Az előadás letöltése folymat van. Kérjük, várjon

Az előadás letöltése folymat van. Kérjük, várjon

UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS Hálózati Operációs Rendszerek AAA-Azonosítás Dr. Bilicki.

KiadtaIrma Szőkené Megváltozta több, mint 9 éve

Hasonló előadás

Az előadások a következő témára: "UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS Hálózati Operációs Rendszerek AAA-Azonosítás Dr. Bilicki."— Előadás másolata:

1 UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS Hálózati Operációs Rendszerek AAA-Azonosítás Dr. Bilicki Vilmos Szegedi Tudományegyetem Informatikai Tanszékcsoport Szoftverfejlesztés Tanszék

2 UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS Az előadás tartalma  AAA  TLS  NTLM  SSO  Kerberos 2014. 07. 15.Hálózati Operációs Rendszerek2

3 UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS AAA  Azonosítás  Jogosultság kezelés/Hozzáférés vezérlés ■DAC - Discretionary access control ■MAC - Mandatory access control ■RBAC - Role-based access control ■Képesség alapú hozzáférés vezérlés 2014. 07. 15.Hálózati Operációs Rendszerek3

4 UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS 4 Biztonsági megoldások

5 UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS 5 TLS (Tranport Layer Security)  Új réteg bevezetése: ■Netscape SSL ■Microsoft PCT ■IETF TLS  Megbízhatóság, Adatvédelem, Azonosítás  Definiálja a csatorna paramétreinek egyeztetési módszerét  Viszony/Kapcsolat

6 UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS 6 TLS felosztása I.  TLS Handshake ■Session identifier ■Peer certificate ■Compression method ■Cipher spec ■Master secret ■Is resumable

7 UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS 7 TLS felosztása II.  TLS Record ■Fragmentálás ■Tömörítés ■Tartalom védelem ■Titkosítás

8 UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS 8 Kapcsolat felépítés 1.Hello üzenetcsere 2.Rejtjelezési paraméter csere 3.Bizonyítvány csere 4.Főkulcs 5.Adatcsere

9 UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS 9 NTLM  LAN manager: ■Kihívás válasz alapú –-> Név –<- Random –Enc(Passwd,név, random)-> ■A jelszavak szabad szöveges formátumban tároltak! ■Nem különbözteti meg a kis és a nagy betűket –26 karakter + speciális karakterek ■A hosszú jelszavak 7 karakteres részekre vannak osztva ■Következmény kicsi jelszótér, könnyen feltörhető –Szótár alapú támadások –Brute force támadások

10 UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS 10 NTLM V1  NTLM V1: ■Megkülönbözteti a kis és a nagy betűket ■Nincs 7 karakteres tördelés ■Szótáras támadásokra még igen érzékeny (gyenge jelszavak esetén) ■Brute Force módszerrel már nehezebb feltörni (100 2 GHz-es géppel 5.5 év a Microsoft szerint) ■A protokoll nem gondoskodik az üzenetek titkosításáról azonosításáról. (üzenet beszúrásos támadás)

11 UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS 11 NTLM V2  NTLM V2: ■128 bites kulcstér ■Kölcsönös azonosítás ■Biztonságos csatorna a kliens és a szerver között (aláírás és titkosítás) ■A csatorna titkosítása nem jelszófüggő ■Jóval nehezebb az Online Feltörés mivel az üzenetek igen változékonyak

12 UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS 12 Beállítások  HKEY_LOCAL_MACHINE\SYSTEM\CurrentContro lSet\Control\LSA\LMCompatibilityLevel ■0 - LM & NTLM válaszok küldése ■1 - LM & NTLM – Amennyiben egyeztetve van NTLMv2 kapcsolat biztonság használata ■2 – Csak NTLM válaszok küldése ■3 - Csak NTLMv2 válaszok küldése ■4 -Csak NTLMv2 válaszok, megszakítja az LM kéréseket ■5 - Csak NTLMv2 válaszok megszakítja az LM & NTLM kéréseket  Vagy: ■Local Security: Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options\LAN Manager Authentication Level

