Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Kerberos es un protocolo de autenticación de red que utiliza tickets para permitir que las
entidades
demuestren su identidad
por canales potencialmente inseguros para proporcionar autenticación mutua.
También usa encriptación simétrica
para proteger contra la intercepción de los mensajes del protocolo y de los ataques por
repetición.
El nombre Kerberos está tomado del mítico personaje griego del mismo nombre,
un perro guardián de tres cabezas que protege las puertas del Hades, el inframundo.
Parece una opción apropiada para un protocolo de autenticación, ¿no crees?
Kerberos fue desarrollado originalmente en el Instituto de Tecnología de Massachusetts
(MIT), en los EE. UU.
y se publicó en la década de 1980 como versión 4.
Años después, en 1993,
se publicó la versión 5.
Hoy Kerberos admite cifrado AES
y además implementa sumas de comprobación para garantizar la integridad y
confidencialidad de los datos.
Cuando se une a un dominio de Windows,
Windows 2000 y las versiones más nuevas usarán Kerberos como protocolo de
autenticación predeterminado.
Microsoft también implementó su propio servicio Kerberos
con algunas modificaciones al protocolo abierto, como la incorporación del cifrado de
flujo RC 4.
Anteriormente mencionamos los tickets, que son una especie de token que demuestran
tu identidad.
Se pueden usar para autenticar ante servicios protegidos por medio de Kerberos
o, en otras palabras, dentro del ámbito de Kerberos.
Los tickets de autenticación permiten a los usuarios autenticarse en servicios
sin necesidad de autenticación por nombre de usuario/contraseña para cada servicio
individual.
Un ticket expirará después de cierto tiempo,
pero tiene disposiciones para su renovación automática transparente.
Analicemos los detalles de cómo funciona el protocolo Kerberos.
Primero, un usuario que quiera autenticarse
ingresa su nombre de usuario y contraseña en su máquina cliente.
Su software de cliente Kerberos,
entonces, tomará la contraseña y generará una clave de encriptación simétrica a partir de
ella.
A continuación, el cliente envía un mensaje de texto sin formato al AS,
o servidor de autenticación, de Kerberos, que incluye el ID del usuario que se autentica.
La contraseña o la clave secreta derivada de la contraseña no se transmiten.
El AS usa el ID de usuario para verificar si hay una cuenta en la base de datos de
autenticación,
como un servidor de Active Directory.
Si es así, el AS generará la clave secreta
usando el hash de la contraseña almacenado en el servidor del centro de distribución de
claves.
El AS usará la clave secreta para cifrar y enviar
un mensaje que contiene la clave de sesión TGS del cliente.
Este es un uso de clave secreta
para encriptar las comunicaciones con el servicio de otorgamiento de tickets, o TGS,
que ya es conocido por el servidor de autenticación.
El AS también envía un segundo mensaje con un ticket de otorgamiento de tickets, o
TGT,
que se encripta usando la clave secreta del TGS.
El TGT tiene información como la identificación del cliente,
el período de validez del ticket, y la clave de sesión de servicio de otorgamiento y
aceptación de tickets.
El primer mensaje puede desencriptarse
con la clave secreta compartida obtenida a partir de la contraseña del usuario.
Luego proporciona la clave secreta que puede desencriptar
el segundo mensaje, lo que le otorga al cliente un TGT válido.
Ahora, el cliente tiene suficiente información para autenticarse con el servidor de
otorgamiento de tickets.
Dado que el cliente se autenticó y recibió un TGT válido,
puede usar este TGT
para solicitar acceso a servicios desde adentro del ámbito de Kerberos.
Esto se hace enviando un mensaje
al servicio de otorgamiento de tickets con el TGT encriptado
que se recibió del AS anteriormente,
junto con el nombre o la ID del servicio a la que el cliente solicita acceso.
El cliente también envía un mensaje que contiene un autenticador que incluye la ID de
cliente
y una marca de tiempo que está encriptada
con la clave de sesión de TGT del AS.
El servicio de otorgamiento de tickets desencripta
el TGT usando su propia clave secreta,
que le proporciona al servicio de otorgamiento de tickets
la clave de sesión del servicio de otorgamiento de tickets del cliente.
A continuación, usa la clave para desencriptar el mensaje del autenticador.
Luego, comprueba la ID de cliente de estos dos mensajes para asegurarse de que
coincidan.
