HỌC VIỆN KỸ THUẬT MẬT MÃ KHOA AN TỒN THƠNG TIN BÁO CÁO BÀI TẬP LỚN Đề tài: Tìm hiểu giao thức xác thực Kerberos Giảng viên hướng dẫn : Vũ Thị Vân LỜI MỞ ĐẦU Hiên công nghệ thông tin phát triển cách mạnh mẽ, kèm việc sử dụng rộng rãi hệ thống máy tính cá nhân hay tổ chức Vì thơng tin quan trọng lưu trữ ngày nhiều, mục tiêu đa số công mạng Cũng lý mà việc có biện pháp hay áp dụng sách thích hợp để đảm bảo hệ thống máy chủ ln tình trạng an tồn thơng tin khơng bị đánh cắp Một vần đề cần lưu ý vấn đề xác thực hệ phân tán yếu tố vô quan trọng hệ phân tán khơng thể làm việc đơn lẻ mà phải tương tác với Trong trình tương tác hệ phân tán phải có trình xác thực để đảm bảo yêu cầu bảo mật gia tăng quyền hạn cho thành viên, đặc biệt để chống lại nguy bảo mật ngày gia tăng Hiện có nhiều phương pháp xác thực người dùng được áp dụng phổ biến như: username password, chữ ký số, Tokens,… Trong Kerberos giao thức với chế bảo mật tốt, có độ tin cậy cao giao thức xác thực mã nguồn cung cấp miễn phí mà đem lại hiệu cao MỤC LỤC LỜI MỞ ĐẦU I Giao thức xác thực Kerberos 1 Tổng quan giao thức Kerberos 1.1 Tổng quan 1.2 Lịch sử phát triển 1.3 Ứng dụng Kerberos 2 Nội dung giao thức Kerberos .2 2.1 Khái niệm .2 2.2 Các thành phần .4 2.3 Nguyên lý hoạt động 2.4 Đánh giá .15 II Quá trình xác thực Kerberos 16 Cấu hình Domain Controller 16 1.1 Cấu hình domain 16 1.2 Kết cấu hình Domain 24 Cấu hình Client 24 2.1 Cấu hình IP Client 24 2.2 Cấu hình lient vào Domain 26 2.3 Kết bắt gói tin Kerberos Wireshark 28 III Kết luận 28 I Giao thức xác thực Kerberos Tổng quan giao thức Kerberos 1.1 Tổng quan - Kerberos giao thức chứng thực mạng phát triển dự án Athena học viện công nghệ Massachusetts (MIT) Kerberos chế chứng thực mạnh cho ứng dụng client/server mơi trường mạng phân tán - Nó cho phép cá nhân giao tiếp với mạng không an toàn cách xác thực người dùng với người dùng khác theo chế bảo mật an tồn giúp chống nghe hay cơng reply attack mạng - Nó đảm bảo tính tồn vẹn tính mật cho thơng tin truyền đi, dựa mơ hình mã hóa khóa đối xứng đòi hỏi thành phần thứ ba tin cậy (trusted third party) tham gia vào trình chứng thực 1.2 Lịch sử phát triển - Kerberos phát triển Học viện kỹ thuật Massachusetts (MIT) nhằm bảo vệ dịch vụ cung cấp dự án Athena - Giao thức đặt tên dựa theo nhân vật thần thoại Hy Lạp Kerberos (hay Cerberus), chó săn đầu khổng lồ âm phủ - Kerberos trải qua nhiều phiên bản, đó, phiên từ – sử dụng nội bên MIT - Steve Miller Clifford Neuman, người thiết kế Kerberos phiên 4, công bố phiên vào cuối thập niên 80, mục đích họ dùng để phục vụ cho dự án Athena - Phiên 5, phát triển John Kohl Clifford Neuman, xuất RFC 1510 vào 1993, với mục đích khắc phục giới hạn vấn đề liên quan đến bảo mật phiên - Windows 2000, XP 2003 Server sử dụng Kerberos