CARRERA:

LICENCIATURA EN SISTEMAS COMPUTACIONALES

MATERIA:

TEMAS SELECTOS DE SISTEMAS

PROFESOR:

M.C. JUANA CANUL REICH

EXPOSICION:

CONFIGURACION DE “ KERBEROS ”

ALUMNAS:

IDALIA LEON CONTRERAS

JENIRETH CASTILLO JIMENEZ

SEMESTRE Y GRUPO:

DECIMO “ B ”

CUNDUACAN TABASCO, OCTUBRE DE 2003

INTRODUCCION

¿ QUE ES Y QUE HACE KERBEROS ?

METAS A LA HORA DEL DISEÑO

TERMINOLOGIA KERBEROS

FUNCIONAMIENTO DE KERBEROS

SERVICIOS OFRECIDOS

LIMITACIONES DE KERBEROS

ADMINISTRACION DE KERBEROS

CONFIGURACION DE KERBEROS EN RED HAT LINUX 7.1

CONCLUSIONES 

BIBLIOGRAFIA

I N D I C E

INTRODUCCION

Kerberos surge porque algunas aplicaciones Cliente/Servidor asumen que el cliente proveerá su identificación correctamente, y otras confian en que el cliente restringirá sus actividades a aquellas que están autorizadas sin ningun otro esfuerzo del servidor.

Algunos sitios utilizan firewalls para solucionar los problemas de seguridad en redes. Pero los firewalls asumen que las personas que desean hacer daño están del lado de afuera, cuando en realidad esta aseveración suele ser falsa.

Según el Gran Diccionario del Diablo("Enlarged Devil's Dictionary(Ambrose Bierce)"), Kerberos es "el perro guardián del Hades, un personaje de la mitología griega cuyo deber era custodiar las puertas del infierno, representa seguridad; se sabe que Kerberos tenía tres cabezas".

Se podría decir que como servicio de autenticación, ahora cuida las puertas de la red, impidiendo que entren personas indeseadas.

APLICACIONES DE AUTENTIFICACION

¿QUÉ ES Y QUÉ HACE KERBEROS?

Kerberos es un protocolo que ofrece un servicio de autentificación en arquitecturas Cliente / Servidor.

Kerberos provee tres niveles distintos de protección:

• Autentificación

• Integridad de Datos

• Privacidad de Datos

Kerberos utiliza dos tipos de credenciales en el modulo de autentificación:

TICKEST

AUTENTIFICADOR

APLICACIONES DE AUTENTIFICACION

METAS A LA HORA DEL DISEÑO

Las siguientes fueron metas de Kerberos a la hora del diseño del sistema:

• Que fuera suficientemente fuerte para no constituir el punto débil del sistema Athena

•    Todo servicio que usa Kerberos para autentificación depende totalmente de su confiabilidad, por lo tanto esta debe ser alta. Debe permitir que un servidor respalde a otro.

• Con excepción de pedirle una contraseña, el sistema debe ser transparente para el usuario.

• Debe ser capaz de soportar grandes números de clientes, usuarios y servidores. Esto sugiere una arquitectura modular y distribuida.

APLICACIONES DE AUTENTIFICACION

TERMINOLOGIA KERBEROS

Cliente

Clave

Servicio

Texto cifrado

Texto sin retocar o texto plano

Ticket

TERMINOLOGIA KERBEROS

Ticket Granting Service (TGS)

Emite tickets para un servicio deseado que usa el usuario para ganar acceso al servicio.

Ticket Granting Ticket (TGT)

Ticket especial que permite al cliente obtener tickets adicionales sin aplicarlos desde KDC.

 Centro de Distribución de Claves (KDC)

Un servicio que emite tickets Kerberos, que habitualmente se ejecutan en el mismo host como un Ticket Granting Server.

 

Dominio

Red que usa Kerberos, compuesto de uno o varios servidores (también conocidos como KDCs) y un número potencial de clientes.

Principal

Usuario o servicio que puede autentificar mediante el uso de Kerberos.

