Az előadás letöltése folymat van. Kérjük, várjon

Az előadás letöltése folymat van. Kérjük, várjon

1 Hálózati Operációs Rendszerek Kerberos, Windows Biztonsági arch., Active Directory bizt. arch. Előadó: Bilicki Vilmos

Hasonló előadás


Az előadások a következő témára: "1 Hálózati Operációs Rendszerek Kerberos, Windows Biztonsági arch., Active Directory bizt. arch. Előadó: Bilicki Vilmos"— Előadás másolata:

1 1 Hálózati Operációs Rendszerek Kerberos, Windows Biztonsági arch., Active Directory bizt. arch. Előadó: Bilicki Vilmos

2 2 Forrás Kerberos: ( ) Kerberos White Paper ( /security/kerberos.asp ) /security/kerberos.asp

3 3 Tartalom (1) Kerberos újra Közös kulcs Kulcs kezelés KDC Kulcs elosztás Kulcs tipusok Jegy igénylő jegy Jegy tulajdonságok Azonositás delegálás Smart card bejelentkezés

4 4 Tartalom (2) Windows biztonsági architektúra Elemek Bejelentkezés tipusok Interaktiv Nem interaktiv Számitógép indulás Objektum biztonság az AD.-ben

5 5 A Kerberos azonosítás a szimmetrikus titkosításon alapul D K (E K (M)) = M; Hasonló megoldás van NTLM esetén is: Ha a közös kulccsal van titkosítva akkor a másik fél hiteles Titkosított Csomag: Azonosító (authenticator) mindig mást kell titkositania Közös titkos kulcs: Viszony Kulcs (session key) Kritikus elem: Időbélyeg (Time Stamp) kisebb a kulönbség mint 5 perc, sorrend figyelés Kölcsönös azonosítás: A szerver is megteszi ugyanezt

6 6 Kulcs elosztás Hogyan osztjuk ki a kulcsokat (nem csak ) emberek, … Kerberos nélkül: n (n — 1)/2 kulcs (50,000 -> 1,500,000,000) Minden kliensen Kerberos : Három entitás: Két kommunikáló fél Közvetitő fél (Key Distribution Center - KDC) Minden egyed rendelkezik egy-egy KDC-vel közös kulccsal Az Egyed Mester Kulcsa (Master Key) (pl: a felh. Jelszavából, MD5 tárolás, létrehozáskor), hosszútávú kulcs Kerberos tartományok Windows 2000: Dcpromo -> kdc szolgáltatás (minden DC írható/olvasható KDC adatbázis) Azonosító szolgáltatás Jegy Kiadó Szolgáltatás Multimaster

7 7 Kerberos jegy Biztonságos csatorna építhető ki a segítségével Kereberos: Azonosító Szolgáltatás (Authentication Service) Jegykiosztó Szolgáltatás (Ticket-Granting Service) Mindenki megbízik a KDC által legyártott viszonykulcsokban (nem csak a Master Key-ben) A viszonykulcs minősége a Windows 2000 véletlen szám generátorától függ (Nem a felh. Jelszótól !!!) A KDC-nek kellene a viszony kulcsokat kiosztani : A közös kulccsal titkosítja (user, szerver) (Kerberos terminológia : jegy ticket))

8 8 Kulcs hierarchia A biztonság növelése érdekében, a gyakran használt kulcsokat gyakrabban változtatják és erősebb kulcsokat generálnak (felh. jelszó): A magasabb szintű kulcsok védik az alacsonyabb szintű kulcsokat A magasabb szintű kulcsok hosszabb élettartamúak

9 9 Kulcs elosztás Két megoldás lehetséges: Mindkét fél a szervertől kapja meg: Az erőforrás szervernek minden kulcsot tárolnia kellene Szinkronizációs problémák A szerver a kezdeményező félnek küldi el mindkét jegyet Egyszerű azonosítás (elküldi a jegyet) Gyors azonosítás (tárolhatja a jegyet) Egyszerűbb terhelés elosztás (csak másik jegyet kell küldeni) A kulcsok egy speciális memória területen tárlódnak és soha sem kerülnek ki a merevlemezre (klist.exe, kerbtray.exe ürítés )

10 10 Jegy biztosító jegyek (ticket-granting ticket ) Minden egyes viszony kulcs létrehozására a felhasználó mester kulcsát használtuk Könnyebben visszafejthető szótáras támadással (L0phtcrack ) Az első azonosítás után egy TGT-t, és egy viszony kulcsot kap a felhasználó e jegy segítségével titkosítja az üzeneteket a KDC számára A TGT újrahasznosítható az élettértartamán belül A KDC nem tartja nyilván a TGT-ket Gyorsabb megoldás mivel nem kell keresgélnie az adatbázisában

