1. Trang chủ
  2. » Giáo Dục - Đào Tạo

CSATTT 08 kerberos

30 83 3

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

THÔNG TIN TÀI LIỆU

Thông tin cơ bản

Định dạng
Số trang 30
Dung lượng 2,1 MB

Cấu trúc

  • Tìm hiểu về giao thức xác thực Kerberos

  • LỜI MỞ ĐẦU

  • I. Giao thức xác thực Kerberos

    • 1. Tổng quan về giao thức Kerberos

      • 1.1. Tổng quan

      • 1.2. Lịch sử phát triển

      • 1.3. Ứng dụng của Kerberos

    • 2. Nội dung giao thức Kerberos

      • 2.1. Khái niệm

        • 2.1.1. Khái niệm

        • 2.1.2. Mục tiêu

        • 2.1.3. Yêu cầu của Kerberos

      • 2.2. Các thành phần

        • 2.2.1. Realm và Principa

        • 2.2.2. KDC – Key Distribution Center

        • 2.2.3. AS, TGS, Database

        • 2.2.4. Ticket

        • 2.2.5. Khóa phiên

      • 2.3. Nguyên lý hoạt động

        • 2.3.1. Mô tả hoạt động

        • 2.3.2. Ba pha hoạt động

      • 2.4. Đánh giá

        • 2.4.1. Ưu điểm

        • 2.4.2. Nhược điểm

  • II. Quá trình xác thực Kerberos

    • 1. Cấu hình Domain Controller

      • 1.1. Cấu hình domain

      • 1.2. Kết quả và cấu hình Domain

    • 2. Cấu hình Client

      • 2.1. Cấu hình IP của Client

      • 2.2. Cấu hình lient vào Domain

      • 2.3. Kết quả bắt gói tin Kerberos trong Wireshark

  • III. Kết luận

Nội dung

Giao thức xác thực Kerberos

Tổng quan về giao thức Kerberos

Kerberos là một giao thức chứng thực mạng mạnh mẽ, được phát triển trong dự án Athena của Học viện Công nghệ Massachusetts (MIT) Giao thức này cung cấp cơ chế chứng thực hiệu quả cho các ứng dụng client/server trong môi trường mạng phân tán.

Nó cho phép cá nhân giao tiếp an toàn trên mạng không bảo mật bằng cách xác thực người dùng với nhau thông qua cơ chế bảo mật, giúp ngăn chặn nghe lén và tấn công phản hồi.

Nó đảm bảo tính toàn vẹn và bảo mật cho thông tin truyền đi thông qua mô hình mã hóa khóa đối xứng, đồng thời yêu cầu sự tham gia của một bên thứ ba đáng tin cậy trong quá trình xác thực.

- Kerberos được phát triển bởi Học viện kỹ thuật Massachusetts (MIT) nhằm bảo vệ những dịch vụ được cung cấp bởi dự án Athena

Giao thức Kerberos, được đặt theo tên một nhân vật trong thần thoại Hy Lạp, là con chó săn ba đầu khổng lồ gác cổng âm phủ.

- Kerberos trải qua nhiều phiên bản, trong đó, các phiên bản từ 1 – 3 chỉ được sử dụng nội bộ bên trong MIT

Steve Miller và Clifford Neuman, hai nhà thiết kế chính của Kerberos phiên bản 4, đã công bố phiên bản này vào cuối thập niên 80 với mục đích chính là phục vụ cho dự án Athena.

Phiên bản 5 của giao thức Kerberos được phát triển bởi John Kohl và Clifford Neuman và được công bố trong RFC 1510 vào năm 1993 Mục đích chính của phiên bản này là giải quyết các giới hạn và vấn đề bảo mật tồn tại trong phiên bản 4.

Windows 2000, XP và 2003 Server sử dụng Kerberos làm phương pháp chứng thực mặc định, trong khi đó, hệ điều hành Mac OS cũng áp dụng Kerberos cho cả phiên bản Client và Server của mình.

- Năm 2005, nhóm làm việc của IETF về Kerberos cập nhật các đặc điểm kỹ thuật tại địa chỉ http://www.ietf.org/html.charters/krb-wg-charter.html.

