Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Kerberos
Kerberos
Autentificacin Kerberos
Tabla de Contenidos
5. Accesos autentificacin. Kerberos..................................................................................................................... 2
Supuestos.................................................................................................................................. 3
Nombres.................................................................................................................................... 3
Proceso de autentificacin en Kerberos.............................................................................................. 4
Resumamos los puntos centrales de este esquema: ............................................................................... 8
Administracin de la base de datos de Kerberos ................................................................................... 8
Modelo de autorizacin de Kerberos .................................................................................................. 9
Mejoras de la versin 5 de Kerberos................................................................................................... 9
Segn el Gran Diccionario del Diablo("Enlarged Devil's Dictionary(Ambrose Bierce)"), Cerbero es "el perro guardin
del Hades, cuyo deber era guardar la entrada del infierno; se sabe que Cerbero tena tres cabezas".
El sistema de autentificacin y autorizacin Kerberos es un sistema de seguridad basado en la encriptacin que
proporcionar autentificacin mutua entre usuarios y servidores en un entorno de red. Las metas asumidas por este
sistema son:
Autentificacin para evitar solicitudes/respuestas fraudulentas entre servidores y usuarios que deben tener
ndole confidencial y en grupos de al menos un usuario y un servicio.
Cada
servicio
que
desee
proporcionar
su
propio
sistema
de
autorizacin
puede
implementarlo
El entorno que lo usar incluir: estaciones de trabajo pblicas y privadas que estarn localizadas en reas
con seguridad fsica mnima; una red universitaria sin encriptacin de los enlaces que puede estar compuesta
de redes locales dispersas conectadas por troncales o pasarelas; servidores operados de modo centralizado en
habitaciones cerradas con seguridad fsica moderada o alta.
Los datos confidenciales o las operaciones de alto riesgo tales como transacciones bancarias no pueden
formar parte de este entorno sin seguridad adicional, ya que una vez que tienes una estacin de trabajo
como terminal puedes emular ciertas condiciones y los datos normales fluirn sin ningn tipo de proteccin
por encriptacin.
Uno de los sistemas de encriptacin utilizados es el DES("Data Encryption Standard"), que est disponible en
el mercado de U.S pero no puede ser exportado sin una licencia oficial de exportacin, por lo que los
diseadores de Kerberos lo han desarrollado para que sea modular y admita recambios o sustituciones.
Kerberos asume la existencia de un reloj dbilmente sincronizado en todo el sistema as que la estacin de
trabajo dispone de una herramienta de sincronizacin como la que le suministre el servidor de sincronizacin
("Time server").
Nombres
Un Identificador Principal es el nombre que define un cliente o un servicio en el sistema Kerberos.
En la versin 4, el identificador consta de tres componentes:
El nombre principal es nico para cada cliente y servicio asignado por el Manager o Administrados de
Kerberos.
El nombre de instancia, usado para la autentificacin es una etiqueta aadida para clientes y servicios que
existe bajo diversas formas. Para usuarios, un instancia puede proporcionar diferentes instancias para
mquinas diferentes. Para servicios, una instancia suele especificar el nombre del host en la mquina que
proporciona el servicio.
El nombre de reino, usado para permitir sitios administrados independientemente con Kerberos. El nombre
principal y el de instancia son calificados por el del reino al que pertenecen, y son nicos slo dentro de ese
reino. El reino es habitualmente el nombre del dominio.
En la versin 4, cada uno de estos componentes tiene un lmite de longitud de 39 caracteres. Debido a convenios,
(.) no es un carcter aceptado.
En la versin 5, el identificador consta slo de dos partes, el reino y el resto, que es una secuencia de cuantos
componentes sean necesarios para determinar al principal. Tanto el reino como cada componente del resto se definen
como Ristras Genricas("GeneralStrings") de ASN.1("Abstract Syntax Notation One", estndar ISO 8824), lo que supone
pocas restricciones para los caracteres disponibles para los identificadores principales.
Proceso de autentificacin en Kerberos
En el sistema Kerberos, el cliente que desea contactar con un servidor para que le d un servicio, debe pedir
primero un ticket de una tercera parte de mutua confianza, el KAS("Kerberos Authentication Server"). Este ticket se
obtiene como una funcin en la que uno de los componentes es una llave privada conocida slo por el servicio y el
KAS, de modo que el servicio puede estar seguro de que el ticket procede slo de Kerberos. El KAS conoce al cliente
por su nombre principal(c). La llave privada(K(c)) es la llave de autentificacin conocida slo por el usuario y el KAS.
En este captulo, el smbolo {X,Y} indica un aje que contiene informacin o datos X e Y. {X,Y}K(z) indica que un
mensaje que contiene los datos X e Y ha sido cifrado usando la llave k(z).
El servidor de autentificacin busca el nombre del cliente(c) y el nombre del servicio(TGS, el servidor de tickets)
en la base de datos de Kerberos, y obtiene una llave de encriptacin para cada uno de ellos K(c) y K(TGS).
