Лабораторная работа №12

По дисциплине: «Теория защиты информационных систем»

На тему:«Аутентификация пользователей в сетях.СистемаKerberos»

Специальность: Информационные системы

Выполнила: Джуманиязова Ж.Б. Группа: МИС(п)-17-2

Принял: проф. Казиев Г.З.

_______ ________________ «____» ________________2018г.

Алматы 2018

Цель работы – познакомиться с механизмами обеспечения безопасности информации в сети, с системой Kerberos.

Задачи:

1. Что считается доменом в ОС Windows NT?

2. Какие механизмы обеспечивают аутентификация на основе а) многоразовых паролей; б) одноразовых паролей;

3. Что понимают под аутентификацией информации, как она обеспечивается?

4. Что понимают под аутентификацией пользователей на основе сертификации, какие механизмы она использует?

5. Когда используется система Kerberos?

6. Архитектура системы Kerberos;

7. Каким образом происходит доступ клиента к ресурсному серверу?

8. Какая информация содержится в квитанции TTGS?

9. Описать алгоритмы:

- первичной аутентификации;

- получения разрешения на доступ к ресурсному серверу;

- получения доступа к ресурсу.

10. Что такое виртуальная частная сеть?

1. В основе концепции сетевой безопасности Windows NT лежит понятие домена. Домен – это совокупность пользователей, серверов и рабочих станций, учѐтная информация о которых централизованно хранится в общей базе данных, называемой базой SAM (SecurityAccountsManagerdatabase). Над этой базой данных реализована служба DirectoryServices, которая устраняет дублирование учѐтных данных в нескольких компьютерах.

2. а)Аутентификации пользователей домена выполняется на основе их паролей, хранящихся в базе SAM. Пароли зашифровываются с помощью односторонней функции при внесении их в базу данных во время создания учетной записи для нового пользователя. Введѐм обозначение для этой односторонней функции - ОФШ1. Таким образом, пароль Р хранится в БД SAM в виде дайджеста d(P) (знание дайджеста не позволяет восстановить исходное сообщение). На рис. 1 приведена схема сетевой аутентификации на основе многоразового пароля. При логическом входе пользователь локально вводит имя-идентификатор (ID) и пароль Р. Клиентская часть подсистемы аутентификации передаѐт запрос, в котором содержится в открытом виде идентификатор, но пароль не передаѐтся в сеть ни в каком виде. К паролю на клиентской станции применяется та же

Рис. 1 . Схема сетевой аутентификации на основе многоразового пароля

односторонняя функция - ОФШ1, которая была использована при записи пароля в БД SAM, т. е. динамически вычисляется дайджест пароля d(P).

В ответ на поступивший запрос серверная часть службы аутентификации генерирует случайное число S случайной длины, называемое словом-вызовым (challenge). Это слово передаѐтся с сервера на клиентскую станцию пользователя. К слову-вызову на клиентской стороне применяется односторонняя функция – ОФШ2. Функция ОФШ2 является параметрической и получает в качестве параметра дайджест пароля d(P). Полученный в результате ответ d(S) передаѐтся по сети на сервер SAM. Параллельно этому на сервере слово-вызов S аналогично шифруется, а затем сравнивается с ответом, переданным клиентской станцией. При совпадении результатов считается, что аутентификации прошла успешно. Таким образом, при логическом входе пользователя пароли в сети Windows NT никогда не передаются по каналам связи.

Б) Как правило, система аутентификация на основе одноразовых паролей рассчитана на проверку только удалѐнных, а не локальных пользователей. Генерация одноразовых паролей может выполняться либо программно, либо аппаратно. Независимо от того, какую реализацию системы аутентификации на основе одноразовых паролей выбирает пользователь, он, как и в системах аутентификации с использованием многоразовых паролей, сообщает системе свой идентификатор, однако вместо того, чтобы вводить каждый раз один и тот же пароль, он указывает последовательность цифр, сообщаемую ему аппаратным или программным ключом. Через определенный небольшой период времени генерируется другая последовательность — новый пароль. Аутентификационный сервер проверяет введенную последовательность и разрешает пользователю осуществить логический вход.

3. Под аутентификацией информации в компьютерных системах понимают установление подлинности данных, полученных по сети, исключительно на основе информации, содержащейся в полученном сообщении. Концепция аутентификации в широком смысле предусматривает установление подлинности информации как при условии наличия взаимного доверия между участниками обмена, так и при его отсутствии.

4. Аутентификация с применением цифровых сертификатов является альтернативой использованию паролей и представляется естественным решением в условиях, когда число пользователей сети (пусть и потенциальных) измеряется миллионами. Сертификаты выдаются специальными уполномоченными организациями — центрами сертификации {CertificateAuthority, CA).сертификат содержит электронную подпись сертифицирующей организации — зашифрованные закрытым ключом этой организации данные, содержащиеся в сертификате. Когда пользователь хочет подтвердить свою личность, он предъявляет свой сертификат в двух формах — открытой (то есть такой, в которой он получил его в сертифицирующей организации) и зашифрованной с применением своего закрытого ключа. Сторона, проводящая аутентификацию, берет из открытого сертификата открытый ключ пользователя и расшифровывает с помощью него зашифрованный сертификат. Совпадение результата с открытым сертификатом подтверждает факт, что предъявитель действительно является владельцем закрытого ключа, парного с указанным открытым.

