Sécurité des réseaux Authentification avec Kerberos



Documents pareils
Protocoles cryptographiques

Protocoles d`authentification. Refik Molva et Yves Roudier. Institut EURECOM, BP 193 Sophia Antipolis Cedex - France

Protocoles d authentification

Sécurité des réseaux IPSec

Authentification unifiée Unix/Windows

Tutorial Kerberos. Comprendre et mettre en place une architecture Kerberos. Version : 0.2 Avril 2004

Kerberos en environnement ISP UNIX/Win2K/Cisco

Cours 14. Crypto. 2004, Marc-André Léger

Centre de Calcul de l Institut National de Physique Nucléaire et de Physique des Particules. Migration Kerberos V Présentation rapide

Protocoles utilisant des mécanismes d'authentification: TACACS+, RADIUS et Kerberos

Single Sign-On open source avec CAS (Central Authentication Service)

Tour d horizon des différents SSO disponibles

Le protocole SSH (Secure Shell)

SSL ET IPSEC. Licence Pro ATC Amel Guetat

AUTHENTIFICATION MANAGEMENT

La mémorisation des mots de passe dans les navigateurs web modernes

Authentification centralisée et SSO Sujet. Table des matières. 1 ORGANISATION Mode de rendu Informations complémentaires 1 2 SUJET 2

Sécurité des réseaux Les attaques

Un exemple d'authentification sécurisée utilisant les outils du Web : CAS. P-F. Bonnefoi

Routeur Chiffrant Navista Version Et le protocole de chiffrement du Réseau Privé Virtuel Navista Tunneling System - NTS Version 3.1.

S28 - La mise en œuvre de SSO (Single Sign On) avec EIM (Enterprise Identity Mapping)

1 Présentation de la solution client/serveur Mobilegov Digital DNA ID BOX

Kerberos: authentification unique

Kerberos mis en scène

Simplifier l authentification avec Kerberos

Single Sign On. Nicolas Dewaele. Single Sign On. Page 1. et Web SSO

RTE Technologies. RTE Geoloc. Configuration avec Proxy ou Firewall

Kerberos. Cross- platform authentication and single sign- on. Version 1.0 du 23 janvier Exposés de nouvelles technologies des réseaux

Les Protocoles de sécurité dans les réseaux WiFi. Ihsane MOUTAIB & Lamia ELOFIR FM05

EA D S INNOVA TION W ORKS. Pass The Hash. Nicolas RUFF EADS-IW SE/CS nicolas.ruff (à) eads.net

Sécurité des sites Web Pas un cours un recueil du net. INF340 Jean-François Berdjugin

Bibliographie. Gestion des risques

VoIP : Introduction à la sécurité. VoIP : Introduction à la sécurité

Les données (voix, vidéo, etc.) sont échangées à l aide du protocole RTP (Real-time Transport Protocol).

Note technique. Recommandations de sécurité relatives à Active Directory.

Introduction. aux architectures web. de Single Sign-On

Kerberos, le SSO universel

DMZ... as Architecture des Systèmes d Information

Cryptographie. Master de cryptographie Architectures PKI. 23 mars Université Rennes 1

Architecture pour un référentiel d'annuaire et d'authentification Single Sign On interopérable en environnement hétérogène

La sécurité des réseaux. 9e cours 2014 Louis Salvail

La citadelle électronique séminaire du 14 mars 2002

WEB SSO & IDENTITY MANAGEMENT PARIS 2013

Authentification. Règles et recommandations concernant les mécanismes d authentification de niveau de robustesse standard

Ce document décrit une solution de single sign-on (SSO) sécurisée permettant d accéder à Microsoft Exchange avec des tablettes ou smartphones.

Tunnels. Plan. Pourquoi? Comment? Qu est-ce? Quelles solutions? Tunnels applicatifs ESIL INFO 2005/2006. Sophie Nicoud

Vulnérabilités et sécurisation des applications Web

Authentification avec Kerberos

FOIRE AUX QUESTIONS - WebDEPOT

Politique d utilisation par AC. Certification et protocoles. Contenu d un certificat (X.509)

Gestion des identités Christian-Pierre Belin

(In)sécurité de la Voix sur IP [VoIP]

État Réalisé En cours Planifié

Introduction à la sécurité Cours 8 Infrastructure de clés publiques. Catalin Dima

Ludovic Mé http ://rennes.supelec.fr/rennes/si/equipe/lme/ Campus de Rennes Equipe SSIR

