In che modo Kerberos protegge dagli attacchi di riproduzione?

2

Ho letto di Kerberos e comprendo i messaggi scambiati e che utilizza la crittografia simmetrica per proteggere alcuni dei messaggi. Ma come protegge dagli attacchi di replay? Ad esempio, il primo messaggio dal client a KDC non viene crittografato finché lo so. Anche se qualcosa è crittografato, possiamo ancora riprodurlo in seguito. Inoltre ho letto che gli orologi di Kerberos possono avere al massimo ~ 5 min di differenza. Quindi, suppongo che il server tenga anche nella cache alcuni dei biglietti ricevuti, al fine di prevenire attacchi simili, giusto?

    
posta typos 15.11.2016 - 14:59
fonte

1 risposta

3

Kerberos utilizza un "autenticatore" durante gli scambi di protocollo che avvengono tra il client e il server. Contiene dati di autenticazione aggiuntivi, come la durata del ticket e, cosa più importante, il timestamp del cliente.

When Server-Side Kerberos validates an authentication message, it will check the authenticator's timestamp. If the timestamp is earlier or the same as a previous authenticators received within the five minutes, it will reject the packet because it treats it as a replay attack and user authentication will fail.

Kerberos lato server confronta inoltre il timestamp dell'autenticatore con l'ora del server. Se il timestamp dell'autenticatore non è entro cinque minuti dall'ora sul server, rifiuterà anche il pacchetto.

I cinque minuti rappresentano la differenza massima che può tollerare tra client e server, ma puoi modificare questo valore in Windows tramite i criteri di gruppo.

In breve, la parte cruciale è la convalida del tempo dell'autenticatore.

    
risposta data 15.11.2016 - 17:30
fonte

Leggi altre domande sui tag