Como funcina a Autenticação?!?

Iniciado por Cloudy, 12 de Março , 2006, 03:15:00 PM

tópico anterior - próximo tópico

0 Membros e 1 Visitante estão vendo este tópico.

Imprimir
Ir para o fim Páginas1
Ações

Cloudy

12 de Março , 2006, 03:15:00 PM
A autenticação é importante quando uma corporação oferece acesso em sua rede privada, através de uma rede pública como a Internet a funcionários que estão em trânsito, e que, precisam acessar a rede para atualizar ou consultar informações vitais.

Como autenticação de usuário funciona?

O usuário distante, com o cliente de autenticação instalado em seu computador, tenta uma conexão com um endereço dentro da rede protegida pelo mecanismo servidor de autenticação, esse, verifica que o computador remoto tem o cliente de autenticação e que possuí uma regra válida na estratégia de segurança, subseqüentemente, o servidor fornece o acesso, entretanto, o acesso é válido para um período limitado de tempo, depois do qual o processo de autenticação será requerido novamente.

Os protocolos de autenticação

Neste artigo, estaremos comentando dois deles, o RADIUS e o KERBEROS, entretando existem outros.

Protocolo RADIUS:

Baseado em um modelo de segurança distribuída previamente definido pela (IETF), o RADIUS provê um sistema de segurança Cliente/Servidor aberto e escalonável. O servidor RADIUS pode ser adaptado facilmente para trabalhar com produtos de segurança de terceiros ou em sistemas de segurança proprietário. Qualquer mecanismo de comunicação, seja um software ou um hardware que utilize o protocolo cliente RADIUS pode se comunicar com um servidor RADIUS.

Como funciona?

O RADIUS autentica através de uma série de comunicações entre o cliente e o servidor. Uma vez que o usuário é autenticado, o cliente proporciona a ele, o acesso aos serviços apropriados. Os passos envolvidos no processo do RADIUS estão descritos a seguir.
» O PortMaster cria um pacote de dados com as informações e o chama de "pedido de autenticação". Este pacote inclui a informação que identifica o PortMaster específico que envia o pedido de autenticação, a porta que está sendo usada para a conexão de modem, identificação do usuário e a senha. Para proteger os dados de hackers que possam estar escutando a conexão, o PortMaster age como um cliente RADIUS e codifica a senha antes que seja enviada em sua jornada ao servidor RADIUS.
» Quando um pedido de autenticação é recebido, o servidor de autenticação valida o pedido e então decifra o pacote de dados para ter acesso a identificação do usuário e senha. Esta informação é passada para o sistema de segurança apropriado.
» Se o usuário e senha estiverem corretos, o servidor envia um reconhecimento de autenticação que inclui informação sobre o usuário e as exigências dos serviços. Por exemplo, o servidor RADIUS contará para o PortMaster que um usuário precisa do Protocolo PPP (ponto-a-ponto) para se conectar à rede. O reconhecimento pode também, conter filtros, com informações sobre os limites de acesso do usuário para os recursos específicos na rede. Se o usuário e a senha não estiverem corretos, o servidor RADIUS envia um sinal ao PortMaster e o usuário terá o acesso negado à rede.
» Uma vez que a informação é recebida pelo PortMaster, o servidor RADIUS envia uma chave de autenticação, ou assinatura, se identificando para o cliente RADIUS e permitindo então, a configuração necessária para que os serviços de envios e recepções personalizados, funcione para o usuário autenticado.

Protocolo KERBEROS:

KERBEROS é um serviço de autenticação distribuído que permite que um cliente, através de um usuário, prove sua identidade a um servidor de autenticação, passando em seguida por um verificador de sessão, para que então, estabeleça a transferencia das informações com o host destino, evitando assim, a violação da conexão estabelecida. Esse protocolo foi desenvolvido no meado dos anos Oitenta como parte do Projeto de MIT Athena. Hoje em dia, é uma das soluções aos problemas de segurança em rede pois, fornece ferramentas de autenticação e criptografia para trabalhos em redes públicas como a Internet.

Por que usar o KERBEROS?

Muitos dos protocolos usados na Internet não provêem segurança. Ferramentas que varrem senhas fora da rede são usadas em brechas de sistemas. Assim, aplicações que enviam senha sem criptografia pela rede Internet são extremamente vulneráveis. Contudo, em muitas aplicações Cliente/Servidor que são desenvolvidas e implementadas, não é dada a devida atenção sobre os aspectos aqui mencionados.

Alguns administradores, tentam usar Firewalls para resolver os problemas de segurança de rede. Infelizmente, os Firewalls assumem que os acessos ruins estão todos do lado de fora, o que freqüentemente, é uma suposição muito ruim, pois usuários e colaboradores em trânsito, ficam restringidos de usar a rede interna, pois os mecanismos de segurança vão descartar suas tentativas de acesso.

Como funciona?

