Protocollo Kerberos

4

Ho letto numerosi articoli su Kerberos e molti di loro menzionano che il passaggio finale del server che risponde al client è facoltativo:

  1. Kerberos application server response (optional) (KRB_AP_REP) Optionally, the client might request that the target server verify its own identity. This is called mutual authentication. If mutual authentication is requested, the target server will take the client computer's timestamp from the authenticator, encrypt it with the session key the TGS provided for client-target server messages, and send it to the client.

Mi chiedo perché questo passaggio finale sia facoltativo. Non sta identificando l'identità dei server delle applicazioni un must per motivi di sicurezza?

    
posta April 13.11.2016 - 02:30
fonte

1 risposta

2

Alcuni livelli limitati di autenticazione reciproca si verificano intrinsecamente come parte del processo di autenticazione Kerberos tra client e servizio app. Un servizio non dovrebbe essere in grado di decodificare il ticket di servizio a meno che non abbia la chiave associata al principal Kerberos che dovrebbe essere. Se non è in grado di decrittografare il ticket di servizio, non dovrebbe avere accesso alle informazioni sull'entità utente di cui ha bisogno per autenticare correttamente e creare una sessione per quell'utente.

Ora, immagino che un host malintenzionato in grado di impersonare un servizio legittimo possa fingere di essere in grado di decrittografare il ticket di servizio e di creare una sessione generica per qualsiasi utente che lo contatti. In alcuni casi, come l'accesso a un sito Web interno a cui tutti i dipendenti dispongono di autorizzazioni, potrebbe non essere ovvio all'utente che non sono autenticati nel loro contesto appropriato. In altri casi, ad esempio l'accesso a una condivisione di file personali, dovrebbe essere subito evidente che il servizio non ha i dati che l'utente si aspetta ed è falso.

Il processo di autenticazione reciproca di Kerberos dimostra al cliente che sta parlando del principio di servizio appropriato, piuttosto che presumere che sia stata stabilita una sessione con un servizio valido.

Il motivo per cui l'autenticazione reciproca non è attivata per impostazione predefinita è probabilmente dovuto in parte alla difficoltà di un utente malintenzionato di convincere un cliente a pensare che un servizio malevolo sia un servizio valido (ad esempio tramite spoofing DNS), e quindi a trarre beneficio da questo inganno. Inoltre, è un piccolo vantaggio in termini di prestazioni eliminare la fase di autenticazione reciproca dal processo di autenticazione.

    
risposta data 13.11.2016 - 05:14
fonte

Leggi altre domande sui tag