Upload
felton
View
77
Download
1
Embed Size (px)
DESCRIPTION
Kerberos. فصل یازدهم. اهداف. آشنایی با چگونگی احراز هویت در الگوریتم کربروس. برا ي د ي دن معادل انگل ي س ي ترجمه ها به اسلا ي د لغت نامه مراجعه نماييد. کل ي د واژه ها:. افسانه ي ونان ي. سگ سه سر افسانه ي ونان ي : محافظان دروازه های جهنم! سرها نماد: Authentication Accounting Audit - PowerPoint PPT Presentation
Citation preview
مركز امنبت شبكه شريف
Kerberosفصل یازدهمفصل یازدهم
2لغت نامه مركز امنبت شبكه شريف
اهداف
آشنایی با چگونگی احراز هویت در الگوریتمکربروس
3 مركز امنبت شبكه شريف
.مراجعه نماييد لغت نامه دياسال ترجمه ها به يسيدن معادل انگلي ديبرا
د واژه هايکل :
4لغت نامه مركز امنبت شبكه شريف
يونانيافسانه
محافظان دروازه يونانيسگ سه سر افسانه : های جهنم!
:سرها نماد Authentication Accounting Audit
ت اعمال شد.ياکرچه در عمل تنها احراز هو
5لغت نامه مركز امنبت شبكه شريف
کربروس
د ي کليت بر اساس رمز نگارياحراز هويخصوص
شده در يطراح MITت در هر کارگزار به صورت ي احراز هويبه جا
ت يک کارگزار خاص را به احراز هويع شده، يتوزم يدهياختصاص م
آن در حال استفاده هستند5 و 4نسخه هاي
6لغت نامه مركز امنبت شبكه شريف
کربروسويژگيهاي عمومي
بودنعمومي (Common)متمركز در محیط توزیع شده همراه با سرورهای متمرکز و غير
ت امني(Security)ادعای اصلی
نان ياطم(Reliability).اطمينان از فعال بودن همه سرویس ها برای کاربران مجاز
ت شفافي(Transparency)شناسه و کلمه ستم ساده يک سيستم را همانند يد سيکاربران با“
نند. ي” ببعبوريرياس پذيمق (Scalability)
قابليت كار با تعداد زيادي ماشين كاربر و كارگزار
7لغت نامه مركز امنبت شبكه شريف
کربروسويژگيهاي عمومي
چند تعریف دامنه: يک محدوده دسترسی را مشخص می کند. به نوعی
معادل دامنه های تعريف شده در ويندوز می باشد.
.مرکز توزيع کليد: معادل کارگزار کربروس می باشد
Principal به سرويس ها، دستگاه ها، کاربران و کليه : عناصری که احتیاج به شناساندن خود به کارگزار کربروس
دارند، گفته می شود.
8لغت نامه مركز امنبت شبكه شريف
0-هويتاحراز ديالوگ ساده
درخواست خدمات توسط کارفرما از کارگزار: 1. Client AS: IDclient || PassClient || IDServer
2. AS Client: Ticket3. Client Server: IDclient || Ticket
Ticket = EKserver [IDclient || Addrclient || IDserver]
AS : Authentication Server تيکارگزار احراز هو
9لغت نامه مركز امنبت شبكه شريف
بليط
در واقع نوعي گواهي است كه هنگام ورود كاربر به او داده مي شود كه کربروسبه قلمرو
بيانگر اعتبار او براي دسترسي به منابع شبكه مي باشد.
10لغت نامه مركز امنبت شبكه شريف
بررسی دیالوگ
شود؟يط ذکر ميچرا آدرس کارفرما در بل در غیر این صورت هر شخصی که بلیط را از طریق شنود به
دست آورد نیز میتواند از امکانات استفاده کند. اما اکنون تنها خدمات به آدرس ذکر شده در بلیط ارایه میشود.
