1. Trang chủ
  2. » Luận Văn - Báo Cáo

chứng thực điện tử giao thực Kerberos ,mô phỏng nhóm người dùng dùng Kerberos

18 133 2

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

THÔNG TIN TÀI LIỆU

Thông tin cơ bản

Định dạng
Số trang 18
Dung lượng 1,98 MB

Nội dung

LOGO HỌC VIỆN KỸ THUẬT MẬT MÃ KHOA: AN TOÀN THƠNG TIN Tìm hiểu nghiên cứu giao thức Kerberos, xây dựng mơ q trình xác thực kerberos người dùng thuộc nhiều nhóm Nội dung TỔNG TỔNGQUAN QUANVỀ VỀGIAO GIAOTHỨC THỨCXÁC XÁCTHỰC THỰC GIAO THỨC XÁC THỰC KERBEROS XÂY DỰNG MƠ PHỎNG Q TRÌNH XÁC THỰC KERBEROS KHI NGƯỜI DÙNG THUỘC NHIỀU NHÓM Tổng quan giao thức xác thực Tổng quan giao thức xác thực  Khái niệm xác thực  Xác thực hành vi xác nhận thật thuộc tính kiện tổ chức Mục đích Chứng minh định danh hợp lệ phù hợp với người dùng  Quyết định có cho phép người dùng truy cập vào tài nguyên hệ thống hay không Phân loại - Xác thực thực thể - Xác thực liệu Tổng quan giao thức xác thực Phương pháp xác thực • Những bạn biết? Ví dụ: Password, mã pin, • Những bạn có ? Ví dụ: Smart card, địa MAC, địa IP, • Những bạn ? Ví dụ : giọng nói, dấu vân tay, Các giao thức xác thực • • • • • Giao thức xác thực đơn giản Giao thức xác thực challenge-response Giao thức xác thực dùng khóa đối xứng Giao thức xác thực dùng khóa cơng khai Giao thức xác thực KERBEROS Giao thức xác thực KERBEROs 2.Giao thức xác thực KERBEROs Khái niệm Kerberos giao thức chứng thực mạng, cho phép cá nhân giao tiếp với mạng khơng an tồn Kerberos ngăn chặn việc nghe trộm thông tin cũng relay attacks, đảm bảo tính tồn vẹn liệu Kerberos hoạt động theo mơ hình client/server thực trình chứng thực chiều Giao thức xây dựng dựa mật mã khóa đối xứng cần đến bên thứ ba gọi “Trung tâm phân phối khóa’’ 2.Giao thức  Ngun lí hoạt độngxác thực KERBEROs  ƯuGiao điểm • • • • thức xác thực KERBEROs Mật ln mã hóa truyền Không yêu cầu lặp lặp lại thao tác nhập mật hạn chế nguy ăn cắp liệu Giao thức mã hóa theo chuẩn mã hóa cao cấp Triple DES, RC4, AES nên an toàn Tất trao đổi máy chứa timestamp nên vé bị đánh cắp tái sử dụng, chống công dùng lại  Nhược điểm • • • Độ bảo mật hệ thống phụ thuộc vào an toàn hệ thống KDC Địi hỏi máy tính hệ thống phải đồng thời gian có gắn timestamp Máy tính rơi vào tay kẻ cơng mạng thì tồn liệu người dùng bị đánh cắp gây nguy cho toàn hệ thống Xây dựng mơ Xây dựng mơ q trình xác thực KERBEROS người dùng thuộc nhiều nhóm Xác thực người dùng thuộc nhiều nhóm Về chất, mấu chốt vấn đề kích thước nhớ (kích thước mặc định token) mà người gọi kết thúc phân bổ cho đệm đầu khơng đủ để giữ token kết số lượng SID đủ lớn điều khiến yêu cầu xác thực thất bại, dẫn đến lỗi đăng nhập Xây dựng mô  Giải pháp khắc phục vấn đề Tăng kích thước thơng qua khóa đăng ký MaxTokenSize • Khuyến cáo Microsoft tính tốn kích thước mã thơng báo Token Size = 1200 + 40d + 8s đó: d số lượng nhóm domain local s sơ lượng nhóm security global + universal 1200 giá trị ước