¡ BIENVENIDOS !

Por medio de este blog, explicaré el servicio KERBEROS.  


Resultado de imagen para kerberos imagenes


En un entorno de computación de red abierta, una estación de trabajo no es confiable para identificar correctamente a sus usuarios en los servicios de red. 


La seguridad e integridad de sistemas dentro de una red puede ser complicada, puede ocupar el tiempo de varios administradores de sistemas sólo para mantener la pista de cuáles servicios se están ejecutando en una red y la manera en que estos servicios son usados. 

Más aún, la autenticación de los usuarios a los servicios de red puede mostrarse peligrosa cuando el método utilizado por el protocolo es inherentemente inseguro, como se evidencia por la transferencia de contraseñas sin encriptar sobre la red bajo los protocolos FTP y Telnet. 


Imagen relacionadaResultado de imagen para ftp


KERBEROS:



Según el Gran Diccionario del Diablo("Enlarged Devil's Dictionary(Ambrose Bierce)"), Cerbero es "el perro guardián
de Hades, cuyo deber era guardar la entrada del infierno; se sabe que Cerbero tenía tres cabezas".


  Resultado de imagen para cerberoResultado de imagen para cerbero

El sistema de autentificación y autorización Kerberos es un protocolo de seguridad creado por MIT basado en la encriptación de claves simétricas que
proporciona autentificación mutua entre usuarios y servidores en un entorno de red para validar usuarios con los servicios de red — evitando así tener que enviar contraseñas a través de la red. 
  
Al validar los usuarios para los servicios de la red por medio de Kerberos, se frustran los intentos de usuarios no autorizados que intentan interceptar contraseñas en la red. 

El servicio Kerberos es una arquitectura cliente-servidor que proporciona seguridad a las transacciones en las redes.


      Resultado de imagen para hackers

El servicio ofrece una sólida autenticación de usuario y también integridad y privacidad.                                          

La autenticación garantiza que las identidades del remitente y del destinatario de las transacciones de la red sean verdaderas.        El servicio también puede verificar la validez de los datos que se transfieren de un lugar a otro (integridad) y cifrar los datos durante la transmisión (privacidad).

Kerberos es una forma eliminar la necesidad de aquellos protocolos que permiten métodos de autenticación inseguros, y de esta forma mejorar la seguridad general de la red, además proporciona un enfoque alternativo por el que se utiliza un servicio confiable de autenticación de terceros para verificar las
identidades de los usuarios. 

MODO EN QUE FUNCIONA KERBEROS: 

  1. Kerberos es diferente de los métodos de autenticación de nombre de usuario/contraseña.                                                        
  2. En vez de validar cada usuario para cada servicio de red, Kerberos usa encriptación simétrica y un tercero, un KDC, para autentificar los usuarios a un conjunto de servicios de red.     
  3.  Una vez que el usuario se ha autentificado al KDC, se le envía un ticket específico para esa sesión de vuelta a la máquina del usuario y cualquier servicio kerberizado buscará por el ticket en la máquina del usuario en vez de preguntarle al usuario que se autentifique usando una contraseña.                          
  4. Cuando un usuario en una red kerberizada se registra en su estación de trabajo, su principal se envía al KDC en una petición para un TGT desde el servidor de autenticación (AS). Esta petición puede ser enviada por el programa de conexión para que sea transparente al usuario o puede ser enviada por el programa kinit después de que el usuario se registre.           
  5. El KDC verifica el principal en su base de datos.              Si lo encuentra, el KDC crea un TGT,el cual es encriptado usando las llaves del usuario y devuelto al usuario.                            
  6. El programa login en la máquina del cliente o kinit descifra el TGT usando la contraseña del usuario.                          La contraseña del usuario es usada únicamente en la máquina del cliente y no es enviada sobre la red.                                                   
  7. El TGT, se configura para que caduque después de un cierto período de tiempo (usualmente 10 horas) y es almacenado en la caché de credenciales de la máquina del cliente.                          
  8. Se coloca un tiempo de caducidad de manera que un TGT comprometido sólo es de utilidad para un intruso por un período corto de tiempo.                                              Una vez que el TGT es emitido, el usuario no tiene que reingresar la contraseña al KDC sino hasta que el TGT caduque o se desconecte y vuelva a conectarse.                                 
  9. Cuando el usuario necesita acceder a un servicio de red, el software cliente usa el TGT para pedir un nuevo ticket para ese servicio en específico al servidor de otorgamiento de tickets, TGS.                                                          El ticket para el servicio es usado para autentificar el usuario a ese servicio de forma transparente.