مشکل جعل آدرس
چرا شناسه مشتریIDclient در گام سوم به صورت رمز شود؟ينشده ارسال م
.زیرا این اطالعات به صورت رمزنگاری شده در بلیط وجود دارد .اگر شناسه با بلیط مطابقت نداشته باشد خدمات ارایه نمیشوند
11لغت نامه مركز امنبت شبكه شريف
احراز ديالوگ ساده مشکالت 0-هويت
ناامنی متن بشكل )يبدون رمزگذارارسال كلمه عبور
واضح( امکان حمله تکرار
ناکارآيی لزوم تقاضای بلیط جدید برای هر خدمات
12لغت نامه مركز امنبت شبكه شريف
ها استفاده مجدد از بليط
ها استفاده مجدد از بليطچرا(Tickets) ت دارد؟ياهم
ک بازه يپ مجدد کلمه عبور در ي از تايريجلوگ کوتاهيزمان
شفافیت احراز هویت.کاربر متوجه فرآيندهای هویت شناسی نمی شود
13لغت نامه مركز امنبت شبكه شريف
1الوگ يدافزایش ایمنی-
د با نام کارگزار اعطا کننده يک کارگزار جدياستفاده ازط يبلTGS: Ticket Granting Server
احراز هويتکارگزار، AS ،کماکان وجود دارد .ط” يط “اعطاء بليبلticket-granting ticket توسط آن صادر
می شود.طهای اعطاء خدمات توسط ياگرچه بلTGSشوند.ي صادر م
ط “اعطاء خدمات” يبلservice-granting ticketام کارگزار ي با رمز کردن پاجتناب از انتقال کلمه عبور
د مشتق شده از يتوسط کلبه کارفرما (AS )احراز هويتکلمه عبور
14لغت نامه مركز امنبت شبكه شريف
1الوگيد- افزایش ایمنی
AS
Client
TGS
Server
1. IDClient || IDTGS
2 .EKClient [TicketTGS]
3. IDClient || IDServer || TicketTGS
4 .TicketServer
5. IDClient || Ticket
Server
کارفرما با کمک کلید مشترک
بلیط ASخود و TGS را بازیابی
میکند.
Logجلسه In
]Lifetime || Timestamp || ID || Addr || [ID E Ticket 11TGSClientClientKTGS TGS ]Lifetime || Timestamp || ID || Addr || [ID E Ticket 22ServerClientClientKServer Server
15لغت نامه مركز امنبت شبكه شريف
1الوگيد- افزایش ایمنی
ک و دو به ازاء هر جلسه ي شماره يامهايپLog on رد و بدل شوند. يم
شماره سه و چهار به ازاء هر نوع خدمات رد و بدل يامهايپ شوند.يم
شود.يام شماره پنج به ازاء هر جلسه خدمات رد و بدل ميپ1. Client AS: IDClient || IDTGS
2. AS Client: EKClient [TicketTGS]
3. Client TGS: IDClient || IDServer || TicketTGS
4. TGS Client: TicketServer
5. Client Server: IDClient || TicketServer
16لغت نامه مركز امنبت شبكه شريف
ط هاي بليمحتو
]Lifetime || Timestamp || ID || Addr || [ID E Ticket 11TGSClientClientKTGS TGS
]Lifetime || Timestamp || ID || Addr || [ID E Ticket 22ServerClientClientKServer Server
بلیط اعطای بلیط :
بلیط اعطای خدمات :
17لغت نامه مركز امنبت شبكه شريف
1الوگ يد ي هايژگيو
دو بليط صادر شده ساختار مشابهی دارند. در اساس به دنبال هدفواحدی هستند.
رمزنگاریTicketTGSجهت احراز هویت .تنها کارفرما می تواند به بليط رمزشده دسترسی پيدا کند
رمز نمودن محتوای بلیطها( تمامیتIntegrity.را فراهم میکند ) استفاده از مهر زمانی(Timestamp) در بلیطها آنها را برای یک بازه
زمانی تعریف شده قابل استفاده مجدد میکند. .هنوز از آدرس شبکه برای احراز هویت بهره میگیرد
چندان جالب نیست زیرا آدرس شبکه جعل(Spoof) .میشود با این حال، درجه ای از امنیت مهیا می شود
18لغت نامه مركز امنبت شبكه شريف
1الوگ يدنقاط ضعف
بلیطها:مشكل زمان اعتبارزمان كوتاه : نياز به درخواست هاي زياد گذرواژهزمان بلند : خطر حمله تکرار
: عدم احراز هويت هويت شناسی يکسويهفرما كارتوسط کارگزار
مجازغيرکارگزاررسيدن درخواست ها به يك
19لغت نامه مركز امنبت شبكه شريف
4کربروس نسخه
توسعه یافته پروتکل های قبلی است.مشکل حمله تکرار حل شده است احراز هویت دو جانبه(mutual.برقرار میشود )
کارگزاران و کارفرمایان هردو از هویت طرف مقابل اطمینان حاصلمیکنند
20لغت نامه مركز امنبت شبكه شريف
مقابله با حمله تکرار
کارگزار یاTGS باید اطمینان حاصل نمایند که کاربر بلیط همان کسی است که بلیط برای او صادر شده.
