O documento descreve o protocolo Kerberos de autenticação em rede, incluindo os servidores envolvidos (Autenticação, Concessão de Ticket e Serviços), o processo de autenticação em 3 etapas entre o cliente e cada servidor, e as referências bibliográficas citadas.
1. Kerberos 5 – Autenticação
Diego Bastos, João Arthur Pereira da Silva1
RESUMO
Este artigo tem por objetivo a abordagem conceitual do sistema utilizado pelo
kerberos para liberação de acesso a serviços específicos e seu processo de
autenticação.
PALAVRAS-CHAVE: kerberos, segurança da informação, autenticação.
ABSTRACT
This article aims at the conceptual approach of the system used by kerberos to
release access to specific services and their authentication process.
Kerberos
KEYWORDS: kerberos, information security, authentication.
SUMÁRIO: 1 Introdução, 2 Servidores Kerberos, 3 Figura 1.0 - Visão geral da
comunicação do kerberos 5, 4 Diálogo de autenticação, 5 Referências
Bibliográficas.
INTRODUÇÃO
O Kerberos é um protocolo de autenticação de rede. Ele é projetado para
fornecer autenticação forte para aplicativos cliente / servidor usando
criptografia de chave secreta.
O mecanismo de autenticação é a primeira etapa a ser feita em um ambiente
Kerberos. Fornece ao usuário um Ticket Granting Ticket (TGT), que serve para
acesso posterior a serviços específicos.
SERVIDORES KERBEROS
O processo de autenticação do kerberos está distribuídos em três
servidores:
Servidor de Autenticação (AS)
Servidor de Concessão de Ticket (TGS)
Servidor de Serviços (SS)
1
Acadêmicos do curso de Especialização em Segurança da Informação da Universidade de
Cuiabá Campus Floriano Peixoto, Rua Floriano Peixoto, n° 597, Centro, Rondonópolis-MT.
2. FIGURA 1.0 - VISÃO GERAL DA COMUNICAÇÃO DO KERBEROS 5.
DIÁLOGO DE AUTENTICAÇÃO
O Usuário solícita o acesso a um serviço, o Cliente Kerberos é acionado
solicitando as credenciais de login do usuário(usuário e senha) e aplica uma
criptografia de mão única sobre os dados, gerando assim uma nova chave.
COMUNICAÇÃO (A) – ENTRE O CLIENTE(C) E O SERVIDOR DE
AUTENTICAÇÃO(AS)
Comunicação com serviço de autenticação para obter o ticket que vai ser
utilizado para troca de informação com o servidor de concessão de ticket(TGS):
Mensagem (1) - Cliente(C) --> AS
Mensagem (2) - AS --> Cliente(C)
Conteúdo das mensagens:
Mensagem (1)
A mensagem (1) Logo após o usuário digitar suas credenciais o Cliente
envia uma requisição ao Servidor de Autenticação(AS) mas não envia nem as
credenciais de login do usuário nem mesmo a chave gerada, apenas uma
mensagem informando que o usuário gostaria de acessar um serviço. O
Servidor de Autenticação(AS) verifica se o usuário está em sua base de dados,
se estiver ele responde.
3. Mensagem (2)
A mensagem (2) contém a resposta do Servidor de Autenticação(AS)
contendo um ticket e uma chave de sessão da conexão Cliente(C)/Servidor
Concessão Ticket(TGS). O ticket possui informações de identificação do TGS
e do cliente, como por exemplo: ID do cliente, endereço de rede do cliente,
período de validade do ticket e um bloco encriptado usando a chave de
encriptação baseado na senha do usuário. O conteúdo desse bloco é chave de
sessão (utilizado para comunicação entre o Cliente e o TGS).
A partir desse momento, o cliente tem informações suficientes para se
autenticar no TGS.
COMUNICAÇÃO (B) – ENTRE O CLIENTE(C) E O SERVIDOR DE
CONCESSÃO DE TICKET(TGS)
Comunicação com o Servidor de Concessão de Ticket(TGS) para obter ticket
de permissão de acesso ao Servidor de Serviço(SS):
Mensagem (3) - Cliente(C) --> TGS
Mensagem (4) - TGS --> Cliente(C)
Conteúdo das mensagens:
Mensagem (3)
A mensagem (3) Inclui um autenticador(ID do cliente e o "timestamp2
")
criptografado com a chave sessão cliente/TGS, o TGS recebido da mensagem
(2) e o ID do serviço requisitado.
Mensagem (4)
A mensagem (4) o cliente recebe um ticket com informações do
Cliente(ID do cliente, endereço de rede do cliente, período válido e uma chave
de sessão) para conexão com o Servidor de Serviço(SS).
COMUNICAÇÃO (C) – ENTRE O CLIENTE(C) E O SERVIDOR DE
SERVIÇO(SS)
Após as trocas de mensagens anteriores agora o Cliente(C) possui
informações suficientes para comunicação com Servidor de Serviços(SS).
Mensagem (5) Cliente(C) --> Servidor de Serviço(SS)
Mensagem (6) Servidor de Serviço(SS) --> Cliente(C)
2
Timestamp - Informações de data e hora.
4. Conteúdo das mensagens:
Mensagem (5)
A mensagem (5) envia o ticket recebido na mensagem anterior com
informações do Cliente para conexão com o Servidor de Serviço(SS) e um
novo autenticador do serviço (ID do cliente e um "timestamp").
Mensagem (6)
A mensagem (6) o Servidor de Serviço(SS) confirma a chave
compartilhada e se o timestamp estiver no prazo de tempo aceito, o cliente
pode confiar no Servidor e começar a solicitar os serviços ao mesmo e ele (o
Servidor de Serviços) retorna os serviços para o cliente.
REFERÊNCIAS BIBLIOGRÁFICAS:
STALLINGS, William. Criptografia e Segurança de Redes - Princípios e
práticas / William Stallings; tradução Daniel Vieira; revisão técnica Paulo
Sérgio Licciardi Messeder Barreto, Rafael Misoczki. - 6. ed. - São Paulo:
Pearson Education do Brasil, 2015.
JUNIOR, Geraldo Braz. Kerberos. Disponível em:
<http://www.deinf.ufma.br/~geraldo/soii/7.Kerberos.pdf> Acesso em:
30/11/2016
MIGEON, Jean-Yves. The MIT Kerberos Administrator’s How-to Guide.
Disponível em: <http://www.kerberos.org/software/adminkerberos.pdf>.
Acesso em: 05/12/2016
Kerberos: The Network Authentication Protocol. Disponível em:
<https://web.mit.edu/kerberos/>. Acesso em 05/12/2016.