information security giao thức xác thực kerberos

Vì nếu hệ thống mạng có nhiều KDC kết nối nhau thì tất cả các dữ liệu quan trọng, bao gồm các key của các principal trong realm của bạn, đều có trên mỗi KDC trong mạng,điều đó có nghĩa l

HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG

TPHCM KHOA CÔNG NGHỆ THÔNG TIN II

-[\ [\ -

ĐỀ TÀI:

INFORMATION SECURITY GIAO THỨC XÁC THỰC KERBEROS

HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG HCM

KHOA CÔNG NGHỆ THÔNG TIN II

Đề tài:

INFORMATION SECURITY GIAO THỨC XÁC THỰC KERBEROS

Giáo viên hướng dẫn: Thầy Lê Phúc Thành viên nhóm:

Thân Đoàn Đăng Hải 406170018

Kerberos

I Tổng quan

II Lịch sử phát triển

III Một số khái niệm

IV Mô hình Kerberos

 Tên của giao thức Kerberos được lấy từ tên của con chó ba đầu Cerberus canh gác cổng địa ngục trong thần thoại Hy Lạp

 Các hệ điều hành Windows 2000, Windows XP và Windows Server 2003 và sau này sử dụng một phiên bản Kerberos làm phương pháp mặc định để xác thực

 Hệ điều hành Mac OS X cũng sử dụng Kerberos trong các phiên bản Clients

và Server của mình

II.Lịch sử phát triển:

 Học viện kỹ thuật Massachusetts (MIT) phát triển Kerberos

để bảo vệ các dịch vụ mạng cung cấp bởi dự án Athena

 Giao thức đã được phát triển dưới nhiều phiên bản, trong đó các phiên bản từ

1 đến 3 chỉ dùng trong nội bộ MIT

 Các tác giả chính của phiên bản 4, Steve Miller và Clifford Neuman, đã xuất bản giao thức ra công chúng vào cuối thập niên 1980, mặc dù mục đích chính của họ là chỉ phục vụ cho dự án Athena

 Phiên bản 5, do John Kohl và Clifford Neuman thiết kế, xuất hiện trong tài liệu (RFC1510) RFC 1510 - The Kerberos Network Authentication Service (V5) vào năm 1993 (được thay thế bởi RFC 4120 vào năm 2005 - RFC 4120 - The Kerberos Network Authentication Service (V5) với mục đích sửa lỗi của phiên bản 4

III.Một số khái niệm :

 Realm , Principal, instance :

* Realm: là một trường hay một lĩnh vực, nó tương tự như 1 domain nhưng

không phải 1 domain

* Instance: phần chú thích bổ sung thêm

Mỗi principal bắt đầu với một tên người dùng hoặc tên dịch vụ Tên người dùng hoặc tên dịch vụ này phụ thuộc tùy vào các instance khác nhau Instance được sử dụng trong hai tình huống: dịch vụ cho principal , và để tạo principal đặc biệt cho việc sử dụng quản trị Ví dụ, các quản trị viên có thể có hai lãnh

đạo: một là sử dụng hằng ngày, và một người (một admin "chính") để sử dụng chỉ khi có các nhu cầu đặc quyền quản trị cao

Ví dụ tên người dùng và các tùy chọn, kết hợp với nhau, tạo thành một thực thể duy nhất trong một realm nhất định Mỗi trình ứng dụng Kerberos định nghĩa một realm quản trị để kiểm soát, điều đó để phân biệt với tất cả các trình ứng dụng Kerberos khác Kerberos định nghĩa nó như là tên của realm Theo quy ước, các realm của Kerberos có một DNS domain là 1 domain được chuyển đổi sang chữ hoa.Ví dụ ptit.org trở thành PTIT.ORG

Ví dụ:

Duy Cường là 1 sinh viên của lớp IT của trường PTIT có domain name là ptit.org thì principal mà Kerberos gán cho Cườnglà: cuong@IT.PTIT.ORG Trong đó IT.PTIT.ORG la Realm, không có instance

*Đối với Kerberos 4:

Ví dụ này cũng như ví dụ trên chỉ khác là có thêm trường instance la admin

*Đối với Kerberos 5:

Trong thực tế có 1 số trường hợp 2 máy có cùng tên host nhưng ma ở 2 domain khác nhau.Ví dụ, bạn Đăng Hải ở tổ 1 và bạn Hồng Hải ở tổ 2 của cùng lớp cùng trường