O sistema KERBEROS usa ingressos eletrônicos para autenticar um usuário para um servidor. Um ingresso só é bom para um único servidor e um único usuário durante um certo período de tempo e para uma mensagem codificada que contém o nome do usuário, o seu servidor, o endereço da rede do servidor do usuário, um selo de tempo e uma chave de sessão. Uma vez que o usuário adquire este ingresso, ele pode usar isto para ter acesso ao servidor quantas vezes forem necessárias até que o ingresso se expire. O usuário não pode decifrar o ingresso mas pode apresenta-lo ao servidor. Com isso, escutas clandestinas não podem violar o ingresso quando este estiver em curso na rede Internet.

O protocolo KERBEROS envolve dois servidores, um de autenticação e o outro (TGS) que concede os ingressos. Os passos envolvidos no processo do protocolo KERBEROS estão descritos a seguir.
Figura 1:


Ilustração demonstrando os passos no processo da autenticação do protocolo Kerberos.


» Obter um ingresso para um servidor designado. O usuário primeiro, pede ao servidor de autenticação KERBEROS um ingresso para o KERBEROS TGS. Este pedido leva a forma de uma mensagem que contém o nome do usuário e o nome do TGS (pode haver vários);

» O servidor de autenticação verifica o usuário em seu banco de dados e então gera uma chave de sessão para ser usada entre o usuário e o TGS. KERBEROS codifica esta chave de sessão que usa a chave de segredo do usuário (processo de uma só direção com senha do usuário). Então cria um TGT (ingresso que concede ingresso) para o usuário apresentar ao TGS e codifica o TGT usando a chave de segredo do TGS (que só é conhecido pelo servidor de autenticação e o servidor TGS). O Servidor de Autenticação envia de volta as mensagens codificadas ao usuário;

» O usuário decifra a primeira mensagem e recupera a chave de sessão. Logo, o usuário cria um autenticador que consiste em seu nome, seu endereço de rede e um selo de tempo, tudo codificado com a chave de sessão gerada pelo servidor de autenticação KERBEROS. O usuário envia o pedido então ao TGS para fazer ingresso a um servidor designado. Este pedido contém o nome do servidor, o TGT KERBEROS (que foi codificado com o a chave de segredo do TGS), e o autenticador codificado;

» O TGS decifra o TGT com sua chave secreta e então usa a chave de sessão incluída no TGT para decifrar o autenticador. Compara a informação do autenticador com a informação do ingresso, o endereço da rede do usuário com o endereço foi enviado no pedido e o tempo estampado com o tempo atual. Se tudo se emparelhar, permite a continuação do pedido. O TGS cria uma chave de sessão nova para o usuário e o servidor final com esta chave em um ingresso válido para o usuário apresentar ao servidor. Este ingresso também contém o nome do usuário, endereço da rede, um selo de tempo, e um tempo de vencimento para o ingresso codificado com a chave de segredo do servidor designado e o seu nome. O TGS também codifica a nova chave de sessão designada que vai ser compartilhada entre o usuário e o TGS. Envia ambas as mensagens de volta ao usuário;

» O usuário decifra a mensagem e a chave de sessão para uso com o servidor designado. O usuário está agora pronto para se autenticar com o servidor. Ele cria um autenticador novo codificado com a chave de sessão de usuário e servidor final que o TGS gerou. Para pedir acesso ao servidor final, o usuário envia junto ao ingresso recebido de KERBEROS (que já é codificado com a chave de segredo do servidor designado) o autenticador codificado. O autenticador contém o texto plano codificado com a chave de sessão, prova que o remetente sabe a chave. Da mesma maneira que é importante, codificar o tempo para prevenir que intrometidos que venham registrar o ingresso e o autenticador, possam tentar usar as informações em futuras conexões;

» O servidor designado decifra e confere o ingresso e o autenticador e também confere o endereço do usuário e o selo de tempo. Se tudo confirmar, o servidor sabe agora que o usuário é que esta reivindicando o acesso é realmente ele, e podem usar a chave de criptografia para comunicação segura. (Como só o usuário e o servidor compartilham esta chave, eles podem assumir que uma recente mensagem codificou aquela chave originada com a outra chave anterior);

» Para aplicações que requerem autenticação mútua, o servidor envia para o usuário uma mensagem que consiste no selo de tempo mais 1, codificada com a chave de sessão. Isto serve como prova ao usuário que o servidor soube da sua chave secreta de fato e pôde decifrar o ingresso e o autenticador.

Fonte: Clube das Redes

...by Cloudy
"You have to be trusted by the people tou lied to, so when they turn their back on you, you have the chance to the put the knife in." (Roger Waters)

...by Cloudy

Shady

#1
12 de Março , 2006, 06:26:30 PM Última edição: 12 de Março , 2006, 06:29:12 PM por Shady
Realmente um bom post.

@Sthealth

Vou procurar e vejo se posto aqui!

edit:

achei!

http://www.faqs.org/rfcs/


Mundus Vult Decipi

lcs

#2
18 de Março , 2006, 12:51:44 PM
Pra que viver sem sentido.
Imprimir
Ir para o topo Páginas1
Ações