phương pháp chứng thực mặc định Hệ điều hành Mac OS sử dụng Kerberos phiên Client Server - Năm 2005, nhóm làm việc IETF Kerberos cập nhật đặc điểm kỹ thuật địa http://www.ietf.org/html.charters/krb-wg-charter.html Các cập nhật gần bao gồm: + RFC 3961: Các quy định mật mã hóa kiểm tra tổng + RFC 3962: Mã hoá AES cho Kerberos + RFC 4120: Phiên tiêu chuẩn Kerberos V5: "The Kerberos Network Authentication Service (V5)" Phiên thay RFC 1510, làm rõ vấn đề giao thức cách sử dụng + RFC 4121: Phiên tiêu chuẩn GSS-API: "Cơ cấu GSS-API Kerberos Version 5: Version 2." 1.3 Ứng dụng Kerberos - OpenSSH (với Kerberos v5 cao hơn) - NFS (kể từ NFSv3) PAM (với mô đun pam_krb5) - SOCKS (kể từ SOCKS5) Apache (với mô đun mod auth kerb) Devecot IMAP4 POP3 Hệ thống X Windows Nội dung giao thức Kerberos 2.1 Khái niệm 2.1.1 Khái niệm - Kerberos sử dụng đối tác tin cậy bên thứ ba để thực trình chứng thực, gọi Trung tâm phân phối khóa (Key Distribution Center - KDC) - Kerberos làm việc dựa ticket để thực trình chứng thực người dùng Kerberos trì sở liệu chứa secret key; client server chia sẻ secret key thân với Kerberos - Để thực trình giao tiếp thực thể, Kerberos tạo session key Khóa dùng để bảo mật q trình tương tác thực thể với 2.1.2 Mục tiêu - Đảm bảo mật người dùng không bị thất lạc mạng - Đáp ứng việc mật người dùng không lưu trữ trực tiếp máy mà loại bỏ sau sử dụng - Mật người dùng không cất giữ hình thức khơng mã hóa sở liệu máy chủ dịch vụ - Người sử dụng có yêu cầu nhập mật lần phiên làm việc Đặc tính gọi Single Sign-On - Các máy chủ ứng dụng không trực tiếp xác thực thông tin cho người dùng họ, điều làm cho hệ thống có kết quả: + Người Quản trị quản lý tập trung tài khoản người dùng máy chủ xác thực mà không cần thao tác máy chủ dịch vụ + Khi người dùng thay đổi mật mình, thay đổi cho tất dịch vụ lúc + Khơng có xác thực thừa nhằm bảo vệ mật - Đảm bảo xác thực chéo phía người dùng phải chứng minh mà bên máy chủ phải xác thực lại người dùng - Sau hoàn thành xác nhận uỷ quyền, Client Server phải có khả thiết lập kết nối mã hóa, yêu cầu 2.1.3 Yêu cầu Kerberos - Các yêu cầu Kerberos là: + Bảo mật : Một kẻ nghe trộm bắt thông tin cần thiết để giả mạo người dùng Nghĩa Kerberos phải đủ mạnh để kẻ địch khơng thể liệt vào kênh xâm nhập + Đáng tin cậy: Tất dịch vụ mạng sử dụng Kerberos để kiểm soát truy nhập Vì thế, Kerberos phải đáng tin cậy phải sử dụng kiến trúc máy chủ phân tán + Trong suốt: Người dùng phát chứng thực, ngoại trừ yêu cầu nhập mật + Khả mở rộng: Hệ thống phải có khả hỗ trợ số lượng lớn máy chủ máy khách 2.2 Các thành phần 2.2.1 Realm Principa - Realm: Là tên miền để thiết lập giới hạn phạm vi mà máy chủ xác thực có thẩm quyền để xác thực người dùng, máy chủ lưu trữ dịch vụ - Principal: Tên mục sở liệu máy chủ xác thực