مفهوم جدیدی به نام اعتبار نامه (Authenticator ابداع شده )است:
عالوه بر بلیط هااز مفهوم کلید جلسه بهره میجوید
21لغت نامه مركز امنبت شبكه شريف
بررسي :4کربروس نسخه 1-الگوريتم
ASClient
2 .EKClient[KClient,tgs|IDtgs|TS2|Lifetime2|Tickettgs]
1. IDClient|IDtgs|TS1
Tickettgs=EKtgs[KClient,tgs|IDClient|AddrClient|IDtgs|TS2|Lifetime2]
22لغت نامه مركز امنبت شبكه شريف
تمامی با کلید
TGS رمز شده اند
TGSبلیط
کلید جلسه بین
کارفرما TGSو
شناسهکارفرما آدرس
کارفرما شناسهTGS
مهر زمانی و
دوره اعتبار بلیط
Tickettgs=EKtgs[KClient,tgs|IDClient|AddrClient|IDtgs|TS2|Lifetime2]
23لغت نامه مركز امنبت شبكه شريف
فرمانتايج اين مرحله براي كار
بليط “اعطاء بليط” از بدست آوردن امنAS(بدست آوردن زمان انقضاي بليطTS2) و کارفرما امن بين كليد جلسهبدست آوردن
TGS
24لغت نامه مركز امنبت شبكه شريف
بدست آوردن بليط “اعطاء ”خدمات
TGS Client
3. IDserver|Tickettgs|AuthenticatorClient
TicketServer=
EKserver[KClient,server|IDClient|AddrClient|IDserver|TS4|Lifetime4]
AuthenticatorClient=
EKClient,tgs[IDClient|AddrClient|TS3]
4. EKClient,tgs [KClient,server|IDserver|TS4|Ticketserver]
25لغت نامه مركز امنبت شبكه شريف
تمامی با کلید
کارگزار رمز شده
اند
بلیط کارگزار
کلید جلسه بین
کارفرما و
کارگزار
شناسهکارفرما آدرس
کارفرما شناسهTGS
مهر زمانی و
دوره اعتبار بلیط
TicketServer= EKserver[KClient,server|IDClient|AddrClient|IDserver|TS4|Lifetime4]
26لغت نامه مركز امنبت شبكه شريف
اعتبار نامه کارفرما
شناسهکارفرما آدرس
کارفرمامهر زمانی
AuthenticatorClient= EKClient,tgs[IDClient|AddrClient|TS3]تمامی با
کلید جلسه
رمز شده اند
27لغت نامه مركز امنبت شبكه شريف
فرمانتايج اين مرحله براي كار
اعتبار نامه يكجلوگيري از حمله تکرار با استفاده از ( Authenticator يكبار مصرف كه عمر )
كوتاهي دارد. بدست آوردن كليد جلسه براي ارتباط با سرورV
28لغت نامه مركز امنبت شبكه شريف
خدمات دستيابي به سرور
Client
Server
5. TicketServer|AuthenticatorClient
6. EKClient,Server [TS5+1]
29لغت نامه مركز امنبت شبكه شريف
فرمانتايج اين مرحله براي كار
با برگرداندن کارگزار در گام ششم احراز هويت پيغام رمزشده
تکرارجلوگيري از بروز حمله
30 مركز امنبت شبكه شريف
شمای کلی:4کربروس نسخه
31 مركز امنبت شبكه شريف
شمای کلی:4کربروس نسخه
32لغت نامه مركز امنبت شبكه شريف
کربروسقلمرو
از بخشهاي زير تشكيل شده استکربروس قلمرو: کارگزار کربروس کارفرمایانكاربردي کارگزاران Application Servers
کارگزار کربروس گذرواژه تمام کاربران را در پایگاه داده خوددارد.
