Вопрос 19. Kerberos. Простой диалог аутентификации. Вопрос 20. Kerberos. Защищенный диалог аутентификации.
Служба аутентификации применяется, чтобы пользователи в распределенной сети могли получать доступ к ее сервисам, при этом обеспечивалась защита от следующих угроз:
НСД;
Подмена IP (IP spoofing);
Воспроизведение ранее перехваченных сообщений.
В данной системе для аутентификации используется третья сторона, так называемый сервер аутентификации (AS), который хранит пароли всех пользователей в централизованной БД, причем распределение паролей осуществляется физическим способом. Также сервер хранит секретный ключ, уникальный для каждого сервера или ресурса сети, позволяющего его идентифицировать.
Для обеспечения конфиденциальности ПД используется симметричная система шифрования (DES на пример). Процедура аутентификации реализуется с помощью специального диалога, состоящего из нескольких шагов.
Простейший диалог аутентификации
1) С→AS; IDc||Pc||IDv;
2) AS →С: мандат, мандат = , ADc – сетевой адрес клиента;
3) С→V: IDc||мандат
«-»:
Данный диалог требует от клиента проходить процедуру аутентификации каждый раз при обращении к сервису с введением пароля;
Пароль передается в открытом виде;
Мандат может быть использован злоумышленником для подмены IP
Для устранения этих «-» используется защищенный алгоритм аутентификации.
Для реализации более защищенного диалога аутентификации будет использован дополнительный сервер TGS или сервер выдачи мандатов. Этот TGS выдает мандаты пользователям, которые были идентифицированы сервером AS. Т.е. пользователь однократно запрашивает мандат на получение мандата у сервера AS и каждый раз его использует для запроса у сервера TGS мандата для доступа к конкретному сервису.
Однократно в ходе сеанса доступа
1) С→AS; IDc||IDTGS;
2) AS→ С: ЕКС[МандатTGS;]
МандатTGS=ЕКTGS[IDc||ADc||IDTGS||TS1||Cрок1]
Однократно для каждого сервиса
3) С→TGS: IDc||IDv||МандатTGS;
4) TGS→С: Мандатv
Мандатv=ЕКv[IDc||ADc||IDv||TS2||Cрок2]
Каждый раз выполняется при каждом использовании сервиса
5) С→V: IDc||Мандатv
«-»:
МандатTGS передается в открытом виде на 3 шаге, соответственно может быть перехвачен и использован им до истечения срока действия мандата, используя подмену IDC и ADC легального пользователя. Все упирается в сроки действия. Нет взаимной аутентификации К и С.
Yandex.RTB R-A-252273-3- Вопрос 1. Сравнение возможностей реализации функций защиты на различных уровнях стека tcp/ip.
- Вопрос 2. Протокол ipSec. Сервисы ipSec. Вопрос 3. Защищенные связи. Режим функционирования ipSec.
- Вопрос 4. Заголовок аутентификации (ан).
- Вопрос 5. Защищенный полезный груз (esp). Комбинации защищенных связей.
- Вопрос 6. Способы защиты потока данных в глобальной сети. Стек протоколов ssl.
- Вопрос 7. Стек протоколов ssl. Протокола записи. Протокол извещения. Протокол изменения параметров шифрования.
- Вопрос 8. Стек протоколов ssl. Протокол квитирования. Этапы согласования параметров соединения.
- Вопрос 9. Классификация сетевых атак.
- Вопрос 10. Сетевые атаки. Пассивные атаки, sniffing. Методы защиты.
- Вопрос 12. Сетевые атаки. Разновидности Spoofing’a.
- Вопрос 13. Сетевые атаки. Атаки на транспортном уровне. Сканирование портов.
- Вопрос 14. Сетевые атаки. Атаки на транспортном уровне. Предсказание sn. Вопрос 15. Сетевые атаки. Атаки на транспортном уровне. Десинхронизация tcp соединения.
- Вопрос 16. Сетевые атаки. Dos-атаки. Flooding.
- Вопрос 17. Защита от сетевых атак. Классификация мсэ.
- Вопрос 18. Защита от сетевых атак. Различные типы окружений для мсэ. Места установки мсэ.
- Вопрос 19. Kerberos. Простой диалог аутентификации. Вопрос 20. Kerberos. Защищенный диалог аутентификации.
- Вопрос 21. Kerberos. Диалог аутентификации Kerberos V.4.
- Вопрос 22. Kerberos. Диалог аутентификации Kerberos V.5.
- Вопрос 23. Kerberos. Области взаимодействия.