Si lo hacen, envía dos mensajes al cliente.
El primero contiene el ticket del cliente al servidor, que contiene la ID de cliente,
la dirección del cliente, el período de validez,
y la clave de sesión cliente-servidor encriptada por medio de la clave secreta del
servicio.
El segundo mensaje contiene la clave de sesión cliente-servidor en sí
y se encripta usando la clave de sesión del servicio de otorgamiento de tickets del
cliente.
Finalmente, el cliente tiene suficiente información
para autenticarse en el servidor de servicio, o SS.
El cliente envía dos mensajes al SS.
El primer mensaje es el ticket encriptado del cliente al servidor
que se recibió desde el servicio de otorgamiento de tickets.
El segundo es un nuevo autenticador con la ID del cliente
y la marca de tiempo encriptada por medio de la clave de sesión cliente-servidor.
El SS desencripta el primer mensaje
usando su clave secreta, lo que le proporciona la clave de sesión cliente-servidor.
La clave luego se utiliza para desencriptar el segundo mensaje,
y este compara la ID de cliente
en el autenticador con la que está incluida en ticket del cliente al servidor.
Si estas ID coinciden,
entonces el SS envía un mensaje que contiene la marca de tiempo del autenticador
suministrado por el cliente, encriptada por medio de la clave de sesión cliente-servidor.
El cliente, a continuación, desencripta este mensaje
y verifica que la marca de tiempo sea correcta y autentica el servidor.
Si todo esto sucede correctamente, entonces el servidor
otorga acceso al servicio solicitado del lado del cliente.
¡Guau, está bien! ¿Pudiste seguirme?
Sé que eso fue mucho.
Kerberos ha recibido algunas críticas porque es un servicio monolítico único.
Esto crea un peligro de punto único de falla.
Si el servicio Kerberos se cae,
los nuevos usuarios no podrán autenticarse ni iniciar sesión.
Aparte de los problemas de disponibilidad,
si el servidor central de Kerberos se ve en riesgo,
el atacante podría hacerse pasar por cualquier usuario
mediante la generación de tickets Kerberos válidos para su cuenta de usuario.
Kerberos impone estrictos requisitos de tiempo
que requieren que los relojes del cliente y el servidor tengan una sincronización muy
ajustada,
de lo contrario, la autenticación fallará.
Esto se logra, en general, mediante el uso de NTP
para mantener ambas partes sincronizadas usando un servidor NTP.
El modelo de confianza de Kerberos también es problemático,
ya que requiere que clientes y servicios
tengan una confianza establecida en el servidor Kerberos para autenticarse usando
Kerberos.
Esto significa que no es posible que los usuarios se autentiquen
con Kerberos a partir de clientes desconocidos o no confiables.
por lo tanto, cosas como BYOD o "Traiga su propio dispositivo"
y la computación en la nube son incompatibles,
o, al menos, muy difícil de implementar de forma segura con la autenticación Kerberos.
Ahora bien, como especialista en soporte de TI,
tal vez te topes con la autenticación Kerberos,
en especial en entornos que ejecutan Microsoft Active Directory.
Entender cómo funciona el protocolo subyacente
te ayudará a solucionar problemas que puedan venir con él.
TACACS+, se pronuncia "TACACS plus",
significa "sistema de control de acceso del controlador de acceso a terminales - Plus".
Es un protocolo AAA desarrollado por Cisco que se lanzó como estándar abierto en
1993.
Reemplazó el antiguo protocolo TACACS desarrollado en 1984 para MILNET,
la red no clasificada para DARPA
que más tarde se convirtió en NIPRNet.
TACACS+ también tomó el lugar de XTACACS,
o TACACS extendido, que era una extensión de TACACS patentada por Cisco.
TACACS+ se usa principalmente para administración, autenticación,
autorización y auditoría de dispositivos, a diferencia de RADIUS,
que se usa principalmente para acceso a la red AAA.
Es importante destacar estas diferencias
en las características de lo que brindan estos servicios,
aunque las diferencias se relacionan principalmente con las partes
de autorización y auditoría más que con la autenticación.
Si bien es posible que no te encuentres
con una implementación de TACACS+ en el curso de tu carrera de soporte,
es algo de lo que debes estar al tanto.