FUNCIONAMIENTO DE KERBEROS

FASES DE AUTENTIFICACION

FUNCIONAMIENTO DE KERBEROS

FUNCIONAMIENTO DE KERBEROS

FUNCIONAMIENTO DE KERBEROS

FUNCIONAMIENTO DE KERBEROS

APLICACIONES DE AUTENTIFICACION

SERVICIOS OFRECIDOS

 

a) AUTENTIFICACION MUTUA: El cliente puede querer que el servidor pruebe su identidad, por lo tanto le suma uno al sello de tiempo que el cliente le envió en el autenticador, encripta el resultado con la clave de sesiçon y nuevamente envía el resultado al cliente.

 

b) CONFIANZA TRANSITIVA: Sean dos empresas A y B confían en C, entonces A confía implícitamente en B. Las confianzas directas reducen el tráfico generado por la autentificación entre dominios, así como la cantidad de billetes Kerberos emitidos.

c) AUTENTIFICACION DELEGADA: En Kerberos, este proceso de delegación consiste en que un usuario A envía un ticket a una máquina intermediaria B y ésta utiliza el ticket del usuario A para autentificarse ante el servidor de aplicaciones C. 

APLICACIONES DE AUTENTIFICACION

LIMITACIONES DE KERBEROS

  Si un usuario elige una contraseña pobre y un atacante la consigue al tratar de adivinarla, este puede hacerse pasar por él.

Requiere un camino seguro para introducir las contraseñas.

No hay lugar seguro donde guardar las claves de sesión.

El protocolo liga los tickets a las direcciones de red y esto es un problema en hosts con más de una dirección IP.

Para que Kerberos sea útil debe integrarse con otras partes del sistema.

LIMITACIONES

Tiempo de vida de un ticket. La elección del tiempo de vida de los tickets no es trivial.

Manejo de proxies. Todavía no esta claro cómo permitir autenticación mediante proxies, es decir que un servidor utilice servicios de otros servidores en nombre de un usuario autenticado.

Estados Unidos no permite exportar criptografía, por lo que Kerberos no se puede distribuir en otros países tal como fue creado.

APLICACIONES DE AUTENTIFICACION

APLICACIONES DE AUTENTIFICACION

ADMINISTRACION DE KERBEROS

A la hora de administrar Kerberos, habrá que tener en cuenta dos tipos de administración:

a) ADMINISTRACION GENERAL: El administrador debe de iniciar la Base de Datos de Kerberos al instalarlo, y si se tiene la BD replicada tiene que sincronizar la BD replicada con la BD principal cada cierto tiempo.

b) ADMINISTRACION ENTRE SISTEMAS KERBEROS: Cada sistema Kerberos contiene como parte de su nombre el realm (dominio) asociado. Un usuario se autentifica a un realm especifico y este puede obtener credenciales de otros realms aparte del local siempre que se autentifique con el sistema local. Por ello tanto el sistema local como el remoto deben ponerse de acuerdo para brindar las credenciales necesarias en el sistema remoto.

CONFIGURACION DE KERBEROS RED HAT LINUX

  CONFIGURACION DE UN SERVIDOR KERBEROS 5

Instalar Servidor

Checar que existe una sincronización de reloj y DNS funcionando en el Servidor antes de instalar Kerberos 5.

Instale los paquetes krb5-libs, krb5-server y krb5-workstation en el ordenador que ejecutará su KDC.

Modifique los ficheros de configuración /etc/krb5.conf y /var/kerberos/krb5kdc/kdc.conf para reflejar su nombre de entorno y sus mapas de entorno a dominio.

Cree la base de datos usando la utilidad kdb5_util desde el intérprete de comandos de la shell:

/usr/kerberos/sbin/kdb5_util create –s

APLICACIONES DE AUTENTIFICACION

El comando create crea la base de datos que será usada para guardar las claves de su entornos Kerberos. La opción -s fuerza la creación de un fichero stash en el que se guarda la clave del servidor maestro.

Modifique el fichero /var/kerberos/krb5kdc/kadm5.acl. kadmind usa este fichero para determinar qué principals tienen acceso a la base de datos Kerberos y su nivel de acceso. La mayoría de las organizaciones podrán estar en una sola línea:

*/admin@EXAMPLE.COM  *

La mayoría de usuarios están representados en la base de datos por un sólo principal (con un NULL, o vacío, instance, como joe@EXAMPLE.COM).

Una vez que kadmind esté iniciado en un servidor, algunos usuarios podrán acceder a sus servicios ejecutando kadmin o gkadmin en cualquiera de los clientes o servidores en el entorno.