13 UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS SSO, E-SSO  Single sign-on (SSO) ■Hozzáférés vezérlés ■A felhasználó egyszer lép be ■Az erőforrások hozzáférése ezután már transzparens számára ■Problémák: –Sok webhely, sok jelszó (21 account/password) –A jelszó kezelés bonyolult –Ezért egy jelszavat használ mindenhova –Jelszó menedzselők »Mac-X, GNOME, KDE, Web Böngészők ■Előnyei: –Idő megtakarítás –IT költség csökentés –Több szintű transzparens biztonság 13

14 UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS Megoldások  SSO ■Kerberos alapú ■Okos kártya alapú ■OTP token (one time password) ■OpenSSO  Megosztott azonosítás, Föderatív azonosság ■OpenID ■Shibboleth ■Információ kártyák ■Liberty Allience ■WS-Federation  Szabványok ■SAML 14

15 UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS SAML  Security Assertion Markup Language  Azonosítás, Jogosultság kezelés biztonsági tartományok között  Probléma: ■Intranet megoldások ■Web Böngésző SSO?  Részei ■XML séma ■XML aláírás ■XML titkosítás  Elemei: ■ XML alapú állítások ■Protokollok ■Kötések ■Profilok 15

16 UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS SAML  Kifejezések ■Azonosítás ■Attribútum ■Engedélyezés döntés eredmény (XAML inkább) ■Pl.: X adta ki t időben S-re vonatkozóan amenniyben a C feltételek igazak  Protokol ■Hogyan van a dróton átküldve ■Legfontosabb: –Query »Authentication query »Attribute query »Authorization query  Kötés 16

17 UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS SAML 17

18 UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS OTP token  Cél: nehezebb legy a védett erőforráshoz jogosulatlanul hozzáférni  Folyamatosan változó jelszó  Típusai ■Matematikai algoritmus mely az előző alapján gyártja a következőt (Leslie Lamport: hash lánc) ■Idő szinkronizálás alapú (speciális hw, mobil, …) ■Matematikai alapú de az újak az azonosító szerver véletlenszáma alapján generálódnak (SMS) 18

19 UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS OpenID  Módszer arra, hogy egy azonosító egy felhasználó kezelésében van  Elosztott  A felhasználó tetszőleges OpenID szolgáltatót választhat  Szolgáltató váltásnál is megtarthatja az azonosítóját  Ajax segítségével az oldal elhagyása nélkül is azonosítható a felhasználó  Profil, … nem része a specifikációnak 19

20 UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS OpenID  A protokol ■A felhasználó megdja az azonsítóját az erőforráshoz ■Az erőforrás felderíti az azonosító szervert és annak protokollját ■Az erőforrás átirányítja a felhasználót az azonosító szerverhez ■Az azonosító szerver azonosítja a felhasználót (az hogy hogyan az nincs megadva) ■Az azonosító szerver visszairányítja a felhasználót az erőforráshoz az azonosítás eredményével –URL, Nonce, aláírás 20

21 UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS Shibboleth  SAML alapú  Föderatív kapcsolatok felett azonosítás, jogosultság kezelés 21

22 UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS Shibboleth 22

23 UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS Információs kártyák  Egy csak a felhasználó által ismert információra alapozva azonosítja a felhasználót  Információs kártyák hordozzák ezt  Személyes  Menedzselt 23

24 UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS 24 MIT Athena project ( http://web.mit.edu/kerberos/www/ ) Funkciói (Fejek): Azonosítás (authentication) Hozzáférés vezérlés (access control) Naplózás (auditing) Felépítés: Kliens (Client) Szerver (Server) Jegy központ (KDC) Kerberos V5 (RFC 1510): Azonosítás Kerberos