کلیدی مخفی به كاربرديکارگزار کربروس با هر کارگزار اشتراک گذاشته است.
هر قلمرو معادل یک � میباشد.حوزه مدیریتیمعموًال
33لغت نامه مركز امنبت شبكه شريف
هويت شناسي بين قلمرويي(InterRealm)
موجود خدماتامكان اينكه كاربران بتوانند از در قلمروهاي ديگر استفاده كنند.
با يك كليد مخفي هر قلمرو کارگزاران کربروس قلمرو همکار مقابل به کربروس کارگزاران
اشتراک میگذارند. وجودN قلمرو همکار نیازمند N(N-1)/2 کلید
مخفی است. .دو کارگزار کربروس همدیگر را ثبت نام مینمایند
34 مركز امنبت شبكه شريف
هويت شناسي بين قلمرويي
35لغت نامه مركز امنبت شبكه شريف
5کربروس نسخه
مشخصات مطرح شد1990در اواسط نقص ها و كمبودهاي نسخه قبلي را برطرف كرده است به عنوان استاندارد اينترنتيRFC 1510 در نظر گرفته شده
است. بعنوان 5استاندارد اينترنتی کربروس نسخه از2000ويندوز
روش اصلی هويت شناسی کاربران استفاده می کند.
36لغت نامه مركز امنبت شبكه شريف
و نحوه رفع آنها در Kerberos v4مشكالت 5نسخه
(وابستگي به يك سيستم رمزنگاري خاصDES) مي توان از هر الگوريتم متقارن استفاده كرد5+ در نسخه
وابستگي بهIP( IP يا OSI مي توان از هر آدرس شبكه)مثال 5+ در نسخه
استفاده كردمحدود بودن زمان اعتبار بليطها
اين محدوديت وجود ندارد5+ در نسخه
37لغت نامه مركز امنبت شبكه شريف
و نحوه رفع آنها در Kerberos v4مشكالت 5نسخه
اعتبار يك كاربر به يك سرور ديگر وجود انتقال امكانندارد
اجازه داده مي شود كه مثال كاربر به سرور 5+ در نسخه چاپ يك فايل را معرفي كند تا فايل با اعتبار آن كاربر
(در يك ماشين ديگر) چاپ شود ،توسط سرور چاپتعداد كليدها بصورت ،با افزايش تعداد قلمروها
تصاعدي افزايش مي يابد اين مشكل حل شده است.5+ در نسخه
38 مركز امنبت شبكه شريف
شمای کلی:5کربروس نسخه
39لغت نامه مركز امنبت شبكه شريف
پیاده سازی های موجود
دانشگاهMIT اولين پياده سازی کربروس که هنوز به عنوان مرجع : مورد استفاده قرار می گیرد
Heimdalتنها پياده سازی انجام شده در خارج آمريکا :
Active Directory پياده سازی ارائه شده توسط مايکروسافت : آمده استRFC 1510 که در
40 مركز امنبت شبكه شريف
Authentication احراز هویت
Reliability اطمینان پذیری
Authenticator اعتبار نامه
ticket-granting ticket بليط “اعطاء بليط”
service-granting ticket بليط اعطاء خدمات
Tickets ها بليط
Distributed توزيع شده
Register ثبت نام
Integrity جامعيت
Spoof جعل
Address Spoofing جعل آدرس
service session جلسه خدمات
Replay Attack حمله تکرار
Administrative Domain حوزه مدیریتی
Services خدمات
Realm دامنه
Transparency شفافیت
ID شناسه
Principal عناصری که شناسانده میشوند
Realm قلمرو
Password گذر واژه
Certificate گواهي
Plain Text متن واضح
Key Management مديريت کليد
KDC: Key distribution Center مرکز توزيع کليد
Scalability مقياس پذيري
Timestamp مهر زمانی
service type نوع خدمات
AS: Authentication Server کارگذار احراز هويت،
Server کارگزار
TGS: Ticket Granting Server کارگزار اعطا کننده بليط
Session Key کلید جلسه
لغت نامهلغت نامه