Single Sign On, Kerberos. Felhasználó hitelesítés

Hasonló dokumentumok
S, mint secure. Nagy Attila Gábor Wildom Kft.

Alapfogalmak. Biztonság. Biztonsági támadások Biztonsági célok

A JGrid rendszer biztonsági architektúrája. Magyaródi Márk Juhász Zoltán Veszprémi Egyetem

Titkosítás NetWare környezetben

Sapientia Egyetem, Matematika-Informatika Tanszék.

Hitelesítés elektronikus aláírással BME TMIT

Biztonságos mobilalkalmazás-fejlesztés a gyakorlatban. A CryptTalk fejlesztése során alkalmazott módszerek. Dr. Barabás Péter Arenim Technologies

Mobil eszközökön tárolt adatok biztonsága

IP alapú távközlés. Virtuális magánhálózatok (VPN)

Kétcsatornás autentikáció

Előnyei. Helyi hálózatok tervezése és üzemeltetése 2

SSL elemei. Az SSL illeszkedése az internet protokoll-architektúrájába

E mail titkosítás az üzleti életben ma már követelmény! Ön szerint ki tudja elolvasni bizalmas leveleinket?

IT BIZTONSÁGTECHNIKA. Tanúsítványok. Nagy-Löki Balázs MCP, MCSA, MCSE, MCTS, MCITP. Készítette:

Biztonság a glite-ban

Beállítások 1. Töltse be a Planet_NET.pkt állományt a szimulációs programba! A teszthálózat már tartalmazza a vállalat

Hálózatok építése, konfigurálása és működtetése EAP - RADIUS

2010. ősz 2. pótzh Név: NEPTUN kód: ZH feladatok Hálózati operációs rendszerek_3 tárgyból

Single-sign-on autentikáció Zorp tűzfalon. Fehér Könyv (technikai)

AUTOMATED FARE COLLECTION (AFC) RENDSZEREK

Linux hálózati adminisztráció

IV.4. FELHŐ ALAPÚ BIZTONSÁGOS ADATTÁROLÁSI MÓDSZER ÉS TESZTKÖRNYEZET KIDOLGOZÁSA

Felhasználók hitelesítése adatbiztonság szállításkor. Felhasználóknak szeparálása

Mosolygó Ferenc. Értékesítési Konzultáns.

Fábián Zoltán Hálózatok elmélet

20 éve az informatikában

Az adatfeldolgozás és adatátvitel biztonsága. Az adatfeldolgozás biztonsága. Adatbiztonság. Automatikus adatazonosítás, adattovábbítás, adatbiztonság

A magyar elektronikus közigazgatási rendszer biztonsági analízise. Krasznay Csaba, Szigeti Szabolcs BME Informatikai Központ

Új Magyarország Fejlesztési Terv Tájékoztató A ZMNE-n bevezetett wifi szolgáltatásról KMOP-4.2.1/B

Titkosítás mesterfokon. Tíz évvel a titkosítás után. Előadó: Tóthi Dóra Kovárczi Béla András

IV.4. FELHŐ ALAPÚ BIZTONSÁGOS ADATTÁROLÁSI MÓDSZER ÉS TESZTKÖRNYEZET KIDOLGOZÁSA

Kriptográfiai alapfogalmak

Operációs rendszerek. A védelem célja. A fenyegetés forrásai. Védelmi tartományok. Belső biztonság. Tartalom

Izsó Krisztián Péti Zoltán. Cisco Identity Services Engine

Technikai tudnivalók a Saxo Trader Letöltéséhez tűzfalon vagy proxy szerveren keresztül

Adatbiztonság PPZH május 20.

vezeték nélküli Turi János Mérnök tanácsadó Cisco Systems Magyarország Kft.

Az intézményi hálózathoz való hozzáférés szabályozása

Webalkalmazás-biztonság. Hitelesítés, jelszókezelés, hozzáféréskontroll

Tanúsítványkérelem készítése, tanúsítvány telepítése Microsoft Internet Information szerveren

Adat és Információvédelmi Mesteriskola 30 MB. Dr. Beinschróth József SAJÁTOS LOGIKAI VÉDELEM: A KRIPTOGRÁFIA ALKALMAZÁSA

GPRS Remote. GPRS alapú android applikáció távvezérléshez. Kezelési útmutató

NGFW + IPS + anti-apt + BYOD = Sophos UTM 9.2

5.1 Környezet Hálózati topológia

Alkalmazások biztonsága

HÁLÓZATI HASZNÁLATI ÚTMUTATÓ

Hogy miért akarnak lehallgatni minket az lehallgatónként változik.

eduroam konfiguráció workshop Mohácsi János NIIF Intézet

Bejelentkezés az egyetemi hálózatba és a számítógépre

API tervezése mobil környezetbe. gyakorlat

Számítógépes alapismeretek 2.