Các cập nhật gần đây bao gồm:

+ RFC 3961: Các quy định về mật mã hóa và kiểm tra tổng

+ RFC 3962: Mã hoá AES cho Kerberos 5

+ RFC 4120: Phiên bản mới về tiêu chuẩn Kerberos V5: "The Kerberos Network Authentication Service (V5)" Phiên bản này thay thế RFC

1510, làm rõ các vấn đề của giao thức và cách sử dụng + RFC 4121: Phiên bản mới của tiêu chuẩn GSS-API: "Cơ cấu GSS-API của Kerberos Version 5: Version 2."

- OpenSSH (với Kerberos v5 hoặc cao hơn)

- NFS (kể từ NFSv3) PAM (với mô đun pam_krb5)

- Apache (với mô đun mod auth kerb)

Nội dung giao thức Kerberos

Kerberos là một hệ thống chứng thực an toàn sử dụng một bên thứ ba đáng tin cậy, được gọi là Trung tâm phân phối khóa (Key Distribution Center - KDC), để thực hiện quá trình xác thực người dùng.

Kerberos sử dụng ticket để xác thực người dùng, duy trì một cơ sở dữ liệu chứa các secret key Mỗi client và server đều chia sẻ một secret key với nhau, đảm bảo an toàn trong quá trình xác thực.

Kerberos tạo ra một khóa phiên (session key) để đảm bảo an toàn trong quá trình giao tiếp giữa hai thực thể Khóa này đóng vai trò bảo mật cho mọi tương tác giữa các bên.

- Đảm bảo mật khẩu của người dùng không bị thất lạc trên mạng

- Đáp ứng việc mật khẩu của người dùng không lưu trữ trực tiếp trên máy mà sẽ được loại bỏ ngay sau khi sử dụng

- Mật khẩu của người dùng không bao giờ cất giữ trong một hình thức không mã hóa ngay cả trong cơ sở dữ liệu máy chủ dịch vụ.

- Người sử dụng có yêu cầu nhập mật khẩu duy nhất một lần mỗi phiên làm việc Đặc tính này được gọi là Single Sign-On

- Các máy chủ ứng dụng không trực tiếp xác thực thông tin cho người dùng của họ, điều này làm cho hệ thống có được các kết quả:

Người Quản trị có khả năng quản lý tài khoản người dùng trên các máy chủ xác thực mà không cần can thiệp vào các máy chủ dịch vụ Khi người dùng thay đổi mật khẩu, thay đổi này sẽ được cập nhật đồng thời cho tất cả các dịch vụ liên quan.

+ Không có sự xác thực thừa nhằm bảo vệ được mật khẩu

- Đảm bảo xác thực chéo ở cả phía người dùng phải chứng minh mình mà cả bên máy chủ cũng phải xác thực lại người dùng của nó.

- Sau khi hoàn thành xác nhận và uỷ quyền, Client và Server phải có khả năng thiết lập một kết nối đã mã hóa, nếu được yêu cầu

- Các yêu cầu trong Kerberos là:

Bảo mật của Kerberos rất quan trọng, vì nó ngăn chặn kẻ nghe trộm thu thập thông tin cần thiết để giả mạo người dùng Điều này cho thấy rằng Kerberos phải đủ mạnh để không bị xếp vào danh sách các kênh có thể bị xâm nhập bởi kẻ thù.

Kerberos là một hệ thống kiểm soát truy cập đáng tin cậy, được sử dụng trong tất cả các dịch vụ trong mạng Để đảm bảo tính bảo mật và hiệu quả, Kerberos cần phải hoạt động dựa trên kiến trúc máy chủ phân tán.

+ Trong suốt: Người dùng không thể phát hiện ra sự chứng thực, ngoại trừ yêu cầu nhập mật khẩu.

+ Khả năng mở rộng: Hệ thống phải có khả năng hỗ trợ một số lượng lớn máy chủ và máy khách.

Realm là một tên miền xác định phạm vi mà máy chủ xác thực có thẩm quyền sử dụng để xác thực người dùng, máy chủ lưu trữ hoặc dịch vụ.

Tên một chỉ mục trong cơ sở dữ liệu máy chủ xác thực là các thành phần tham gia vào quá trình xác thực trong hệ thống, bao gồm người sử dụng và các server.