5. Kerberos — это сетевая служба, предназначенная для централизованного решения задач аутентификации и авторизации в крупных сетях. Она может работать в среде многих популярных ОС, например в последней версииWindows 2000 система Kerberos встроена как основной компонент безопасности.

6. Сетевая служба Kerberos построена по архитектуре клиент-сервер. Kerberos-клиент устанавливается на всех компьютерах сети, которые могут обратиться к какой-либо сетевой службе. В таких случаях Kerberos-клиент от лица пользователя передает запрос на Kerberos-сервер и поддерживает с ним диалог, необходимый для выполнения функций системы Kerberos. В системе Kerberos имеются следующие участники: Kerberos-сервер, Кегberos-клиенты, ресурсные серверы (рис. 3). Kerberos-клиенты пытаются получить доступ к сетевым ресурсам — файлам, приложениям, принтеру и т. д.

Рис. 2. Три этапа работы системы Kerberos

7. Однако в системе Kerberos ресурсным серверам запрещается «напрямую» принимать запросы от клиентов, им разрешается начинать рассмотрение запроса клиента только тогда, когда на это поступает разрешение от Kerberos-сервера. Таким образом, путь клиента к ресурсу в системе Kerberos состоит из трех этапов:

1. Определение легальности клиента, логический вход в сеть, получение разрешения на продолжение процесса получения доступа к ресурсу.

2. Получение разрешения на обращение к ресурсному серверу.

3. Получение разрешения на доступ к ресурсу.

8. Квитанция TTGS на доступ к серверу квитанций TGS является удостоверением легальности пользователя и разрешением ему продолжать процесс получения доступа к ресурсу. Эта квитанция содержит:

- идентификатор пользователя;

- идентификатор сервера квитанций, на доступ к которому получена квитанция;

- отметку о текущем времени;

- период времени, в течение которого может продолжаться сеанс;

- копию ключа сессии KS.

9. а)Первичная аутентификация.Выполняя логический вход в сеть, пользователь, а точнее клиент Kerberos, установленный на его компьютере, посылает аутентификационному серверу AS идентификатор пользователя ID. Если в базе данных есть запись о пользователе с таким идентификатором, из нее извлекается пароль пользователя р. Ответ сервера AS состоит зашифрованных с помощью ключа р квитанции TTGS на доступ к серверу квитанций Kerberos и ключа сеанса KS. Под сеансом здесь понимается все время работы пользователя, от момента логического входа в сеть до момента логического выхода. Квитанция шифруется с помощью секретного DES-ключаК, который разделяют аутентификационный сервер и сервер квитанций. Таким образом, квитанция шифруется дважды - ключом К и паролем р. В приведенных выше обозначениях сообщение-ответ, которое аутентификационный сервер посылает клиенту, выглядит так: {{TTGS}K, KS}p. При поступлении ответного сообщения клиентская программа Kerberos просит пользователя ввести свой пароль. Когда пользователь вводит пароль, то Kerberos-клиент пробует с помощью пароля расшифровать поступившее сообщение. Если пароль верен, то из сообщения извлекается квитанция на доступ к серверу квитанций {TTGS}K (в зашифрованном виде) и ключ сеанса KS (в открытом виде) (заметим, что ключ p по сети не передавался).

Б) Получение разрешения на доступ к ресурсному серверeKerberos-клиента посылает TTGS на доступ к серверу квитанций. Квитанцию TGS является удостоверением легальности пользователя и разрешением ему продолжать процесс получения доступа к ресурсу. Кроме квитанции TTGS посылается аутентификатор {A}KS. Аутентификатор А содержит идентификатор и сетевой адрес пользователя, а также собственную временную отметку (предназначен для одноразового использования и имеет очень короткое время жизни — обычно несколько минут). Таким образом, ответ Kerberos-клиента выглядит следующим образом: {TTGS}K, {A}KS. Сервер квитанций расшифровывает квитанцию имеющимся у него ключом К, проверяет, не истек ли срок действия квитанции, и извлекает из нее идентификатор пользователя, ключ сеанса, которые в ней хранятся. Затем сервер TGS расшифровывает аутентификатор, используя ключ сеанса пользователя KS, который он извлек из квитанции. Сервер квитанций сравнивает идентификатор пользователя и его сетевой адрес с аналогичными параметрами в квитанции и сообщении. Если они совпадают, то сервер квитанций получает уверенность, что данная квитанция действительно представлена ее законным владельцем. Клиент обращается к серверу квитанций за разрешением на доступ к ресурсному серверу, который здесь обозначен как RS1. Сервер квитанций, удостоверившись в легальности запроса и личности пользователя, отсылает ему ответ, содержащий две электронных формы: многократно используемую квитанцию на получение доступа к запрашиваемому ресурсному серверу TRS] и новый ключ сеанса KS1. Новый ключ сеанса KS1 содержится не только в самом сообщении, посылаемом клиенту, но и внутри квитанции TRS1. Все сообщение шифруется старым ключом сеанса клиента KS, так что его может прочитать только этот клиент. Используя введенные обозначения, ответ сервера TGS клиенту можно представить в следующем виде: {{TRS1}KRS1, KS1}KS