TACACS+ se usa principalmente como sistema de autenticación para dispositivos de
infraestructura de red,
los que tienden a ser objetivos de alto valor para los atacantes.
Esto puede ser un argumento a favor de su implementación a medida que tu
organización crezca.
El inicio de sesión único, o SSO, es un concepto de autenticación
que permite que los usuarios se autentiquen una sola vez
para obtener acceso a una gran cantidad de servicios y aplicaciones diferentes.
Como no es necesario volver a autenticarse para cada servicio,
los usuarios no necesitan muchos conjuntos de nombres de usuario y contraseña
para una combinación de aplicaciones y servicios.
SSO se realiza mediante autenticación ante un servidor de autenticación central,
como un servidor LDAP.
Esto, a su vez, proporciona una cookie o token
que se puede usar para obtener acceso a las aplicaciones configuradas para usar SSO.
Kerberos es en realidad un buen ejemplo de un servicio de autenticación SSO.
El usuario se autenticaría ante el servicio Kerberos una vez,
lo que luego le concedería un ticket de otorgamiento de ticket
que se puede presentar ante el sistema de otorgamiento de tickets
en lugar de las credenciales tradicionales.
Así, el usuario puede ingresar las credenciales una vez y obtener acceso a una variedad
de servicios.
SSO es realmente conveniente.
Permite a los usuarios tener un conjunto de credenciales que otorgan acceso a muchos
servicios,
lo que hace menos probable que las contraseñas se escriban o almacenen de forma poco
segura.
Esto también debería reducir la sobrecarga
sobre el servicio de asistencia para contraseñas
y elimina el tiempo dedicado a volver a autenticarse a lo largo de la jornada laboral.
Entonces, ¿cuál es el inconveniente?
Bueno, un atacante que logra poner en riesgo una cuenta
tiene mucho más nivel de acceso en un esquema de SSO.
Las credenciales de usuario otorgarán acceso a todas las aplicaciones
y servicios a los que se les permite acceder a esa cuenta.
Por lo tanto, tenemos un gran motivo para usar
la autenticación multifactor junto con un esquema SSO.
Pero esto abre un nuevo canal de ataque:
el robo de cookies o tokens de sesión de SSO.
En lugar de apuntar a las credenciales directamente,
los atacantes pueden intentar robar los tokens de SSO,
lo que permitirá un amplio acceso, aunque sea por un corto tiempo.
El robo de estos tokens también permite que un atacante esquive las protecciones de
autenticación multifactor,
ya que el token de sesión permite el acceso
sin necesidad de autenticación completa hasta caducar.
Un ejemplo de un sistema SSO es OpenID,
un sistema de autenticación descentralizado.
Es un estándar abierto que permite a los sitios participantes, conocidos como usuarios
de confianza,
dar lugar a la autenticación de usuarios mediante un servicio de autenticación externo.
Esto permite que los sitios autoricen la autenticación
sin necesidad de que el propio sitio tenga infraestructura de autenticación,
la que puede ser difícil de implementar y mantener.
También permite a los usuarios acceder al sitio sin tener que crear una nueva cuenta,
lo que simplifica la gestión de acceso en una amplia variedad de sitios.
En su lugar, un usuario solo necesita tener una cuenta con un proveedor de identidad.
Para solicitar autenticación,
primero, un usuario de confianza busca al proveedor de OpenID,
luego establece un secreto compartido con el proveedor si no existe uno.
El secreto compartido se usará para validar los mensajes del proveedor de OpenID.
Luego, el usuario será redirigido o se le pedirá
que autentique en una nueva ventana a través del flujo de acceso del proveedor de
identidades.
Una vez autenticado, al usuario se le pedirá que confirme
si confía o no en el usuario de confianza.
Tras su confirmación, las credenciales se transmiten al usuario de confianza,
por lo general en la forma de un token,
no de credenciales de usuario reales,
lo que indica que el usuario ahora está autenticado ante el servicio.
Ahora es momento de un cuestionario de práctica de autenticación.
Autenticación
Puntos totales 13
1.
Pregunta 1
1 / 1 punto
Correcto
¡Exacto! Autenticación es demostrar que una entidad es quien dice ser, mientras que
autorización es determinar si a esa entidad se le permite o no acceder a los recursos.
2.
Pregunta 2
¿Cuáles son algunas características de una contraseña segura? Marca todas las que
correspondan.