Trung tâm phân phối khóa (KDC) đóng vai trò quan trọng trong hệ thống Kerberos, liên quan đến việc xác thực người dùng và dịch vụ Các máy chủ xác thực trong một realm Kerberos có nhiệm vụ phân phối ticket giữa người dùng và nhà cung cấp dịch vụ, đảm bảo an toàn và bảo mật trong quá trình xác thực.

- Trên lý thuyết nó có thể nằm hoàn toàn trên một máy chủ vật lý duy nhất và KDC bao gồm 3 thành phần:

Máy chủ chứng thực AS (Authentication Server) lưu trữ mật khẩu của tất cả người dùng trong một cơ sở dữ liệu tập trung Trong khi đó, Máy chủ cấp khoá TGS (Ticket Granting Server) cung cấp ticket dịch vụ cho người dùng để truy cập vào các máy chủ trên mạng Tất cả thông tin này được quản lý trong một cơ sở dữ liệu (Database) để đảm bảo tính bảo mật và hiệu quả trong việc xác thực người dùng.

- Server xác thực-Authentication Server (AS)

+ Máy chủ xác thực ( Authentication server – AS ) là một phần của

KDC giúp trả lời các yêu cầu xác thực từ các người dùng

Khi người dùng cần xác nhận, họ sẽ đăng nhập bằng tài khoản và mật khẩu của mình, hoặc có thể đăng ký để tạo tài khoản người dùng mới.

Để xác thực yêu cầu của người dùng, AS tiến hành kiểm tra xem danh tính của người yêu cầu có tồn tại trong cơ sở dữ liệu hay không Nếu có, AS sẽ gửi hai gói tin tiếp theo đến người dùng.

 Gói tin A: “Khoá phiên TGS/máy khách” được mật mã hoá với khoá bí mật của người dùng

Gói tin B, hay còn gọi là “Vé chấp thuận” (TGT), bao gồm các thông tin như ID, địa chỉ mạng của người dùng, thời hạn của vé và “Khoá phiên TGS/máy khách” Tất cả thông tin này được mã hóa bằng khoá bí mật của TGS để đảm bảo tính bảo mật.

+ Người dùng có thể sử dụng TGT để có được cung cấp vé dịch vụ khác mà không cần phải đăng nhập lại

- Server cấp vé-Ticket Granting Server (TGS )

TGS có nhiệm vụ quan trọng trong việc kiểm tra tính hợp lệ và xác thực giữa người dùng và máy chủ ứng dụng, đồng thời đảm bảo tính hợp lệ của các vé TGT.

Nếu vé TGT của người dùng hợp lệ, hệ thống sẽ cấp cho họ một ticket thông hành mới, cho phép truy cập vào các server ứng dụng.

+ Cơ sở dữ liệu cho các mục chứa các liên kết với người sử dụng và dịch vụ Mỗi mục chứa các thông tin sau:

 Khoá mật mã và có thông tin liên quan.

 Thời gian hiệu lực tối đa cho một vé

 Thời gian tồn tại tối đa một vé, có thể được gia hạn (chỉ ở

 Các thuộc tính hoặc cờ đặc trưng cho những hành vi của vé.

+ Nó giúp đảm bảo các thông tin này sẽ được mã hóa và sao lưu và việc trao đổi giữa các các máy với nhau.

- Vé là cái được Client gởi đến một ứng dụng máy chủ để chứng minh sự xác thực của nó nhằm mục đích nhận dạng

- Vé được phát hành bởi các máy chủ xác thực và được mã hóa bằng cách sử dụng khoá bí mật của các dịch vụ

Quá trình xác thực Kerberos

Cấu hình Domain Controller

- Tạo một Domain trên Windows Server 2008

- Vào Start  Run  gõ “cmd”  gõ “dcpromo”

- Hộp thoại Welcome to the Actice Directory Domain Services InstallationWizard: chọn Next

- Hộp thoại Choose a Deployment Configuration: Chọn Creat a new domain in a new forest  Next

- Hộp thoại Name the Forest RootDomain: Gõ hoang.com  Next

- Hệ thống kiểm tra tên miền vừa nhập

- Hộp thoại NetBios Name: Gõ Hoang  Next

- Hộp thoại Set Forest Functional Level và Set Domain Functional Level chọn: Windows Server 2008  Next

