Utazás a rakéta Kerberos-jegyeket, kérem ... ez Kerberos

Jegyeket, kérem ...

Mi a Kerberos?

Active Directory Kerberos, ha tudsz

Ez eltér a LM / NTLM / NTLMv2 alapuló RFC 1510 és egyéb szabványok

Saját szószedet: Az ügyfél, szolgáltatás, pre-hitelesítő, hitelesítő, hitelesítő, session kulcs, jegy, Jegybiztosító jegy, Ticket Service, Key Distribution Center, Authentication Service, jegybiztosító Service



Kerberos View from space

Leegyszerűsítve ez a szolgáltatás fut egy tartományvezérlő

Tisztában van a két dolog ( „vezetőinek”): A felhasználók és szolgáltatások (például a fájl szolgáltatásokat a szerveren)

Amikor a felhasználó meg kívánja kapni a szolgáltatást, akkor kér egy jegyet a szolgáltatás

Ezután a felhasználó bemutatja a jegyiroda, amikor használni akarja



fej Kerberos

Kerberos három fej

  • Az ügyfelek vagy „Felhasználó vezetőinek”: felhasználói fiókok mindegyiknek megvan a saját nevét és jelszavát - „UPN”
  • Services vagy a „Service vezetőinek”: valami, amit szeretnénk elérni; ez lehet, hogy csak egy szerver vagy egy külön szolgáltatás (file / print, SQL, Exchange); Minden szolgáltatás saját nevét - „SPN” és a jelszó
  • Key Distribution Center (KDC) - Domain Controller kiszolgáló, amely ismeri az összes jelszó és szolgáltatások. Megvan a saját jelszavát, csak általa ismert (Account „krbtgt”) és más tartományvezérlőit.
  • Elhalasztja jelszavakat egy ideig félre; és most ...



  • Kerberos képekben Ismerje fejünk ...



    Kerberos képekben végrehajtásához az e ...



    Kétféle Kerberos jegyek, a két szolgáltatás

    Eleinte be magunkat a KDC be; így bejelentkezni csak egyszer kérünk KDC hogy „a KDC Ticket” ... és ez Jegybiztosító jegy

    Ő nyújtott része a KDC, amely az úgynevezett „Authentication Service” vagy

    Miután megkapta a TGT, meg tudjuk mutatni, hogy KDC és azt mondja: „Emlékszel rám? Most kell egy Jegyiroda hogy egy ilyen szolgáltatás ... "

    Szolgáltatás jegyet küld a másik része a KDC, amely az úgynevezett „jegybiztosító Service” vagy TGS



    Mivel ez található a DC?

    Key Distribution Center = Authentication Service + jegybiztosító Service

    KDC = AS + TGS

    KDC, AS, TGS - csak egy része a szerepek által végrehajtott vezérlő

    Mindazonáltal nem látjuk az AS, TGS és egyéb szolgáltatások a Task Manager; ők végzik a folyamat LSASS



    Miért kétféle Kerberos jegyek?

    Jegybiztosító Jegyiroda Jegyiroda ahogy szolgáltatás hitelesíti

    De általában, a végén egy egyszeri és többszöri TGT ST

    Ennek oka az, hogy két fajta jegyek: Kerberos védi minden jegy titkosítja részét adatokat jelszó vagy kulcs



    Kerberos Key okokat jobban Kerberos

    Sok jegy magában foglalja számos titkosítási információt a mi jelszót - ez azt jelenti, hogy a támadó lesz egy csomó adat kiszámításához jelszó

    Tehát - és ez nagyon fontos -, amely Kerberos a TGT, sőt, a „jelszót a nap”

    Információk a szolgáltatással kapcsolatos jegyet, titkosított jelszó a nap; Csak kapcsolatos információkat TGT titkosított jelszó használatával - egy ügylet naponta!



    Kerberos képekben Először Tom szüksége Jegybiztosító jegy



    Apropó Vista és újabb

    Ha megnézzük a hálózati forgalmat, amikor a Vista próbál meg bejelentkezni, azt látjuk, hogy a TGT kérelmet először mindig sikerül.