0.75 / 1 punto
Correcto
¡Así es! Una contraseña segura debe contener una mezcla de tipos de caracteres y
minúsculas/mayúsculas; además debe ser relativamente larga, al menos de ocho
caracteres, pero de preferencia más.
Correcto
¡Así es! Una contraseña segura debe contener una mezcla de tipos de caracteres y
minúsculas/mayúsculas; además debe ser relativamente larga, al menos de ocho
caracteres, pero de preferencia más.
3.
Pregunta 3
0 / 1 punto
algo que tú sabes
Incorrecto
4.
Pregunta 4
¿Cuáles son algunos inconvenientes del uso de datos biométricos para la autenticación?
Marca todos los que correspondan.
0.5 / 1 punto
Correcto
¡Eso mismo! Si una característica biométrica, como tus huellas dactilares, se pone en
riesgo, tu opción para cambiar tu "contraseña" es usar un dedo diferente. Esto hace que
los cambios de "contraseña" sean limitados. Otros elementos biométricos, como los
escaneos de iris, no se pueden cambiar si están en riesgo. Si el material de autenticación
biométrica no se maneja de forma segura, después la información de identificación del
individuo puede filtrarse o alguien puede robarla.
5.
Pregunta 5
¿De qué manera son los tokens U2F más seguros que los generadores de OTP?
1 / 1 punto
No pueden clonarse.
Correcto
¡Buen trabajo! Con generadores de contraseña por única vez, la contraseña por única
vez, junto con el nombre de usuario y la contraseña pueden robarse a través del
phishing. Por otro lado, no se puede robar la autenticación U2F mediante phishing, dado
el diseño de criptografía de clave pública del protocolo de autenticación.
6.
Pregunta 6
¿Qué elementos de un certificado se inspeccionan cuando se verifica dicho certificado?
Marca todos los que correspondan.
1 / 1 punto
Correcto
¡Sí! Para comprobar un certificado, hay que revisar el periodo de validez junto con la
firma de la autoridad certificadora firmante, para garantizar que sea uno de confianza.
Correcto
¡Sí! Para comprobar un certificado, hay que revisar el periodo de validez junto con la
firma de la autoridad certificadora firmante, para garantizar que sea uno de confianza.
Correcto
¡Sí! Para comprobar un certificado, hay que revisar el periodo de validez junto con la
firma de la autoridad certificadora firmante, para garantizar que sea uno de confianza.
7.
Pregunta 7
1 / 1 punto
Caramelo-frambuesa-limón
Oyente recursivo certificado
Correcto
Buen trabajo. CRL significa "lista de revocación de certificados". Es una lista publicada
por una CA, que contiene los certificados emitidos por la CA que están explícitamente
revocados o invalidados.
8.
Pregunta 8
¿Cuáles son los nombres de entidades similares en las que un servidor de directorio
organiza las entidades
1 / 1 punto
Unidades organizativas
Clústeres (agrupaciones)
Árboles
Grupos
Correcto
¡Increíble! Los servidores de directorio tienen unidades organizativas (OU) que se usan
para agrupar entidades similares.
9.
Pregunta 9
Verdadero o falso: el servidor de acceso a la red maneja la autenticación real en un
esquema RADIUS.
1 / 1 punto
Verdadero
Falso
Correcto
10.
Pregunta 10
1 / 1 punto
Verdadero
Falso
Correcto
11.
Pregunta 11
1 / 1 punto
Un certificado digital
Correcto
12.
Pregunta 12
¿Qué ventajas ofrece el inicio de sesión único? Marca todas las que correspondan.
1 / 1 punto
Correcto
Correcto
13.
Pregunta 13
1 / 1 punto
Firmas digitales
Delegación de autenticación
Firma de certificado
Correcto
[MÚSICA]
Cuando yo era niño, mis padres terminaron teniendo,
creo que era una Commodore 64, y me encantaba jugar videojuegos ahí.
Luego compraron un NES, un sistema de entretenimiento de Nintendo,
y terminé jugando muchísimo.
Cuando crecí un poco, tuvimos otra computadora y empecé a jugar
un juego llamado Morrowind, pero mi computadora no podía manejarlo muy bien en
verdad.
Y por eso es que terminé interesándome por las computadoras.
