Servicios Empresariales
Estrategia de Nube Seguridad Cibernética Servicios Administrados Gestión de Socios Servicios de PortaciónIndustries We Serve
Recursos
Eventos
Watch our on-demand video on how identity management is
done in a typical organization.
We’re constantly on the hunt for talented individuals who are passionate about innovative technologies
Socios
Partner ProgramGLOBAL
Sobre ISSQUAREDIN INDIA
ISSQUAREDBook a Demo
Fabulix Service Manage (FSM)Tecnología - 31 de agosto de 2020
Las instancias actuales y las amenazas cibernéticas ilustran que Internet no es un lugar seguro, ya que muchos de los protocolos asociados con su funcionamiento no incluyen necesariamente la seguridad. Los piratas informáticos pueden aprovechar la protección insegura de las redes y falsificar las contraseñas para acceder a cualquier sistema. Por ejemplo, las contraseñas no cifradas compartidas a través de aplicaciones a través de una red se pueden piratear fácilmente. Además, las técnicas modernas de verificación de identidad están desactualizadas en el sentido de que no puede estar seguro de la identidad de la persona que accede al sistema.
Muchos sitios utilizan "cortafuegos" como escudo contra intrusiones no deseadas. Esto se basa en la suposición de que los 'malos' están afuera. De hecho, los 'iniciados' son responsables de la mayoría de las graves intrusiones de datos. Además, los cortafuegos también afectan la usabilidad de "Internet" y esto puede ser un obstáculo importante para el buen funcionamiento de la empresa.
Para contrarrestar estas amenazas de seguridad importantes y visibles, el equipo del MIT concibió y creó Kerberos. Introducido originalmente en la década de 1980, el protocolo de autenticación ha sufrido varias mejoras y está disponible en todos los sistemas operativos Windows, Mac, Linux, etc.
Para entender Kerberos, primero entendamos el término que significa. En la mitología griega, Kerberos era el perro de tres cabezas que custodiaba las puertas del hades (infierno). Kerberos, el sistema de protocolo de Internet crea un sólido sistema de autenticación entre el servidor y el cliente. Proporciona las herramientas de verificación y criptografía a través de la red. De esta manera, puede proteger mejor lo que se comparte desde su empresa. La mayoría de las aplicaciones son "compatibles con Kerberos", es decir, están programadas para utilizar la autenticación Kerberos. De hecho, Kerberos está integrado en todos los sistemas Windows o Mac; Sin embargo, solo se activa si Kerberos es parte del sistema de autenticación de usuarios de una red. Esta es la razón; esta tecnología es utilizada principalmente por las empresas.
El sistema de seguridad empresarial se basa en un principio fundamental de privilegio mínimo, es decir, el acceso a la red debe estar restringido. Durante el proceso de autenticación, Kerberos utiliza un cifrado de terceros denominado Centro de distribución de claves (KDC). En el momento en que el cliente intenta autenticarse, Kerberos almacena un ticket específico para esa sesión en la máquina del usuario. El servicio compatible con Kerberos buscará este ticket. De esta manera, no se solicita al cliente que se autentique mediante una contraseña.
The main entities of a Kerberos flow include:
Cliente: Un cliente actúa en nombre del usuario e inicia la comunicación para una solicitud de servicio.
Servidor: El servidor al que el usuario desea acceder.
Servidor de autenticación (AS): realiza la autenticación del cliente. En caso de autenticación exitosa, el AS emite un ticket conocido como TGT (Ticket Granting Ticket). TGT puede transmitir a otros servidores que el cliente ha sido autenticado.
Centro de distribución de claves (KDC): en el entorno Kerberos, el servidor de autenticación se divide en tres divisiones:
a. Base de datos (db)
b. Servidor de autenticación (AS) y
c. Servidor de concesión de tickets (TGS).
Estas tres divisiones, existen en un solo servidor y se conoce como centro de distribución de claves.
Ticket Granting Server (TGS): el servidor de aplicaciones, que emite tickets como servicio.
