

Segurança e Auditoria de Sistemas. Autenticação

Inicialmente, faça seu cadastro, depois, use seu CPF e sua Senha para fazer o Login e entrar no sistema quantas vezes quiser.

Universidade Federal de Pernambuco

No texto do de convite existem duas informações importantes: o link para o acesso a Cotação Web e a senha para o encerramento da cotação.

Figura 1: Modelo de interação para a autenticação do utente com o seu Cartão de Cidadão.

A configuração da autenticação da porta do 802.1x em SFE/SGE controlou o Switches

Configurar o ajuste da autenticação da porta do 802.1x em um interruptor

LEIC/LERC 2010/11 2º Teste de Sistemas Distribuídos

POP s. POP 12.1 Usuário Externo. (Procedimento Operacional Padrão) Versão 01, Fev/2018.

TESTES. Conheça as diversas configurações de testes e como responder.

Gerência de Redes. Versões SNMP

PTC Aula Autenticação do ponto final 5.5 Exemplo de aplicação: tornando o seguro. (Kurose, p ) (Peterson, p.

Universidade Federal do Vale do São Francisco Sistema de Concursos

Segurança de Sistemas de Informação

MANUAL SISTEMA AUDATEX WEB

PROJETO DE PESQUISA SIGAA

Manual do Usua rio - OAB Serviços

MANUAL DE INTEGRAÇÃO. Plataforma Simplus

Segurança da Informação Aula 8 Certificação Digital

Sistema de webconferência Mconf. Sessão 2

MINISTÉRIO DA SAÚDE SECRETARIA DE GESTÃO ESTRATÉGICA E PARTICIPATIVA DEPARTAMENTO DE ARTICULAÇÃO INTERFEDERATIVA

Manual Desbloqueio AllianzNet Corretor

Manual do Usuário. Cartosoft - Recibo de Envio de Selos Eletrônicos

Execícios de Revisão Redes e Sistemas Distribuídos II Edgard Jamhour. Filtros de Pacotes Criptografia, Certificados Digitais VPN

INSTALAÇÃO E CONFIGURAÇÃO DE UM SERVIDOR RADIUS BASEADO NO MICROSOFT WINDOWS SERVER

Desenvolvimento de Aplicações Distribuídas

Manual de Integração do PLERES com a S_Line

IPSEC. IP Security Protocol. *Utilize este material para fins educativos e não comerciais*

Servidor ou Pensionista: Tutorial da criação de senha no SIGAC/SIGEPE

Firewall - Inspeção com estado. (Stateful Inspection)

Antes de falarmos do novo modelo, vamos entender como o SophiA trabalhou até hoje.

Configuração dos usuários do Simple Network Management Protocol (SNMP) no Switches ESW2-350G

MANUAL DE ORIENTAÇÕES PARA REQUISIÇÃO DE MATERIAL DE CONSUMO

Sistemas Distribuídos

Esquema para adoção de software de criptografia p/ cartões de crédito/ débito

Título: Como configurar o sistema para o cliente lançar rubricas da Folha via Domínio Atendimento?

Comunicador Interno (Mensagens Instantâneas)

POP s. POP 12.1 Usuário Externo. (Procedimento Operacional Padrão) Versão 01, Fev/2018.

SAMMED Sistema de Acompanhamento do Mercado de Medicamentos

BitNota Eletrônica Gerenciador para Nota Fiscal Eletrônica 2.0 Manual Versão 1.0

LEGISLAÇÃO DE PRIVACIDADE

A vista entra um Series Router rv

Política de Privacidade 1. POLÍTICA DE PRIVACIDADE

Transcrição:

Sistema de autenticação Uma visão geral do funcionamento do protocolo Kerberos Autor: Luciano Renovato de Albuquerque 1-Introdução Muitas corporações, hoje em dia, permitem a seus funcionários, clientes e parceiros, acessar diversos serviços de forma remota. Podendo um desses serviços ser acessado, por exemplo, através da Internet, que é uma rede pública. O parágrafo acima deixa claro que a rede privada de uma empresa ou de um laboratório, por exemplo, pode ser acessada por qualquer pessoa através de uma rede pública. Justamente nesse contexto entra a questão da autenticação. A autenticação tem como objetivo garantir o acesso à uma rede, e seus serviços, por usuários legítimos, ou seja, quando nos referimos a uma empresa X, somente funcionários, clientes e parceiros autorizados pela empresa X devem ter acesso aos serviços disponíveis em sua rede privada. Impedindo qualquer acesso não autorizado. 2-Sistemas de Autenticação Quando um usuário tenta acessar uma rede protegida por um sistema de autenticação, antes de permitir o acesso desse usuário, o sistema valida sua identidade. Verificando que se trata de uma identidade com acesso permitido, o sistema gera uma autorização para o usuário. A partir desse instante, o usuário terá acesso garantido durante um determinado período de tempo estabelecido pelo sistema de autenticação. Sendo assim, quando a validade de sua autorização esgotar-se, um novo processo de autenticação será necessário. Essa visão genérica, nos permite ter uma idéia de como ocorre o processo de autenticação num sistema dessa natureza. Porém, existem diferentes sistemas de autenticação, e a forma como implementam esse processo, para garantir a segurança de uma rede privada, pode variar. 3-Protocolo Kerberos Após essa breve introdução, veremos como funciona um protocolo de autenticação muito conhecido na área de segurança, o Kerberos. Esse protocolo foi desenvolvido no MIT (Massachusetts Institute of Technology), com o objetivo de prover autenticação forte entre aplicações cliente/servidor, utilizando-se criptografia com chave secreta. O algoritmo de criptografia utilizado pelo Kerberos é o Data Encryption Standard (DES), criado a partir do algoritmo Lucifer na década de 70. Como mencionado anteriormente, um sistema de autenticação verifica a identidade de um usuário, permitindo ou não que o mesmo tenha acesso a serviços de uma rede privada. O Kerberos realiza esse processo utilizando três servidores, com os quais os clientes precisam se comunicar quando desejam autenticar-se. Pelo fato desses servidores trabalharem de forma independente, o Kerberos pode ser classificado como um sistema de autenticação distribuído. É importante frisar, que ao final do processo de autenticação de um usuário, a autorização concedida para o mesmo se refere a apenas um serviço, ou seja, para cada serviço que o usuário deseje utilizar, ele deverá autenticar-se exclusivamente para o mesmo. O protocolo Kerberos utiliza um Servidor de Autenticação (SA), onde o usuário prova sua identidade, um Servidor de Concessão de Tickets (TGS) e um Servidor de Administração (KADM).

Cada um desses servidores têm a função de: - Servidor de Autenticação (SA) Recebe o pedido de autenticação do usuário e verifica a autenticidade de sua identidade. Tratando-se de um usuário válido, o SA fornece um ticket que o permite entrar em contato com o TGS, solicitando um ticket para um serviço específico, dando continuidade ao processo de autenticação. - Servidor de Concessão de Tickets (TGS) Fornece tickets para cada serviço disponível. Após o usuário ter autenticado-se no SA, entra em contato com o TGS afim de conseguir um ticket para um serviço específico. O TGS valida as informações apresentadas pelo usuário, considerando-as válidas, concede um novo ticket para ele. - Servidor de Administração (KADM) Realiza o controle das chaves secretas. O passo inicial antes do usuário ser capaz de autenticarse no sistema, é cadastrar seus dados através do KADM. 4-Funcionamento 4.1-Passo Inicial O passo inicial necessário para que o sistema de autenticação funcione, é o cadastramento tanto dos clientes como dos serviços que estarão disponíveis. O Kerberos possuirá uma chave secreta associada a cada cliente e cada serviço, sendo conhecidas como chave de cliente e chave de serviço respectivamente. Essa chave é obtida a partir da senha fornecida pelo cliente/serviço no momento de seu cadastramento. Sendo assim, apenas o próprio cliente/serviço conhece sua chave secreta, além do Kerberos. * os passos a seguir podem ser acompanhados através da figura no final do artigo. 4.2-Passo 1 Quando um cliente deseja acessar um serviço qualquer protegido pelo Kerberos, antes de conseguir acessá-lo, ele deverá autenticar-se. Nesse momento, o cliente envia uma requisição de autenticação para o SA. O SA verifica os dados fornecidos pelo cliente(identificação do cliente e uma identificação do tipo da mensagem), busca em sua base de dados as chaves secretas correspondentes ao cliente(origem da requisição) e ao TGS(onde o cliente deseja autenticar-se), e cria uma chave de sessão que será utilizada por ambos, cliente e TGS. O SA responde ao pedido de autenticação do cliente, quando a validação de seus dados é positiva, enviando-lhe um ticket que permite acessar o TGS. Esse ticket é composto da seguinte forma: nome do cliente, nome do TGS, tempo corrente, tempo de vida do ticket, IP do cliente e a chave de sessão. Antes de ser enviado, o ticket é criptografado utilizando-se a chave de serviço que apenas o próprio serviço e o Kerberos conhecem. Além disso, tanto o ticket, já criptografado, quanto a chave de sessão, são criptografados utilizando-se a chave de cliente.