VENTAJAS Y DESVENTAJAS DE KERBEROS.


VENTAJAS:

  • Los servicios de redes más convencionales usan esquemas de autenticación basados en contraseña, tales esquemas requieren que cuando un usuario necesita una autenticación en un servidor de red, debe proporcionar un nombre de usuario y una contraseña.                                                     
  • Aún en este caso, una vez que la red se conecte a la Internet, ya no puede asumir que la red es segura.                        
  • Cualquier intruso del sistema con acceso a la red y un analizador de paquetes puede interceptar cualquier contraseña enviada de este modo, comprometiendo las cuentas de usuarios y la integridad de toda la infraestructura de seguridad.            
  • El primer objetivo de Kerberos es el de eliminar la transmisión a través de la red de información de autenticación. Un uso correcto de Kerberos erradica la amenaza de analizadores de paquetes que intercepten contraseñas en su red.                            
Resultado de imagen para hackers


DESVENTAJAS:

  • A pesar de que Kerberos elimina una amenaza de seguridad común, puede ser difícil de implementar por una variedad de razones.    
  • La migración de contraseñas de usuarios desde una base de datos de contraseñas estándar UNIX, tal como /etc/passwd o /etc/shadow, a una base de datos de contraseñas Kerberos puede ser tediosa y no hay un mecanismo rápido para realizar esta tarea.

Resultado de imagen para hackers


LAS METAS ASUMIDAS POR ESTE SISTEMA SON:

  1. Autentificación para evitar solicitudes/respuestas fraudulentas entre servidores y usuarios que deben tener índole confidencial y en grupos de al menos un usuario y un servicio.                   
  2. Cada servicio que desee proporcionar su propio sistema de autorización puede implementarlo independientemente de la autentificación.                                                
  3. El sistema de autorización puede asumir que el sistema de autentificación usuario/cliente es fiable.                      
  4. Permitir la implementación de un sistema de contabilidad que esté integrado y sea seguro y fiable, con estructura modular y soporte para facturación


CONCLUSIONES:

KERBEROS es por lo tanto un sistema donde ambos el cliente y el servidor comparten una llave común que es usada para encriptar y descifrar la comunicación de la red.

Además, Kerberos proporciona servicios de autorización, que permiten a los administradores restringir el acceso a los servicios y los equipos. Asimismo, como usuario de Kerberos, puede regular el acceso de otras personas a su cuenta.

El servicio Kerberos es un sistema de inicio de sesión único.      Esto significa que sólo debe autenticarse con el servicio una vez por sesión, y todas las transacciones realizadas posteriormente durante la sesión se aseguran de manera automática. Una vez que el servicio lo autenticó, no necesita volver a autenticarse cada vez que utiliza un comando basado en Kerberos, como ftp o rsh, o accede a datos en un sistema de archivos NFS.

Con el servicio Kerberos, puede iniciar sesión en otros equipos, ejecutar comandos, intercambiar datos y transferir archivos de manera segura.

Kerberos presupone que cada usuario es de confianza pero que está utilizando una máquina no fiable en una red no fiable.                             

Su principal objetivo es el de prevenir que las contraseñas no encriptadas sean enviadas a través de la red.                     


Sin embargo, si cualquier otro usuario aparte del usuario adecuado, tiene acceso a la máquina que emite tickets usados para la autenticación — llamado Centro de distribución de llaves (KDC) —, el sistema de autenticación de Kerberos completo está en riesgo.


REFERENCIAS: 



Jennifer G. Steiner. (2000-2001). Descripción del Kerberos un servicio de autenticación para los sistemas de red abierta. Massachusetts Institute of Technology, Cambridge, MA. Recuperado de https://www.cisco.com/c/es_mx/support/docs/securityvpn/kerberos/16087-1.pdf


Clifford Neuman.(2000-2001). Descripción del Kerberos un servicio de autenticación para los sistemas de red abierta. Universidad de Washington, Seattle, WA 98195. Recuperado de https://www.cisco.com/c/es_mx/support/docs/securityvpn/kerberos/16087-1.pdf


RODRIGUEZ RODRIGUE VICTOR 5IM6
SEGURIDAD WEB




Comentarios

Publicar un comentario

Entradas populares