25 UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS 25 Kerberos vs. NTLM, TLS Használhatja úgy a szimmetrikus(RFC 1510) mint az aszimmetrikus titkosítást (PKINIT) Az aszimmetrikus megoldás skálázhatóbb: A másik félnek nem kell online lennie Internetre az SSL-TLS a legalkalmasabb Az aszimmetrikus megoldás: nehezebben adminisztrálható nagyobb a számításigénye (1000x)

26 UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS 26 Kerberos vs NTLM  Gyorsabb azonosítás (pl.: a jegy tárolható, pass- trough azonosítás)  Kétoldalú azonosítás (NTLM challenge-response)  Tranzitív megbízás (nem feltétlenül kerberos megbízás)  Nyílt szabvány (RFC 1510 )  Delegálás, Azonosítás továbbítás támogatása (egy szolgáltatás egy felhasználó nevében cselkedhet, többrétegű alkalmazás)  Smart-Card használat támogatása (Kerberos PKINIT) (Védelem a billentyűzet figyelő programok ellen)

27 UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS 27 Kerberos Működési Elv 1.A Kerberos azonosítás a szimmetrikus titkosításon alapul 2.Kulcs elosztás 3.Kerberosz jegy 4.A jegy kiosztása 5.Az egyed fő kulcs használatának korlátozása

28 UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS 28 A Kerberos azonosítás a szimmetrikus titkosításon alapul  D K (E K (M)) = M;  Hasonló megoldás van NTLM esetén is: ■Ha a közös kulccsal van titkosítva akkor a másik fél hiteles  Titkosított Csomag: ■Azonosító (authenticator) mindig mást kell titkositania  Közös titkos kulcs: ■Viszony Kulcs (session key)  Kritikus elem: ■Időbélyeg (Time Stamp) kisebb a kulönbség mint 5 perc, sorrend figyelés  Kölcsönös azonosítás: ■A szerver is megteszi ugyanezt

29 UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS 29 Kulcs elosztás Hogyan osztjuk ki a kulcsokat (nem csak ) emberek, … Kerberos nélkül: n (n — 1)/2 kulcs (50,000 -> 1,500,000,000) Minden kliensen Kerberos : Három entitás: Két kommunikáló fél Közvetitő fél (Key Distribution Center - KDC) Minden egyed rendelkezik egy-egy KDC-vel közös kulccsal Az Egyed Mester Kulcsa (Master Key) (pl: a felh. Jelszavából, MD5 tárolás, létrehozáskor), hosszútávú kulcs Kerberos tartományok Windows 2000: Dcpromo -> kdc szolgáltatás (minden DC írható/olvasható KDC adatbázis) Azonosító szolgáltatás Jegy Kiadó Szolgáltatás Multimaster

30 UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS 30 Kerberos jegy  Biztonságos csatorna építhető ki a segítségével  Kereberos: ■Azonosító Szolgáltatás (Authentication Service) ■Jegykiosztó Szolgáltatás (Ticket-Granting Service)  Mindenki megbízik a KDC által legyártott viszonykulcsokban (nem csak a Master Key-ben)  A viszonykulcs minősége a Windows 2000 véletlen szám generátorától függ (Nem a felh. Jelszótól !!!)  A KDC-nek kellene a viszony kulcsokat kiosztani : ■A közös kulccsal titkosítja (user, szerver) (Kerberos terminológia : jegy ticket))

31 UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS 31 Kulcs hierarchia  A biztonság növelése érdekében, a gyakran használt kulcsokat gyakrabban változtatják és erősebb kulcsokat generálnak (felh. jelszó): ■A magasabb szintű kulcsok védik az alacsonyabb szintű kulcsokat ■A magasabb szintű kulcsok hosszabb élettartamúak