Ta giả sử bạn Đăng Hải thuộc domain it.ptit.org còn bạn Hồng Hải thuộc domain it.ptit.edu Và 2 bạn đều thuộc cùng 1 realm la IT.PTIT.ORG

Vậy đối với Kerberos 4 thì 2 bạn này có cùng principal là hai@IT.PTIT.ORG Trước thực trạng này , người ta đã cho ra đời Kerberos 5, có 2 cấu trúc :

- Username[/instance]@REALM

- Service/fully-qualified-domain-name@REALM

Bây giờ đối với ví dụ trên ta có :

+ Đối với bạn Đăng Hải : hai/it.ptit.org@IT.PTIT.ORG

+ Đối với bạn Hồng Hải : hai/it.ptit.edu@IT.PTIT.ORG

 KDC – Key Distribution Center: Trung tâm phân phối khóa

Key Distribution Center cuả Kerberos(KDC), là một phần của hệ thống

Kerberos Trên lý thuyết KDC bao gồm ba thành phần:

- Database của tất cả các principal và các khóa đã mã hóa của nó để gia nhập

- Anthentication Server

- Ticket Granting Server

Người ta thường gom chúng lại trong một chương trình duy nhất và chạy cùng nhau trong một process duy nhất

Trong 1 realm của Kerberos phải có ít nhất một KDC Khi nhu cầu đòi hỏi chạy 1 KDC trên 1 máy bình thường, người ta khuyên rằng nên dùng 1 KDC

riêng biệt Vì nếu hệ thống mạng có nhiều KDC kết nối nhau thì tất cả các dữ liệu quan trọng, bao gồm các key của các principal trong realm của bạn, đều

có trên mỗi KDC trong mạng,điều đó có nghĩa là có nhiều nguy cơ bị tấn công hơn.Ngoài ra, để cho người dùng xác thực thành công đến Kerberos-kích hoạt dịch vụ, ít nhất một KDC phải được hoạt động mọi lúc

Mỗi Key Distribution Center chứa 1 database của tất cả các principal có trong realm này, cũng như các bí mật liên quan của nó Phần mềm KDC chứa hầu hết các thong tin bổ sung của các principal trong database này, chẳng hạn như thời gian sống của mật khẩu, mật khẩu thay đổi lần cuối cùng là gì, và nhiều thứ khác nữa Windows 2000 và 2003 giữ cơ sở dữ liệu này trong Active Directory(chứa trong LDAP)

Trong một realm có thể chứa nhiều Kerberos KDC , database trên mỗi KDC phải được đồng bộ hóa để đảm bảo thống nhất xác thực Nếu một máy chủ có

dữ liệu để lâu thì sẽ rất dễ thất bại khi tìm cách hợp pháp để xác thực với máy chủ đó, vì nó không update bản sao của các cơ sở dữ liệu của Kerberos Không

có phương pháp tiêu chuẩn đồng bộ hóa được xác định bằng giao thức

Kerberos, do đó các nhà cung cấp đã tạo ra các giao thức bản sao riêng của họ

 SS – Service Server: Máy chủ dịch vụ - mail server, File server,

Gói tin A: "Khóa phiên TGS/máy khách" được mật mã hóa với khóa bí mật của người sử dụng

Gói tin B: "Vé chấp thuận" (bao gồm chỉ danh người sử dụng (ID), địa chỉ mạng của người sử dụng, thời hạn của vé và "Khóa phiên TGS/máy khách") được mật mã hóa với khóa bí mật của TGS

 TGS-Ticket Granting Server:Máy chủ cấp phát vé

TGS là bộ phận nhận vé chấp thuận TGT từ user.TGS có nhiệm vụ kiểm tra các vé TGT có giá trị không bằng cách kiểm tra xem nó có được mã hóa bởi key với key của TGT server Kerberos không.Nếu đúng thì gửi cho user vé dịch vụ mà user muốn sử dụng

 Ticket:

Vé được cấp bởi TGS và máy chủ ứng dụng, cung cấp sự chứng thực cho máy

chủ ứng dụng hoặc tài nguyên

Một vé Kerberos là một cấu trúc dữ liệu được mã hóa do KDC tạo ra để share

1 key đã mã hóa của 1 phiên duy nhất.Vé tạo ra có 2 mục đích : xác nhận danh tính của người tham gia và khởi tạo 1 khóa ngắn hạn để 2 bên có thể giao tiếp

an toàn (gọi la khóa phiên)

Các trường chính mà mọi vé của Kerberos đều có là:

- Yêu cầu tên của principal

- Dịch vụ của principal có tên này là gì

- Khi nào thì vé có hiệu lực,khi nào vé hết hiệu lực(Timestamp,Lifetime)

- Danh sách IP mà vé có thể được dùng từ đó

- Chia sẻ khóa bí mật (session key) của user/ ứng dụng truyền thong

1 vé được tạo bởi KDC được mã hóa để đảm bảo rằng những người không có khóa không mở được nó để chỉnh sửa,như là tăng lifetime của nó lên hoặc tên định danh của client principal

Bởi vì Kerberos chỉ xác thực 1 lần khi đăng nhập nên sau khi đăng nhập thì bất kỳ ai ngồi trên máy đó đều có thể tham gia vào hệ thống Kerberos.Vì vậy,vé trong Kerberos có lifetime ngắn , khoảng từ 10-24h Điều này thuận tiện cho viêc đăng nhập 1 lần trong ngày làm việc của user, hạn chế việc tấn

công lấy mất dữ liệu quan trọng

 Seasion Key: được sử dụng cho 1 seasion giữa client và server

 Ticket cache:

Tất cả các vé của Kerberos đều được lưu trong 1 file nằm trong bộ nhớ cache gọi là Credential cache Microsoft và Apple đã lựa chọn phương án này.Khi đăng nhập vào hệ thống Kerberos thì các vé được lưu trong bộ nhớ cache và khi đăng xuất thì mọi thứ được xóa hết Các thông tin chứa trong cache gồm : user principal, các vé mà user có trong suốt phiên đăng nhập của họ.VD:

$ klist

Ticket cache: FILE:/tmp/krb5cc_502_auJKaJ

Default principal: jgarman@WEDGIE.ORG

Valid starting Expires Service principal

09/10/02 01:48:12 09/10/02 11:48:12

krbtgt/WEDGIE.ORG@WEDGIE.ORG

09/10/02 01:48:14 09/10/02 11:48:12 host/cfs.wedgie.org@WEDGIE.ORG 09/10/02 04:20:42 09/10/02 11:48:12 host/web.wedgie.org@WEDGIE.ORGTrong ví dụ này, bộ nhớ cache cho user principal của

jgarman@WEDGIE.ORG được lưu trong tập tin / tmp/krb5cc_502_auJKaJ Credential cache chỉ có thể được kết hợp với một user principal tại một thời gian, nếu ta muốn truy cập các dịch vụ với một principal của jgarman / admin

@ WEDGIE.ORG, ta đã có thể phá hủy vé hiện tại của mình và tái đăng nhập

để Kerberos theo jgarman / admin@WEDGIE.ORG

IV.Mô hình Kerberos tiêu biểu :

Dưới đây là mô hình hệ thống Kerberos tiêu biểu mà chúng ta thường thấy hiện nay,bao gồm :

- Client hay user

- Thiết bị truyền thông : router,switch,hub,…

- Kerberos System : AS , TGS, database

- Server cung cấp dịch vụ :Mail server, may in,……

V.Cơ chế hoạt động:

 Hoạt động nói chung:

Sau đây là mô tả một phiên giao dịch (giản lược) của Kerberos Trong đó: AS

= Máy chủ nhận thực (authentication server), TGS = Máy chủ cấp vé (ticket

granting server), SS = Máy chủ dịch vụ (service server)

Một cách vắn tắt: người sử dụng nhận thực mình với máy chủ nhận thực AS,

sau đó chứng minh với máy chủ cấp vé TGS rằng mình đã được nhận thực để

nhận vé, cuối cùng chứng minh với máy chủ dịch vụ SS rằng mình đã được

chấp thuận để sử dụng dịch vụ

1 Người sử dụng nhập tên và mật khẩu tại máy tính của mình (máy khách)

2 Phần mềm máy khách thực hiện hàm băm một chiều trên mật khẩu nhận

được Kết quả sẽ được dùng làm khóa bí mật của người sử dụng

3 Phần mềm máy khách gửi một gói tin (không mật mã hóa) tới máy chủ dịch

vụ AS để yêu cầu dịch vụ Nội dung của gói tin đại ý: "người dùng XYZ muốn

sử dụng dịch vụ" Cần chú ý là cả khoá bí mật lẫn mật khẩu đều không được

gửi tới AS

4 AS kiểm tra nhân dạnh của người yêu cầu có nằm trong cơ sở dữ liệu của

mình không Nếu có thì AS gửi 2 gói tin sau tới người sử dụng:

Gói tin A: "Khóa phiên TGS/máy khách" được mật mã hóa với khóa bí mật

của người sử dụng

Gói tin B: "Vé chấp thuận" (bao gồm chỉ danh người sử dụng (ID), địa chỉ

mạng của người sử dụng, thời hạn của vé và "Khóa phiên TGS/máy khách")

được mật mã hóa với khóa bí mật của TGS

5 Khi nhận được 2 gói tin trên, phần mềm máy khách giải mã gói tin A để có

khóa phiên với TGS (Người sử dụng không thể giải mã được gói tin B vì nó

được mã hóa với khóa bí mật của TGS) Tại thời điểm này, người dùng có thể

nhận thực mình với TGS

6 Khi yêu cầu dịch vụ, người sử dụng gửi 2 gói tin sau tới TGS:

Gói tin C: Bao gồm "Vé chấp thuận" từ gói tin B và chỉ danh (ID) của yêu cầu dịch vụ

Gói tin D: Phần nhận thực (bao gồm chỉ danh người sử dụng và thời điểm yêu cầu), mật mã hóa với "Khóa phiên TGS/máy khách"

7 Khi nhận được 2 gói tin C và D, TGS giải mã D rồi gửi 2 gói tin sau tới người sử dụng:

Gói tin E: "Vé" (bao gồm chỉ danh người sử dụng, địa chỉ mạng người sử dụng, thời hạn sử dụng và "Khóa phiên máy chủ/máy khách") mật mã hóa với khóa bí mật của máy chủ cung cấp dịch vụ

Gói tin F: "Khóa phiên máy chủ/máy khách" mật mã hóa với "Khóa phiên TGS/máy khách"

8 Khi nhận được 2 gói tin E và F, người sử dụng đã có đủ thông tin để nhận thực với máy chủ cung cấp dịch vụ SS Máy khách gửi tới SS 2 gói tin:

Gói tin E thu được từ bước trước (trong đó có "Khóa phiên máy chủ/máy khách" mật mã hóa với khóa bí mật của SS)

Gói tin G: phần nhận thực mới, bao gồm chỉ danh người sử dụng, thời điểm yêu cầu và được mật mã hóa với "Khóa phiên máy chủ/máy khách"

9 SS giải mã "Vé" bằng khóa bí mật của mình và gửi gói tin sau tới người sử dụng để xác nhận định danh của mình và khẳng định sự đồng ý cung cấp dịch vụ:

Gói tin H: Thời điểm trong gói tin yêu cầu dịch vụ cộng thêm 1, mật mã hóa với "Khóa phiên máy chủ/máy khách"

10 Máy khách giải mã gói tin xác nhận và kiểm tra thời gian có được cập nhật chính xác Nếu đúng thì người sử dụng có thể tin tưởng vào máy chủ SS và bắt đầu gửi yêu cầu sử dụng dịch vụ

11 Máy chủ cung cấp dịch vụ cho người sử dụng

 Hoạt động dựa trên khảo sát gói tin :

 Al -> AS: ID || TGS ID || TimeStamp1 (TS1)

 AS: kiểm tra TS1, tạo Seasion key (KAl, TGS) và TGT

TGT: (TGS ID || Alice’s ID || Alice’s AD || KAl, TGS || (TS2) || Lifetime2 )

E(TGT, KTGS )

AS -> Al: E(TGT || TGS ID || KAl, TGS || (TS2) || Lifetime2), (KAl))

 Alice: D(packet, (KAl)) Kiểm tra TS2 và Lifetime2

Tạo authentication cho TGS:

ATGS: E(Alice’s ID || Alice’s AD || (TS3), KAl, TGS )

Al -> TGS: TGT || ATGS || ES ID

 TGS: TGT || ATGS || ES ID D(TGT, KTGS )

TGS: TGS ID || Alice’s ID || Alice’s AD || KAl, TGS || (TS2) || Lifetime2 D(ATGS , KAl, TGS ) → Alice’s ID || Alice’s AD || (TS3)

 TGS kiểm tra TS3, sinh (KAl, ES), TGT tạo ES ticket

E ((ES ID || KAl, ES || Alice’s ID || Alice’s AD || (TS4) || Lifetime4), KES ) TGS -> Al: (AAl) : E((ES ticket || ES ID || KAl, ES ||(TS4)), KAl, TGS )

 Alice: D(AAl, KAl ) → ES ticket || ES ID || KAl, ES || (TS4)

(AES) : E((Alice’s ID || Alice’s AD || (TS5) , KAl, ES )