CONFIGURACION DE UN SERVIDOR

Teclee el siguiente comando kadmin.local en el terminal KDC para crear el primer principal: Inicie

/usr/kerberos/sbin/kadmin.local -q "addprinc username/admin“

Kerberos utilizando los siguientes comandos:

/sbin/service krb5kdc start

/sbin/service kadmin start

/sbin/service krb524 start

Añada principals para sus usuarios utilizando el comando addprinc con kadmin o usando la opción del menú Principal => Añadir en gkadmin. kadmin (y kadmin.local en el maestro KCD) es una interfaz de línea de comandos para el sistema de administración de Kerberos.

Verifique que su servidor emite los tickets. En primer lugar, ejecute kinit para obtener un ticket y guardarlo en un fichero de caché credencial. A continuación use klist para ver la lista de credenciales en su caché y use kdestroy para destruir el caché y los credenciales que contiene.

CONFIGURACION DE UN CLIENTE

Necesitará instalar los paquetes de Clientes y proveer a sus Clientes con un fichero de configuración válido krb5.conf. Las versiones Kerberizadas de rsh y rlogin también requieren algunos cambios en la configuración.

Asegúrese de que la sincronización del tiempo se encuentra entre el cliente de Kerberos y KDC. DNS debería funcionar correctamente en el cliente Kerberos antes de instalar los porgramas de cliente Kerberos.

Instale los paquetes krb5-libs y krb5-workstation en todos los clientes de su entorno. Deberá proporcionar su versión de /etc/krb5.conf para sus estaciones de trabajo de clientes; normalmente esto puede ser el mismo krb5.conf usado por el KDC.

CONFIGURACION DE UN CLIENTE

Antes de que una estación de trabajo de su entorno en particular pueda permitir a los usuarios conectar rsh y rlogin, la estación de trabajo necesitará tener instalado el paquete xinetd y tener su propio host principal en la base de datos Kerberos. Los programas de servidor kshd y klogind también necesitan las claves para el principal de sus servicios.

Es necesario iniciar otros servicios de red kerberizados. Para usar telnet kerberizado, debe habilitar krb5-telnet. Use los programas ntsysv o chkconfig para configurar el servicio krb5-telnet para iniciar su sistema.

Para proporcionar acceso FTP, cree y extraiga una clave para un principal con un root de ftp y el instance fijado para el nombre del host del servidor FTP. Use ntsysv o chkconfig para habilitar gssftp.

CONCLUSION

Si se decide usar Kerberos en la red, se debe tener en cuenta de que es una elección de todo o nada. Si alguno de los servicios que transmite las contraseñas de texto sin retocar permanece en uso, las contraseñas pueden todavía estar comprometidas y su red no se beneficiará del uso de Kerberos. Para asegurar su red con Kerberos, se debe kerberizar (hacer trabajar con Kerberos) todas las aplicaciones que mandan las contraseñas en texto sin retocar o para el uso de estas aplicaciones en la red.

Además, a diferencia de los sistemas de autenticación basados en clave pública, Kerberos no produce firmas digitales. Realmente está diseñado para autenticar peticiones de servicio de un determinado recurso en red, más que para autenticar la autoría de mensajes. 

Así pues, se considera que Kerberos es un sistema adecuado dentro de dominios administrativos, ya que entre distintos dominios son más fiables los sistemas de seguridad basados en criptografía de clave pública.

APLICACIONES DE AUTENTIFICACION

APLICACIONES DE AUTENTIFICACION

B I B L I O G R A F I A

http://www.cmf.nrl.navy.mil/CCS/people/kenh/kerberos-faq.html#kerb5api

web.mit.edu/kerberos/www/dialogue.html

http://www.ietf.org/rfc/rfc1510.txt(Network Working Group)

http://www.isi.edu/gost/publications/kerberos-neuman-tso.html(usc)

http://ditec.um.es/laso/docs/tut-tcpip/3376c413.html

Amparo Fúster Sabater, Dolores de la Guía Martinez. Técnicas Criptográficas de Protección de Datos. 2ª Edición, Ed. Alfa Omega

http://penta.ufrgs.br/gereseg/unlp/t10home.htm

http://msdn.microsoft.com/msdnmag/issues/03/04/SecurityBriefs/

http://webmail.uniboyaca.edu.co/facingenieria/kerberos.pdf