Protocole SSH-2.0. Tuan-Tu, TRAN. Janvier 2009

Attaques applicatives

Note Technique Sécurité. Système d'authentification. Authentification hors APN LuxGSM Authentification 3G/APN. Système de notification

Royaume du Maroc. Simpl-TVA. E-service de télédéclaration et de télépaiement de la TVA. 20 juin juin 2006

Législation. Loi anti-terrorisme

Charte d installation des réseaux sans-fils à l INSA de Lyon

Gestion des incidents de sécurité. Une approche MSSP

Présentation de l'architecture

d authentification SSO et Shibboleth

Configuration d un Client VPN «TheGreenBow» 1) Création d un compte utilisateur dans la base LDAP Netasq

Le spam introduction. Sommaire

Innovation technologique dans les établissements scolaires : l ENT, les impacts sur l organisation du travail et les risques associés

«De l authentification à la signature électronique : quel cadre juridique pour la confiance dans les communications électroniques internationales?

Retour d'expérience sur le déploiement de biométrie à grande échelle

Fiche descriptive de module

La sécurité des réseaux

Single Sign-On open source avec CAS (Central Authentication Service) Vincent Mathieu Pascal Aubry Julien Marchal

(Third-Man Attack) PASCAL BONHEUR PASCAL 4/07/2001. Introduction. 1 Domain Name Server. 2 Commandes DNS. 3 Hacking des serveurs DNS

Présentation de la solution Open Source «Vulture» Version 2.0

Signature électronique. Romain Kolb 31/10/2008

Sécurisation du réseau

Cours sur Active Directory

SECURITE DES SYSTEMES DʼINFORMATION FREEIPA Projet de semestre ITI 3eme année Etudiant RAZAFIMAHATRATRA LAURE Professeur : Gérald LITZISTORF

Accéder à ZeCoffre via FTP

Sécurité des réseaux Firewalls

Gestionnaire des services Internet (IIS)

SSL. Secure Socket Layer. R. Kobylanski janvier version 1.1 FC INPG. Protocole SSL Application avec stunnel

Manuel de configuration des fonctions de numérisation

PASS v2.0 : solution d authentification unique basée sur les composants Shibboleth Service Provider v2.5.1 et Identity Provider v2.3.

Guide de déploiement d'un mécanisme De SmartCardLogon par carte CPS Sur un réseau Microsoft

Groupe Eyrolles, 2006, ISBN : X

Installation Windows 2000 Server

TIW4 : SÉCURITÉ DES SYSTÈMES D INFORMATION

Menaces et sécurité préventive

JOSY. Paris - 4 février 2010

Migration NT4 vers Windows 2003 Server

Industrie des cartes de paiement (PCI) Norme de sécurité des données Récapitulatif des modifications de

Transcription:

Sécurité des réseaux Authentification avec Kerberos A. Guermouche A. Guermouche Cours 5 : Kerberos 1

Plan 1. Introduction A. Guermouche Cours 5 : Kerberos 2

Plan Introduction 1. Introduction A. Guermouche Cours 5 : Kerberos 3

Présentation Introduction Kerberos est un service d authentification développé par comme partie du projet Athena du MIT. Problèmatique : Comment assurer l authentification pour les demandes de services dans un environnement distribué ouvert? Problème de confiance en les mécanismes d authentification de chacun des postes de travail. Un utilisateur peut obtenir l accès à un poste de travail et feindre d être un autre utilisateur. Un utilisateur peut changer l adresse réseau d un poste de travail pour que les demandes envoyées depuis ce dernier semblent venir d un autre poste de travail. Un utilisateur peut espionner des échanges et lancer une attaque par rejeu pour perturber des opérations. Kerberos fournit un serveur centralisé d authentification dont la fonction est d authentifier les utilisateurs vis-à-vis des serveurs et inversement. A. Guermouche Cours 5 : Kerberos 4

Exigences Introduction Le premier rapport publié sur Kerberos énumère les exigences suivantes : sûr. un espion sur le réseau ne doit pas pouvoir obtenir l information nécessaire pour se faire passer pour un utilisateur. fiable. Kerberos doit pouvoir reposer sur une architecture de serveurs distribuée avec des systèmes pouvant en remplacer d autres. transparent. idéalement, l utilisateur ne doit pas être conscient du processus d authentification. évolutif. le système doit être capable de gérer un grand nombre de clients et de serveurs. Le schéma complet de Kerberos est celui d un service d authentification par un tiers de confiance utilisant un protocole s inspirant de celui de Needham Schroeder. A. Guermouche Cours 5 : Kerberos 5

