O que é Kerberos ?

-

                                                Kerberos


Hoje irei explicar de uma forma SIMPLES o que é o serviço de autenticação Kerberos e como ele funciona.

Introdução:

Imagine  uma empresa, que usa diversas aplicações, Todas elas tem autenticação de usuários local, imagine como seria frustrante gerenciar toda essa empresa? o mesmo usuário poderia estar com nome divergente em varias aplicações e com varias senhas diferentes configuradas entre essas aplicações , imagine agora que você precisaria dar permissões de serviços para cada usuário um caos não concorda? Isso sem falar da segurança, Uma rede sem autenticação está suscetível a vários ataques como : Um usuário pode utilizar o mesmo endereço de uma maquina vitima para se passar por ela, Um usuário poderia facilmente capturar pacotes da rede e replicar eles para a maquina vitima, assim reproduzindo uma autenticação. Foi por esses e outros problemas que surgiu o Kerberos.

O serviço de autenticação Kerberos foi desenvolvido pelo MIT com o objetivo de proteger os serviços fornecidos em sua rede (projeto Athena -1988).

O Serviço kerberos não trafega a senha do usuário em aberto isso quer dizer que, usa uma chave simétrica para criptografar a senha do usuário gerando um hash.

"*Curiosidade - A partir do windows 2000 a microsoft passou a utilizar a sua própria versão do Kerberos, assim substituindo o NTLMv2, Então o Active Directory é um Kerberos? Não o Active Directory tem um kerberos e faz muito mais.*"

Como funciona a Topologia de um Kerberos?

Authentication Server (AS): É o servidor de autenticação, responsável
por verificar a identidade do usuário (login) e gerar um ticket especial
(Ticket Granting Ticket – TGT) para acesso ao TGS. O AS conhece a
senha (password) de todos os usuários da rede.

Ticket Granting Server (TGS): É o servidor de concessão de tickets de
autorização usados para um usuário acessar um determinado serviço.
Ao receber um TGT, o TGS gera um ticket de autorização de acesso ao
serviço desejado.

Como um usuário Kerberos acessa o sistema ?

Para acessar um serviço da rede um usuário precisa apresentar um ticket de
autorização a este serviço.

1- O usuário se identifica no sistema (username, Password, Private key etc)
2- Caso o usuário exista no sistema o Servidor AS entrega um ticket ao usuário (TGT).
3- Com esse Ticket o usuário pede acesso a um serviço de rede ao servidor TGS com o ticket TGT  o servidor TGS sabe que o usuário é valido na rede.
4- O Servidor TGS envia ao usuário um ticket TGS que garante acesso aos serviços requisitados.
5- O Usuário acessa o serviço.





De uma forma bem introdutória e simples espero que tenham conseguido ter uma noção maior do sistema de autenticação Kerberos.

Neste link abaixo tem uma explicação da propria microsoft com mais detalhes;

https://technet.microsoft.com/en-us/library/bb742516.aspx

Caso tenha alguma duvida mais tecnica sobre o assunto pode perguntar.

Caso deseje dar uma olhada na RFC ; https://tools.ietf.org/html/rfc1510

Obrigado.

Comentários

Postar um comentário

Postagens mais visitadas deste blog

VPN Site-To-Site PFsense Com IPsec (Parte 2)

-
Imagem
 Continuando nosso tutorial ; No Ultimo Box do Phase 2 Advanced Configuration;    Automatically ping host : Se quiser colocar o IP do Computador que esta na rede do PFsense2 não terá problema, mas pode deixar em branco se preferir.  Salve.   Agora volte para a Guia VPN/IPsec/Tunnels  Teremos o Resumo da nossa configuração ;  Fim. Configuração do Pfsense2  Configure Tudo exatamente Como Foi configurado no PFsense1 Apenas com algumas mudanças ;   Faça login com seu usuario e senha ;   Nós menus superiores, navegue ate as opções de VPN e abra as opções de IPsec; Agora clique sobre o botão Add P1 (Phase 1); No Primeiro Box do Phase 1 General Information;  O remote Gateway será o IP Publico da rede que esta o PFsense1 no nosso caso 179.191.81.114;   Na Guia Pre  Shared Key no Pfsense2   Voce vai adicionar o a MESMA senha que voce utilizou no PFsense1 porém...
Leia mais

VPN Site-To-Site PFsense Com IPsec (Parte 1)

-
Imagem
Boa tarde!! Hoje vamos aprender a criar uma VPN Site-To-Site com IPsec utilizando o firewall Pfsense; Antes de começar se você ainda não sabe como o IPsec age no cabeçalho ip veja esse meu post : https://kelpienerd.blogspot.com.br/2018/01/oque-e-ipsec.html a explicação está um pouco tecnica. Mãos na massa! Este será nosso cenário de testes;  Cenário ;  Vamos criar uma VPN utilizando IPsec entre; Pfsense1 Rede interna - 192.168.1.0/24 Rede externa - 179.191.81.114 Pfsense2 Rede interna (Lan) - 172.16.70.0/24 Rede Externa (wan) - 179.111.61.122 Na rede do Pfsense1 existe um computador ; IP: 192.168.1.5/24 E vamos fazer ele ter comunicação com um outro computador que esta na rede do Pfsense2 IP: 172.16.70.1/24 Neste Tutorial não vou ensinar a provisionar o PFsense, è pré-requisito que vocẽ já esteja com ele instalado e funcionando em sua rede. Configurações do Pfsense1; Faça login com seu usuario e senha ; Nós menus superiores, naveg...
Leia mais

Oque é IPSEC ?

-
Imagem
Bom dia, Hoje irei explicar um pouco sobre o que é IPSec  e como implementar. Primeiro de tudo. O que é IPSec?  IPSec  faz parte de um dos protocolos mais utilizados para a criação de uma VPN, Desenvolvido pela IETF  ( Padrão aberto) o IPSec  realiza  tunelamento de camada 3  com criptografia e autenticação.  Junto ao IPSec  temos mais 3 protocolos ; •    Authentication Header (AH), •    Encapsulating  Security Protocol (ESP), •    Internet Key Exchange (IKE), Todos esses protocolos fazem usos de associações de segurança (Sas), Isso significa que sao acordadas entre as duas pontas as configurações de segurança da VPN antes da mesma ser criada  (isso deve ja estar combinado para as configurações não divergirem nss dois nós que formarão  a VPN.     Uma Associaçao de segurança e  identificada por  tres parametros: •    Security P...
Leia mais