thành phần tham gia xác thực hệ thống bao gồm người sử dụng server 2.2.2 KDC – Key Distribution Center - Trung tâm phân phối khóa (Key Distribution Center - KDC) đối tượng hệ thống Kerberos liên quan đến việc xác thực người dùng dịch vụ Các máy chủ xác thực realm kerberos có chức phân phối ticket người dùng nhà cung cấp dịch vụ - Trên lý thuyết nằm hồn tồn máy chủ vật lý KDC bao gồm thành phần: + Máy chủ chứng thực AS (Authentication Server): biết mật tất người dùng lưu giữ sở liệu tập trung chứa + Máy chủ cấp khoá TGS (Ticket Granting Server): cung cấp ticket dịch vụ cho người dùng truy nhập vào máy chủ mạng + Cơ sở liệu (Database) 2.2.3 AS, TGS, Database - Server xác thực-Authentication Server (AS) + Máy chủ xác thực ( Authentication server – AS ) phần KDC giúp trả lời yêu cầu xác thực từ người dùng + Khi người sử dụng có yêu cầu xác nhận, họ đăng nhập tài khoản mật ( đăng ký khởi tạo tài khoản người dùng ) + Để đáp lại yêu cầu xác thực người dùng, AS kiểm tra nhân dạng người yêu cầu có nằm sở liệu hay khơng Nếu có AS gửi gói tin sau tới người dùng  Gói tin A: “Khố phiên TGS/máy khách” mật mã hố với khố bí mật người dùng  Gói tin B: “Vé chấp thuận”(TGT) (bao gồm ID, địa mạng người dùng, thời hạn vé “Khoá phiên TGS/máy khách”) mật mã hoá với khoá bí mật TGS + Người dùng sử dụng TGT để có cung cấp vé dịch vụ khác mà không cần phải đăng nhập lại - Server cấp vé-Ticket Granting Server (TGS ) + Có nhiệm vụ kiểm tra tính hợp lệ đảm bảo xác thực giưa người dùng với máy chủ ứng dụng TGS có nhiệm vụ kiểm tra tính hợp lệ vé TGT + Nếu vé TGT người dùng hợp lệ cấp cho người dùng ticket thơng hành để truy cập vào server ứng dụng - Cơ sở liệu + Cơ sở liệu cho mục chứa liên kết với người sử dụng dịch vụ Mỗi mục chứa thơng tin sau:  Khố mật mã có thông tin liên quan  Thời gian hiệu lực tối đa cho vé  Thời gian tồn tối đa vé, gia hạn (chỉ Kerberos 5)  Các thuộc tính cờ đặc trưng cho hành vi vé  Mật hết hạn + Nó giúp đảm bảo thơng tin mã hóa lưu việc trao đổi các máy với 2.2.4 Ticket - Vé Client gởi đến ứng dụng máy chủ để chứng minh xác thực nhằm mục đích nhận dạng - Vé phát hành máy chủ xác thực mã hóa cách sử dụng khố bí mật dịch vụ - Khố khóa bí mật chia sẻ máy chủ xác thực máy chủ cung cấp dịch vụ, Client yêu cầu cấp vé Nội dung vé gồm: + Những yêu cầu người sử dụng thiết yếu + Địa IP máy khách mà từ vé sử dụng + Ngày thời vé có tính hợp lệ + Vịng đời tối đa vé + Các khóa phiên - Một vé tạo KDC mã hoá để đảm bảo người khơng có khố khơng mở để sửa - Bởi Kerberos xác thực lần đăng nhập nên sau đăng nhập ngồi máy tham gia vào hệ thơng Kerberos Vì vậy, vé Kerberos có vịng đời ngắn, khoảng từ 10-24h Điều thuận tiện cho việc đăng nhập lần ngày làm việc người dùng, hạn chế việc cơng lấy liệu quan trọng 2.2.5 Khóa phiên - Người