Felhasználók azonosítása Höltzl Péter

Advanced PT activity: Fejlesztési feladatok

Diszkrét matematika I.

ECAS KÉZIKÖNYV. Tartalom

IT hálózat biztonság. A WiFi hálózatok biztonsága

Elektronikus hitelesítés a gyakorlatban

Példa webáruház kialakítás rendszerdokumentáció

Adja meg, hogy ebben az esetben mely handshake üzenetek kerülnek átvitelre, és vázlatosan adja meg azok tartalmát! (8p)

TÁJÉKOZTATÓ. biztonságos Internet használatról, az ügyféloldali biztonság kialakítása érdekében

Tanúsítványkérelem készítése, tanúsítvány telepítése Lotus Domino szerveren

RÉSZLEGES KÓDÚ TELEFONOS AZONOSÍTÁS (RKTA)

Dr. Beinschróth József Kriptográfiai alkalmazások, rejtjelezések, digitális aláírás

Nagy Gábor compalg.inf.elte.hu/ nagy ősz

Eduroam Az NIIF tervei

Biztonságos kulcscsere-protokollok

Adatkezelési nyilatkozat, szabályzat

Adatvédelmi Nyilatkozat TársasTér ( weboldal

2. munkacsoport 1. fejezet (elektronikus banki szolgáltatások)

Adatbázis kezelő szoftverek biztonsága. Vasi Sándor G-3S


Alap protokollok. NetBT: NetBIOS over TCP/IP: Name, Datagram és Session szolgáltatás.

EU Login kézikönyv (rövidített változat)

HIK-CONNECT szolgáltatás beállítása

Új Magyarország Fejlesztési Terv Tájékoztató A ZMNE-n bevezetett wifi szolgáltatásról KMOP-4.2.1/B

A DOLLÁROS PIZZA TÖRTÉNETE, AVAGY MENNYIT ÉR A BITCOIN?

Áttekintés a GPG/PGP-ről Mohácsi János NIIF Intézet


Tájékoztató az Ügyfélkapu használatáról

Data Security: Protocols Integrity

Windows biztonsági problémák

KOMMUNIKÁCIÓ ÉS ADATVÉDELEM. Készítette: Szabó Hangya Csilla

MOME WiFi hálózati kapcsolat beállítása február 25.

SSH haladóknak. SSH haladóknak

Kriptográfiai protokollok

Felhasználói útmutató

Megbízhatóság az informatikai rendszerekben

KÖZPONTOSÍTOTT EAP ALAPÚ HITELESÍTÉS VEZTÉK NÉLKÜLI HÁLÓZATOKBAN CENTRALIZED EAP BASED AUTHENTICATION FOR WIRELESS NETWORKS

Tartalomjegyzék. 1. fejezet A Windows 2000 biztonsági szolgáltatásai. Röviden Azonnali megoldások... 11

Windows hálózati adminisztráció segédlet a gyakorlati órákhoz

HÁLÓZATBIZTONSÁG III. rész

Titkok. Oracle adatbázisok proaktív es reaktív védelmi eszközei. Mosolygó Ferenc, vezetı technológiai tanácsadó. <Insert Picture Here>

Virtuális magánházlózatok / VPN

MOBILBIZTONSÁG AUTENTIKÁCIÓ. Készítette: Czuper László & Bagosi Antal

Távközlési informatika Kriptográfia. Dr. Beinschróth József

Weboldalak biztonsága

KELER KID Internetwork System (KIS)

IP Thermo for Windows

2. Hozzárendelt azonosítók alapján

Átírás:

Single Sign On, Kerberos Felhasználó hitelesítés

Single Sign On környezet Alap helyzet: Sok gép, sok szolgáltatás, emberek jönnek - mennek Sok jelszó, amit fejben kell tartani, gyakran kéne cserélni. Általában leírják őket Gyorsan új accountok létrehozása, régi jogok törlése 2