Introduction Rappel sur le protocole de Needham Schroeder Soient A et B deux systèmes communiquant via un réseau pas sûr devant déterminer une clé de session. Notations : S. est un serveur de confiance pour A et B. K AS. clé symétrique connue uniquement par A et S. K BS. clé symétrique connue uniquement par B et S. N A et N B. des nonces. Protocole : A S : A, B, N A S A : {N A, K AB, B, {K AB, A} KBS } KAS A B : {K AB, A} KBS B A : {N B } KAB A B : {N B 1} KAB A. Guermouche Cours 5 : Kerberos 6

Introduction Protocole d authentification de Kerberos (1/2) Utilisation d un serveur d authentification (SA) qui connait tous les mots de passe. Le serveur partage une clé secrète unique avec chaque serveur. Lorsqu un utilisateur demande un service à un serveur : 1. Le module client du poste de travail de l utilisateur envoie le mot de passe saisi au SA dans un message contenant l ID de l utilisateur, son mot de passe et l ID du serveur. 2. Le SA authentifie l utilisateur. 3. Le SA génère un ticket contenant l ID de l utilisateur et l ID du serveur et le chiffre avec la clé secrète partagée par le SA et le serveur. 4. Le ticket est envoyé au poste client. Remarque : Le ticket contient l ID du serveur pour qu il puisse vérifier qu il a correctement déchiffrer le ticket, l ID du client pour dire que le ticket a été émis par le module client C et l adresse réseau du poste client (ou le nom) pour éviter l usurpation d identité en passant par une autre machine. A. Guermouche Cours 5 : Kerberos 7

Introduction Protocole d authentification de Kerberos (2/2) Réduire le nombre de fois où l utilisateur doit saisir son mot de passe. Le mot de passe du client transitait en clair sur le réseau. Solution : Utilisation d un serveur d octroi de ticket (TGS). 1. Le client demande un ticket d octroi de tickets de la part de l utilisateur au SA. 2. Le SA répond par un ticket chiffré avec une clé dérivée du mot de passe de l utilisateur. Quand cette réponse arrive, le client demande son mot de passe à l utilisateur, génère la clé et essaye de déchiffrer le ticket. 3. Le client demande un ticket d octroi de service de la part de l utilisateur au TGS (le message correspondant contient l ID de l utilisateur, l ID du service, et le ticket d octroi de tickets). 4. Le TGS déchiffre le ticket et vérifie le succès du déchiffrement par la présence de son ID. Si tout est bon, il génère un ticket pour accorder l accès au service. 5. Le client demande l accès à un service de la part de l utilisateur (transmission d un message contenant l ID de l utilisateur et le ticket d octroi de service). Remarque : Inclusion d un horodatage dans le ticket d octroi de tickets pour éviter le rejeu. Le ticket de service est chiffré avec une clé connue uniquement du TGS et du serveur (Le ticket d octroi est lui chiffré par une clé connue par le SA et le TGS). A. Guermouche Cours 5 : Kerberos 8

Protocole Kerberos Introduction Problème du protocole précédent : Problème de durée de vie du ticket d octroi de ticket et octroi de service (ainsi que l authentification de la personne utilisant le ticket vis à vis du ticket). Authentification des serveurs vis à vis des clients. Solution : Le SA fournit à la fois au TGS et au client une information secrète de façon sûre (utilisation d une clé de session). La distribution de la clé se fait par le biais d un message, du SA vers le client, contenant la clé de session ainsi que le ticket et chiffré avec une clé dérivée du mot de passe. Cette même clé est incluse dans le ticket (qui ne peut être lu que par le TGS). A. Guermouche Cours 5 : Kerberos 9

Introduction Royaumes Kerberos Un royaume Kerberos est l environnement contenant un serveur et un ensembles de clients. Le royaume nécessite : Le serveur Kerberos doit connaître l ID utilisateur (UID) et le mot de passe haché de tous les utilisateurs. Le serveur Kerberos doit partager une clé secrète avec chaque serveur. Tous les serveurs sont enregistrés sur le serveur Kerberos. Le royaume est une notion centrale dans la configuration des différentes versions de serveurs Kerberos (MIT, Heimdal,... ). A. Guermouche Cours 5 : Kerberos 10

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back