Kerberos Thực hiện: Trần Dương Khánh Huy  Nguyễn Hoàng Danh NỘI DUNG TRÌNH BÀY  GIỚI THIỆU VỀ KERBEROS  MÔ TẢ VÀ NGUYÊN TẮT HOẠT ĐỘNG CỦA KERBEROS  DEMO THỰC NGHIỆM Giới Thiệu  Kerberos giao thức mật mã dùng để xác thực mạng máy tính theo mơ hình client -server hoạt động đường truyền khơng an tồn Giao thức Kerberos có khả chống lại việc nghe hay gửi lại gói tin cũ đảm bảo tính tồn vẹn liệu Giao thức xây dựng mật mã khóa đối xứng (vừa mã hóa vừa giải mã) cần đến bên thứ mà phía tham gia giao dịch tin tưởng  Tên giao thức Kerberos lấy từ tên chó ba đầu Cerberus canh gác cổng địa ngục thần thoại Hy Lạp Nó phát triển dự án Athena học viện công nghệ MIT Các phiên Kerberos:  Phiên Từ – sử dụng nội MIT  phiên 4, Steve Miller Clifford Neuman, xuất giao thức công chúng vào cuối thập niên 1980  phiên 5, John Kohl Cilfford Neuman thiết kế, xuất vào năm 1993 (mục đích sửa lỗi phiên Ứng Dụng OpenSSH (với Kerberos v5 cao hơn)  NFS (kể từ NFSv3) PAM (với mô đun pam_krb5)  SOCKS (kể từ SOCKS5)  Apache (với mô đun mod auth kerb)  Devecot IMAP4 POP3  Hệ thống X Windows Mơ Hình Kerberos Key Distribution Center - KDC Authentication Server (AS) Client A Ticket Granting Server (TGS) Hub Switch Client B Service Server (SS) Nguyên Tắt Hoạt Động Mô tả tóm tắt: Người dùng Client A gửi yêu cầu chứng thực tới AS, Máy chủ chứng thực (AS) tra liệu có thơng tin Client A cho phép Client A giao tiếp tới cổng TGS (Trung Tâm Cấp Vé) Sau đó, Client A gửi yêu cầu tới Máy Chủ Cấp Vé TGS chứng thực AS cấp phép, yêu cầu để nhận Vé Chấp Thuận từ TGS TGS xem xác minh AS xác thực, cấp cho Client vé vào cổng Dịch Vụ Máy Chủ (SS) Client vào SS xác thực với SS Chấp Thuận tay có vé vào cổng Cuối Client gửi yêu cầu muốn, tới Dịch Vụ Máy Chủ SS Máy Chủ Dịch Vụ chấp thuận yêu cầu cho Client A trò chuyện với Client B Một phiên giao dịch (giản lược) Kerberos : giai đoạn bước trao đổi Giai đoạn 1:  Người sử dụng Client nhập Username Password để tiến hành đăng nhập  Phần mềm máy Client mã hóa Password với hàm băm chiều, kết mã hóa làm khóa bí mật người sử dụng client  Phần mềm máy khách client gửi gói tin khơng mã hóa (username, địa mạng người sử dụng) đến máy chủ AS (máy chủ chứng thực) để yêu cầu chứng thực Lưu ý khóa bí mật người sử dụng client lẫn Password không gửi tới AS  AS kiểm tra xem username client có nằm sở liệu database khơng, có gửi gói tin sau tới người sử dụng:  Gói tin A: gồm (Thời gian, thời hạn, yều cầu cần client “Khóa phiên TGS/Client”) mật mã hóa với khóa bí mật người sử dụng có người sử dụng mở gói tin A  Gói tin B: “Vé chấp thuận” (bao gồm username, địa mạng người sử dụng, thời gian, thời hạn vé “Khóa phiên TGS/Client”) mật mã hóa với khóa bí mật TGS Hộp thoại DNS Registration Diagnostics -> Next Hộp thoại Permission -> chọn Permission compatible only with -> Next Hộp thoại Directory Services…-> Next Hộp thoại Summary -> Next Hệ thống tiến hành q trình nâng cấp Domain Controller Nâng cấp hồn tất -> Finish chọn Restart để khởi động lại Server Join vào Domain từ máy client: Click phải My Computer -> chọn Properties -> Tab Computer Name -> Change Hộp thọai Computer Name Change -> chọn Domain nhập Huetch.com -> OK Join hoàn thành System Setting Changer >Yes Client đăng nhập  client ip 172.16.1.7 gửi yêu cầu request lên server ip 172.16.1.1 để AS chứng thực thông tin user id client,  server ip 172.16.1.1 hồi đáp yêu cầu reply tới client thông báo kiểm tra database xác thực có user id client  Client gửi thông tin yêu cầu request cấp vé chấp thuận TGS để vào dịch vụ mà client muốn  Server hồi đáp reply lại yêu cầu client cấp vé chấp thuận  có vé chấp thuận dịch vụ cấp , client gọi thủ tục hệ thống phát triễn phân phối mạng máy tính DCERPC , để đăng nhập kết nối vào tài khoản domain join domain  Server nhận gọi kiểm tra xem có dns khơng Nếu chấp thuận cho phép client kết nối  chấp thuận vào môi trường domain Client thay đổi gọi tới user domain để kết nối  Client gửi yêu cầu request dịch vụ SMB( Server Message Block) đòi phiên cài đặt hệ thống tập tin để cung cấp chia sẻ tập tin, máy in, cổng nối tiếp  Server hồi đáp response phiên cài đặt client thành công  Client gửi yêu cầu request tới LDAP yêu cầu truy cập dịch vụ thư mục mà Client cần  Server hồi đáp response thành công Tài liệu tham khảo:  http://forum.technet.com.vn/showthread.php?t=290  http://forum.4u-vn.com/security-zone/243-t%E1%BB%95ng-quan -v%E1%BB%81-kerberos.html  http://vnexperts.net/bai-viet-ky-thuat/security/489-tim-hiu-v-giao-th c-xac-thc-kerberos.html  http://kieuvinh.wordpress.com/2011/12/12/quy-trinh-ho%E 1%BA%A1t-d%E1%BB%99ng-c%E1%BB%A7a-giao-th%E1%BB% beros/  http://forum.athena.edu.vn/client-operating-system/87-tim-hieu-ve-g iao-thuc-xac-thuc-kerberos.html Thanks !!