SSO Megoldás Single Sign On, avagy Egyszeri belépés csak 1 bejelentkezés, csak 1 jelszó! SSO Előnyök Egyetlen jelszó mindenhez: Nem kell fejben tartani, nem kell leírni, nem okoz gondot a sűrű csere Egyetlen adatbázis, könnyebb és gyorsabb adminisztráció. Pl. mi van ha valaki elhagyja a céget... 3

SSO megközelítések Bróker alapú A bróker azonosít és kioszt egy tanúsítványt, amit a szolgáltatásnak be lehet mutatni. Pl.: KERBEROS, SESAME (Secure European System for Applications in a Multivendor Environment) Az alkalmazásokat a brókerhez kell igazítani. (Kerberized alkalmazások) Központosított adminisztráció, de mi van, ha megsérül Nagyon sok múlik az azonosításon 4

SSO megközelítések 2. Ügynök alapú Egy ügynök automatikusan azonosít minden alkalmazásnak. (Jelszó listák vagy kulcsok) Pl.: SSH ügynök Előnyök és hátrányok Az alkalmazásokat nem kell módosítani, működik a régiekkel is Nem támogatja az adminisztrációt, sőt még az ügynökök miatt is aggódni kell Az ügynököket biztonságosan kell tárolni 5

SSO megközelítések 3. Token alapú Egy fizikai eszköz egy egyszer használatos kódot szerez, és ezt használja fel. A fizikai eszköz csak plusz komplikáció De biztonságosabb azonosítás Átjáró alapú A szolgáltatások egy biztonságos terülten vannak elhelyezve. A hozzáféréshez egy tűzfalon kell átjutni. Hasonlít a bróker alapú megoldásra Sok átjáró esetén szinkronizáció kell Ügynök és Bróker alapú Egyesíti a két megoldás előnyeit. A felhasználó felé broker alapú, az alkalmazások felé ügynök alapú 6

Kerberos 5

Kerberos 5 Kerberos és a jogosítványok A felhasználó egy szolgáltatást szeretne igénybe venni egy meghatározott szerveren. Létezik egy azonosítást végző központ, aki azonosítani tudja a szolgáltatást és a felhasználót is. Feladat, hogy a felhasználó azonosítsa magát a szolgáltatásnál. De CSAK Kerberized alkalmazások! MIT fejlesztés 1988 október - Kerberos 4 1993 szeptember - RFC 1510: Kerberos 5 8

Kerberos azonosítás Biztonság Nincsenek nyílt jelszavak (DES titkosítás használata, a jelszó mint kulcs) A szolgáltatás nem tartja nyilván a felhasználókat A jelszó megszerzése csak 1 felhasználót vagy szolgáltatást tesz kiszolgáltatottá Egyetlen jelszó az összes szolgáltatáshoz (regisztrációnál egyeztetve) 9

Azonosítás kellékei AS - Authentication Server TGS - Ticket Granting Server Kulcsok A felhasználó kulcsa (jelszó) A szolgáltatás kulcsa (biztonságos) Az ideiglenes viszonykulcs Üzenetek Ticket Authenticator A KDC: Key Distribution Center 10

Kerberos AS 1. lépés A AS Én, A szeretném használni az S szolgáltatást S 11

Kerberos AS 2. lépés S A 12

Kerberos AS 3. lépés A 13

Kerberos AS 4. lépés S 14

Ticket Granting Server (TGS) Cél, hogy a felhasználónak ne kelljen minden szolgáltatáshoz jelszavát ismételten megadnia: SSO A TGS egy olyan szolgáltatás, amely megszerzi helyette a kívánt viszonykulcsot. Kvázi egy guest ID amivel egy vendég bemegy egy épületbe TGT: Ticket Granting Ticket, az amit a TGS ad. Ez csak limitált ideig érvényes azonban! A TGS külön egység, de sokszor az AS melltett található (együtt: KDC - Key Distribution Center) 15