11 11 Kerberos működése 1. KRB_AS_REQ 2. KRB_AS_REP 3. KRB_TGS_REQ 4. KRB_TGS_REP 5. KRB_AP_REQ 6. KRB_AP_REP

12 12 Adat titkosítás A viszony kulcs az adat: Aláírására Titkosítására használható. (CIFS) HKLM\System\CurrentControlSet\Services\LanManS erver\Parameters EnableSecuritySignature RequireSecuritySignature HKLM\System\Current- ControlSet\Services\Rdr\Parameters Q161372

13 13 Bejelentkezés egy Windows 2000 szerverbe Helyi bejelentkezés (Egy tartományos modell): DNS keresés (_kerberos, _kpasswd ) 3. KRB_AS_REQ 4. Az Azonosító Szolgáltatás azonosítja a felhasználót majd KRB_AS_REP üzenetet küld. 5. A helyi gép egy KRB_TGS_REQ üzenetet küld. 6. A kdc KRB_TGS_REP választ küld 7. A jegyet megvizsgálja az LSA

14 14 Jegy tulajdonságok FORWARDABLE A szerver szerzi be a jegyet FORWARDED PROXIABLE Kliens szerzi be a jegyet Tudni kell a háttérszerver adatait PROXY RENEWABLE A viszony kulcsok cserélhetőek a jegy újragenerálása nélkül Aktuális kulcs időtartam (tipikusan egy nap) Teljes kulcs időtartam (néhány hét) INITIAL

15 15 Hálózati bejelentkezés 1. KRB_TGS_REQ 2. KRB_TGS_REP 3. KRB_AP_REQ 4. KRB_AP_REP

16 16 Bejelentkezés más tartományba A felhasználó vagy az erőforrás más tartományhoz tartozik (Alice Europe, Gép NA). 1. KRB_AS_REQ és KRB_AS_REP (Europe) 2. KRB_TGS_REQ, KRB_TGS_REP 1. KRB_TGS_REQ Europe 2. Hivatkozó jegy NA irányába (compaq.com, tartományközi jelszó) 3. DNS kdc keresés compaq.com- ban 4. Hivatkozó jegy NA-ra 5. KDC keresés NA-ban 6. TGS_REP az erőforrásra Ez nem történik meg minden alkalommal (tárolás), a csomagok kicsik

17 17 Tartományok közötti kapcsolat Tartományi megbízott fiókok A tartomány közti azonosítást a speciális megbízó (principal) fiókot tárol a másik tartományról Tartomány közti kulcsok (inter-realm key) A kulcs a jelszóból származik mely megfelelő időközönként cserélődik Valós megbízotti kapcsolat: Közös titkos kulcs (dcpromo) krbtgt fiók: Az ő jelszava lesz a Master Key A jelszó menetrend szerint váltakozik Jelentős DC használat (principal, tartomány)

18 18 Azonosítás delegálása

19 19 Smart card belépés PKINIT CA használat Menet: PA-PK-AS-REQ …

20 20 Win 2K Biztonsági arch. Feladatok: Azonositás NTLM Kerberos TLS Jogosultság kezelés Bejelentkezés tipusai: Helyi (Interaktiv) Hálózati (Nem interaktiv) Kötegelt (at, winat) Szolgáltatás

21 21 Az NTLM interaktív bejelentkezés folyamata 1. CTRL+ALT+DEL (Secure Attention Sequence [SAS])) 2. Winlogon szolgáltatás -> GINA modul (Graphical Identification and Authentication ) 1. Egyed azonosítás pl.: login+jelszó -> SID, Smart Card + PIN 3. Azonosító hatóság (LocalSecurityAuthority) helyi vs. dc, kernel komp. 4. LSA: 1. MSV1_0 SAM adatbázis 2. MSV1_0, Net Logon (LSA DC) 3. Kerberos 5. SAM -> LSA HKEY_LOCAL_MACHINES\System\CurrentControlSet\Control \Lsa\AuthenticationPackages

22 22 Nem Interaktív bejelentkezés Elosztott rendszerek Outloook, Exchange Kommunikáció: RPC, SMB, HTTP, LDAP, POP3,… SSPI (Security Support Provider Interface) Elrejti a különbséget az azonosító, titkosító protokollok között Elrejti a különbséget az átviteli protokollok között Security Support Providers A biztonsági protokollt valósítja meg NTLM, Kerberos, SChannel, DPA

23 23 Egyeztetés RFC 2478 Windows 2000 Kerberos NTLM LMCompatibilityLevel (Q )

24 24 Számítógép indulás DHCP, IP LDAP szerver keresés (hely alapján) _ldap._tcp.default-first-site- name._sites.dc._msdcs. LDAP keresés (DC comp. account) DC Netlogon -> bizt. Csat _kerberos._tcp.default-first-site- name._sites.dc._msdcs. keresés Minden szolgáltatást azonosit DFS konfig RPC segítségével DN név generálás

