Kerberos Authentication in ISP Environment

Kerberos Authentication in ISP Environment
paly

Learn about Kerberos authentication protocol in ISP environment on UNIX, Win2K, and Cisco systems. Includes introduction, protocol, MIT Kerberos, and deployment with attack prevention. Trusted third parties are used for mutual authentication.

About Kerberos Authentication in ISP Environment

PowerPoint presentation about 'Kerberos Authentication in ISP Environment'. This presentation describes the topic on Learn about Kerberos authentication protocol in ISP environment on UNIX, Win2K, and Cisco systems. Includes introduction, protocol, MIT Kerberos, and deployment with attack prevention. Trusted third parties are used for mutual authentication.. The key topics included in this slideshow are . Download this presentation absolutely free.

Presentation Transcript


1. > Nicolas FISCHBACH nico@securite.org - http://www.securite.org/nico/ > Sbastien LACOSTE-SERIS kaneda@securite.org - http://www.securite.org/kaneda/ version 1.13fr Kerberos en environnement ISP UNIX/Win2K/Cisco

2. Agenda Kerberos > Introduction : pourquoi Kerberos ? > Le protocole et les changes > MIT Kerberos et les Applications > Attaques Dploiement > UNIX > Cisco (routeurs et switches) > Win2K Questions/Rponses 2001 Scurit.Org

3. Kerberos ? Kerberos est un protocole dauthentification rseau Il utilise une horloge pour : > limiter lusage des cls dans le temps > dtecter les attaques par rejeu Authentification mutuelle Utilise DES et des cls partages Tiers de confiance 2001 Scurit.Org

4. Ce que Kerberos nest/ne fait pas Kerberos ne fournit pas dautorisation uniquement de lauthentification Kerberos ne fait pas de chiffrement de donnes 2001 Scurit.Org

5. Pourquoi utiliser Kerberos ? Authentification scurise (cryptographie) Pas de transmission du mot de passe Single Sign On > SSO is bad for security (Bruce Schneier) Gestion centralise de lauthentification Standard IETF (RFC 1510) 2001 Scurit.Org

6. Lexique Kerberos (1) KDC : Key Distribution Center. Base de donnes des clients et des serveurs (principaux) et les cls prives associes principal : trinme > user : login/staff@REALM > service : service/hote.fqdn@REALM primary : nom dutilisateur ou du service instance : qualifie le primary (rle/groupe) realm : domaine dauthentification 2001 Scurit.Org

7. Lexique Kerberos (2) keytab : fichier contenant une ou plusieurs cls (pour des htes ou des services). Aussi connu sous SRVTAB. client : entit pouvant obtenir un ticket (utilisateur/hte) service : host, ftp, krbtgt, pop, etc. ticket : crdits (identit dun client pour un service particulier) TGT : ticket donn par lAS. Permet au client dobtenir dautres tickets pour le mme royaume 2001 Scurit.Org

8. Key Distribution Center Responsable de la maintenance des cls matres et de la mise disposition des tickets Kerberos L Authentication Service (AS) donne au client une cl de session et un Ticket Granting Ticket (TGT) Distribue les cls de session et les tickets pour les services via le Ticket Granting Service (TGS) 2001 Scurit.Org

9. Le Protocole Kerberos (1) Ticket Kerberos 2001 Scurit.Org Domain Principal Name Ticket Flags Encryption Key Domain Principal Name Start Time End Time Host Address Authorization Data Chiffr

10. Le Protocole Kerberos (2) Echanges de tickets Kerberos Ports: kinit: 88/udp kpasswd (Unix): 749/tdp kpasswd (Win): 464/{tcp,udp} 2001 Scurit.Org Key Distribution Center Authentication Service Ticket Granting Service Utilisateur Service Rseau

11. Le Protocole Kerberos (3) Obtention dun Ticket Granting Ticket (1+2) > (1) Demande dun TGT > (2) TGT (dchiffr avec le hash du mot de passe de lutilisateur) 2001 Scurit.Org Client KDC Demande de TGT (1) TGT (2)

12. Le Protocole Kerberos (4) Obtenir et utiliser un Service Ticket (3+4+5) > (3) Demande de ST (avec le TGT) > (4) ST et cl de session > (5) ST pour lauthentification 2001 Scurit.Org Client KDC Serveur Demande ST (3) ST et SK (4) ST (5)

13. Le Protocole Kerberos (5) Dlgation de lauthentification 2001 Scurit.Org Client Serveur Serveur KDC TGT + ST Demande de ST ST et SK ST

14. Realms Un royaume est un domaine dauthentification > Une base de donnes Kerberos et un ensemble de KDCs Organisation hirarchique (nouveaut dans la version 5) Authentification uni ou bi-directionnelle Authentification inter-realm > transitive > directe entre royaumes 2001 Scurit.Org

15. Le Protocole Kerberos (6) Authentification entre domaines 2001 Scurit.Org Client Serveur KDC Demande de TGT Demande de ST ST et SK KDC TGT ST et SK

16. Distribution du MIT Version utilise: 5.1 Inclus les logiciels client et serveur Plate-formes supportes : UNIXes (xBSD, Linux, Solaris, AIX, HP-UX, OSF/1, ...) MacOS 10 DNS peut tre utilis 2001 Scurit.Org