dùng dịch vụ chia sẻ bí mật với KDC Khóa người sử dụng phép băm thông tin đầu vào mật cho Đối với server dịch vụ, chìa khóa bí mật họ (được đặt quản trị viên) Các khóa gọi khóa dài hạn, khơng thay đổi phiên làm việc thay đổi - Ở người dùng phải xác thực server dịch vụ cho thời gian khách hàng có phiên làm việc mở dịch vụ đó, tạo KDC vé ban hành, gọi khóa phiên - Các khóa phiên đóng vai trị chứng minh xác thực người sử dụng 2.3 Nguyên lý hoạt động 2.3.1 Mô tả hoạt động - Kerberos hoạt động dựa máy chủ chứng thực tập trung KDC (Key Distribution Centre) KDC cung cấp vé cho việc chứng thực người dùng bảo mật khoá phiên vé gồm giai đoạn bước trao đổi: - Client chứng thực AS (Authentication Server - biết khoá mật tất người dùng lưu giữ sở liệu tập trung ) + AS_REQ yêu cầu từ người dùng xác thực ban đầu yêu cầu chuyển trực tiếp tới Authentication Server (AS) + AS_REP trả lời máy chủ xác thực với yêu cầu trước người dùng Nó chứa TGT (mã hóa cách sử dụng khóa TGS bí mật) khóa phiên (được mã hóa khóa bí mật người dùng yêu cầu) - Client xác thực TGS (Ticket Granting Server - cung cấp vé dịch vụ cho phép người dùng truy nhập vào máy chủ mạng) + TGS_REQ yêu cầu từ khách hàng đến Máy chủ cấp vé (TGS) cho vé vào máy chủ dịch vụ Về chứa TGT (mã hóa cách sử dụng khóa TGS bí mật) khóa phiên (được mã hóa khóa bí mật người dùng yêu cầu) + TGS_REP trả lời TGS với yêu cầu trước người dùng Nó gồm vé dịch vụ theo yêu cầu người dùng (được mã hóa với khóa bí mật dịch vụ) phiên dịch vụ khóa tạo TGS mã hóa khóa phiên trước tạo AS - Khách hàng truy cập cấp phép sử dung dịch vụ + AP_REQ yêu cầu khách hàng gửi tới máy chủ ứng dụng để truy cập vào dịch vụ Các phần gói tin vé dịch vụ thu từ TGS xác thực tạo khách hàng, lần mã hóa khóa phiên dịch (tạo TGS) + AP_REP trả lời máy chủ ứng dụng cung cấp cho khách hang để chứng minh thực máy chủ khách hàng mong muốn thực kết nối - Tóm tắt quy trình hoạt động: người sử dụng chứng thực với máy chủ xác thực AS (Authentication Server), sau chứng minh với máy chủ cấp vé TGS (Ticket Granting Server) chứng thực để nhận vé sử dụng dịch vụ, cuối chứng minh với máy chủ dịch vụ chấp thuận để sử dụng dịch vụ Hình 2.2 - Hộp thoại Name the Forest RootDomain: Gõ hoang.com  Next 17 ... 2.3 Kết bắt gói tin Kerberos Wireshark 28 III Kết luận 28 I Giao thức xác thực Kerberos Tổng quan giao thức Kerberos 1.1 Tổng quan - Kerberos giao thức chứng thực mạng phát triển... I Giao thức xác thực Kerberos 1 Tổng quan giao thức Kerberos 1.1 Tổng quan 1.2 Lịch sử phát triển 1.3 Ứng dụng Kerberos 2 Nội dung giao thức Kerberos. .. nhiều phương pháp? ?xác? ?thực? ?người dùng được áp dụng phổ biến như: username password, chữ ký số, Tokens,… Trong Kerberos giao thức với chế bảo mật tốt, có độ tin cậy cao giao thức xác thực mã nguồn