- Hệ thống kiểm tra cấu hình DNS

- Hộp thoại Additional options for this domain controller:DNS ServerNext

- Hộp thoại Active Directory Domain Services Installation Wizard chọn: Yes

- Hộp thoại Location for Database, Log Files, and SYSVOL chọn: Next

- Hộp thoại Directory Services Restore Mode Administrator Password: Nhập Pass  Next

1.2 Kết quả và cấu hình Domain

- Kết quả đã có domain hoang.com và máy Server đang nằm trong Domain mới

Cấu hình Client

2.1 Cấu hình IP của Client

- Kiểm tra kết nối tới Domain

2.2 Cấu hình lient vào Domain

- Vào Domain hoang.com với tài khoản Administrator

- Kết quả đã vào domain thành công

2.3 Kết quả bắt gói tin Kerberos trong Wireshark

Ngày đăng: 13/10/2021, 08:29

HÌNH ẢNH LIÊN QUAN

- Khách hàng truy cập và được cấp phép sử dung dịch vụ - CSATTT 08 kerberos
h ách hàng truy cập và được cấp phép sử dung dịch vụ (Trang 11)
Hình 1.2 - CSATTT 08 kerberos
Hình 1.2 (Trang 12)
Hình 1.4 - CSATTT 08 kerberos
Hình 1.4 (Trang 14)
Hình 1.6 2. Bên TGS - CSATTT 08 kerberos
Hình 1.6 2. Bên TGS (Trang 15)
Hình 1.7 - CSATTT 08 kerberos
Hình 1.7 (Trang 16)
Hình 1.8 1. Bên Client - CSATTT 08 kerberos
Hình 1.8 1. Bên Client (Trang 16)
Hình 1.9 2. Bên máy chủ dịch vụ - CSATTT 08 kerberos
Hình 1.9 2. Bên máy chủ dịch vụ (Trang 17)
Hình 2.2 - CSATTT 08 kerberos
Hình 2.2 (Trang 19)
Hình 2.1 - CSATTT 08 kerberos
Hình 2.1 (Trang 19)
Hình 2.4 - CSATTT 08 kerberos
Hình 2.4 (Trang 20)
Hình 2.3 - CSATTT 08 kerberos
Hình 2.3 (Trang 20)
Hình 2.5 - CSATTT 08 kerberos
Hình 2.5 (Trang 21)
Hình 2.6 - CSATTT 08 kerberos
Hình 2.6 (Trang 21)
- Hệ thống kiểm tra cấu hình DNS - CSATTT 08 kerberos
th ống kiểm tra cấu hình DNS (Trang 22)
Hình 2.7 - CSATTT 08 kerberos
Hình 2.7 (Trang 22)
Hình 2.10 - CSATTT 08 kerberos
Hình 2.10 (Trang 23)
Hình 2.9 - CSATTT 08 kerberos
Hình 2.9 (Trang 23)
Hình 2.12 - CSATTT 08 kerberos
Hình 2.12 (Trang 24)
Hình 2.11 - CSATTT 08 kerberos
Hình 2.11 (Trang 24)
Hình 2.14 - CSATTT 08 kerberos
Hình 2.14 (Trang 25)
Hình 2.13 - CSATTT 08 kerberos
Hình 2.13 (Trang 25)
Hình 2.15 - CSATTT 08 kerberos
Hình 2.15 (Trang 26)
1.2. Kết quả và cấu hình Domain - CSATTT 08 kerberos
1.2. Kết quả và cấu hình Domain (Trang 26)
- Cấu hình IP, DNS - CSATTT 08 kerberos
u hình IP, DNS (Trang 27)
2.1. Cấu hình IP của Client - CSATTT 08 kerberos
2.1. Cấu hình IP của Client (Trang 27)
Hình 2.19 - CSATTT 08 kerberos
Hình 2.19 (Trang 28)
2.2. Cấu hình lient vào Domain - CSATTT 08 kerberos
2.2. Cấu hình lient vào Domain (Trang 28)
Hình 2.21 - CSATTT 08 kerberos
Hình 2.21 (Trang 29)
Hình 2.22 - CSATTT 08 kerberos
Hình 2.22 (Trang 29)

TỪ KHÓA LIÊN QUAN

TÀI LIỆU CÙNG NGƯỜI DÙNG

TÀI LIỆU LIÊN QUAN

w