17. Applications Cerbrises telnet (avec chiffrement DES) et r-commandes CVS et ksu, klogin, k* SSH 1.2 supporte Kerberos V (utiliser au moins la version 1.2.30) SSL v3.0 Cygnus Kerbnet (NT, MAC, Unix) non support par samba (problmes lis aux extensions MS) 2001 Scurit.Org

18. Cerbrisation d une application Toutes les applications sont adaptables Utilisation de lAPI GSS Transport du ticket gr par lapplication 2001 Scurit.Org

19. Problmes lis au NAT Ladresse du client se trouve dans le ticket Ncessit dajouter ladresse translate traduite dans le ticket Patch pour la version 5.1 (MIT Kerberos) 2001 Scurit.Org

20. Attaques (1) Vulnrabilit dans le systme dauthentification par usurpation (partie AS du KDC) : fichier keytab et enregistrement des principaux pour le service ( http://www.monkey.org/~dugsong/kdcspoof.tar.gz) Rejeu: dtect (synchronisation dhorloge du client et du serveur) Cls exposes: dure de vie limite, mais utilises pour plusieurs sessions Faille dans lutilisation des fichiers temporaires : utiliser krb5-1.2.1+ 2001 Scurit.Org

21. Attaques (2) Recherche du mot de passe : utiliser une bonne passphrase Clients chevaux de Troie : OTP Relation de confiance implicite entre les royaumes Forwarding des tickets Autres: KDC, stations partages, ... 2001 Scurit.Org

22. Clients *NIX RedHat (6.2 and 7) supporte Kerberos V > Installer le patch RHSA-2001:025-14 Solaris/OpenBSD ne fournissent quun support Kerberos IV 2001 Scurit.Org

23. Kerberos V sur les clients *NIX (1) Authentification gre par lAPI Kerberos Configuration de lauthentification par utilisateur : ~/.k5login - liste les principaux qui peuvent se connecter sur ce compte ~/.k5users - liste les commandes qui peuvent tre lances via ksu (similaire sudo) alternative PAM non conseille 2001 Scurit.Org

24. Kerberos V sur les clients *NIX (2) Telnet cerbris : disponible SSH cerbris : > SSH de SSH.Com 1.2.x et 2.x supportent Kerberos V > OpenSSH (jusqua la version 2.5.1) ne supporte pas encore Kerberos V: http://www.sxw.org.uk/computing/patches/ 2001 Scurit.Org

25. Kerberos V et Cisco (1) Routeurs Cisco > Telnet cerbris > Authentification par mot de passe utilisant Kerberos (telnet, SSH et la console) > Une instance peut tre associe un privilge (configur localement) Switches Cisco > Telnet uniquement (SSH disponible dans les 6.1 mais sans support pour Kerberos) 2001 Scurit.Org

26. Kerberos V et Cisco (2) IOS & mmoire sur les routeurs : > Nom de la fonctionnalit : Kerberos V client support > Feature set requis : au moins Enterprise > Nest pas support par toute la gamme, par exemple : - Cisco 16xx - Cisco GSR (12xxx - Gigabit Switch Router) > Besoins en mmoire : Note: toujours vrifier via le Cisco IOS Feature Navigator 2001 Scurit.Org

27. Kerberos V et Cisco (3) Exemple de configuration dun routeur : aaa authentication login default krb5-telnet local aaa authorization exec default krb5-instance kerberos local-realm COLT.CH kerberos srvtab entry host/ bgp1.colt.ch@COLT.CH ... kerberos server COLT.CH 192.168.0.14 kerberos instance map engineering 15 kerberos instance map support 3 kerberos credentials forward line vty 0 4 ntp server 192.168.0.126 2001 Scurit.Org

28. Kerberos V et Cisco (4) CatOS & mmoire sur les switches : > Au moins Supervisor Engine Software Release 5.x > Uniquement support par les Catalyst 4000, 5000 et 6K > Uniquement support par les SE I (pas par les SE II) sur Cat6K > Besoins en mmoire : Note: toujours vrifier les Release Notes 2001 Scurit.Org

29. Kerberos V et Cisco (5) Exemple de configuration dun switch : #kerberos set kerberos local-realm COLT.CH set kerberos clients mandatory set kerberos credentials forward set kerberos server COLT.CH 192.168.0.82 88 set kerberos srvtab entry host/ sw1.colt.ch@COLT.CH ... #authentication set authentication login kerberos enable telnet primary set authentication enable kerberos enable telnet primary #ntp set ntp client enable set ntp server 192.168.0.11 2001 Scurit.Org

30. Kerberos V et Win2K (1) Supporte Kerberos pour les connexions interactives Le protocole est un Security Provider sous le SPPI ( Security Support Provider Interface) et est li la LSA ( Local Security Authority) Le cache des tickets est gr par la LSA Telnetd supporte Kerberos 2001 Scurit.Org

31. Kerberos V et Win2K (2) Support Tools Configuration dune station Win2K: ksetup /setdomain COLT.CH ksetup /addkdc COLT.CH kdc.colt.ch ksetup /setmachpassword password ksetup /mapuser user@COLT.CH localuser ksetup /mapuser * * Windows Time Server (+ registry) Pas de SSH cerbris, seulement quelques (mauvais) clients telnet 2001 Scurit.Org

32. Thats all folks :-) Dernire version de ce document : < http://www.securite.org/presentations/krb5/ > Q&R 2001 Scurit.Org Image: http://www.inforamp.net/~dredge/funkycomputercrowd.html

Related