    Vista szándékosan küld egy „rossz” csomagot, hogy meghatározzák a lehetőségét, hogy az AES helyett az RC4-HMAC - visszaadja egy „KDC_ERR_PREAUTH_REQUIRED” hibát tartalmaz egy listát a lehetséges algoritmusok



    Tom préselt Ctrl + Alt + Del, belépett a felhasználónevét és jelszavát, és kap egy TGT

    De még mindig nem lépett a számítógépen

    Azt kell, hogy hozzáférjen munkaállomás

    Majd kap ez a Jegyiroda

    Tehát ez a következő dolog, amit meg kell kérni a jegykiadó szolgáltatás



    Kerberos képekben Következő Tom kap Jegyiroda



    Tom folytatta a munkaállomáson

    Kapott egy TGT, mellyel lekérdezésére Jegyiroda Ticket Service megadása

    Kapott egy Jegyiroda munkaállomásra

    Ezek a „jegyet”, sőt, csak az adatok a számítógép memóriájában TOMSPC

    Tom láthatja őket a kerbtray vagy klist, benne van a Resource Kit



    Következtetés klist segédprogram

    C: \> klist jegyek

    Gyorsítótárazott Jegyek: (2)

    Szerver: krbtgt/[email protected]

    KerbTicket Titkosítás típusa: RSADSI RC4-HMAC (NT)

    Szerver: host/[email protected]

    KerbTicket Titkosítás típusa: RSADSI RC4-HMAC (NT)

    A nyomtatószerver ...

    Ugyanígy, Tom is kap egy jegyet a nyomtatási szolgáltatás a PS (a klist jelenik CIFS / ps.stanky.ru ...)

    Ő teszi TGS TGT

    A szabályzó a TGT és ad Tom Jegyiroda, azonosítva azt a PS

    Most Tom három jegyek



    Tom és jegyek



    Ez jól hangzik, de ez biztos, hogy? Idő, hogy belevetik magukat a részleteket

    Mindez jól hangzik ... De hogyan tudjuk megvédeni?

    Miért támadó nem lehallgatott jegyek mondani, hogy „Hi Print Service PS, Tom vagyok”?

    A kulcs - ez jó ... A kulcsok - ez a következő része a Marlezonskogo Balett



    biztonságos hitelesítés

    Azt akarjuk, hogy képes legyen azonosítani egymással egy biztonságos hálózat; Ezt megtehetjük, ha:

    • Egyetértünk a titkosítási algoritmus
    • Egyetértünk a titkos kulcs
    • Elfogadom adatkommunikáció
  • Például: Azt mondom, hogy megtalálja nekem az üdvözlő üzenetet dekódolni DES'om és 56 bites kulcsot, amelyről csak a te és én, és ha azt mondja: „Az idő az X”, akkor én tényleg Biztonságos önmaguk azonosítására, például az interneten keresztül



  • Kerberos és AD ...

    Egyetértünk abban, hogy:

    • A titkosító algoritmus: RC4-HMAC
    • Megosztott titok: hagyjuk, hogy a KDC hogy hozzon létre egy random 128 bites kulcsot, és adja át csak mi
    • felismerés adat: egység, az úgynevezett „hitelesítő”
  • Amikor a „hitelesítő” átírt, bizonyítania kell, hogy a másik, hogy tudjuk, megosztott titkos kulcs



  • Gyakori gombok is használhatók ...

    Miután megkapta a közös kulcs, amely több, vagy akik nem tudják a kliens és a szerver nem más dolog mellett a hitelesítés, mint például:

    • Az SMB-aláírás
    • Biztonságos (titkosított) ülés
    • Az Exchange kulcsok IPsec AH vagy ESP (aláírás és titkosítás)
    • Bármilyen más formában aláírása vagy titkosítása


    A másik követelmény kulcsokhoz

    Jó lenne, ha a kulcs, hogy az általunk használt nem volt ugyanaz minden alkalommal

    Ehelyett, ha szükséges, hogy beszéljen, hogy jobb lenne, ha valahogy megállapodtak a legfontosabb, hogy érvényes csak néhány óra, és soha többé nem látja őt használni - a kulcs az ülés

    Egy ilyen kulcs nevezzük kulccsal ( "Session Key")



    Kerberos Cél Hogyan lehet a kulcs nélkül a lehallgatás?

    Megegyeztünk a tartalmát a hitelesítő, hogy titkosítani egyeztetett algoritmus

    Minden, amire szükségünk van:

    • A szerver generál egy véletlen esemény kulcsot, amely csak néhány órával
    • Eljárás közvetíteni nektek és nekem azok a gombok nélküli lehallgatás
  • Ez teszi Kerberos. Rendszeresen.