Kerberos KDC AS 3. TGT, ticket kérés 4. titkosított ticket TGS 16

Kerberos KDC lépések 1. A -> AS: a 2. AS -> A: {K a,tgs }K a, {T a,tgs }K tgs 3. A -> TGS: {A a,tgs }K a,tgs,{t a,tgs }K tgs, s 4. TGS -> A: {K a,s }K a,tgs, {T a,s }K s A: felhasználó AS: KDC Hitelesítő TGS: KDC TGS S: szolgáltatás 5. A -> S: {A a,s }K a,s, {T a,s }K s K x : x kulcsa {X}K y : X titkosítva K y kulccsal {T x,y }K y : ticket = y, {x, IP cím, idő, lejárat, K x,y }K y {A x,y }K x,y : authenticator = { y, idő}k x,y 17

Kerberos KDC lépések (folyt.) Kezdeti ticket megszerzése 1. A felhasználó elküldi nevét a Kerberos hitelesítőnek. 2. A hitelesítő visszaküld egy titkosított viszonykulcsot valamint A TGTt (ticket a TGShez), amely tartalmazza a viszonykulcsot, a felhasználó azonosítóját, az időkorlátot. A ticket titkosítva van a TGS kulcsával Ticket a szolgáltatáshoz 3. A felhasználó authenticatort és TGT küld a TGSnek, valamint jelzi melyik szolgáltatást szeretné használni. A titkosított authenticator bizonyítja, hogy ő is ismeri a viszonykulcsot 4. A TGS egy új viszonykulcsot generál a felhasználó és a szolgáltatás számára és ezt titkosítva megküldi a felhasználó számára. Ezen kívül küld még egy ticketet, amellyel a felhasználó igénybe tudja venni a szolgáltatást A szolgáltatás igénybevétele 5. A felhasználó elküldi a ticketet és az authenticatort a szolgáltatásnak A szolgáltatás használható, a viszonykulcs segítségével a kommunikáció titkosítható 18

Kerberos előnyök Teljes SSO megvalósítás A hitelesítés állapotmentes Kiesés esetén a szolgáltatást más Kerberos kiszolgáló tudja folytatni Elosztott Kerberos szolgáltatás Egyetlen master adatbázis, a többi kiszolgáló tükrözi és csak olvasható módon használja 19

(Cross Realm) Tartományok közötti azonosítás A hálózat növekedésével az AS és TGS szerverek nem bírják a tempót Megoldás a hálózat tartományokra (realm) osztása Realm: felhasználók, szolgáltatások, KDC Minden tartomány egy saját TGS-t regisztrál a másik tartományokban. (RTGS - Remote TGS) és ezen keresztül éri el a tartományon belüli szolgáltatásokat -> Ez viszont nem jó, mert rosszul skálázható Az RTGS egységek hiearchikusan is felépíthetőek 20

Cross Realm hitelesítés Realm A 1-2. TGT kérés a lokális TGShez AS 3-4. Hozzáférés kérés a RTGShez TGS Realm B AS TGS 21

Kerberos 4 Korábbi változat Az AS csak egy üzenetet küld, amelybe belerejti a ticket csomagot is A 4. lépésnél új időbélyeg kerül az üzenetbe Csak peer-to-peer RTGS kapcsolatok, nincs hiearchia 22

Kerberos alkalmazások Bones, E-Bones - A Kerberos Europai változata, az USA törvényei miatt. Elsősorban UNIX rendszerek, de: Win 2000 már támogatja! SMB fájl-menedzsment Nyomtató sorok QoS kérések,... Támogatja az eredeti UNIX KDC -t is, de csak amikor nincs megszemélyesítés: pl. adatbázisok. 23

Kerberos használata % kinit Password for your_name@your.realm: % klist Ticket cache: /var/tmp/krb5cc_1234 Default principal: your_name@your.realm Valid starting Expires Service principal XXX XXX (8 hous) krbtgt/your.realm@you % rlogin newhost.domain % klist Ticket cache: /var/tmp/krb5cc_1234 Default principal: your_name@your.realm Valid starting Expires Service principal XXX XXX (8 hous) krbtgt/your.realm@you XXX XXX (8 hous) host/newshost.domain@you 24

Kerberos sebezhetősége Üzenetek visszajátszása Az órák szinkronja miatt egy intervallum van megadva. Ezt kivédené egy cache, de gondok vannak az implementációval, főleg UDP esetben. Állapotmentes szolgáltatás! Órák szinkronizációjának megtámadása Az idő meghamisítása és így egy kulcs megszerzése. Védekezés egy challangeresponse rendszerrel lenne lehetséges, de így már állapotok kerülnének a rendszerbe. (+2 üzenet, +állapotok) Lehetne csak opcionális, és használhatnák ekkor a Biztonságos idő szolgáltatásokat 25