4.3-Passo 2 Ao receber a resposta do SA, o cliente deve descriptografar a mensagem utilizando sua chave secreta. No entanto, para que isso seja possível, a senha de acesso será solicitada ao cliente. Somente a senha correta será capaz de gerar a chave secreta válida para que o processo de descriptografia tenha êxito. Uma vez que a senha correta tenha sido informada, o cliente terá acesso ao ticket e a chave de sessão, enviados pelo SA. O ticket permitirá ao cliente comunicar-se com o TGS, e assim finalmente, obter um novo ticket para o serviço que deseja acessar. É importante ressaltar, que a senha do cliente só foi solicitada durante o processo de autenticação uma única vez. Sendo que mesmo nesse momento, não foi necessário enviá-la através da rede, onde ela poderia ser capturada alguém sem autorização. A chave secreta do cliente, obtida através da senha, é apagada da memória após ter sido utilizada. Não é possível obter a chave secreta sem o conhecimento da senha do cliente. 4.4-Passo 3 Nesse passo, o cliente deve enviar a requisição ao TGS. Na requisição deverão constar: um autenticador, o ticket enviado pelo SA, devidamente criptografado com a chave secreta do serviço, e a identificação do serviço requisitado. O autenticador é uma mensagem onde constam, uma identificação do cliente(nome + IP) e uma identificação do tipo de mensagem, semelhante a utilizada na requisição feita no passo 1. O autenticador é criptografado utilizando-se a chave de sessão fornecida pelo SA. 4.5-Passo 4 Ao receber a requisição, o TGS utiliza sua chave secreta para descriptografar o ticket, e utiliza a chave de sessão que acabou de receber, na própria requisição, para descriptografar o autenticador. No final desse processo, o TGS utiliza os dados que obteve para validar a requisição do cliente. Os nomes do cliente, os IPs obtidos e o tempo corrente, tanto do ticket quanto do autenticador, são comparados. Sendo todos os dados comparados, válidos, uma nova chave de sessão é criada pelo TGS. Um novo ticket é criado, dessa vez contendo as informações referentes ao cliente e serviço. A chave de serviço é utilizada para criptografar o ticket. Em seguida, a chave de sessão e o ticket, já criptografado, são criptografados juntos utilizando-se a chave de sessão enviada pelo próprio cliente. Finalmente, a mensagem de resposta é enviada para o cliente. 4.6-Passo 5 A partir de agora, o cliente será capaz de utilizar o serviço que deseja. Porém, antes disso, é preciso descriptografar a mensagem utilizando a chave de sessão. Terminado esse processo, o cliente tem em mãos o ticket que lhe permitirá acessar o serviço, e também, a nova chave de sessão que será utilizada para estabelecer a comunicação entre os dois. Para finalizar o processo de autenticação, o cliente deve criar um autenticador, contendo seu nome, IP e tempo corrente. Criptografar esse autenticador com a chave de sessão, e junto com

ticket fornecido pelo TGS, formar uma requisição que será enviada diretamente para o serviço que deseja-se acessar. Só resta agora que o serviço verifique a requisição recebida. Com sua chave secreta o serviço consegue descriptografar o ticket recebido. Dentre outras informações, consta no ticket a chave de sessão criada pelo TGS, que o permitirá descriptografar o autenticador enviado pelo criente. Os nomes do cliente, os IPs obtidos e o tempo corrente, tanto do ticket quanto do autenticador, são comparados. Considerando os dados válidos, o serviço tem certeza quanto a veracidade da identidade do cliente e a autenticação é finalizada. A comunicação entre o cliente e o serviço poderá ser feita de três formas diferentes: - Normal Apenas a autenticação inicial é exigida. A partir daí, não é feita mais nenhuma autenticação e as mensagens também não são criptografadas. - Safe Messages Todas as mensagens são autenticadas, porém não são criptografadas. - Private Message É a forma mais segura e também a mais custosa. Todas as mensagens são criptografadas e autenticadas. 5-Problemas O Kerberos também possui suas fraquezas, veremos a seguir um ponto negativo inerente a sua arquitetura. Costumamos nos referir ao Protocolo Kerberos, como sendo a implementação de um sistema distribuído. Isso porque possui características, que pudemos conhecer nesse artigo, como a existência de 3 servidores que funcionam independentemente uns dos outros. O que teoricamente, o tornaria mais robusto. A princípio, quando pensamos num sistema distribuído, imaginamos que diante de uma situação caótica, onde problemas ocorreriam afetando parte do sistema, o mesmo não poderiam ser afetado em sua totalidade. Com isso, seria possível manter o serviço ao qual o sistema se predispõem a realizar, mesmo que, devido ao cenário levado em consideração, funcionando de forma menos eficiente. Considerando o Kerberos em uma situação como a citada no parágrafo anterior, imaginando que a base de dados do Protocolo fosse violada, e seus dados fossem acessados, todo o sistema estaria comprometido. No que se refere a funcionalidade, os serviços do Protocolo Kerberos, não funcionam independentemente, se lembrarmos por exemplo, que antes de solicitar um ticket referente a um determinado serviço, o cliente deve realizar um pedido de autenticação ao SA. Além dessa fraqueza, o Kerberos possui falhas que permitem um atacante se passar por um cliente autenticado, "roubando" sua identidade, ou até mesmo paralisar parte do sistema realizando um overflow, Para uma visão detalhada dessas falhas, além de suas soluções, como a aplicação de patches, aconselho ao leitor as referências [6] e [7].

6-Conclusão Esse artigo nos permite ter uma visão geral do funcionamento do protocolo Kerberos, observando seu funcionamento distribuído, além de nos permitir perceber porque esse protocolo é também conhecido como um protocolo de autenticação third-party, onde uma terceira entidade, o Kerberos, existe entre o cliente e o serviço, com o objetivo de garantir a segurança na comunicação entre os dois. 7-Figura Figura 1 - Protocolo Kerberos

2024 © DocPlayer.com.br Política de Privacidade | Termos de serviço | Feedback