En el extracto a continuación, verá todos los pasos involucrados en la autenticación Kerberos:
1. Cuando el cliente inicia sesión en el dominio, se envía una solicitud de Ticket Granting Ticket (TGT) a través del centro de distribución de claves (KDC)
2. La respuesta de Kerberos KDC al devolver un TGT y una clave de sesión al cliente.
3. A continuación, el KDC de Kerberos recibe una solicitud de ticket del servidor de aplicaciones. Esta solicitud comprende el PC Client, TGT y un autorizador.
4. El cliente de PC recibe un ticket y una clave de sesión de KDC.
5. El ticket llega luego al servidor de aplicaciones. A continuación, el servidor autentica al cliente de la PC.
6. El servidor envía al cliente de PC otro autenticador. Al recibir el autenticador, el cliente autentica al servidor.
Kerberos también se mantiene mediante Remedy Single Sign On (SSO). En el sistema Remedy Single Sign On, también es posible construir un proceso de autenticación Kerberos.
Una explicación detallada de todos los pasos también se comparte a continuación:
Paso 1 -
El primer paso consiste en la solicitud de autenticación inicial. Aquí, el cliente solicita el servidor de autenticación para un ticket de concesión de tickets (TGT). La solicitud es enviada por el ID de cliente y no se envía la contraseña / secreto de usuario ke del cliente.
Paso 2 -
El servidor de autenticación busca la disponibilidad del cliente y TGS en la base de datos. Si no se encuentran, se transmite un mensaje de error al cliente. Si ambas entidades están disponibles, la clave secreta del cliente se crea mediante el hash de la contraseña del usuario. La contraseña está disponible en la base de datos y también se calcula la clave secreta TGS.
El cliente y el TGS comparten una clave de sesión (SK1) que es generada por el servidor de autenticación. Este SK1 se cifra mediante la clave secreta del cliente.
El servidor de autenticación genera un TGT que consta de ID de cliente, dirección de red del cliente, duración, marca de tiempo y clave de sesión (SK1). La clave secreta de TGS cifra el ticket, de modo que solo TGS pueda descifrar su contenido.
El mensaje de respuesta que finalmente se envía al cliente consta de TGT y SK1 generados. Luego, el cuerpo del mensaje se cifra con la clave secreta. Esto asegura que solo el cliente pueda decodificar el mensaje.
Paso 3 -
El cliente luego usa la clave secreta para descifrar el mensaje y extrae SK1 y TGT. Se genera el autenticador, que se utiliza para validar al cliente con TGS. El autenticador consta de la identificación del cliente, la dirección de red del cliente y la marca de tiempo de la máquina del cliente. A continuación, se cifra mediante el uso de SK1 extraído. Luego, el cliente envía el autenticador y extrae TGT a TGS. A continuación, el cliente solicita un ticket al servidor.
Paso 4 -
Usando la clave secreta TGS, TGS descifra el TGT y extrae SK1. Esta clave permite a TGS descifrar el autenticador y verificar si ha habido una coincidencia entre la identificación del cliente y la dirección de red del cliente de TGT. El sistema también verifica si el TGT está vencido o no. Esto se hace utilizando la marca de tiempo extraída.
Una vez finalizadas todas las comprobaciones, se genera otra clave de sesión de servicio (SK2). Esta clave de sesión se comparte entre el cliente y el servidor de destino.
Luego, se crea un ticket de servicio que comprende la identificación del cliente, la dirección de red del cliente, la marca de tiempo y SK2. Este ticket está encriptado con la clave secreta que se obtiene de la base de datos.
El cliente recibe un cuerpo de mensaje que consta de SK2 y ticket de servicio. Luego, el mensaje está encriptado con SK1 (conocido por el cliente).
Paso 5 -
El cliente descifra el mensaje utilizando SK1 y extrae SK2. A continuación, se crea un nuevo autenticador que consta de la identificación del cliente, la marca de tiempo y la dirección de red del cliente. Luego, SK2 cifra este autenticador.
A continuación, el servidor de destino recibe el autenticador y el vale de servicio del cliente.