Kerberos sebezhetősége 2. Jelszó találgatások A jelszó kódolva utazik a hálózaton, de megfigyelésekkel lehet egy szótáras támadást indítani. Sőt lehet más nevében azonosítást kérni! Megoldás a privát kulcsok alkalmazása (smartcard) Hamis AS szerverek Mivel az AS-t nem azonosítják, ezért lehetőség van hamis AS szerverek felállítására 26

Hitelesítés a jelszavakon túl

Azonosítás módszere Egy személyes kulcs Ismerete: jelszó, személyes információ Birtoklása: fizikai kulcs, token, smartcard Viselése: ujjlenyomat, hangminta, aláírás A kulcs azonosítja a felhasználót a hitelesítő felé Többfaktoros azonosítás esetén ezek kombinációja szükséges! Csak a felhasználó ismerheti / birtokolhatja / viselheti a kulcsot Ha valaki más felhasználó használja a kulcsot, akkor megszemélyesíti a kulcshoz társított felhasználót A kulcsot fel kell ismernie a hitelesítőnek Általában a hitelesítő is ismeri a kulcsot Erős azonosítás, ha a felhasználó a hitelesítéshez kulcsot nem fedi fel még a hitelesítő előtt sem! A hitelesítő ilyenkor nem ismeri a kulcsot 28

Azonosítás támadása A támadó célja a megszemélyesítés Más azonosítójának felvétele. A támadás után a megszemélyesített felhasználó felel a támadó tetteiért. Aktív támadás A hitelesítő támadása Programhibák kihasználása On-line próbálkozások Passzív támadás A forgalom megfigyelése, hallgatózás A megfigyelt forgalomból a hitelesítő kulcs megfejtése (off-line) 29

Egyszeri jelszavak A visszajátszásos támadások ellen véd, ha minden jelszavat csak egyetlen egyszer használunk One Time Passwords (OTP) A titokból az azonosításhoz egy egyszer használatos jelszót képzek A titkot nem feltétlenül kell ismernie mindkét félnek! 30

Egyszeri jelszó: Lamport séma Adott a titok több, egymást követő egyirányú transzformáltja h(x), h 2 (x), h 3 (x), h 100 (x) jelszavak A jelszavak használata a generálással ellentétes irányban történik A hitelesítő tárolja a felhasználó nevét és az utolsóként használt jelszavat A felhasználó a hitelesítésnél a nála következő (egyel kisebb sorszámú) jelszót használja A hitelesítő nem ismeri a jelszót, azonban, ha az általa tárolt jelszóhoz az adott egyirányú függvénnyel el lehet jutni, akkor a hitelesítés sikeres Sikeres hitelesítésnél a hitelesítő frissíti az utolsó jelszót Ha az összes jelszót elhasználták, akkor újakat kell előállítani Generálás Titok Jelszó 1 hash Jelszó 2 hash Jelszó 3 hash Jelszó N Felhasználás 31

S/Key Lamport sémája alapján Módszer: Adott a felhasználó jelszava (titka) és egy inicializáló mag (seed) A seed segíti, hogy ugyanazt a titkot többször is fel lehessen használni. (Más hitelesítők, vagy új jelszavak generálása) 64 bites (8 bájtos) egyszeri jelszavak Kompromisszum a biztonság és a begépelhetőség között MD4 alapú hash funkció Input: 8 bájt Output: 8 bájt, a 16 bájt MD4 kimenet két 8 bájtos részének XOR kapcsolata A begépelhető jelszavak miatt a 64 bites érték 6 rövid (1-4 betű) szócskára fordítódik egy egységes 2048 szavas nyilvános szótár alapján 32

S/Key használat Cél: hogy lehallgatással ne lehessen támadni Nincs titkos algoritmus, A titkot nem tároljuk! A hitelesítő az utolsó helyes hitelesítéshez használt jelszót jegyzi, illetve a sikeres hitelesítések számát Hitelesítésnél közli az inicializáló magot (seed) valamint, hogy hányadik jelszót kéri A felhasználó a saját titkából kiindulva meghatározza a kért jelszót A jelszavakat előre is lehet kalkulálni, ha a környezet nem biztonságos hozzá -> kódkönyv 33