El KAS crea a continuacin una respuesta para envirsela al cliente. Esta respuesta contiene un ticket inicial T(c,
TGS) que garantiza al cliente acceso al servidor solicitado(el TGS). T(c, TGS) contiene k(c.TGS), c, TGS, el "nonce", el
tiempo de vida y otra informacin. El KAS tambin genera una llave aleatoria de encriptacin K(c, TGS), llamada llave
de sesin. Luego encripta este ticket usando la llave de encriptacin del TGS(K(TGS)). Este procedimiento es lo que se
denomina un ticket sellado {T( c,tgs)}K( tgs). Inmediatamente se crea un mensaje consistente en el ticket sellado y la
llave de sesin de TGS K(c, TGS).
Nota: En la versin 4 de Kerberos, el mensaje es:
{K(c,tgs),n,{T(c,tgs)}K(tgs)}K(c)
, mientras que en la 5 el mensaje tiene una forma ms simple:
{K(c,tgs), n}K(c), {T(c,tgs)}K(tgs)
Esto simplifica la doble encriptacin(innecesaria) del ticket.
reciente. Esto requiere que todos los clientes y servidores matengan sus relojes dentro de cierto margen prescrito de
tolerancia. Ahora el TGS busca el nombre del servidor que aparece en el mensaje en la base de datos de Kerberos, y
obtiene la lave de encriptacin(K(s)) para el servicio especificado.
El TGS crea una nueva llave aleatoria de sesin K(c,s) para el cliente(c) y el servidor, para generar a continuacin
un nuevo ticket. T(c,s) que contiene:
K(c,s), n, "nonce", tiempo de vida
Luego ensambla un mensaje y lo enva al cliente.
Nota: En la versin 4 de Kerberos Version, el mensaje es:
{K(c,s),n,{T(c,s)}K(s)}K(c,tgs)
En la versin 5 el mensaje tiene una forma ms simple:
{K(c,s),n}K(c,tgs), {T(c,s)}K(s)
Esto simplifica la doble encriptacin(innecesaria) del ticket.
Identificador principal(c,s)
Atributos(no usado)
El campo de llave privada se cifra con una llave maestra de forma que la eliminacin de la base de datos no
causar ningn problema puesto que la llave maestra no est en ella.
La entidad responsable de gestionar la base de datos es el KDBM("Kerberos Database Manager"). Slo hay un KDBM
en un reino, pero es posible tener ms de un KKDS("Kerberos Key Distribution Server"), cada uno con una copia de la
base de datos de Kerberos. Esto se hace para mejorar la disponibilidad y el rendimiento de modo que el usuario pueda
elegir de entre un grupo de KKDSs a cul enviar su peticin. El KKDS efecta slo operaciones de lectura, dejando la
actualizacin al KDBM, que copia toda la base de datos unas cuantas veces al da. As se simplifica la operacin al usar
un protocolo protegido de Kerberos. Este protocolo es bsicamente una autentificacin mutua entre el KDBM Y EL
KDDS seguida de una operacin de transferencia de dicheros con campos de checksum y checkpoint.
Modelo de autorizacin de Kerberos
El modelo de autentificacin de Kerberos slo permite al servicio verificar la identidad del solicitante pero no da
informacin de si ste puede usar o no el servicio. El lema de autorizacin de Kerberos se basa en el principio de que
cada servicio conoce al usuario de modo que puede mantener su propia informacin de autorizacin. Sin embargo, el
sistema de autentificacin de Kerberos se podra extender con informacin y algoritmos que serviran para propsitos
de autorizacin. (Esto es ms fcil en la versin 5. Ver la siguiente seccin). El Kerberos podra chequear entonces si
un usuuario/cliente est autorizado a usar cierto servicio.
Obviamente, tanto la aplicacin del cliente como la del servidor deben ser capaces de manejar el proceso de
autentificacin de Kerberos. Es decir, cliente y servidor deben estar kerberizados.
Mejoras de la versin 5 de Kerberos
La versin 5 de Kerberos tiene una serie de mejoras sobre la versin 4. Algunas de las importantes son:
El uso de la encriptacin se ha separado en distintos mdulos de programa que permiten soporta mltiples
sistemas de encriptado.
Las direcciones de red que aparecen en mensajes de protocolo se marcan con campos de longitud y tipo. Esto
permite la compatibilidad con mltiples protocolos de red.
La codificacin de mensajes se describe con la sintaxis ASN.1("Abstract Syntax Notation 1") de acuerdo con los
estndares ISO 8824 y 8825.
El ticket en la versin 5 de Kerberos tiene un formato expandido para soportar nuevas caractersticas(por
ejemplo, la cooperacin entre reinos).
Como se menciona en Nombres, el identificador principal ha cambiado.
Se ha mejorado el soporte a operaciones entre reinos.
La informacin de autorizacin y contabilidad ya se puede encriptar y transmitir en un ticket con el campo de
autorizacin de datos. Esto facilita la extensin del esquema de autentificacin para que incluya tambin un esquema
de autorizacin.
La implementacin e la versin 5 de Kerberos proporcionar una liga con el GSSAPI("Generic Security Service API").