Tenía esta necesidad de jugar videojuegos y esa necesidad requería
que aprendiera a reparar la computadora y a hacerle cosas.
Seguí adelante por ese camino.
Comencé a jugar muchas cosas relacionadas con la seguridad al final de la secundaria
y al comienzo de la universidad, como Syberia.
Podías hacer algo llamado "r-poisoning", podías hacerte pasar
por el router de un sistema y entonces todo el mundo configuraría
un paquete para ti y podrías ver lo que estaba sucediendo en la red.
Nadie se preocupaba mucho por la seguridad en ese momento, era verdaderamente
abierta y libre,
y muchas cosas malas podían ocurrir.
Sentí que esto tenía que cambiar.
Con ese estado del mundo, necesitas gente para poder solucionarlo,
y sentí que era una buena manera de ayudar al mundo, básicamente.
Si estoy ahí, reparando estos agujeros y haciendo el mundo un poco mejor,
entonces, sentí que estaría un poco más satisfecho, tal vez me haría sentir bien, supongo.
[MÚSICA]
Autorización y contabilidad
Puntos totales 3
1.
Pregunta 1
1 / 1 punto
Correcto
¡Increíble! La autorización tiene que ver con el hecho de si un usuario o cuenta tiene
permitido o no acceder a cierto recurso.
2.
Pregunta 2
1 / 1 punto
Confidencialidad
Integridad
Delegación de acceso
Comunicaciones seguras
Correcto
3.
Pregunta 3
1 / 1 punto
No se relacionan.
Son exactamente lo mismo.
Auditoría es revisar los registros, mientras que inspección es registrar el acceso y el uso.
Auditoría es registrar el acceso y uso, mientras que inspección es revisar estos registros.
Correcto
¡Eso mismo! Auditoría implica el registro de recursos además del acceso a la red y el
uso de ella. Inspección implica revisar estos registros de uso buscando cualquier
anomalía.
1.
Pregunta 1
1 / 1 punto
de autor
autorización
autoritario
autenticación
Correcto
2.
Pregunta 2
0 / 1 punto
de autor
autoritario
autorización
autenticación
Incorrecto
3.
Pregunta 3
1 / 1 punto
la validez
el acceso
la elegibilidad
la identidad
Correcto
4.
Pregunta 4
1 / 1 punto
validez
elegibilidad
acceso
identidad
Correcto
5.
Pregunta 5
1 / 1 punto
Correcto
¡Buen trabajo! Los tres factores de autenticación que se pueden combinar para la
autenticación multifactor son: (1) algo que sabes, como una contraseña; (2) algo que
tienes, como un token físico; y (3) algo que eres, lo cual sería un factor biométrico.
Correcto
¡Buen trabajo! Los tres factores de autenticación que se pueden combinar para la
autenticación multifactor son: (1) algo que sabes, como una contraseña; (2) algo que
tienes, como un token físico; y (3) algo que eres, lo cual sería un factor biométrico.
Correcto
¡Buen trabajo! Los tres factores de autenticación que se pueden combinar para la
autenticación multifactor son: (1) algo que sabes, como una contraseña; (2) algo que
tienes, como un token físico; y (3) algo que eres, lo cual sería un factor biométrico.
6.
Pregunta 6
Los dos tipos de tokens de contraseña por única vez son ______ y ______. Marca todos
los que correspondan.
1 / 1 punto
basado en la identidad
basado en contraseña
basado en contador
Correcto
basado en el tiempo
Correcto
¡Así es! Un token generador de OTP puede estar basado en el tiempo, para permanecer
sincronizado con el servidor que usa el tiempo.
7.
Pregunta 7
Claves de seguridad son más ideales que los generadores de OTP porque son resistentes
a los ataques de _______.
1 / 1 punto
fuerza bruta
DDoS
contraseña
Correcto
¡Sí! Si bien se puede suplantar la identidad del código OTP, las llaves de seguridad
dependen de un sistema de desafío-respuesta que evita los ataques de phishing.
8.
Pregunta 8
1 / 1 punto
esteganografia
encriptación simétrica
Correcto
9.
Pregunta 9
1 / 1 punto
autorización
integridad
autenticación de servidor
Correcto
10.
Pregunta 10
claves criptográficas
certificados
Tickets
contraseñas
Correcto
¡Buen trabajo! Kerberos emite tickets, los que representan tokens de autenticación y
autorización.