25 25 Felhasználó bejelentkezés

26 26 Objektum biztonság az AD.-ben Objektum alapú biztonsági modell AD biztonsági komponensek Felhatalmazó és Rendszer Hozzáférés Vezérlő Listák Hozzáférés Vezérlő Bejegyzések Általános AD Tiltás, Engedélyezés, Auditálás Öröklődés Belépési folyamat

27 27 Active Directory Biztonsági Komponensek Biztonsági Alanyok Felhasználó, biztonsági csoport, szolgáltatás, számítógép Egyedi azonosítóval azonosítva Biztonsági azonosítók (SIDs) Azonosítják a biztonsági alanyokat Soha nem használják újra Biztonsági Leírók Az objektummal kapcsolatos információk Tartalmazza a DACL-eket és a SACL-eket

28 28 Felhatalmazó és Rendszer Hozzáférés Vezérlő Listák Bináris adatstruktúra Felhatalmazó Hozzáférés Vezérlő Listák (DACL) Azonosítja a biztonsági alanyokat melyek számára engedélyezve vagy tiltva van a hozzáférés Rendszer Hozzáférés Vezérlő Listák (SACL) Az objektum hozzáférést naplózza Biztonsági Leirók Fejléc Tulajdonos SID Csoport SID DACL SACL ACEs

29 29 Hozzáférés Szabályozó Bejegyzések A hozzáférés tiltására használjuk a DACL-ben A hozzáférés engedélyezésre használjuk a DACL-ben A tulajdonságok hozzáférésére és az öröklődés szabályozására használjuk DACL Adat Felépités Fejléc Hozzáférés Maszk SID Felh. SID Csop. ACE Hozzáf. Tiltva ACE Hozzáf. Eng. ACE Hozzáf. Tiltva Obj. Tul. ACE Hozzáf. Eng. Obj. Tul. Control Flags

30 30 Öröklődés A szülő objektum hozzáférési jogával rendelkező felhasználók Szülő Objektum Szülő Objektum Gyermek Objektum DACL User 1 Olvasás Group 1 Full Control DACL User 1 Olvasás Group 1 Full Control DACL-ek öröklődnek a gyermek objktumokna k Nem kell a gyermek objektumok jogait manuálisan állítgatni Garantálja, hogy a szülő beállításai a gyermekre is érvényesek Csak a szülő objektum jogait kell változtatni Minden más ACE-t felülír

31 31 A bejelentkezési folyamat A Felhasználó belép A Helyi biztonsági alrendszer egy jegyet kér a felhasználónak A helyi biztonsági alrendszer kér egy munka állomás jegyet A KDC küld egy jegyet A helyi biztonsági alrendszer létrehoz egy hozzáférési jelet A hozzáférési jel a felhasználó porcesszéhez lesz csatolva Local Security Subsystem Local Security Subsystem Domain Controller Global Catalog Server TicketTicket Access Token 11 TicketTicket TicketTicket Constructs Access Token 55 Kerberos Service

32 32 Hozzáférési Jel Hozzáférési Jelek: A bejelentkezés folyamán hozzák létre és minden egyes objektum hozzáféréskor felhasználják Tartalmaz SID-et, mely azonosítja a felhasználót Tartalmaz egy vagy több Csoport ID-t, amely csoportokhoz a felhasználó tartozik Tartalmazza a felhasználó jogait Hozzáférési Jel Security ID: S Group IDs:Employees EVERYONE LOCAL User Rights: SeChangeNotifyPrivilege - (attributes) 3 SeSecurityPrivilege - (attributes) 0 Security ID: S Group IDs:Employees EVERYONE LOCAL User Rights: SeChangeNotifyPrivilege - (attributes) 3 SeSecurityPrivilege - (attributes) 0

33 33 Erőforrások Hozzáférése User Application Sends Read Request DACL Security Subsystem Access File Read Allowed Security Subsystem Checks Appropriate ACE in DACL for File ACE Found Domain OU1 OU2 SID User SID Group ACE Access Allowed User 1 Read

34 34 Tartalom (1) Kerberos újra Közös kulcs Kulcs kezelés KDC Kulcs elosztás Kulcs tipusok Jegy igénylő jegy Jegy tulajdonságok Azonositás delegálás Smart card bejelentkezés

35 35 Tartalom (2) Windows biztonsági architektúra Elemek Bejelentkezés tipusok Interaktiv Nem interaktiv Számitógép indulás Objektum biztonság az AD.-ben

36 36 A következő előadás tartalma Windows biztonsági architektúra Active Directory biztonsági architektúra


Letölteni ppt "1 Hálózati Operációs Rendszerek Kerberos, Windows Biztonsági arch., Active Directory bizt. arch. Előadó: Bilicki Vilmos"

Hasonló előadás


Google Hirdetések