Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Jhon Criollo
EJE 1
Conceptualicemos
Fuente: GettyImages/963458556
Introducción . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
Intercambio AS: . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
Intercambio TGS: . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
Conclusiones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18
Bibliografía . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
ÍNDICE
Introducción
• El almacenamiento de estas.
• El aseguramiento de la integridad de las claves.
• La revocación de una llave cuando el empleado ha dejado
la empresa.
• La actualización de las claves cuando alguna ha sido
comprometida.
Figura 2. Protocolos
Fuente: Gettyimages/483855823
David
Lee el mensaje de Bob
para Alice
Bob Alice
Internet
Figura 4. Ataque pasivo a redes de datos en comunicaciones basadas sobre la internet
Fuente: propia
Este tipo de intrusiones no es un caso aislado, durante el año 2018 más precisamente
en septiembre, el gigante Facebook sufrió el hackeo de sus servidores y como resultado
fueron dejadas más de 50 millones de cuentas expuestas. Las consecuencias derivaron
en la idea de crear un propio grupo de defensa informática al interior del gigante de las
redes sociales.
Visitar página
Amplié un poco más esta noticia en el siguiente enlace:
https://www.elmundo.es/
Para que este esquema sea seguro sería necesario mantener una distancia con usua-
rios no autorizados y además todos los usuarios que deseen acceder al servidor deberían
ser de “confianza” y plenamente conocidos. Aun así, no se podría garantizar que la red
sea segura una vez que tal información sale a internet por ejemplo comprometiendo la
integridad de la información transmitida.
Las tres cabezas son necesarias para la operación de Kerberos y comprende su centro
de distribución de claves o KDC; el núcleo KDC de kerberos está conformado por el ser-
vidor de autenticación o Authentication Server y el Servidor de Generación de Ticket´s o
Ticket Granting Server.
2. A partir de la clave maestra “Ka” se genera una clave de sesión denomina Clave
de sesión o “Kab” y se calcula con el uso de un algoritmo simétrico como AES, al
contrario de la clave maestra generada en el registro la clave de sesión es diná-
mica y secreta. Esta clave se genera a partir de la comunicación con el centro de
distribución de claves (KDC) de Kerberos; en la figura mostrada la entidad A co-
rresponde al usuario, en el escenario mostrado A solicita al KDC la generación de
una clave de sesión mediante la solicitud “Ka” y el KDC responde generando una
clave común maestra “Kb”, por lo que la clave de sesión se define como “Kab”. Por
su parte la entidad B representa al servidor de autenticación (AS) de kerberos. Las
claves de inicio de sesión tienen un tiempo de vida determinado y al expirar esta se
debe solicitar una nueva clave al KDC para su distribución. Esta clave se incorpora
en el intercambio AS que explicaremos más adelante, como resultado se obtendrá
un TGT (o Ticket Granting Ticket) denominado ticket de acceso.
3. Una vez se obtiene la clave se sesión incluida en el TGT, se puede solicitar una
clave de servicio entre el usuario y el servidor al que se desea lograr acceso, en
el diagrama mostrado el servidor corresponde a la entidad C, con esta clave el
Instrucción
Para complementar el tema le invitamos a realizar desde
la página principal del eje las siguientes actividades:
Lectura complementaria:
Network security essentials, (Cap. 4, pp. 94-111)
William Stallings
Control de lectura
1. Intercambio AS (círculos 1 y 2)
2. Intercambio TGS (círculos 3 y 4)
3. Intercambio Cliente /Servidor (solicitud mostrada en el círculo 5)
Intercambio AS:
1
Kerberos. (2019). Retrieved from https://web.mit.edu/rhel-doc/4/RH-DOCS/rhel-rg-es-4/ch-kerberos.html
Si el KDC aprueba la solicitud del cliente por medio de un TGT (denominado respuesta
AS), ésta incluye dos secciones:
Intercambio TGS:
En comparación con los pasos anteriores en que al TGT generado el paso 1 (Intercambio
AS) se agrega información del servicio en el paso 2 (Intercambio TGS), el ticket de servicio
generado el paso 2 (Intercambio TGS) no presenta adiciones y se entrega con los mismos
parámetros al servidor de destino en este último paso.
Figura 7. Seguridad
Fuente: Gettyimages/669282050
Por su parte Kerberos v4 es la versión más amplia usada, no se pretende afirmar que
la misma no es completamente segura, realmente se conoce como una versión comple-
tamente funcional y operativa en su KDC; sin embargo tras varias validaciones no logra
cumplir las necesidades de propósito general de las incidencias de Cloud Computing por
ejemplo y presenta algunas fallas menores de entorno y deficiencias técnica mayores
respecto a la versión más reciente.
En todo caso ambas versiones son mecanismos de autenticación muy robustos y segu-
ros para la validación de usuarios y servicios en redes de datos de carácter distribuido
que es en sí el modelo de operación actual de los sistemas de información de última
generación. Los usuarios actuales no consumen servicios, recursos o aplicaciones de forma
local, por lo que la protección del mismo equipo cliente es insuficiente, igualmente los
servicios de tiempo compartido en que el servidor provee el nivel de seguridad mediante
políticas de control de alto nivel pueden generar sobrecarga del lado servidor y presentar
latencias y demoras en los tiempos de respuesta. Ambas situaciones no resultan prácticas
hoy en día.
Instrucción
Para ampliar este apartado ingrese a la página
principal del eje y revise el recurso de aprendizaje:
memonota.
Instrucción
Ingrese a la página principal del eje y revise el
recurso de aprendizaje: animación.
1. El sistema del cliente envía una solicitud del sistema para acceder al servidor y so-
licitar al servicio de autenticación que cree un ticket con la información del cliente
junto con la información de la sesión al servidor. La información es verificada tanto
por Kerberos como por el cliente utilizando la contraseña del cliente.
2. Kerberos envía el ticket cifrado al servidor con una contraseña que solo conoce el
servidor y Kerberos.
Instrucción
Para finalizar el eje le invitamos desde la página
principal a revisar las siguientes actividades:
• Nube de palabras
• Pareo