32 UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS 32 Kulcs elosztás  Két megoldás lehetséges: ■Mindkét fél a szervertől kapja meg: –Az erőforrás szervernek minden kulcsot tárolnia kellene –Szinkronizációs problémák ■A szerver a kezdeményező félnek küldi el mindkét jegyet –Egyszerű azonosítás (elküldi a jegyet) –Gyors azonosítás (tárolhatja a jegyet) –Egyszerűbb terhelés elosztás (csak másik jegyet kell küldeni) –A kulcsok egy speciális memória területen tárlódnak és soha sem kerülnek ki a merevlemezre (klist.exe, kerbtray.exe ürítés )

33 UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS 33 Jegy biztosító jegyek (ticket-granting ticket )  Minden egyes viszony kulcs létrehozására a felhasználó mester kulcsát használtuk ■Könnyebben visszafejthető szótáras támadással (L0phtcrack ) ■Az első azonosítás után egy TGT-t, és egy viszony kulcsot kap a felhasználó e jegy segítségével titkosítja az üzeneteket a KDC számára ■A TGT újrahasznosítható az élettértartamán belül ■A KDC nem tartja nyilván a TGT-ket ■Gyorsabb megoldás mivel nem kell keresgélnie az adatbázisában

34 UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS 34 Kerberos működése 1.KRB_AS_REQ 2.KRB_AS_REP 3.KRB_TGS_REQ 4.KRB_TGS_REP 5.KRB_AP_REQ 6.KRB_AP_REP

35 UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS 35 Adat titkosítás  A viszony kulcs az adat: ■Aláírására ■Titkosítására használható. (CIFS) ■HKLM\System\CurrentControlSet\Services\L anManServer\Parameters –EnableSecuritySignature –RequireSecuritySignature ■HKLM\System\Current- ControlSet\Services\Rdr\Parameters ■Q161372

36 UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS 36 Bejelentkezés egy Windows 2000 szerverbe Helyi bejelentkezés (Egy tartományos modell): 1. 2.DNS keresés (_kerberos, _kpasswd ) 3.KRB_AS_REQ 4.Az Azonosító Szolgáltatás azonosítja a felhasználót majd KRB_AS_REP üzenetet küld. 5.A helyi gép egy KRB_TGS_REQ üzenetet küld. 6.A kdc KRB_TGS_REP választ küld 7.A jegyet megvizsgálja az LSA

37 UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS 37 Jegy tulajdonságok  FORWARDABLE ■A szerver szerzi be a jegyet  FORWARDED  PROXIABLE ■Kliens szerzi be a jegyet ■Tudni kell a háttérszerver adatait  PROXY  RENEWABLE ■A viszony kulcsok cserélhetőek a jegy újragenerálása nélkül –Aktuális kulcs időtartam (tipikusan egy nap) –Teljes kulcs időtartam (néhány hét)  INITIAL

38 UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS 38 Hálózati bejelentkezés 1.KRB_TGS_REQ 2.KRB_TGS_REP 3.KRB_AP_REQ 4.KRB_AP_REP

39 UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS 39 Bejelentkezés más tartományba  A felhasználó vagy az erőforrás más tartományhoz tartozik (Alice Europe, Gép NA). 1.KRB_AS_REQ és KRB_AS_REP (Europe) 2.KRB_TGS_REQ, KRB_TGS_REP 1.KRB_TGS_REQ Europe 2.Hivatkozó jegy NA irányába (compaq.com, tartományközi jelszó) 3.DNS kdc keresés compaq.com-ban 4.Hivatkozó jegy NA-ra 5.KDC keresés NA-ban 6.TGS_REP az erőforrásra  Ez nem történik meg minden alkalommal (tárolás), a csomagok kicsik

40 UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS 40 Tartományok közötti kapcsolat  Tartományi megbízott fiókok ■A tartomány közti azonosítást a speciális megbízó (principal) fiókot tárol a másik tartományról ■Tartomány közti kulcsok (inter-realm key) ■A kulcs a jelszóból származik mely megfelelő időközönként cserélődik ■Valós megbízotti kapcsolat: –Közös titkos kulcs (dcpromo)  krbtgt fiók: ■Az ő jelszava lesz a Master Key ■A jelszó menetrend szerint váltakozik  Jelentős DC használat (principal, tartomány)