tính vé vượt ngưỡng Xây dựng mơ  Giải pháp khắc phục vấn đề • Đặt kích thước tối đa cho đệm mã thơng báo Kerberos Trong Windows Server 2012 Windows 8, Microsoft giới thiệu GPO để giúp dễ dàng đặt khóa đăng ký nhiều máy tính Cài đặt nằm System > Kerberos gọi “Set maximum Kerberos SSPI context token buffer size” Xây dựng mô  Kịch Kerberos Token Bloat Kịch 1: Bây giờ, giả sử người dùng thành viên •10 nhóm Universal •15 nhóm local •25 nhóm local domain Trong trường hợp này, PAC vé phiên có tất 50 nhóm bảo mật kích thước token Kerberos kết vào khoảng 1200 + (40 * 25) + (8 * (15 + 10)) byte = 2400 byte Vì 2400 byte thấp giới hạn MaxTokenSize 12000 byte, người dùng không gặp phải vấn đề với đăng nhập Xây dựng mô  Kịch Kerberos Token Bloat Kịch 2: Chúng ta giả định người dùng thành viên của: •10 nhóm Universal •15 nhóm Local •25 nhóm Local domain từ tên miền người Bây giờ, cũng giả sử người dùng cũng thành viên 300 nhóm domain local security miền máy chủ Trong trường hợp này, PAC vé phiên chứa tất 325 nhóm security kích thước token Kerberos có khoảng 1200 + (40 * 300) + (8 * (15 + 10)) byte = 13500 byte Vì 13500 byte vượt giới hạn MaxTokenSize 12000 byte, nên người dùng thực đăng nhập Xây dựng mơ  Các cơng cụ tính tốn mã thơng báo Gồm có cơng cụ phổ biến • Tokensz - Một cơng cụ dịng lệnh miễn phí cung cấp Microsoft • CheckMaxTokenSize - Tập lệnh miễn phí nhân viên Microsoft ghép lại • Get-TokenSizeReport - Một tập lệnh miễn phí có nguồn gốc từ CheckMaxTokenSize nhà tư vấn độc lập Xây dựng mô  Triển khai giao thức xác thực KERBEROS • • • Cài đặt Active directory domain service Windows Server 2012 Join domain máy Client với Server Kiểm tra kết nối giao thức Domain Controller dùng giao thức Kerberos để xác thực User Ta sử dụng wireshark để bắt gói tin q trình xác thực client server Ta thấy protocol KBR, kerberos Xây dựng mô  Triển khai xác thực kerberos người dùng thuộc nhiều nhóm Bước Tạo user windows server 2012 Bước Tạo nhiều groups windows server 2012 Bước Thử đăng nhập vào từ máy client xem kết quả: Bước 4: Khắc phục lỗi đăng nhập bị giới hạn access token Xây dựng mô  Triển khai xác thực kerberos người dùng thuộc nhiều nhóm Xây dựng mơ  Triển khai xác thực kerberos người dùng thuộc nhiều nhóm LOGO ... QUANVỀ V? ?GIAO GIAOTHỨC THỨCXÁC XÁCTHỰC THỰC GIAO THỨC XÁC THỰC KERBEROS XÂY DỰNG MƠ PHỎNG Q TRÌNH XÁC THỰC KERBEROS KHI NGƯỜI DÙNG THUỘC NHIỀU NHÓM Tổng quan giao thức xác thực Tổng quan giao thức... Các giao thức xác thực • • • • • Giao thức xác thực đơn giản Giao thức xác thực challenge-response Giao thức xác thực dùng khóa đối xứng Giao thức xác thực dùng khóa cơng khai Giao thức xác thực. .. thức xác thực KERBEROS Giao thức xác thực KERBEROs 2 .Giao thức xác thực KERBEROs Khái niệm Kerberos giao thức chứng thực mạng, cho phép cá nhân giao tiếp với mạng không an tồn Kerberos ngăn

Ngày đăng: 26/09/2019, 17:20

TÀI LIỆU CÙNG NGƯỜI DÙNG

TÀI LIỆU LIÊN QUAN

w