S/Key gondok Utolsó jelszó tárolása A hitelesítő nem tárolja titkot, de ugyanakkor tárolja az utolsó sikeres jelszót. Ha át tudjuk írni, akkor megszemélyesítettük a felhasználót Kommunikáció lehallgatása A kommunikáció lehallgatásával nem tudjuk meg a titkot, de egy elkapott jelszó esetén még offline találgathatunk Több hitelesítő Több hitelesítő esetén a hitelesítőket szinkronizálni kell. Hibás szinkron esetén egy elkapott jelszó visszajátszható Kódkönyvek használata A kódkönyvet kilesve megtudjuk a jelszavakat 34

Secure ID A hitelesítő ismeri a titkot, de a felhasználó nem Ellenben van egy eszköze, ami ismeri Két faktoros hitelesítéshez Secure ID Eszközök (kb. kulcstartó nagyság) a hitelesítés erősítéséhez Az idő függvényében egyszeri jelszavakat állít elő a hitelesítéshez 64 bites kulcs + 64 bites idő -> 6-8 digites jelszó Az kód egységenként (30 vagy 60 mp) változik PIN kód segítségével + 4-6 digites jelszó Gondot okoz, ha az órák nincsenek szinkronizálva TPM használata ajánlott, a szoftveres megoldás nem az igazi 35

Secure ID (problémák) Padding Oracle támadás RSA-ba betörés után 36 Hálózatok építése, konfigurálása és működtetése - Fehér Gábor, BME-TMIT 2016/7.2

Smart kártyák Nyilvános/privát kulcson alapuló egyeztetés A titkot csak a felhasználó ismeri, a hitelesítőnél a nyilvános része van Csak smart kártyával lehetséges, hiszen a felhasználó képtelen kiszámolni, vagy bevinni az ilyen jelszavakat Smart kártya TPM (Trusted Platform Module) Önálló CPU és memória A privát kulcsot a kártya őrzi és az nem kerül a kártyán kívülre! Minden műveletet a kártya végez A kártyát befogadó gép iránt sincs bizalom A felhasználót ő is azonosítja (PIN kód) 37

Biometrikus jelszavak Mindig kéznél lévő nagy bonyolultságú jelszavak Ujjlenyomat Egyre gyakoribb. Egerekbe, laptopokba, telefonba, érintőkijelzőkbe építve. Kis helyigény, gyors használat! Könnyen ellopható! Nem megváltoztatható Hangminta Telefonon keresztül is végezhető! (Ügyfélszolgálatok)! Háttérzajok, betegség, stressz, alkohol befolyásolja! Visszajátszható 38

Ujjlenyomat 39 Hálózatok építése, konfigurálása és működtetése - Fehér Gábor, BME-TMIT 2016/7.2

Biometrikus jelszavak (folyt.) Retina letapogatás Nagyon közelről kell letapogatni (IR lézer) (véredényazonosítás) Nagyon biztos eljárás Írisz letapogatás Kb. 30 centi távolságból elegendő Fejlődik (okostelefon?) Egyéb, még nem túl elterjedt módszerek Arcfelismerés, kézfelismerés, gépelési sebesség, Aláírás dinamikussága Többfaktoros hitelesítés szükséges! 40

Azonosítás javítása Jelszavak bonyolultságának növelése Hosszú jelszavak, gyakori cserék De ezek megjegyezhetetlenek Le kell írni őket vagy túl egyszerűek (összefüggő jelszavak: kukutyin1, kukutyin2, ) A több nem mindig erősebb: UNIX 16 byte, LMHASH Megoldás Oktatás a jelszóhasználatról Jelszó helyett más azonosítás Többfaktoros azonosítás SSO megvalósítása 41

A jelszó továbbítás védelme A jelszót továbbító csatorna erős védelme Pl.: SSL, SSH Több csatorna egyidejű használata Számítógépes azonosítás + SMS Egy SMS-en kapott kód, mint második jelszó Pl.: Internetes bankoknál 42

2024 © DocPlayer.hu Adatvédelmi irányelvek | Szolgáltatási feltételek | Visszajelzés