Al -> ES: ES ticket || AES

 ES: D(ES ticket, KES )

→ ES ID || KAl, ES || Alice’s ID || Alice’s AD || (TS4) || Lifetime4

D(AES , KAl, ES ) → Alice’s ID || Alice’s AD || (TS5)

ES -> (AAl) với (TS5 + 1) và mã hóa với KAl, ES

 ES và Alice tiếp tục trao đổi với thông tin đã được mã hóa KAl, ES

VI Cài đặt Kerberos

Các bước cài đặt Kerberos có các bước chính sau:

1 Kế hoạch cài đặt:

 Chọn nền tảng và hệ điều hành

Việc chọn nền tảng và hệ điều hành dành cho bạn nếu bạn sử dụng

Window domain controller như 1 hệ thống KDC Tuy nhiên nếu bạn sử dụng trên nền UNIX KDC thì bạn phải xem xét nền tảng bạn sẽ chạy KDCs Các mối quan tâm thực sự khi lựa chọn một nền tảng để chạy Kerberos KDCs của bạn là sự đáng tin cậy

Chúng tôi mạnh mẽ khuyến cáo rằng một đĩa riêng biệt (hoặc tốt hơn, một

bộ đĩa RAID) được sử dụng để lưu giữ cơ sở dữ liệu Kerberos, và một phân vùng riêng biệt được sử dụng để giữ tất cả các file log Giữ tập tin đăng nhập vào một phân vùng riêng biệt

 Chọn một KDC package

Có nhiều KDCs khác nhau có sẵn từ các nhà cung cấp khác nhau, cả thương mại và mã nguồn mở Mỗi sự thực thi KDC là khác nhau, với những lợi thế và bất lợi khác nhau

MIT Kerberos có hỗ trợ các loại Kerberos mã hóa tiêu chuẩn, đáng chú ý

là 3 DES Ngoài ra, phiên bản mới nhất của MIT Kerberos, hỗ trợ kiểu

mã hóa RC4 được sử dụng bởi dịch vụ Microsoft Active Directory

Kerberos cũng như (AES) MIT là một sự lựa chọn tuyệt vời vì sự hỗ trợ rộng và khả năng tương thích ứng dụng

 Heimdal

Cũng như MIT, có hỗ trợ đầy đủ cho 5 Kerberos, Kerberos 4

Có một số cải tiến hơn MIT Kerberos Trước tiên, Heimdal hỗ trợ sự truyền cơ sở dữ liệu gia tăng, cho phép Heimdal KDCs chỉ gửi phần thay đổi của cơ sở dữ liệu của máy chủ Kerberos đến các máy chủ khi nó được cập nhật, thay vì toàn bộ cơ sở dữ liệu truyền mỗi khi một bản cập nhật được thực hiện Ngoài ra, Heimdal tích hợp hỗ trợ cho AFS-Kerberos 5 khả năng tương tác

Heimdal được tích hợp với một số miễn phí hệ điều hành, bao gồm cả BSDs: OpenBSD, NetBSD, và FreeBSD Heimdal là một sự lựa chọn tốt nếu bạn đang lập kế hoạch sử dụng Unix KDC

 Windows domain controllers

Việc thực thi Kerberos có trong Windows 2000 về sau

2 KDC Installation

Các bước thiết lập KDC của MIT và Heimdal

 Thiết lập sự phân phối

 Tạo 1 lãnh địa

 Khởi động máy chủ

 Kiểm tra

 Thêm các KDCs phụ

Window domain controller

Tạo 1 lãnh địa: trên Window server 2008

Vào Start -> Run -> cmd -> gõ lệnh dcpromo Hộp thoại Welcome to the Active Directory Domain Services Installation Wizard: chọn “Use advanced mode installation” >Next

Hộp thoại Choose a Deployment Configuration: chọn “Create a new domain

in a new forest” > Next

Hộp thoại Name the Forest RootDomain: Nhập tên cuong.net > Next

Hệ thống sẽ kiểm tra tên miền vừa nhập

Hộp thoại Domain NetBIOS Name =>Next

Hộp thoại Set Forest Functional Level: chӑn Windows Server 2008 => Next

Hộp thoại Additional Domain Controller Options:chọn “DNS server” =>

Next

Hộp thoại Active Directory Domain Services Installation Wizard: Yes

Hộp thọa Location for Database Log Files, and SYSVOL: Next

Hộp thoại Directory Services Restore Mode Administrator Password: Nhập pass > Next