  • Key gyűjtemény - I. rész: A munkamenet kulcs jegybiztosító jegy

    Emlékezz jegyek - első TGT, akkor a szolgáltató jegy? Most tekintsük a része a kulcs

    Amikor Tom kérdezi TGT az AS szerint ez a valóságban. Azt kérdezi, két dolgot:

    • TGT, amit tesz TGS, amikor szüksége volt egy Jegyiroda és
    • Különleges esemény kulcs „csak ma”, csak általa ismert és KDC
  • Itt van, hogyan működik (több részlet, de még egy kicsit egyszerűsített)





  • AS létrehoz egy közös kulccsal



    Tom kap egy TGT és session key



    Mi elértük ezt?

    Az első helyen - volt közös kulccsal ( „ma”) között KDC és Tom

    Második - kapott adatszerkezet (TGT), amely csak dekódolni az KDC

    Mivel csak a KDC létrehozhat egy TGT és TGT tartalmaz egy „kulcs” dátum Tom-KDC Tom tud mutatni egy TGT ha azt akarja, hogy emlékeztesse a KDC, ők már közölték

    És KDC nem kell elfelejteni, hogy Tom ma hitelesített



    Key gyűjtemény - Part II: előállítás Jegyiroda a munkaállomás

    Következő ne feledjük, hogy Tom szükséges Jegyiroda a munkahelyén tartózkodik, emiatt TGT a jegybiztosító Service

    De hogyan TGS biztos lehet abban, hogy valaki nem fogott TGT Tom, és elküldte azt a TGS?

    Ezt úgy érjük el a hitelesítő ( „Hitelesítő”) - a tartalmazó adatszerkezet, önmagában többek között az időbélyegző, a titkosított kulcs Tom-KDC



    Tom kérdezi ST



    TGS ellenőrzi Tom kérés



    TGS teremt ST TOMSPC



    Tom kap egy új kulcsot



    Tom hitelesítve TOMSPC



    Tom jött

    Csakúgy, mint az AS és TGS, Workstation Service on TOMSPC megnyílik egy jegyet, mert titkosított jelszavával TOMSPC

    TOMSPC belül TPC-Tom kulcsot használnak, hogy nyissa ki a hitelesítő

    Ezután TOMSPC ellenőrzi az időbélyegző, láthatjuk, hogy jól van



    A másik dolog a jegyeket - emlékszik hitelesítő? Azt bizonyítja, hogy a szolgáltatás a felhasználó, sőt, akik közül az egyik azt állítja, hogy

    A Kerberos, akkor kérheti további szolgáltatás küld vissza a timestamp, titkosított kapcsolat kulcsot - a kölcsönös hitelesítés ( „a kölcsönös hitelesítés”)



    Ezek a gombok arra szolgálnak, hogy a felhasználók formájában jegyek

    A tagok azt állítják, hogy ők a jogos tulajdonosok jegyek felhasználásával authenticators

    Kerberos csak akkor működik, AD; modern rendszerek továbbra is használhatja az LM, NTLM vagy NTLMv2 hitelesítést



    további anyagok

    Hogy a Kerberos V5 hitelesítési protokoll Works

    Csapatblogodban Kérdezze a Directory Services

    IIS és a Kerberos Ken Schaefer

    Remélem, ez hasznos volt, és érdekes

    [email protected]



    Központ a játéktér gyermek támogatása GBOU Óvoda №1492
    Kérjük, ne szidja a gyereket, amiért megértését jelenti hibát, hanem dicsérni a jó szerencsét! Beszélgetések másokkal.

    Turizmus - Turizmus egy modern út - a modern utazási
    Utazás szó régi, tágas, sorkatonai szolgálat. Szótár VI Dahl határozza meg, mint a „zarándoklat, strannichane, séta vagy lovaglás.

    Tudtad, hogy Ön jogosult adókedvezményekkel? Mi ez?
    A doboz maradt egy megjegyzés, amely a következő: „Kérem, vigyázzon rám.” A rendőrség bekapcsolta a rádiót kínál.

    Kérjük, válasszon az alábbi lehetőségek közül: Kérjük, válasszon az alábbi lehetőségek közül
    HR outsourcing és előnyök adminisztráció gyakran kiszervezik egy külső szolgáltató

    „Utazás a Astrakhan tartományban.” különjárat
    Diploma, és ez megerősíti, hogy küldött felderítő Galina Vladimirovna a XXI században egy leckét a 8. évfolyamon, annak érdekében, hogy menjen el a gyerek.