Paso 6 -
El servidor de destino utiliza la clave secreta del servidor para descifrar el ticket de servicio. A continuación, se extrae SK2 del ticket de servicio. En el siguiente paso, SK2 y el ID de cliente descifran el autenticador para extraer la dirección de red del cliente y la marca de tiempo.
Luego se realizan verificaciones específicas para hacer coincidir la ID del cliente y las direcciones de red del cliente del ticket de servicio y el autenticador.
Cuando se cumplen todas las comprobaciones, el servidor de destino envía al cliente un mensaje que consta de la marca de tiempo más 1, cifrado con SK2.
Esto valida la autenticación entre el cliente y el servidor. Ahora puede comenzar una sesión de servicio confiable.
• El protocolo de autenticación permite que los clientes y los servicios se autentican mutuamente.
• Está disponible en todos los sistemas operativos
• El ticket en Kerberos permanece por un período de tiempo limitado. En los casos en que los boletos son robados, es muy difícil utilizarlos, ya que existen estrictos requisitos de autenticación.
• Las contraseñas no cifradas entran en la red
• Las claves secretas compartidas en Kerberos son mucho más eficientes
Las debilidades de Kerberos son:
• El sistema de autenticación puede verse comprometido si una persona autorizada obtiene acceso a KDC.
• Kerberos solo es compatible con aplicaciones compatibles con Kerberos. Puede resultar complicado escribir el código para otras aplicaciones.
Las soluciones IAM de ISSQUARED integran el sistema de autenticación Kerberos para hacer cumplir los controles de seguridad adecuados. Estos controles cumplen con todos los requisitos de cumplimiento y crean un acceso seguro entre el cliente y el servidor.
Las soluciones ORSUS IAM de ISSQUARED integran la gestión de cuentas Kerberos. Proporciona un proceso simplificado y seguro para administrar cuentas Kerberos, incluido el aprovisionamiento en sistemas de destino, agregarlos a grupos de acceso, permitir la capacidad de autoservicio para que los usuarios finales las soliciten y validarlas mediante campañas de revisión.
a. Suministro de cuentas Kerberos a los sistemas de destino
b. Gestión de grupos de cuentas Kerberos
c. Solicitudes de autoservicio para nuevas cuentas Kerberos
d. Flujos de trabajo personalizables para la incorporación de nuevas cuentas Kerberos
e. Re certificaciones y campañas para cuentas Kerberos
f. Auditoría / cumplimiento e informes para cuentas Kerberos
En este blog, discutimos el espíritu del sistema de protocolo de Internet Kerberos y cómo se convirtió en una parte integral para garantizar el acceso seguro y el intercambio de información entre el cliente y el servidor. También discutimos el proceso paso a paso sobre cómo funciona Kerberos y luego analizamos los servicios IAM de ISSQUARED, que integran las pautas de Kerberos en su cartera de IAM, ofreciendo así la máxima seguridad. Para obtener más información sobre nuestros servicios IAM, puede ponerse en contacto con uno de nuestros expertos aquí.
Historias relacionadas
Zero Trust Seguridad y la Empresa
28 de agosto de 2020Gestión de vulnerabilidades basada en riesgos
25 de agosto de 2020Gestión de identidad como servicio
18 de agosto de 2020Inicio de sesión único
15 de agosto de 2020Autenticación de dos factores frente a multifactor
1 de agosto de 2020Vulnerabilidades de Seguridad Cibernética Comúnmente Pasadas por...
04 de mayo de 2020¿Qué impacto tiene el análisis predictivo en su negocio?
08 de abril de 2020Zoom, Skype, Teams: la batalla por la dominación del mercado en los tiempos...
10 de abril de 2020Inteligencia artificial en la lucha contra el Coronavirus
24 de marzo de 2020Es hora de la transición: cómo Microsoft Teams es mejor que Skype for Business
05 de marzo de 2020Desmitificando los mitos que rodean a Cloud
26 de marzo de 2020Microsoft Teams vs Slack - ¿Cuál es Realmente la Mejor Herramienta?
09 de Octubre de 2019Microsoft Azure RI
24 de marzo de 2020Manténgase al tanto de nuestro boletín informativo