41 UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS 41 Azonosítás delegálása

42 UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS 42 Smart card belépés  PKINIT  CA használat  Menet: ■PA-PK-AS-REQ ■…

43 UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS Az előadás tartalma  AAA  TLS  NTLM  SSO  Kerberos 2014. 07. 15.Hálózati Operációs Rendszerek43

Letölteni ppt "UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS Hálózati Operációs Rendszerek AAA-Azonosítás Dr. Bilicki."

Hasonló előadás

Kamarai prezentáció sablon

Kamarai prezentáció sablon
„Esélyteremtés és értékalakulás” Konferencia Megyeháza Kaposvár, 2009

„Esélyteremtés és értékalakulás” Konferencia Megyeháza Kaposvár, 2009
Hálózati és Internet ismeretek

Hálózati és Internet ismeretek
Tempus S_JEP-12435-97 Számítógép hálózatok Összefoglalás - 1 3. Összefoglalás Összeállította: Broczkó Péter (BMF)

Tempus S_JEP Számítógép hálózatok Összefoglalás Összefoglalás Összeállította: Broczkó Péter (BMF)
Module 10: Supporting Remote Users távoli felhasználó támogatása.

Module 10: Supporting Remote Users távoli felhasználó támogatása.
IPSec.

IPSec.
Felhasználói felületek és üzleti logika Bollobás Dávid ASP.NET 2012.03.06.

Felhasználói felületek és üzleti logika Bollobás Dávid ASP.NET
Client Access Server. Autodiscovery service Availability service (EWS) Offline Address Book (OAB) service Activesync service Outlook Web Access Public.

Client Access Server. Autodiscovery service Availability service (EWS) Offline Address Book (OAB) service Activesync service Outlook Web Access Public.
Erőállóképesség mérése Találjanak teszteket az irodalomban

Erőállóképesség mérése Találjanak teszteket az irodalomban
2007 ISP TANFOLYAM ÉSZAKNET, LH COM. USER AUTHENTIKÁCIÓ •MAC – IP •MAC – DHCP •MAC – IP – RADIUS •PPPoE – RADIUS.

2007 ISP TANFOLYAM ÉSZAKNET, LH COM. USER AUTHENTIKÁCIÓ •MAC – IP •MAC – DHCP •MAC – IP – RADIUS •PPPoE – RADIUS.
A Kerberos hitelesítési protokoll

A Kerberos hitelesítési protokoll
Tectia MobileID Express – Kétfaktoros erős autentikáció – 5 percen belül üzemkészen! 2012. január 16.

Tectia MobileID Express – Kétfaktoros erős autentikáció – 5 percen belül üzemkészen! január 16.
Hálózati architektúrák

Hálózati architektúrák
Humánkineziológia szak

Humánkineziológia szak
Hálózati Operációs Rendszerek

Hálózati Operációs Rendszerek
Spanning Tree Protocol

Spanning Tree Protocol
Műveletek logaritmussal

Műveletek logaritmussal
Titkosítás Digitális aláírás Szabványosított tanúsítványok

Titkosítás Digitális aláírás Szabványosított tanúsítványok
Vezeték nélküli hálózatok biztonsági megoldásai Készítette Hudac Lóránd (HULRAAI) A Bemutatóban szó lesz: Vezeték nélküli hálózatok felépítése Ezek működtetése.

Vezeték nélküli hálózatok biztonsági megoldásai Készítette Hudac Lóránd (HULRAAI) A Bemutatóban szó lesz: Vezeték nélküli hálózatok felépítése Ezek működtetése.
OSI Modell.

OSI Modell.

Hasonló előadás

Google Hirdetések